第二章 数据库访问控制.ppt

《第二章 数据库访问控制.ppt》由会员分享，可在线阅读，更多相关《第二章 数据库访问控制.ppt（29页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、返回返回1 第二章数据库的访问控制返回返回2本本 章章 概概 要要 2.1 2.1 访问控制策略概述访问控制策略概述2.2 2.2 自主访问控制自主访问控制 2.3 2.3 强制访问控制强制访问控制2.4 2.4 多级安全访问控制模型多级安全访问控制模型2.5 2.5 基于角色的访问控制基于角色的访问控制2.6 2.6 访问控制新技术访问控制新技术UCONUCON返回返回32.1 2.1 访问控制策略概述访问控制策略概述在数据在数据库中，中，访问控制可以分控制可以分为两大两大类：（1 1）基基于于能能力力的的访问控控制制：以以访问主主体体为判判断断对象象实现访问控控制制。访问主主体体能能力力列

2、列表表中中的的一一个个元元素素表表示示为一一个个二二元元组（o,ao,a）,其其中中o o表表示示资源源客客体体，a a表示一种表示一种访问控制方式。控制方式。（2 2）基基于于访问控控制制列列表表的的访问控控制制：以以资源源客客体体为判判断断对象象实现访问控控制制。资源源客客体体访问控控制制列列表表中中的的一一个个元元素素表表示示为一一个个二二元元组（s,as,a）,其其中中s s表表示示访问主体，主体，a a表示一种表示一种访问控制方式。控制方式。返回返回42.1 2.1 访问控制策略概述访问控制策略概述2.1.1 2.1.1 自主访问控制概述自主访问控制概述自自主主访问控控制制是是一一种

3、种最最为普普遍遍的的访问控控制制手手段段，用用户可可以以按按自自己己的的意意愿愿对系系统的的参参数数做做适适当当修修改改以以决决定定哪哪些些用用户可可以以访问他他们的的资源源，亦亦即即一一个个用用户可可以以有有选择地地与与其其它它用用户共共享享他他的的资源。用源。用户有自主的决定有自主的决定权。返回返回5 自自主主访问控控制制模模型型中中，用用户对信信息息的的控控制制基基于于对用用户的的鉴别和和访问规则的的确确定定。它它基基于于对主主体体及及主主体体所所属属的的主主体体组的的识别，来来限限制制对客客体体的的访问，还要要校校验主主体体对客客体体的的访问请求求是是否否符符合合存存取取控控制制规定定

4、来来决决定定对客客体体访问的的执行行与与否否。这里里所所谓的的自自主主访问控控制制是是指指主主体体可可以以自自主主地地（也也可可能能是是单位位方方式式）将将访问权，或或访问权的的某某个个子子集集授授予予其其它它主主体。体。返回返回62.1.2 2.1.2 强制访问控制概述强制访问控制概述强制制访问控控制制是是指指主主体体与与客客体体都都有有一一个个固固定定的的安安全全属属性性。系系统通通过检查主主体体和和客客体体的的安安全全属属性性匹匹配配与与否否来来决决定定一一个个主主体体是是否否可可以以访问某某个个客客体体资源源。安安全全属属性性是是强制制性性的的规定定，它它是是由由安安全全管管理理员，或

5、或者者是是操操作作系系统根根据据限限定定的的规则确定的，用确定的，用户或用或用户的程序不能加以修改。的程序不能加以修改。返回返回7 如如果果系系统认为具具有有某某一一个个安安全全属属性性的的主主体体不不适适于于访问某某个个资源源，那那么么任任何何人人（包包括括资源源的的拥有有者者）都都无无法法使使该主主体体具具有有访问该文件的文件的权力。力。强制制安安全全访问控控制制可可以以避避免免和和防防止止大大多多数数数数据据库有有意意或或无无意意的的侵侵害害，因因此此在在数数据据库管理系管理系统中有很大的中有很大的应用价用价值。返回返回82.1.3 2.1.3 基于角色的访问控制概述基于角色的访问控制概

6、述基基于于角角色色访问控控制制（RBACRBAC）模模型型是是目目前前国国际上上流流行行的的先先进的的安安全全访问控控制制方方法法。它它通通过分分配配和和取取消消角角色色来来完完成成用用户权限限的的授授予予和和取取消消，并并且且提提供供角角色色分分配配规则。安安全全管管理理人人员根根据据需需要要定定义各各种种角角色色，并并设置置合合适适的的访问权限限，而而用用户根根据据其其责任任和和资历再再被被指指派派为不不同同的的角角色色。这样，整整个个访问控控制制过程程就就分分成成两两个个部部分分，即即访问权限限与与角角色色相相关关联，角角色色再再与与用用户关关联，从从而而实现了用了用户与与访问权限的限的

7、逻辑分离。分离。返回返回92.2 2.2 自主自主访问控制访问控制自自主主访问控控制制基基于于自自主主策策略略管管理理主主体体对数数据据的的访问，主主要要机机制制包包括括基基于于主主体体的的标识和和授授权规则。这些些规则是是自自主主的的，即即它它们允允许主主体体将将数数据据权限授予其他主体。限授予其他主体。自自主主访问控控制制的的一一个个重重要要方方面面是是与与授授权管管理理策策略略密密切切相相关关。所所谓授授权管管理理，是是指指授授权和和撤撤消消授授权的功能。的功能。返回返回10访访问问控控制制矩矩阵阵模模型型利利用用矩矩阵阵A A表表示示系系统统中中主主体体、客客体体和和每每个个主主体体对

8、对每每个个客客体体所所拥拥有有权权限限之之间间的的关关系系。任任何何访访问问控控制制策策略略最最终终均均可可被被模模型型化化为为访访问问矩矩阵阵形形式式：一一行行表表示示一一个个主主体体的的能能力力列列表表，一一列列表表示示一一个个客客体体的的访访问问控控制制列列表表。每每个个矩矩阵阵元元素素规规定定了了相相应应的的主主体体对对应应于于相相应应的的客客体体被被准准予的访问许可、实施行为。予的访问许可、实施行为。返回返回11表1 访问控制矩阵 O1O2S1读读读、写读、写S2读、写读、写-A A S1,O1=“读读”，表表示示主主体体S1对对客客体体O1有有读读权限。其余类推。权限。其余类推。返

9、回返回12授授权权状状态态用用一一个个三三元元组组Q=(S,O,A)Q=(S,O,A)来来表表示示。其其中中S S是是主主体体的的集集合合；O O是是客客体体的的集集合合，是是安安全全机机制制保保护护的的对对象象。A A中中的的每每个个元元素素A(si,oj)A(si,oj)表表示示主主体体i i对对客客体体j j的的操操作作授授权权，它它是是访访问问模模式式的的一一个个子子集集。一一般般在在数数据据库库管管理理系系统统中中，访访问问模模式式包包括读、写、执行、附加和拥有。括读、写、执行、附加和拥有。访访问问控控制制矩矩阵阵原原语语是是对对访访问问控控制制矩矩阵阵执执行行的的、不使之中断或处于

10、不完整状态的操作。不使之中断或处于不完整状态的操作。返回返回13表2 访问控制操作集合原语原语操作操作含义含义条件条件1 授予权限授予权限Enter rinto Asi,oj赋予主体赋予主体si对客体对客体oj的访问模式的访问模式rSi Soj o2 撤销权限撤销权限Delete rfrom Asi,oj将主体将主体si对客体对客体oj的访问模式的访问模式r撤销撤销Si Soj o1 1 结果状态结果状态:S:S=S=S，O O=O=O A si,oj=Asi,oj r A sh,ok=Ash,ok(hi,kj)2 2 结果状态结果状态:S:S=S=S，O O=OO A si,oj=Asi,o

11、j-r A sh,ok=Ash,ok(hi,kj)返回返回14表2 访问控制操作集合原语原语操作操作含义含义条件条件3添加主体添加主体CreatSubject Si 添加新主体siSi S4删除主体删除主体Destroy rfrom Asi,oj删除主体siSi S3 结果状态:S=S Si ，O=O Si As,o=As,o（S S，o o）Asi,o=(o o）As,si=（S S）4 结果状态:S=S-Si ，O=O-Si As,o=As,o（S S，o o）O O返回返回15表2 访问控制操作集合原语原语操作操作含义含义条件条件5 添加客体添加客体CreatObject Oj 添加新客

12、体OjOj O O6 删除客体删除客体Destroy Object Oj 删除客体OjOj O O5 结果状态:S=S，O=O Oj As,o=As,o（S S，o o）As,oj=（o o）6 结果状态:S=S，O=O-Oj As,o=As,o（S S，o o）O返回返回16约束条件约束条件 每每种种命命令令的的可可选选的的条条件件语语句句中中，可可以以包包含含对对该该命命令执行时的时间或数据约束。令执行时的时间或数据约束。v数据约束：可规定所访问的数据的值的限制。数据约束：可规定所访问的数据的值的限制。v时间约束：规定允许读写发生的时间条件。时间约束：规定允许读写发生的时间条件。v上上下下

13、文文约约束束：例例如如只只读读取取姓姓名名字字段段或或工工资资字字段段是是允许的，但把它们组合起来读取就需要限制。允许的，但把它们组合起来读取就需要限制。v历历史史记记录录约约束束：该该约约束束条条件件的的激激活活依依赖赖于于该该操操作作先前的操作。先前的操作。返回返回17自主访问控制特点：自主访问控制特点：v根据主体的身份及允许访问的权限进行决策。根据主体的身份及允许访问的权限进行决策。v自主是指具有某种访问能力的主体能够自主地将访自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。问权的某个子集授予其它主体。v灵活性高，被大量采用。灵活性高，被大量采用。自主访问控制缺点

14、：自主访问控制缺点：v信息在移动过程中其访问权限关系会被改变，权限信息在移动过程中其访问权限关系会被改变，权限控制某些情况下不够严格。如用户控制某些情况下不够严格。如用户A A可将其对目标可将其对目标O O的访问权限传递给用户的访问权限传递给用户B,B,从而使不具备对从而使不具备对O O访问权访问权限的限的B B可访问可访问O O。返回返回182.3 2.3 强强制制访问控制访问控制为系系统中每个主体和客体中每个主体和客体标出不同安全等出不同安全等级，这些些安全等安全等级由系由系统控制，不能随意更改。根据主体和客体控制，不能随意更改。根据主体和客体的的级别标记来决定来决定访问模式。如模式。如绝

15、密密级，机密，机密级，秘密，秘密级，无密，无密级等。等。在在在在军队军队中中中中经经常常常常应应用，支持多用，支持多用，支持多用，支持多级级安全安全安全安全考考虑到偏序关系，主体到偏序关系，主体对客体的客体的访问主要有四种方主要有四种方式式：（1）向下）向下读（rd，read down）：主体安全）：主体安全级别高高于客体信息于客体信息资源的安全源的安全级别时允允许的的读操作；操作；（2）向上）向上读（ru，read up）：主体安全）：主体安全级别低于低于客体信息客体信息资源的安全源的安全级别时允允许的的读操作；操作；返回返回19（3 3）向下写（）向下写（wdwd，write downwr

16、ite down）：主体安全）：主体安全级别高于客体信息高于客体信息资源的安全源的安全级别时允允许执行的行的动作作或是写操作；或是写操作；（4 4）向上写（）向上写（wuwu，write upwrite up）：主体安全）：主体安全级别低低于客体信息于客体信息资源的安全源的安全级别时允允许执行的行的动作或作或是写操作。是写操作。其其访问控制关系可分控制关系可分为：下：下读/上写和上上写和上读/下写，下写，分分别进行机密性控制和完整性控制行机密性控制和完整性控制通通过安全安全标签实现单向信息流通模式。向信息流通模式。返回返回202.4 2.4 多多级级安全安全访问控制模型访问控制模型在关系型数据

17、在关系型数据库中中应用用MACMAC策略首先需要策略首先需要扩展关系模展关系模型自身的定型自身的定义。因此提出了多。因此提出了多级关系模型（关系模型（Multilevel Multilevel Relational ModelRelational Model）。）。多多多多级级关系的本关系的本关系的本关系的本质质特性是不同的元特性是不同的元特性是不同的元特性是不同的元组组具有不同的具有不同的具有不同的具有不同的访问访问等等等等级级。关系被分割成不同的安全区，每个安全区关系被分割成不同的安全区，每个安全区关系被分割成不同的安全区，每个安全区关系被分割成不同的安全区，每个安全区对应对应一个一个一个

18、一个访问访问等等等等级级。一个。一个。一个。一个访问访问等等等等级为级为c c c c的安全区包含所有的安全区包含所有的安全区包含所有的安全区包含所有访问访问等等等等级级为为c c c c的元的元的元的元组组。一个。一个。一个。一个访问访问等等等等级为级为c c c c的主体能的主体能的主体能的主体能读读取所有取所有取所有取所有访问访问等等等等级级小于等于小于等于小于等于小于等于c c c c的安全区中的所有元的安全区中的所有元的安全区中的所有元的安全区中的所有元组组，这样这样的元的元的元的元组组集合构集合构集合构集合构成成成成访问访问等等等等级级c c c c的多的多的多的多级级关系关系关系

19、关系视图视图。类类似地，一个似地，一个似地，一个似地，一个访问访问等等等等级为级为c c c c的主体能写所有的主体能写所有的主体能写所有的主体能写所有访问访问等等等等级级大于或等于大于或等于大于或等于大于或等于c c c c的安全区中的元的安全区中的元的安全区中的元的安全区中的元组组。返回返回21RRA97RRA97管理角色层次的四个过程为：管理角色层次的四个过程为：(1)(1)角色插入角色插入新角色的直接父角色和子角色必须是原来角色层次新角色的直接父角色和子角色必须是原来角色层次中一个创建区间的界点。该定义暗示没有多个父角色或中一个创建区间的界点。该定义暗示没有多个父角色或多个子角色的角色

20、能被创建。多个子角色的角色能被创建。(2)(2)边插入边插入如果满足以下两个条件之一，边如果满足以下两个条件之一，边(x,y)(x,y)能被插入到角能被插入到角色层次中：色层次中：(x)=(y)(x)=(y)存在一个职责区间存在一个职责区间(a,b),(a,b),使得要么使得要么x=ax=a且且yb,yaxa且且y=b,y=b,并且边的插入不破坏区的封装。并且边的插入不破坏区的封装。返回返回22(3)(3)角色删除角色删除支持两种可互换的角色支持两种可互换的角色“删除删除”。第一种选择是角色删除，被删除的角色第一种选择是角色删除，被删除的角色r r确定从中确定从中删除。在这种情况下，任何权限删

21、除。在这种情况下，任何权限-角色指派到角色角色指派到角色r r的上的上确界，用户确界，用户-角色指派重新指派到角色角色指派重新指派到角色r r的下确界。的下确界。若角色若角色r r是是ARBAC97ARBAC97中任何区间的界点，则不允许进中任何区间的界点，则不允许进行角色删除。因此第二种是角色失活。在这种情况下，行角色删除。因此第二种是角色失活。在这种情况下，角色角色r r仍保留在角色层次中，且权限角色指派依然有效。仍保留在角色层次中，且权限角色指派依然有效。然而，用户然而，用户u u不能在一个会话中激活角色不能在一个会话中激活角色r r，即使，即使rrR(u)R(u)。(4)(4)边删除边

22、删除两个角色两个角色r r和和r r之间的边能够被删除，仅当要么之间的边能够被删除，仅当要么rrrr,要么要么r rrr。返回返回232.5 2.5 基于角色的基于角色的访问访问控制模型控制模型核心思想：核心思想：将将权限同限同角色角色关关联起来，而起来，而用用户的授的授权则通通过赋予相予相应的角色来完成。的角色来完成。用用户所能所能访问的的权限由限由该用用户所所拥有角色有角色的的权限集合的限集合的并集并集决定。决定。返回返回24传统传统的的访问访问控制技控制技术总结术总结本章本章讨论了目前数据了目前数据库领域所使用的域所使用的访问控制模型。控制模型。自主自主访问控制模型控制用控制模型控制用户

23、访问的机制是用的机制是用户鉴别和用和用户自定自定义的的访问规则。该模型的特点在于灵活性模型的特点在于灵活性强、适用性广。但无法适用性广。但无法对主体的主体的权限限传播加以控制。因此，播加以控制。因此，用用户可能未可能未经授授权而得到不而得到不应得到的数据。得到的数据。强制制访问控制模型提供了基于控制模型提供了基于标签的安全的安全认证，适，适用于用用于用户和客体具有多种安全等和客体具有多种安全等级的的应用用环境。境。该模型模型基于安全基于安全标签的的读写策略使得数据写策略使得数据库管理系管理系统能能够跟踪跟踪数据的流数据的流动，因而可以，因而可以为木木马程序程序问题提供一定程度的提供一定程度的保

24、保护，但缺点在于，但缺点在于访问策略策略过于于严格，只能用于极少数格，只能用于极少数的的应用用环境。境。返回返回25基于角色的基于角色的访问控制模型是中性策略的控制模型是中性策略的访问模型，模型，其目的在于克服其目的在于克服现有有强制制访问控制模型的缺点、管理复控制模型的缺点、管理复杂性和代价。基于角色的性和代价。基于角色的访问控制模型将用和控制模型将用和权限的直限的直接指派接指派转变为用用户角色、角色角色、角色-权限两种指派，降低了限两种指派，降低了数据数据库安全管理安全管理员的管理复的管理复杂性，能通性，能通过定定义约束正确束正确地地实施施访问策略。然而与自主策略。然而与自主访问控制模型和

25、控制模型和强制制访问控制模型相比，基于角色的控制模型相比，基于角色的访问控制模型在角色控制模型在角色层次和次和约束之束之间还存在不少的理存在不少的理论缺陷。缺陷。返回返回262.6 2.6 访问访问控制新技控制新技术术UCONUCON2002 年年,Park.J 和和 Sundhu.R 首次提出了首次提出了 UCON 的的概念。概念。它它对传统的的访问控制控制进行了行了扩展展,定定义了了授授权(Authorizati on)、职责(Obligati on)和和条件条件(Conditi on)三个决定因素三个决定因素,提出了提出了访问控制的控制的连续性性(Continuity)和和易易变性性(M

26、utability)两个重要属性。两个重要属性。UCON 集合了集合了传统的的访问控制控制、可信可信管理管理以及以及数字数字权力管理力管理,用系用系统的方式提供了一个保的方式提供了一个保护数字数字资源的源的统一一标准的框架准的框架,为下一代下一代访问控制机制提供了新思控制机制提供了新思路。路。返回返回27UCON 核心模型核心模型(也称也称 ABC 模型模型)包含三个基本元素包含三个基本元素:主体主体、客体、客体、权限限和三个与授和三个与授权有关的元素有关的元素:授授权、条件、条件、职责以及两个属性以及两个属性:主体属性主体属性、客体、客体属性属性,如如图 所所示。示。UCONUCON组组成部

27、分成部分返回返回28模型中各元素所代表的意模型中各元素所代表的意义为:(1)主体主体(Subjects):具有某些属性和具有某些属性和对客体操作客体操作权限的限的实体体;(2)主体属性主体属性 ATT(S)(Subject Attributes):主体能用于主体能用于授授权控制的属性控制的属性,包括身份、包括身份、角色、角色、安全安全级别、成成员资格等格等;(3)客体客体(Objects):主体能主体能够控制控制权限限,并能并能访问和控制和控制的的实体体;(4)客体属性客体属性 ATT(O)(Object Attributes):包括安全包括安全级别、所有者等所有者等,用于授用于授权控制控制;

28、UCONUCON组组成部分成部分返回返回29(5)权限限(Rights):主体主体拥有的有的对客体控制和客体控制和执行的一些行的一些特特权,可分成可分成许多功能多功能类,如如审计类、修改修改类等等;(6)授授权(Authorization Rules):允允许主体主体对客体客体进行行访问或使用前必或使用前必须满足的一个需求集。用于使用决策足的一个需求集。用于使用决策,检查主体是否有主体是否有资格格访问客体的决策因素客体的决策因素;(7)条件条件(Conditions):在使用授在使用授权规则进行授行授权过程中程中,允允许主体主体对客体客体进行行访问权限前必限前必须检验的一个决策的一个决策因素集。用来因素集。用来检查存在的限制存在的限制,使用使用权限是否有效限是否有效,哪哪些限制必些限制必须更新等更新等;(8)职责(Obligations):主体在主体在获得得对客体的客体的访问权限后限后必必须履行的履行的强制需求。分配了制需求。分配了权限限,就就应有有执行行这些些权限的限的责任。使用决定任。使用决定(Usage Decision)在在请求使用求使用资源源时作出授作出授权决定决定,该决定依决定依赖于主体属性于主体属性、客体、客体属性、属性、授授权、职责和条件。和条件。UCONUCON组组成部分成部分