[精选]第5章安全性控制技术7156.pptx

《[精选]第5章安全性控制技术7156.pptx》由会员分享，可在线阅读，更多相关《[精选]第5章安全性控制技术7156.pptx（42页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、DatabaseSecurity金培权（金培权（）第第5章章安全性控制技术安全性控制技术2DatabaseSecurity金培权（金培权（）Databasesprotectionn数据库保护：排除和防止各种对数据库的干扰破数据库保护：排除和防止各种对数据库的干扰破坏，确保数据安全可靠，以及在数据库遭到破坏坏，确保数据安全可靠，以及在数据库遭到破坏后尽快地恢复后尽快地恢复n数据库保护通过四个方面来实现数据库保护通过四个方面来实现数据库的恢复技术数据库的恢复技术Dealwithfailure并发控制技术并发控制技术Dealwithdatasharing完整性控制技术完整性控制技术Enablecon

2、straints安全性控制技术安全性控制技术Authorizationandauthentication3DatabaseSecurity金培权（金培权（）主要内容主要内容n数据库安全性控制概述数据库安全性控制概述n用户标识与鉴别用户标识与鉴别n存取控制存取控制n视图机制视图机制4DatabaseSecurity金培权（金培权（）一、数据库安全性控制概述一、数据库安全性控制概述n非法使用数据库的情况非法使用数据库的情况用户编写一段合法的程序绕过用户编写一段合法的程序绕过DBMS及其授权及其授权机制，通过操作系统直接存取、修改或备份数机制，通过操作系统直接存取、修改或备份数据库中的数据；据库中的

3、数据；直接或编写应用程序执行非授权操作；直接或编写应用程序执行非授权操作；通过多次合法查询从数据库中推导出一些保密通过多次合法查询从数据库中推导出一些保密数据数据5DatabaseSecurity金培权（金培权（）一、数据库安全性控制概述一、数据库安全性控制概述n例：某数据库应用系统禁止查询单个人的例：某数据库应用系统禁止查询单个人的工资，但允许查任意一组人的平均工资。工资，但允许查任意一组人的平均工资。用户甲想了解张三的工资，于是他：用户甲想了解张三的工资，于是他：首先查询包括张三在内的一组人的平均工资首先查询包括张三在内的一组人的平均工资然后查用自己替换张三后这组人的平均工资然后查用自己替

4、换张三后这组人的平均工资从而推导出张三的工资从而推导出张三的工资6DatabaseSecurity金培权（金培权（）一、数据库安全性控制概述一、数据库安全性控制概述n计算机系统中的安全模型计算机系统中的安全模型 应用应用DBMSOS DB 低低 高高安全性控制层次安全性控制层次 方法：方法：用户标识用户标识和鉴定和鉴定 存取控制存取控制审计审计视图视图 操作系统操作系统 安全保护安全保护 密码存储密码存储7DatabaseSecurity金培权（金培权（）一、数据库安全性控制概述一、数据库安全性控制概述n数据库安全性控制的常用方法数据库安全性控制的常用方法用户标识和鉴定用户标识和鉴定存取控制存

5、取控制视图视图审计审计密码存储密码存储8DatabaseSecurity金培权（金培权（）二、用户标识与鉴别二、用户标识与鉴别n用户标识与鉴别（用户标识与鉴别（Identification&Authentication）系统提供的最外层安全保护措施系统提供的最外层安全保护措施9DatabaseSecurity金培权（金培权（）1、用户标识与鉴别基本方法、用户标识与鉴别基本方法n系统提供一定的方式让用户标识自己的名系统提供一定的方式让用户标识自己的名字或身份；字或身份；n系统内部记录着所有合法用户的标识；系统内部记录着所有合法用户的标识；n每次用户要求进入系统时，由系统核对用每次用户要求进入系统

6、时，由系统核对用户提供的身份标识；户提供的身份标识；n通过鉴定后才提供系统使用权。通过鉴定后才提供系统使用权。n用户标识和鉴定可以重复多次用户标识和鉴定可以重复多次10DatabaseSecurity金培权（金培权（）2、用户标识自己的名字或身份、用户标识自己的名字或身份n用户名用户名/口令口令简单易行，容易被人窃取简单易行，容易被人窃取n每个用户预先约定好一个计算过程或者函每个用户预先约定好一个计算过程或者函数数系统提供一个随机数系统提供一个随机数用户根据自己预先约定的计算过程或者函数进用户根据自己预先约定的计算过程或者函数进行计算行计算系统根据用户计算结果是否正确鉴定用户身份系统根据用户计

7、算结果是否正确鉴定用户身份11DatabaseSecurity金培权（金培权（）三、存取控制三、存取控制n存取控制机制的功能存取控制机制的功能授权（授权（Authorization）对每个用户定义存取权限对每个用户定义存取权限验证（验证（Authentication）对于通过鉴定获得上机权的用户（即合法用户），对于通过鉴定获得上机权的用户（即合法用户），系统根据他的存取权限定义对他的各种操作请求进系统根据他的存取权限定义对他的各种操作请求进行控制，确保他只执行合法操作行控制，确保他只执行合法操作授权和验证机制一起组成了授权和验证机制一起组成了DBMS的安全子系的安全子系统统12Database

8、Security金培权（金培权（）三、存取控制三、存取控制n常用存取控制方法常用存取控制方法自主存取控制（自主存取控制（DiscretionaryAccessControl，简称，简称DAC）C2级级灵活灵活强制存取控制（强制存取控制（MandatoryAccessControl，简称，简称MAC）B1级级严格严格13DatabaseSecurity金培权（金培权（）1、自主存取控制方法、自主存取控制方法n同一用户对于不同的数据对象有不同的存同一用户对于不同的数据对象有不同的存取权限取权限n不同的用户对同一对象也有不同的权限不同的用户对同一对象也有不同的权限n用户还可将其拥有的存取权限转授给其

9、他用户还可将其拥有的存取权限转授给其他用户用户14DatabaseSecurity金培权（金培权（）（1）存取权限）存取权限n存取权限由两个要素组成存取权限由两个要素组成数据对象数据对象操作类型操作类型15DatabaseSecurity金培权（金培权（）（2）关系数据库系统中的存取权限）关系数据库系统中的存取权限16DatabaseSecurity金培权（金培权（）（2）关系数据库系统中的存取权限）关系数据库系统中的存取权限n关系数据库系统中的存取权限定义方法关系数据库系统中的存取权限定义方法GRANT/REVOKE/DENY17DatabaseSecurity金培权（金培权（）（3）授予权

10、限）授予权限nGRANTALL|statement,.n TOsecurity_account,.n nGRANTALLPRIVILEGES|permission,.n(column,.n)ONtable|view|ONtable|view(column,.n)|ONstored_procedure|extended_procedure|ONuser_defined_function TOsecurity_account,.n WITHGRANTOPTIONASgroup|role 语句权限语句权限对象权限对象权限18DatabaseSecurity金培权（金培权（）（3）授予权限）授予权限n

11、例子：授予语句权限例子：授予语句权限下面的示例给用户下面的示例给用户Mary和和John授予多个语授予多个语句权限。句权限。GRANTCREATE DATABASE,CREATE TABLETOMary,John授予全部语句权限给用户授予全部语句权限给用户RoseGRANTALLtoRose19DatabaseSecurity金培权（金培权（）（3）授予权限）授予权限n例子：授予对象权限例子：授予对象权限GRANTSELECT ON authorsTOpublicGRANTINSERT,UPDATE,DELETE ON authorsTOMary,John,Tom20DatabaseSecur

12、ity金培权（金培权（）（4）拒绝权限）拒绝权限n拒绝给当前数据库内的安全帐户授予权限拒绝给当前数据库内的安全帐户授予权限语句权限：语句权限：DENYALL|statement,.n TOsecurity_account,.n 对象权限：对象权限：DENYALLPRIVILEGES|permission,.n(column,.n)ONtable|view|ONtable|view(column,.n)|ONstored_procedure|extended_procedure|ONuser_defined_function TOsecurity_account,.n CASCADE21Data

13、baseSecurity金培权（金培权（）（4）拒绝权限）拒绝权限n例子：拒绝语句权限例子：拒绝语句权限下例对多个用户拒绝多个语句权限。用户不能下例对多个用户拒绝多个语句权限。用户不能使用使用CREATEDATABASE和和CREATETABLE语句语句DENYCREATE DATABASE,CREATE TABLETOMary,John对用户对用户Rose拒绝全部语句权限拒绝全部语句权限DENYALLtoRose22DatabaseSecurity金培权（金培权（）（4）拒绝权限）拒绝权限n例子：拒绝对象权限例子：拒绝对象权限DENYINSERT,UPDATE,DELETE ON autho

14、rsTOMary,John,Tom23DatabaseSecurity金培权（金培权（）（5）废除权限）废除权限n废除以前授予或拒绝的权限。废除以前授予或拒绝的权限。n废除类似于拒绝，但是，废除权限是删除废除类似于拒绝，但是，废除权限是删除已授予的权限，并不妨碍用户、组或角色已授予的权限，并不妨碍用户、组或角色从更高级别继承已授予的权限。因此，如从更高级别继承已授予的权限。因此，如果废除用户查看表的权限，不一定能防止果废除用户查看表的权限，不一定能防止用户查看该表，因为已将查看该表的权限用户查看该表，因为已将查看该表的权限授予了用户所属的角色。授予了用户所属的角色。n角色是权限的一个集合，可以

15、指派给用户角色是权限的一个集合，可以指派给用户或其它角色。这样只对角色进行权限设置或其它角色。这样只对角色进行权限设置便可以实现对多个用户权限的设置便可以实现对多个用户权限的设置24DatabaseSecurity金培权（金培权（）（5）废除权限）废除权限n举例：举例：DENY与与REVOKE区别区别从从HumanResources角色中删除角色中删除Employees表上表上的的SELECT访问权限将废除该权限，从而使访问权限将废除该权限，从而使HumanResources不能再使用该表。不能再使用该表。如果如果HumanResources是是Administration角色的角色的成员。如

16、果以后将成员。如果以后将Employees上的上的SELECT权限授权限授予了予了Administration，则，则HumanResources的成的成员可以通过员可以通过Administration中的成员资格看到该表。中的成员资格看到该表。但是，如果对但是，如果对HumanResources拒绝拒绝SELECT权限，权限，则即使以后向则即使以后向Administration授予权限，授予权限，HumanResources也不会继承该权限也不会继承该权限25DatabaseSecurity金培权（金培权（）（5）废除权限）废除权限n例子：例子：废除授予用户帐户的语句权限废除授予用户帐户的语

17、句权限下例废除已授予用户下例废除已授予用户Joe的的CREATETABLE权限。它删除了允许权限。它删除了允许Joe创建表的权创建表的权限。不过，如果已将限。不过，如果已将CREATETABLE权限权限授予给了包含授予给了包含Joe的任何角色，那么的任何角色，那么Joe仍仍可创建表。可创建表。REVOKECREATE TABLEFROMJoe26DatabaseSecurity金培权（金培权（）（5）废除权限）废除权限n例子：例子：废除授予多个用户帐户的多个权限废除授予多个用户帐户的多个权限下例废除授予多个用户的多个语句权限。下例废除授予多个用户的多个语句权限。REVOKECREATE TAB

18、LE,CREATE INDEXFROMMary,John27DatabaseSecurity金培权（金培权（）（5）废除权限）废除权限n例子：例子：废除拒绝的权限废除拒绝的权限用户用户Mary是是Budget角色的成员，已给该角角色的成员，已给该角色授予了对色授予了对Budget_Data表的表的SELECT权权限。已对限。已对Mary使用使用DENY语句以防止语句以防止Mary通过授予通过授予Budget角色的权限访问角色的权限访问Budget_Data表表下例删除对下例删除对Mary拒绝的权限，并通过适用于拒绝的权限，并通过适用于Budget角色的角色的SELECT权限，允许权限，允许Ma

19、ry对该表使用对该表使用SELECT语句。语句。REVOKESELECT ON Budget_DataTOMary28DatabaseSecurity金培权（金培权（）（6）权限验证）权限验证n对于通过鉴定后又进一步发出存取数据库对于通过鉴定后又进一步发出存取数据库操作的用户操作的用户DBMS查找数据字典，根据其存取权限对操作查找数据字典，根据其存取权限对操作的合法性进行检查的合法性进行检查若用户的操作请求超出了定义的权限，系统将若用户的操作请求超出了定义的权限，系统将拒绝执行此操作拒绝执行此操作29DatabaseSecurity金培权（金培权（）（7）授权粒度）授权粒度n授权粒度是指可以定

20、义的数据对象的范围授权粒度是指可以定义的数据对象的范围它是衡量授权机制是否灵活的一个重要指标它是衡量授权机制是否灵活的一个重要指标授权定义中数据对象的粒度越细，即可以定义授权定义中数据对象的粒度越细，即可以定义的数据对象的范围越小，授权子系统就越灵活。的数据对象的范围越小，授权子系统就越灵活。30DatabaseSecurity金培权（金培权（）（7）授权粒度）授权粒度n关系数据库中授权的数据对象粒度关系数据库中授权的数据对象粒度数据库数据库表表属性列属性列行行31DatabaseSecurity金培权（金培权（）（8）实现用户自定义的授权）实现用户自定义的授权n利用存取谓词利用存取谓词存取谓

21、词可以很复杂存取谓词可以很复杂可以引用系统变量，如终端设备号，系统时钟等，可以引用系统变量，如终端设备号，系统时钟等，实现与时间地点有关的存取权限，这样用户只能在实现与时间地点有关的存取权限，这样用户只能在某段时间内，某台终端上存取有关数据某段时间内，某台终端上存取有关数据32DatabaseSecurity金培权（金培权（）（8）实现用户自定义的授权）实现用户自定义的授权n例：规定例：规定“只能在周一到周五的上班时间只能在周一到周五的上班时间9:00-17:00之之间处理仓库数据间处理仓库数据”CREATETRIGGERsecure_ckON仓库仓库FORINSERT,DELETE,UPDA

22、TEASIFDATENAME(weekday,getdate()=星期六星期六ORDATENAME(weekday,getdate()=星期日星期日OR(convert(INT,DATENAME(hour,getdate()NOTBETWEEN9AND17)BEGINRAISERROR(只许在工作时间操作！只许在工作时间操作！,16,1)ROLLBACKTRANSACTIONEND33DatabaseSecurity金培权（金培权（）（9）自主存取控制小结）自主存取控制小结n定义存取权限定义存取权限用户用户n检查存取权限检查存取权限DBMSn授权粒度授权粒度数据对象粒度：数据库、表、属性列、行

23、数据对象粒度：数据库、表、属性列、行n优点优点能够通过授权机制有效地控制其他用户对敏感数据的存取能够通过授权机制有效地控制其他用户对敏感数据的存取n缺点缺点可能存在数据的可能存在数据的“无意泄露无意泄露”：低级别用户访问到保密数据：低级别用户访问到保密数据原因：这种机制仅仅通过对数据的存取权限来进行安全控制，而数原因：这种机制仅仅通过对数据的存取权限来进行安全控制，而数据本身并无安全性标记据本身并无安全性标记解决：对系统控制下的所有主客体实施强制存取控制策略解决：对系统控制下的所有主客体实施强制存取控制策略34DatabaseSecurity金培权（金培权（）2、强制存取控制方法、强制存取控制

24、方法n每一个数据对象被标以一定的密级每一个数据对象被标以一定的密级n每一个用户也被授予某一个级别的许可每一个用户也被授予某一个级别的许可n对于任意一个对象，只有具有合法许可的对于任意一个对象，只有具有合法许可的用户才可以存取用户才可以存取35DatabaseSecurity金培权（金培权（）（1）主体和客体）主体和客体n在在MAC中，中，DBMS所管理的全部实体被分为主所管理的全部实体被分为主体和客体两大类体和客体两大类n主体是系统中的活动实体主体是系统中的活动实体DBMS所管理的实际用户所管理的实际用户代表用户的各进程代表用户的各进程n客体是系统中的被动实体，是受主体操纵的客体是系统中的被动

25、实体，是受主体操纵的文件文件基本表基本表索引索引36DatabaseSecurity金培权（金培权（）（1）敏感度标记）敏感度标记n对于主体和客体，对于主体和客体，DBMS为它们每个实例（值）为它们每个实例（值）指派一个敏感度标记（指派一个敏感度标记（Label）主体的敏感度标记称为存取级主体的敏感度标记称为存取级(ClearanceLevel)客体的敏感度标记称为密级客体的敏感度标记称为密级(ClassificationLevel)n敏感度标记分成若干级别敏感度标记分成若干级别例如：绝密（例如：绝密（TopSecret）/机密（机密（Secret）/可信可信（Confidential）/公开

26、（公开（Public）nMAC机制就是通过机制就是通过对比主体的对比主体的Label和客体的和客体的Label，最终确定主体是否能够存取客体，最终确定主体是否能够存取客体37DatabaseSecurity金培权（金培权（）（2）强制存取控制规则）强制存取控制规则n当某一用户（或某一主体）以标记当某一用户（或某一主体）以标记label注注册入系统时，系统要求他对任何客体的存册入系统时，系统要求他对任何客体的存取必须遵循下面两条规则：取必须遵循下面两条规则：（1）仅当主体的存取级别大于或等于客体的密）仅当主体的存取级别大于或等于客体的密级时，该主体才能读取相应的客体；级时，该主体才能读取相应的客

27、体；（2）仅当主体的存取级别等于客体的密级时，）仅当主体的存取级别等于客体的密级时，该主体才能写相应的客体。该主体才能写相应的客体。38DatabaseSecurity金培权（金培权（）（3）强制存取控制方法特点）强制存取控制方法特点nMAC是对数据本身进行密级标记是对数据本身进行密级标记n无论数据如何复制，标记与数据是一个不无论数据如何复制，标记与数据是一个不可分的整体可分的整体n只有符合密级标记要求的用户才可以操纵只有符合密级标记要求的用户才可以操纵数据数据n从而提供了更高级别的安全性从而提供了更高级别的安全性39DatabaseSecurity金培权（金培权（）四、视图机制四、视图机制n

28、视图机制把要保密的数据对无权存取这些视图机制把要保密的数据对无权存取这些数据的用户隐藏起来，数据的用户隐藏起来，n视图机制更主要的功能在于提供数据独立视图机制更主要的功能在于提供数据独立性，其安全保护功能不够精细，往往远不性，其安全保护功能不够精细，往往远不能达到应用系统的要求能达到应用系统的要求n实际中，视图机制与授权机制配合使用实际中，视图机制与授权机制配合使用:首先用视图机制屏蔽掉一部分保密数据首先用视图机制屏蔽掉一部分保密数据视图上面再进一步定义存取权限视图上面再进一步定义存取权限间接实现了用户自定义的安全控制间接实现了用户自定义的安全控制40DatabaseSecurity金培权（金

29、培权（）四、视图机制四、视图机制n例：王平只能检索计算机系学生的信息例：王平只能检索计算机系学生的信息n先建立计算机系学生的视图先建立计算机系学生的视图CS_StudentCREATEVIEWCS_StudentASSELECTFROMStudentWHEREdept=CS；41DatabaseSecurity金培权（金培权（）四、视图机制四、视图机制n在视图上进一步定义存取权限在视图上进一步定义存取权限GRANTSELECT ON CS_StudentTO王平王平；42DatabaseSecurity金培权（金培权（）本章小结本章小结n数据库安全性控制概述数据库安全性控制概述n用户标识与鉴别用户标识与鉴别n存取控制存取控制n自主存取控制方法自主存取控制方法n强制存取控制方法强制存取控制方法n视图机制视图机制