數(shù)據(jù)庫的訪問控制(復(fù)習(xí))

1

第四章數(shù)據(jù)庫的訪問控制2本章概要4.1訪問控制策略概述4.2

自主訪問控制4.3強(qiáng)制訪問控制4.4多級(jí)安全訪問控制4.5基于角色的訪問控制4.5安全數(shù)據(jù)視圖模型4.6賈讓第-沙胡模型4.7RBAC96模型34.1訪問控制策略概述在數(shù)據(jù)庫中，訪問控制可以分為大類：（1）基于能力的訪問控制：以訪問主體為判斷對(duì)象實(shí)現(xiàn)訪問控制。訪問主體能力列表中的一個(gè)元素表示為一個(gè)二元組（o,a）,其中o表示資源客體，a表示一種訪問控制方式。（2）基于訪問控制列表的訪問控制：以資源客體為判斷對(duì)象實(shí)現(xiàn)訪問控制。資源客體訪問控制列表中的一個(gè)元素表示為一個(gè)二元組（s,a）,其中s表示訪問主體，a表示一種訪問控制方式。44.1訪問控制策略概述4.1.1自主訪問控制概述自主訪問控制是一種最為普遍的訪問控制手段，用戶可以按自己的意愿對(duì)系統(tǒng)的參數(shù)做適當(dāng)修改以決定哪些用戶可以訪問他們的資源，亦即一個(gè)用戶可以有選擇地與其它用戶共享他的資源。用戶有自主的決定權(quán)。

54.1.2強(qiáng)制訪問控制概述強(qiáng)制訪問控制是指主體與客體都有一個(gè)固定的安全屬性。系統(tǒng)通過檢查主體和客體的安全屬性匹配與否來決定一個(gè)主體是否可以訪問某個(gè)客體資源。安全屬性是強(qiáng)制性的規(guī)定，它是由安全管理員，或者是操作系統(tǒng)根據(jù)限定的規(guī)則確定的，用戶或用戶的程序不能加以修改。6

如果系統(tǒng)認(rèn)為具有某一個(gè)安全屬性的主體不適于訪問某個(gè)資源，那么任何人（包括資源的擁有者）都無法使該主體具有訪問該文件的權(quán)力。強(qiáng)制安全訪問控制可以避免和防止大多數(shù)數(shù)據(jù)庫有意或無意的侵害，因此在數(shù)據(jù)庫管理系統(tǒng)中有很大的應(yīng)用價(jià)值。

74.1.3基于角色的訪問控制概述基于角色訪問控制（RBAC）模型是目前國際上流行的先進(jìn)的安全訪問控制方法。它通過分配和取消角色來完成用戶權(quán)限的授予和取消，并且提供角色分配規(guī)則。安全管理人員根據(jù)需要定義各種角色，并設(shè)置合適的訪問權(quán)限，而用戶根據(jù)其責(zé)任和資歷再被指派為不同的角色。這樣，整個(gè)訪問控制過程就分成兩個(gè)部分，即訪問權(quán)限與角色相關(guān)聯(lián)，角色再與用戶關(guān)聯(lián)，從而實(shí)現(xiàn)了用戶與訪問權(quán)限的邏輯分離。84.2自主訪問控制自主訪問控制基于自主策略管理主體對(duì)數(shù)據(jù)的訪問，主要機(jī)制包括基于主體的標(biāo)識(shí)和授權(quán)規(guī)則。這些規(guī)則是自主的，即它們?cè)试S主體將數(shù)據(jù)權(quán)限授予其他主體。自主訪問控制的一個(gè)重要方面是與授權(quán)管理策略密切相關(guān)。所謂授權(quán)管理，是指授權(quán)和撤消授權(quán)的功能。

9訪問控制矩陣模型利用矩陣A表示系統(tǒng)中主體、客體和每個(gè)主體對(duì)每個(gè)客體所擁有權(quán)限之間的關(guān)系。任何訪問控制策略最終均可被模型化為訪問矩陣形式：一行表示一個(gè)主體的能力列表，一列表示一個(gè)客體的訪問控制列表。每個(gè)矩陣元素規(guī)定了相應(yīng)的主體對(duì)應(yīng)于相應(yīng)的客體被準(zhǔn)予的訪問許可、實(shí)施行為。10表1訪問控制矩陣O1O2S1讀讀、寫S2讀、寫-A[S1,O1]=“讀”，表示主體S1對(duì)客體O1有讀權(quán)限。其余類推。114.3強(qiáng)制訪問控制為系統(tǒng)中每個(gè)主體和客體標(biāo)出不同安全等級(jí)，這些安全等級(jí)由系統(tǒng)控制，不能隨意更改。根據(jù)主體和客體的級(jí)別標(biāo)記來決定訪問模式。如絕密級(jí)，機(jī)密級(jí)，秘密級(jí)，無密級(jí)等。在軍隊(duì)中經(jīng)常應(yīng)用，支持多級(jí)安全考慮到偏序關(guān)系，主體對(duì)客體的訪問主要有四種方式：（1）向下讀（rd，readdown）：主體安全級(jí)別高于客體信息資源的安全級(jí)別時(shí)允許的讀操作；（2）向上讀（ru，readup）：主體安全級(jí)別低于客體信息資源的安全級(jí)別時(shí)允許的讀操作；12（3）向下寫（wd，writedown）：主體安全級(jí)別高于客體信息資源的安全級(jí)別時(shí)允許執(zhí)行的動(dòng)作或是寫操作；（4）向上寫（wu，writeup）：主體安全級(jí)別低于客體信息資源的安全級(jí)別時(shí)允許執(zhí)行的動(dòng)作或是寫操作。其訪問控制關(guān)系可分為：下讀/上寫和上讀/下寫，分別進(jìn)行機(jī)密性控制和完整性控制通過安全標(biāo)簽實(shí)現(xiàn)單向信息流通模式。134.4多級(jí)安全訪問控制模型在關(guān)系型數(shù)據(jù)庫中應(yīng)用MAC策略首先需要擴(kuò)展關(guān)系模型自身的定義。因此提出了多級(jí)關(guān)系模型（MultilevelRelationalModel）。多級(jí)關(guān)系的本質(zhì)特性是不同的元組具有不同的訪問等級(jí)。關(guān)系被分割成不同的安全區(qū)，每個(gè)安全區(qū)對(duì)應(yīng)一個(gè)訪問等級(jí)。一個(gè)訪問等級(jí)為c的安全區(qū)包含所有訪問等級(jí)為c的元組。一個(gè)訪問等級(jí)為c的主體能讀取所有訪問等級(jí)小于等于c的安全區(qū)中的所有元組，這樣的元組集合構(gòu)成訪問等級(jí)c的多級(jí)關(guān)系視圖。類似地，一個(gè)訪問等級(jí)為c的主體能寫所有訪問等級(jí)大于或等于c的安全區(qū)中的元組。144.6賈讓第-沙胡模型是一種用于關(guān)系數(shù)據(jù)庫的多級(jí)安全數(shù)據(jù)模型。該模型采用與BLP模型相同的安全等級(jí)。1、多級(jí)關(guān)系的定義模型在標(biāo)準(zhǔn)關(guān)系模型中引入了安全等級(jí)標(biāo)簽，將一個(gè)擴(kuò)展的包括安全等級(jí)關(guān)系稱為多級(jí)關(guān)系，多級(jí)關(guān)系由以下兩部分構(gòu)成：(1)一個(gè)獨(dú)立于狀態(tài)的多級(jí)關(guān)系模型R(A1,C1,A2,C2,…,An,Cn,TC).其中Ai是定義在域Di上的屬性，每個(gè)Ci是Ai的安全等級(jí)，TC是元組安全等級(jí)。Ci的域是一個(gè)由[Li,Hi]描述的范圍，是訪問等級(jí)下界Li到訪問等級(jí)上界Hi的子格。TC域也是一個(gè)范圍，其下界和上界分別等于屬性的安全等級(jí)域的下界和上界的最小上界。4.6.1多級(jí)關(guān)系模型15(1)一個(gè)依賴于狀態(tài)的關(guān)系實(shí)例集合Rc(A1,C1,…,An,Cn,TC)。在給定的格中，對(duì)每個(gè)訪問等級(jí)c，具有一個(gè)關(guān)系實(shí)例。每個(gè)實(shí)例是形如(a1,c1,…,an,cn,tn)的元組集合。其中每個(gè)元素ai或者是域Di中的一個(gè)值，或者是Null。每個(gè)ci是小于c的特定范圍的一個(gè)值。Tc是元組中屬性訪問等級(jí)的最小上界。姓名C1部門C2工資C3TC鮑華S生產(chǎn)S1000SS安林S情報(bào)S2000TSTS趙明TS情報(bào)TS3000TSTS表3職工的一個(gè)多級(jí)關(guān)系16姓名C1部門C2工資C3TC鮑華S生產(chǎn)S1000SS安林S情報(bào)S-SS表4職工關(guān)系的S級(jí)和TS級(jí)實(shí)例姓名C1部門C2工資C3TC鮑華S生產(chǎn)S1000SS安林S情報(bào)S2000TSTS趙明TS情報(bào)TS3000TSTS職工關(guān)系的S實(shí)例職工關(guān)系的TS實(shí)例一個(gè)應(yīng)用實(shí)例（復(fù)習(xí)）在銀行環(huán)境中，用戶角色可以定義為出納員、分行管理者、顧客、系統(tǒng)管理員和審計(jì)員，訪問控制策略的一個(gè)例子如下：（1）允許一個(gè)出納員修改顧客的帳號(hào)記錄（包括存款和取款、轉(zhuǎn)帳等信息），并允許查詢所有帳號(hào)的注冊(cè)項(xiàng)（2）允許一個(gè)分行管理者修改顧客的帳號(hào)記錄（包括存款和取款，但不包括規(guī)定的資金數(shù)目的范圍）并允許查詢所有帳號(hào)的注冊(cè)項(xiàng)，也允許創(chuàng)建和終止帳號(hào)（3）允許一個(gè)顧客只詢問他自己的帳號(hào)的注冊(cè)項(xiàng)（4）允許系統(tǒng)管理員詢問系統(tǒng)的注冊(cè)項(xiàng)和開關(guān)系統(tǒng)，但不允許讀或修改用戶的帳號(hào)信息（5）允許一個(gè)審計(jì)員讀系統(tǒng)中的任何數(shù)據(jù)，但不允許修改任何事情。181.定義角色CREATEROLET1，G1

，M1，S1,P1說明：T1：出納員G1：分行管理者P1：顧客M1：系統(tǒng)管理員S1：審計(jì)員（1）GRANTupdatetable帳號(hào)，

selecttable帳號(hào)（注冊(cè)號(hào)）TOT1（2）GRANTupdatetable帳號(hào)，

selecttable帳號(hào)，inserttable帳號(hào)（注冊(cè)號(hào)），deleted帳號(hào)（注冊(cè)號(hào)）TOG1（3）GRANTselecttable帳號(hào)setcheck帳號(hào)toP1，

（4）GRANTcreatetable帳號(hào)，opendatabasetoM1

Denyselecttable帳號(hào)TOM1（5）GRANTselecttable帳號(hào)TOS1DENYupdatetable帳號(hào)toS1192.授予權(quán)限3訪問控制矩陣20readwritecreateT1帳號(hào)（注冊(cè)號(hào)）帳號(hào)（注冊(cè)號(hào)）---------G1--------帳號(hào)---------P1帳號(hào)------------------M1---------------------allS1帳號(hào)----------------------21本章小結(jié)本章討論了目前數(shù)據(jù)庫領(lǐng)域所使用的訪問控制模型。自主訪問控制模型控制用戶訪問的機(jī)制是用戶鑒別和用戶自定義的訪問規(guī)則。該模型的特點(diǎn)在于靈活性強(qiáng)、適用性廣。但無法對(duì)主體的權(quán)限傳播加以控制。因此，用戶可能未經(jīng)授權(quán)而得到不應(yīng)得到的數(shù)據(jù)。強(qiáng)制訪問控制模型提供了基于標(biāo)簽的安全認(rèn)證，適用于用戶和客體具有多種安全等級(jí)的應(yīng)用環(huán)境。該模型基于安全標(biāo)簽的讀寫策略使得數(shù)據(jù)庫管理系統(tǒng)能夠跟蹤數(shù)據(jù)的流動(dòng)，因而可以為木馬程序問題提