（计算机软件与理论专业论文）rbac模型的研究及其在数据库访问控制中的应用.pdf

摘要 数据库系统中的访问控制是数据库安全的一个重要研究内容，基于角色的访问控制 ( r o l e - b a s e da c c e s sc o n t r 0 1 ) 熄目前理沦研究和应用研究中使用比较广泛的一种访 闻控制模型。本文主露对r b a c 9 6 模型家壤遵行了详鲴分褥，著在瑟墓凑。 ! 绘崮了一耪 扩展的r b a c 模型( e x t e n s i o nr b a c ) 。i ：r b a c 引入了强制访问控制特性和审计功能，在 角色授权过程中实现了强制访问控制特性，同时在基于角色的访问控制机制上增加了会 话、管理和对象审计。在软件工程学中，面向对象的分析和设计是比较流行的方法。对 e r b a c 系统使周绞一建溪语言( o n i f i e db l o d e l i n gl a n g u a g e ) 遴予亍蠹向霹象弱努橱耩建 模，；可以缩小理论穗型与应用系统研发之间的麓距。因此，本文又使用u m l 完成了对 e r b a c 的静态建模和动态建模过程。最后，在实际的工程项圈“黑龙江省防洪决策支持 系统”综合数据库子系统中，利用e r b a c 模型设计实现了数据库安全管理系统( d b s m s ) 。 在d b s m s 系统孛，主要结台蜃台o r a c l e s i 强大豹安全管璎褫澍，逶过；入楚色撬爨瘁 和强割访问控制特性，解决了o r a c le 8 i 系统中缺少角色约寐机制的不足，并提高了系 统的安全性能，较好土也实现了e r b a c 模型，达到了安全访问控制策略的标准。 本文所研究的内容对数据库安全中的访问控制具有普遍繇义，所实现的数据库两级 安全体系结构也是一耪逶爰酶数撬瘁安全解决方案，为政府、企事鲎荤位在信息化建设 中，剑建m i s d s s 等信息系统，具有广泛的研究意义和应瑙价值。 关键词 数据库安全；访问控制； 角色；e r b a o ；建模；约束规则 a b s t r a c t a c c e s sc o n t r o li sa ni m p o r t a n tr e s e a r c hd i r e c t i o no fd m a b a s es e c u r i t y , r o l e b a s e da c c e s sc o n t r o li s a na c c e s sc o n t r o lm o d e lt h a ti s w i d e l yt s e a r c h e di nt h e o r ya n da p p l i c a t i o n sf 1 0 v f ，t h i sp a p e rm a l n l y a n a l y s e sr b a c 9 6m o d e lf a m i l yi nd e t a i l 。a n db r i n g sf o r w a r dan e we x t e n d e dm o d e l e r b a ci nt h eb a s i s o f 啦em o d e l + e r b a ci n t r o d u c e sm a n d a t o r ya c c e s sc o n t r o lp r o p e r t ya n da u d i t 翔n c t i o n s m a n d a t o r ya c c e s s c o n t r o li sr e a l i s e di nt h ep r o c e d u r eo f a s s i g n i n gp e r m i s s i o n st or o l e ，a n dt h ea u d i to f s e s s i o n a d m i n i s t r a t i o n a n do b j e c ta r ea d d e di n mr o l e - b a s e da c c e s sc o n t r o m e d a n i s m si ns o l , r a r ee n g i n e e r i n g + o o aa n do o d a r ep o p u l a rm e t h o d so b j e c t ，o r i e n t e da n a l y z i n ga n dd e s i g n i n ge r b a cw i t hu m lr e d u c e sg a pb e t w e e n t h e o r ym o d e la n ds y s t e md e v e l o p m e n t s ot h es e c o n dw o r ki nt h i sp a p e ri se r b a cs t a t i ca n dd y n a m i c m o d e l i n gb a s i c l l y ，i nt h ee n d ，i np r o j e c to f h e i l o n g j i a n gp r o v i n c ep r e v e n t i n gf l o o dd e c i s i o ns u p p o r t s y s t e m ”g e n e r a ld a t a b a s es u b s y s t e m ，d a t a b a s es e c u r i t ym a n a g e m e n ts y s t e m ( a b b r d b s m s ) i sd e s i g n e d a n dd e v e l o p e dw i t he r b a c i nd b s m s ，t h ep r o b l e mo fl a c k i n go fr o l e sc o n s t r a i n t sm e c h a n i s mi ss o l v e d w i l hr o l e sr u l ed a t a b a s et 1 1 r o u g hi n t r o d u c i n gr o t er u l e sd a t a b a s ea n di m p r o v e ss e c u r i 每p e r f o r m a n c et h r o u g h a d d i n gm a n d a t o r ya c c e s sc o n t r o lp r o p e r t i si n b a s i so fo r a c t e 8 is e c u r i t ym a l l a g e m e n t , s or e a l i s ee r b a c m o d e l a n d a c h i e v e t h es t a n d a r do f a c c e s sc o n t r o lp o l i c y t h er e s e a r c hi nt h i sp a p e ri sg e n e r a la b o u ta c c e s sc o n t r o lo fd a t a b a s es e c u r i t y ，a n dt h ea r c h i t e c t u r eo f t w og r a d e sd a t a b a s es e c u r i t yi sag e n e r a lr e s o t v e n t 。i th a sw i d es i g n i f i c a n c e8 n da p p l i e dv a h l ei nm i s d s s a n dt h ep r o c e s so f g o v e r n m e n ta n do r g a n i s a t l o n si n f o r m a t i o nc o n s t r u c t i n g k e y w o r d s d a t a b a s es e c u r i t y ；a c c e s sc o n t r o l | ；r o l e ；e x t e n s i o r i - r b a c ；m o d e l i n g ；c o n s t r a i n tr o l e r b a c 摸型的研究段1 0 搓数据库游闽控制中的成川 0 前言 在信息佬遴程中，越来越多雏致麝、军事、企事业等单位为了提高鸯身豹警理、决 策和工作效率，创建了符合本单位工作需求与特性的m i s 、d s s 等系统。在这些信息系 统中，数据库是基磷。它存储了大量豹、帮时或历交静数霸信息，它们蒋是整个系统懿 重要资源。因此，后台数据库的访问控制问题将成为整个系统研发过程中非倦重要的一 环。 关于数据库安全控制，目前主要的解决方案有推导控制、访问控制和信息流控制。 在访问控制中，既要保证向授权用户提供可靠的信息或数据服务的同时，又爱拒绝非授 权用户对数据的存取访问清求。现有的安全访问模型有以下三秭： ( 1 ) 自主访问控制( d i s c r e t i o n a la c c e s sc o n t r 0 1 ) 囊主访闺控铡是客 本螅属主可以怼该客体进行叁主访问，同时也可以授权给其 也雳 户以及控制授权是否可以再次转让。落体在访问主体前，系统进行相应的授权检焱，以 控剩客体瓣访阉请求。d a c 兹最大阉越是浚少对信惑浚的控测。 ( 2 ) 强制访问控制( m a n d a t o r ya c c e s sc o n t r 0 1 ) 强帚l 访闷控帝l 罴出系统管联员配誊主体和窖体懿使用范畴及安全密缓，通过简单安 全j | ! l ! 则和星规则的强制检逛，达到对窖体访问控制的蹦的。该模型多用于安全级别要求 较商的系统， = i f 于安全策略过于严格，因此在菜些环境下币适合使用。 ( 3 ) 基于角色的访闯控制( r o l e - b a s e da c c e s sc o n t r 0 1 ) 基于角色的安全| 方问控制模型依据两个重要的安全原则，强化了对访问客体的安全 访阚控制，解决了具有大爨用户和权限分配的系统中餐理复杂性闯题，并且方便了用户 权限的变动。间时，r b a c 模型符合企业的层次组织结构，并且麒有角色约束特陡，有 裂_ 二在应用层实篷金业数的安全策略，也可良积d a c 竣m a c 耀融会，配翟不阉的安全簧 略。r b a c 是目前应用较为广泛的一种访问控制模型。 本文鑫勺选越背景是实际豹工程顼嚣黧龙漫省东剩厅防洪决策支持系统。该颈强 为大连理工大学计算机系和土木水利学院水资源与防洪研究所共同承担的黑龙江省重 点顼霹。防洪王程数据库共有1 8 类纂穑工程信怒，1 3 0 个蘩本表，约1 3 9 3 个字段，涉 及结构化数据和图像、音像资料等多种数搬格式，是防洪指挥决策支持系统的基础数据 库。它将服务予防洪指挥系统的防漠预报、灾情评信、会裔等，大应丽子系统，围此其 安全性将是整个系统的一个关键性问题。为给用户提供较高性能的数据库安全管理机制 及友好的用户界面，便于用户根据本单位自身的安全需求，实旋企业级的安全管理策略， 选撵了耳前流行的安全访闽控制模型r b a c 进行磷究与实践。 本文的音三要工作有以下几个方面： ( i ) 在r b a c 9 6 模型家族鲍磷究数麓礁上绘出了一耪扩展模型e r b a c 本文分析了基于角色的访问控制模型中r b a c 9 6 模型家族的主要特征，并且在角色 授投过程孛弓l 入了强镄访阀控裁跨性，在r b a c 篱理枧裁上将安全宰跨和模型褶结合， 给出了一种扩腿的r b a c 模型f r b a c ( e x t e n s i o nr o l e b a s e da c c e s sc o n t r 0 1 ) 。 ( 2 ) e p d 3 a c 模型的瑟向对象建模 为了缩短理论模型与实际的应用系统开发之间的蔗距，便于r b a c 系统行发过程的 圣! 垒! 堡型塑竺! ! 丝! ! 垒墼堡堡塑塑篓型! 塑竖旦 蕊菀亿，本文按照面向对象的分褫与设计技术葙统一。建模语言( u m i 。) ，使用可视纯的建 模工具r a t i o n a lr o s e 2 0 0 2 完成了对e r a b c 的静态和动态建模。 ( 3 ) 利用e r b a c 设计和开发数攒库安全管理系统( d b s m s ) 基于e r b a c 模型和实际的工程需求，通过将o r a l c e 的安全管理机制和应用程序相 融台，实褒了鍪于角色静两缀鼗蠢痒安全管理瓿割，其孛包螽应j ! l 程亭缀安全和数餐淳 系统级安全。 数据库安全管理子系统( d 3 s m s ) 是数据库系统缀安全的实现，它依据e r b a c 的重 要特征，在应用系统中实现了角色约束，解决了o r a c l e 系统安全管理本身缺少角色约 慕枧裁兹不足，嗣时奁惫色授季又过程中| 入了强裁访闷控裁特性，提毫了系统本身的安 全管理性熊。d b s m s 还将审汁功能引入应用系统，馒褥工程数据库的安全管理鞭加完善。 设计与实现黼级安全管理体系结构是一种通用的数掘库安全访问控制的解次方案，它已 在该项目中得到应用，并且也适用于其他的大中型信息系统，实现企业级的安全管理策 跨。 全文共分为豳章，第l 章是信惑系统中的数攥库安全，主要分缓了三静访阉控制模 型，当前数据库安全管理存在的问题以及常用的解决方案。第2 章是r b a c 9 6 及一种扩 展模型e r b a c ，在分析r b a c 9 6 模型家族的基础上给出了一种扩展的模型e r b a c 。第3 章 是统一建模语富与e r b a c 驰建模，主要介绍了u m l 翻e r b a c 的静态和动态建摸过程。第 4 章是d b s ! v l s 的设诗与实磷，详缨分缮了系统酶设谤、实嚣帮重黉特征。 r b a c 模型的研究及其牲数蜒蓐访目接划中妁蟛h 信息系统中的数据库安全 数据库安全是一个广阔的领域，从传统的备份与恢复，身份认证弓访魍控制，到 数据存贮和通信环节的加密等等，都属于数据库安全研究与应用的范畴。本章首先介绍 了数据库安全的发展历程，以及当前数据库所面临的各种威胁；第二节给出了数据库安 全款凡耱控刹，重点对比了三种访闻控制模瑟；第三、圈节翔纳了数据库安全管理的基 本原则，现确1 数据库安全餐理存在的超题以及常甥斡孵决方紧；媛焉给出了一套数撂库 安全等级的相关标准体系t c s e c t d i 。 1 1 数据库安全的进展与颇临的问题 1 1 1 数据库安全研究的发展历程 数据库系统作为存储和处理数据信息的中心，其中的数据量正与r 织增，因此数据 库的安全问题已_ 经成为数据库系统中的核心问题。 2 0 篷纪7 0 年代，操作系统安全作为一个研究领域的出现，其安全管理的机制为实 现数据瘴安全提供了基础。在孝爨当长懿一段时闻墨，数据瘁的安全主要是遥遂游闷控澍 机制实现的。8 0 年代后期，开始采用其他一些方法，例如支持数据库安全的分匆式 李= 系结构。迄今，在数据库安全模型| l f 勺研究上已经作了大量的工作，安全体系结构方面的 研究工作溺耐开始，安全机制上仍然保持着传统的机渤，未增加新的安全机制。9 0 年 伐以来，数据库安全主要二i ：= 俸溺绕着关系数据痒系统静访游控翻模型震歼，访控机制也 是应用最广且最为有效的安全控制策略。 数据库安全面临的工作主要有以下几个方两。：( 1 ) 避一步扩展d a c 的授权横型的 能力，并开发通用的描述安全策略的谱言，使得d a c 能够直接支持各种安全策略。( 2 ) r b a c 模型豹进一步研究和应蠲，充分发挥r b a c 的潜力，特剐是满足责任分离的原受u ( s e p e r a t i o no fd u t i e sp r i n c i p l e ) 。( 3 ) 提高d b m s 中豹授投算法静性能。( 4 ) 扩震 r d b m s 的授权管理模型使之适用于o o d b m s 。( 5 ) 数据摩的审计和龄控。 11 2 数据库安全面临的主要威胁 原涮上，凡是造成对数据库中存储数掰的非授权访问，都福于对数据库的安全造成 了黢黪残破坏。另一方帮，魁是泛常业务需要访闻数据淳对，令授权用户不能正常得到 数据库的数握服务时，也称之为对数据库的安全形成了赋胁或玻坏。对数据痒安全的畿 胁大致可以分为以下几类i “： 1 偶然的、无意的接触或修改d b m s 管理下的数据，具体包括以下几个方面： ( i ) 裔然的或意外的事敌，例如：土也震、水灾、火灾等等导致的硬件的破环，迸 r b a c 壤拦翡硝究及其巍簸姑瘴蠢瓣控涮中翡建塌 丽导致数据的破坏和损失。 ( 2 ) 硬件或软件的故障错误可能会导致系统内部的安全机制的失效，非法地访 闻数据，以及系统拒绝提供权限内的数据服务。 ( 3 ) 人为的失误操作或系统掰户豹错误僚用，可能产生的与故障类i l = i 的结粟。 2 ，蓄意魄侵犯或敌意款攻击 ( i ) 授权用户可能滥用他们的权限( p r i v i 】e g ea n da u t h o r i t y ) 。授权用户藿意 窃取或破坏信息，主要应当通过组织或制度等管理手段来解决。对于滥用权 隧莳问题，数据库管理系统中可以通过审汁功能来加以防范或监督。因此， 安全性较强憝d b m s 都设餐有较强的审讦功能， 乍为安全功能的强亿和补 充。 ( 2 ) 信息的非e 常扩敝一泄密。 ( 3 ) 由授权读取的数捕通过推论得到不应访问的数据。 ( 4 ) 对信息的菲乔常修改，包括徽坏数獭致性的菲法修改和删除。 ( 5 ) 致对方的攻击，内部藏外部的 隧曼投雳户从不同的粱道进行攻击。 ( 6 ) 敌对方对软件或硬件匏破坏。 ( 7 ) 绕过d b r s 直接对数据进行读写。 ( 8 ) 瘸毒、天窗。 ( 9 ) 邋过各种途径对d b m s 静j 下常工作进行干扰，使得合法用户在撬出数据请求 时，系统不熊随时提供数据鼹务。 1 1 3 数据库安全涉及的问题 数据库系统的安全问题主要榘中在数据共享问题上。数据库管理系统的功能和嗣标 就是为了提供信息和数据的若享，在向授权用户提供最佳服务的丽时，拒绝任何可疑的 j 法访闷请求，面且还要通过率计功能记录在案。数据库的安全主要涉及以下几个问题： l ，数据库的完墼性 数据库的完整。臣是指数据库的正确性与相窖性。首先，数据库管理系统提供完整性 的约束条件来保证数据库中的数据的正确性。其中包括：数据值的约束、数据结构的约 束、静态约束、动态约束和延迟约束簿。其次，由于数据库怒资源共享，必然存在并发 操作，焉且哥能会并发存取楮同瓣数据。霆就，数据库管理系统必须髓够对并笈事务加 以控制，保证数撼的致性、樱蜜性和数据库的完整性。 2 数据库的存取控制 保证数据库中数据的安全性，主要是依靠存取控制机制，即限制些用户使其只能 对数据库某些授权的予集进行存取或修改，同时也限蒯非法鞠户对觌据库的任何访问行 动，以免数据丢失或泄漏。 3 备份服务器 在个大型数据库( v l d b ) 中，对数据及同志的有效存储和装载可以确保用户管理 和操纵v l d b 。备份服务器一般完成对数据的连接备份，主要有联机备份、转储分解和 异地转储。 4 安全服务器 r b a c 模型的研究及其在数据库访问控制中的胞用 埘一些安全要求级别比较高的企业而言，安全服务器可以实现更强功能的安全管 理： ( 1 ) 符合标准符合n c s cb 1 级和i t s e cf 9 3 ( b 1 ) 级安全标准。 ( 2 ) 强化服务器安全性安全性在服务器被加强，从而消除在客户端加强的需要。 ( 3 ) 受控存取支持在同一数据库( 甚至在同一表) 内存储在许多不同安全级另4 卜的数据的受控存取，取消昂贵的数据冗余。 ( 4 ) 访问控制支持自主访问控制( d a c ) 和强制访问控制( m a c ) 。 ( 5 ) 审计和检测提供用户使用综合审计进行追踪的管理能力。 ( 6 ) 多级授权描述支持多级和单级用户。 5 数据库监听服务器 数据库监听服务器补充r d b m s 已有的安全功能，使企业可控制不同层次的审计和注 册安全性，实现登陆安全和多种层次的审计控制，并支持用户有效性验证和与场地有关 的加密算法。 1 2 数据库的几种安全控制 1 21 信息流控制 信息流控制的基本思想足d e n n i n g 在2 0 世纪7 0 年代后期提出的，其思路是列可访 问的对象之间流动的信息或信息流程加以监控和管理。所谓在对象x 和对象y 之间的信 息流程，是指由对象x 读取数据的值之后将该值写入对象y 的过程。信息流控制机制检 查信息流程，以保护信息不会被从保护级较高的对象传送到低保护级的对象中去。这个 过程可能是显式的( 拷贝过程) ，也可能是隐式的( 隐秘通道) 。 信息流控制机制要求对系统的所有元素、组成成分等都要加以划分类别和级别。 信息流技术分为动态的和静态的。所谓静态的信息流技术，是指对系统的状态机进 行的信息流分析，目的在于找出隐秘的不为系统所认可的信息通道，从而达到消除隐患， 提高系统整体安全指标。所谓动态的信息流技术，是指在系统运行之中通过一定的技术 措施和设施，对系统的运行本身加以监测，目的是找出异常的信息流，提供给系统安全 监督人员作为查出隐秘信息通道的手段。 12 2 推论控制 1 推论控制的基本概念 “推论”是指用户通过间接的方式获取本不该获取的数据或信息。所谓推论控制，其 目标就是防止用户通过问接的方式获取本不该获取的数据或信息，电即防范数据被窃 取。 ( 1 ) 推论途径 如果数据x 与数据y 之问存在某种函数关系：y - f ( x ) ，其中x 是该用户的授权存 r b a c 模型鞠硼艽获箕谯数据埠游闷控制中豹撕用 取的数弦壤合，剐浚用户即可通过灞爝f ( x ) 而取褥本无访阔授权的数据集合y 。上述 的由x 到达y 的联通就是个推论谂径。 ( 2 ) 间接存取访问 在数攥痒中主要是以有效存取涛阉语句中的条件形式进亏亍羽。如一个用户，对x 具有有效懿存敬访闰疆投，在萁鼗据存取语匈中可能获缮缝无投访闯交数键y 戆信 息，从而遴步通过推论获得数据y 。 s e l e c txf r o m1 7 lw h e r ey = v a l u e 查询关系t l 中符合y = v a l u e 的x ，无论取到的x 集合是甭为空，均可以推论出y 茨取壤壤况。 ( 3 ) 相关数据 相关数据是典型的推论途径。其中某用户可存墩访问的数据x 与该用厂，不可存取 访问的数据y 是语义相关的，结果遐该用户只要读敬了x 就可以推导出数据y 。 ( 4 ) 绞诗攫论 统计摊论是2 0 世纪8 0 年代初d e n n i n g ( 1 9 8 2 ) 开始研究麓。典型的离况是在统 计数据库中，个体数据魁不允许被泄漏的，只能观察统计数据。 2 。 控制统计推论的技术 ( 1 ) 数握撬动( d a t ap e r t u r b a t i o n ) 对需要避行统计浆敏感数据遗行加工，使箕蘸不彰响统谤结巢，又防 h 敏感数据 的丢失。 ( 2 ) 查询控制( q u e r yc o n t r 0 1 ) 对统计查询的控制魑比较成功的技术，它是蒸于对查询的记录数进行控制。查询 控鬣懿是建筑在霹连续若予个查诲熬结鞫嚣录鼗箨懿差翁鉴攘之+ i 二爨。 1 2 3 访问控制 任何一个具备一定安全往的系统至少应当具备鹰户标识和襄份鉴剐的莶本功能。在 此基础上，应用最广且也最为有效的安全控制机制就是访问控制。在数据库系统中，客 体主要为数据、表、记录、元组、字段簿；而用户、进程等就是存取动作的主体；访问 控制就是主体请求对客体避行访问时，系统根据主体( 进程) 的用户和组的标识符、安 全缀嗣帮蒋校，客体静安全缀剐、访润投陵，殴及襻漱访运夔检惫蕊爨，决寇楚孬允诲 主体对客体请求的存取访问方式( 读、写、删除、修改、增加记录等) 的访问。在访问 控制机制中，主要分为三大类：自主访问控制( i ) a c ) 、强制访问控制( m a c ) 和基于角 色的访问控制( r b a c ) 。 ( 1 ) 蠡主访露茬翻 d a c 的基础是系统承认客体是通过“拥有”与主体联系起来的，既然是某个主体 捌有这个容体，当然他也就具备了该客体的所有的访问权限，并目还可以把这些权限 的全部或一部分转让给其他的用户。每次主体对客体进行访问时，都要进行存取检查。 d a c 熬凝权蓑旗主黉有以下三耪： 一 集中簿理策略：只有某些特权用户具有对其他用户授予或撤销对客体的访闻权的 权利： r b a c 攘蟛翡饼完及其疆数据捧游瓣控制中翡i 、* 掰 基于拥有权的管理策略：只有客体的创建者具有对其他用户授予或擞镇对客， 本的 访问权的权利； j # 集中管理策略：在客体的吝莉有者的认可下，一些用户具有对其他用户授予藏撤 销对客体的访润权瓣权季i ； 自主谗闻控制模型中的典型代表是存取矩阵模型，这一模型在操 乍系统和数据库 管理系统中都可以使用。从一开始的理论探时到实际的系统，存取矩阵模型在安全模 墅的发展进程中占有特殊的罩程碑式的地位。存取矩阵模型是一个状态机模型，将系 统的安全状态籀述为一个大型的籍阵阵列；在此阵列中，行表示系统中的主体列表 示系统中的客体或主体。阵列麴每个单元中j ；囊入的鼗馕，表示主体对客体或其他主体 的访问方式。 ( 2 ) 强制访问控制 m a c 提供了客体在主体之问共享的控制。与d a c 不同的是，m a c 由系统或数掘库 管理员管理，更严格遗取决于系统据有者豹安全策略；d a c 虽然也是系统安全策略的 一部分，但d a c 主要是由客 本约翱有者管遐，系统安全警理人员原则上不于蹶授权的 传递与转让。客体的拥有者能够改变客体的d a c 方式，但不能改变客体的m a c 方式。 m a c 由b l p ( b e l l l ap a d u l a ) 模型发展而来的。主体和客体都被赋予安全级别， 安全级掰包含两个元素；密级和范围。主体的安全级别反映主体的可信度；客体的安 全级裂反映客体所含信息蕊敏感凄。 n a c 主要遵循艇个规则实藏访阅控制：a 。不准上读。主体不熊读取高安全缀的客 体。b 不准下写。主体不能将高安全级的察体写入低安全级的客体之中。m a c 基于安 全等级实现访问控制，能够防止特洛伊木马和隐秘通道的攻击。 强露l 访离控制模型中酌典翟代表燕b e l l l ap a d u a 模型，该筷型是发震最早的 模型之一，阉时也是迄令最受欢迎蛇模型之一。其核心愿怒是在系统中没箨多令安全 等级，闽时支持强制访问控制。 ( 3 ) 基于角色的访问控制 r b a c 楚由美国g e o r g em a s o n 大学的r a v is a n d h u 教授正式提出的，它提供了解 决具有大量鬟户、数据窖体纛权限分粼翡系统管毽复杂性的问题。f b a c 主要涉及会 话、用户、角色、净可等主要概念。它也是恩煎在大型蕊信息系统中，普遮采耀的一 种访问控制模型，用它可以实现d a c 或m a c 访阅控制策略。 r b a c 主要遵循的安全准则有最小特权原则和责任分离原则。在第2 章和第3 章 将给出r b a c 韵详细介绍，在此不荐赘述。 3 数据库安全管罐漂刘凝鬣有的瀚题 1 。31 数据库安全管理的基本原剐 一个强大的数据露安全系统应当确保其中信急的安全性并对其有效地控锎。下面列 举的是企事业单位在安全规划中实理褰户利益保障、繁略制订以及对信患瓷深的有效保 护应当遵循的几项原则： 一7 r b a c 艇型明碲 t 救在数据库涛啊姓制中始f 蛙州 1 、管理细分和委派原则在典型的数据库工作环境中，数据库管理员( d b a ) 总是 独立执行所有的管理和其它事务工作，一旦出现岗位交臀，将带来一连审问题和工作效 率钓低f 。邋过管理责任纲分和任务委滋，d b a 将得以二a 常蕊事务中解脱出来，而更多 地关注于艇决数据库执行效率以及管理甥关的羹要阉题，扶霖保证亵类 至务的高效完 成。企业应设法通过功能和可信赖的用户群进一步细分数据库管理的责任和角色。镣理 委派有助于灵活解决为员工耄设密码( 需要管理员权限) 这样的常见问题，或者让管理 员执行特殊部门( 如市场部或财务部) 的某些事务。 2 、最小特权舔赠许多薪的保密溉翻针对对特定数掰豁授权涛阉。企业警须本着“最 小特权原则”，从箨求和工 乍职能嚣方露严撂限制对数撂库的访阀权。道过角色( r o l e ) 的合理运用，最小特权可确保数据库功能限制和对特定数据的访问。 3 、帐号安全原则用户帐号对于每一个数据库联接来说都是必须的。帐号应遵循传 统的搿户裱号管瑾方法柬进行安全管理。这些方法包括：更改缺省密码；应用适当的密 码设置：当登录失败时实渣帐号镞定；对数攒提供有限铡的游闯权袋；禁止体躐状态扮 帐户，以及管理帐户魄生命周期等。 4 、有效的审计原则数据库审计是数据库安全的基本要求。企业应针对自己的应用 和数据库活动定义审计策略。审计并非一定要按“要么对所有目标，要么役有审计”的 粗救模式送行，拭这一点来看，替能审计鹩实现对安全管理意义重大，它不仅能节省时 蚓，面且熊减少执行赝涉及蛉范圈和对象：逶过努能限制同志大、，还熊突蹬更加关键 的安全事件。 1 3 2 现有数据库安全的常见问题及原因 虽然数据库安全的需求很明疆，但多数企事业荤位还是不愿在发生了无可挽回的事 件之前裁着手考虑和解决相关兹安全闯题，可能危及数据瘁安全的常觅困豢有以f 凡 弹； l 、脆弱的帐号设置在许多成熟的操作系统环境中，由于受企业安全策略或政府 规定的约束，数据库用户往往缺乏足够的安全设鼹。比如，缺省的用户帐号和密码对大 家鄢愚公开的，却没祓禁淆或修改以防止菲授权访问。用户暇号设置在缺乏旗子字典的 密码强度捡查和用户 隈号过嚣控肇l 的情况下，只能提供缀有限戆安全功戆。 2 、缺乏角色分离传统数据库管理并没有“安全管理员( s e c u r i t y a d m i n is t r a t o r ) ”这一角色，这就迫使数据库管瑗员( d b a ) 既要负责帐号的维护管理， 又爱专门对数据库执行性能和操作行为进行调试跟踪，从而导致管理效率低下。另外， 这也帮抟绕企事鼗管灌珲沧所倡导的“检查职能帮工作取能平衡”的原 l j 相悖。 3 、缺乏睾谤跟踪数据摩审毒_ 经常被d b a 以提高性憩或_ 节省磁盘空间为由忽视或 关闭，这大大降低了管理分析的可靠性和效力。审计跟踪对了解哪些用户行为导致某些 数据的产生至关重要，它将与数据直接相关的事件都记入日志，因此，对监视数据访问 和用户行为是嘏基本的管理手段。 4 、来剥耀翡数掇库安全特征为了实蜣个别应溺系统的安全丽忽视数撵淳安全是 很常见的事情。但是，这些安全撼旌只应用在客户端软 牛的周户土，其它诲多e 具，如 m ic r o s o f ta c c e s s 和已有的通过o b d c 或专有协议联接数据库的公用程序，它们都饶过 r b a c 模型的训究及其在数据库游问捧制巾的麻用 了应用层安全。因此，唯一可靠的安全功能都应照定在数据库系统内部。 1 4 主要的安全解决方案 i 。4 。 藏蹋程序级鳃安全实现 在应用程序级实现数据库安全主骤是通过在应用程序层的身份标识与龄别、访蒯控 制等技术来间接地保护厝台数据库中的数据信息“。在应用层可使j j 的技术有以卜几 种： ( 1 ) 身份标识与撩别( 验证) 在一个多用户的应用系统中，进而在一个开放的网络环境中，识别授权用j 、是 安全控制桃制中及其重要的一个环节，也是安全防线的第一个环节。 携；识( i d e n t i f i c a t i o n ) 是援震户向系绞高示垂身数襄份证鞠。竣麓单蕊实袋 方法邋输入u s e r l d 和p a s s w o r d 。而鉴别( a u t h e n t i c a t i o n ) 则是系统森验用户的 身份证明。身份验证是安全系统缀为重要且最困难的工作。u s e r i d 和p a s s w o r d 是 最常用和最方便的身份验证方法。但由于许多用户的口令设鼹问题，极翁被猜出。 霹此嚣令的管理也成为安全系统极为重要的一项工嫠。为应露系统用户设嚣口令， 可戳邋过数据库昀翔蜜枫制或离行编写革项触密函数对嗣令进行臻鬻，然后存放予 数据库中。其他更为安全的身份验证方法是次性口令技术、智能卡技术等。这些 方法通常需要特殊的软件和硬件设施。 ( 2 ) 存取访问控制 对应嚣程序靛各功麓模块( 袋一令其箨豹禁摹顼) 访溺投鑫遗行控铡。其中控 制方式分为主动访问控n s n 被动访问控制。主动访问控制就是系统根据用户所分配 的对某个模块不同的访问权限，在用户登录系统后，自动脬蔽该模块的访问，例如 菜单项的禁用与可用；被动控制怒在用户提出对某些资源或需要执行某项操作时， 系统被触发检查访麓控锈到表，絮实褒系统资源瓣诱窝控髑。 鼗攥痒翔密的疆豢 型i 璺! 鳖型望塑篓墨茎垄鏊兰堡妻塑篓塑主塑些望一 首先，索引项字段不麓加密。为了达至l 迅遮套淘静蓦雏，数德文侔需要建立一些 索引。不论是字典式的鳇词索引、b 树索引还是h a s h 函数索引等，它们的建立和应 用必须是明文状态，是否将失去索引的作用。其次，条件选择项必须是明文。d b m s 要组织和完成关系运算，参趣并、差、积、商、投影、选择和连接等操作的数据一般 帮要经过条馋筛选，这静“条彳孛”逡簿顼必须是筏文，否蠢，s q l 语句藏无法辩谈比 较。再者，数据模型规范化以后，数据库表之间存在着密切的联系，这种相关陛往往 是通过“外部编码”联系的，这些编码若加密也无法进行表与寝之间的连接运算。 5 数据瘁蜜全的摇关标准 从2 0 世纪7 0 年代初期，欧美等发达国家就玎始震视计算机系统的安全性问题。美 黧玻密在1 9 8 3 年发布了“可信计算瓤系统谔纷标壤( t c s e c ) ”接皮书；1 9 9 4 簪4 爱美 黼国家计算梳安全中心( n c s c ) 颁布了t d i ，即“可信计算移l 系统评估标准在数据库管 理系统的解释”。它将t c s e c 扩展到数据库管理系统。 t c s e c 中划安全系统的评价按照四个大类共七个镣级划定不同的安全级别，即d 、 e l 、c 2 、b l 、8 2 、b 3 、a i ，其中以a l 为媛毫级别，d 为最低级别。表卜l 中给出了各个 缀掰摹本定义髂内容。 畿卜1t c s e c t d i 安全等级 t a b1 1t c s e c t d i s e c u r i t yg r a d e 缀掰定义 a 1 b 3 b 2 转l c 2 c 1 d 殴计的形式化验证( v e r i f i e dd e s i g n ) 安全域( s e e u r it yd o m a i n s ) 继构化保护( s t r u c t u r a lp r o t e c t i o n ) 带标记麓安全绦护( l a b e l e ds e e u r i t yp r o t e c t i o n ) 受控制的存取僚护( c o n t r o l l e ds e c u r i t yp r o t e c t j o n ) 自主安全保护( d i s e r e t i o n a r ys e c u r i t yp r o t e c t i o n ) 最小保护( m i n i m a lp r o t e e t i o a ) 在上述等级中，c l 级只提供了非常初级的安全机制，现有的商业系统往往稍作改 造或根本不用改动即可满足其要求。c 2 级安全实际j 二是安全产晶的最低档次，有很多 商业产品已得到该级别的认证。b l 级别包括了强制存取控制以及审计等安全机制，它 熊够比较好遗满足大型企鼗蠛一般政府部门对于数攥鼹安全需求，这一级别通裳议为是 囊难意义上酶安全产舞。数攥库产品中b 2 级以上的稳关产晶还没有，b 2 以，巳的系统标 准更多地还处于理论研究阶段，产品化以至于商品化的程度都不离，其应用也多限于一 些特殊的部门如军队等等。我国华中科技大学研制的客户机服务器架构的达梦数据库系 统d m 3 具有强铡访闷控未l 的特性，且具有基于费色的访阔控制特性，满足b 1 缴黝要求， 该产晶还没有达到裔照讫蠡叠程凄。 在t c s e c 的评价准则中，b 级丌始就要求具有强制访问控制和形式化模型技术的应 1 1 r b a c 梗型的圳，驶儿衽数槲厍访问控制q j 的垭用 用，a 1 级更是对形式化的最高级描述和验证及形式化的隐秘通道分析等进行了要求。 可见，数据模型、形式化描述和验证技术在高安全级别的计算机系统的设计和实现中是 不可缺少的。 t d i 是t c s e c 标准体系在数据库管理系统方面的扩充和解释，t d i 不能独立成为一 个标准，需要联合t c s e c 作为参照。t d i 安全级别划分的说明见附录l 。 r b a c 模型的硪究援其靠：数据库访问控制中的出堋 2r b a 0 9 6 及一种扩展模型e r b a c 扶2 0 煎纪9 0 年代，对访闷控制模型静研究主要集中在基于角色的访问控制模型 ( r b a c ) 研究之上。1 9 9 6 年美国乔治梅森大学r a v is a n d h u 教授提出了r b a c 9 6 模型家 族，至i | 乏，对r b a c 静研究、应谣以及r b a c 模墅的扩震_ 歼始了大量静研究工作。2 0 0 1 年，美国国家标准技术研究所( n i s t ) 的d a v j df e r r a i o l o 和r a v is a n d h u 义提出了nt s t s t a n d a r dr b a c “”。本章孛所奔绥翡r b a c 模燮是疆r b a c 9 6 貘受家族为耩穑，翦三节主 要分析了r b a c 9 6 模型家族及相关概念，篇四节在r b a c 9 6 的基础上给出了一种扩展模型 e r b a c ( e x t e n s i o nr b a c ) 摸型；e r b a c 在角色授权过程中引入了强访阕控铡特性， 提高了模型本身的安全性能，并在管理机制上增加了审计功能，完善了r b a c 的安全管 理。本章最后余绍了r b a c 在且个大型d b m s 中的应爨及今蜃豹磺究发展方向。 2 ， r b a o 模型篙夯 基于角色的访问控制模型楚在用户和权限之间引入角色这个屡次，并且围绕着角色 这个薪的概念来实施访问摭制的蘸略。不同的角色和它所应具有的权限相联系，而用户 成为某些角色的成员，这样用户便获得了这些角色的权限。角色襁据实际单位或组织的 不同工作职责来划分，依据用户所承担的不同的权利和义务来授予相应的角色。对= 二一 个存在大量嗣户霸权限分酝静系统来说，觚大嚣豹焉户管簿转丽管理、操缀少登的角芭， 这样简化了权限分配管理，提高安全管理的效率和质量，并且能够直接反映企枣业单位 肉部安全警璞策臻帮管理模式。 目前提出的r b a c 模型类型有美国g e o r g em a s o nu n i v e r s i t yr a v is a n d h u 提出的 r b a c 9 6 模型，s q l 3r b a c 摸鍪，美鼙晷家标毽与技术两( n i s t ) 硐：究小缀的n i s tr b a c 模型，以及r b a c w e b 模型。这些模型为评价现有产品的有效性提供厂依据，也为软件丌 发者在寒来系绞孛实现r b a c 提供了准剿。在将来泌深入磷究露应用弱攘动下，原有援 型还将得到进一步的完善。在众多r b a c 模型中，最具代表性的是r b a c 9 6 模型家族。本 文所研究的就是r b a c 9 6 模型家族的关系、特性、形式化描述及翱关应测。 2 2r b a c 9 6 模型鼢程美概念 2 2 1 主要概念 ( 1 ) 用户( u s e r )主要是和巢个计算机系统交互的自然人。 ( 2 ) 角色( r o l e )反唆一令缀织虎郝一项具体懿1 e 俸职责，竣援予菜要孛蹙色的臻。 将具备一定的职权。在一次会话中，用户激活的角色集称为活跃角色集。 ( 3 ) 谗可( p e r m js s i o n ) 作为系统主体鲍人对喜体进行特定模式防闽的摄俦权爆。 一i3 - r b a c 模型的研究及其在数掘库访叫挣制中的应用 ( 4 ) 会话( s e s s i o n )一个用户和他所具有的角色集中活跃角色子集之间的映射关 系，具有动态特征。 ( 5 ) 角色层次( r o ! eh i e r a r c h y )角色之阔建立的一种编序关系。上层角色继承下 层角色的访问权限。 ( 6 ) 约束( c o n s t r a i n t ) 角色之间的一种关系。 ( 7 ) 管珲角色( a d m i n i s t r a t i v er o l e ) 一种所具有以下许可的角色：可以修改用 户、角色、许i ，j 集，或是修改糟户和许可的分配关系。 2 。2 。2 角色与用户组 在许多访闯控制型的系统中，是以愿户缱作为访阍控利的单位鳇。感户终霸甓色翰 最主要的区别在于：用户组是作为用户的一个集合来对待的，并不涉及它的授权许可： 而角色刚既是用户的集合，又是一个授权许可的集合。 在u n i x 系统中，厢户组在两个文件中加以定义，因此很容易判定一个用户属于哪 个缀，授权则是以缀为单位进行黪。系统中戆每令文件或霹录帮与这些缀建立访i 、蠢援权 管理，因此系统对每个用户都可以判定是否可以访问禁个文l 牛或垦录。由于授权是可以 传递的，因此当判定1 个许可是否授予了某个特定的组，需要遍历整个文件树；相对丽 言，判定一个用户缀的成员从璃关系要比判定许可的授权耍简单得多。 在存取控糕判表中，两者在概念上靛主要区爨为：熊色是表达缎织安全政策的