浅析数据库访问控制技术.doc

浅析数据库访问控制技术摘要主要讨论了3种数据库访问控制技术：自主访问控制(DAC)、强制访问控制(MAC)和基于角色访问控制(RBAC)。并对这3种技术进行了分析比较，认为RBAC模型比其他两种模型更具优越性，并探讨了数据库访问控制技术的进展。关键词访问控制技术 自主访问控制强制访问控制基于角色访问控制 中图分类号：TP309.2 文献标识码：A0 引言 数据库技术从60年代产生至今，已经得到了快速的发展。数据库系统具有强大的数据存储、数据处理和网络互联的能力，因此在许多领域有着广泛应用。数据库系统担负着日益艰巨的集中处理大量信息的任务，其安全问题日渐突出。本文主要讨论数据库安全技术中的访问控制技术。1 数据库安全概述数据库的安全性是指保证数据库信息的保密性、完整性、一致性、可用性和抗否认性1。其中保密性是指不允许未经授权的用户存取、修改信息，只允许被授权的用户对数据进行操作。完整性是指保护数据库中的数据不被破坏、修改或删除。一致性指确保数据库中的数据满足实体完整性、参照完整性和用户定义完整性要求。可用性即指数据库中的数据不因人为或自然的原因拒绝已授权的用户对数据进行存取和访问。抗否认性是保证用户事后无法否认对数据库进行的一系列访问、修改、查询等操作，便于事后分析调查。数据库的安全控制技术主要有信息流向控制、推导控制、访问控制，其中应用最广且最为有效的是访问控制技术。访问控制(Access Control)就是通过某种途径显式地准许或限制访问能力及范围，这样就可以限制对关键资源的访问，防止非法用户的侵入或者合法用户的不慎操作所造成的破坏。访问控制技术保证了用户在对数据库操作之前必须先经过授权，是数据保护的前沿屏障。数据库访问控制的基本原理是控制用户和程序对数据库的操作。只有经识别的被允许的用户才有生成、删除和修改信息的权利，对进入数据库的用户，通过不同的权限控制其对数据的操作。访问控制限制了数据库系统中的主体对客体的存取访问权限，以确保系统已经授权的用户只能访问经过授权的数据库中的数据信息，从而防止了非授权用户对数据的访问。数据库系统安全访问控制技术的研究工作主要分为三类：自主访问控制DAC (Discretionary Access Contro1)、强制访问控制MAC (Mandatory Access Contro1)和基于角色的访问控制RBAC (Role-Based Access Contro1)。本文将从DAC、MAC和RBAC这三种机制来讨论数据库的访问控制技术。2 数据库访问控制技术2.1自主访问控制 (DAC)DAC最早在20世纪60年代末期出现，它是根据主体身份或者主体所属组的身份或者二者的结合，对客体访问进行限制的一种方法，其粒度是单个用户。当主体具有某种访问权，同时又拥有将该权限授予其他用户的权利时，他能够自行决定将其访问权直接或间接地转授给其他主体。在自主型存取控制技术中，系统用户对数据信息的存取控制主要是基于对用户身份的鉴别和存取访问规则的确定。当用户申请以某种方式存取某个资源时，系统就对其进行合法身份性检查，来判断该用户有无此项操作权限，以决定是否允许该用户继续操作。并且，对某个信息资源拥有某种级别权限的用户可以把其所拥有的该级别权限授予其他用户。也就是说，系统授权的用户可以选择其他用户一起来共享其所拥有的客体资源。一般自主型存取控制将整个系统的用户授权状态表示为一个授权存取矩阵。当用户要执行某项操作时，系统就根据用户的请求与系统的授权存取矩阵进行匹配比较，通过则允许该用户的请求，对其提供可靠的数据存取方式，否则拒绝该用户的任何访问请求。2.2 强制访问控制(MAC) MAC最早出现在20世纪70年代，在80年代得到普遍应用，其理论基础是Bell-LaPadula模型2。它的基本思想是通过给主体(用户)和客体(数据对象)指定安全级，并根据安全级匹配规则来确定某主体是否被准许访问某客体。安全级包括两个元素：密级(Classification)和范围(Categories)。主体的安全级反映主体的可信度，客体的安全级反映客体的敏感度。MAC主要采用以下规则分别保证信息的机密性和完整性。为了保证信息的机密性，要求：(1)无上读，主体仅能读取安全级别受此主体安全级别支配的客体的信息；(2)无下写，主体仅能向安全级别支配此主体安全级别的客体写信息。上述规则保证了信息的单向流动。在强制访问控制下，数据库系统给所有主体和客体分配了不同级别的安全属性，形成了完整的系统授权状态。而且，该授权状态一般情况下不能被改变，这是强制型存取控制模型与自主型存取控制模型实质性的区别。一般用户或程序不能修改系统安全授权状态，只有特定的系统权限管理员才能根据系统实际的需要来有效地修改系统的授权状态，以保证数据库系统的安全性能。强制型存取控制系统主要通过对主体和客体的已分配的安全属性进行匹配判断，决定主体是否有权对客体进行进一步的访问操作。在关系数据库中，运用强制访问控制策略可以实现信息的分析分类管理。这样，具有不同安全级别的用户只能对其授权范围内的数据进行存取，同时也保证了敏感数据不泄漏给非授权用户，防止了非法用户的访问。因而，提高了数据的安全性。2.3 基于角色的访问控制(RBAC)RBAC流行于20世纪90年代。RBAC中涉及的基本元素包括用户(User)、角色(Role)、访问权(Permission)和会话(Sessions) 3。其模型见图1。角色是一组用户和一组操作权限的集合，角色中所属的用户可以有权执行这些操作权限。用户与角色间是多对多的关系，角色与访问许可权之间也是多对多关系。当用户登录到RBAC系统时会得到一个会话，这个会话可能激活的角色是该用户全部角色的一个子集。角色可以根据实际的工作需要生成或取消，而且用户也可以根据自己的需要动态激活自己拥有的角色，这样就避免了用户无意间对系统安全的危害，而且容易实施最小特权原则。由于数据库应用层的角色的逻辑意义更为明显和直接，因此RBAC非常适用于数据库应用层的安全模型。图1RBAC模型迄今主要有以下几种数据库RBAC模型4：A、基本模型RBAC0。该模型指明用户、角色、访问权限和数据库中会话之间的关系。B、层次模型RBAC1。RBAC1在RBAC0的基础上加入了角色继承关系，并提出了公有角色和私有角色的概念。该模型是偏序的，上层角色继承下层角色的访问权。C、约束模型RBAC2。该模型除包含RBAC0的所有基本特性外，还增加了对RBAC0的所有元素的约束检查，只有拥有有效的元素才可以被接受。它加入了各种用户与角色之间、权限与角色之间以及角色与角色之间的约束关系，包括角色互斥、角色最大成员数、前提权限、前提角色等。D、层次约束模型RBAC3。该模型是对RBAC1和RBAC2的集成，兼有两者的共同内容。3 三种访问控制技术比较自主型存取控制DAC，一般比较灵活、易用，适用于许多不同领域。目前， DAC已经被广泛应用到各种商业和工业环境。但是，这种控制技术的缺点也是十分明显的，它不能提供一个确实可靠的保证，来满足用户对于数据库的保护要求。由于在这种控制技术中，系统的授权存取矩阵可以被普通用户自主地修改，故系统初始授权定义的存取控制权限极易被旁路。因此必将给数据库系统造成极大的安全隐患。再者，DAC有其致命弱点：访问权限的授予是可以传递的。一旦访问权限被传递出去将难以控制，访问权限的管理相当困难，会带来严重的安全问题；在大型系统中开销巨大，效率低下； DAC不保护客体产生的副本，增加了管理难度。在安全强度要求较高的数据库系统中必须采用强制型存取控制技术，以保证数据信息的安全性。强制存取控制技术MAC中，系统对每个主体和每个客体均指定或授权一个安全存取属性，只有合法用户才能存取相应的客体，可以有效地防范特洛伊木马程序的恶意攻击。换言之，主体对客体的访问操作，不但要受自身的安全属性限制，还要受客体安全属性的严格限制。MAC的缺点也很明显：系统的灵活性差。虽然机密性得到增强，但不能实施完整性控制，不利于在商业系统中的运用；并且它必须保证系统中不存在逆向潜信道，而在现代计算机中是难以去除的，如各种Cache等。RBAC实现了用户与权限的关联同时也实现了用户与权限的逻辑分离5。对于一个存在大量用户和权限分配的系统来说，从大量的用户管理转为管理、操纵少量的角色，这样简化了权限分配管理，提高了安全管理的效率和质量，并且能够直接反映企事业单位的内部安全管理策略和管理模式。RBAC模型可以有效表达和巩固特定事务的安全策略，有效缓解传统安全管理处理的瓶颈问题。在RBAC模型中，将若干特定的用户集合和某种授权连接在一起。这样的授权管理与个体授权相比具有强大的可操作性和可管理性，因为角色的变动远远少于个体的变动。通过引入RBAC技术，大大简化了授权管理，用户可以轻松地进行角色转换。因而，与前两种访问控制技术相比，RBAC更具优越性。4 访问控制技术进展数据库访问控制技术作为信息安全的重要组成部分，对系统的安全运行提供了重要的保障。DAC、MAC和RBAC这几种访问控制技术在各行各业都得到了很好的应用。现在人们的研究主要集中在：修改DAC和MAC模型中的一些缺点，使其具有更高的安全性和灵活性；或者对RBAC进行某些改进，在RBAC基础之上新一代的访问控制技术主要有以下两类：1. 使用控制(UCON)。UCON集合了传统的访问控制、可信管理以及数字权力管理，用系统的方式提供了一个保护数字资源的统一标准的框架，为下一代访问控制机制提供了新思路。2. 细粒度的基于角色的访问控制模型6（FGRABC：Fine- Grained Role Based Access Cont