《数据库访问控制》PPT课件.ppt

1、1,第二章 数据库的访问控制,2,本 章 概 要,2.1 访问控制策略概述 2.2 自主访问控制 2.3 强制访问控制 2.4 多级安全访问控制模型 2.5 基于角色的访问控制 2.6 访问控制新技术UCON,3,2.1 访问控制策略概述,在数据库中，访问控制可以分为两大类： （1）基于能力的访问控制：以访问主体为判断对象实现访问控制。访问主体能力列表中的一个元素表示为一个二元组（o,a）,其中o表示资源客体，a表示一种访问控制方式。 （2）基于访问控制列表的访问控制：以资源客体为判断对象实现访问控制。资源客体访问控制列表中的一个元素表示为一个二元组（s,a）,其中s表示访问主体，a表示一种访

2、问控制方式。,4,2.1 访问控制策略概述,2.1.1 自主访问控制概述 自主访问控制是一种最为普遍的访问控制手段，用户可以按自己的意愿对系统的参数做适当修改以决定哪些用户可以访问他们的资源，亦即一个用户可以有选择地与其它用户共享他的资源。用户有自主的决定权。,5,自主访问控制模型中，用户对信息的控制基于对用户的鉴别和访问规则的确定。它基于对主体及主体所属的主体组的识别，来限制对客体的访问，还要校验主体对客体的访问请求是否符合存取控制规定来决定对客体访问的执行与否。这里所谓的自主访问控制是指主体可以自主地（也可能是单位方式）将访问权，或访问权的某个子集授予其它主体。,6,2.1.2 强制访问控

3、制概述 强制访问控制是指主体与客体都有一个固定的安全属性。系统通过检查主体和客体的安全属性匹配与否来决定一个主体是否可以访问某个客体资源。安全属性是强制性的规定，它是由安全管理员，或者是操作系统根据限定的规则确定的，用户或用户的程序不能加以修改。,7,如果系统认为具有某一个安全属性的主体不适于访问某个资源，那么任何人（包括资源的拥有者）都无法使该主体具有访问该文件的权力。 强制安全访问控制可以避免和防止大多数数据库有意或无意的侵害，因此在数据库管理系统中有很大的应用价值。,8,2.1.3 基于角色的访问控制概述 基于角色访问控制（RBAC）模型是目前国际上流行的先进的安全访问控制方法。它通过分

4、配和取消角色来完成用户权限的授予和取消，并且提供角色分配规则。安全管理人员根据需要定义各种角色，并设置合适的访问权限，而用户根据其责任和资历再被指派为不同的角色。这样，整个访问控制过程就分成两个部分，即访问权限与角色相关联，角色再与用户关联，从而实现了用户与访问权限的逻辑分离。,9,2.2 自主访问控制,自主访问控制基于自主策略管理主体对数据的访问，主要机制包括基于主体的标识和授权规则。这些规则是自主的，即它们允许主体将数据权限授予其他主体。 自主访问控制的一个重要方面是与授权管理策略密切相关。所谓授权管理，是指授权和撤消授权的功能。,10,访问控制矩阵模型利用矩阵A表示系统中主体、客体和每个

5、主体对每个客体所拥有权限之间的关系。任何访问控制策略最终均可被模型化为访问矩阵形式：一行表示一个主体的能力列表，一列表示一个客体的访问控制列表。每个矩阵元素规定了相应的主体对应于相应的客体被准予的访问许可、实施行为。,11,表1 访问控制矩阵,A S1 , O1=“读”，表示主体S1对客体O1有读权限。其余类推。,12,授权状态用一个三元组Q=(S,O,A)来表示。其中S是主体的集合；O是客体的集合，是安全机制保护的对象。A中的每个元素A(si,oj)表示主体i对客体j的操作授权，它是访问模式的一个子集。一般在数据库管理系统中，访问模式包括读、写、执行、附加和拥有。 访问控制矩阵原语是对访问控

6、制矩阵执行的、不使之中断或处于不完整状态的操作。,13,表2 访问控制操作集合,1 结果状态: S= S， O= O Asi,oj= Asi,oj r Ash,ok= Ash,ok(hi, kj) 2 结果状态: S= S， O= O Asi,oj= Asi,oj - r Ash,ok= Ash,ok(hi, kj),14,表2 访问控制操作集合,3 结果状态:S= S Si ， O= O Si As, o= As,o （S S， o o） Asi,o= (o o） As, si= （S S） 4 结果状态:S= S - Si ， O= O - Si As, o= As,o （S S， o o

7、）,15,表2 访问控制操作集合,5 结果状态:S= S ， O= O Oj As, o= As,o （S S， o o） As, oj= （ o o） 6 结果状态: S= S ， O= O - Oj As, o= As,o （S S， o o）,16,约束条件 每种命令的可选的条件语句中，可以包含对该命令执行时的时间或数据约束。 数据约束：可规定所访问的数据的值的限制。 时间约束：规定允许读写发生的时间条件。 上下文约束：例如只读取姓名字段或工资字段是允许的，但把它们组合起来读取就需要限制。 历史记录约束：该约束条件的激活依赖于该操作先前的操作。,17,自主访问控制特点： 根据主体的身份及

8、允许访问的权限进行决策。 自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。 灵活性高，被大量采用。 自主访问控制缺点： 信息在移动过程中其访问权限关系会被改变，权限控制某些情况下不够严格。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。,18,2.3 强制访问控制,为系统中每个主体和客体标出不同安全等级，这些安全等级由系统控制，不能随意更改。根据主体和客体的级别标记来决定访问模式。如绝密级，机密级，秘密级，无密级等。 在军队中经常应用，支持多级安全 考虑到偏序关系，主体对客体的访问主要有四种方式： （1）向下读（rd，read dow

9、n）：主体安全级别高于客体信息资源的安全级别时允许的读操作； （2）向上读（ru，read up）：主体安全级别低于客体信息资源的安全级别时允许的读操作；,19,（3）向下写（wd，write down）：主体安全级别高于客体信息资源的安全级别时允许执行的动作或是写操作； （4）向上写（wu，write up）：主体安全级别低于客体信息资源的安全级别时允许执行的动作或是写操作。 其访问控制关系可分为：下读/上写和上读/下写，分别进行机密性控制和完整性控制 通过安全标签实现单向信息流通模式。,20,2.4 多级安全访问控制模型,在关系型数据库中应用MAC策略首先需要扩展关系模型自身的定义。因此提

10、出了多级关系模型（Multilevel Relational Model）。 多级关系的本质特性是不同的元组具有不同的访问等级。 关系被分割成不同的安全区，每个安全区对应一个访问等级。一个访问等级为c的安全区包含所有访问等级为c的元组。一个访问等级为c的主体能读取所有访问等级小于等于c的安全区中的所有元组，这样的元组集合构成访问等级c的多级关系视图。类似地，一个访问等级为c的主体能写所有访问等级大于或等于c的安全区中的元组。,21,RRA97管理角色层次的四个过程为： (1)角色插入 新角色的直接父角色和子角色必须是原来角色层次中一个创建区间的界点。该定义暗示没有多个父角色或多个子角色的角色能

11、被创建。 (2)边插入 如果满足以下两个条件之一，边(x,y)能被插入到角色层次中： (x)=(y) 存在一个职责区间(a,b),使得要么x=a且ya且y=b,并且边的插入不破坏区的封装。,22,(3)角色删除 支持两种可互换的角色“删除”。 第一种选择是角色删除，被删除的角色r确定从中删除。在这种情况下，任何权限-角色指派到角色r的上确界，用户-角色指派重新指派到角色r的下确界。 若角色r是ARBAC97中任何区间的界点，则不允许进行角色删除。因此第二种是角色失活。在这种情况下，角色r仍保留在角色层次中，且权限角色指派依然有效。然而，用户u不能在一个会话中激活角色r，即使rR(u)。 (4)

12、边删除 两个角色r和r之间的边能够被删除，仅当要么rr,要么rr。,23,2.5 基于角色的访问控制模型,核心思想：将权限同角色关联起来，而用户的授权则通过赋予相应的角色来完成。用户所能访问的权限由该用户所拥有角色的权限集合的并集决定。,24,传统的访问控制技术总结,本章讨论了目前数据库领域所使用的访问控制模型。 自主访问控制模型控制用户访问的机制是用户鉴别和用户自定义的访问规则。该模型的特点在于灵活性强、适用性广。但无法对主体的权限传播加以控制。因此，用户可能未经授权而得到不应得到的数据。 强制访问控制模型提供了基于标签的安全认证，适用于用户和客体具有多种安全等级的应用环境。该模型基于安全标

13、签的读写策略使得数据库管理系统能够跟踪数据的流动，因而可以为木马程序问题提供一定程度的保护，但缺点在于访问策略过于严格，只能用于极少数的应用环境。,25,基于角色的访问控制模型是中性策略的访问模型，其目的在于克服现有强制访问控制模型的缺点、管理复杂性和代价。基于角色的访问控制模型将用和权限的直接指派转变为用户角色、角色-权限两种指派，降低了数据库安全管理员的管理复杂性，能通过定义约束正确地实施访问策略。然而与自主访问控制模型和强制访问控制模型相比，基于角色的访问控制模型在角色层次和约束之间还存在不少的理论缺陷。,26,2.6 访问控制新技术UCON,2002 年 , Park . J 和 Su

14、ndhu . R 首次提出了 UCON 的概念。 它对传统的访问控制进行了扩展 ,定义了授权 (Authorizati on)、职责 (Obligati on)和条件 (Conditi on)三个决定因素 ,提出了访问控制的连续性 (Continuity)和易变性 (Mutability)两个重要属性。UCON 集合了传统的访问控制、可信管理以及数字权力管理 ,用系统的方式提供了一个保护数字资源的统一标准的框架 ,为下一代访问控制机制提供了新思路。,27,UCON 核心模型(也称 ABC 模型 )包含三个基本元素:主体、客体、权限和三个与授权有关的元素:授权、条件、 职责以及两个属性:主体属性

15、、客体属性 ,如图 所示。,UCON组成部分,28,模型中各元素所代表的意义为: (1)主体 ( Subjects) :具有某些属性和对客体操作权限的实体; (2)主体属性 ATT ( S) ( Subject Attributes) :主体能用于授权控制的属性 ,包括身份、 角色、 安全级别、 成员资格等; (3)客体 (Objects) :主体能够控制权限 ,并能访问和控制的实体; (4)客体属性 ATT(O) (Object Attributes) :包括安全级别、 所有者等 ,用于授权控制;,UCON组成部分,29,(5)权限 (Rights) :主体拥有的对客体控制和执行的一些特权 ,可分成许多功能类 ,如审计类、 修改类等; (6)授权 (Authorization Rules) :允许主体对客体进行访问或使用前必须满足的一个需求集。用于使用决策 ,检查主体是否有资格访问