数据库的访问控制.ppt

《数据库的访问控制.ppt》由会员分享，可在线阅读，更多相关《数据库的访问控制.ppt（94页珍藏版）》请在第壹文秘上搜索。

1、返回返回1 数据库的访问控制返回返回2 访问控制策略概述访问控制策略概述 自主访问控制自主访问控制 4.4 4.4 多级安全访问控制模型多级安全访问控制模型返回返回34.1 4.1 访问控制策略概述访问控制策略概述在数据库中，访问控制可以分为两大类：在数据库中，访问控制可以分为两大类：（1 1）基于能力的访问控制：以访问主体为判断对象）基于能力的访问控制：以访问主体为判断对象实现访问控制。访问主体能力列表中的一个元素实现访问控制。访问主体能力列表中的一个元素表示为一个二元组（表示为一个二元组（o,ao,a）, ,其中其中o o表示资源客体，表示资源客体，a a表示一种访问控制方式。表示一种访问

2、控制方式。（2 2）基于访问控制列表的访问控制：以资源客体为）基于访问控制列表的访问控制：以资源客体为判断对象实现访问控制。资源客体访问控制列表判断对象实现访问控制。资源客体访问控制列表中的一个元素表示为一个二元组（中的一个元素表示为一个二元组（s,as,a）, ,其中其中s s表表示访问主体，示访问主体，a a表示一种访问控制方式。表示一种访问控制方式。返回返回44.1 4.1 访问控制策略概述访问控制策略概述自主访问控制是一种最为普遍的访问控制手段，自主访问控制是一种最为普遍的访问控制手段，用户可以按自己的意愿对系统的参数做适当修用户可以按自己的意愿对系统的参数做适当修改以决定哪些用户可以

3、访问他们的资源，亦即改以决定哪些用户可以访问他们的资源，亦即一个用户可以有选择地与其它用户共享他的资一个用户可以有选择地与其它用户共享他的资源。用户有自主的决定权。源。用户有自主的决定权。 返回返回5自主访问控制模型中，用户对信息的控自主访问控制模型中，用户对信息的控制基于对用户的鉴别和访问规则的确定。它制基于对用户的鉴别和访问规则的确定。它基于对主体及主体所属的主体组的识别，来基于对主体及主体所属的主体组的识别，来限制对客体的访问，还要校验主体对客体的限制对客体的访问，还要校验主体对客体的访问请求是否符合存取控制规定来决定对客访问请求是否符合存取控制规定来决定对客体访问的执行与否。这里所谓的

4、自主访问控体访问的执行与否。这里所谓的自主访问控制是指主体可以自主地（也可能是单位方式）制是指主体可以自主地（也可能是单位方式）将访问权，或访问权的某个子集授予其它主将访问权，或访问权的某个子集授予其它主体。体。 返回返回6强制访问控制是指主体与客体都有一个固定的强制访问控制是指主体与客体都有一个固定的安全属性。系统通过检查主体和客体的安全属安全属性。系统通过检查主体和客体的安全属性匹配与否来决定一个主体是否可以访问某个性匹配与否来决定一个主体是否可以访问某个客体资源。安全属性是强制性的规定，它是由客体资源。安全属性是强制性的规定，它是由安全管理员，或者是操作系统根据限定的规则安全管理员，或者

5、是操作系统根据限定的规则确定的，用户或用户的程序不能加以修改。确定的，用户或用户的程序不能加以修改。返回返回7如果系统认为具有某一个安全属性的如果系统认为具有某一个安全属性的主体不适于访问某个资源，那么任何人（包主体不适于访问某个资源，那么任何人（包括资源的拥有者）都无法使该主体具有访问括资源的拥有者）都无法使该主体具有访问该文件的权力。该文件的权力。 强制安全访问控制可以避免和防止大多强制安全访问控制可以避免和防止大多数数据库有意或无意的侵害，因此在数据库数数据库有意或无意的侵害，因此在数据库管理系统中有很大的应用价值。管理系统中有很大的应用价值。 返回返回8基于角色访问控制（基于角色访问控

6、制（RBACRBAC）模型是目前国际上流行的）模型是目前国际上流行的先进的安全访问控制方法。它通过分配和取消角色来先进的安全访问控制方法。它通过分配和取消角色来完成用户权限的授予和取消，并且提供角色分配规则。完成用户权限的授予和取消，并且提供角色分配规则。安全管理人员根据需要定义各种角色，并设置合适的安全管理人员根据需要定义各种角色，并设置合适的访问权限，而用户根据其责任和资历再被指派为不同访问权限，而用户根据其责任和资历再被指派为不同的角色。这样，整个访问控制过程就分成两个部分，的角色。这样，整个访问控制过程就分成两个部分，即访问权限与角色相关联，角色再与用户关联，从而即访问权限与角色相关联

7、，角色再与用户关联，从而实现了用户与访问权限的逻辑分离。实现了用户与访问权限的逻辑分离。 返回返回94.2 4.2 自主自主访问控制访问控制自主访问控制基于自主策略管理主体对数据的自主访问控制基于自主策略管理主体对数据的访问，主要机制包括基于主体的标识和授权规访问，主要机制包括基于主体的标识和授权规则。这些规则是自主的，即它们允许主体将数则。这些规则是自主的，即它们允许主体将数据权限授予其他主体。据权限授予其他主体。自主访问控制的一个重要方面是与授权管理策自主访问控制的一个重要方面是与授权管理策略密切相关。所谓授权管理，是指授权和撤消略密切相关。所谓授权管理，是指授权和撤消授权的功能。授权的功

8、能。 返回返回10访问控制矩阵模型利用矩阵访问控制矩阵模型利用矩阵A A表示系统中主体、表示系统中主体、客体和每个主体对每个客体所拥有权限之间的客体和每个主体对每个客体所拥有权限之间的关系。任何访问控制策略最终均可被模型化为关系。任何访问控制策略最终均可被模型化为访问矩阵形式：一行表示一个主体的能力列表，访问矩阵形式：一行表示一个主体的能力列表，一列表示一个客体的访问控制列表。每个矩阵一列表示一个客体的访问控制列表。每个矩阵元素规定了相应的主体对应于相应的客体被准元素规定了相应的主体对应于相应的客体被准予的访问许可、实施行为。予的访问许可、实施行为。返回返回11表1 访问控制矩阵 O1O2S1

9、读读读、写读、写S2读、写读、写-A A S1 , , O1=“读读”，表示主体，表示主体S1对客体对客体O1有读权有读权限。其余类推。限。其余类推。返回返回12授权状态用一个三元组授权状态用一个三元组Q=(S,O,A)Q=(S,O,A)来表示。其来表示。其中中S S是主体的集合；是主体的集合；O O是客体的集合，是安全机是客体的集合，是安全机制保护的对象。制保护的对象。A A中的每个元素中的每个元素A(si,oj)A(si,oj)表示表示主体主体i i对客体对客体j j的操作授权，它是访问模式的一的操作授权，它是访问模式的一个子集。一般在数据库管理系统中，访问模式个子集。一般在数据库管理系统

10、中，访问模式包括读、写、执行、附加和拥有。包括读、写、执行、附加和拥有。访问控制矩阵原语是对访问控制矩阵执行的、访问控制矩阵原语是对访问控制矩阵执行的、不使之中断或处于不完整状态的操作。不使之中断或处于不完整状态的操作。返回返回13表2 访问控制操作集合原语原语操作操作含义含义条件条件1 授予权限授予权限Enter rinto Asi,oj赋予主体赋予主体si对客对客体体oj的访问模式的访问模式rSi Soj o2 撤销权限撤销权限Delete rfrom Asi,oj将主体将主体si对客体对客体oj的访问模式的访问模式r撤销撤销Si Soj o A si,oj= Asi,oj r A sh,

11、ok= Ash,ok(hi, kj) A si,oj= Asi,oj - r A sh,ok= Ash,ok(hi, kj)返回返回14表2 访问控制操作集合原语原语操作操作含义含义条件条件3添加主体添加主体CreatSubject Si 添加新主体siSi S4删除主体删除主体Destroy rfrom Asi,oj删除主体siSi S3 结果状态:S= S Si ， O= O Si As, o= As,o （S S， o o） Asi,o= (o o） As, si= （S S）4 结果状态:S= S - Si ， O= O - Si As, o= As,o （S S， o o） O O返

12、回返回15表2 访问控制操作集合原语原语操作操作含义含义条件条件5 添加客体添加客体CreatObject Oj 添加新客体OjOj 6 删除客体删除客体Destroy Object Oj 删除客体OjOj 5 结果状态:S= S ， O= O Oj As, o= As,o （S S， o o） As, oj= （ o o）6 结果状态: S= S ， O= O - Oj As, o= As,o （S S， o o） O返回返回16约束条件约束条件 每种命令的可选的条件语句中，可以包含对该命每种命令的可选的条件语句中，可以包含对该命令执行时的时间或数据约束。令执行时的时间或数据约束。v数据约束

13、：可规定所访问的数据的值的限制。数据约束：可规定所访问的数据的值的限制。v时间约束：规定允许读写发生的时间条件。时间约束：规定允许读写发生的时间条件。v上下文约束：例如只读取姓名字段或工资字段是上下文约束：例如只读取姓名字段或工资字段是允许的，但把它们组合起来读取就需要限制。允许的，但把它们组合起来读取就需要限制。v历史记录约束：该约束条件的激活依赖于该操作历史记录约束：该约束条件的激活依赖于该操作先前的操作。先前的操作。返回返回17 自主访问控制特点：自主访问控制特点：v 根据主体的身份及允许访问的权限进行决策。根据主体的身份及允许访问的权限进行决策。v 自主是指具有某种访问能力的主体能够自

14、主地将访自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。问权的某个子集授予其它主体。v 灵活性高，被大量采用。灵活性高，被大量采用。 自主访问控制缺点：自主访问控制缺点：v 信息在移动过程中其访问权限关系会被改变，权限信息在移动过程中其访问权限关系会被改变，权限控制某些情况下不够严格。如用户控制某些情况下不够严格。如用户A A可将其对目标可将其对目标O O的访问权限传递给用户的访问权限传递给用户B,B,从而使不具备对从而使不具备对O O访问权访问权限的限的B B可访问可访问O O。返回返回184.3 4.3 强制强制访问控制访问控制为系统中每个主体和客体标出不同安全等级

15、，这些为系统中每个主体和客体标出不同安全等级，这些安全等级由系统控制，不能随意更改。根据主体和客体安全等级由系统控制，不能随意更改。根据主体和客体的级别标记来决定访问模式。如绝密级，机密级，秘密的级别标记来决定访问模式。如绝密级，机密级，秘密级，无密级等。级，无密级等。考虑到偏序关系，主体对客体的访问主要有四种方考虑到偏序关系，主体对客体的访问主要有四种方式式：（1）向下读（）向下读（rd，read down）：主体安全级别高）：主体安全级别高于客体信息资源的安全级别时允许的读操作；于客体信息资源的安全级别时允许的读操作；（2）向上读（）向上读（ru，read up）：主体安全级别低于）：主体

16、安全级别低于客体信息资源的安全级别时允许的读操作；客体信息资源的安全级别时允许的读操作；返回返回19（3 3）向下写（）向下写（wdwd，write downwrite down）：主体安全级别）：主体安全级别高于客体信息资源的安全级别时允许执行的动高于客体信息资源的安全级别时允许执行的动作或是写操作；作或是写操作；（4 4）向上写（）向上写（wuwu，write upwrite up）：主体安全级别低）：主体安全级别低于客体信息资源的安全级别时允许执行的动作于客体信息资源的安全级别时允许执行的动作或是写操作。或是写操作。其访问控制关系可分为：下读其访问控制关系可分为：下读/ /上写和上读上写和上读/ /下写，下写，分别进行机密性控制和完整性控制分别进行机密性控制和完整性控制通过安全标签实现单向信息流通模式。通过安全标签实现单向信息流通模式。返回返回20BLPBLP模型用于保证保密性，其依赖于系统元素密级。模型用于保证保密性，其依赖于系统元素密级。密级用安全等级来表示。每个安全等级是一个二元组密级用安全等级来表示。每个安全等级是一个二元组 ，记作，记作L=L=。通常将密级划分为公开。通