数据库访问控制技术研究综述.docx

1、数据库访问控制技术研究综述 第一章 绪论 1.1 论文研究背景及意义 1.1.1 研究背景 数据库技术从 20 世纪 60 年代产生至今,已经得到了快速的发展。数据库系统具有强大的数据存储、数据处理和网络互联的能力 ,因此在许多领域有着广泛应用。数据库系统担负着日益艰巨的集中处理大量信息的任务,其安全问题日渐突出。随着计算机技术的飞速发展，数据库的应用十分广泛，深入到各个领域。但随之而来产生了数据的安全问题。数据库作为信系统重要数据的存储和处理核心，往往成为最吸引攻击者的目标。访问控制技术是数据库安全领域的一个重要研究方向，传统的访问控制技术已越来越不能满足现代数据库的安全需求。本课题的主要针

2、对现有数据库访问控制技术问题做综述性介绍，通过对不同数据库模型的访问控制技术对比研究，得出更优的技术方案。 1.1.2 研究意义 早期数据库的访问控制大致分为自主访问控制和强制访问控制。自主访问控制中访问规则的制定取决于用户自身，用户根据需要将客体的访问权限授予他人，他人也可将此访问权限转授出去，因此管理过于松散，不可避免将导致一系列的安全威胁，比如机密信息泄露和敏感信息篡改；而强制访问控制规则不允许用户自身进行访问控制的管理，而是进行系统的统一管理和控制，其规则过于严格，可用性不是很高。20 世纪 90 年代初期，策略中立的基于角色访问控制模型(RoleBased Access Contro

3、l Model，RBAC)被提出来。基于角色的访问控制模型是在用户和权限之间引入角色这个层次，并且围绕着角色这个新的概念来实施访问控制策略。不同的角色和它所应具有的权限相联系，而用户成为某些角色的成员，这样用户便获得了这些角色的权限。角色根据实际单位或组织的不同工作职责来划分，依据用户所承担的不同的权利和义务来授予相应的角色。对于一个存在大量用户和权限分配的系统来说，从大量的用户管理转而管理、操纵少量的角色，这样简化了权限分配管理，提高安全管理的效率和质量，并且能直接反映企事业单位内部安全管理策略和管理模式。基于角色的访问控制模型在现实中有着较为广泛的应用，然而这一模型本身存在着一些问题： (

4、1)该模型是一种静态模型，用户一旦被赋予普通角色，除非被收回，否则用户一直持有，不能达到权限的自动收回。 (2)传统的 RBAC 模型中，权限直接与角色相关，这就决定了权限的粒度最多只能细化到角色一级。最小权限约束只是角色的最小权限约束，而实际系统中一个角色往往 可以执行多项任务，不管用户是否执行任务，只要用户激活某一角色就拥有该角色的全部权限。实际上，用户在正常工作时的一个时间点上通常都只是用一个角色实现一种操作，所以 RBAC 的最小权限约束粒度还不够细化。 (3)有的情况下，用户需要执行激活角色的所有任务，这需要解决任务执行的顺序问题；有的权限的成功执行需要多用户多角色的多次执行，这需要

5、明确多用户多角色执行的次序。 1.2 访问控制技术研究现状 1.2.1 国外发展现状 基于角色的访问控制模型(RBAC)相关研究起始于 20 世纪 90 年代。 1992 年，美国国家标准与技术研究所(NIST)的 David Ferraiolo 和 Rick Kuhn 在综合了大量的实际研究之后，率先提出基于角色的访问控制模型框架，并给出了 RBAC 模型的一种形式化定义。该模型第一次引入角色的概念并给出其基本语义，指出 RBAC 模型实现了最小权限原则 (1east privilege)矛 II 职责分离原贝 JJ(separation of duty)。该模型中给出了一种集中式管理的 R

6、BAC 管理方案， 1995 年他们以一种更直观的方式对该模型进行了描述。 Ravi Sandhu 和他领导的位于 George Mason 大学的信息安全技术实验室(LIST)于 1996 年提出了著名的RBAC96 模型，将传统的 RBAC 模型根据不同需要拆分成四种嵌套的模型并给出形式化定义，极大的提高了系统灵活性和可用性。RBAC96 实际上是一个 RBAC 模型族，其中最基本的模型是 RBACo，它包含了 RBAC中的核心部分。RBACl 和 ImAC2 都建立在 RBACo 之上，RBACl 增加了角色继承的概念，RBAC2 增加了角色之间的约束。RBAC3 则把 RBACl 和R

7、BAC2 综合了起来，同时提供继承和约束，并讨论了两者的关系。 1997 年他们更进一步提出了一种分布式 RBAC 管理模型 ARBAC97，让管理角色及其权限独立于常规角色及其权限，实现了在 RBAC 模型基础上的分布式管理。这两个模型清晰的表征了 RBAC 概念并且蕴涵了他人的工作，成为 RBAC 的经典模型。 2001 年， RBAC 领域的领军人物 David Ferraiolo，Ravi Sandhu 等人联合拟定了一个 RBAC 模型的美国国家标准草案，力图统一不同模型中的术语，并对所有 RBAC 的基本操作给出伪码定义。2001 年 8 月，ACM(Association for

8、 Computing Machinery)版标准草案完成。2003 年 4 月，NIST 提交标准草案。2004 年 2 月 19日，在这两个标准的基础上， INCITS 正式批准了 ANS1NCITS 359 2004 standard Information technology Role Based AccessControl Modelt剐这一模型。 1.2.2 国内研究现状 国内的学者在基于角色的访问控制模型方面也开展了大量的研究工作。其研究多是对以往 RBAC 模型的扩展，使其更适应于实际应用，或是针对某一应用在 RBAC 模型的基础上提出一种新的模型。比如左永利、吴中福等在基于角

9、色访问的数据库自适应容侵结构一文 t91，提出了一种基于 RBAC 和攻击响应的容侵数据库结构。该结构能根据用户的动态行为进行自适应的系统参数调节，可根据用户的角色、历史记录、不同的应用领域和系统容侵要求对系统参数进行自动调节，提高系统的自适应能力。邢小永、张彬等在一种基于角色的访问控制扩展模型一文中对 RBAC 进行了扩展，引入了用户组、角色组，并充分利用用户组、角色组、对和操作的层次性有效地建立起一种以角色为中介的用户到权限的对应关系。此模型能更好的适应现实应用的需要，提高授权的灵活性。夏鹏万、陈荣国等在增强的基于角色数据库访问控制模型一文中针对 RBAC 存在的不足和缺陷(元素分类模糊束

10、与规则简单)进行改进，形成了一个较原有 RBAC 模型更加实用和安全性更高的角色访问控制模型。其在组成元素的定义上更加详细并且分类更加清晰，约束规则更加具体与实用，可以对数据库系统的安全访问提供有力的支持。 1.3 本文主要工作 本课题的主要针对现有数据库访问控制技术问题做综述性介绍，通过对不同数据库模型的访问控制技术对比研究，得出更优的技术方案。除了对传统访问控制模型进行简单介绍，还对现阶段出现的一些改进方案进行简要分析。 1.4 本文的组织结构 第一章是前言。介绍了课题的研究背景和意义，对国内外研究现状作了分析，最后对课题的主要研究内容以及组织结构做了说明。第二章是传统的访问控制模型。介绍

11、了自主访问控制、强制访问控制、适应性强制访问控制、基于角色的访问控制以及基于任务访问控制模型的访问控制实现策略、安全规则等。分析比较了各种传统访问控制的优缺点。第三章是现有的改进技术的研究。UCON 访问控制技术、基于次数限制的访问控制模型、基于角色访问控制模型的改进及强制访问控制与自主访问控制相结合的模型、改进思想、优点等。第四章是结论及展望。综述访问控制技术及对访问控制技术的未来发展做一下展望。 第二章 传统的访问控制研究 2.1 访问控制技术基本术语 (1)主体：主体是可以对其它实体施加动作的主动实体。系统中所有主体的集合定义为 S=Sl，S2Sn，其中 Si 为任意主体。在强制访问控制

12、模型中，每个主体都属于某个级别，为多对一关系，通过函数Sec(Si)=安全等级即密级来确定。 (2)客体：一个接受其它实体动作的被动实体。所有客体的集合定义为 0=01，020n)。其中 0i 为任意客体。强制访问控制模型中，对任意 0i0 都具有四元组 Oi=(密级，范围，标记，时限)。在操作系统内部，客体一般为文件、目录、端口和设备。在数据库系统内部，客体又主要为关系、表、视图、记录、存储过程和函数等。 (3)用户(user)：主要是和某个计算机系统交互的自然人151。 (4)角色(role)：反映一个组织内部一项具体的工作职责，被授予某种角色的用户将具备一定的职权。在一次会话中，用户激活

13、的角色集称为活跃角色集。 (5)许 n-I(permission)：作为系统主体的人对客体进行特定模式访问的操作权限。 (6)会话(session)：一个用户和他所具有的角色集中活跃角色子集之间的映射关系，具有动态特征。 (7)角色层次(Role Hierarchy)；角色之间建立的一种偏序关系，其中上层角色继承下层角色的访问权限。 (8)约束(Constraint)：角色之间的一种关系。 (9)管理角色(Administrative Role)：一种具有以下许可的角色：可以修改用户、角色、许可集，或是修改用户和许可的分配关系。2.2 自主访问控制（DMC） 2.2.1 自主访问控制概述 控制

14、(DAC)策略是一种通用访问控制策略。在该策略下决定用户能否访问某数据对象的依据是系统中是否存在明确授权。如果授权存在则允许访问，否则访问被禁止。DAC 的主要特征表现在：主体可以自主地把自己所拥有客体的访问控制权限授予其他主体或从其他主体收回所授予的权限。DAC 根据主体所属的身份来控制对客体目标的授权访问，主体对客体的控制是基于对主体的鉴别和访问控制规则。一个主体如果具有对一个客体的自主访问权限，那么这个主体可以把该客体信息共享给其他主体，并且只能控制直接访问而无法控制间接访问。当主体提交对客体的访问请求，系统检查主体对该客体的所有权来决定是否容许访问。 2.2.2 自主访问控制实现策略

15、DAC 的典型方法是访问控制矩阵或访问控制列表。访 问控制矩阵(AccessControl Matrix，ACM)是一种通过矩阵形式表示访问控制权限的方法，实现如表 21 所示。 21 访问控制矩阵表表中每一行代表一个主体，每一列代表一个客体，矩阵中行列的交叉元素代表某主体对某客体的访问权限。在表 21 中，主体 3 对客体 2 有“读“的权限；对客体 3 既有“读”权限，又有“写”权限；但对客体 1 没 有任何访问权限。在实际应用中，当主体、客体数量很多时，矩阵中的空元素将造成存储空间的极大浪费。访问控制表(Access Control List，ACL)是 DAC 系统中通常采用的另一种安

16、全机制。ACL 是以客体为中心建立的访问权限表，对每个客体单独指定对其有访问权限的主体，还可以将有相同权限的主体分组，授予组的访问权限。如针对客体 Objectl，用户 Userl 有“读”权限，用户 User2 有“读写”权限，组 Deptqb的所有成员都有“写”权限。ACL 中定义如下：Objeetl： (Userl， Read)， (User2， Read， Write)， (Dept， Write) ACL 表述直观，易于理解，可以较方便的查询对某一特定资源拥有访问权限的所有用户。但对于用户数量多、客体对象复杂的信息系统，当组织内的人员发生人事变动(升迁、换岗、招聘、离职等)时，管理员

17、需要修改用户对所有资源的访问权限，这使得访问控制的授权管理变得十分复杂，并且容易出错，造成权限的失控状态。 2.3 强制访问控制（MAC） 2.3.1 强制访问控制概述 强制访问控制模型 MAC 是由美国政府和军方联合研究出的一种控制技术，目的是为了实现 I：I 二 DAC 更为严格的访问控制策略。MAC 的基础是对主体和客体进行级别分类，即根据客体的敏感级和主体的许可级来限制主体对客体的访问。对于不同类型的客体，MAC 采取不同层次的安全策略，并针对不同类型的客体来进行访问授权。MAC 由授权机构为主体和客体分别定义固定的安全属性，用户无权进行修改。系统通过对安全属性的匹配比较来决定是否容许

18、访问的进行。安全属性在安全策略没有被改变之前是不能被改变的，所以一个主体无权将对系统资源的访问权传授给其他主体。主体权限反映了信任程度，客体权限则与其所含信息的敏感度一致，通过二者的比较来判断访问的合法性。访问控制的两个关键规则是：不向上读和不向下写，即信息流只能从低安全级向高安全级流动，任何违反非循环信息流的行为都是被禁止的。 2.3.2 强制访问控制基本规则 强制访问控制模型的典型代表是 1973 年提出的 Be ll La Padula 模型，强制访问控制是 B1 级数据库管理系统的重要特征，它主要是限制对敏感客体的访问。在 BLP 模型中：范围表示能够访问客体 0 的所有级别主体的集合

19、；标记用来表示当前操作过客体的主体最高类别，初始为最低类别；每个客体所对应的四元组是由保密中心指定的；时限表示客体从创建到删除的时间长度；客体具有密级即为安全等级共分 4 个等级 sc绝密，机密，秘密，普通)；客体依照它所服务的对象划分成类即客体类用 0-Class 来表示。BLP 模型的基本思想是，确保信息不向下流动，从而保证系统内的信息是安全的。BLP 模型的信息不向下流动是通过下面两个规则来保证的： (1)简单安全规则：当一个主体的安全级支配另一个客体的安全级时，主体才具有对客体进行“读”操作的权限； (2)*-规则：当客体的安全级支配主体的安全级时，主体才具有对客体进行“写”操作的权限

20、。满足了上述两个规则即控制了系统中信息的流动，保证所有安全级别上的主体只能访问其具有访问权限的客体，从而保证信息不会向下流动。此外，系统还有一个自主安全规则： (3)ds 规则：每个存取必须出现在存取矩阵中，即一个主体只能在获得了所需的授权后才能执行相应的存取。 2.4 适应性强制访问控制（AMAC） 适应性强制访问控制可以更好的适合到一般目的的数据,处理实践和为包含敏感信息的数据库提供一个设计框架,这些就是适应性强制控制的主要目的。为了克服基于强制控制的限制,AMAC 具有好几个设计特色,这些特色可以帮助一个数据库的一个安全技术,它具有以下优点: 1.该技术支持数据库中所有语句的设计,能够用

21、来设计数据库的强制保护以及数据库的自主访问设计. 2.在种种情况下,强制访问保护需要一个支撑策略去获得数据库段作为保护触发,是可以获得的.这样就可以克服了前面所讨论的缺点:在多级系统中什么标准应当安全客体的粒度。 3.该技术下，可以支持，强制访问保护所需要的安全客体和主体的安全标记自动获得。如果有必要的话，安全管理员可以重新低昂一自动标记的候选安全标记。这样克服了数据标记通常不能获得的缺陷。 4.使用数据库触发器来实现 ANAC 安全，这样能够很好的适合应用场合中的依赖安全需求。 适应强制访问控制属于基于角色安全模型中的一类，角色安全模型中假设每一个系统的潜在用户在一个企业中扮演某一个角色。用

22、户可以根据他们的角色授权来实现对一个预先定义数据几个的具体的数据库操作。AMAC 模型不仅仅涉及访问控制问题而且也涉及发哦数据库的设计环境问题，重点强调在结果数据库的安全。在DBMS 中实现结果数据库可以仅支持 DAC，或者同时支持 DAC 和 MAC，该技术结合了数据模型领域以及来自数据安全领域中众所周知和被广泛接受的概念但是 AMAC 对于授权和收权没有特别深入的研究，不适合于商业用途。这种强制访问控制时序的工作量比较大，管理不方便。AMAC 中角色知识适合几种数据库，对于分布式数据没有做出定义和研究。AMAC 知识从传统的访问控制方法到 RBAC访问控制方法的一个过渡模型。 2.5 基于

23、角色访问控制（RBAC） 在目前提出的众多 RBAC 模型中，最具代表性的是 RBAC96 模型家族。下面详细论述 RBAC96 模型族的几层模型。 2.5.1 基本模型 RBACo 授权机制从某个角度看可以视之为在系统内通过特定的操作(Ac t ion)将主体与客体联结起来。这里所说的操作就是 RBAC 模型中的许可，把许可授予角色就是权 限角色分配关系 PA，为用户分配角色就是用户角色分配关系 UA。一个角色可以被授予多个许可，一种许可以授予多个角色；一个用户可以分配(扮演)多个角色，一个角色可以被分配给多个用户。角色在系统中的变化程度远远小于用户的改变，它在系统中，相对来说是比较稳定的。

24、并且，把许可授予少量的角色，这与授权给众多的用户相比，简化了许可的授权管理。在采用 RBAC 模型的系统中，每个用户进入系统得到系统控制的时候，就开始了一次会话。每个会话都是动态产生的，从属于一个用户。每次会话激活用户的角色集中的一个子集，这个子集也称为活跃角色集。访问控制系统根据本次会话启用的活跃角色集，将其映射到许可集上，便得出会话用户所具有的许可(权限)。对于该用户而言，在一次会话内可以获得活跃角色集中所有角色所授予的许可，这样的安全机制的好处是显然的。例如，统一用户在进入系统时打开适当的会话就可以以最小的系统代价得到最灵活的系统安全服务功能。在工作站的环境下，一个用户还可以同时打开多个

25、会话，每个会话置于一个窗口内。用户获得非常大的机动灵活，同时又获得可靠的数据安全，因为系统可以方便地被设置成安全级别较低的活动，不会打开一个较高安全级别的会话。因为引入了会话概念，使得在一个系统中并存两个以上存取控制机制的灵活性也增强了。会话和角色的设置更容易实施最小特权原则，即在一个成熟的安全系统内部应当绝不会给予用户以超过执行任务所需特权以外的特权。 RBAC96 需遵循的基本安全原则有： (1)责任分离原则(Seperat ion of Dut ies Pr inc iple)对于一个特定的事务集，可能一个用户并不能执行这个事务集中的每一个事务。例如，在银行信贷处理中，不存在一个职员既可

26、以处理信贷事务，又能够处理审计事务。信贷和审计这两个相关的职责，不能由一个用户来承担。责任分离原则的实施有角色态互斥和动态互斥两种，具体操作在角色约束中来完成。 (2)最小特权原则(Leas t Pr iv ilege Pr inc iple) 它保证某个角色在完成相应职责时，拥有所需的所有许可，并且这个许可集决不能 超过他实际所需的许可范围，即不给角色分配多余的权限许可，保证拥有这个角色的用户具有最小的特权。 (3)数据抽象原则(Data Abs trac t ion Pr inc iple) 许可既可以为实际的权限，如操作系统中提供的典型的读、写、执行等权限，数据库管理系统中的 Se le

27、c t，Update，Exec ute 等权限，也可以是一些抽象的权限许可，例如账目信贷、存取等许可。 RBACo 的形式化定义： U，R，AR，P 以及 S(用户集，角色集，活跃角色集，许可集和会话集) PA 属于 PxR，PA 是授权到用户的多对多的关系 UA 属于 UxR，是用户到角色的多对多的关系 roles (S1)属于rf (user(S1)，r )eUA user：S jU，将各个会话映射到一个用户的函数 user(Si) roles：S j2R，将各个会话 S，与一个角色集合联结起来的映射，随时间的变化而变化。 2.5.2 层次模型 RBACl 在一般的单位和组织中，特权或职权

28、通常是具有线性关系的，因此在 RBAC 模型家族中引入了一定的层次结构用以反映这一实际情况。对于常见的组织(单位)结构图，都是类似于树状的连通图。原则上， RBACl 体现了上级领导(角色)所得到的信息访问权限高于下级职员的权限。 RBACl 的形式化定义： U，K 腿 P 以及 S(用户集，角色集，活跃角色集，许可集和会话集) PAcPxR，PA 是授权到用户的多对多的关系 UAc _UxR UA 是用户到角色的多对多的关系 RH_cRxR RH 是角色上的个偏序关系，称之为角色层次关系或支配关系，一般记为“=” User：S 到 U，将各个会话映射到一个用户的函数 user (s ) ro

29、les：S-2R，将各个会话 S 与一个角色集合联结起来的映射，随时间的变化而变化。 在多级安全控制结构内，存取类的保密级别是线性排列的。其中的安全策略要求是，要想合法地获取信息，提出访问请求的人员的级别要大于信息的级别。RBACl中支持的层次关系可以容易地实现多级安全系统所要求的保密级别的线性排列的要求。 多级安全系统的另一个要求就是要能够支持范畴的安排，范畴是相互独立的和无序的。为了获得信息的访问权，提出访问请求的用户所具有的范畴，必须和访问信息的范畴相吻合。角色的层次结构(RBAC)中的角色可以容易地实现所要求的保密存取类的范畴的要求。 2.5.3 约束模型 RBAC2 RBAC2 是在

30、 RBACo 的基础上加入约束元素。作为一个完整的安全模型，约束机制是非常重要的。对于一个具体的系统而言，无论它是否具有层次角色的特征，约束机制都是必不可少的。例如，在一个组织内不能将出纳角色和审计角色同时授予一个用户，否则将可能产生欺诈行为。当使用了角色约束机制后，公司的领导层就可以不必再考虑具体的实施。这样对于系统管理员的工作，也将变得轻松，对于一个大型的系统而言，也是非常重要的。实际上，通过约束机制，RBAC 就可以实现强制安全控制，而这包括了对 RBAC 本身的管理和控制。对于角色的约束机制主要有以下几种约束：角色静态互斥约束；角色动态互斥约束；角色基数约束：角色前提约束。在实际的系统

31、中，经常用到的是前三种角色约束机制。角色静态互斥是要求某些角色不能同时分配给一个用户；动态互斥是一个用户开始会话时，不能同时激活某些角色，否则将会违背本组织的安全策略。 角色基数包括角色可以分配的最大和最小用户数，基数约束并非 RBAC 模型所要求的，但在具体的应用系统中，却是安全策略所要求的一个方面。大多数的应用系统在 RBAC 模型的实现过程中，将其作为角色约束的一项来加以实现。角色前提约束是指用户在被指派角色 R 之前，必须已经具备另一个角色 Rt。实际情况中类似的前提约束条件都是对有一定业务联系或关系的角色起作用。 RBAC2 的定义如下： RBAC2 包含了 RBACo 中所有的基本

32、特性，除此之外增加了对 RBACo 的所有元素的核查过程，只有拥有有效值的元素才可被接受。 定义集合 Ro le members( r i)=ulu 被分配了角色 r i) Sta_mutex( r i)=r jl r i 和 rj 满足静态互斥，i 不等于 j) Dyn_mtrtex(r i)=r jI r i 和 rj 满足动态互斥，i 不等于 j Members_lim( r i)=nln=0，n 为 ri 的角色成员限制数) Members_num(r i)=nln=0，n 为 ri 的角色成员数 约束规则 1(静态责任互斥)：一个用户 U 所被分配的任意两个角色 ri，rj 都不能属于静态互斥角色。 约束规则 2(动态责任互斥)：在一次会话 S 中，所激活的任意两个角色 ri，rj 都不能属于动态互斥角色。 约束规则 3(角色基数规则)：所能分配给角色 r 的最大用户(成员)数量不能超过角色成员限制数。 2.5.4 管理模型 ARBAC97 通过单一的系统管理员管理 RBAC 系统，根据实际的系