第34卷 第2期Vol . 34 No . 2河南科技学院学报(自然科学版)
Journal of Henan I nstitute of Science and Technol ogy 2006年6月Jun . 2006
数据库访问控制技术研究
向 阳, 魏玉鹏, 王改梅
(西安通信学院, 陕西西安710106)
摘要:访问控制是实现数据库安全的核心技术。综述了几种主流访问控制技术, 介绍了最近提出的一种新的访问
控制技术———使用控制(U sage Contr ol, UC ON ) , 在此基础上从九个方面对它们进行详细比较和分析, 并展望其发展趋势。
关键词:数据库安全; 自主访问控制; 强制访问控制; 基于角色的访问控制; 使用控制
中图分类号:TP311 文献标识码:A 文章编号:167326060(2006) 0220101204
Research on Da t aba se Access Con trol X I A NG Yang, al .
(Xi’an Communicati on I nstitute, an, Abstract:Access contr ol is the central of . surveys several main access con 2
tr ol models and intr a sage , resented recently . Based on the p r oble m, these models are in nine as pects . The trend of it ’s devel opment is l ooked f or warded t o .
Key words:DAC,MAC, RBAC, UCON
1 引言
数据库技术从60年代中期开始发展, 现在已经得到十分广泛的应用。数据库系统担负着日益艰巨的存储和管理大量信息的任务, 安全问题日渐突出, 其安全控制措施主要有信息流向控制、推导控制、访问控制, 其中应用最广且最为有效的是访问控制。
访问控制(Access Contr ol ) , 就是通过某种途径显式地准许或限制访问能力及范围, 以限制对关键资源的访问, 防止非法用户的侵入或合法用户的不慎操作所造成的破坏。采用可靠的访问控制机制是数据库系统安全的必要保证。目前主流的访问控制技术有自主访问控制(D iscreti onary Access Contr ol, DAC ) 、强制访问控制(Mandat ory Access Contr ol, MAC ) 、基于角色的访问控制(Role -Based Access Contr ol, RBAC ) 等, 而UCON 作为新兴的访问控制技术已成为研究的热点。
类:自主访问控制和强制访问控制。2. 1 自主访问控制
自主访问控制DAC 是基于访问者身份或所属工作组来进行访问控制的一种方法。基本思想是:允许一个用户或以该用户身份运行的进程, 显式地指定其它用户对本用户所拥有的信息资源是否可以访问, 以及可执行的访问类型。可见, DAC 允许用户把他对客体的访问权限授予其它用户或从其它用户那里收回他所授予的访问权。
典型的自主访问控制模型是HRU 模型
[1]
(Har 2
ris on -Ruzz o -U ll m an 访问控制矩阵模型) 。HRU
模型基于访问控制矩阵实现访问控制, 矩阵中的行对应访问主体, 列对应访问客体, 矩阵中的内容标识主体对客体的访问权限。例如某系统定义两种访问控制权限:读和写, 存在两个主体:S 1和S 2及两个客体O 1和O 2。其访问控制矩阵A 可表示为表1。
表1 访问控制矩阵A
S 1
S O 读读、写
O 读、写-
2 传统访问控制技术
传统的数据库系统安全访问控制一般分为两
收稿日期:2006201211.
作者简介:向 阳(19682) , 女, 湖南长沙人, 副教授, 硕士, 主要研究方向为计算机和数据库安全。
101
2006年 河南科技学院学报(自然科学版) 2. 2 强制访问控制
强制访问控制MAC 是系统强制主体服从访问控制政策的一种多级访问控制策略。基本思想是:每个主体和客体都有既定的安全属性, 主体对客体是否能执行特定操作取决于二者安全属性之间的关系。可见,MAC 的所有权限由系统管理员分配, 用户或用户进程不能改变自身或其主/客体的安全属性。
[2]
典型的强制型访问控制模型是BLP 模型(Bel -La Padula 模型) 。BLP 模型中有三个实体:主体的集合S, 即数据库系统的用户; 对象的集合O, 即各种数据库、基本关系、元组、域; 安全表的偏序关系L, 即访问级别。函数fs:S →L, 表示对主体的一个访问级别; 函数f o:O →L, 表示对对象的一个访问级别。该模型中可以简化为两条规则:
(1) 不上读:主体S 可读取对象O, 当且仅当S 的级别高于O, 即f o (O ) ≤fs (S ) ;
(2) 不下写:的级别低于S ) (;
也就是说, 。这样, 可防止高机密信息的泄露。
图1 RBAC 核心模型
3 基于角色的访问控制
随着数据库结构的日益复杂, 规模增大、用户增多, DAC 和MAC 这两种传统访问控制技术存在的问题越来越突出———权限的分配和管理极为困难。RBAC 作为介于DAC 和MAC 之间的一种中性策略, 极大简化了权限管理。3. 1 RBAC 核心模型
RBAC 的基本思想是授权和角色相联系, 拥有某角色的用户可以获得该角色对应的权限。角色可以根据组织中不同的工作创建, 再根据用户的责任和资格来分配, 用户可以轻松的进行角色转换。
[3]
RBAC 核心模型定义如下:
(1) U, R, B , O, P, S:用户集, 角色集, 对象集, 操作集, 特权集, 会话集;
(2) UA:用户分配, 多对多的关系; (3) P A:特权分配, 多对多的关系;
(4) U ser (Si ) :S →U , 将各个会话映射到一个用户的函数;
(5) Roles (Si ) :S →2R , 将各个会话Si 与一个角色集联接起来的映射, 可随时间变化
。
可见, RBAC 核心模型包括五个基本的静态集合:用户集(USERS ) 、角色集(ROLES ) 、对象集(OB 2JECTS ) 、操作集(OPERAT ORS ) 、特权集(PER MS ) , 及一个运行过程中动态维护的集合———会话集(SESSI O NS ) 。如图1所示, 用户集是可以执行操作的用户; 对象集是被动实体, ; ; 对象上的(MS ) ; 角色集是, , 通过UA 和P A 将用户与特权关联起来。这样, 用户的大幅增加不会导致权限管理强度的大幅提高, 只需根据工作需要设立、调整角色及其拥有的权限, 并将用户加入相应角色即可。3. 2 RBAC 的拓展
带角色继承的RBAC (H ierarchal RBAC ) 和带约束的RBAC (Constraint RBAC ) 是建立在RBAC 核心模型基础上的扩展的访问控制方法。
带角色继承的RBAC 包含RBAC 核心的所有组件, 并增加了角色继承(r ole hierarchies, RH ) 操作。角色继承是角色上的偏序关系, 可以理解为:如果一个角色r1继承另一角色r2, 那么r2拥有的特权也是r1的特权, 拥有r1的用户也拥有r2。这样, 通过改变角色授予的特权集和用户集, 解决了RBAC 中角色可能有重叠权限这一问题。
现实生活中, 为了防止误操作和欺诈行为的发生, 有时要求某些职务不能由同一个人担任。例如在银行系统中, 开立支票和审核支票的角色不能同时为同一使用者所拥有。这一点抽象到RBAC 系统中, 就得到了带约束的RBAC 。它提供了实现职责分离的机制, 便于实施利益冲突时的回避策略, 以防止用户超越其正常的职责范围。支持静态职责分离(Static Separati on of Duty, SS D ) 和动态职责分离(Dyna m ic Separati on of Duty, DS D ) 两种策略。
4 访问控制新技术UCON
为了满足数字化环境下的复杂安全要求, 给访
102
向 阳等:数据库访问控制技术研究 第2期问控制提供一个新的智能基础, 新一代的访问控制技术———使用控制(UCON ) 应运而生。4. 1 UCON 的提出
2002年, Park . J 和Sundhu . R 首次提出了
素;
(7) 条件(Conditi ons ) :在使用授权规则进行授
。它对传统的访问控制进行了扩展, 定义了授权(Authorizati on ) 、职责(Obligati on ) 和条件(Conditi on ) 三个决定因素, 提出了访问控制的连续性(Continuity ) 和易变性(Mutability ) 两个重要UCON 的概念
[4]
权过程中, 允许主体对客体进行访问权限前必须检验的一个决策因素集。用来检查存在的限制, 使用权限是否有效, 哪些限制必须更新等;
(8) 职责(Obligati ons ) :主体在获得对客体的访问权限后必须履行的强制需求。分配了权限, 就应有执行这些权限的责任。
使用决定(U sage Decisi on ) 在请求使用资源时作出授权决定, 该决定依赖于主体属性、客体属性、授权、职责和条件。
一定程度上来说, UCON 模型通过一个系统的方法统一了各种不同的领域, 为研究下一代访问控制提供了新思路, 略着研的深入, 可以预见, 。
属性。UCON 集合了传统的访问控制、可信管理以及数字权力管理, 用系统的方式提供了一个保护数字资源的统一标准的框架, 为下一代访问控制机制提供了新思路。4. 2 UCON 的模型
UCON 核心模型
[5]
(也称ABC 模型) 包含三个
基本元素:主体、客体、权限和三个与授权有关的元素:授权、条件、职责以及两个属性:主体属性、客体属性, 如图2所示
。
5 不同访问控制技术的比较
通过研究和总结, 可以从访问控制方式、权限管理等九个方面对上述四种访问控制技术(DAC 、MAC 、RABC 、UCON ) 进行比较和分析, 如下表2所示。
6 结束语
访问控制是数据库安全最基本、最核心的技术, 网络的发展为访问控制技术提供了更广阔的发展空
图2 UCON 核心模型(ABC 模型)
模型中各元素所代表的意义为:
(1) 主体(Subjects ) :具有某些属性和对客体操作权限的实体;
(2) 主体属性ATT (S ) (Subject A ttributes ) :主体能用于授权控制的属性, 包括身份、角色、安全级别、成员资格等;
(3) 客体(Objects ) :主体能够控制权限, 并能访问和控制的实体;
(4) 客体属性ATT (O ) (Object A ttributes ) :包括安全级别、所有者等, 用于授权控制;
(5) 权限(R ights ) :主体拥有的对客体控制和执行的一些特权, 可分成许多功能类, 如审计类、修改类等;
(6) 授权(Authorizati on Rules ) :允许主体对客体进行访问或使用前必须满足的一个需求集。用于使用决策, 检查主体是否有资格访问客体的决策因
间。同时, 现有的访问控制技术远远不能满足当前系统安全的要求, 也使得对访问控制技术的研究显得尤为重要。因篇幅所限, 本文只对几种主要的访问控制技术进行了研究和总结。此外, 在学者和科研机构的研究及不同领域运用的过程中, 也出现了一些其它的访问控制技术, 例如基于任务的访问控制技术、基于任务和角色的访问控制技术、基于组机制的访问控制技术、面向对象的访问控制技术等, 基于上述机制的种种改进在一定程度上也使得MAC 、DAC 、RBAC 技术更加完善。但从总体上看, 这些技术大都针对具体应用开发, 灵活性较差, 只有个别领域的系统采用这些机制, 没有成为访问控制的主流, 这里不再介绍。
今后的工作主要是一方面深入对RBAC 的研究, 研究RBAC 在不同计算机环境和体系下的具体应用, 将RBAC 框架做成通用性的访问控制框架, 应用到更多领域和系统中, 证明RBAC 策略及其模型
103
2006年 河南科技学院学报(自然科学版)
的有效性、高效性、可控性; 另一方面对下一代访问控制模型UCON 要尤为关注, 将理论和应用研究并进, 构建应用模型进行实际系统的开发, 在实践中进一步验证模型的强大优越性。我们相信访问控制技
DAC
MAC
术的深入研究和实践, 必能极大提高数据库的安全性, 丰富数据库的应用, 为国家和军队的信息化建设产生重要意义。
表2 各访问控制技术的比较
RBAC
UCON
访控方式
基于访问者或访问组身份来访问控制
用户可更改其它用户的
基于被访问信息的敏感程度进行访问控制所有权限由系统管理员分配, 用户或用户进程不能改变自身或其主/客体的安全属性
根据用户的角色获得相应访问权限
权限与用户的逻辑分离极大简化了授权管理; 通过角色配置可以很好实现最小特权
角色配置的合理性、P A
授权、条件、职责决定主体访问权限
主客体属性在存取时可改变(可变特性) ; 可随时间或事件的进行重新判断是否有权限存取(连续特性)
可根据当前环境或系统, 对相对长期可变特性和连续特性为系统安全提供可靠保证可支持数据和数字信息发布的控制和跟踪, 能保证完整性
权限管理访问权限, 一定程度实现了权限隔离和资源保护
在较大的安全网络中, 需
系统开销
定义繁多的访问控制表项, 开销很大, 效率低下, 安全性
完整性
更新数据可能导致数据的完整性冲突
与MAC 并不完全冲突, 可以结合使用
适于单安全级的操作系
适用范围
统和数据库管理系统; 不适于高安全需求和复杂系统
实现难度
容易实现
需定义不同用户资源的安全级别及类型, 开销较大
, 抵制特洛伊木马对数据完整性的实现和分析相当复杂
与DAC 并不完全冲突, 可以结合使用
和UA 分配安全性、管理, 能适应范围广泛的安全策略
用户与数据无直接联系, 通过角色访问数据信息, 更易保持完整性
相互关系
可以通过配置实现DAC 集合了前三者所有的优和MAC
点
适于访问强度较高的I n 2集合了传统访问控制和
适于多安全级的军事和政府领域
ternet 等领域; 不适合处
数字权力管理、可信管理, 可满足数字环境下复杂安全需求
未针对具体问题给出实现模型, 较难实现仅提出概念模型, 研究刚刚起步, 为新系统的开发提供了一个参考框架, 现实应用很少
理存在依赖和时序关系的访问控制
较易实现
应用领域较窄, 主要用于
实现难度较大, 做成通用框架须进一步研究
RBAC 模型已成为美国N I ST 标准, 得到军事、政
实际应用
已经在商业和工业计算机系统中大量应用
美国的军事领域, 国内自
cure 安全数据库系统也
主开发的Open BASE Se 2府部门和众多商家青睐,
且已有可用于www 访问控制的产品
采用此机制
参考文献:
[1] 张敏, 徐震, 冯登国. 数据库安全[M].北京:科学出版
[4] Park J, Sandhu R. Towards U sage Contr olModels:Beyond
Traditi onal Access Contr ol [A ].Pr oceedings of the 7th AC M Sy mposiu m on Access Contr olModels and Technol o 2gies . S AC MAT ’02[C ].Monterey, Calif ornia, US A:AC M , 2002. 57264.
[5] Sandhu R, Park J. U sage Contr ol:A V isi on for Next Gen 2
erati on Access Contr ol[A].V ladi m ir Gor odetsky, Leonard J Popyack, V ict or A Skor m in . MMM -ACNS[C ].St . Pe 2tersburg, Russia:Sp ringer, 2003. 17231.
社, 2005.
[2] 〔美〕格鲁曼. 计算机安全[M].北京:人民邮电出版
社, 2003.
[3] Sandhu R, Coyne E, Feinstein H, et al . Role -Based Ac 2
cess Contr ol Models [J ].I EEE Computer, 1996, 29(2) :38247.
104
第34卷 第2期Vol . 34 No . 2河南科技学院学报(自然科学版)
Journal of Henan I nstitute of Science and Technol ogy 2006年6月Jun . 2006
数据库访问控制技术研究
向 阳, 魏玉鹏, 王改梅
(西安通信学院, 陕西西安710106)
摘要:访问控制是实现数据库安全的核心技术。综述了几种主流访问控制技术, 介绍了最近提出的一种新的访问
控制技术———使用控制(U sage Contr ol, UC ON ) , 在此基础上从九个方面对它们进行详细比较和分析, 并展望其发展趋势。
关键词:数据库安全; 自主访问控制; 强制访问控制; 基于角色的访问控制; 使用控制
中图分类号:TP311 文献标识码:A 文章编号:167326060(2006) 0220101204
Research on Da t aba se Access Con trol X I A NG Yang, al .
(Xi’an Communicati on I nstitute, an, Abstract:Access contr ol is the central of . surveys several main access con 2
tr ol models and intr a sage , resented recently . Based on the p r oble m, these models are in nine as pects . The trend of it ’s devel opment is l ooked f or warded t o .
Key words:DAC,MAC, RBAC, UCON
1 引言
数据库技术从60年代中期开始发展, 现在已经得到十分广泛的应用。数据库系统担负着日益艰巨的存储和管理大量信息的任务, 安全问题日渐突出, 其安全控制措施主要有信息流向控制、推导控制、访问控制, 其中应用最广且最为有效的是访问控制。
访问控制(Access Contr ol ) , 就是通过某种途径显式地准许或限制访问能力及范围, 以限制对关键资源的访问, 防止非法用户的侵入或合法用户的不慎操作所造成的破坏。采用可靠的访问控制机制是数据库系统安全的必要保证。目前主流的访问控制技术有自主访问控制(D iscreti onary Access Contr ol, DAC ) 、强制访问控制(Mandat ory Access Contr ol, MAC ) 、基于角色的访问控制(Role -Based Access Contr ol, RBAC ) 等, 而UCON 作为新兴的访问控制技术已成为研究的热点。
类:自主访问控制和强制访问控制。2. 1 自主访问控制
自主访问控制DAC 是基于访问者身份或所属工作组来进行访问控制的一种方法。基本思想是:允许一个用户或以该用户身份运行的进程, 显式地指定其它用户对本用户所拥有的信息资源是否可以访问, 以及可执行的访问类型。可见, DAC 允许用户把他对客体的访问权限授予其它用户或从其它用户那里收回他所授予的访问权。
典型的自主访问控制模型是HRU 模型
[1]
(Har 2
ris on -Ruzz o -U ll m an 访问控制矩阵模型) 。HRU
模型基于访问控制矩阵实现访问控制, 矩阵中的行对应访问主体, 列对应访问客体, 矩阵中的内容标识主体对客体的访问权限。例如某系统定义两种访问控制权限:读和写, 存在两个主体:S 1和S 2及两个客体O 1和O 2。其访问控制矩阵A 可表示为表1。
表1 访问控制矩阵A
S 1
S O 读读、写
O 读、写-
2 传统访问控制技术
传统的数据库系统安全访问控制一般分为两
收稿日期:2006201211.
作者简介:向 阳(19682) , 女, 湖南长沙人, 副教授, 硕士, 主要研究方向为计算机和数据库安全。
101
2006年 河南科技学院学报(自然科学版) 2. 2 强制访问控制
强制访问控制MAC 是系统强制主体服从访问控制政策的一种多级访问控制策略。基本思想是:每个主体和客体都有既定的安全属性, 主体对客体是否能执行特定操作取决于二者安全属性之间的关系。可见,MAC 的所有权限由系统管理员分配, 用户或用户进程不能改变自身或其主/客体的安全属性。
[2]
典型的强制型访问控制模型是BLP 模型(Bel -La Padula 模型) 。BLP 模型中有三个实体:主体的集合S, 即数据库系统的用户; 对象的集合O, 即各种数据库、基本关系、元组、域; 安全表的偏序关系L, 即访问级别。函数fs:S →L, 表示对主体的一个访问级别; 函数f o:O →L, 表示对对象的一个访问级别。该模型中可以简化为两条规则:
(1) 不上读:主体S 可读取对象O, 当且仅当S 的级别高于O, 即f o (O ) ≤fs (S ) ;
(2) 不下写:的级别低于S ) (;
也就是说, 。这样, 可防止高机密信息的泄露。
图1 RBAC 核心模型
3 基于角色的访问控制
随着数据库结构的日益复杂, 规模增大、用户增多, DAC 和MAC 这两种传统访问控制技术存在的问题越来越突出———权限的分配和管理极为困难。RBAC 作为介于DAC 和MAC 之间的一种中性策略, 极大简化了权限管理。3. 1 RBAC 核心模型
RBAC 的基本思想是授权和角色相联系, 拥有某角色的用户可以获得该角色对应的权限。角色可以根据组织中不同的工作创建, 再根据用户的责任和资格来分配, 用户可以轻松的进行角色转换。
[3]
RBAC 核心模型定义如下:
(1) U, R, B , O, P, S:用户集, 角色集, 对象集, 操作集, 特权集, 会话集;
(2) UA:用户分配, 多对多的关系; (3) P A:特权分配, 多对多的关系;
(4) U ser (Si ) :S →U , 将各个会话映射到一个用户的函数;
(5) Roles (Si ) :S →2R , 将各个会话Si 与一个角色集联接起来的映射, 可随时间变化
。
可见, RBAC 核心模型包括五个基本的静态集合:用户集(USERS ) 、角色集(ROLES ) 、对象集(OB 2JECTS ) 、操作集(OPERAT ORS ) 、特权集(PER MS ) , 及一个运行过程中动态维护的集合———会话集(SESSI O NS ) 。如图1所示, 用户集是可以执行操作的用户; 对象集是被动实体, ; ; 对象上的(MS ) ; 角色集是, , 通过UA 和P A 将用户与特权关联起来。这样, 用户的大幅增加不会导致权限管理强度的大幅提高, 只需根据工作需要设立、调整角色及其拥有的权限, 并将用户加入相应角色即可。3. 2 RBAC 的拓展
带角色继承的RBAC (H ierarchal RBAC ) 和带约束的RBAC (Constraint RBAC ) 是建立在RBAC 核心模型基础上的扩展的访问控制方法。
带角色继承的RBAC 包含RBAC 核心的所有组件, 并增加了角色继承(r ole hierarchies, RH ) 操作。角色继承是角色上的偏序关系, 可以理解为:如果一个角色r1继承另一角色r2, 那么r2拥有的特权也是r1的特权, 拥有r1的用户也拥有r2。这样, 通过改变角色授予的特权集和用户集, 解决了RBAC 中角色可能有重叠权限这一问题。
现实生活中, 为了防止误操作和欺诈行为的发生, 有时要求某些职务不能由同一个人担任。例如在银行系统中, 开立支票和审核支票的角色不能同时为同一使用者所拥有。这一点抽象到RBAC 系统中, 就得到了带约束的RBAC 。它提供了实现职责分离的机制, 便于实施利益冲突时的回避策略, 以防止用户超越其正常的职责范围。支持静态职责分离(Static Separati on of Duty, SS D ) 和动态职责分离(Dyna m ic Separati on of Duty, DS D ) 两种策略。
4 访问控制新技术UCON
为了满足数字化环境下的复杂安全要求, 给访
102
向 阳等:数据库访问控制技术研究 第2期问控制提供一个新的智能基础, 新一代的访问控制技术———使用控制(UCON ) 应运而生。4. 1 UCON 的提出
2002年, Park . J 和Sundhu . R 首次提出了
素;
(7) 条件(Conditi ons ) :在使用授权规则进行授
。它对传统的访问控制进行了扩展, 定义了授权(Authorizati on ) 、职责(Obligati on ) 和条件(Conditi on ) 三个决定因素, 提出了访问控制的连续性(Continuity ) 和易变性(Mutability ) 两个重要UCON 的概念
[4]
权过程中, 允许主体对客体进行访问权限前必须检验的一个决策因素集。用来检查存在的限制, 使用权限是否有效, 哪些限制必须更新等;
(8) 职责(Obligati ons ) :主体在获得对客体的访问权限后必须履行的强制需求。分配了权限, 就应有执行这些权限的责任。
使用决定(U sage Decisi on ) 在请求使用资源时作出授权决定, 该决定依赖于主体属性、客体属性、授权、职责和条件。
一定程度上来说, UCON 模型通过一个系统的方法统一了各种不同的领域, 为研究下一代访问控制提供了新思路, 略着研的深入, 可以预见, 。
属性。UCON 集合了传统的访问控制、可信管理以及数字权力管理, 用系统的方式提供了一个保护数字资源的统一标准的框架, 为下一代访问控制机制提供了新思路。4. 2 UCON 的模型
UCON 核心模型
[5]
(也称ABC 模型) 包含三个
基本元素:主体、客体、权限和三个与授权有关的元素:授权、条件、职责以及两个属性:主体属性、客体属性, 如图2所示
。
5 不同访问控制技术的比较
通过研究和总结, 可以从访问控制方式、权限管理等九个方面对上述四种访问控制技术(DAC 、MAC 、RABC 、UCON ) 进行比较和分析, 如下表2所示。
6 结束语
访问控制是数据库安全最基本、最核心的技术, 网络的发展为访问控制技术提供了更广阔的发展空
图2 UCON 核心模型(ABC 模型)
模型中各元素所代表的意义为:
(1) 主体(Subjects ) :具有某些属性和对客体操作权限的实体;
(2) 主体属性ATT (S ) (Subject A ttributes ) :主体能用于授权控制的属性, 包括身份、角色、安全级别、成员资格等;
(3) 客体(Objects ) :主体能够控制权限, 并能访问和控制的实体;
(4) 客体属性ATT (O ) (Object A ttributes ) :包括安全级别、所有者等, 用于授权控制;
(5) 权限(R ights ) :主体拥有的对客体控制和执行的一些特权, 可分成许多功能类, 如审计类、修改类等;
(6) 授权(Authorizati on Rules ) :允许主体对客体进行访问或使用前必须满足的一个需求集。用于使用决策, 检查主体是否有资格访问客体的决策因
间。同时, 现有的访问控制技术远远不能满足当前系统安全的要求, 也使得对访问控制技术的研究显得尤为重要。因篇幅所限, 本文只对几种主要的访问控制技术进行了研究和总结。此外, 在学者和科研机构的研究及不同领域运用的过程中, 也出现了一些其它的访问控制技术, 例如基于任务的访问控制技术、基于任务和角色的访问控制技术、基于组机制的访问控制技术、面向对象的访问控制技术等, 基于上述机制的种种改进在一定程度上也使得MAC 、DAC 、RBAC 技术更加完善。但从总体上看, 这些技术大都针对具体应用开发, 灵活性较差, 只有个别领域的系统采用这些机制, 没有成为访问控制的主流, 这里不再介绍。
今后的工作主要是一方面深入对RBAC 的研究, 研究RBAC 在不同计算机环境和体系下的具体应用, 将RBAC 框架做成通用性的访问控制框架, 应用到更多领域和系统中, 证明RBAC 策略及其模型
103
2006年 河南科技学院学报(自然科学版)
的有效性、高效性、可控性; 另一方面对下一代访问控制模型UCON 要尤为关注, 将理论和应用研究并进, 构建应用模型进行实际系统的开发, 在实践中进一步验证模型的强大优越性。我们相信访问控制技
DAC
MAC
术的深入研究和实践, 必能极大提高数据库的安全性, 丰富数据库的应用, 为国家和军队的信息化建设产生重要意义。
表2 各访问控制技术的比较
RBAC
UCON
访控方式
基于访问者或访问组身份来访问控制
用户可更改其它用户的
基于被访问信息的敏感程度进行访问控制所有权限由系统管理员分配, 用户或用户进程不能改变自身或其主/客体的安全属性
根据用户的角色获得相应访问权限
权限与用户的逻辑分离极大简化了授权管理; 通过角色配置可以很好实现最小特权
角色配置的合理性、P A
授权、条件、职责决定主体访问权限
主客体属性在存取时可改变(可变特性) ; 可随时间或事件的进行重新判断是否有权限存取(连续特性)
可根据当前环境或系统, 对相对长期可变特性和连续特性为系统安全提供可靠保证可支持数据和数字信息发布的控制和跟踪, 能保证完整性
权限管理访问权限, 一定程度实现了权限隔离和资源保护
在较大的安全网络中, 需
系统开销
定义繁多的访问控制表项, 开销很大, 效率低下, 安全性
完整性
更新数据可能导致数据的完整性冲突
与MAC 并不完全冲突, 可以结合使用
适于单安全级的操作系
适用范围
统和数据库管理系统; 不适于高安全需求和复杂系统
实现难度
容易实现
需定义不同用户资源的安全级别及类型, 开销较大
, 抵制特洛伊木马对数据完整性的实现和分析相当复杂
与DAC 并不完全冲突, 可以结合使用
和UA 分配安全性、管理, 能适应范围广泛的安全策略
用户与数据无直接联系, 通过角色访问数据信息, 更易保持完整性
相互关系
可以通过配置实现DAC 集合了前三者所有的优和MAC
点
适于访问强度较高的I n 2集合了传统访问控制和
适于多安全级的军事和政府领域
ternet 等领域; 不适合处
数字权力管理、可信管理, 可满足数字环境下复杂安全需求
未针对具体问题给出实现模型, 较难实现仅提出概念模型, 研究刚刚起步, 为新系统的开发提供了一个参考框架, 现实应用很少
理存在依赖和时序关系的访问控制
较易实现
应用领域较窄, 主要用于
实现难度较大, 做成通用框架须进一步研究
RBAC 模型已成为美国N I ST 标准, 得到军事、政
实际应用
已经在商业和工业计算机系统中大量应用
美国的军事领域, 国内自
cure 安全数据库系统也
主开发的Open BASE Se 2府部门和众多商家青睐,
且已有可用于www 访问控制的产品
采用此机制
参考文献:
[1] 张敏, 徐震, 冯登国. 数据库安全[M].北京:科学出版
[4] Park J, Sandhu R. Towards U sage Contr olModels:Beyond
Traditi onal Access Contr ol [A ].Pr oceedings of the 7th AC M Sy mposiu m on Access Contr olModels and Technol o 2gies . S AC MAT ’02[C ].Monterey, Calif ornia, US A:AC M , 2002. 57264.
[5] Sandhu R, Park J. U sage Contr ol:A V isi on for Next Gen 2
erati on Access Contr ol[A].V ladi m ir Gor odetsky, Leonard J Popyack, V ict or A Skor m in . MMM -ACNS[C ].St . Pe 2tersburg, Russia:Sp ringer, 2003. 17231.
社, 2005.
[2] 〔美〕格鲁曼. 计算机安全[M].北京:人民邮电出版
社, 2003.
[3] Sandhu R, Coyne E, Feinstein H, et al . Role -Based Ac 2
cess Contr ol Models [J ].I EEE Computer, 1996, 29(2) :38247.
104