淺析數據庫的安全訪問控制機制

趙登峰ZHAO Deng-feng；許英杰XU Ying-jie；王諍WANG Zheng

（66440 部隊62 分隊，石家莊 050081）

（Unit 62 of Army 66440，Shijiazhuang 050081，China）

1 探討數據庫安全訪問機制的意義

現階段數據庫技術在全世界范圍內已經得到了廣泛的應用，同時數據庫系統的安全問題也變成了人們關注的焦點，而圍繞數據庫的訪問控制就是數據庫安全的主要工作。訪問控制不僅是信息安全保障機制的核心內容[1]，也是實現數據保密性和完整性機制的主要手段。為了保證計算機系統在合理情況下使用，訪問控制需要限制訪問主體對訪問客體的訪問權限；用戶及代表一定用戶利益的程序能做什么，及做到什么程度取決于訪問控制機制。

2 數據庫安全訪問控制機制的分類

為了實現對信息的保護，訪問控制機制需要運用到數據庫安全保護中，對以下幾類行為進行必要的控制：讀取數據、運行可執行文件、發起網絡連接等等。

分析目前相關的研究可以發現，訪問控制機制主要分為以下三大類：[2]

2.1 自主訪問控制 自主訪問控制（DAC）是建立在系統承認客體是通過“擁有”與主體聯系起來的基礎之上的，有了這一基礎，主體自然具備該客體的所有訪問權限，同時主體還能夠把這些權限的一部分或者全部轉讓給其他的用戶。每當主體訪問其他的用戶時，都必須進行存取檢查。

2.2 強制訪問控制 強制訪問控制（MAC）管理是由系統或數據庫管理員負責的，它提供的是客體在主體之間共享的控制，系統擁有者的安全策略決定了它的安全性。雖然DAC 屬于系統安全策略的一部分，但是客體的擁有者才對其擁有決定權，原則上系統安全管理人員無權干預授權的傳遞和轉讓。客體的DAC 方式可能會被客體的擁有者改變，但是客體的擁有者不能改變客體的MAC 方式。以BLP（Bell-LaPadula）為模型逐漸發展起來的MAC，主體和客體都具有安全級，其中密級和范圍是安全級的兩個元素。客體所含信息的敏感程度由客體的安全級顯示，主體的可信度由主體的安全級顯示。

以下兩個規則是實施強制訪問控制時必須遵守的規則：一是不能上讀：主體只能讀安全級受其安全級支配的客體；二是不準下寫：主體只能寫安全級支配其安全級的客體。由于MAC 實施訪問控制時是建立在安全等級的基礎上的，所以它能夠躲避很多病毒的攻擊。

2.3 基于角色的訪問控制[3]基于角色的訪問控制（RBAC）最早是由Ravi Sandu 提出的，它是美國George Mason 大學的一位教授，該機制具有解決很多復雜問題的能力。基于角色的訪問控制主要包括會話、用戶、角色、許可等主要概念，其中角色是訪問權的集合。一旦某一個用戶擁有一個角色時，那么這個角色所有的訪問權也同時被這個用戶擁有了。用戶和角色之間是多對多的關系，同時這也是角色和許可之間的關系。用戶只要進入RBAC 模型系統中，就會得到一個會話，同時激活一個角色，有可能這個角色是該用戶的全部角色的子集，那么此時對于這個用戶來說，就擁有了全部被激活的角色所包含的訪問權。這就是基于角色的訪問控制最大的優勢，它很容易實施最小特權原則。由于在應用層內角色的邏輯意義更為明顯和直接，所以RBAC 很適合于數據庫應用層的安全模型。

3 幾種數據庫安全訪問控制機制的優缺點

在數據庫系統的訪問控制的發展歷程中，最早出現的訪問控制安全策略是自主訪問控制（DAC），同時它也是在現階段流行的Unix 類操作系統中最常見的。它有以下不足：資源管理比較分散；用戶間的關系不能在系統體現出來，不易管理等，它最大的缺點是無法對系統中信息流進行很好的保護，很容易泄露信息，也無法抵御病毒的攻擊。而強制訪問控制雖然能夠較好地解決特洛伊木馬的問題，但缺點是應用的領域比較窄，完整性方面控制不夠。目前基于角色的訪問控制是最先進的，它是一種策略無關的訪問控制技術，并且具有自我管理的能力。唯一的不足時還處于發展階段，不是十分成熟。

4 數據庫安全訪問控制機制的發展方向

當前社會各項先進技術相互交融、相互滲透已經是趨勢，隨著數據庫技術、網絡通信技術、面向對象技術等技術的不斷相互滲透和融合，用戶對數據庫安全的需求也同過去相比發生了很大的改變，提出了很多新的問題，使得數據庫安全面臨著很多的挑戰。數據庫安全訪問控制機制主要向以下拓展：進一步擴展DAC 的授權表示能力，并開發通用的描述安全策略的語言，使DAC 能直接支持各種安全策略；RBAC 期待進一步的研究和應用于實際的DBMS。盡管目前的一些DBMS 支持基于角色的策略，但還未充分開發RBAC 的潛力，特別地，基于角色的策略可滿足分離責任的要求，但目前的DBMS 并未實現這一點。

5 結束語

從對有關數據庫安全訪問控制技術發展文獻的調研和綜述可以看出：數據庫的安全問題越來越受到重視，尤其是網絡技術的飛速發展，在網絡中運行的數據庫服務器安全機制問題，更使得數據庫研究者需要重新考慮在新情況下對傳統技術的改進。從廣度上講，新問題的出現需要我們開拓思路，尋求創新性的技術突破。

[1]宋志敏，南湘浩，唐禮勇，等.數據庫安全的研究與進展[J].計算機工程與應用，2001，01：85-87.

[2]李躍明.數據庫系統的創新發展[J].電腦知識與技術，2011（2）.

[3]魏紅霞.信息管理中數據庫系統的應用[J].煤炭技術，2012（6）.