浅析数据库的安全访问控制机制

浅析数据库的安全访问控制机制

作者：赵登峰许英杰王诤

来源：《价值工程》2014年第33期

摘要：随着数据库技术的广泛应用，数据库的安全越来越受到重视。本文讨论了几种数据库的安全访问控制机制和各自优缺点，并指出了未来的访问控制机制的发展方向。

关键词：数据库；安全；访问控制

中图分类号：TP311.13 文献标识码：A 文章编号：1006-4311（2014）33-0225-02

1 探讨数据库安全访问机制的意义

现阶段数据库技术在全世界范围内已经得到了广泛的应用，同时数据库系统的安全问题也变成了人们关注的焦点，而围绕数据库的访问控制就是数据库安全的主要工作。访问控制不仅是信息安全保障机制的核心内容[1]，也是实现数据保密性和完整性机制的主要手段。为了保证计算机系统在合理情况下使用，访问控制需要限制访问主体对访问客体的访问权限；用户及代表一定用户利益的程序能做什么，及做到什么程度取决于访问控制机制。

2 数据库安全访问控制机制的分类

为了实现对信息的保护，访问控制机制需要运用到数据库安全保护中，对以下几类行为进行必要的控制：读取数据、运行可执行文件、发起网络连接等等。

分析目前相关的研究可以发现，访问控制机制主要分为以下三大类：[2]

2.1 自主访问控制自主访问控制（DAC）是建立在系统承认客体是通过“拥有”与主体联系起来的基础之上的，有了这一基础，主体自然具备该客体的所有访问权限，同时主体还能够把这些权限的一部分或者全部转让给其他的用户。每当主体访问其他的用户时，都必须进行存取检查。

2.2 强制访问控制强制访问控制（MAC）管理是由系统或数据库管理员负责的，它提供的是客体在主体之间共享的控制，系统拥有者的安全策略决定了它的安全性。虽然DAC属于系统安全策略的一部分，但是客体的拥有者才对其拥有决定权，原则上系统安全管理人员无权干预授权的传递和转让。客体的DAC方式可能会被客体的拥有者改变，但是客体的拥有者不能改变客体的MAC方式。以BLP（Bell-LaPadula）为模型逐渐发展起来的MAC，主体和客体都具有安全级，其中密级和范围是安全级的两个元素。客体所含信息的敏感程度由客体的安全级显示，主体的可信度由主体的安全级显示。

以下两个规则是实施强制访问控制时必须遵守的规则：一是不能上读：主体只能读安全级受其安全级支配的客体；二是不准下写：主体只能写安全级支配其安全级的客体。由于MAC 实施访问控制时是建立在安全等级的基础上的，所以它能够躲避很多病毒的攻击。

2.3 基于角色的访问控制[3] 基于角色的访问控制（RBAC）最早是由Ravi Sandu提出的，它是美国George Mason大学的一位教授，该机制具有解决很多复杂问题的能力。基于角色的访问控制主要包括会话、用户、角色、许可等主要概念，其中角色是访问权的集合。一旦某一个用户拥有一个角色时，那么这个角色所有的访问权也同时被这个用户拥有了。用户和角色之间是多对多的关系，同时这也是角色和许可之间的关系。用户只要进入RBAC模型系统中，就会得到一个会话，同时激活一个角色，有可能这个角色是该用户的全部角色的子集，那么此时对于这个用户来说，就拥有了全部被激活的角色所包含的访问权。这就是基于角色的访问控制最大的优势，它很容易实施最小特权原则。由于在应用层内角色的逻辑意义更为明显和直接，所以RBAC很适合于数据库应用层的安全模型。

3 几种数据库安全访问控制机制的优缺点

在数据库系统的访问控制的发展历程中，最早出现的访问控制安全策略是自主访问控制（DAC），同时它也是在现阶段流行的Unix类操作系统中最常见的。它有以下不足：资源管理比较分散；用户间的关系不能在系统体现出来，不易管理等，它最大的缺点是无法对系统中信息流进行很好的保护，很容易泄露信息，也无法抵御病毒的攻击。而强制访问控制虽然能够较好地解决特洛伊木马的问题，但缺点是应用的领域比较窄，完整性方面控制不够。目前基于角色的访问控制是最先进的，它是一种策略无关的访问控制技术，并且具有自我管理的能力。唯一的不足时还处于发展阶段，不是十分成熟。

4 数据库安全访问控制机制的发展方向

当前社会各项先进技术相互交融、相互渗透已经是趋势，随着数据库技术、网络通信技术、面向对象技术等技术的不断相互渗透和融合，用户对数据库安全的需求也同过去相比发生了很大的改变，提出了很多新的问题，使得数据库安全面临着很多的挑战。数据库安全访问控制机制主要向以下拓展：进一步扩展DAC的授权表示能力，并开发通用的描述安全策略的语言，使DAC能直接支持各种安全策略；RBAC期待进一步的研究和应用于实际的DBMS。尽管目前的一些DBMS支持基于角色的策略，但还未充分开发RBAC的潜力，特别地，基于角色的策略可满足分离责任的要求，但目前的DBMS并未实现这一点。

5 结束语

从对有关数据库安全访问控制技术发展文献的调研和综述可以看出：数据库的安全问题越来越受到重视，尤其是网络技术的飞速发展，在网络中运行的数据库服务器安全机制问题，更使得数据库研究者需要重新考虑在新情况下对传统技术的改进。从广度上讲，新问题的出现需要我们开拓思路，寻求创新性的技术突破。

参考文献：

[1]宋志敏，南湘浩，唐礼勇，等.数据库安全的研究与进展[J].计算机工程与应用，2001，01：85-87.

[2]李跃明.数据库系统的创新发展[J].电脑知识与技术，2011（2）.

[3]魏红霞.信息管理中数据库系统的应用[J].煤炭技术，2012（6）.