数据库管理系统细粒度访问控制的研究.docVIP

分类号 U D C  密级 学号 硕 士 学 位 论 文 数据库管理系统细粒度访问控制研究 学 位 申 请 人：舒鹏 学 指 论文答辩日期 答辩委员会主席 科 导 专 老 业：计算机软件与理论 师：朱虹 副教授 学位授予日期 评阅人 A Thesis Submitted in Partial Fulfillment of the Requirements for the Degree of Master of Engineering Research on Fine-grained Access Control in DBMS Candidate : Shu Peng Major : Computer Software and Theory Supervisor: Associate Prof. Zhu Hong Huazhong University of Science and Technology Wuhan 430074, P. R. China January, 2007 独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除文中已经标明引用的内容外，本论文不包含任何其 他个人或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和 集体，均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人 承担。 学位论文作者签名：舒鹏 日期： 2007 年 2 月 5 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校 有权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查 阅和借阅。本人授权华中科技大学可以将本学位论文的全部或部分内容编入有 关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位 论文。 保密□ ，在_____年解密后适用本授权书。 本论文属于 不保密□。 （请在以上方框内打“√”）  学位论文作者签名：舒鹏  指导教师签名：朱虹  日期：  2007 年 2 月 5 日  日期： 2007  年 2 月 5 日 摘要 在数据库和 Web 技术的引导下，信息系统的数据日趋多样化、个性化和私有化， 需要对数据库中的数据进行基于行、列甚至元素级的访问控制，即细粒度的访问控 制。而传统在应用层部署细粒度访问控制存在诸多弊端，从而使基于行、列甚至元 素级的访问控制应该在数据库管理系统中实现。以国产关系数据库达梦（DM5）为 基础，研究细粒度访问控制（Fine-grained Access Control, FGAC）的实现机制，通过 扩展 SQL 语句来表达和管理安全策略，从而实现细粒度访问控制系统原型。 在分析研究已有商业数据库细粒度访问控制的机制和前人理论的基础上，设计 了在数据库中创建安全策略类型及实例的语法，包括信息过滤体、操作列表、策略 约束条件等要素。在安全策略的基础上，进一步设计了细粒度访问控制系统的总体 结构，结构中四大功能部件分别是策略管理、策略服务、访问控制器和 SQL 执行器。 它们各自完成相对独立的任务。 根据总体设计，在达梦数据库内核实现了以安全策略为核心的细粒度访问控制 子系统。该子系统包含两个主要工作流程，策略管理流程和访问控制器实施安全策 略流程。策略管理流程为安全策略在数据库中集中管理提供了统一的 SQL 接口，而 访问控制器则利用策略服务为语句执行环境挑选出的有效的安全策略，采用动态修 改 SQL 语句技术实施细粒度访问控制。细粒度访问控制子系统执行的结果要么是返 回用户可见的数据集，要么是返回针对用户可见的数据集的合法操作信息。 为了研究细粒度访问控制的正确性和对原系统性能的影响，通过具体大量的测 例来说明细粒度访问控制工作的有效和正确，并选用 TPC-W 多组性能测试数据对比 表明数据库中细粒度访问控制功能的应用对原系统性能的影响很小。 关键词： 数据库，安全策略，查询改写，细粒度访问控制 I Abstract Under the guide of the database and web technology, data in the information system are becoming more diversification, individuation and privatization. The data in the database need access control in the granularity of row, column even single cell , namely fine-grained access control(FGAC). But traditional