基于角色访问控制在Informix数据库系统中的应用.pdfVIP

基于角色访简控锚在Infozmix毁据库系统中的应用 基于角色访问控制在Informix数据库系统中的应用 中国国防科技信息中心阎蕊 (北京市海淀区阜城路26号研究生部100036) 摘要本文分析了基于角色的访问控制机l}I，讨论了它在信息服务中的重要作用，以及Informix敷据库 系统中角色使用与控制的一些应用技术，并以实例进行分析． 关键词角色权限菅理Informix应用 1引言 随着信息服务向电子化、网络化的发展，数据库系统担负着日益艰巨的集中处理大量信 息的任务，其安全问题一直是值得重视的问题。实现安全管理就是保障信息的完整性、保密 性和可用性。访问控制是实现这一目标的重要手段。访问控制主要包括自主访问控制 (DiscretionalAccess Access Control，MAC)；基于 Control，DAC)；强制访问控制(Mandatory basedAccess 角色的访问控制(Role Control，RAC)等。其中，本文讨论的重点是基于角色 的访问控制，并且描述了在Informix数据库中，如何利用这种策略对信息资源进行灵活控制， 实现安全管理．以及实际应用中存在的一些局限性。 2基于角色的访问控制 2．1 基于角色的访问控制 角色(Role)在基于角色的访问控制中是一组操作，是许可权的集合；许可权是对个体的访问 权限。许可权被授权给角色，角色被授权给用户。同一用户可以扮演多种角色．一个角色可 以拥有多个用户。角色可以根据实际的工作需要声称或取消，但角色的定义、分配和删除只 能由系统管理员来执行。如果一个用户不具有任何角色，他无权执行任何事务。 角色之间、许可权之间、角色和许可权之间定义了一些关系。比如角色间的层次性关系， 层次之间存在高对低的继承关系，避免相同权限的重复设置，提高效率。也可以按需要定义 各种约束，如定义某两个角色为互斥角色．即这两个角色不能分配给一个用户。功能完善的 授权模型可能包括否定授权、临时授权、排除授权。 用户与系统交互时，可以打开多个会话。一个会话构成了一个用户到多个角色的映射， 这些角色就是本次会话的活动角色。用户的活动角色必须经过授权。如果某用户要执行某个 事务，那么该事务必须授给当前活动角色。 2．2 基于角色的访问控制模型的优点 基于以上策略，RABC满足了数据由授权用户以授权方式访问的要求，保证角色是经过授 权的，同时保证事务是经过授权的，实现用户无法绕过角色赢接访问信息。 基了二最小特权原则要求，分配给用户的特权不超过用户完成其工作所必需的权限， 而一 个角色所能完成的事务就可以是其完成工作所需的最小特权，可以满足原则要求。 of 互斥角色保证有的许可权不会授予同～用户，体现实际当中职责分离(Separation Duties)的现象，如会计和审计的角色。 因此，在这些条件基础上，我们的安全目标：完整性、保密性和可用性，在一定程度上得到保 基于角色访问控制在lnformix数据库系统中的应用 证①。 23 RABC在某些特殊情况下的局限性 基于角色的权限管理主要关心哪类用户可以对哪类信总执行哪种动作。而在某些特殊领 域，如某些国防科技信息服务系统中，主要关心的是防止信息从高安全级流向低安全级，即 限制哪类用户可以读哪类信息。当然，使用RABC可以满足这类要求，但是，设计实现比较 繁琐②。 采用RABC技术系统授权模型在要求支持不同层次的授权粒度，如字段、记录、对象、 类等．在保密性要求较高的领域管理的前期工作是很大的。定义众多的角色和访问权限，以 及它们之间的关系，而不出问题，是一件复杂的事情。 3基于角色访问控制在Informix数据库系统中的应用