[计算机软件及应用]数据库的访问控制.ppt

* 为了避免隐蔽通道，每更新一个元组，可能要再插入一个元组，将此更新对那些访问等级低于c的用户隐藏起来，新插入的元组t’’定义如下： 更新操作时，对每个元组t∈S,是用t’和t’’来替换，如果更新结果满足多实例完整性，更新操作成功，否则，拒绝此更新操作，原关系不变。 * 更新操作对实例R’c的影响 实例Rc更新操作的结果是按照最小传播策略传播到访问等级更高的实例R设S是实例Rc’c中的，即只将为维护实例间完整性所必须的元组插入实例Rc’c。插入实例Rc’c的元组是更新过的元组t’，可能还有元组t’’。 设Ai是SET子句中的一个属性，t[Ci]=c,t[Ai]=x,其中x是非空值。假定一个访问等级为c的用户要求将属性t[Ai]的值x修改为si。由于是多实例的原因，在Rc’c中可能存在几个元组，它们与t具有相同的外观主码，并且在属性上Ai上具有相同的值与安全等级。为满足多实例完整性，这些元组中的属性Ai的值x必须修改为si。 对每个Ai∈SET子句，且t[Ai]≠null，设 U={u∈Rc’c|u[AK,CAK]=t[AK,CAK],u[Ai,Ci]=t[Ai,Ci]} 对每个u∈U,构造一个u’:对SET子句中出现的每个Ai，使u’[Ai,Ci]=(si,c)，使u’中其他元素与u中相应元素相同，用u’替代u.向实例Rc’c中插入元组t’和t’’。 * (3)删除操作 删除操作语句的格式：DELETE FROM Rc [WHERE p]。这里p是谓词表达式，以确定Rc中应删除的元组 在多实例条件下，可能要求执行某些附加的操作，如可能要在Rc’c中删除相应的元组，以维护实例间完整性。 设t是DELETE语句中满足谓词条件的元组，则有： 如果t[CAK]=c,则删除Rc’c中所有多实例元组。 如果t[CAK]c,所有多实例元组将继续留在Rc’ ≥t[CAK]的所有实例中。 * 对模型作扩展，从不同角度为排除多实例做出努力。 (1)使所有码是可见的。在这一方法中，关系的外观主码具有最低访问等级，因此关系中所有外观主码是可见的。 (2)划分主码域。这种方法将主码的域按主码可能具有的各种访问等级进行划分，这就排除了具有不同访问等级的有户试图向关系中插入具有相同外观主码的元组的情况。 (3)限制插入操作由可信主体完成。这种方法中，限制所有插入操作必须由一个系统最高访问权限的用户或由一个能访问所有元组的用户来完成。 4.6.2 模型的扩展 * 4.7 RBAC96模型 RBAC模型与DAC模型和MAC模型之间最本质的区别是：权限不直接赋予特定的用户，而是指派给角色。当用户被指派到特定角色中后获得适当的权限。 目前三种广泛运用的基于角色的访问控制模型，分别是RBAC96、角色图模型和NIST模型。 RBAC模型的基本术语包括： 角色(Role)：一种表述组织中权限和职责的工作功能。该工作功能可以授予被指派到该角色的用户。 4.7.1 基本术语和记号 * 权限(Permission)：描述授权行为类型，即主体对客体具有哪些授权行为。 用户(User)：直接和计算机系统进行交互的人。 主体(Subject):引起信息在对象之间流动或改变系统状态的主动实体。 客体(Object):包含或接受信息的被动实体。 资源(Resource)：执行功能时任何可用的东西。 角色层次(Role Hierarchy)：角色之间的一种偏序关系。 约束(Constraint)：两个角色或多个角色之间的关系。 * 管理角色(Administrative Role)：一个具有更改用户、角色和权限的集合，具有更改用户指派或权限指派关系的角色。 组(Grop)：用户集合。 会话(Session):用户与用户所具有的角色，激活子集之间的映射。 职责分离(Separation of Duty):一种禁止约束，即同一个体不能同时指派给两个或多个互斥的角色中。 行为约束(Obligation Constraint):特定的角色必须在一个会话中被同时激活。 * 记号 数学描述 语义 ↓r ↑r {r’ ∈R:r’ ≤r} {r’ ∈R:r’ ≥r} 角色r的所有下级角色的集合 角色r的所有上级角色的集合 P(r) ↓P(r) {p∈P:(p,r)∈PA} {p∈P:(p,r’)∈PA,r∈↓r} 显示指派给角色r的权限 指派给角色r的权限 R(p) ↑R(p) {r∈R:(p,r)∈PA} {r’∈R:(p,r)∈PA,r∈↑r} 被显示指派权限p的角色集合 指派权限p的角色集合 R(u) ↓R(u) {r∈R:(u,r)∈UA} {r’∈R:(u,r)∈UA,r’∈↓r} 显示指派给u的角色集合 指派给u的角色集合 U(r) ↑U(r) {u∈U:(u,r)∈UA}