推理-信息安全研究试验室.PPT

第15讲数据库系统的基础安全性 第6章：数据库系统的基础安全性 本讲内容 主题：数据库系统的基础安全性 教材内容： 第6.1节：数据库系统安全概貌 第6.2节：关系数据库自主访问授权 第6.3节：基于视图的访问控制 第6.4节：基于角色的访问控制 第6.5节：数据库推理控制 数据库安全研究课题 数据库自主访问控制 数据库强制访问控制 基于XML的Web数据安全 推理控制与统计数据库的安全性 GIS数据的安全性 信息网格体系结构的安全性 传感数据的安全性 Web服务和语义Web 的私密性与安全性 数据库数据安全性支持机制 数据的机密性 主要由访问控制机制实现 数据的完整性 主要由访问控制机制和语义完整性约束来实现 数据的可用性 主要由数据恢复子系统和并发控制机制来实现 关系数据库自主访问控制 非集中式的授权管理 授权的动态发放与回收 通过视图支持基于内容的授权 否定式授权 基于角色和基于任务的授权 基于时态的授权 环境敏感的授权 RDBS与OS的访问控制模型区别 RDBS的访问控制模型由逻辑数据模型表示 RDBS中的授权应该以关系、关系属性和记录来表示。 在RDBS中，除了基于名称的访问控制以外，还要支持基于内容的访问控制。 经典系统：System R System R访问控制模型的授权发放与回收命令，即GRANT与REVOKE命令，被SQL标准采纳。 授权的一般性描述形式 (S, O, A, P) 当谓词P为真时，主体S有权对客体O进行A类型的访问。 (S, O, A) 谓词P为空（Null）时的形式 授权的发放与回收 发放：GRANT (S, O, A) SQL表示：GRANT A ON O TO S 例： GRANT SELECT ON emp TO bob 回收：REVOKE (S, O, A) SQL表示：REVOKE A ON O FROM S 例： REVOKE SELECT ON emp FROM bob 授权的委托管理 用户A执行： GRANT A ON O TO 用户B WITH GRANT OPTION 用户B执行： GRANT A ON O TO 用户C WITH GRANT OPTION 否定式授权 问题： S1不向S2发放授权A，S3可能向其发放，S2依然会拥有授权A。 常规授权： GRANT (S, O, A) GRANT DELETE ON emp TO bob 否定式授权： GRANT (S, O, NOA) GRANT NODELETE ON emp TO bob 解决授权冲突的原则 否定优先原则：如果一个主体既拥有在某个客体上进行某种操作的肯定式授权，也拥有在该客体上进行同样操作的否定式授权，那么，否定式授权发挥作用，肯定式授权不起作用。 个体优先原则：如果某个小组及其组中的某个用户都拥有同一个客体上的同一种访问类型的授权，并且，两者所拥有的授权是冲突的，那么，用户拥有的授权发挥作用，小组拥有的授权不起作用。 授权的递归与非递归回收 递归回收：S1发出的回收A的操作不但回收S2的A授权而且回收S3和S4的A授权。 非递归回收： S1发出的回收A的操作只回收S2的A授权。 例： 递归回收： REVOKE A ON O FROM S2 CASCADE REVOKE A ON O FROM S2 禁止回收： REVOKE A ON O FROM S2 RESTRICT 多方授权与回收 一个主体执行的授权回收操作只能回收自己发放的授权，对其他主体发放的授权没有影响。 例： S1的操作不影 响S0发放的授 权 授权的时效性 授权主体S在时段T内在客体O上执行A操作：GRANT (S, O, A, T) 时段T的表示： 具体日期：20080930) 周期性日子：(******01-******20) 月份：(****01**-****03**, ****10**-****12**) 工作日：(W1-W5) 周末：(W6, W7) 系统级的访问授权 普通授权：保护数据库数据。 系统级授权：保护数据库模式。 创建表、删除表、增加字段、删除字段、创建用户、删除用户、建立会话、改变会话、创建触发器、执行存储过程、… 例： GRANT CREATE TABLE TO bob GRANT DROP TABLE TO alice 基于视图的访问控制 创建视图 CREATE VIEW young_clerks AS SELECT ename, sex, deptno, phone FROM emp WHERE age = 30 AND job = ‘CLERKS’; 授权用户访问视图 GRANT SELECT ON y