（农业机械化工程专业论文）基于代理的oracle数据库访问控制系统研究与实现.pdf

摘要 基于代理的0 r a c1e 数据库访问控制 系统研究与实现 农业机械化工程专业硕士研究生徐菁 指导教师余建桥教授 摘要 目前数据库的应用正在深入到我国的各个行业，这些数据库系统担负着存储和管理信息 的任务，集中存放着大量数据，泄漏或破坏这些信息将会给企业和国家造成重大损失。 当前普遍采用的o r a c l e 数据库管理系统是美国的公司研制的。在日常的应用过程中，会 发现有各种各样的漏洞，o r a c l e 数据库管理系统有用户身份验证、权限控制等功能，但已经 暴露出多个访问控制的安全漏洞，入侵者可以绕过数据库系统的访问控制直接访问数据库， 基于o r a c l e 本身的数据库访问控制系统只能满足限制内部人员的要求；o r a l c e 数据库系统 未公开源代码，我们不掌握其基本原理，无法确定系统是否还存在其它漏洞，无法在其原有 的访问通路中插入安全增强模块，存在潜在的安全隐患。目前国内厂商和科研机构主要采用 的数据库增强方式主要存在以下问题：一方面对数据库应用存在修改要求，需要使用数据库 系统提供的0 d b c 、j d b c 、a d 0 等接口，实际应用的工作量和难度大：另一方面，大多数数据 库系统都是防火墙来保证数据库服务器的安全，而通过数据库和防火墙结合的方法虽然可以 在一定程度上增强系统的安全性但是不够灵活，无法使用保密手段解决所有的安全问题。 本文针对国内普遍使用的封闭o r a c l e 数据库系统无法在其原有的访问通路中插入安全增 强模块的特点，在系统外部增设安全加固模块，通过安全增强技术，扩充原有系统的安全功 能。增加的访问透明代理能实现对数据库的访问控制与具体的应用系统分离；同时数据库访 问控制系统提供分布式边界防护功能。 具体来说，本文主要取得了以下研究成果： 1 运用t n s 协议解析技术、s q l 语句解析技术和i p 包拦截与控制技术实施对数据库的访 问控制，不对数据库内部流程进行修改，达到了与数据库管理系统本身的访问控制不冲突的 目的。 2 采用认证设备自动判决的方式，进行用户身份鉴别和认证，可同时兼容u s bk e y 和指 纹认证设备。可在用户管理中设定用户对应的k e y 和指纹，保证用户可选择使用u s bk e y 或 指纹进行登录，系统设计中充分考虑了用户认证授权自身的安全性，设计了专用的认证，对 用户身份和服务器身份都进行了双向确认。系统保证用户所访问的数据库服务器是其想要访 问的数据库服务器，同时保证数据库服务器能验证用户身份的真实性，达到了双向认证的目 i 西南人学颀一l 学位论文 的。同时对数据库管理系统刚户身份鉴别过程中的敏感信息进行保护，使用编码机制对消息 内容进行变换，同时使用校验码对消息进行完整性验证，防止对敏感信息的窃取和篡改。 3 设计了“用户角色数据库表级权限”三级权限策略管理系统，用户可分配某 数据库用户角色，针对每个数据库用户角色可分配对受控数据库表的访问权限，从而实现 用户到数据库表权限的映射管理。 该系统在塔里术油田系统内部得到广泛应用，经实践证明该系统是一种非常有效的数据 库安全解决方案。对政府、企事业单位在信息化建设具有，“泛的研究意义和应用价值。 关键词：访问控制t n s 协议分析s q l 语句解析 l p 包拦截与控制 a b s 衄c t a bs t r a c t c u r r e n t l yo n g o i n gd a t a b a a p p l i c a t i o ni n 司e p tt oc h i n a t sv 耐o u si 1 1 d u s 砸e s ，s u c hd a t a b 觞e s y s t e mr e s p o n s i b l ef o rt l l ei n f o n 】1 a t i o ns t o r a g ea n dm n a g e m e n tt a s k s k 唱ea m o 岫t so fd a t ai s s t o r e dt o g e t l l e ri 1 1d a t a b a s e s ，i fm ei l l f o m ：l a t i o ni s 也l i t 埝g e do rl e a k e ds i g l l i f i c a n tl o 蟠e st o t e r p r i 辩s 锄dm es t a t ew i l lb ec a u s e d a c c o m 函gt ot c s e cd e v e l o p e db ym eu s d 印a m l e n to fd e 蠡m ，“i sg e n e 豫1 1 yb e l i e v e d 廿1 a td a t a b a s ep r c h d u c t sa r ec o 眦i d e r e ds a f ei ft h e i rs e c u r i t y1 e v e li sd b 0 v eb - l e v e l a tp r e s e m ，s o i n e d e v e l o p e dc o u l l t r i e si ne u r o p ea n da m e r i c ah a v eb e e nd e v e l o p e dm e 鳃f - e 妙d a t a b 勰ef o rt l l ebl e v e l 柚da b o v e ，觚dp u t t e dt l l e mi n t ot h ei n t e m a t i o n a ln l a d ( e t h o w e v e f t h e yr e s t r i c to ne x p o n st l l e mt o c l l i m h 1c h i l l a ，i nt h es e c 埘t ya s p e c t so ft l l ed a t a b l 弱ed e v e l o p m e i l tr e l a t i v e l yl a t es t a n r o u g l lm e b l e v e ls e c u d t yd a k l b 觞ep r o d u c t sw i mi n d 印e n d e l l ti n t e l l e c t u a lp r 叩e n yr i 曲t sh a v e b e e n r e s e a f c h e d 锄dd e v e l 叩e d ，l em a r k e ts h a r ei sv e r yl o w a tp r e s e n t ，m o r et h a l l9 5 o fd a t a b 擞 p r o d u c t ss u c h 弱o r a c l e 、s y b 弱e 、d b 2 、s q ls e n ，e ru s e di i lc h i ma r e6 o mf o r e i 印c o u n t r i e s ，锄d t l 豫s e c u r i t ) ，l e v e lo ft h 锄o n l yr c a c hc 2 - l e v e ls t 锄d a r d s t h ec o m m e r c i a ld a t a b 觞eo fo r a c l e g e n e r a l l yu s e d i l lc h i n ai si nl o wl e v e lo fs e c u r i 够f o 咖u s e fi d e n t i 五c a t i o n ，w ec a i ls e e 吐斌 c o l m n e 忧i a lo m c l eo n l yo 腩r sas i m p l eu s e rn a 耵锄dp 鹊s w o r dm e c h a l l i s l t lf o 肋t 1 1 ep e r s p e c t i v c o fa c c e s sc o n t r o l ，w ec a ns e et h a to r a c l eo 疏r sam e c h a l l i s mo fa u m o r i z e dm a r i a g e m e n tb a s e do n a c c e s sc o n 仃d lm a t r i x ，w e t h e rm i sm e c h a n i s mc 锄r e a l l yt a k ee f r e c tm a m l y r e l yo nt l l eu s eo fu s e r o m c l ed o e sn o tc o n d u c tam 拍d a t o 叮鼢f i e t yr e q u i r e m e n t b 勰e d0 nt l l es 协d a r dl e v e lo fs e c u r i t y p m t e c t i o nr c q u 施m ! e n t so fc h i n a s 出l t 2 l b 弱es y s t e i i l t l l e s e c 谢t yl e v e lb e t w e 锄“u s e r - 1 e v e i p r o t e c t i o n ”a n d “s y s t e m 1 e v e la u d i tp r o t e c t i o n ”u m l b l et om e e tt 1 1 eh i g h1 e v e lo fs e c u r i t ) ，p r o t e c t i o n o fd a t as t o 忍g ea n da c c e s sn e e d s a sac o 衄n e r c i a ld a 僦) a s em 卸a g e m e n ts y s t e i i l ( 加c l ec o d e s y s t e mi sn o tm a d ep u b l i c ，i tn m s tb ee x p a n d e d 觚d 们n s f o n l l e db ye t l l l 她c e dw a yo fm u l t i p l e 辩c 试t ym e a i l smo r d e rt om a k ei ta c h i e v eb1 一l e v e lo rb 2 - l e v e lo fs e c u d 妙 t h es n e n g m e n i n go ft 1 1 em a i nm e t l l o d su s e db yd o m e s t i cm a i l u f a c t u f e s 锄dr e s e a r c h i i l s t i t u t i o l l sr e c e n t l ye x i s tt h ef o l l o w i n gq u e s t i o n s ：0 nt l l eo n eh a n d ，i ti sn e e d e dt om o d i 母d a t a b a s e 。u s i n gt l l ei n t e 而c eo 旋r e db yo r a c l e ，s u c ha l so d b c 、j d b c 、a d o a 1 1 di ti sw o r k l o a da i l dd i 伍c u l t o nt 1 1 eo t i l e rk m d ，m o s td a t a b a s es y s t e m sa r er e l i e do nf i r e w a l lt oe n s u r et 1 1 ed a t a b 舔es e n ，e r s s e c l l r i 哆w ec a nn o tu c o n f i d e n t i a lm e a n st or e s o l v ea l lt h es e c u r i t yi s s u e s ，a l m o u g hi tc a nb e e i l l i 锄c e dt 0ac e n a i ne x t e n tb yt 1 1 em e a i l s0 fd a 劬a s ea i l df i r e w a l lc o m b i n 抽g t 1 1 i sp a p e ri n c r e a s e sa d d i t i o n a lr e i l l f o r c e m e n tm o d u l ei nt 1 1 ee x t e m a lo fo r a c l e ，a c c o r d i n gt o m ef e a t u r eo ft h a tw ec a l ln o ti n c r e a s es e c u r i t ym o d u l ei nt h ei n t e m a lo fo m c l ec o m m o n l yu s e da t h o m e 锄da b r o a d t h ea d d i t i o n a lt m n s p a r e n ta g e n t sc 锄i i n p l e m e n tt h ed a t a b 觞ea c c e 鼹c 锄t r o l 卸d i i i 阴嘴人竽删r 竽世记义 s p e c i 6 ca p p l i c a t i 。n ss e p a r a t i o n a tt h es a m et i m e ，t 1 1 i sd a t a b a s ea c c e s sc o n 仃o ls y s t e mo 艉r s d i s t f i b u t e db o r d e rp m t e c t i o n i ti sav e r ye 行e c t i v ed a t a b a s es e c 嘶够s o l u t i o na i l di th 蕊ab r o a d m e a l l i n ga i l dv a l u e o fr e s e a r c hi i it l l ei n i 0 肌a t i o n b u i l d i n gt og o v e n 蛐t e n t 唧r i s e s 柚d i n s t i t l n i o n s k e y w o r d s ： a c c e s sc o n t r o lt n sp r o t o c o i a n a i y s i s s o la n a l y s i si p p a c k e t sin t e r c e p t i v 独创性声明 学位论文题目：基王岱垄鲍q ! 垒曼! 曼数塑庄透阅控剑丕统砑窒 鱼塞熟 本人提交的学位论文是在导师指导下进行的研究工作及取得的 研究成果。论文中引用他人已经发表或出版过的研究成果，文中已 加了标注。 学位论文作者：纨篱 签字日期：矽r 年月矿日 学位论文版权使用授权书 本学位论文作者完全了解西南大学有关保留、使用学位论文的 规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘， 允许论文被查阅和借阅。本人授权西南大学研究生部可以将学位论 文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩 印或扫描等复制手段保存、汇编学位论文。 一 ( 保密的学位论文在解密后适用本授权书，本论文：口不保密， 囹保密期限至j 口绾年j 月止) 。 学位论文作者签名：稳蒿 签字日期：础年y 月g 日 锄张令场 签字日期：，口6 年厂月g 日 绪论 1 1 研究背景及意义 第1 章绪论 数据库是企业信息系统的核心，也是企业信息系统安全的最后一道防线。根据数据库使 用管理要求，针对不同密级( 秘密、机密、绝密) 的数据，必须按相关文件规定，严格控制 人员对数据的查询、打印、下载及修改权限。目前普遍采用的o r a c l e 数据库管理系统是美国 的公司研制的。在日常的应用过程中，会发现有各种各样的漏洞，o r a c l e 数据库管理系统有 用户身份验证、权限控制等功能，但已经暴露出多个访问控制的安全漏洞，入侵者可以绕过 数据库系统的访问控制直接访问数据库，基于o r a c l e 本身的数据库访问控制系统只能满足限 制内部人员的要求；o r a l c e 数据库系统未公开源代码，我们不掌握其基本原理，无法确定系 统是否还存在其它漏洞，无法在其原有的访问通路中插入安全增强模块，存在潜在的安全隐 患。因此，在我们无合适的国产数据库替代o r a c l e 的情况下，研制一套能有效对抗外来入 侵、对用户访问数据库的操作进行记录、对原有o r a c l e 数据库应用系统不产生影响的基于代 理的数据库访问控制系统是非常必要的。 研制基于代理的数据库访问控制系统的主要目的是解决业务数据库中信息“不该看的不 能看”这一安全难题。访问控制系统研制完成后的最终结果是在o r a c l e 数据库外加了一道“防 盗门”，用户访问数据库必须先通过访问控制系统的验证，然后再通过0 r a c l e 数据库本身的 认证，实现了自主知识产权软件和o r a c l e 数据库本身相结合的双重访问控制。加入本系统后， 已有的数据库应用能在不进行任何代码修改的情况下保持原有功能，同时增强安全性。 本课题是塔里木油田信息安全技术体系设计与管理体系建立项目中的一个子课题。该方 案是为解决塔里木油田信息安全问题而提出的一整套的解决方案。本系统采用c s 技术，主 要由塔里木油田信息中心提出使用需求，并由中国科学院华建集团研制。 1 2 研究内容 本文简略介绍了相关数据库安全技术：并详细介绍了使用t n s 协议解析技术、s q l 语句解 析技术和i p 包拦截与控制技术实现对0 r a c l e 数据库的访问控制。数据库访问控制与应用系 统无关。系统部署在数据库服务器的外层，增加数据库访问控制系统后无需改变原有访问控 制配置，同时增强数据库访问的安全性，为数据库访问控制功能的实现提供了一种新的解决 方案。其实现符合“可信计算机系统评估标准在数据库管理系统的解释”等国际标准，可以 有效支撑各种级别的安全应用。在数据库访问控制领域内，该课题具有新颖性。 具体来说，本文有如下研究内容： ( 1 ) 分析数据库安全代理对访问控制的特殊需求以及现有角色访问控制模型不足，形式化 l 两南人学硕：t 学位论文 地定义了一个适应于数据库安全代理的模型d s p r b a c 模型。 ( 2 ) 运用t n s 协议解析技术、s q l 语句解析技术和i p 包拦截与控制技术实施数据库的访 问控制，不对数据库内部流程进行修改，达到了与数据库管理系统本身的访问控制不冲突的 目的。 ( 2 ) 设计了“用户角色数据库表级权限”三级权限策略管理系统，用户可分配某 一数据库用户角色，针对每个数据库用户角色可分配对受控数据库表的访问权限，从而实现 用户到数据库表权限的映射管理。 ( 4 ) 采用认证设备自动判决的方式进行户身份鉴别和认证，可同时兼容u s bk e y 和指纹认 证设备。对数据库管理系统用户身份鉴别过程中的敏感信息进行保护，使用编码机制对消息 内容进行变换，同时使用校验码对消息进行完整性验证，防止对敏感信息的窃取和篡改。 1 3 结构安排 本文共分6 章，论文结构如下： 第l 章，绪论。介绍课题背景、课题来源及本文工作。 第2 章，数据库安全技术。本章介绍了数据库安全研究现状、发展动态及目前所使用和 研究的多种安全机制。 第3 章，d s p r b a c 模型。分析数据库安全代理对访问控制的特殊需求以及现有角色访问 控制模型不足，形式化地定义了一个适应于数据库安全代理的模型d s p r b a c 模型。 第4 章，系统总体设计方案。介绍了系统的总体设计方案，包括系统功能、系统性能、 系统组成、系统工作原理、技术方案、系统体系结构及系统典型配置等。 第5 章，系统软件设计方案。介绍系统软件设计方案，具体介绍各主要功能模块的设计 及实现情况及实现该系统用到的关键技术，包括t n s 协议解析技术、s q l 语句解析技术、i p 包拦截与控制技术、基于角色的访问控制技术等。 第6 章，结论与展望。总结论文所做的工作，并指出不足之处，提出系统进一步完善的 研究方向。 2 数据库安全技术 第2 章数据库安全技术 2 1 数据库安全国内外研究及发展状况 数据库管理系统经历了3 0 多年的发展演变，已经取得了辉煌的成就，发展成了一门内容 丰富的学科，形成了总量达数百亿美元的一个软件产业。八十年代，为适应计算机安全技术 飞速发展的需要，美国于1 9 8 3 年发布了“可信计算机系统评估标准( t c s e c ) ”( 桔皮书) ，1 9 8 5 年又发布了其修订版，桔皮书中对安全系统的评价按照四大类共七个等级划分不同的安全级 别。即分为d 、c 1 、c 2 、b l 、b 2 、b 3 、a 1 七个等级。其中a 1 级为最高级别，d 为最低安全级 别。桔皮书的发布有力地促进了安全计算机系统的研究，也促进了安全数据库管理系统的研 究啦，1 。从1 9 8 5 年开始实施的s e “i e w 计划提出了多级安全数据库系统的重要概念，如安全视 图、多实例、完整性等，对安全d b i s 的研究产生了巨大的影响 1 。之后，其它的一些公司和 研究机构如：t r w 公司的a s d ( 计划达到a l 级的安全的d b m s ) 、s e c u r ec 0 m p u t i n gt e c h n o l o g y c o r p o r a t i o n 的l d v 等也对安全d 蹦s 进行了深入研究，提出了多级安全d b m s 的数据模型、 完整性机制( 唯一性、引用问题等) 、多实例问题等的解决方案n 引。进入9 0 年代，为适应数 据库安全技术发展的状况，美国又于1 9 9 1 年发布了可信计算机系统评估标准在数据库管理 系统的解释( t d i ) ，极大地推进了安全数据库管理系统的产品开发。国外的一些公司如： o r a c e l 、s y b a s e 和i n f o 硼i x 公司纷纷推出了商用b 1 级安全d 踟s ，并于九十年代通过了美国 国家计算机安全中心的可信数据库管理系统的b l 级评估。在美国发布了桔皮后，接着又发布 了t c s e c 的可信网络解释和t c s e c 的可信数据库解释，为信息的安全管理制定了评定 标准。 为实现这些标准，各国学者进行了大量深入的研究，为了防止来自内部和外部的非法访 问，必须建立一个解决分布式数据存储和传输的安全模型：针对一个拥有大量用户的大型数 据库系统，提出了基于角色的安全控制模型n 例。由美国国家标准技术局( n i s t ) 组织的2 8 个机构的最新研究表明，这些模型反映了政府和商业等部门的安全需求。同时围绕大型网络、 分布式数据库系统，系统就授权机制、移动代码、移动代理及分布对象的加密机制实施进行 了专门和综合性关键技术研究。为适应国际商业竞争的需要，国外大的商业部门和计算机公 司都争先提出和实现了信息安全解决方案，并推出了专利产品，例如：针对密钥管理协议 ( i 硼p ) ，i b m 提出了“主密钥管理协议( m l ( m p ) ”，s u n 提出了“简单密角钥协议( s k i p ) ”， p h i lk a r n 和n s a 提出了相应的具体化方法；微软公司实现了对数据进行认证和加密，并且加 密密钥可通过s s l 的握手协议来协商；o r a c l e 推出了安全网络服务器，它提供了与数据库的 接口，可实施对用户认证、授权、安全访问控制、完整性检查、会话加密等7 1 1 9 1 ：s y b a s e 的 企业应用程序服务器，通过基于构件的事务服务器和动态网页服务器对系统敏感信息实施安 全性保护；i n f o r m i x 的i r e a c h 和i s e l l ，实施了系统在w 髓和电子商务中的信息安全保护 3 西南大学坝士学位论文 【2 0 】 目前，国内流行的大量数据库和网络操作系统产品基本上依赖丁进口，版权多属美国所 有( l i n u x 除外) 。且销售的产品无源程序代码，或者是内核公开且可供调用的产品极大，这 就加了自主安全保护的技术难度。根据公开的资料，我国对多级安全数据库的研究从9 0 年代 初开始，到9 0 年代中期有些外挂式数据库安全部件出现。华中科技大学曾在1 9 9 6 一1 9 9 8 年间研制出了一个基于0 r a c l e 7 的外挂式数据库安全平台。郑州轻工业学院在1 9 9 7 1 9 9 8 年 研究了如何基于安全约束实现多级安全数据库。浙江大学在1 9 9 8 2 0 0 0 年研制出于基于恶意 d 蹦s 威胁模型的数据库安全与保护系统。另外，还有一些学者对多缀安全数据库进行了一些 有益的研究心。 到目前为止，网络上信息访问的安全主要还集中在电子商务、网上银行等领域，而对于 数据的访问和传输安全研究还相当欠缺。在数据库安全的实现中，主要运用数据加密、身份 认证、访问控制和密钥管理技术。数据加密是网络安全中最基本也是最重要的技术，其主要 是对抗网络窃听，使非法获取的信息不可读；身份认证即接受者用于确认发送者身份及其发 送信息完整性的过程，包括信息认证、身份认证和数字签名；访问控制技术用于限制合法用 户在系统内的权限，防止网络数据或文件被随意拷贝、修改或删除：密钥管理一般采用密钥 分配中心技术。用于为用户生成、分配、保存密钥，简化密钥的使用，同时防范密钥的泄露。 虽然数据库安全技术被划分成四种主要技术，但实际上它们是相互密切合作的。比如说，我 们不可能只使用访问控制而不进行身份认证，因为对假冒的客户进行访问控制只能增大入侵 的难度，同时没有达到系统安全的真实目的。同样，在进行认证、访问控制时如果不对传递 的数据进行加密，这样的系统安全也是得不到保障的。 2 2 主要数据库安全技术 2 2 1 访问控制技术 访问控制技术【2 2 。3 1 是针对越权使用资源的防御措施，是信息安全防范和保护的主要手段 之一，它的主要任务是保证信息资源不被非法使用和非法访问。访问控制可以限制对关键资 源的访问，防止非法用户进入系统及合法用户对系统资源的非法使用，在数据库系统中将数 据库管理系统所管理的实际用户定义为主体，将被动的、受主体操纵的表、视图、记录和字 段等对象定义为客体。访问控制的实现是在用户身份认证的基础上进行，当主体试图以某种 方式访问客体时，数据库管理系统将根据主体的身份进行权限检查。确定该操作是否合法。 当前，主体对客体的访问控制技术有自主访问控制( d a c ) 、强制访问控制( m a c ) 和基于角 色的访问控制( r b a c ) 。 ( 1 ) 自主访问控制 自主访问控制( d a c ，d i s c r e t i o 舱r ya c c e s sc o n t r 0 1 ) 允许合法用户以用户或用户组的 4 数据库安全技术 身份访问策略规定的客体，同时阻止未授权用户访问客体，某些用户还可以自主地把自己拥 有的客体的访问权限授予其他用户。在实现上。首先要对用户的身份进行鉴别，然后按照访 问控制列表所赋予用户的权限允许和限制用户使用客体的资源。主体控制权限的修改通常由 特权用户或特权用户( 管理员) 组实现幢引。 自主访问控制模型的特点是用户和客体资源都被赋予一定的安全级别，用户不能改变自 身和客体的安全级别，只有管理员才能够确定用户和组的访问权限。其次。授权的实施主体 自主负责赋予和回收其他主体对客体资源的访问权限。d a c 模型一般采用访问控制矩阵和访 问控制列表来存放不同主体的访问控制信息，从而达到对主体访问权限的限制。由于用户可 以任意传递权限，因此d a c 模型提供的安全防护相对较低，不能为系统提供充分的数据保护。 ( 2 ) 强制访问控制 强制访问控制( 姒c ，m a n d a t o r ya c c e s sc o n t r 0 1 ) 特1 是一种多级访问控制策略，它的特 点是系统对访问主体和受控对象实行强制访问控制，系统事先给访问主体和受控对象分配不 同的安全级别属性，在实施访问控制时，系统先对访问主体和受控对象的安全级别属性进行 比较，再决定访问主体能否访问该受控对象。 在强制访问控制机制下，系统内的每一个用户或主体被赋予一个访问标签，以表示它对 敏感客体的访问许可级别。同时，系统内的每一个客体也被赋予敏感性标签以反映该信息的 敏感性级别。系统内的“引用监视器”通过比较主、客体相应的标签来决定是否授予一个主 体对客体的访问请求。 在强制访问控制机制中，所有的访问标志和访问权限变更都处于一个集中的策略管理器 下，用户不能改变自己创建的对象的安全标签，等级划分较强，常用于军事用途。 ( 3 ) 基于角色的访问控制 基于角色的访问控制r b a c ( r o l eb a s e da c c e s sc 0 n t r 0 1 ) 砒7 是指在访问控制系统中， 根据用户所承担的角色的不同而赋予不同的操作集，这个操作集可称作权限集。r b a c 的核心 思想是将访问权限与角色相联系，通过给用户分配合适的角色，让用户与访问权限相联系。 角色是根据系统内完成各种不同的任务需要而设置的，根据用户在系统中的职权和责任来设 定角色。用户可以在角色问进行转换，系统可以添加、删除角色，系统可以对角色的权限进 行添加、删除。这使得用户和权限不存在直接关系，增加了系统权限管理的灵活性。 2 2 。2 数据加密机制 据有关资料报道，8 0 的计算机犯罪来自系统内部。在传统的数据库系统中，数据库管理 员的权力至高无上，他既负责各项系统管理工作，例如资源分配、用户授权、系统审计等， 又可以查询数据库中的一切信息。为此，不少系统以种种手段来削弱系统管理员的权力。实 现数据库加密以后，各用户( 或用户组) 的数据由用户用自己的密钥加密，数据库管理员获 得的信息无法进行正常脱密，从而保证了用户信息的安全。另外，通过加密，数据库的备份 s 西雨大学坝： 二学位论义 内容成为密文，从而能减少因备份介质失窃或丢失而造成的损失。由此可见，数据库加密对 于企业内部安全管理，也是不可或缺的心8 删。 数据加密将明文数据经过一定的交换( 一般为变序和代替) 变成密文数据。数据脱密是加 密的逆过程，即将密文数据转变成可见的明文数据。 一个密码系统包含明文集合、密文集合、密钥集合和算法，其中密钥和算法构成了密码 系统的基本单元。算法是一些公式、法则或程序，规定明文与密文之间的变换方法，密钥可 以看作算法中的参数。数据库密码系统要求将明文数据加密成密文数据，数据库中存储密文 数据，查询时将密文数据取出脱密得到明文信息啪1 。 数据加密是防止数据库中数据在存储和传输中失密的有效措施，目前对于数据库加密的 研究主要包括加密粒度、加密算法和密钥管理等。 ( 1 ) 加密粒度 数据库的加密粒度饽可以分为数据库级、表级、记录级、字段级和数据项级。 ( a ) 数据库级：加密的对象是整个数据库，即是对所有的用户数据表、系统数据表、索引 和视图进行加密处理。这种方法非常简单，只需对存储在磁盘中的数据库文件进行加密，所 需要的密钥数量少。但如果用户要随机访问某部分数据记录，由于是对整个数据库文件加密， 所以在进行检索之前需要将整个数据库文件解密，这极大地限制了数据库的响应时间，效率 极低。 ( b ) 表级：加密的对象是数据库中的表对象。对于数据库中保存敏感信息的数据表进行加 密处理，在进行访问时，若访问的是非加密的表，其访问效率和普通数据表的访问一致，若 访问加密数据表时，则只需解密该数据表即可，不用解密整个数据库文件。表级加密的数据 库访问性能较数据库级有所改善。这种加密方法完全是照搬操作系统中文件的加密方法，用 于数据库的加密显然是不合适的。 ( c ) 记录级：加密的对象是数据表中的记录，先将记录中各个字段值进行连接，再进行加 密处理，加密后输出一系列字符串。与数据库级和表级加密相比，这种加密方式粒度更细， 灵活性更好。 ( d ) 字段级：加密的对象是数据表中的字段，在实际生活中经常使用这种加密方式。对某 一个字段的敏感数据进行加密。在实现字段级加密时，既可以在应用程序( d 蹦s 外部) 中完 成，也可以在内模式( d b m s 内部) 中完成。 ( e ) 数据项级：加密的对象是记录中的各个数据项，即数据项加密( 也称字段加密) 。数 据项是数据库系统中的最小值。进行数据项加密时，需要对不同的数据项使用不同的密钥， 这势必造成密钥管理的复杂。因此在进行数据库加密设计时，既要考虑系统的性能，又要考 虑实际的需要，选择合适的数据库加密粒度。 数据项加密方法与记录加密方法相比，具有较高的效率。例如，在记录加密方法中，为 了对记录中的某些属性进行操作，必须先将整个记录脱密，然后取出特定的数据项进行运算。 6 数据库安全技术 这显然将严重影响整个数据库的处理能力。而在数据项加密方法中，可以直接对选定的数据 项进行脱密，从而提高了系统的效率。 ( 2 ) 加密算法 加密算法陋2 1 是支持数据库加密的关键技术，可以使用对称加密算法和非对称加密算法对 数据库进行加密处理，当前通常选择美国1 9 7 7 年制定的官方加密标准，数据加密标准( d e s ， d a t ae n c r y p t i o ns t a n d a r d ) 。 目前有些数据库产品提供了数据加密例行程序，可根据用户的要求自动对存储和传输的 数据进行加密处理。另一些数据库产品虽然本身未提供加密程序，但提供了接口，允许用户 用其他厂商的加密程序对数据加密。 ( 3 ) 密钥管理 一旦密钥泄露，加密的数据库将受到攻击，因此密钥管理相当重要。在网络通讯系统中， 每次通讯的会话密钥是动态产生的。会话一结束，本次会话密钥也就失去作用，可以被清除 掉。而数据库中数据是长期存放的，数据的加密密钥不可能随用随清。这就对密钥的管理提 出了更严格的要求。数据库客体之间隐含着复杂的逻辑关系，一个逻辑结构可能对应着多个 数据库物理客体，所以数据库加密不仅密钥量大，而且组织和存储工作比较复杂，需要对密 钥动态管理。在数据库加密中，密钥的管理主要包括产生、分发和更新等。 2 2 3 用户标识口令管理机制 在系统判定是否允许用户的访问请求之前，用户需要首先标识自己，而系统需要对用户 身份进行认证。标识指的是用户向系统出示自己的身份证明，最简单的方法是输入用户i d 和 密码。而认证是指系统验证用户的身份。标识过程是将用户d 与程序或进程联系起来，而认 证过程的目的则在于将用户i d 和真正的合法授权用户相关联。标识与认证是用户访问d b m s 的前提，并使得d b m s 具有通过审计机制记录用户行为的能力。功能完善的标识与认证机制， 也是访问控制机制有效实施的基础。数据库系统的身份管理通常采用标谢口令管理，它是系 统提供的最外层的安全保护措施。需要访问数据库的用户向系统提交用户标识和对应的口令， 检查用户标识和口令一致时，方可访问数据库，常用的方法是在数据库中记录所有合法的用 户的身份标识和口令。为了保证用户口令的机密性，也通常将口令以约定的加密算法进行计 算，即在系统中保存口令的密文，当用户提交口令时，系统自动将口令进行加密处理，与系 统存储的密文口令进行比对，若相当，则通过身份识别。近年来标识与认证技术发展迅速， 主要有口令验证、智能卡、生物认证等技术。 用户身份认证的限制。用户身份认证机制保证了只有合法的用户才能存取系统中的资源。 但是如果一个用户通过非法手段盗取一个账号和口令，则此非法用户可以进入数据库服务器 进行操作，或者利用注入技术，非法用户也可能进入数据库服务器，用户认证机制对此无能 为力。 7 西南大学硕士学位论文 第3 章d s p r b a c 模型 本章在分析数据库安全代理对访问控制的特殊需求以及现有角色访问控制模型不足的基 础上，形式化地定义了一个适应于数据库安全代理的模型一d s p r b a c 模型。 访问控制即根据既定的安全策略，管理所有对系统资源的访问请求，对每一个访问请求做 出是否许可的判断，它能有效防止非法用户访问系统资源和合法用户非法使用资源。计算机信 息系统的访问控制技术最早产生于2 0 世纪6 0 年代，随后出现了两种重要的访问控制技术： 自主访问控制( d i s c r e t i o n a d ra c c e s sc o n 仃d l ，d a c ) 和强制访问控制( m 锄d a t o r ya c c e s s c o n 缸0 l ，m a c ) 。然而，无论是d a c 还是m a c 都不能适应大部分商用或民用信息系统的安全 需求。1 9 9 2 年f e m i l o l 等人【3 3 】提出了“r o l eb 於e da c c e s sc o n 仃o l ”这一名词。r b a c 是策略 中立的一种访问控制模型，使用它可以十分方便地制定访问控制策略。 3 1 数据库安全代理 一 数据库安全代理d s p 是用于对抗恶意数据库管理系统各种威胁的应用层防火墙【3 6 1 。 d b m s 被认为是不可信任的，所以必须控制、记录所有外界信息流与d b m s 的交互过程。恶 意d b m s 的威胁主要来自以下几个方面： ( 1 ) d b m s 在身份认证( a u m e n t i c a t i o n ) 上留有后门，使敌人能够绕过正常的身份认证过程， 如隐藏账号、万能钥匙和上下文相关触发等( t 1 ) ； ( 2 ) d b m s 在授权( a u 也砸z 撕0 n ) 上留有后门，使敌人可以绕过正常的访问控制机制，如特 定的主体、客体或动作使得访问控制模块做出错误的决策等( 酡) ； ( 3 ) d b m s 的数据处理模块有恶意代码，如使d b m s 在关键时刻主动或触发式地增加、 删除或改动数据等( t 3 ) ； ( 4 ) d b m s 在审计上留有后门，使其审计模块不记载攻击事件或伪造审计记录仃4 ) ； ( 5 ) 销售给我国的国外d b m s 产品安全级别大都在b 级以下，缺乏强制访问控制，在关 键应用中安全性能得不到保障( t 5 ) 。 数据库安全代理d s p 利用外挂式身份认证、附加的访问控制、字段透明加密、重复审计等到 手段来对抗威胁。 8 图3 1d s p 工作环境 d s p r b a c 模型 图3 1 为d s p 所在的工作环境假设。没有数据库安全代理的环境中，客户端将直接通过 线路l 与数据库管理系统进行交互：而在有数据库安全代理工作的环境中，客户端不允许直 接与位于物理隔离环境中的数据管理系统进行交互，而只能与位于物理隔离环境边界上的数 据库安全代理进行交互所有信息流只能在数据库安全代理的监控和管理下，与后端数据库 管理系统进行了交互( 线路2 ) 。这样的工作环境使得所有数据库管理系统与外界的交互必须经 过数据库安全代理的各种控制( 包括上面提到的外挂身份认证、附加访问控制、字段透明加 密等) 。 本章主要探讨数据库安全代理中附加于后端不可信任数据库管理系统的访问控制机制上 的访问控制模块，期望能够部分对抗t 2 并解决t 5 。为了深入讨论，首先分析数据库安全代 理对其访问控制机制的特殊需求： 需求l主体客体认知。访问控制要求对访问中的主体、客体信息进行认知，虽然数 据库安全代理与后端的不可信d b m s 两者的访问控制模型毫不相干，但是它们所控制的访问 主体和客体都是相同的，主体均是一个数据库连接会话，而客体是存储在后端不可信d b m s 中的数据。在做出访问控制决定时，d s p 必须清楚这两者。 需求2客体关系认知。访问控制应该能够描述客体之间的关系。d s p 保护的是后端 的关系型d b m s ，其中存在着非常多的客体对象( 表空间、表、列、行) ，这些客体对象之 间也存在着一定的关系( 如：某一属性元组属于某个表等) 。d s p 要对这些客体对象进行访 问控制，也就必须能够描述和应用这些对象以及相互关系。 需求3操作关系认知。访问控制应该能够描述对客体进行操作之间的关系，如：删 除一个表，将删除这个表的所有列行；应该在访问控制中描述此关系：若一个表的某一列不 能被删除，则应当拒绝删除该表的访问请求，d s p 只是一个代理，不能直接存取d b m s 中的 数据，为了有效访问控制，d s p 也必须能够描述不同操作之间的关系。 针对现在使用广泛的o r a c l er d b m s ，通过截取其客户端与服务器端的通信包，并辅以 主体映射、s q l 语法分析等手段，可以成功地获得一次数据库访问的访问主体和它需要访问 的数据库模式对象以及所需的访问权限。于是需求l 可以通过上述方法得以解决，本章旨在 通过建模解决其他两个需求。 本章模型基丁数据库中的数据模式( 表空间、表格关系、列属性) 进行建模，而不试 图对数据库中的实际数据( 一行或多行实际数据，单元格数据) 进行建模。对于实际数据的 访问控制，参见针对语义层参考模型的完整性锁的研究。 3 2 传统r b a c 模型 r b a c 模型自从提出之后，就一直是信息安全领域的研究热点。根据f e r r a i o l o 等人对于 访问控制需求的调查，大部分组织的访问控制策略是基于闱户在组织中的“角色”而制定的。 9 西雨人学坝士掌位论文 丁是有了基于角色的访问控制模型的出现阻3 5 1 。r b a c 是策略中立( p o l i c y n e u t m l ) 的模型【3 6 】。 黄益民等人【3 7 1 对i 沿a c 进行了扩充，并讨论了在我国国情下，如何实施r b a c ，如何进行安 全管理。 传统r b a c 模型的研究重点集中于“主体”上，对u s e r - r o l e p e n l l