（电路与系统专业论文）网络数据库安全机制研究.pdf

最后在一个以l i n u x为网络服务器， m y s q l为网络数据库管理系统的平台 上 ， 利 用 前 面 研 究 的 部 分 技 术 实 现 对 网 上 教 学 系 统 的 安 全 控 制 。丫 户 关键词: b / s c / s r b a c访问控制 身份认证加密通信 目，叫 硕士学位论文 m a s t e r s t h e s i s a b s t r a c t n e t w o r k d a t a b s e i s t h e i n f o r m a t i o n w a r e h o u s e u n d e r o p e n i n g c o n d i t i o n , w h i c h m a n a g e s a l o t o f d a t u m . o n t h e s a m e t i m e , i t h a s t o b e c o n f r o n t e d w i t h v a r i o u s s e c u r i t y a t t a c k . o n c e t h e d a t a i n f o r m a t i o n i n t h e n e t w o r k d a t a b a s e w a s l o s t , d a m a g e d o r j u g g l e d , i t w o u l d m a k e e n o r m o u s l o s s . t o d a y , t h e s e c u r i t y m a n a g e r m e n t o f n e t w o r k d a t a b a s e i s b e c o m e m o r e a n d m o r e i m p o r t a n t . t h e s e c u r i t y m e c h a n i s m o f n e t w o r k d a t a b a s e i s r e l a t e d w i t h m a n y a s p e c t s . t h o u g h t h e a n a l y s i s o f a r c h i t e c t u r e a n d s o f t w a r e a r r a n g e m e n t , i d i v i d e t h i s p r o b l e m i n t o f o u r l a y e r s : n e t w o r k s e c u r i t y m e c h a n i s m , d b m s s e c u r i t y m e c h a n i s m , o p e r a t i n g s y s t e m ( s e r v e r ) s e c u r i t y m e c h a n i s m a n d a p p l i c a t i o n s y s t e m s e c u r i t y m e c h a n i s m . e a c h a s p e c t i s t h e h o t s p o t o f t h e s e c u r i t y r e s e a r c h n o w a d a y s . t h i s t h e s i s , b a s e d o n t h e s e c u r i t y t e c h n o l o g y a n d t h e d a t a b a s e t h e o r y , c o m b i n e d w i t h t h e e n c r p y t i o n t e c h n i q u e s , i d e n t i f i c a t i o n t e c h n i q u e s a n d a c c e s s c o n t r o l t h e o r y e t c , m a i n l y m a k e s r e s e a r c h o n t h e a c c e s s c o n t r o l i n t h e s e c u r i t y m e c h a n i s m o f s e r v e r , c l i e n t a p p l i c a t i o n a n d a r a p i d l y d e v e l o p i n g d b m s -m y s g l . i t g i v e s t h e w a y o f d e s i g n a n d r e a l i z a t i o n o f s e c u r i t y c o n t r o l i n n e t w o r k d a t a b a s e a p p l i c a t i o n s y s t e m . d b m s h a s i t s o w n s e c u r i t y m a n a g e m e n t , w h i c h p r e v e n t t h e n o n a c c r e d i t e d u s e r f r o m d e a l i n g w i t h t h e d a t u m i n t h e d a t a b a s e . t h e s e c u r i t y p r o b l e m o f t h e a p p l i c a t i o n p r o g r a m m e i s t o p r e v e n t t h e n o n - a c c r e d i t e d u s e r f r o m d o i n g t h e i l l o g i c a l a p p l i c a t i o n p e r f o r m a n c e o n a p p l i c a t i o n s y s t e m . i t s r e a l i z a t i o n l i e s o n t h e d e v e l o p e r o f t h e p r o g r a m m e r . h o w t o c o m b i n e t h e s e c u r i t y m a c h e n i s m o f t h e d b m s a n d t h e a p p l i c a t i o n p r o g r a m m e i n t o a n i n t e g r a t e d a n d u n i f o r m s e c u r i t y c o n t r o l s y s t e m ? t h e t h e s i s p u t s f o r w a r d a n e x t e n d e d r b a c m o d e l . i t s a p p l i c a t i o n w a y m a k e s t h e a u t h o r i t y a n d m a i n t a n c e e a s y . i t i s e a s y t o c o n t r o l , a n d e a s y t o e x p l a n t . c u r r e n t w a y t o a c c e s s c o n t r o l o n w e b s e r v e r m o s t l y b a s e d o n i n d i v i u a l u s e r , o r t h e s i m p l e m a t r i x m a n a g e m e n t , w h i c h c a n t m e e t t h e m a n a g e r m e n t n e e d s o f l a r g e s y s t e m . h o w t o u s e t h e e x i s t i n g s e c u r i t y a p p r o a c h e s t o i m p r o v e t h e w e b s e r v e r a c c e s s c o n t r o l s e c u r i t y . t h e t h e s i s u s e s e n c r y p t a r i t h m e t i c t o c o n s t r u c t s e c u r i t y c o o k i e , t o r e a l i z e t h e s e c u r e r o l e es b a s e d w e b a c c e s s c o n t r o l . f i n a l l y t h e a u t h o r u s e s p a r t o f t h e r e s e a r c h r e s u l t i n a p r o j e c t -n e t w o r k t e a c h i n g s y s t e m t o r e a l i z e t h e s e c u r i t y a c c e s s c o n t r o l . k e y w o r d s : b / s ;c / s ;r b a c ; i d e n t i t y a u t h e n t i c a t i o n ;a c c e s s c o n t r o l ; e n c r y p t i o n c o m m u n i c a t i o n i v 硕士学位论文 ma s t e r s t e l e s i s 第一章绪论 网络数据库应用系统是数据库技术与网络技术相结合进行信息处理的系 统。网络技术是当今世界发展最为迅猛的技术之一，而数据库作为一种极为有 效的数据处理工具， 从早期的层次数据库、网状数据库到关系数据库，其技术 发展己经比较成熟。新一代数据库的一个显著特征， 就是数据库技术与各种新 兴技术的结合。这种结合使两者的功能和使用范围均得到扩展。网络技术和数 据库技术的结合，既大大提高了网络功能，也将数据库应用延伸到网络上，发 挥数据库强大的数据管理作用。目 前网络数据库应用系统正在以 惊人的速度应 用于社会各方面。 同时，网络数据库作为一个开放环境下的信息仓库。无论在局域网还是广 域网中，都存在自 然和人为等诸多因素的潜在威胁，出现一系列的安全问题。 如今网络数据库已 成为信息系统的重要组成部分， 而相关安全机制的研究也随 着网 络和数据库技术的 发 展而不断深化。 本文正是以网络数据库系统安全机制为研究核心，在工作实践和阅读了大 量文献的基础上加以 分析，总结和研究所得。 1 . 1安全机制分层思想 我们对两种典型的网络数据库模式:b / s 模式和us 模式进行简要介绍。 客户/ 服务器模式 ( us )发展至今， 已是一个为人熟知的概念。客户/ 服务 器是就逻辑观点而言的定义m. 典型的客户/ 服务器模式如图1 . 1 所示。 如图 示， c l i e n t 图1 . us模式主要由 客户端应用程序 1 us 模式基本结构图 ( c l i e n t )，服务器管理程序 ( s e r v e r )和网 络 ( n e t w o r k )三个部件组成。服务器负责有效管理资源。其主要工作是当多 个用户并发请求服务器上相同资源时，对这些资源进行最优化管理。客户端应 用程序是系统中用户与数据进行交互的部件。客户应用程序的主要工作是负责 事务处理和显示逻辑。网络负责联结用户应用程序和服务器管理程序，协同完 成一个作业，以 满足用户查询数据的需要 z 1 客户/ 服务器模式与 w w w技术相结合进一步演化为浏览器/ 服务器模式 ( b / s ) 。 采用这一模式的数据库通常也称为 w e b数据库。其基本工作原理如图 1 . 2 . b / s 模式是一种三层结构的系统3 1 。 第一层客户机是用户与整个系统的 接 4 - - -一一 一 一- 返回h t . 1 文档 图1 . 2 b / s 模式工作原理图 口。客户的应用程序精简到一个通用的浏览器软件. 浏览器将 h t m l代码转化 成生动的网页。网页还具备一定的交互功能，允许用户在网页提供的表上输入 信息提交给后台，并提出处理请求。 这个后台就是第二层的 w e b服务器。第二 层w e b 服务器将启动相应的进程来响应这一请求，并动态生成一串h t m l 代码， 其中嵌入处理的结果，返回给客户机的浏览器。如果客户机提交的请求包括数 据的存取，w e b服务器还需与数据库服务器协同完成这一处理工作。第三层数 据库服务器的任务类似于us 模式，负责协调不同的w e b 服务器发出的s q l 请 求，管理数据库。 从以上对两种典型数据库模式的介绍，可以看到网络数据库系统结构庞 杂， 其安全机制涉及内容范围也十分广泛。 两种模式在结构上存在很多共同点: 均涉及到网络、系统软件和应用软件。为了使整个安全机制概念清晰，针对两 种模式的 特点和共性，笔者将其安全管理按体系结构和软件层次分层进行研究 分析，得到如图 1 . 3的网络数据库系统安全机制分层结构模型。在这个层次结 硕士学位论文 ma s t e r s t f i e s i s 安全机制1 :网络安 全机制 安全机制i i : 服务器操作系统的安全机制 安全机制m:数据库管理系统的安全机制 安全机制i v : 客户端应用程序的安全机制 图1 . 3网络数据库系统安全机制分层结构模型 构上，每一层都有自己的一套机制，完成自己的任务，实现一定的安全内容。 各层之间相互联系， 构成一套完整的安全策略. 1 . 2研究现状 从上面的分层结构看，基于网络的数据库应用系统涉及计算机网络，数据 库系统，应用程序等多个方面.下面分层予以阐述。 (l ) 安全机制i :网 络安 全机制 在网络安全方面， 关键是网 络可靠性的研究(4 ) .内 容涉及网 络系统的安全 和保密。目前己有各种相应的方案来对付来自网络各方面的安全威胁，同时又 不断提出了新的网络安全问题.这其中一些关键性的技术包括:安全协议的分 析研究、虚拟网技术、用于防止网络层漏洞的防火墙技术、用于实时监测的入 侵检测技术、用于测试和评价系统安全性并及时发现安全漏洞的安全扫描技 术、 伪装技术、 病毒防 护技术等15 1 。一个安全可靠的网 络平台是网络数据库系 统安全的基石5 1 . 本层次的安全控制是十分关键，也是比 较复杂的。目 前对这 些问 题各有相应的 研究。本文对此不做多的讨论。 ( 2 ) 安全机制i i : 服务器操作系统的 安全机制 服务器操作系统是网 络数据库系统的网络通讯基础， 是数据传输的 保障7 1 它是数据库系统的 最初关卡， 对于身 份不符的用户就无法 进入本地系统。同时， 通过对系统中 各项参数的设置来观测和调整本地网 络系统的 性能。 从某种程度 上而言，这部分安全机制也属于网络安全机制的一部分。目 前提供给不同操作 系统的具体安全措施不尽相同。 而对于 b / s 模式， 它有着不同于 us结构的构筑在服务器操作系统之上的 w e b服务器层。该层的访问控制问题与操作系统和网络安全机制紧密相连，也 有其自 身的 特点。其安全性问题研究一直备受关注。 ( 3 ) 安全机制i i i : 数据库管理系统的安全机制 作为数据库管理系统的安全，目 前的大中型信息系统大多基于网络环境， 目前流行商用的d b m s 如o r a c l e s q l s e r v e r 等都符合 t c s e c和 t d i 的c 类安 全标准。对高保密环境要求的，目 前常采用的是增强 d b m s安全的方法，即采 用国产的b 类d b m s 或在c 2 级安全的d b m s 基础上研制一个增强数据安全的 应 用服务器， 从而达到b 类d b m s 的需要8 l 9 ) 。 而在一般的应用环境中， 通常都是 利用数据库系统自 身的各种安全机制来提高系统安全性。 d b m s本身的安 全机制无疑是数据库系统安全机制的核心 0 。总体而言， 它 应当分为 d b m s本身的安全管理和数据库管理员可调整设置的安全管理方法。 对于数据库管理系统本身的安全管理，用户应了 解其内容，形式，一般不做改 动，因为这属于软件产品内部的技术。 对于管理用户而言， 值得研究的是在数据库系统的开发和维护过程中，对 整个系统的安 全 机制 进行整体设计和各项系统设置w 。 例如， 在o r a c l e 系统中， 设计者可通过触发器，视图等的设计，达到对数据库系统中数据的保护。当然， 其主要安全管理方案还是通过系统授权来限定数据库用户对库及数据结构的操 作权:通过授予和回收用户对数据库实体的存取权限来满足数据共享以及数据 安全保密的要求.同时制定可行的备份与恢复方案。 ( 4 ) 安全机制i v : 客 户端应用程序的 安全机制 客户应用程序是网 络数据库安全性的重要方面。 它的 特点是独立性强， 而 且实现较为方便，尤其易于根据需求变化而作出相应更改。客户端应用程序可 以控制用户的合法登录，身份验证等，还可以直接设置数据。在 d b m s自身安 全性控制较弱的情况下， 从应用程序上加强控制，能很好的保证应用系统的安 全性。 硕士学位论文 ma s t e r s t h e s i s 客户应用程序的编写具有很大的灵活性，同时也有很多技巧。目 前在 c / s 模式中，比 较通用的开发i具有 b , v c , p o w e r b u i l d e r , d e p h i 等。 在 b / s模式 下，e 匕 较通用的有p h p , a s p , v b s c r i p t , j a v a 等。 1 . 3论文研究意义及研究工作 论文的研究工作重点在于以应用为基础，对网络数据库系统的安全机制， 尤其是利用 r b a c思想实现安全的访问控制的问题进行了研究。全文基于 “ 网 络数据库系统安全机制分层” 的观点，详细地从不同层次对网络数据库安全机 制进行阐述和较为深入的探讨。 在应用软件上，目 前的安全控制方法一般都是停留在对个别程序即个案的 处理方法上，或是忽视了应用程序上的安全控制手段，对应用软件上系统性和 通用性处理的安全性研究相对较少。然而应用软件是最终用户进行数据处理的 最主要手段，而且对于系统安全性上控制较弱的系统，可在应用软件上得到很 好的弥补。 尤其对企业级的软件， 其访问 控制安全需求十分重要且具有许多共 同点。一个对这类应用系统的数据安全保护具有普遍适用性的系统安全处理方 法的通用体系研究是十分必要的。另外，w e b数据库应用程序与 us方式客户 端应用程序的访问控制在处理上存在很多共同点。同时又具有其自 身的特点。 本文对此部分进行了讨论。 在 w e b服务器的访问控制中，目 前多是基于对单个用户的管理，或简单的 矩阵式管理，无法适应企业级或大系统的管理需求。如何利用现有安全手段提 高 w e b服务器安全，为网络数据库的安全访问提供一个可信的面向角色的平台 + 7 ， 是一个值得研究的问 题。 本文对此做了 探讨。 研究工作包括对 m y s q l数据库系统自 身安全策略的 分析， 基于 r b a c的 客 户端应用程序权限控制方法的研究和服务器端安全访问控制机制的研究。最后 以网络数据库应用系统实例网上教学系统的实现为背景，利用所讨论的部 分安全方案和技术，来实现对该系统的安全控制. 第二章数据库系统安全概述 2 . 1 引言 相对于其他的计算机系统， 数据库系统具有以 下几个基本特点 1o , , ( 1 ) 客体较多; ( z ) 数据生存期较长， 对维护的要求高; ( 3 ) 涉及到信息在不同粒度的安全，即客体具有层次性和多项性; ( 4 )在 d b m s中受保护的客体可能是复杂的逻辑结构，若干复杂的逻辑 结构可能映射到同一物理数据客体上，即客体逻辑结构与物理结构的分离; ( 5 ) 数据库的安全与数据语法有关; ( 6 ) 客体之间的信息相关性较大， 应考虑推理攻击的防范。 针对数据库系统以 上的几个基本特殊点，将数据库系统安全问 题归纳为以下几 个方面 u 1 u 2 1 ( 1 ) 保障数据库系统保密性: 即保证高级别的信息不会非授权地流向低级别的主体和客体。 ( a ) 数据库系统的用户身份鉴别:保证每个用户是合法的，且可以识别的; ( b ) 数据库系统的访问控制:控制主体对客体的访问、拒绝非授权访问、 防止信息泄漏; ( c ) 统计数据库对推理攻击的防范: 数据库中存放的数据往往具有统计 意义，入侵者往往可以 利用已 公开的、安全级低的 数据来推断出安全级高的 机 密信息; ( d ) 数据库系统的可审计性，即对非法用户的侵入行为及信息泄密与破坏 的情况能够跟踪审计; ( e ) 防止数据库系统中的隐蔽信道攻击。 ( 2 ) 保障数据库系统完整性: 即保护信息不被非授权地修改或非正确地改动。 ( a ) 数据库系统的物理完整性:保障数据库物理存储介质及物理运行环境 硕士学位论文 ma s t e r s t h e s i s 的正确与不受侵害; ( b ) 数据库系统的逻辑完整性:包括数据库逻辑结构完整性及数据库主码 完整性两个主要方面; ( c ) 数据库系统的元素完整性:保障各客体数据库元素的合法性、有效性、 正确性、一致性、可维护性及防止非授权修改与破坏。 ( 3 ) 数据库系统的可用性 授权用户在其需要时，能够存取信息，访问信息技术资源。 2 . 2 数据库安全基本概念 2 . 2 . 1 安全术语 在数据库系统中有一些基本的安全术语， 其注解如下 ia l u l z l , 1 . 数据库系统 d a t a b a s e s y s t e m 使用某个数据库管理系统为特定用户的需要而设计和建立的一套系统，并 实现有组织地、动态地存储大量关联数据，方便用户存取。 2 . 数据 库管理系统d a t a b a s e m a n a g e m e n t s y s t e m - d b m s 在数据库系统中，生成、维护数据库以及运行数据库的一组程序.这组程 序负责管理和控制对数据的使用，包括预防和避免出错，删除错误数据，更正 错误数据，并保证数据的一致性。 3 .客体o b j e c t 信息的载体。例如文件、记录、字段等。 4 .主体s u b j e c t 引起信息在客体间流动的人、进程或设备等. 5 . 安全保护策略s e c u r i t y p o l i c y 有关管理、保护和发布敏感信息的法律、规定和实施细则。 6 . 可信计算基t r u s t e d c o m p u t i n g b a s e - t c b 数据库管理系统中，实现安全保护策略的机制的一个集合体包含硬件、 固件和软件该集合体根据安全保护策略来处理主体对客体的存取，并满足 如下特征:a . 实施主体对客体的安全存取; b抗篡改; c . 结构易于分析和测试. 7 .域d o m a i n 主体有能力存取的客体集合。 8 . 最小 特 权原 理 l e a s t p r i v i l e g e t h e o r e m 系统中的每个主体执行授权任务时，给予完成任务所需最小存取权。 9 .审计踪迹 a u d i t t r a i l 描述事务处理的一组相关记录，用于从原始事务追踪到有关的记录，或从 记录追踪到其原始事务。 1 0 . 信道 c h a n n e l 系统内的信息传输路径。 1 1 .隐蔽信道c o v e r t c h a n n e l 进程以危害系统安全保护的策略方式传输信息的 通信信道。 1 2 .自 主 访问 控 制d i s c r e t i o n a r y a c c e s s c o n t r o l 以主体身份或者主体所属组的身份或两者的组合，对客体存取进行限制的 一种方法。具有某种存取权的主体能够自行决定将其存取权直接或间接地传授 给其它主体。 1 3强 制 访问 控 制m a n d a t o r y a c c e s s c o n t r o l 以客体中信息的 敏感度和存取敏感信息的主体的形式化授权对客体的存取 实现限制的一种方式。 1 4 . 基于 角 色的 访问 控 制r o l e b a s e d a c c e s s c o n t r o l 以角色为基础，将访问权限和角色相联系，为用户分配合适的角色，通过 其应用将安全性放在一个接近组织结构的自 然层面上进行管理。 2 . 2 . 2 安全性要求 对 于 一 个 数 据 库 系 统 ， 有 如 下 安 全 性 要 求 tl lj 阁 : 1 .数据库的完整性 数据库起着数据的中心仓库的作用， 用户必须能 信赖其数据值的准确性， 必须确保只有经授权的个人才能进行更新。有两种情况影响数据库的完整性: 硕士学位论文 m as t e r s t i 伍s i s ( 1 ) 整个数据库受到破坏;( 2 ) 个别数据项不可读时。 2 . 元素的 完整性 数据库元素的“ 完整性”是指它们的正确性和准确性。由 经过授权的 用户负责把正确的数据放入数据库。数据库管理系统必须帮助用户在输入 时能发现错误， 在插入错误数据后能纠正。 维护方式有: ( 1 ) 字段检查( f i e l d c h e c k s ) ， 防止输入数据时可能发现的简单错误( 2 ) 访问控制，由数据库管理 员解决数据库的更新策略( 3 ) 维护数据库的 “ 变化日志”( c h a n g e l o g ) ，是 对数据库每次改变列表，可用于撤消任何错误的修改。 3 .可审计性 数据库的审计可以协助维持数据库的完整性，其粒度必须包括对记录、 字段和元素一级的访问。 4 .访问控制 数据库系统的访问控制比较复杂。与操作系统相比，操作系统的目标， 如文件，是非相关的项目。而数据库的记录、字段和元素是相互关联的。 用户不可能通过读其它文件来确定某文件的内容，却可以通过只读其它的 数据库元素而确定一个元素，即推测数据是可能的。另外由于操作系统与 数据库的目 标之间在粒度上不同，数据库系统的访问控制表的实现要困难 的多。 5 .用户认证 数据库管理系统要求严格的用户认证，这一层认证通常是在操作系统 完成的认证之外另加的。典型情况是数据库管理系统作为一个 “ 普通”应 用程序运行。这意味着它没有到操作系统的可信赖路径，必须怀疑它所收 到的任何数据，包括用户认证。数据库管理系统必须作自己的认证。 6 .可用性 数据库系统对可用性的要求是很高的。可用性问题之一来自 于对两个 用户请求同一个记录的仲裁，第二个问题是要求扣发某些非保护数据以避 免泄露被保护的 数据。数据库系统应该防止和及时修复因软、 硬件系统的 错误所造成的数据库恶性破坏，并拒绝和消除数据库垃圾，使数据库随时 保持可用状态。 9 7 . 数据库加密 加密是通信信息和存储信息保护的重要手段。信息加密应保证:对入侵者 是事实上不可破: 合法用户应快速存取数据:空间和时间 耗费小。 对数据库是 否需要加密和如何加密应依据系统的具体需求进行控制。 应注意:( a ) 关系运 算的比较字段不能加密;( b )索引项字段不能加密;( c )表间的连接码字段不 能加密. 2 . 3信息安全评估标准 信息安全涉及到信息的保密性( c o n f i d e n t i a l i t y ) 、完整性( i n t e g r i t y ) 、 可 用性( a v a i l a b i l i t y ) 、 可控性( c o n t r o l l a b i l i t y ) 5 ) 。 综合 起来说， 就是要保 障电子信息的有效性。 保密性就是对抗对手的被动攻击，保证信息不泄漏给 未经授权的人。 完整性就是对抗对手主动攻击，防止信息被未经授权的篡改. 可用性就是保证信息及信息系统确实为授权使用者所用。 可控性就是对信息 及信息系统实施安全监控。 1 9 8 3年美国国防部推出了计算机系统安全的第一个标准: 可信计算机系 统评估标准( t r u s t e d c o m p u t e r s y s t e m e v a l u a t i o n c r i t e r i a - - t c s e c ) 橘皮 书。 橘皮书中使用了 可信计算基 ( t r u s t e d c o m p u t i n g b a s e , t c b ) 这一概念， 即计算机硬件与支持不可信应用及不可信用户的操作系统的组合体。橘皮书论 述的重点是通用的操作系统。 为了 使它的评判方法适用于网 络， n c s c ( n a t i o n a l c o m p u t e r s e c u r i t y c e n t e r美国国 家计算机安全中 心) 于 1 9 8 7年提出了 一系 列有关可信计算机数据库、可信计算机网络等的系统安全解释 ( 俗称彩虹系 列) 。该系列从网络安全的角度出发，解释了准则中的观点，从用户登录、授 权管理、访问控制、审计跟踪、隐通道分析、可信通道建立、安全检测、生命 周期保障、文本写作、用户指南均提出了规范性要求，并根据所采用的安全策 略、系统所具备的安全功能将系统分为四类七个安全级别。将计算机系统的可 信程度划分为d , c 1 , c 2 , b i , b 2 , b 3 和a l 七个层次5 。 这些准则对研究导向、 规范生产、指导用户选型、提供检查机关评价依据，都起了良 好的推动作用。 但其主要考虑的安全问题大体上还局限于信息的保密性，他所依据的安全模型 硕士学位论文 ma s t e r s t h e s i s -b e l l 角色通过操纵系统的功能项来操纵数据库 资源，而不是通过访问数据库的权限来操纵数据库资源。 对系统管理员而言，系统功能项是易见并易于理解的，它以应用、菜单、 窗体、按钮的形式反映在系统应用程序界面上，而且系统功能项设置一般与应 用系统的业务管理方式相适应.当角色权限改变时，只需改变角色可操作功能 项， 系统会自 动对后台数据库相关具体数据对象访问控制权进行维护，从而使 系统权限管理更加简单安全有效. 4 . 3 模型构建的分析 这个模型的实现包含 2个层次: 对数据库访问权限的管理和对应用系统功 能层的访问权限管理。通过综合考虑这两个层次，将前端的” 功能权限控制管 理” 和后台的 “ 数据存取权限管理” 合为一体，进一步加强系统安全管理的性能。 ( 一) 对应用系统功能层的访问权限管理 在一个完整的数据库应用系统中，权限管理是必不可少的客户端安全控制 环节。其在不同应用系统中的实现方式有诸多共性。通过有效的抽象和动态的 授权处理可形成统一的处理方式模型.我们以用 p b开发的数据库客户端应用 硕士学位论文 ma s 1 王 r s n正s i s 程序为例来阐叙它。 应用 系统的 权限 管 理可 看作 用户 对对象的 操作， 即 这样一个三元组。对一个数据库应用系统，从最终意义上说，用户是操作员用 户，对象是数据库数据。操作员用户通过操纵系统应用级模块来实现对数据库 数据的操作。依据是否具有权限管理的授权职能，将操作员用户分为两大类: 普通用户和管理用户。 i .三元组分析2 1 (2 2 1 系统应用模块身份特殊，对操作员用户而言是对象，对数据库数据而言是 用户。在 p b开发的数据库客户端应用程序中，系统模块中包括应用 ( a p p l i c a t i o n ) 、 菜单( m e n u ) 、 窗口( w i n d o w ) 以 及窗口 中的功能按钮( b u t t o n ) ( 2 3 1 操作员用户通过执行系统模块实现对数据库数据的添加，删除，修改，查 询操作。系统模块的存取权限由 系统模块的功能决定，可以 通过系统模块与数 据库相连时使用的数据库用户进行控制。 一个系统可为多个操作员用户使用，但不同操作员用户使用同一模块时处 理的数据元组集可以不同。 综上，数据库系统客户端的权限控制应包括以下几部分:操作员用户标 识， 操作员用户对系统模块的 执行权限， 操作员用户对数据库数据的操作权限。 i i .操作员用户与数据库用户 数据库系统对数据对象进行安全控制，但其控制粒度有限。一般是通过数 据库用户即数据库管理员 ( d b a : d a t a b a s e a d m i n i s t r a t o r ) 进行管理。 操作 员用户是通过系统应用模块对数据库进行存取的用户。 系统模块存取数据库必须通过数据库用户与数据库系统相连。操作员用户 与数据库用户的关系可分为 4种:一对一，一对多，多对一，多对多。即不同 操作员用户执行系统模块时， 操作员用户对应的数据库用户与库建立的接口。 当系统模块总是通过某个固定的数据库用户与数据库相连，而与系统操作员无 关时，是特殊的多对一的 对应关系，即操作员用户与数据库用户相对独立。 建立系统操作员与数据库用户对应关系时有两种方式:( 1 ) 先建立库用户， 创建操作员用户时选择对应库用户( 2 ) 预先不创建库用户，创建操作员用户时同 2 2 硕士学位论文 h 认s r l .r s i f i l s i s 时创建。两种方法各有利弊，前者将库用户的管理集中于数据库管理员，安全 性较好。后者将用户管理集中于m i s 系统管理员，相对安全性较弱。 i i i .权限管理分析2 1 2 p a .操作员用户 用 标识。 b .操作员用户对系统模块控制权限 p b实现数据库管理系统的主要对象有应用、菜单、窗口和窗口中的控件。 一个完整的大型系统中可有多个应用。一个应用包括一个应用菜单，每个菜单 包括多个菜单项，每个菜单项对应一个主窗口，一个主窗口 对应完成某一项功 能，一个主窗口下又可包含多个窗口和数据窗口，窗口还可包含窗口和数据窗 口，数据窗口下还包含数据窗口。操作员用户为执行该主窗口的功能，必须拥 有该主窗口 所包含对象 ( 如下级窗口，按钮等)的执行权限。 从系统模块 执行权限上分为四层: ( 1 ) 应用执行权限( 2 ) 菜单执行权限( 3 ) 主窗 口执行权限( 4 ) 主窗口 所包含对象的执行权限。操作员用户能否执行一个应用由 二元组 决定，能否执行一个菜单项由三元组 决定，能否执行一个主窗口由三元组 决定， 能 否 执 行一 个主窗口 所 含对象 项由 四 元 组 决 定。 这里的u s e r是 简 称， 通常 指角 色 r o l e . c .操作员用户对数据库数据的操作权限 操作员用户对数据库数据的操作权限分为两部分:操作员用户通过执行系 统模块实现的数据存取和不同操作员用户处理同一模块时支持的不同数据集。 操作员用户通过执行系统模块实现的数据存取是由该模块与数据库连接时 使用的 数据库用户决定的。 为满足一个系统模块对库数据存取权限的要求， 对 数据库用户授权有 2种方式:粗分授权和细分授权。粗分授权是对数据库用户 授予模块涉及关系的 全部权限， 甚至是最大权限， 易修改，易扩展， 授权管 理 简便，当然也存在某些安全隐患。细分授权是模块对涉及的关系要求什么权限 即授予什么权限，即精确定义，其授权管理复杂，实现比较困难，修改扩展性 较差。具体授权方式可视系统具体需求而定。 不同操作员用户处理同一模块时处理的数据集不同，需要对不同用户使用 2 3 硕士学位论文 、 认s i 王 r s t i 正 s i s 同一模块作某些权限控制。依据视图控制是常用的方法。 在某些系统中，需要 更细的权限判定和元组层控制。一般来说都采用以数据的某些特定属性取值作 用户权限级别和数据库数据的元组权限级别控制实现元组层权限控制。我们将 其分解为如下四个关系组进行控制: 权限级别二元组p c 。即以 一个属性 p 作为用户数据库数据存取控制属性，该属性取值为一个集合 c e 关系权限控制p r c 。它表明任何用户要对r 进 行操作，必须进行以p 为分类的权限级别检查。 用户权限级别o u p 。它表示 o u 可处理的关系元组，其值须属于o u v . 关系元组 , 权限检查方式如下:对一个o u 和一个r ，如果存在r p c ，对r 的一个元组， 当v e o u v时，操作员用户拥有 r该元组的存取权，否则无法存取。 若无 r p c 则无需检查. 以上是单属性权限控制。对于多属性权限控制，就应进行扩充。关系权限 控 制为 一个 集 合 p r c : ，用 户 权 限级 别 也 为一 个 集 合 o u p m e s s a g e p k (b )- b ; b 解 密a 的 加 密 消 息: m e s s a g e p k (b ) ) s k (b )- m e s s a g e o 从而返回了最初的明码文本。 a 发 送一个签名的消息到b : m e s s a g e = i n e s s a g e ) p k (b ) i s k (a ) - b ; b 验 证a 签 名 消息 来自a : m e s s a g e p k (a ) - ( m e s s a g e ) p k (b ) ; b 解 密 消 息 : m e s s a g e p k (b ) ? s k (b )- m e s s a g e , 从而返回了最初的明码文本。 r s a 是典型的双重密钥加密算法。 3 . 保密:源方发送给目的方一条消息，除目 的方外无第三方能阅读它. 4 .身份验证:目的方知道消息来自 源方，而非假扮成源方的第三方。 5 ，消息完整性这一技术广泛用于电子银行等场合。用于保证消息在传递 过程中无第三方修改，通常采用校验和算法 ( 也即哈希算法)来实现。当 希望确保消息不被篡改， 我们将校验和进行计算，并将它与消息一同发送. 接受者对接受的消息进行独立校验和计算，并查看它是否与消息创建者发 送的校验和匹配。良 好的校验和能保证即使两个几乎相同的消息也不会有 相同的校验和。消息发送者使用私钥对校验和进行签名，并将签名的校验 和与消息一同发送，保证安全。 6 .透明 签名技术在发送中保持消息本身为明码文本，仅需要进行身份验 3 2 硕士学位论文 m a s t e r s t h e s i s 证的技术。这一技术可验证文档和交易的数字传递是否合法，它可证明某 人确实发送了一个文档，并在传送中未被篡改。这种性质也称为“ 非否认， 。 以 上介绍的是加密产品和系统的基本原理和概念。公钥加密技术是资源密 集的，它不适合加密大量数据，因此单密钥加密常用于加密实际数据，而公钥 加密可安全传送用于单密钥加密的回话密钥，这个会话密钥一般是随机产生只 用于一次回话。非否认，保密性，身份验证及消息完整性构成了网络应用系统 安全体系的基石。 5 . 2 . 2典型的加密算法 5 . 2 . 2 . 1 r s a公开密钥加密算法 r s a算法的保密性基于数论中大整数素数因子分解问题的困 难性(2 9 。 运用它进 行加密和解密，步骤如下(3 1 ( 1 ) 选取两个大的 质数p 和9 . ( 2 ) 计算n = p * 9 和欧拉函数z = ( p - 1 ) * ( d - 1 ) 。 ( 3 ) 选择一个与z 互质的数d e ( 4 ) 求出e ，满足 d * e = 1 m o d z . ( 5 ) ( e , n ) 作为公开的 加密密钥。 将明 文分为长度小于l o g , n 位的明 文块， 欲加密 的明文信息为p ( 0 5 p n ) 。 加密过程为:c = f m o d n o ( 6 ) ( d , n ) 作为秘密的解密密钥。解密过程为:p = c m o d n o 在r s a 算法中进行的都是大数运算， 使得r s a 算法的速度比 较慢. 一般只用于 少量数据加密。r s a的安全性依赖于大数分解。该算法从提出到现在，经受了 各种攻击考验，被普遍认为是目 前最优秀的公开密码方案之一。 5 . 2 . 2 . 2 d e s 对称密钥加密算法 d e s 加密是将明文按6 4 位分组， 对每组数据的加密过程都要经过三个步骤: ( 1 )初始排列;( 2 )用密匙进行 1 6 次乘积变换:( 3 )最终排列得到密文. 硕士学位论文 m a s t e r s t i us i s 其中第一步和第三步是根据 i p和 i p - 分别对明文和变换过的数据进行排 列，以得到随机性更强的密文。i p 是 1 到6 4 的数字组成8 乘8的矩阵，而i p - 则是 i p 的逆矩阵。 d e s体制中最关键的是第二步的乘积变换，总共要经过 1 6次变换，目 的是 使明文增大其混乱性和扩散性，使得输出不残存统计规律，从而避免破译者从 反向 推算出密文。 乘积变换的过程是:首先将经过i p 排列后的6 4 位明文一分 为 二得到l 。 和凡 ， 然 后 用密 码函 数 f ( r ,- , , k ) ( i = 1