第5章安全性控制技术.ppt

第5章安全性控制技术 Databasesprotection 数据库保护 排除和防止各种对数据库的干扰破坏 确保数据安全可靠 以及在数据库遭到破坏后尽快地恢复数据库保护通过四个方面来实现数据库的恢复技术Dealwithfailure并发控制技术Dealwithdatasharing完整性控制技术Enableconstraints安全性控制技术Authorizationandauthentication 主要内容 数据库安全性控制概述用户标识与鉴别存取控制视图机制 一 数据库安全性控制概述 非法使用数据库的情况用户编写一段合法的程序绕过DBMS及其授权机制 通过操作系统直接存取 修改或备份数据库中的数据 直接或编写应用程序执行非授权操作 通过多次合法查询从数据库中推导出一些保密数据 一 数据库安全性控制概述 例 某数据库应用系统禁止查询单个人的工资 但允许查任意一组人的平均工资 用户甲想了解张三的工资 于是他 首先查询包括张三在内的一组人的平均工资然后查用自己替换张三后这组人的平均工资从而推导出张三的工资 一 数据库安全性控制概述 计算机系统中的安全模型 方法 用户标识和鉴定 存取控制审计视图 操作系统安全保护 密码存储 一 数据库安全性控制概述 数据库安全性控制的常用方法用户标识和鉴定存取控制视图审计密码存储 二 用户标识与鉴别 用户标识与鉴别 Identification Authentication 系统提供的最外层安全保护措施 1 用户标识与鉴别基本方法 系统提供一定的方式让用户标识自己的名字或身份 系统内部记录着所有合法用户的标识 每次用户要求进入系统时 由系统核对用户提供的身份标识 通过鉴定后才提供系统使用权 用户标识和鉴定可以重复多次 2 用户标识自己的名字或身份 用户名 口令简单易行 容易被人窃取每个用户预先约定好一个计算过程或者函数系统提供一个随机数用户根据自己预先约定的计算过程或者函数进行计算系统根据用户计算结果是否正确鉴定用户身份 三 存取控制 存取控制机制的功能授权 Authorization 对每个用户定义存取权限验证 Authentication 对于通过鉴定获得上机权的用户 即合法用户 系统根据他的存取权限定义对他的各种操作请求进行控制 确保他只执行合法操作授权和验证机制一起组成了DBMS的安全子系统 三 存取控制 常用存取控制方法自主存取控制 DiscretionaryAccessControl 简称DAC C2级灵活强制存取控制 MandatoryAccessControl 简称MAC B1级严格 1 自主存取控制方法 同一用户对于不同的数据对象有不同的存取权限不同的用户对同一对象也有不同的权限用户还可将其拥有的存取权限转授给其他用户 1 存取权限 存取权限由两个要素组成数据对象操作类型 2 关系数据库系统中的存取权限 2 关系数据库系统中的存取权限 关系数据库系统中的存取权限定义方法GRANT REVOKE DENY 3 授予权限 GRANT ALL statement n TOsecurity account n GRANT ALL PRIVILEGES permission n column n ON table view ON table view column n ON stored procedure extended procedure ON user defined function TOsecurity account n WITHGRANTOPTION AS group role 语句权限 对象权限 3 授予权限 例子 授予语句权限下面的示例给用户Mary和John授予多个语句权限 GRANTCREATEDATABASE CREATETABLETOMary John授予全部语句权限给用户RoseGRANTALLtoRose 3 授予权限 例子 授予对象权限GRANTSELECTONauthorsTOpublicGRANTINSERT UPDATE DELETEONauthorsTOMary John Tom 4 拒绝权限 拒绝给当前数据库内的安全帐户授予权限 语句权限 DENY ALL statement n TOsecurity account n 对象权限 DENY ALL PRIVILEGES permission n column n ON table view ON table view column n ON stored procedure extended procedure ON user defined function TOsecurity account n CASCADE 4 拒绝权限 例子 拒绝语句权限下例对多个用户拒绝多个语句权限 用户不能使用CREATEDATABASE和CREATETABLE语句DENYCREATEDATABASE CREATETABLETOMary John对用户Rose拒绝全部语句权限DENYALLtoRose 4 拒绝权限 例子 拒绝对象权限DENYINSERT UPDATE DELETEONauthorsTOMary John Tom 5 废除权限 废除以前授予或拒绝的权限 废除类似于拒绝 但是 废除权限是删除已授予的权限 并不妨碍用户 组或角色从更高级别继承已授予的权限 因此 如果废除用户查看表的权限 不一定能防止用户查看该表 因为已将查看该表的权限授予了用户所属的角色 角色是权限的一个集合 可以指派给用户或其它角色 这样只对角色进行权限设置便可以实现对多个用户权限的设置 5 废除权限 举例 DENY与REVOKE区别从HumanResources角色中删除Employees表上的SELECT访问权限将废除该权限 从而使HumanResources不能再使用该表 如果HumanResources是Administration角色的成员 如果以后将Employees上的SELECT权限授予了Administration 则HumanResources的成员可以通过Administration中的成员资格看到该表 但是 如果对HumanResources拒绝SELECT权限 则即使以后向Administration授予权限 HumanResources也不会继承该权限 5 废除权限 例子 废除授予用户帐户的语句权限下例废除已授予用户Joe的CREATETABLE权限 它删除了允许Joe创建表的权限 不过 如果已将CREATETABLE权限授予给了包含Joe的任何角色 那么Joe仍可创建表 REVOKECREATETABLEFROMJoe 5 废除权限 例子 废除授予多个用户帐户的多个权限下例废除授予多个用户的多个语句权限 REVOKECREATETABLE CREATEINDEXFROMMary John 5 废除权限 例子 废除拒绝的权限用户Mary是Budget角色的成员 已给该角色授予了对Budget Data表的SELECT权限 已对Mary使用DENY语句以防止Mary通过授予Budget角色的权限访问Budget Data表下例删除对Mary拒绝的权限 并通过适用于Budget角色的SELECT权限 允许Mary对该表使用SELECT语句 REVOKESELECTONBudget DataTOMary 6 权限验证 对于通过鉴定后又进一步发出存取数据库操作的用户DBMS查找数据字典 根据其存取权限对操作的合法性进行检查若用户的操作请求超出了定义的权限 系统将拒绝执行此操作 7 授权粒度 授权粒度是指可以定义的数据对象的范围它是衡量授权机制是否灵活的一个重要指标授权定义中数据对象的粒度越细 即可以定义的数据对象的范围越小 授权子系统就越灵活 7 授权粒度 关系数据库中授权的数据对象粒度数据库表属性列行 8 实现用户自定义的授权 利用存取谓词存取谓词可以很复杂可以引用系统变量 如终端设备号 系统时钟等 实现与时间地点有关的存取权限 这样用户只能在某段时间内 某台终端上存取有关数据 8 实现用户自定义的授权 例 规定 只能在周一到周五的上班时间9 00 17 00之间处理仓库数据 CREATETRIGGERsecure ckON仓库FORINSERT DELETE UPDATEASIFDATENAME weekday getdate 星期六 ORDATENAME weekday getdate 星期日 OR convert INT DATENAME hour getdate NOTBETWEEN9AND17 BEGINRAISERROR 只许在工作时间操作 16 1 ROLLBACKTRANSACTIONEND 9 自主存取控制小结 定义存取权限用户检查存取权限DBMS授权粒度数据对象粒度 数据库 表 属性列 行优点能够通过授权机制有效地控制其他用户对敏感数据的存取缺点可能存在数据的 无意泄露 低级别用户访问到保密数据原因 这种机制仅仅通过对数据的存取权限来进行安全控制 而数据本身并无安全性标记解决 对系统控制下的所有主客体实施强制存取控制策略 2 强制存取控制方法 每一个数据对象被标以一定的密级每一个用户也被授予某一个级别的许可对于任意一个对象 只有具有合法许可的用户才可以存取 1 主体和客体 在MAC中 DBMS所管理的全部实体被分为主体和客体两大类主体是系统中的活动实体DBMS所管理的实际用户代表用户的各进程客体是系统中的被动实体 是受主体操纵的文件基本表索引 1 敏感度标记 对于主体和客体 DBMS为它们每个实例 值 指派一个敏感度标记 Label 主体的敏感度标记称为存取级 ClearanceLevel 客体的敏感度标记称为密级 ClassificationLevel 敏感度标记分成若干级别例如 绝密 TopSecret 机密 Secret 可信 Confidential 公开 Public MAC机制就是通过对比主体的Label和客体的Label 最终确定主体是否能够存取客体 2 强制存取控制规则 当某一用户 或某一主体 以标记label注册入系统时 系统要求他对任何客体的存取必须遵循下面两条规则 1 仅当主体的存取级别大于或等于客体的密级时 该主体才能读取相应的客体 2 仅当主体的存取级别等于客体的密级时 该主体才能写相应的客体 3 强制存取控制方法特点 MAC是对数据本身进行密级标记无论数据如何复制 标记与数据是一个不可分的整体只有符合密级标记要求的用户才可以操纵数据从而提供了更高级别的安全性 四 视图机制 视图机制把要保密的数据对无权存取这些数据的用户隐藏起来 视图机制更主要的功能在于提供数据独立性 其安全保护功能不够精细 往往远不能达到应用系统的要求实际中 视图机制与授权机制配合使用 首先用