数据库的访问控制.ppt
《数据库的访问控制.ppt》由会员分享,可在线阅读,更多相关《数据库的访问控制.ppt(94页珍藏版)》请在优知文库上搜索。
1、返回返回1 数据库的访问控制返回返回2 访问控制策略概述访问控制策略概述 自主访问控制自主访问控制 4.4 4.4 多级安全访问控制模型多级安全访问控制模型返回返回34.1 4.1 访问控制策略概述访问控制策略概述在数据库中,访问控制可以分为两大类:在数据库中,访问控制可以分为两大类:(1 1)基于能力的访问控制:以访问主体为判断对象)基于能力的访问控制:以访问主体为判断对象实现访问控制。访问主体能力列表中的一个元素实现访问控制。访问主体能力列表中的一个元素表示为一个二元组(表示为一个二元组(o,ao,a), ,其中其中o o表示资源客体,表示资源客体,a a表示一种访问控制方式。表示一种访问
2、控制方式。(2 2)基于访问控制列表的访问控制:以资源客体为)基于访问控制列表的访问控制:以资源客体为判断对象实现访问控制。资源客体访问控制列表判断对象实现访问控制。资源客体访问控制列表中的一个元素表示为一个二元组(中的一个元素表示为一个二元组(s,as,a), ,其中其中s s表表示访问主体,示访问主体,a a表示一种访问控制方式。表示一种访问控制方式。返回返回44.1 4.1 访问控制策略概述访问控制策略概述自主访问控制是一种最为普遍的访问控制手段,自主访问控制是一种最为普遍的访问控制手段,用户可以按自己的意愿对系统的参数做适当修用户可以按自己的意愿对系统的参数做适当修改以决定哪些用户可以
3、访问他们的资源,亦即改以决定哪些用户可以访问他们的资源,亦即一个用户可以有选择地与其它用户共享他的资一个用户可以有选择地与其它用户共享他的资源。用户有自主的决定权。源。用户有自主的决定权。 返回返回5自主访问控制模型中,用户对信息的控自主访问控制模型中,用户对信息的控制基于对用户的鉴别和访问规则的确定。它制基于对用户的鉴别和访问规则的确定。它基于对主体及主体所属的主体组的识别,来基于对主体及主体所属的主体组的识别,来限制对客体的访问,还要校验主体对客体的限制对客体的访问,还要校验主体对客体的访问请求是否符合存取控制规定来决定对客访问请求是否符合存取控制规定来决定对客体访问的执行与否。这里所谓的
4、自主访问控体访问的执行与否。这里所谓的自主访问控制是指主体可以自主地(也可能是单位方式)制是指主体可以自主地(也可能是单位方式)将访问权,或访问权的某个子集授予其它主将访问权,或访问权的某个子集授予其它主体。体。 返回返回6强制访问控制是指主体与客体都有一个固定的强制访问控制是指主体与客体都有一个固定的安全属性。系统通过检查主体和客体的安全属安全属性。系统通过检查主体和客体的安全属性匹配与否来决定一个主体是否可以访问某个性匹配与否来决定一个主体是否可以访问某个客体资源。安全属性是强制性的规定,它是由客体资源。安全属性是强制性的规定,它是由安全管理员,或者是操作系统根据限定的规则安全管理员,或者
5、是操作系统根据限定的规则确定的,用户或用户的程序不能加以修改。确定的,用户或用户的程序不能加以修改。返回返回7如果系统认为具有某一个安全属性的如果系统认为具有某一个安全属性的主体不适于访问某个资源,那么任何人(包主体不适于访问某个资源,那么任何人(包括资源的拥有者)都无法使该主体具有访问括资源的拥有者)都无法使该主体具有访问该文件的权力。该文件的权力。 强制安全访问控制可以避免和防止大多强制安全访问控制可以避免和防止大多数数据库有意或无意的侵害,因此在数据库数数据库有意或无意的侵害,因此在数据库管理系统中有很大的应用价值。管理系统中有很大的应用价值。 返回返回8基于角色访问控制(基于角色访问控
6、制(RBACRBAC)模型是目前国际上流行的)模型是目前国际上流行的先进的安全访问控制方法。它通过分配和取消角色来先进的安全访问控制方法。它通过分配和取消角色来完成用户权限的授予和取消,并且提供角色分配规则。完成用户权限的授予和取消,并且提供角色分配规则。安全管理人员根据需要定义各种角色,并设置合适的安全管理人员根据需要定义各种角色,并设置合适的访问权限,而用户根据其责任和资历再被指派为不同访问权限,而用户根据其责任和资历再被指派为不同的角色。这样,整个访问控制过程就分成两个部分,的角色。这样,整个访问控制过程就分成两个部分,即访问权限与角色相关联,角色再与用户关联,从而即访问权限与角色相关联
7、,角色再与用户关联,从而实现了用户与访问权限的逻辑分离。实现了用户与访问权限的逻辑分离。 返回返回94.2 4.2 自主自主访问控制访问控制自主访问控制基于自主策略管理主体对数据的自主访问控制基于自主策略管理主体对数据的访问,主要机制包括基于主体的标识和授权规访问,主要机制包括基于主体的标识和授权规则。这些规则是自主的,即它们允许主体将数则。这些规则是自主的,即它们允许主体将数据权限授予其他主体。据权限授予其他主体。自主访问控制的一个重要方面是与授权管理策自主访问控制的一个重要方面是与授权管理策略密切相关。所谓授权管理,是指授权和撤消略密切相关。所谓授权管理,是指授权和撤消授权的功能。授权的功
8、能。 返回返回10访问控制矩阵模型利用矩阵访问控制矩阵模型利用矩阵A A表示系统中主体、表示系统中主体、客体和每个主体对每个客体所拥有权限之间的客体和每个主体对每个客体所拥有权限之间的关系。任何访问控制策略最终均可被模型化为关系。任何访问控制策略最终均可被模型化为访问矩阵形式:一行表示一个主体的能力列表,访问矩阵形式:一行表示一个主体的能力列表,一列表示一个客体的访问控制列表。每个矩阵一列表示一个客体的访问控制列表。每个矩阵元素规定了相应的主体对应于相应的客体被准元素规定了相应的主体对应于相应的客体被准予的访问许可、实施行为。予的访问许可、实施行为。返回返回11表1 访问控制矩阵 O1O2S1
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据库 访问 控制