基于時域反射數據庫的訪問控制①

龍曉泉

(中移互聯網有限公司, 廣州 510640)

基于時域反射數據庫的訪問控制①

龍曉泉

(中移互聯網有限公司, 廣州 510640)

數據庫訪問控制策略對用戶定義了不同的權限. 為確保數據庫系統的安全性, 需實施數據庫安全策略以保護對數據庫中數據的合法訪問, 如同確保數據的完整性、一致性. 為了實現數據庫訪問控制策略的一致性, 在本文中, 我們提出了一個新的訪問控制策略, 即時域反射數據庫訪問控制(TRDBAC), 旨在解決RDBAC對時間約束的局限性. 我們以一個學生信息系統為例, 展示了TRDBAC的研究結果. 最后, 我們分析了TRDBAC新模型的應用效果.

訪問控制策略; 訪問控制; RDBAC; TRDBAC

1 引言

數據庫系統是任何系統中的核心部件之一. 伴隨著數據的迅猛增長, 訪問控制機制應具有足夠的靈活性, 實現多種不同類型的訪問控制策略.

數據庫系統面臨系統內外部的多重威脅. 這些威脅導致不同的數據安全漏洞, 例如未授權的數據訪問,不正確的數據修改等[1]. 理想的數據庫系統應該是足夠安全的, 以便它可以保護系統的重要數據不受任何類型的威脅.

在數據庫系統中, 訪問控制機制的主要目標是確保數據的機密性. 到目前為止, 學術界已經描述了許多類型的關系數據庫訪問控制系統[2]. 例如:

(1) 自主訪問控制(DAC)

(2) 強制訪問控制(MAC)

(3) 基于角色的訪問控制(RBAC)

(4) 基于時間約束的角色訪問控制(TRBAC)

(5) 反射數據庫訪問控制(RDBAC)

在本文中, 我們訪問控制策略的實施基于RDBAC的學生成績信息系統. 調取相關的數據記錄(TD)寫入訪問控制策略中, 這些策略將通過SQL語句實現.

在該系統應用場景下, 我們需要考慮到時間的約束性. 由于RDBAC沒有明確考慮時間約束. 因此, 我們擴展了RDBAC, 并提出時域反射數據庫訪問控制(TRDBAC)的想法. 該模型將基于實時數據庫的訪問控制策略的設計與實現.

2 訪問控制模型

2.1 自主訪問控制(DAC)

在DAC中訪問數據庫系統的權限限制是基于訪問或受控對象的身份, 他們屬于授權規則[3]. DAC在某種意義上說, 它可以讓管理員授予數據庫訪問控制等權限.由于授予權限的靈活性, 自主訪問控制模型是通過DBMS實現的, 即Oracle10g、MySQL等數據庫管理系統, 并且由管理員設定相關的權限. DAC具有授權訪問的靈活性, 由于訪問控制的不當傳遞, 存在非法訪問機密信息的缺點等.

2.2 強制訪問控制(MAC)

MAC用于將系統中的信息分密級和類進行管理,以保證每個用戶只能訪問到那些被標明可以由他訪問的信息的一種訪問約束機制[4]. MAC在RDBMS中的實現已經完全集中在多級安全(MLS). 多級安全(MLS)是一種功能, 允許有不同的分類信息, 以便在信息系統中允許具有不同的安全許可和授權的用戶使用, 同時防止用戶訪問他們所沒有授權的信息. 由于這種受限制的MAC已被用在大多數的商業系統應用中, 在一些商業系統中RDBMS提供了基于MAC地址的訪問控制如Oracle、Informix在線/安全和Sybase SQL服務器的安全等. 除了限制MAC的一個重要優勢, 這種安全產品的重要優點是它們可以用于定義標簽訪問策略和為用戶分配訪問標簽[5].

2.3 基于角色的訪問控制(RBAC)

在RBAC中, 策略是在用戶方面, 對主題, 角色, 角色等級, 操作, 關系和約束的描述. 用戶根據自己的能力和責任將成員授予角色. 用戶必須激活一個角色并由安全管理員操作授權. RBAC的主題主要是它授權予管理員可以限制角色授權、角色激活, 執行和操作的能力. RBAC的一個因素是訪問控制, 簡化了訪問策略的理解和管理的非任意性. 此外, 它有利于管理員在一個抽象的層次上控制訪問[6].

2.4 基于時間約束的角色訪問控制(TRBAC)

TRBAC是RBAC的擴展, 支持對角色的啟用/禁用時間約束. 這種約束表示通過角色觸發器(當指定的操作發生時自動執行的規則)也可以被用來約束一個特定的用戶在一個給定的時間內激活角色的一組角色器.觸發器的觸發可能會導致一個角色立即在一個明確的指定的時間被啟用/禁用[7]. 基于TRBAC的權限特性,可以在任何特定時間了解用戶所屬角色的狀態, 例如某些觸發器, 可以使用戶屬于多個角色, 而不是屬于某一個角色.

2.5 反射數據庫訪問控制(RDBAC)

RDBAC是新興的訪問控制模型. RDBAC試圖克服實施復雜的訪問控制模型的困難. 如前所述當數據庫使用概念簡單的訪問控制模型, 例如訪問控制矩陣和角色的定義等, 并在此基礎上允許用戶執行讀取、插入、更新或執行表, 視圖等數據庫資源. 但這些技術面臨的弱點是, 在更細粒度的水平上, 數據庫表中某些部分的訪問控制, 需要被授予創建一個單獨的視圖, 其中包含所需的數據, 然后用戶就可以訪問該視圖. 在某些情況下, 這些模型具有一定的靈活性, 用戶可以與用戶相關表的訪問權限, 而不需要超級用戶權限[7]. 然而,這些模型僅限于表達策略的程度, 如“Alice可以查看Alice的數據”, “Bob可以查看Bob的數據”等, 而非策略的意圖, 如“每個員工都可以在表中查看自己的數據,每個用戶都需要一個單獨的表/視圖, 以及一個單獨的角色來訪問視圖”. 但是, 策略管理變得繁瑣, 其中數據會變化很快, 修改數據庫架構和新的用戶可能會需要更快的速度[8].

RDBAC是一個模型, 其中一個數據庫的權限表示一個數據庫查詢本身, 而不是一個包含在訪問控制矩陣的靜態的特權. 在這個模型中的訪問控制策略的決定可以依賴于數據庫中的其他部分, 如用戶的屬性, 被查詢的數據的屬性, 或用戶之間的關系和數據. 在這個模型中做了優化以消除上述限制, 并允許策略來引用數據庫的任何部分. RDBAC的主要優點是, 它有助于提高訪問控制策略的表現. RDBAC的好處是“誰是管理者就可以查看他們所管理的員工的數據”, 假設我們授予員工管理者的角色來訪問其他所有員工的數據.當一個管理者查詢該表中, 該策略將首先檢查該用戶是否確實是一個管理者, 然后檢索管理者的部門, 并最終返回該部門. 這種方法有兩個好處. 首先, 該策略利用已存儲在數據庫中的數據; 其次, 策略描述了其意圖,而不是它的程度. 因此, 當數據庫更新時(例如, 當一名員工提升到管理者)時, 系統會自動更新權限, 以防止在不一致的狀態下數據庫更新異常[9,10].

RDBAC的缺點, 沒有任何有效的方法為實際數據庫系統訪問控制策略的形成相應的數學模型. 為此RDBAC策略提供了一個強大的語法和語義, 但是它缺乏對某些常用操作中的SQL語法和語義進行大規模的執行和測試過.

一些產品如Oracle的虛擬專用數據庫(VPD)是一個基于該策略的功能可以對查詢結果進行過濾改寫的訪問控制模型. 該策略功能可能包含其他的查詢, 這些查詢可能基于其他策略功能被改寫過. 另外一個例子是Sybase的Adaptive Server Enterprise數據庫同樣采用基于查詢重寫的邏輯條件, 包括用戶定義的任意Java函數的邏輯重寫. 但這些仍缺乏正式的數學模型.

2.6 時域反射數據庫訪問控制(TRDBAC)

TRDBAC是RDBAC的擴展, 時域數據無處不在,而幾乎任意數據庫都可以存儲時域數據. 但是不同的數據能支持的查詢類型并不相同. TRDBAC是用于管理時域數據的專業化數據庫. 區別于傳統的關系型數據庫, 時域數據庫針對時間數據的存儲、查詢和展現進行了專門的優化, 從而獲得極高的數據壓縮能力、極優的查詢性能, 特別適用于物聯網應用場景(物聯網應用往往需要處理海量的時域數據).

TRDBAC的主要功能特點如下:

① 不要限制數據模型, 支持多個維度, 支持多個值, 維度要可以支持中文, 允許一個周期內存多個值;

② 能夠按時間范圍快速讀取原數據;

③ 對于選擇性高, 或者常用的維度, 希望能夠彼此隔離, 也就是指定了維度去查的時候可以不用掃描所有的數據;

④ 服務器端高效地完成維度聚合;

⑤ 盡可能的利用時間維度和其他維度的重復性減少存儲空間, 存儲自身是壓縮的, 占用越小越好.

根據TRDBC的特點, 我們以一個學生信息系統為例對TRDBAC進行研究.

3 案例分析: 實現TRDBAC的學生成績信息系統

在這個案例中, 我們對學生成績信息系統的訪問控制策略進行實施. 該系統便于教師上傳成績, 考試協調員管理成績, 并允許學生查看自己的成績. 管理員必須監控和管理整個系統的訪問. 讓我們以學生成績系統的詳細概述為例.

實施訪問控制策略的基本目的是執行成績信息系統中的保密策略. 以下要點是要討論的, 以便設計出訪問控制策略, 防止未經授權的訪問.

數據被存儲在結果表中, 并且該系統的用戶如教師, 學生等可根據用戶類型授予的權限訪問數據. 教師只能上傳所授的課程的學生的成績. 一旦教師將成績上傳, 成績將無法更改. 如果需要任何類型的變更, 都需要將變更函發送至考試協調員.

最后的成績顯示策略也允許學生的家長/監護人查看最終成績和評分. 實施這一策略的機制將確保家長/監護人能看到自己孩子的成績.

考試協調員具有查看/更改所有學生最終成績的能力. 當更改學生的成績時, 需要記錄更改的原因. 這些動作將被記錄并審核, 防止未經授權的數據改變, 以保持數據的完整性.

管理員是唯一能夠授權改變其他用戶包括學生,教師, 考試協調員等狀態(有效/無效)的人員, 管理員還可以查看系統日志. 以下策略定義鑒于上述規則.

3.1 策略

3.1.1 一般情況

① 用戶只能查看自己的個人信息;

② 用戶只能更新自己的個人信息和聯系方式;

③ 數據庫中任何缺失的記錄都不會被真正刪除,但會被標記為無效.

3.1.2 教師策略

① 教師只能上傳他/她所錄取的學生的成績信息;

② 教師只能查看所授課程的學生成績和聯系方式;

③ 教師只能更新, 刪除由教師標記為完成之前的數據;

④ 教師一旦將學生的成績確定, 便不能再更改;

⑤ 教師還可以更改學生成績信息的現狀, 像“公布中”到“公布”, 作為學生參加課程的唯一途徑;

⑥ 只有教師和管理員可以查看考試協調員的聯系成績.

3.1.3 學生策略

① 學生只能查看他/她自己的課程的成績;

② 學生可以查看他/她就讀課程的教師的聯系信息;

③ 學生可以更新他/她自己的聯系信息;

④ 學生只能聯系相對應科目的教師查看成績.

3.1.4 考試協調員策略

① 考試協調員只能查看當前所有被錄取的學生的成績;

② 考試協調員可以查看與課程有關的任何教師的聯系信息;

③ 考試協調員可以在系統有任何問題的情況下聯系管理員.

3.1.5 家長/監護人策略

① 家長/監護人只能在網站上公布查看到的自己孩子的成績;

② 家長/監護人也可以查看他們的孩子就讀課程的教師的聯系信息.

3.1.6 管理員策略

① 管理員可以查看任何表中的所有數據;

② 管理員和教師只能查看考試協調員的聯系信息;

③ 只有管理員可以查看在系統中執行各種操作所產生的更改日志;

④ 只有管理員才能在系統中添加新用戶.

3.2 策略實施中RDBAC

3.2.1 基本狀態策略

我們首先定義該系統的相關表, 并設置用戶是有效, 能夠訪問這些信息.

① 講師表

Teachers (Id, Name, Contact, .., .., .., IsActive)

Values (1, ABC, 234, .., .., .., 1)

② 學生表

Student (Id, FName, LName, .., .., IsActive)

Values (3, A, B, .., .., 1)

③ 監考員

Exam (Id, Name, .., .., IsActive)

Values (2, TH, ..,.., 1)

3.2.2 基本訪問策略

具有該系統權限的用戶可以訪問該系統資源下的訪問策略.

導師希望看到學生的信息:

hasAccess(IID, SID):

Teachers(IID, Name, , , 1) Student(SID, FName,LName, , , 1) Courses(CID, Code, Title, , , IID, 1)StudentCourses(SID, CID, , , )

考試協調員希望看到學生信息:

hasAccess(ECID, SID):

Exam(ECID, Name, , , 1)

Student(SID, FName, LName, , , 1)

3.2.3 查看結果策略

學生只能查看他/她自己的結果; 同時教師可以查看所有已登記學生的成績. 考試協調員可以查看所有學生參加任何學科的成績. 家長/監護人還可以查看自己孩子的成績. 所以, 下面是實現上述過程的策略:

① 學生查看結果

View.viewResults(FName, LName, CourseName,Marks, Grade, CGPA):

Student(SID, FName, LName, 1)

Courses(CID, Title, 1)

StudentCourses(SID, CID, 1)

Results(SID, CID, Marks, Grade)

② 教師查看結果

View.viewResults(FName, LName, CourseName,Marks, Grade, CGPA):

Teachers(IID, 1)

Student(SID, FName, LName, 1) Courses(CID,Title, IID, 1)

StudentCourses(SID, CID, 1) Results(SID, CID,Marks, Grade)

③ 考試協調員查看結果

View.viewResults(FName, LName, CourseName,Marks, Grade, CGPA): -

Exam(ECID, 1)

Student(SID, FName, LName, 1) Courses(CID,Title, 1) StudentCourses(SID, CID, 1) Results(SID, CID,Marks, Grade)

④ 家長/監護人查看結果

View.viewResults(FName, LName, CourseName,Marks, Grade, CGPA): -

Exam(ECID, 1)

Student(SID, FName, LName, PID, 1) Courses(CID,Title, 1) StudentCourses(SID, CID, 1) Parent(PID, 1)

Results(SID, CID, Marks, Grade)

⑤ 管理員查看結果

View.viewResults(FName, LName, CourseName,Marks, Grade, CGPA): -

Admin(AID, 1)

Student(SID, FName, LName, 1)

Courses(CID, Title, 1) StudentCourses(SID, CID, 1)Results(SID, CID, Marks, Grade)

3.2.4 插入結果策略

只有課程的教師被允許插入就讀與他/她的學生的結果. 但是, 一旦教師提交結果, 教師就不能插入或更新. 在這種情況下, 教師會要求到考試協調員添加/更新任何學生的結果. 以下是插入結果策略的執行:

通過導師插入結果

View.Ins.sResults(CID, SID, Marks, Grade, 1)

Results.IsInActive(SID, CID) || Result.NotExist(SID, CID) Teachers(IID, 1)

Student(SID, 1)

Courses(CID, IID, 1) StudentCourses(SID, CID, 1)Ins.sResults(SID, CID, Marks, Grade, 1)

3.2.5 更新結果策略

只有課程的教師被允許更新就讀與他/她的課程,另外考試協調員還可以更新結果提交后由于導師的要求需要更新的任何學生的結果.

通過導師查看更新結果

View.Upd.sResults(CID, SID, RID, Marks, Grade, 1)

Results.IsActive(SID, CID, RID, 1) || Result.Exists(SID, CID, RID) Teachers(IID, 1)

Student(SID, 1) Courses(CID, IID, 1) StudentCourses(SID, CID, 1) Results(RID, CID, SID, 1)

Upd.sResults(SID, CID, RID, Marks, Grade, 1)

3.2.6 刪除結果策略

學生的課程成績只有導師允許刪除. 如果成績已提交, 則只有考試協調員可以根據導師的要求刪除學生成績.

通過導師刪除結果

View.Del.sResults(CID, SID, RID, Marks, Grade, 1)

Results.IsActive(SID, CID, RID, 1) || Result.Exists(SID, CID, RID, 1)

Teachers(IID, 1) Student(SID, 1)

Courses(CID, IID, 1)

StudentCourses(SID, CID, 1) Results(RID, CID,SID, 1) Del.sResults(SID, CID, RID, 1)

3.3 實現TRDBAC策略

下面的策略需要使用時間限制來實現:

如果由于某種原因必要要修改考試的結果, 則我們可以允許教師在一定的時間段更新結果. 例如, 教師被允許從2016年6月28日上午9時至2016年6月30日下午5點更新結果.

以下是這一策略的交易數據記錄(TD)的說明View.Upd_Temporal.sResults(CID, SID, RID, Marks,Grade, 1)

(Results.IsActive(SID, CID, RID, 1) || Results.Exists(SID, CID, RID, 1)) && !DateExpired

(IID, Current_DateTime)

Teachers(IID, Additional_Role, ‘6/28/2010 9:00:00 AM’, ‘6/30/2016 5:00:00 PM’, 1)

Student(SID, 1) Courses(CID, IID, 1) StudentCourses(SID, CID, 1)

Results(RID, CID, SID, 1)

Upd.sResults(SID, CID, RID, Marks, Grade, 1) SQL Implementatio

Create View Upd_Temporal_Results AS (UPDATE RESULTS r, Teachers i SET r.sTitle=’Title’, r.Marks=’Marks’, r.Grade=’Grade’ WHERE CURRENT_DATETIME

BETWEEN i.FromDateAND i.ToDate AND i.Additional_Role=1 AND i.IID = CURRENT_USER)

更新視圖結果如表1所示.

表1 允許教師更新成績視圖表

另一種情況, 我們需要實現TRDBAC讓學生觀察一些特定的時間段的結果. 比如, 學生被允許查看從2016年7月1日12點至2016年7月5日下午5點的成績.

然后我們有以下策略描述:

View.view_Temporal.sResults(SID, RID, Marks,Grade, 1)

(Results.IsActive(SID, CID, RID, 1) || Results.Exists(SID, CID, RID, 1)) && !DateExpired (SID, CID,Current_DateTime)

Student(SID, Additional_Role, ‘7/1/2016 00:00:00 AM’, ‘7/1/2016 5:00:00 PM’)

Courses(CID, 1) StudentCourses(SID, CID, 1)Results(RID, CID, SID, 1)

View.sResults(SID, CID, RID, Marks, Grade, 1)SQL Implementation

Create View View_Temporal_Results AS (SELECT r.sTitle, r.Marks, r.Grade FROM Results r INNER JOIN Courses c ON c.CID = r.CID INNER JOIN

StudentCoursessc ON sc.CID = c.SID INNER JOIN Students s ON s.SID = sc.SID WHERE CURRENT_DATETIME BETWEEN s.FromDate

AND s.ToDate AND s.Additional_Role=1 AND s.SID = CURRENT_USER)

在上述情況下, 需要TRDBAC對SQL的實現進行明確說明. 更新視圖結果如表2所示.

表2 允許學生查看成績視圖表

4 結論

RDBAC能夠執行訪問控制策略, 而不是實施應用級的數據庫訪問. 在某些情況下, 我們不僅在實施數據庫級別的策略上感興趣, 也對在一定時間限制下的策略感興趣. 為了這個目的, 我們引入了TRDBAC, 這是在RDBAC的基礎上進行了延伸, 實踐證明這是一個很好的時間模式, 讓我們的策略有了一定的時間限制.

1Tsai WT, Shao QH. Role-based access-control using reference ontology in clouds. Proc. 10th International Symposium on Autonomous Decentralized Systems. Tokyo,Hiroshima, Japan. 2011. 121–128.

2王廣宇. 云計算環境中的訪問控制策略合成研究[碩士學位論文]. 西安: 西安電子科技大學, 2014.

3賀正求, 張葉琳, 許俊奎, 等. Web服務訪問控制策略研究.計算機應用, 2015, 35(8): 2184–2188. [doi: 10.11772/j.issn.1001-9081.2015.08.2184]

4Lazouski A, Martinelli F, Mori P. Usage control in computer security: A survey. Computer Science Review, 2010, 4(2):81–99. [doi: 10.1016/j.cosrev.2010.02.002]

5馬學彬. 工作流中基于D-TRBAC的轉授權問題的研究[碩士學位論文]. 大連: 大連理工大學, 2007.

6沈晴霓, 楊雅輝, 禹熹, 等. 一種面向多租戶云存儲平臺的訪問控制策略. 小型微型計算機系統, 2011, 32(11): 2223–2229.

7Bertino E, Bonatti PA, Ferrari E. TRBAC: A temporal rolebased access control model. ACM Trans. Information and System Security, 2011, 4(3): 191–233.

8陳穎, 楊壽保, 郭磊濤, 等. 網格環境下的一種動態跨域訪問控制策略. 計算機研究與發展, 2006, 43(11): 1863–1869.

9王旺. 基于Spring MVC框架和TRBAC訪問控制模型的工作流系統的設計[碩士學位論文]. 合肥: 合肥工業大學,2014.

10Raje S, Davuluri C, Freitas M, et al. Using ontology-based methods for implementing role-based access control in cooperative systems. Proc. 27th Annual ACM Symposium on Applied Computing. Trento, Italy. 2012. 763–764.

Access Control Based on Temporal Reflective Database

LONG Xiao-Quan
(China Mobile Internet Company Limited, Guangzhou 510640, China)

The access control policy defines the rights and privileges for different users on database objects. In order to maintain the security of these database systems, the database security should be controlled to protect the contents of the access database, as well as to preserve the integrity and consistency of the data. In order to achieve consistent database access control strategy, in this paper, we propose a temporal reflection database access control (TRDBAC) , a new access control strategy, aiming to eliminate the limitations of RDBAC. To express the time limit our new strategy has demonstrated the results of a case study on a student information system, where strategies are written in the reflective database access control (RDBAC) for extended time based. Finally, we analyze the behavior of the new model.

access control policies; controlled access; RDBAC; TRDBAC

龍曉泉.基于時域反射數據庫的訪問控制.計算機系統應用,2017,26(7):215–220. http://www.c-s-a.org.cn/1003-3254/5927.html

2016-10-12; 收到修改稿時間: 2017-01-09