`
yangzb
  • 浏览: 3507284 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

网络数据库的访问控制

阅读更多

  网络数据库的访问控制
  访问控制(access control)是通过某种途径允许或限制用户访问能力及范围的一种方法。访问控制的目的是使用户只能进行经过授权的相关数据库操作。
  访问控制系统一般包括:
  (1)主体(subject):发出访问操作、存取要求的主动方,通常指用户或用户的某个进程。
  (2)客体(object):被调用的程序或欲存取的数据访问。
  (3)安全访问政策:一套规则,用以确定一个主体是否对客体拥有访问能力。
  网络数据库访问控制方式
  访问控制方式有自主访问控制(DAC,Discretionary Access Control)、强制访问控制(MAC,Mandatory Access Control)和基于角色访问控制(RBAC,Role-Based Access Control)。
  1. 自主访问控制
  DAC是基于用户身份或所属工作组来进行访问控制的一种手段。具有某种访问特权的用户可以把该种访问许可传递给其他用户。
  DAC允许使用者在没有系统管理员参与的情况下对他们所控制的对象进行权限修改,这就造成信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使原来对O没有访问权限的B可以访问O。
  2. 强制访问控制
   MAC对于不同类型的信息采取不同层次的安全策略。MAC基于被访问对象的信任度进行权限控制,不同的信任度对应不同的访问权限。MAC给每个访问主体 和客体分级,指定其信任度。MAC通过比较主体和客体的信任度来决定一个主体能否访问某个客体,具体遵循以下两条规则:
  (1)仅当主体的信任度大于或等于客体的信任度时,主体才能对客体进行读操作,即所谓的“向下读取规则”。
  (2)仅当主体的信任度小于或等于客体的信任度时,主体才能对客体进行写操作,即所谓的“向上写入规则”。
  3. 基于角色访问控制
   在RBAC中,引入了角色这一重要概念。所谓“角色”,就是一个或一群用户在组织内可执行操作的集合。角色可以根据组织中不同的工作创建,然后根据用户 的职责分配角色,用户可以轻松地进行角色转换。RBAC根据用户在组织内所处的角色进行访问授权与控制。只有系统管理员有权定义和分配角色。用户与客体无 直接联系,只有通过角色才享有该角色所对应的权限,从而访问相应的客体。
  (1)RBAC的特点
  ① 以角色作为访问控制的主体。用户以什么样的角色对资源进行访问,决定了用户拥有的权限以及可执行的操作。
  ② 角色继承。在角色继承关系中,处于最上面的角色拥有最大的访问权限,越下端的角色拥有的权限越小。
  ③ 最小权限原则。最小权限原则是指用户所拥有的权力不能超过他履行职责时所需的权限。
  ④ 职责分离。“职责分离”有静态和动态两种实现方式。静态职责分离是指只有当一个角色与用户所属的其他角色彼此不互斥时,这个角色才能授权给该用户。动态职责分离是指只有当一个角色与一主体的任何一个当前活跃角色都不互斥时,该角色才能成为该主体的另一个活跃角色。
  ⑤ 角色容量。在一个特定的时间段内,有一些角色只能由一定人数的用户占用。
  (2)RBAC的优势
  RBAC的最大优势在于授权管理的便利性。一旦一个RBAC系统建立起来后,主要的管理工作即为授权或取消用户的角色。
  RBAC的另一优势在于系统管理员在一种比较抽象的层次上控制访问,与企业通常的业务管理相类似。
  Oracle数据库访问控制简介
   Oracle系统的安全性管理采用了基于角色的访问控制方法。Oracle提供了三种标准角色:CONNECT,RESOURCE,DBA。 CONNECT是Oracle的简单权限,它只有在对其它表有访问权时才有意义。拥有CONNECT角色的用户可建立表、视图、序号、同义词、数据库链接 等。拥有RESOURCE角色的用户可建立表、视图、存储过程、触发器、函数、索引等。拥有DBA角色的用户拥有系统所有的权限。
  在实际应用中,我们采用下列访问控制方案:
  (1)根据应用系统特点,建立几个核心用户,将表、视图、存储过程、触发器、序号生成器等数据库对象建立在相应的核心用户中。
  (2)根据系统用户的特点,建立各种类型的角色,并将核心用户中的数据库对象的相应权限及一些系统权限授予相应角色。
  (3)建立一个通用用户默认角色,该角色只有CONNECT权限,将该角色授予任一角色,并设置成默认角色。在每次与数据库中断连接之前,屏蔽其他角色,只有该角色有效;在与数据库连接后,只有该角色有效,其后根据用户的需要,在应用程序中设置其他角色有效

分享到:
评论

相关推荐

    基于SQL的数据库访问控制安全研究.pdf

    本篇文章主要探讨了基于SQL的数据库访问控制安全研究,重点研究了BLP模型在数据库访问控制中的应用以及对其进行的改进。BLP模型是强制访问控制模型中的一种,主要思想是为每个数据对象和用户定义一个安全级别,安全...

    网络数据库课件

    网络数据库不仅存储和管理数据,还能在网络环境中实现数据的共享、访问和交互。这门课程的课件涵盖了网络数据库的基础概念、设计原理、实现技术以及实际应用。 首先,我们需要了解网络数据库的基本概念。网络数据库...

    基于NET的数据库访问控制类组件的设计及实现.ppt

    【描述】:该文档探讨了如何设计和实现一个基于.NET框架的数据库访问控制类组件,旨在解决传统数据库访问方式中存在的问题,如客户端直接访问数据库导致服务器压力过大、代码重用率低等。 【标签】:“基于NET的...

    数据库访问控制技术研究综述.doc

    数据库访问控制技术是确保数据安全性、隐私保护以及系统可靠运行的关键技术之一。本文将深入探讨这一领域的研究背景、现状及主要工作,同时详细介绍传统的访问控制技术,包括自主访问控制和强制访问控制。 首先,让...

    网络数据库

    网络数据库是信息技术领域中的一个重要概念,它涉及到如何在网络环境中存储、管理和访问数据。在这个教程中,我们将深入探讨网络数据库的基本原理、类型、设计方法以及实际应用。 首先,我们需要理解“网络”和...

    网络数据库SQL教程

    视图可以简化复杂的查询,提供安全访问控制,以及抽象底层数据结构。 通过"网络数据库实验指导书.doc"的实践操作,学习者可以将理论知识付诸实践,加深理解并提升技能。 总的来说,这个教程覆盖了网络数据库SQL ...

    典型网络数据库系统软件设计

    在IT领域,网络数据库系统软件设计是一项至关重要的任务,它涉及到数据存储、访问、管理和优化等多个方面。在本文中,我们将深入探讨网络数据库系统的基本概念、设计原则以及常见技术,以此来阐述“典型网络数据库...

    [精选]基于NET的数据库访问控制类组件的设计及实现.pptx

    《基于.NET的数据库访问控制类组件的设计与实现》 该文档是关于.NET技术在数据库访问控制类组件设计和实现的一份详细报告,由王哲在信息科学与工程学院进行答辩,指导教师为井元伟教授。报告的核心内容围绕.NET组件...

    大学本科网络数据库考试题库

    【网络数据库技术试题库】包含了丰富的大学本科网络数据库课程的学习资料,主要针对的是对网络数据库原理、设计与应用有深入理解和实践需求的学生。这个压缩包提供了10套完整的试题及对应的答案,旨在帮助学生全面...

    电力物联网场景下基于零信任的分布式数据库细粒度访问控制.zip

    综上所述,电力物联网场景下基于零信任的分布式数据库细粒度访问控制,旨在构建一个高度安全、动态适应和智能的数据库访问环境,有效防范潜在的数据安全风险,保障电力物联网的稳定运行和数据安全。这一模型的应用...

    网络数据库课件ppt(web数据库ppt)

    3、基于ASP的数据库访问技术:ADO 1.基本要求 (1)了解ASP基本概念 (2)会配置ASP运行环境 (3)会使用几种对象 (4)会使用ADO访问数据库 2.重点、难点 重点:掌握ASP语言的各种用法 (十一)网络数据库应用实例 ...

    网络数据库技术(第2版)[逯燕玲][实验]

    用于创建、查询、更新和管理数据库的标准语言,包括DDL(Data Definition Language)用于定义数据库结构,DML(Data Manipulation Language)用于操作数据,以及DCL(Data Control Language)用于控制数据库访问权限...

    电力物联网场景下基于零信任的分布式数据库细粒度访问控制.pdf

    在这样的环境下,基于零信任模型的分布式数据库细粒度访问控制成为了保障电力物联网安全的关键技术。 零信任安全模型提出的“永不信任,始终验证”的核心原则,从根本上改变了传统的安全防护理念。该模型不依赖于...

    基于JSP的数据库应用程序安全访问控制设计_屈霞

    总之,《基于JSP的数据库应用程序安全访问控制设计》一文深入浅出地解析了在JSP开发环境中如何设计和实现安全的数据库访问控制机制,对于从事Web应用程序开发,尤其是使用JSP技术的开发者而言,具有很高的参考价值和...

    C#数据库远程访问

    本项目专注于展示如何利用C#实现分布式数据库访问,为开发者提供了一种跨网络连接和操作数据库的方法。分布式数据库是指由多个物理位置上的数据库组成,通过网络互相连接并协同工作,提供更高效、可扩展的数据存储...

    联想SIS-3000P网闸数据库访问配置案例.doc

    本文档主要介绍了联想SIS-3000P网闸数据库访问配置的案例,涵盖了网络拓扑、客户需求、网络配置、网闸具体配置等方面的内容。 网络拓扑 在配置联想SIS-3000P网闸数据库访问时,需要了解网络拓扑结构。网络拓扑结构...

    网络数据库技术课件

    《网络数据库技术课件》是清华万博为计算机教育领域精心准备的一份教学资源,旨在深入讲解数据库在实际网络环境中的应用。这份资料对于那些致力于提升教学质量、帮助学生掌握数据库核心概念与技术的教师来说,无疑是...

Global site tag (gtag.js) - Google Analytics