徐沛娟,鄭 晶,徐茂敬

(吉林大學計算機科學與技術學院,長春130012)

基于角色的多級安全數(shù)據(jù)庫模型

徐沛娟,鄭 晶,徐茂敬

(吉林大學計算機科學與技術學院,長春130012)

為提高數(shù)據(jù)庫模型的安全性,同時滿足用戶對數(shù)據(jù)的合理化存儲要求,對RBAC模型與MLR模型進行改進,構造一個結(jié)合RBAC模型與MLR模型的綜合訪問控制模型,使主體通過多級角色間接應用強制訪問控制規(guī)則來訪問客體。實驗結(jié)果表明,該模型可實現(xiàn)系統(tǒng)中主體對客體的靈活管理,同時具備強制訪問控制模型的高安全性。

數(shù)據(jù)庫安全;多級數(shù)據(jù)庫模型;RBAC模型;MLR模型;訪問控制模型;操作權限

1 概述

由于信息量的激增,計算機逐步被應用到人們的生活中,大量的信息被存儲在數(shù)據(jù)庫中。為了確保數(shù)據(jù)的安全,數(shù)據(jù)庫安全技術逐步被發(fā)展起來。確保數(shù)據(jù)庫的安全,不僅要處理好外界因素對數(shù)據(jù)庫造成的破壞,還要處理好數(shù)據(jù)庫內(nèi)部的訪問控制。因此,強制訪問控制模型、自主訪問控制模型及基于角色的訪問控制模型[1]等逐漸被提出。后者的提出彌補了自主訪問控制模型與強制訪問控制模型[2]在處理主體對客體管理上的不足,但其自身卻不具備高安全性。本文通過對強制訪問控制模型的研究,了解到強制訪問控制模型由于是一種基于格的訪問控制模型,主體與客體都附加一個安全等級,系統(tǒng)通過檢查主體和客體的相應安全等級來決定一個主體是否可以訪問某個客體資源,用戶或用戶的程序不能加以修改。強制安全訪問控制可以避免和防止大多數(shù)數(shù)據(jù)庫有意或無意的侵害,因此,在數(shù)據(jù)庫管理系統(tǒng)中有很大的應用價值。主體與客體之間的操作主要為讀寫操作。這種操作在現(xiàn)實管理系統(tǒng)中存在著局限性,為此,本文對RBAC模型與MLR模型進行改進,構造一個結(jié)合了RBAC模型[3]與MLR模型的訪問控制模型,以實現(xiàn)主體對客體的靈活管理,同時具備強制訪問控制模型的高安全性。

2 RBAC模型的改進

2.1 RBAC模型

RBAC模型[4]即基于角色的訪問控制模型。RBAC模型具有的特點是:主體與客體之間是通過角色進行聯(lián)系的。在RBAC模型中是通過把訪問權限賦予給角色[5],管理員再為不同的用戶分配角色,用戶通過角色獲得相應的訪問權限。角色作為了訪問權限的載體,用戶訪問數(shù)據(jù)需要獲得相應的角色。一個角色可以被多個用戶共享,而一個用戶也可以通過獲得多個角色來獲得多個訪問數(shù)據(jù)庫的權限[6]。這種訪問關系如圖1所示。

圖1 角色在主體與客體間的關系

2.2 改進的RBAC模型

從圖1中可以看出,在RBAC模型中角色是主體與客體之間相互聯(lián)系的橋梁。本文設計綜合模型的目的是用RBAC模型實現(xiàn)強制訪問控制,但是在用RBAC模型實現(xiàn)強制訪問控制時,用戶只能通過角色來獲得相應的安全等級與操作權限。實際上具有相同的操作權限用戶具有的安全等級不一定相同,這樣用戶對數(shù)據(jù)庫的操作就產(chǎn)生了局限性。

為了解決這種局限性,使用戶既能具備同樣的操作權限卻可以持有不同的安全等級,相同的安全等級上的用戶也可以具備不同的操作權限。本文通過應用內(nèi)部角色[7]與多級角色來實現(xiàn)對RBAC模型的改進。內(nèi)部角色是由某一安全等級下的操作權限構成。這些操作權限主要有查詢權限、插入權限、刪除權限、更新權限等。而這些權限主要是由一些SQL語句組成。多級角色是名稱與內(nèi)部角色集合的組成。內(nèi)部角色與多級角色是一對多的關系,即特定安全等級下的內(nèi)部角色有且只有一個。但是這個內(nèi)部角色可以賦給多個多級角色。這樣就把主體與客體之間的角色拆分成兩部分即內(nèi)部角色與多級角色,來實現(xiàn)模型的改進。

3 MLR模型的改進

3.1 MLR模型

MLR模型不僅提出了數(shù)據(jù)借用完整性[8]與UPLEVEL語句,而且同時對多實例完整性與引用完整性語句進行了修改。相比于其他關系模型,其為多級關系提供的安全標簽是元素級的。

MLR模型的定義[9]如下:

定義1一個多級關系表示為R(A1,C1,…,Ai,Ci,…,An,Cn,TC)。其中,Ci表示的為對應的屬性Ai的安全等級;TC表示的為對應的元組的安全級別。

定義2一個多級關系實例是一些形如(a1,c1,…,an,cn,tc)的不相同的元組的集合,其中,ci不可以為空,i是1～n之間的某個值,其被表示為r(A1,C1,…,Ai,Ci,…,An,Cn,TC),TC是該元組中屬性安全等級的最小上界[10]。

定義3多級關系集合組成一個多級數(shù)據(jù)庫,在同一時刻所有關系實例的集合,表示的為一個數(shù)據(jù)庫的狀態(tài)[11]。

MLR模型的數(shù)據(jù)解釋如下:

(1)主體只可以接受或者可見低于或者等于其本身安全級別的數(shù)據(jù)。

(2)任一等級主體所接受的數(shù)據(jù)是由其本身的數(shù)據(jù)與通過uplevel借用來的數(shù)據(jù)組成的,借用的數(shù)據(jù)會隨著原有的主體變化而變。

下面通過一個MLR模型的例子,理解下面元組的含義,如表1所示。

表1 學生成績表1

從表1中可以看出,表中有3種安全等級分別為U,S,TS的3種不同的主體的不同觀點。S級主體可能認為其相較于U級主體更可信。但是TS級主體的attendance的數(shù)據(jù)值是從U級主體借用的。表明TS級主體更相信U級主體。TS級主體和S級主體都相信Tom的U級主體存在,說明3種主體討論的為同一人。TS級主體在數(shù)據(jù)屬性上既可以選擇相信U級主體也可以選擇相信S級主體。通常含有相同主鍵值A1與相同主鍵安全級C1的多實例元組在現(xiàn)實生活中可能指代的是同一實體。

3.2 改進的MLR模型

本文通過一個例子來說明MLR模型的缺點,并圍繞這個缺點對MLR模型進行改進,如表2所示。

表2 學生成績表2

從表2中可以看出,存在(Tom S)和(Tom U) 2種實體,這2個實體分別是由S級與U級用戶創(chuàng)建。TC值為TS的數(shù)據(jù)值是由TS用戶創(chuàng)建的。從MLR的數(shù)據(jù)解釋(1)來看,U級用戶只能看到自己等級的數(shù)據(jù),而TS級用戶則可以看到U級,S級以及TS級的數(shù)據(jù)。TS級用戶的TestScore數(shù)據(jù)值則是從U級用戶借用而來的,所以當U級用戶想要刪除或者更新其數(shù)據(jù)時,TS級用戶的數(shù)據(jù)也會同時被刪除與更新,這就是MLR模型的其中一個缺點。而對于TS級的attendance數(shù)據(jù)值,TS用戶想要從S級主體借用,但是S級主體對于(Tom U)并沒有自己的數(shù)據(jù),致使TS級用戶的attendance值為Null。這就表明S級主體不接受(Tom U)這個主體,現(xiàn)實中這是非常不合理的,此即為MLR模型的第2個缺點與不足。

本文總結(jié)MLR模型上述2個缺點如下:

(1)高等級用戶借用的低等級用戶的數(shù)據(jù)會伴隨著低等級用戶的刪除更新等操作傳遞給高等級用戶[12]。

(2)如果低等級元組沒有自己的數(shù)據(jù)。當高等級從低等級借用數(shù)據(jù)時,高等級借用不到相應的數(shù)據(jù)而使其數(shù)據(jù)值置空。

本文針對上述2個缺點,對MLR模型進行改進。首先,提出將元組中的屬性設置成主鍵屬性與非主鍵屬性,然后對這兩類屬性進行分開對待的思想。元組中主鍵屬性的存在與非主鍵屬性的存在所表示的意義是不同的。元組中的主鍵屬性說明的是這個元組描述的實體是客觀存在的,元組改變實體并不會隨著進行改變。而非主鍵屬性表示的是這條元組描述的實體的特征。當高等級用戶與低等級用戶之間存在通過Uplevel借用來的數(shù)據(jù)時,主鍵屬性上的數(shù)據(jù)借用,高等級元組借用的數(shù)據(jù)保持原狀,不會隨著低等級用戶對元組的操作而改變;非主鍵上數(shù)據(jù)的借用,則會相應發(fā)生變化。

如果高等級用戶向低等級用戶借用數(shù)據(jù),無論低等級元組在該屬性上是否有自己的數(shù)據(jù)值,高等級元組都會把低等級元組在該屬性值上的數(shù)據(jù)作為自己要借用的數(shù)據(jù),這就解決了MLR模型的第2個缺點。問題解決的原因在于高等級用戶對低等級用戶的信任。

4 綜合訪問控制模型的構建

結(jié)合改進之后的MLR模型與RBAC模型,本文構造一個既具備 MLR模型的高安全性又具備RBAC模型的高靈活性的綜合訪問控制模型。

在新形成的訪問控制模型中,不僅改進了MLR模型的漏洞,引進的基于角色的機制,使數(shù)據(jù)庫安全的管理更加簡化便捷。通過內(nèi)部角色與多級角色的使用,使系統(tǒng)在進行增添,刪除等處理數(shù)據(jù)的操作得以簡化?；诮巧亩嗉夑P系安全訪問控制模型的構造,使訪問控制模型的應用得以提高。這個綜合訪問控制模型的構造如圖2所示。

圖2 多級安全訪問控制模型架構

首先,主體要根據(jù)其用戶的名稱被賦予相應的多級角色名稱。多級角色又是內(nèi)部角色的集合。內(nèi)部角色又可以細化為某個客體表的一種SQL語言的操作,例如查詢,插入,刪除等操作。所以主體獲得多級角色之后,再根據(jù)這個多級角色的名稱獲得相應的內(nèi)部角色。一旦獲得相應的內(nèi)部角色,內(nèi)部角色為其分配其具有的相應的操作權限。這樣主體就通過多級角色,內(nèi)部角色獲得訪問數(shù)據(jù)庫中數(shù)據(jù)的權限。但是一旦獲得內(nèi)部角色的相應權限之后,用戶對客體表中的任何操作都要遵循改進的MLR強制訪問控制模型的訪問規(guī)則。只有符合MLR訪問控制系統(tǒng)的訪問控制規(guī)則才可以對客體表中的數(shù)據(jù)進行操作。如果不符合,系統(tǒng)將會拒絕其對客體進行操作。由圖可以看出與傳統(tǒng)的強制訪問控制模型相比,在獲得權限方面沒有傳統(tǒng)的直接。在強制訪問控制方面是通過多級角色與內(nèi)部角色進行控制的。但是此綜合模型更加的容易管理。

5 模型的實現(xiàn)與測試

該訪問控制模型的實現(xiàn)類似于把其看成一個子系統(tǒng)嵌入在用戶與數(shù)據(jù)庫之間?？梢园堰@個子系統(tǒng)看成是一個可信過濾器。用戶向這個子系統(tǒng)提供信息請求。符合訪問控制系統(tǒng)條件的用戶,可以對數(shù)據(jù)庫進行訪問。不符合條件的用戶被過濾掉,不能訪問數(shù)據(jù)庫,從而保障數(shù)據(jù)庫的安全。這樣即可實現(xiàn)基于角色的多級安全強制訪問控制系統(tǒng)。系統(tǒng)的整體架構如圖3所示。

圖3 多級關系安全訪問控制系統(tǒng)架構

本文以公司中的職工福利來模擬多組數(shù)據(jù)。下面在MyEclipse平臺下,使用Java連接Mysql數(shù)據(jù)庫進行編譯測試。在數(shù)據(jù)庫中要創(chuàng)建的數(shù)據(jù)主要有職工名字、職工的職務,與之關聯(lián)的數(shù)據(jù)表等信息。而本文進行強制訪問控制的客體表,即是所創(chuàng)建的數(shù)據(jù)表。

首先要創(chuàng)建一個客體表,本文以職工的薪酬為例,創(chuàng)建員工工資表,其次創(chuàng)建的是訪問測試表。由于多級角色是內(nèi)部角色的集合,因此在構造測試表時,要先構造內(nèi)部角色。其次把創(chuàng)建好的客體表分配給內(nèi)部角色,然后把操作的安全等級以及對客體表的操作權限等信息也進行分配。之后創(chuàng)建出符合系統(tǒng)要求的多級角色,將內(nèi)部角色合理的組合好分配給多級角色,最后通過多級角色來創(chuàng)建用戶進行測試。表中的多級角色與內(nèi)部角色分別用MRole與NRole表示,用戶訪問測試表與員工工資表如表3和表4所示。

表3 用戶訪問操作測試表

表4 員工工資表

可以看出,不同的用戶的多級角色是不同的,不同的多級角色含有不同的內(nèi)部角色,每個用戶的訪問權限都是不同的。例如,表3中的用戶Tom想要對Wage表進行更新操作,但是其不具備這種操作權限,他的操作權限只有查詢和插入,所以當其對客體表進行更新操作時,系統(tǒng)會拒絕他的操作。

在其他操作中,系統(tǒng)允許執(zhí)行的Dave用戶對Wage表的insert操作,因為用戶Dave具有插入操作的權限。但是系統(tǒng)只會允許Dave插入的元組的安全級別都是公開的。例如,如果Dave執(zhí)行插入語句那么在員工工資表中Dave插入的數(shù)據(jù)年薪與福利以及元組的屬性都是公開的。可見,同樣Bob與Tom也具備相同的插入權限。但是Bob與Tom執(zhí)行這樣的插入語句,系統(tǒng)允許插入的元組的安全等級為機密與秘密。從這些操作中可以看出,雖然這3個用戶具備相同的操作類型,但是他們的安全等級不同,所以插入的元組也不同。這就符合了改進后RBAC模型的設計思想。

從表3中可以看出,低等級用戶具有更新的操作權限,高等級從低等級借用數(shù)據(jù),當?shù)偷燃墧?shù)據(jù)進行更新操作的時候,系統(tǒng)會對高等級用戶的數(shù)據(jù)執(zhí)行相應的操作。例如用戶Dave執(zhí)行更新語句把職工名稱為王明的元組的福利屬性值全部變?yōu)? 000.00,系統(tǒng)則會將等級為秘密和絕密的元組的福利的值相應的更新為4 000.00,因為秘密元組與絕密元組的福利值都是借用于等級為U的元組。但是如果Dave執(zhí)行刪除語句時,刪除名字為王明的元組時,秘密元組與絕密元組不會因為公開元組的刪除而消失,刪除的只是公開元組的數(shù)據(jù)。這就是改進后的MLR模型想要達到的目的。消除了原有的MLR模型的漏洞,提高了其安全性。通過測試表明,對MLR模型的改進使訪問控制的安全性得以提高,使數(shù)據(jù)不會丟失。用戶所訪問的數(shù)據(jù)更真實、準確。而改進后的RBAC模型使用戶的權限管理更加的靈活,提高了對數(shù)據(jù)表的操作速度。綜合的訪問控制模型的構建結(jié)合了改進后兩個模型的所有優(yōu)點,此訪問模型的構造使系統(tǒng)更完善、安全、靈活。

6 結(jié)束語

MLR特有的數(shù)據(jù)借用思想使其能夠聯(lián)系高等級元組與低等級元組,因此,本文分別對MLR和RBAC模型進行改進,增添了內(nèi)部角色與多級角色的概念,結(jié)合2種改進后的模型提出綜合訪問控制模型的概念,即基于角色的多級安全強制訪問控制模型。測試結(jié)果表明,本文模型比原有的強制訪問控制系統(tǒng)更靈活,操作更便捷。消除訪問控制模型的隱蔽通道是下一步研究的重點。

[1] 李鳳華,蘇 铓,史國振,等.訪問控制模型研究進展及發(fā)展趨勢[J].電子學報,2012,(4):805-813.

[2] 崔艷榮,文漢云.數(shù)據(jù)庫安全模型及其應用研究[J].計算機應用研究,2005,(7):146-147.

[3] 常彥德.基于角色的訪問控制技術研究進展[J].計算機與現(xiàn)代化,2011,196(12):5-8.

[4] Deng Wenyang,Zhou Yizhou.A Flexible RBAC Model Based on Trust in Open System[C]//Proceedings of GCIS’12.[S.l.]:IEEE Press,2012:400-404.

[5] 王曉琳,史有群,唐 成,等.基于時間分區(qū)的改進RBAC授權模型[J].計算機科學,2013,40(10):155-158.

[6] 徐 震,李 斕,馮登國.基于角色的授權委托模型[J].軟件學報,2005,16(5):970-978.

[7] 應樂年,汪 衛(wèi),施伯樂.一種安全數(shù)據(jù)庫多級安全模型與外鍵引用研究[J].計算機應用與軟件,2009, 26(7):146-149.

[8] Jajodia S,Sandhu R.Polyinstantiation Integrity in Multilevel Relations[C]//Proceedings of IEEE Computer Symposium on Research in Security and Privacy.[S.l.]: IEEE Press,1990:104-115.

[9] Chen Fang,Sandhu R S.The Semantics and Expressive Power of the MLR Data Model[D].Virginia,USA: George Mason University,1995.

[10] 羅 星,汪 衛(wèi),施伯樂.安全數(shù)據(jù)庫訪問控制模型[J].計算機應用與軟件,2007,24(2):65-68.

[11] 楊 馨,賀建民.多級安全數(shù)據(jù)庫模型研究[C]//第23屆中國(天津)2009IT、網(wǎng)絡、信息技術、電子、儀器儀表創(chuàng)新學術會議論文集.天津:[出版者不詳], 2009:67-71.

[12] 李 瀾,馮登國,徐 震.RBAC與MAC在多級關系數(shù)據(jù)庫中的綜合模型[J].電子學報,2004,32(10): 1635-1639.

編輯 金胡考

Multi-level Security Database Model Based on Roles

XU Peijuan,ZHENG Jing,XU Maojing
(College of Computer Science and Technology,Jilin University,Changchun 130012,China)

Lots of multi-level database models with individual advantage have appeared following the development of multi-level database security.People gradually begin to improve optimization of multilevel relation database model,put forward more secure,more manageable database multilevel security model,in order to meet the users’rationalization of data storage and keep the security of data.This paper proposes the idea that combined the RBAC access control model with the MAC mandatory access control model.It makes the system not only have the high security of the mandatory access control model and achieve the flexible management from the subject to object,improves the RBAC model and the MLR model of the MAC mandatory access control model,and combines them to construct an integrated access control model.Combined with the superiority of the two access model,the access control model achieves the subject applies the mandatory access control rules to access object by multilevel roles indirectly.By simulated data,the structure of security access control model based on role of multilevel relation is tested.The experiment proves that the comprehensive access control model has better flexibility,makes the model with the high security of mandatory access control model.

database security;multi-level database model;RBAC model;MLR model;access control model; operation permission

1000-3428(2015)01-0135-04

A

TP311

10.3969/j.issn.1000-3428.2015.01.025

吉林省科技發(fā)展計劃基金資助項目(20090704)。

徐沛娟(1959-),女,副教授、碩士,主研方向:信息安全,數(shù)據(jù)庫技術,數(shù)據(jù)挖掘;鄭 晶、徐茂敬,碩士。

2014-01-16

2014-03-07 E-mail:xupj@jlu.edu.cn

中文引用格式:徐沛娟,鄭 晶,徐茂敬.基于角色的多級安全數(shù)據(jù)庫模型[J].計算機工程,2015,41(1):135-138.

英文引用格式:Xu Peijuan,Zheng Jing,Xu Maojing.Multi-level Security Database Model Based on Roles[J].Computer Engineering,2015,41(1):135-138.