達夢數(shù)據庫強制訪問控制機制研究.pdf

1、隨著信息化的發(fā)展，越來越多的信息被存儲在計算機系統(tǒng)的數(shù)據庫中，數(shù)據庫安全就成為數(shù)據處理中的重要問題。強制訪問控制根據客體的敏感標記和主體的訪問標記對客體訪問實行限制，是高安全級別數(shù)據庫管理系統(tǒng)采用的常用技術。本文分析了達夢數(shù)據庫管理系統(tǒng)的強制訪問控制的局限性，設計并實現(xiàn)了一種基于達夢數(shù)據庫的增強型強制訪問控制機制。主要研究內容如下： ⑴在增強型強制訪問控制機制中，通過在安全策略中引入能準確描述擁有或者訪問數(shù)據的部門的組織結構的組

2、件—組來增強強制訪問控制的表達能力，同時該組件上的控制規(guī)則使得信息可以在部門之間橫向流動；通過對主體采用密級區(qū)間和讀寫分離的方案使得系統(tǒng)具有更強的可用性；通過在強制訪問控制中引入會話標記、會話行標記以及提供對特權的支持來增強系統(tǒng)的靈活性。 ⑵設計了在達夢數(shù)據庫系統(tǒng)中實現(xiàn)增強型強制訪問控制機制的總體結構，結構中七大功能部件分別是強制訪問控制數(shù)據字典、策略管理、標記操作、策略應用、用戶授權、會話控制和強制訪問控制檢查。在系統(tǒng)實現(xiàn)過程

3、中，為安全管理員擴展了SQL接口，支持其配置整個增強型強制訪問控制子系統(tǒng)；為普通用戶增加了系統(tǒng)函數(shù)，支持其在授權范圍內動態(tài)改變當前會話標記和會話行標記；設計了一種優(yōu)化的標記存儲方案，可以較好地節(jié)約標記存儲所占用的空間；利用了緩存技術來提高效率。 ⑶通過實驗對系統(tǒng)的功能和性能進行了驗證。實驗結果表明，達夢數(shù)據庫增強型強制訪問控制子系統(tǒng)實現(xiàn)了預期的功能，它提供了一種表達能力更強、可用性和靈活性更好的強制訪問控制，且該功能的應用對系統(tǒng)