数据库存取控制的定义与传统机制

2025-09-30 理论教育版权反馈

【摘要】：对数据库存取访问权限的定义称为授权。传统的存取控制机制有两种，即自主存取控制和强制存取控制。DAC访问控制完全基于访问者和对象的身份；MAC机制对于不同类型的信息采取不同层次的安全策略，对不同类型的数据进行访问授权。近年来，基于角色的存取控制得到了广泛的关注。RBAC属于策略中立型的存取控制模型，既可以实现自主存取控制策略，又可以实现强制存取控制策略。

所谓数据库的存取控制，是一种用于定义和控制一个对象（数据库管理员或用户）对另一个对象（用户）的存取访问权限的机制。对数据库存取访问权限的定义称为授权。数据库安全最重要的一点就是确保把访问数据库的权限只授权给有资格的用户，同时令所有未被授权的人员无法接近数据。

传统的存取控制机制有两种，即自主存取控制（Discretionary Access Control，DAC）和强制存取控制（Mandatory Access Control，MAC）。在DAC机制中，用户对不同的数据对象有不同的存取权限，而且还可以将其拥有的存取权限转授给其他用户。DAC访问控制完全基于访问者和对象的身份；MAC机制对于不同类型的信息采取不同层次的安全策略，对不同类型的数据进行访问授权。在MAC机制中，存取权限不可以转授，所有用户必须遵守由数据库管理员建立的安全规则，其中最基本的规则为“向下读取，向上写入”。显然，与DAC相比，MAC机制比较严格。

在数据库系统中主要有两类用户：一类是数据库管理员（DataBase Administrator，DBA）；另一类是数据库应用系统的用户，简称为数据库用户。

数据库管理员具有管理数据库的一切特权，包括：

①连接登录数据库。

②建立和撤销任何数据库用户。

③授予和收回用户对数据库表的访问特权。

④为任何用户的数据库表建立所有用户都可使用的别名（PUBLIC同义词）。

⑤利用SQL语句访问任何用户建立的数据库表中的数据。(https://www.chuimin.cn)

⑥对整个数据库或对某些数据库表进行跟踪审计。

⑦进行数据库备份和恢复备份等。

近年来，基于角色的存取控制（Role-Based Access Control，RBAC）得到了广泛的关注。RBAC在主体和权限之间增加了一个中间桥梁——角色。权限被授予角色，而管理员通过指定用户为特定角色来为用户授权，从而大大简化了授权管理，具有强大的可操作性和可管理性。角色可以根据组织中的不同工作创建，然后根据用户的责任和资格分配角色，用户可以轻松地进行角色转换。随着新应用和新系统的增加，角色可以分配更多的权限，也可以根据需要撤销相应的权限。图4-1为RBAC5个基本集合的模型。

pagenumber_ebook=82,pagenumber_book=76

图4-1　RBAC5个基本集合模型

上图中用户集包括系统中可以执行操作的用户，是主动的实体；对象集是系统中被动的实体，包含系统需要保护的信息；操作集是定义在对象上的一组操作，对象上的一组操作构成了一个特权；角色则是RBAC模型的核心，通过用户分配（UA）和特权分配（PA）使用户与特权关联起来。

RBAC属于策略中立型的存取控制模型，既可以实现自主存取控制策略，又可以实现强制存取控制策略。它可以有效缓解传统安全管理处理瓶颈问题，被认为是一种普遍适用的访问控制模型，尤其适用于大型组织的有效的访问控制机制。

数据库存取控制的定义与传统机制

相关推荐