分布式数据库技术：强制访问控制

2025-09-30 理论教育版权反馈

【摘要】：强制安全策略采用通过集中授权施加以规则为基础的访问控制。一个访问类c1的级别大于等于另一个访问类c2，则称为c1支配c2。基于保密强制策略：是为了保护数据机密性。强制策略的最大缺陷是它们只能控制通过公开通道的信息流，即合法途径操作的通道。主体提交的访问请求按以下两条原则进行评估。例如，假设有两个完整性级别Crucial和Important，且C＞I，同时和主体与对象关联的分类集合是｛Admin，Medical｝。

强制安全策略采用通过集中授权施加以规则为基础的访问控制。强制安全策略的最常用形式是多级安全策略，以系统里用户/程序（通称为主体，即subject）和对象的分类为基础。系统里的每个subject和对象相关于访问类（access class）。通常由一个安全级别和一个目录集（a set of categories）构成。系统里的安全级别用一个全序关系描述，整个目录形成一个无序的集合。结果访问类集合用一个偏序关系描述（这个关系称为支配，dominance）。一个访问类c1的级别大于等于另一个访问类c2，则称为c1支配c2。这个支配关系构成一个格（lattice）。

强制策略可以分为基于保密强制策略（secrecy-based mandatory policy）和基于完整性强制策略（integrity-based mandatory policy）两类。

基于保密强制策略：是为了保护数据机密性。因此，访问类的与对象相关的安全级别反映了其内容的敏感度，而主体（subject）相关的安全级别称为许可（clearance），反映信任程度。数据目录里关联主体（subject）和对象、定义用户和数据的权限范围。

强制策略的最大缺陷是它们只能控制通过公开通道的信息流，即合法途径操作的通道。因此，强制策略在面对隐蔽通道时是脆弱的，这些通道并非是正常的通信通道，但仍然可为推导信息所利用。例如，一个低级用户请求一个正为高级用户访问的对象，其请求被拒绝，但该用户可推导出目前正由其他高级用户在使用同一资源的结果，这也是一种安全威胁。

基于完整性强制策略：基于完整性强制策略的主要目标是阻止主体（subject）去修改其无权限的信息。和一个用户关联的完整性级别反映了主体插入和修改敏感信息的信任程度。和一个对象关联的完整性级别则反映存放在对象里信息的信任程度和非授权信息修改会导致的损害程度。同时和主体与对象关联的分类集合则定义了用户和数据权限范围。(https://www.chuimin.cn)

主体提交的访问请求按以下两条原则进行评估。

no-Read-Down：一个主体s可以读一个对象o，当且仅当对象的完整性类优于主体的完整性类。

no-Write-Up：一个主体s可以写一个对象o，当且仅当主体的完整性类优于对象的完整性类。

例如，假设有两个完整性级别Crucial（C）和Important（I），且C＞I，同时和主体与对象关联的分类集合是｛Admin，Medical｝。令接入系统的用户为主体〈C，｛Admin｝〉，它可以读完整性类为〈C，｛Admin｝〉和〈C，｛Admin，Medical｝〉的对象，可以写完整性类为〈C，｛Admin｝〉、〈C，｛｝〉、〈I，｛Admin｝〉和〈I，｛｝〉的对象。

分布式数据库技术：强制访问控制

相关推荐