达梦数据库强制访问控制机制研究

摘要

随着信息化的发展，越来越多的信息被存储在计算机系统的数据库中，数据库安全就成为数据处理中的重要问题。强制访问控制根据客体的敏感标记和主体的访问标记对客体访问实行限制，是高安全级别数据库管理系统采用的常用技术。本文分析了达梦数据库管理系统的强制访问控制的局限性，设计并实现了一种基于达梦数据库的增强型强制访问控制机制。主要研究内容如下： ⑴在增强型强制访问控制机制中，通过在安全策略中引入能准确描述拥有或者访问数据的部门的组织结构的组件—组来增强强制访问控制的表达能力，同时该组件上的控制规则使得信息可以在部门之间横向流动；通过对主体采用密级区间和读写分离的方案使得系统具有更强的可用性；通过在强制访问控制中引入会话标记、会话行标记以及提供对特权的支持来增强系统的灵活性。 ⑵设计了在达梦数据库系统中实现增强型强制访问控制机制的总体结构，结构中七大功能部件分别是强制访问控制数据字典、策略管理、标记操作、策略应用、用户授权、会话控制和强制访问控制检查。在系统实现过程中，为安全管理员扩展了SQL接口，支持其配置整个增强型强制访问控制子系统；为普通用户增加了系统函数，支持其在授权范围内动态改变当前会话标记和会话行标记；设计了一种优化的标记存储方案，可以较好地节约标记存储所占用的空间；利用了缓存技术来提高效率。 ⑶通过实验对系统的功能和性能进行了验证。实验结果表明，达梦数据库增强型强制访问控制子系统实现了预期的功能，它提供了一种表达能力更强、可用性和灵活性更好的强制访问控制，且该功能的应用对系统性能的影响在可以接受的范围之内。