數(shù)據(jù)庫管理系統(tǒng)細粒度訪問控制研究.pdf

1、在數(shù)據(jù)庫和Web技術(shù)的引導(dǎo)下，信息系統(tǒng)的數(shù)據(jù)日趨多樣化、個性化和私有化，需要對數(shù)據(jù)庫中的數(shù)據(jù)進行基于行、列甚至元素級的訪問控制，即細粒度的訪問控制。而傳統(tǒng)在應(yīng)用層部署細粒度訪問控制存在諸多弊端，從而使基于行、列甚至元素級的訪問控制應(yīng)該在數(shù)據(jù)庫管理系統(tǒng)中實現(xiàn)。以國產(chǎn)關(guān)系數(shù)據(jù)庫達夢(DM5)為基礎(chǔ)，研究細粒度訪問控制(Fine—grained Access Control，F(xiàn)GAC)的實現(xiàn)機制，通過擴展SOL語句來表達和管理安全策略，從而實

2、現(xiàn)細粒度訪問控制系統(tǒng)原型。
　　 在分析研究已有商業(yè)數(shù)據(jù)庫細粒度訪問控制的機制和前人理論的基礎(chǔ)上，設(shè)計了在數(shù)據(jù)庫中創(chuàng)建安全策略類型及實例的語法，包括信息過濾體、操作列表、策略約束條件等要素。在安全策略的基礎(chǔ)上，進一步設(shè)計了細粒度訪問控制系統(tǒng)的總體結(jié)構(gòu)，結(jié)構(gòu)中四大功能部件分別是策略管理、策略服務(wù)、訪問控制器和SQL執(zhí)行器。
　　 它們各自完成相對獨立的任務(wù)。
　　 根據(jù)總體設(shè)計，在達夢數(shù)據(jù)庫內(nèi)核實現(xiàn)了以安全策略為核

3、心的細粒度訪問控制子系統(tǒng)。該子系統(tǒng)包含兩個主要工作流程，策略管理流程和訪問控制器實施安全策略流程。策略管理流程為安全策略在數(shù)據(jù)庫中集中管理提供了統(tǒng)一的SOL接口，而訪問控制器則利用策略服務(wù)為語句執(zhí)行環(huán)境挑選出的有效的安全策略，采用動態(tài)修改SQL語句技術(shù)實施細粒度訪問控制。細粒度訪問控制子系統(tǒng)執(zhí)行的結(jié)果要么是返回用戶可見的數(shù)據(jù)集，要么是返回針對用戶可見的數(shù)據(jù)集的合法操作信息。
　　 為了研究細粒度訪問控制的正確性和對原系統(tǒng)性能的影