資料庫的存取控制機制是定義和控制使用者對資料庫資料的存取訪問許可權,以確保只授權給有資格的使用者訪問資料庫並防止和杜絕對資料庫中資料的非授權訪問。
存取控制機制主要包括兩部分:
(1) 定義使用者許可權,並將使用者許可權登記到資料字典中。使用者許可權是指不同的使用者對於不同的資料物件允許執行的操作許可權。系統必須提供適當的語言定義使用者許可權,這些定義經過編譯後存放在資料字典中,被稱為安全規則或授權規則。
(2) 合法許可權檢查。每當使用者發出存取資料庫的操作請求後(請求一般應包括操作型別、操作物件和操作使用者等資訊),DBMS查詢資料字典,根據安全規則進行合法許可權檢查,若使用者的操作請求超出了定義的許可權,系統將拒絕執行此操作。
使用者許可權定義和合法許可權檢查機制一起組成了DBMS的安全子系統。
存取控制又可以分為自主存取控制(DAC)和強制存取控制(MAC)兩類。
自主存取控制方法中,擁有資料物件的使用者即擁有對資料的所有存取許可權,而且使用者可以將其所擁有的存取許可權轉授予其他使用者。自主存取控制很靈活,但在採用自主存取控制策略的資料庫中,這種由授權定義的存取限制很容易被旁路,使系統無法對抗對資料庫的惡意攻擊。因此,在要求保證更高程度的安全性系統中採用了強制存取控制的方法。
在強制存取控制方法中,將使用者和客體分為多種安全級別,對資料庫中每個存取物件指派一個密級,對每個使用者授予一個存取級,由系統提供基於標識的高階安全認證。對任意一個物件,只有具有合法存取級的使用者才可以存取。
資料庫的存取控制機制是定義和控制使用者對資料庫資料的存取訪問許可權,以確保只授權給有資格的使用者訪問資料庫並防止和杜絕對資料庫中資料的非授權訪問。
存取控制機制主要包括兩部分:
(1) 定義使用者許可權,並將使用者許可權登記到資料字典中。使用者許可權是指不同的使用者對於不同的資料物件允許執行的操作許可權。系統必須提供適當的語言定義使用者許可權,這些定義經過編譯後存放在資料字典中,被稱為安全規則或授權規則。
(2) 合法許可權檢查。每當使用者發出存取資料庫的操作請求後(請求一般應包括操作型別、操作物件和操作使用者等資訊),DBMS查詢資料字典,根據安全規則進行合法許可權檢查,若使用者的操作請求超出了定義的許可權,系統將拒絕執行此操作。
使用者許可權定義和合法許可權檢查機制一起組成了DBMS的安全子系統。
存取控制又可以分為自主存取控制(DAC)和強制存取控制(MAC)兩類。
自主存取控制方法中,擁有資料物件的使用者即擁有對資料的所有存取許可權,而且使用者可以將其所擁有的存取許可權轉授予其他使用者。自主存取控制很靈活,但在採用自主存取控制策略的資料庫中,這種由授權定義的存取限制很容易被旁路,使系統無法對抗對資料庫的惡意攻擊。因此,在要求保證更高程度的安全性系統中採用了強制存取控制的方法。
在強制存取控制方法中,將使用者和客體分為多種安全級別,對資料庫中每個存取物件指派一個密級,對每個使用者授予一個存取級,由系統提供基於標識的高階安全認證。對任意一個物件,只有具有合法存取級的使用者才可以存取。