CN110427770B - 一种支持业务安全标记的数据库访问控制方法及系统 - Google Patents

Abstract

本发明公开了一种支持业务安全标记的数据库访问控制方法及系统。本方法为：1)数据库管理系统对访问用户进行身份认证，认证通过后，提取该用户对应的用户对象的业务安全标记；2)认证通过后的用户对象发起访问请求时，数据库管理系统根据访问请求获取用户对象拟访问的数据库对象的业务安全标记；3)数据管理系统将用户对象的业务安全标记与该用户对象拟访问的数据库对象的业务安全标记进行匹配检查，如果检查通过，则允许执行该访问请求，返回访问的数据集以及该数据集中各数据库对象的业务安全标记；否则拒绝执行该访问请求。本发明使得数据集进入其他系统环境后，仍可指示其他系统正确理解该数据集的业务安全性质。

Description

一种支持业务安全标记的数据库访问控制方法及系统

技术领域

本发明涉及一种支持业务安全标记的数据库访问控制方法。该方法支持基于业务安全标记实现数据资源访问控制，属于计算机信息安全领域。

背景技术

数据库系统的用户权限管理决定了系统中各类主体对系统资源的访问权限，是数据库系统安全的重要基础之一。在数据库系统中，用户一般分为管理员用户与普通用户两个类别。普通用户拥有的权限是用户应用相关的权限，而管理员可以对数据库系统内的所有资源进行访问与管理。两类用户在对系统资源进行访问时可能出现不同的风险。

管理员的风险在于，管理员具有“至高无上”的权限，一旦恶意攻击者具有了管理员权限，就可以访问系统的所有资源。即便没有恶意攻击者的存在，也需要在系统管理过程中避免管理员的权限滥用问题。

普通用户虽然仅拥有与用户应用相关的权限，但存在潜在风险就是"非故意的授权用户攻击"和内部人员错误。这种安全事件类型的最常见表现包括：由于不慎而造成意外删除或泄漏，非故意的规避安全策略。在授权用户无意访问敏感数据并错误地修改或删除信息时，就会发生第一种风险。在用户为了备份或“将工作带回家”而作了非授权的备份时，就会发生第二种风险。虽然这并不是一种恶意行为，但很明显，它违反了业务安全策略，会导致非故意的安全事件。

数据库系统中大量的重要信息和数据集中存放，供多用户使用，因此，无论是普通用户或是管理员用户，都必须加强对数据库系统的访问控制，加强对数据的安全防护，实现用户对数据库系统内资源只拥有业务所需的最小访问权限，将上述安全风险降到最低。

专利ZL03820905.5定义了一种控制关系型数据库访问的方法，其步骤为：1)接受用户请求，请求中包含用户安全标记和请求的操作；2)基于用户标记，确定用户的安全信息；3)根据用户请求，检索至少一行数据，且至少一行数据带有安全标记信息；4)基于行安全标记确定信息的安全标记；5)对标记进行匹配判断是否授权访问。同时，设计了查询处理器、数据管理器，并设计了查询、更新的控制规则，包括更新数据的安全标记。在该方法中，存在几个问题：1)在用户请求中携带用户安全标记信息，如果要验证用户安全标记的可信性或正确性，需要数据库管理系统访问指定的系统，增加了系统复杂性；2)仅支持行数据的安全标记，不支持库、表、列等数据库对象，适用范围窄；3)返回的数据集不带有安全标记，无法将数据库内的保留安全属性信息提供给后续处理使用的相关对象。

发明内容

针对关系型数据库中的授权访问问题，本发明的目的在于提供一种基于业务安全属性的数据库访问控制方法，根据用户对象的业务安全属性，为其提供具备相应业务安全属性的数据，以确保用户对象根据业务安全要求对数据库系统内资源仅拥有业务所需的最小访问权限。

本发明提供一种基于业务安全标记的数据库访问控制方法，扩展数据库相关协议支持业务安全标记，并在数据库管理系统中实现相关访问控制，具体流程示意如图1所示。

步骤1：用户访问数据库管理系统时，数据库管理系统对用户对象进行身份认证，认证通过后，提取该用户对象的业务安全标记。用户的业务安全标记信息保存在数据库管理系统中。

步骤2：认证通过后的用户对象发起访问请求时，数据库管理系统根据访问请求获取其拟访问的库(表、列、行)等数据库对象的业务安全标记。

步骤3：数据管理系统对用户对象业务安全标记与其访问的数据库对象业务安全标记进行匹配检查，如果检查通过，则允许该用户对象执行访问请求，否则，拒绝该用户对象的访问请求。

步骤4：数据库管理系统向用户对象返回访问的数据集时，应该同时返回数据集的业务安全标记。

预设信息1：在数据库管理系统创建用户时，可设置该用户对象的业务安全标记，表明用户对象的安全级别、业务类别等业务安全属性；

预设信息2：在数据库管理系统写入数据时，应设置对应数据库对象的业务安全标记，表明这些数据对象的安全等级、业务类别、环境要求、操作控制要求等业务安全属性。

为实现上述目的，本发明还提供了一种支持业务安全标记的数据库访问控制系统，如图2所示，包括标记管理模块、访问请求管控模块、数据发送模块。

标记管理模块：用于管理用户对象的业务安全标记和数据库对象的业务安全标记；

访问请求管控模块：用于对用户对象访问数据库对象的请求进行标记匹配检查，从而对用户对象的访问行为进行管控；

数据发送模块：数据库管理系统向用户返回数据集时，生成并同步发送数据集的业务安全标记。

与现有技术相比，本发明的积极效果为：

1)在数据库管理系统创建用户对象时，同时设置该用户对象的业务安全标记，用户认证后，直接获取用户业务安全标记，减少了数据管理系统对其他系统的依赖，降低了复杂性。

2)支持库、表、列、行等数据库对象设置业务安全标记，具有更广泛的适用性。

3)在返回的数据集的同时返回其业务安全标记，使得数据集进入其他系统环境后，仍可指示其他系统正确理解该数据集的业务安全性质。

附图说明

图1为基于业务安全标记的数据库访问控制方法基本流程图；

图2为本发明所述的访问控制系统框架结构图。

具体实施方式

为了使发明的目的及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步的详细说明。应当理解，此处所描述的实施例仅用于说明和解释本发明，并不用于限定本发明。

1.业务安全标记配置

业务安全标记M为一个包含多种业务安全属性的多元组，M＝<C，G，F>。其中C为安全级别；G为多个业务安全属性G_i的集合，G＝{g₁,g₂,…g_n}，g_i可以为业务类别、工作组、角色、环境要求等业务安全属性；F为操作控制属性f_j的集合，F＝{f₁,f₂,…f_m}，f_j可以为读写控制、打印控制、刻录控制、拷贝控制等操作类属性。

数据库对象的业务安全标记记为M(d)＝<C_d，G_d，F_d>，用户对象的业务安全标记记为M(u)＝<C_u，G_u>。用户对象的业务安全标记M(u)与数据库对象的业务安全标记M(d)之间的关系有两种：支配关系与不可比。标记M(u)支配标记M(d)，当C_u≥C_d且

我们记为M(u)≥M(d)，表示用户对象可支配数据库对象。如果M(u)与M(d)之间不存在支配关系，则它们之间不可比，用户对象无权支配数据库对象。如果

则任何用户对象应根据该标记F_d包含的具体操作控制属性f_j限制对数据库对象进行相应操作。

数据库对象(库、表、列、行)应配置业务安全标记M(d)＝<C_d，G_d，F_d>，表明数据库对象的安全级别、业务类别、操作控制等属性。

用户对象应配置业务安全标记M(u)＝<C_u，G_u>，表明用户的安全级别、业务类别等业务安全属性。

数据库管理系统向用户返回数据集时，应带有该数据集的业务安全标记，可记为M(ds)＝<C_ds，G_ds，F_ds>，表明该数据集的安全级别、业务类别、操作控制等业务安全属性。

2.用户连接认证

当用户u连接数据库管理系统并完成认证后，数据库管理系统提取该用户对象的业务安全标记M(u)。

3.用户访问控制

认证的用户对象u访问数据库时，数据库管理系统根据访问请求获取其拟访问的库(表、列、行)对象d的业务安全标记M(d)，并对M(u)和M(d)进行匹配检查。如果检查匹配成功，则允许用户进行访问；否则，拒绝用户访问。

所述匹配规则为：若M(u)≥M(d)，则匹配成功，否则匹配不成功。

4.返回数据集及其业务安全标记

如果数据库管理系统向用户返回的数据集为ds，则应生成并同步发送该数据集的业务安全标记M(ds)。

以查询操作为例，如果查询得到的数据集ds包含n个不同的数据库对象d_i，d_i的业务安全标记分别记为M(d₁)＝<C_d1，G_d1，F_d1>，M(d₂)＝<C_d2，G_d2，F_d2>，…，M(d_n)＝<C_dn，G_dn，F_dn>，则数据集ds的业务安全标记M(ds)＝<C_ds，G_ds，F_ds>生成规则如下：

C_ds＝max{C_d1,C_d2,…,C_dn}；

G_ds＝{G_d1∪G_d2∪…∪G_dn}；

F_ds＝{F_d1∪F_d2∪…∪F_dn}。

5.基于业务安全标记的行为审计

对数据库对象的访问及操作行为进行审计，主要对用户对象及其访问的数据库对象之间业务安全标记的匹配关系进行审计。例如，用户对象的业务安全标记与数据库对象的业务安全标记不可比则产生告警。

尽管为说明目的公开了本发明的具体内容、实施算法以及附图，其目的在于帮助理解本发明的内容并据以实施，但是本领域的技术人员可以理解：在不脱离本发明及所附的权利要求的精神和范围内，各种替换、变化和修改都是可能的。本发明不应局限于本说明书最佳实施例和附图所公开的内容，本发明要求保护的范围以权利要求书界定的范围为准。

Claims (10)

1.一种支持业务安全标记的数据库访问控制方法，其步骤包括：

1)数据库管理系统对访问用户进行身份认证，认证通过后，提取该用户对应的用户对象的业务安全标记；其中，数据库管理系统为每一设定用户创建一用户对象并设置对应的业务安全标记；用户对象的业务安全标记包括安全级别、业务类别；

2)认证通过后的用户对象发起访问请求时，数据库管理系统根据访问请求获取用户对象拟访问的数据库对象的业务安全标记；

3)数据管理系统将用户对象的业务安全标记与该用户对象拟访问的数据库对象的业务安全标记进行匹配检查，如果检查通过，则允许执行该访问请求，返回访问的数据集以及该数据集中各数据库对象的业务安全标记；否则拒绝执行该访问请求；

其中，数据库对象的业务安全标记记为M(d)＝<C_d，G_d，F_d>，其中C_d为数据库对象d的安全级别，G_d为数据库对象d的业务安全属性集合，F_d为数据库对象d的操作控制属性集合；用户对象的业务安全标记记为M(u)＝<C_u，G_u>，其中C_u为用户对象u的安全级别，G_u为用户对象u的业务安全属性集合。

2.如权利要求1所述的方法，其特征在于，数据库管理系统写入数据时，设置所写入数据库对象的业务安全标记，数据库对象的业务安全标记包括数据库对象的安全等级、业务类别、和操作控制要求。

3.如权利要求1所述的方法，其特征在于，用户对象的业务安全标记M(u)与数据库对象的业务安全标记M(d)之间的关系包括支配关系与不可比关系，当C_u≥C_d且

记为M(u)≥M(d)，表示用户对象u可支配数据库对象d；如果M(u)与M(d)之间不存在支配关系，为不可比关系，用户对象u无权支配数据库对象d；如果

则任何用户对象应根据该标记F_d包含的具体操作控制属性f_j限制对数据库对象d进行相应操作。

4.如权利要求3所述的方法，其特征在于，返回访问的数据集以及该数据集中各数据库对象的业务安全标记的方法为：设数据集ds包含n个不同的数据库对象，第i个数据库对象d_i的业务安全标记记为M(d_i)＝<C_di，G_di，F_di>，则数据集ds的业务安全标记M(ds)＝<C_ds，G_ds，F_ds>；其中，C_ds＝max{C_d1,C_d2,…,C_dn}，G_ds＝{G_d1∪G_d2∪…∪G_dn}，F_ds＝{F_d1∪F_d2∪…∪F_dn}。

5.如权利要求1所述的方法，其特征在于，所述数据库对象为数据库、数据表、列数据或行数据。

6.一种支持业务安全标记的数据库访问控制系统，其特征在于，包括标记管理模块、访问请求管控模块、数据发送模块；其中，

标记管理模块，用于管理用户对象的业务安全标记和数据库对象的业务安全标记；

访问请求管控模块，将用户对象的业务安全标记与该用户对象拟访问的数据库对象的业务安全标记进行匹配检查，如果检查通过，则允许执行该访问请求，否则拒绝执行该访问请求；

数据发送模块，用于向用户对象返回访问的数据集以及该数据集中各数据库对象的业务安全标记；

其中，数据库对象的业务安全标记记为M(d)＝<C_d，G_d，F_d>，其中C_d为数据库对象d的安全级别，G_d为数据库对象d的业务安全属性集合，F_d为数据库对象d的操作控制属性集合；用户对象的业务安全标记记为M(u)＝<C_u，G_u>，其中C_u为用户对象u的安全级别，G_u为用户对象u的业务安全属性集合。

7.如权利要求6所述的系统，其特征在于，数据库管理系统写入数据时，标记管理模块设置所写入数据库对象的业务安全标记，数据库对象的业务安全标记包括数据库对象的安全等级、业务类别、和操作控制要求。

8.如权利要求6或7所述的系统，其特征在于，用户对象的业务安全标记M(u)与数据库对象的业务安全标记M(d)之间的关系包括支配关系与不可比关系，当C_u≥C_d且G_u∩

记为M(u)≥M(d)，表示用户对象u可支配数据库对象d；如果M(u)与M(d)之间不存在支配关系，为不可比关系，用户对象u无权支配数据库对象d；如果

则任何用户对象应根据该标记F_d包含的具体操作控制属性f_j限制对数据库对象d进行相应操作。

9.如权利要求8所述的系统，其特征在于，返回访问的数据集以及该数据集中各数据库对象的业务安全标记的方法为：设数据集ds包含n个不同的数据库对象，第i个数据库对象d_i的业务安全标记记为M(d_i)＝<C_di，G_di，F_di>，则数据集ds的业务安全标记M(ds)＝<C_ds，G_ds，F_ds>；其中，C_ds＝max{C_d1,C_d2,…,C_dn}，G_ds＝{G_d1∪G_d2∪…∪G_dn}，F_ds＝{F_d1∪F_d2∪…∪F_dn}。

10.如权利要求6所述的系统，其特征在于，所述数据库对象为数据库、数据表、列数据或行数据。

Images