CN113051602B

CN113051602B - 一种基于零信任架构的数据库细粒度访问控制方法

Info

Publication number: CN113051602B
Application number: CN202110088087.2A
Authority: CN
Inventors: 黄杰; 余若晨; 肖志清; 毛冬; 何东
Original assignee: Southeast University; Information and Telecommunication Branch of State Grid Zhejiang Electric Power Co Ltd
Current assignee: Southeast University; Information and Telecommunication Branch of State Grid Zhejiang Electric Power Co Ltd
Priority date: 2021-01-22
Filing date: 2021-01-22
Publication date: 2022-11-22
Anticipated expiration: 2041-01-22
Also published as: CN113051602A

Abstract

本发明公开了一种基于零信任架构的数据库访问控制方法，包括步骤：S1.用户将数据访问请求与数字证书发送到零信任架构中作为策略执行点的代理网关处，代理网关进行身份认证，决定是否继续处理数据访问请求；S2.代理网关将访问请求经过零信任架构的策略管理进程转发至策略引擎，策略引擎获取实时动态信息进行信任计算；S3.策略引擎结合信任计算结果及静态信息，生成实例化访问属性元组，与访问控制策略进行匹配，判决此次访问允许或拒绝；S4.策略管理器收到策略引擎判决信息，根据判决信息对用户授权，用户访问请求在数据库中得到处理。本发明结合了零信任架构技术、信任计算技术和访问控制技术，保护了分布式数据库的数据完整性、机密性。

Description

一种基于零信任架构的数据库细粒度访问控制方法

技术领域

本发明涉及一种基于零信任架构的数据库细粒度访问控制方法，属于信息安全技术领域。

背景技术

数据库面临的安全威胁主要来自于三个方面：第三方组件、数据库自身系统和人为因素。第三方组件和数据库自身系统的漏洞属于产品的缺陷，通常依赖于厂商和组件提供方发布补丁来修复。因此人为因素造成的安全威胁，是大多数数据库系统需要应对的威胁。网络安全攻击者通常利用内网渗透的手段，通过攻击企业内网中的其他主机，获取相关权限，完成对数据库系统中数据的非法访问。

根据相关研究，传统的数据库安全防护方案存在诸多安全问题，其中主要包括以下两个方面：

基于静态口令的访问控制失效问题：用户在访问数据库时输入静态口令，数据库系统为用户分配权限，用户获得权限后，具备对数据库中数据操作的能力。在网络环境复杂多变的今天，静态口令难以符合保密性的要求，静态口令一旦泄露给网络安全攻击者，数据隐私将会遭到破坏；

访问控制权限过大问题：现有的数据库系统为用户分配权限为全局权限，用户在口令验证后，将获得对整个数据库的访问权限。此类权限在绝大多数时候超出了用户进行此次访问的业务需求，若当前用户为恶意攻击者，能够窃取数据库的所有数据。当前数据库系统的访问权限分配方式不满足最小权限原则，难以抑制网络安全攻击造成的负面影响的扩散。

发明内容

发明目的：本发明提供一种基于零信任架构的数据库细粒度访问控制方法，该方法以动态信任计算和细粒度访问控制的途径保护数据库系统的安全性。

技术方案：本发明所述的一种基于零信任架构的数据库细粒度访问控制方法，包括以下步骤：

S1.用户将数据访问请求与数字证书一起发送到零信任架构中作为策略执行点，即PEP 的代理网关处，代理网关根据数字证书的有效性决定是否继续处理数据访问请求；

S2.代理网关将访问请求经过零信任架构的策略管理，即PA进程转发至策略引擎，即 PE，策略引擎获取用户信息、动作、环境因素的实时、动态信息进行信任计算；

S3.策略引擎结合信任计算结果及静态信息，生成针对当前访问请求的实例化访问属性元组，并与本地存储的访问控制策略进行匹配，若有策略匹配通过，策略引擎向策略管理器发送访问允许信息，否则，策略引擎向策略管理器发送访问拒绝信息；

S4.策略管理器收到策略引擎判决信息，若信息为访问拒绝信息，则告知策略执行点的代理网关终止与访问主体的本次连接；若信息为访问允许信息，则对主体授权，并将数据访问请求转发至数据库网关，数据库网关收到数据访问请求，执行请求中的数据库SQL指令，并将指令执行结果经由代理网关返回至用户处。

进一步地，步骤S1的具体方法如下：

S11.用户通过TCP通信建立与代理网关之间C/S模式连接；

S12.用户向PEP处的代理网关发起访问控制请求。访问控制请求包括数据库SQL指令与用户的包含身份信息的数字证书；

S13.代理网关解析用户请求，验证用户的数字证书有效性，若用户的数字证书无效，则关闭与用户的连接；若用户数字证书有效，则将用户的身份信息和数据库操作指令转发到策略管理器。

进一步地，步骤S2的具体方法如下：

S21.策略管理器收到用户访问请求，将访问请求发送至策略引擎；

S22.策略引擎从用户访问请求中获取的用户信息包括用户身份信息、用户设备标识信息，依据用户身份信息，从本地交互缓存数据中获取信任计算需要的动作、环境因素的实时、动态信息；

S23.策略引擎计算主体静态属性信任：PE收集访问主体的静态信息，包括身份信息、主体的网络位置、主体的设备类型、主体的网络接入方式，在静态属性表中查询获得各静态信息属性当前取值对应的信任值，得到静态属性向量Atrribute_static＝(a₁,a₂,a₃,…,a_n)。，将静态属性向量与预设权值向量weight_static＝(w₁,w₂,w₃,…,w_n)点乘获取对主体的静态属性信任：

subject trust_stactic＝Atrribute_static·weight_static

主体静态属性信任值表示策略引擎对当前访问主体所处状态的信任度；

S24.策略引擎计算主体上下文属性信任：PE获取主体到当前数据资源的交互历史，作为行为证据，进行信任计算，上下文特征行为包括：平均网络延时、用户失败访问请求计数、用户违规数据库访问指令输入统计、用户服务异常终止历史、用户IP丢包率，用户连接建立成功率、用户IP响应时间，在上下文属性取值表中获得各上下文特征行为属性当前取值对应的信任值，得到上下文属性向量Atrribute_dynamic＝(a₁,a₂,a₃,…,a_n)，与预设权值向量 weight_dynamic＝(w₁,w₂,w₃,…,w_n)点乘获取对主体的上下文属性信任：

subject trust_dynamic＝Atrribute_dynamic·weight_dynamic

上下文属性信任计算基于近期信任与信任更新的思想，表征对主体一段时间内的状态的信任度；

S25.策略引擎计算动作属性信任：在动作属性集{update,delete,insert,retrieve}中，将三种动作属性映射为不同整数，基于当前主体的动作记录获得近500次访问与近100次访问的时间序列，时间序列y轴为对应x轴的时刻的动作对应整数，利用Person相关方法获得两个序列相关性，以数字-1表示负相关、0表示不相关和1表示完全相关表示出它们之间的线性关系，对相关性结果取绝对值，则获得当前动作属性信任值actiontrust，actiontrust取值范围为[0,1]，该信任值表征主体在近期是否存在异常动作；

S26.策略引擎计算环境属性信任：根据网络安全情报信息库，获取网络安全攻击高发时段，在网络安全高发时段内发生的访问请求，其环境属性信任值env trust＝0.5，网络安全高发时段外发生的访问请求，其环境属性信任值env trust＝1。

进一步地，步骤S3的具体方法如下：

S31.策略引擎生成此次访问的主体属性集合：

Subjects＝{subject trust_stactic,subject trust_dynamic,attr₁,…,attr_n}

Subjects集合规范描述了当前访问主体的状态，其中，attr₁,…,attr_n表示未在S23及 S24步骤中作为信任计算基础的主体属性；

S32.策略引擎生成此次访问的动作属性集合：

Acts＝{update,delete,insert,retrieve,actiontrust}

动作属性集合描述了对数据资源的动作和动作属性信任；

S33.策略引擎生成此次访问的环境属性集合：

Environments＝{envtrust₁,envtrust₂,…,envtrust_n}

环境属性集合表示对当前系统的网络环境安全多个因素的信任评估结果；

S34.策略引擎生成此次访问的资源属性集合：

Resources＝{R_Attr1,R_Attr2,…,R_Attrm,SecurityLevel}

数据资源属性为某行数据所在的服务器、数据库、数据表的访问控制粒度，以及该行数据的指定安全级别；

S35.策略引擎根据步骤S31到S34的结果生成访问属性元组(AAT)，访问属性元组的描述形式由一组动作、主体、环境属性子集以及资源属性头组合，一个属性子集由访问请求抽象获得，并基于访问请求对相应的属性子集进行实例化，即在策略引擎中对属性变量进行赋值，最后与资源属性集合Resources连接；

AAT:Re←{INSTANCE(sub),INSTANCE(acts),INSTANCE(env)}

env∈Environments；sub∈Subjects；act∈Acts,lengthofactis 1

Re＝INSTANCE(Resources)

S36.策略引擎将AAT与本地策略库中的访问策略进行匹配，访问策略评估被形式化描述为Policy→{deny,permission}，AAT通过资源属性集合在访问策略库中定位对应资源的策略集合，并通过动作、环境、主体的优先级将属性子集与策略集合依次进行关系匹配，访问策略的匹配，需要当前ATT的属性落在D(ψ)中每一个对应限制域中，若当前策略子集遍历完成后，ATT未能实现与某条访问策略的匹配，PE向PA返回授权拒绝(deny)，反之则返回授权通过(permission)。

进一步地，步骤S4的具体方法如下：

S41.策略管理器收到策略引擎判决信息，若信息为访问拒绝信息，则告知策略执行点的代理网关终止与访问主体的本次连接；若信息为访问允许信息，则对主体授权，并将数据访问请求转发至数据库网关；

S41.数据库网关收到数据访问请求，将数据访问请求转发至数据库服务进程；

S42.数据库服务进程在数据库中完成访问请求中SQL指令对应操作，获取SQL指令执行结果，转发至数据库服务器网关；

S43.数据库服务器网关将SQL指令执行结果发送给用户。

有益效果：

本发明的方法具备以下有益效果：相比传统的数据库基于口令的安全机制，零信任架构在数据库系统中的部署能够有效建立起针对数据资源的边界保护机制，避免系统管理员权限的滥用；利用实时、动态、上下文的信任计算技术，对用户进行了具备时效性的认证，规避了静态密码机制易于泄露的缺陷；本方法中的资源访问控制模型，实现了细粒度的资源访问控制，限制了网络安全攻击者破坏数据隐私的能力。

本发明的方法结合了零信任架构技术、信任计算技术和访问控制技术，提供了数据库的细粒度访问控制机制，能够保护数据库的数据完整性、机密性，提高数据库系统的安全性。

附图说明

图1为本发明具体实施方式的流程图。

图2为零信任架构的工作原理。

图3为细粒度访问控制流程。

具体实施方式

下面将结合附图对本发明作进一步描述。

图1描述了本发明具体执行步骤。

本发明所述的一种基于零信任架构的数据库细粒度访问控制方法，包括以下步骤：

S1.用户将数据访问请求与数字证书一起发送到零信任架构中作为策略执行点的代理网关处，代理网关根据数字证书的有效性决定是否继续处理数据访问请求；

S2.代理网关将访问请求经过零信任架构的策略管理进程转发至策略引擎，策略引擎获取用户、动作、环境等因素的实时、动态信息进行信任计算；

S3.策略引擎结合信任计算结果及其他静态信息，生成针对当前访问请求的实例化访问属性元组，并与本地存储的访问控制策略进行匹配。若有策略匹配通过，策略引擎向策略管理器发送访问允许信息，否则，策略引擎向策略管理器发送访问拒绝信息；

步骤S1的具体方法如下：

S11.用户通过TCP通信建立与代理网关之间C/S模式连接；

零信任架构的工作原理如图2所示，具体步骤如下：

S22.策略引擎从用户访问请求中获取用户身份、用户设备标识等信息，依据用户身份信息，从本地交互缓存数据中获取信任计算需要的信息；

S23.策略引擎计算主体静态属性信任：PE收集访问主体的身份信息、主体的网络位置、主体的设备类型、主体的网络接入方式等静态属性信息，在静态属性表中查询获得各属性当前取值对应的信任值，得到静态属性向量Atrribute_static＝(a₁,a₂,a₃,…,a_n)。将静态属性向量与预设权值向量weight_static＝(w₁,w₂,w₃,…,w_n)点乘获取对主体的静态属性信任。

subject trust_stactic＝Atrribute_static·weight_static

S24.策略引擎计算主体上下文属性信任：PE获取主体到当前数据资源的交互历史，作为行为证据，进行信任计算。上下文特征行为包括：平均网络延时、用户失败访问请求计数、用户违规数据库访问指令输入统计、用户服务异常终止历史、用户IP丢包率，用户连接建立成功率、用户IP响应时间等。在上下文属性取值表中获得各属性当前取值对应的信任值，得到上下文属性向量Atrribute_dynamic＝(a₁,a₂,a₃,…,a_n)，与预设权值向量weight_dynamic＝ (w₁,w₂,w₃,…,w_n)点乘获取对主体的上下文属性信任。

subjecttrust_dynamic＝Atrribute_dynamic·weight_dynamic

S25.策略引擎计算动作属性信任：在动作属性集{update,delete,insert,retrieve}中，将三种动作属性映射为不同整数，基于当前主体的动作记录获得近500次访问与近100次访问的时间序列，时间序列y轴为对应x轴的时刻的动作对应整数。利用Person相关方法获得两个序列相关性，以数字-1(负相关)、0(不相关)和1(完全相关)表示出它们之间的线性关系，对相关性结果取绝对值，则获得当前动作属性信任值actiontrust，actiontrust取值范围为[0,1]。该信任值表征主体在近期是否存在异常动作；

S26.策略引擎计算环境属性信任：根据网络安全情报信息库，获取网络安全攻击高发时段，在网络安全高发时段内发生的访问请求，其环境属性信任值envtrust＝0.5，网络安全高发时段外发生的访问请求，其环境属性信任值envtrust＝1。

细粒度访问策略判决流程如图3所示：

S31.策略引擎生成此次访问的主体属性集合：

Subjects＝{subjecttrust_stactic,subjecttrust_dynamic,attr₁,…,attr_n}

Subjects集合规范描述了当前访问主体的状态。其中，attr₁,…,attr_n表示未在S23及 S24步骤中作为信任计算基础的主体属性；

S32.策略引擎生成此次访问的动作属性集合：

Acts＝{update,delete,insert,retrieve,actiontrust}

动作属性集合描述了对数据资源的动作和动作属性信任；

S33.策略引擎生成此次访问的环境属性集合：

Environments＝{envtrust₁,envtrust₂,…,envtrust_n}

S34.策略引擎生成此次访问的资源属性集合：

Resources＝{R_Attr1,R_Attr2,…,R_Attrm,SecurityLevel}

数据资源属性为某行数据所在的服务器、数据库、数据表等访问控制粒度，以及该行数据的指定安全级别；

S35.策略引擎根据步骤S31到S34的结果生成访问属性元组(AAT)。访问属性元组的描述形式由一组动作、主体、环境属性子集以及资源属性头组合。一个属性子集由访问请求抽象获得，并基于访问请求对相应的属性子集进行实例化(在策略引擎中对属性变量进行赋值)，最后与资源属性集合Resources连接；

AAT:Re←{INSTANCE(sub),INSTANCE(acts),INSTANCE(env)}

env∈Environments；sub∈Subjects；act∈Acts,lengthofactis 1

Re＝INSTANCE(Resources)

S36.策略引擎将AAT与本地策略库中的访问策略进行匹配。访问策略评估被形式化描述为Policy→{deny,permission}。AAT通过资源属性集合在访问策略库中定位对应资源的策略集合，并通过动作、环境、主体的优先级将属性子集与策略集合依次进行关系匹配。访问策略的匹配，需要当前ATT的属性落在D(ψ)中每一个对应限制域中。若当前策略子集遍历完成后，ATT未能实现与某条访问策略的匹配，PE向PA返回授权拒绝(deny)，反之则返回授权通过(permission)。

访问控制授权的步骤如下：

S43.数据库服务器网关将SQL指令执行结果发送给用户。

Claims

1.一种基于零信任架构的数据库细粒度访问控制方法，其特征在于，该方法包括以下步骤：

S1.用户将数据访问请求与数字证书一起发送到零信任架构中作为策略执行点，即PEP的代理网关处，代理网关根据数字证书的有效性决定是否继续处理数据访问请求；

S2.代理网关将访问请求经过零信任架构的策略管理，即PA进程转发至策略引擎，即PE，策略引擎获取用户信息、动作、环境因素的实时、动态信息进行信任计算；

2.根据权利要求1所述的基于零信任架构的数据库细粒度访问控制方法，其特征在于，步骤S1的具体方法如下：

S11.用户通过TCP通信建立与代理网关之间C/S模式连接；

3.根据权利要求1所述的基于零信任架构的数据库细粒度访问控制方法，其特征在于，步骤S2的具体方法如下：

S23.策略引擎计算主体静态属性信任：PE收集访问主体的静态信息，包括身份信息、主体的网络位置、主体的设备类型、主体的网络接入方式，在静态属性表中查询获得各静态信息属性当前取值对应的信任值，得到静态属性向量Atrribute_static＝(a₁，a₂，a₃，...，a_n)。，将静态属性向量与预设权值向量weight_static＝(w₁，w₂，w₃，...，w_n)点乘获取对主体的静态属性信任：

subject trust_stactic＝Atrribute_static·weight_static

S24.策略引擎计算主体上下文属性信任：PE获取主体到当前数据资源的交互历史，作为行为证据，进行信任计算，上下文特征行为包括：平均网络延时、用户失败访问请求计数、用户违规数据库访问指令输入统计、用户服务异常终止历史、用户IP丢包率，用户连接建立成功率、用户IP响应时间，在上下文属性取值表中获得各上下文特征行为属性当前取值对应的信任值，得到上下文属性向量Atrribute_dynamic＝(a₁，a₂，a₃，...，a_n)，与预设权值向量weight_dynamic＝(w₁，w₂，w₃，...，w_n)点乘获取对主体的上下文属性信任：

subject trust_dynamic＝Atrribute_dynamic·weight_dynamic

S25.策略引擎计算动作属性信任：在动作属性集{update，delete，insert，retrieve}中，将三种动作属性映射为不同整数，基于当前主体的动作记录获得近500次访问与近100次访问的时间序列，时间序列y轴为对应x轴的时刻的动作对应整数，利用Person相关方法获得两个序列相关性，以数字-1表示负相关、0表示不相关和1表示完全相关表示出它们之间的线性关系，对相关性结果取绝对值，则获得当前动作属性信任值actiontrust，actiontrust取值范围为[0，1]，该信任值表征主体在近期是否存在异常动作；

4.根据权利要求1所述的基于零信任架构的数据库细粒度访问控制方法，其特征在于，步骤S3的具体方法如下：

S31.策略引擎生成此次访问的主体属性集合：

Subjects＝{subject trust_stactic，subject trust_dynamic，attr₁，...，attr_n}

Subjects集合规范描述了当前访问主体的状态，其中，attr₁，...，attr_n表示未在S23及S24步骤中作为信任计算基础的主体属性；

S32.策略引擎生成此次访问的动作属性集合：

Acts＝{update，delete，insert，retrieve，actiontrust}

动作属性集合描述了对数据资源的动作和动作属性信任；

S33.策略引擎生成此次访问的环境属性集合：

Environments＝{envtrust₁，envtrust₂，...，envtrust_n}

S34.策略引擎生成此次访问的资源属性集合：

Resources＝{R_Attr1，R_Attr2，...，R_Attrm，SecurityLevel}

AAT：Re←{INSTANCE(sub)，INSTANCE(acts)，INSTANCE(env)}

env∈Environments；sub∈Subjects；act∈Acts，lengthofactis 1

Re＝INSTANCE(Resources)

S36.策略引擎将AAT与本地策略库中的访问策略进行匹配，访问策略评估被形式化描述为Policy→{deny，permission}，AAT通过资源属性集合在访问策略库中定位对应资源的策略集合，并通过动作、环境、主体的优先级将属性子集与策略集合依次进行关系匹配，访问策略的匹配，需要当前ATT的属性落在D(ψ)中每一个对应限制域中，若当前策略子集遍历完成后，ATT未能实现与某条访问策略的匹配，PE向PA返回授权拒绝(deny)，反之则返回授权通过(permission)。

5.根据权利要求1所述的基于零信任架构的数据库细粒度访问控制方法，其特征在于，步骤S4的具体方法如下：

S43.数据库服务器网关将SQL指令执行结果发送给用户。