数据库管理系统细粒度访问控制研究

摘要

在数据库和Web技术的引导下，信息系统的数据日趋多样化、个性化和私有化，需要对数据库中的数据进行基于行、列甚至元素级的访问控制，即细粒度的访问控制。而传统在应用层部署细粒度访问控制存在诸多弊端，从而使基于行、列甚至元素级的访问控制应该在数据库管理系统中实现。以国产关系数据库达梦(DM5)为基础，研究细粒度访问控制(Fine—grained Access Control，FGAC)的实现机制，通过扩展SOL语句来表达和管理安全策略，从而实现细粒度访问控制系统原型。
　　 在分析研究已有商业数据库细粒度访问控制的机制和前人理论的基础上，设计了在数据库中创建安全策略类型及实例的语法，包括信息过滤体、操作列表、策略约束条件等要素。在安全策略的基础上，进一步设计了细粒度访问控制系统的总体结构，结构中四大功能部件分别是策略管理、策略服务、访问控制器和SQL执行器。
　　 它们各自完成相对独立的任务。
　　 根据总体设计，在达梦数据库内核实现了以安全策略为核心的细粒度访问控制子系统。该子系统包含两个主要工作流程，策略管理流程和访问控制器实施安全策略流程。策略管理流程为安全策略在数据库中集中管理提供了统一的SOL接口，而访问控制器则利用策略服务为语句执行环境挑选出的有效的安全策略，采用动态修改SQL语句技术实施细粒度访问控制。细粒度访问控制子系统执行的结果要么是返回用户可见的数据集，要么是返回针对用户可见的数据集的合法操作信息。
　　 为了研究细粒度访问控制的正确性和对原系统性能的影响，通过具体大量的测例来说明细粒度访问控制工作的有效和正确，并选用TPC-W多组性能测试数据对比表明数据库中细粒度访问控制功能的应用对原系统性能的影响很小。