《网络数据库的访问控制.ppt》由会员分享,可在线阅读,更多相关《网络数据库的访问控制.ppt(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第第9章章 网络数据管理网络数据管理1网络数据库的访问控制 Still waters run deep.流静水深流静水深,人静心深人静心深 Where there is life,there is hope。有生命必有希望。有生命必有希望第第9章章 网络数据管理网络数据管理29.3.1 网络数据库访问控制方式 访问控制是通过某种途径显式地准许或限制访问能力及范围的一种方法。访问控制的目的是使用户只能进行经过授权的相关数据库操作。访问控制系统一般包括:主体主体 客体客体 安全访问政策安全访问政策第第9章章 网络数据管理网络数据管理39.3.1 网络数据库访问控制方式 访问控制方式有自主访问控制(
2、DAC,Discretionary Access Control)、强制访问控制(MAC,Mandatory Access Control)和基于角色访问控制(RBAC,Role-Based Access Control)。1.自主访问控制自主访问控制 其基本思想是允许某个主体显式地控制其他主体对其自身所拥有信息资源的访问,指定其他主体是否可以访问以及可执行的访问类型。信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使原来对O没有访问权限的B可以访问O。第第9章章 网络数据管理网络数据管理49.3.1 网络数据库访问控制方式2.强制访问控制强制访问控制
3、 MAC给每个访问主体和客体分级,指定其信任度。MAC通过比较主体和客体的信任度来决定一个主体能否访问某个客体,具体遵循以下两条规则:下读:仅当主体的信任度大于或等于客体的信任度时,主体才能对客体进行读操作。上写:仅当主体的信任度小于或等于客体的信任度时,主体才能对客体进行写操作。第第9章章 网络数据管理网络数据管理59.3.1 网络数据库访问控制方式3.基于角色访问控制基于角色访问控制 所谓“角色”,就是一个或一群用户在组织内可执行的操作的集合。RBAC根据用户在组织内所处的角色进行访问授权与控制。只有系统管理员有权定义和分配角色。用户与客体无直接联系,只有通过角色才享有该角色所对应的权限,
4、从而访问相应的客体。第第9章章 网络数据管理网络数据管理69.3.1 网络数据库访问控制方式 RBAC的特点:以角色作为访问控制的主体以角色作为访问控制的主体 角色继承角色继承 最小权限原则最小权限原则 职责分离职责分离 角色容量角色容量第第9章章 网络数据管理网络数据管理79.3.2 Oracle数据库访问控制简介 Oracle系统的安全性管理采用了基于角色的访问控制方法。安全性管理采用了基于角色的访问控制方法 Oracle提供了三种标准角色:CONNECT RESOURCE DBA第第9章章 网络数据管理网络数据管理89.3.2 Oracle数据库访问控制简介 在实际应用中,我们采用:根据
5、应用系统特点,建立几个核心用户,将表、视图、根据应用系统特点,建立几个核心用户,将表、视图、存储过程、触发器、序号生成器等数据库对象建立在存储过程、触发器、序号生成器等数据库对象建立在相应的核心用户中。相应的核心用户中。根据系统用户的特点,建立各种类型的角色,并将核根据系统用户的特点,建立各种类型的角色,并将核心用户中的数据库对象的相应权限授予相应角色。心用户中的数据库对象的相应权限授予相应角色。建立一个通用用户默认角色,该角色只有建立一个通用用户默认角色,该角色只有CONNECT权限,将该角色授予任一角色,并设置成默认角色。权限,将该角色授予任一角色,并设置成默认角色。在每次与数据库中断连接之前,屏蔽其他角色,只有在每次与数据库中断连接之前,屏蔽其他角色,只有该角色有效;在与数据库连接后,只有该角色有效,该角色有效;在与数据库连接后,只有该角色有效,其后根据用户的需要,在应用程序中设置其他角色有其后根据用户的需要,在应用程序中设置其他角色有效。效。