部队装备仓储数据库安全技术探析①摘要：基于角色的访问控制是一种新型访问控制模型，其主要目的是确保数据库的安全，为了加强用户访问的控制策略，进一步保证部队数据库的安全。本课题研究内容主要包括基于角色的访问控制理论以及方法研究。关键词：仓储数据库RBAC角色中图分类号:TP393文献标识码：A文章编号:1672-3791(2012)04(b)-0030-01随着信息技术的发展，无论政府还是企业单位，为了提高自身的管理水平都使用计算机建立了数据库信息系统。数据库在各种信息系统中都应用得非常广泛。数据库组织形式的数据具有共享性、独立性、一致性和可访问控制性，它既可以存储大量的数据信息，又可以尽量避免重复和冗余；既可以为某个用户所独有，又可以为不同的用户所共享；而且还可以独立地扩充而不影响应用程序的开发，因此，数据库成为信息系统中存储数据的主要形式［1］。军队信息化建设己经迎来它信息时代的变革。这既提供了机遇，又带来了新的挑战。数据库是各种软件中的重要成员，在一定程度上，数据库对于网络的重要性甚至高于操作系统。数据库系统的任何破坏、修改或者不能及时地提供服务都会带来严重的问题,因此，保护数据库系统的安全至关重要。数据库的安全主要是保证数据的独立性、完整性、保密性和可用性，防止数据被非法访问，甚至被篡改或破坏。因此,加强军队数据库安全问题研究具有重要意义。1基于角色访问控制基于角色的访问控制，英文简称为RBAC,是一种安全策略，主要用于面向不同企业的安全访问控制方法。RBAC的最为基本的策略思想是:RBAC并不将具体的针对操作系统的访问权限授权给使用用户，而是在系统访问权限集合与使用用户之间添加了一个中间件的工作模块，即角色的集合，使得角色与权限是一一对应的关系[2],使得用户与权限并不直接对应，通过这种方式，当用户与角色之间建立关系之后，该用户便拥有该角色的所拥有的所有的操作权限，通过这种方式，在系统创建新的用户的时候就完全避免了给该用户赋予权限的操作，仅仅需要给系统用户分配对应的角色便可以，此外，由于针对用户的权限更改只需要更改角色的权限即可,这样比起修改用户的权限比起来大大减少了步骤，从而将用户的权限管理流程进行了一定程度的简化，通过这样的操作不仅简化了用户的权限管理操作，同时也简化了整个系统的开销。基于角色的访问控制实现了访问权限与用户的逻辑上的分离，该种模式大大的方便了系统的权限管理，比如：某企业有一员工，工作一段时间后职位发生了变化，在基于角色的访问控制策略中不需要修改用户的权限，仅仅需要修改用户的角色即可，将新职位的角色赋予该用户即可。研究调查标明：角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多，此外，系统中给用户分配角色并不需要太多的技术，完全可以交给行政管理人员操作，而给角色配置权限的工作比较复杂，需要一定的技术，可以由专门的技术人员来承担，但是不给他们给用户分配角色的权限，这与现实中的情况正好一致。基于角色访问控制可以很好的描述角色层次关系，实现最小特权原则和职责分离原则。2RBAC策略构建方法定义角色系统构建访问控制策略是实施RBAC最重要也是代价最高昂的一步.RBAC策略构建的成本费用却比较高昂,因此，为了降低实施RBAC的成本，可以通过快速准确的定义角色便可以解决，整个RBAC的构建过程可以分为以下三个层次。2.1需求层需求层的主要功能是需求描述以及全局的约束限定，改层的具体工作主要包括：功能规约、用例以及全局约束。2.2模型层模型层是RBAC的中间层，也是最为主要的关键层，模型层中需要针对系统详细的定义相关权限、角色以及应用约束等，通过该模型的各个层次的具体定义，接下来的一步便是构建完整的RBAC系统。2.3实现层实现层是RBAC系统中的最后一层，主要工作是针对RBAC的软硬件提供支持，主要包括操作系统的安全、轻量级目录(LDAP)以及数据库等，此外，一些类似SiteMinder.IBMIdentityManager等成熟的产品均可以用于支持这一层的实现［3］。构建RBAC策略的最为主要的目的是针对模型层的完整定义进行实现，具体构建过程包括系统根据实际需要应该定义哪些权限，并且针对这些权限进...