文档详细内容(约8页)
9.3网络数据库的访问控制 93.1网络数据库访问控制方式 9、3.2 Oracle数据库访问控制简介 ●四南大字画字
第9章 网络数据管理 1 9.3 网络数据库的访问控制 9.3.1 网络数据库访问控制方式 9.3.2 Oracle数据库访问控制简介
9.3.1网络数据库访问控制方式 访问控制是通过某种途径显式地准许或限制访问能力及 范围的一种方法。访问控制的目的是使用户只能进行经过授 权的相关数据库操作。 访问控制系统一般包括: 主体 客体 安全访问政策 第9章网络数据管理
第9章 网络数据管理 2 9.3.1 网络数据库访问控制方式 访问控制是通过某种途径显式地准许或限制访问能力及 范围的一种方法。访问控制的目的是使用户只能进行经过授 权的相关数据库操作。 访问控制系统一般包括: ➢ 主体 ➢ 客体 ➢ 安全访问政策
9.3.1网络数据库访问控制方式 访问控制方式有自主访问控制(DAC, Discretionary Access Contro)、强制访问控制(MAC, Mandatory Access Contro)和基于角色访问控制(RBAC,Role Based Access Control) 自主访问控制 其基本思想是允许某个主体显式地控制其他主体对其自 身所拥有信息资源的访问,指定其他主体是否可以访问以及 可执行的访问类型。 信息在移动过程中其访问权限关系会被改变。如用户A 可将其对目标O的访问权限传递给用户B,从而使原来对O没 有访问权限的B可以访问O。 第9章网络数据管理
第9章 网络数据管理 3 9.3.1 网络数据库访问控制方式 访问控制方式有自主访问控制(DAC,Discretionary Access Control)、强制访问控制(MAC,Mandatory Access Control)和基于角色访问控制(RBAC,RoleBased Access Control)。 1. 自主访问控制 其基本思想是允许某个主体显式地控制其他主体对其自 身所拥有信息资源的访问,指定其他主体是否可以访问以及 可执行的访问类型。 信息在移动过程中其访问权限关系会被改变。如用户A 可将其对目标O的访问权限传递给用户B,从而使原来对O没 有访问权限的B可以访问O
9.3.1网络数据库访问控制方式 2.强制访问控制 MAC给每个访问主体和客体分级,指定其信任度 MAC通过比较主体和客体的信任度来决定一个主体能否访问 某个客体,具体遵循以下两条规则: 下读:仅当主体的信任度大于或等于客体的信任度时, 主体才能对客体进行读操作。 上写:仅当主体的信任度小于或等于客体的信任度时 主体才能对客体进行写操作 第9章网络数据管理
第9章 网络数据管理 4 9.3.1 网络数据库访问控制方式 2. 强制访问控制 MAC给每个访问主体和客体分级,指定其信任度。 MAC通过比较主体和客体的信任度来决定一个主体能否访问 某个客体,具体遵循以下两条规则: 下读:仅当主体的信任度大于或等于客体的信任度时, 主体才能对客体进行读操作。 上写:仅当主体的信任度小于或等于客体的信任度时, 主体才能对客体进行写操作
9.3.1网络数据库访问控制方式 3.基于角色访问控制 所谓“角色”,就是一个或一群用户在组织内可执行的 操作的集合。 RBAC根据用户在组织内所处的角色进行访问授权与控 制。只有系统管理员有权定义和分配角色。用户与客体无直 接联系,只有通过角色才享有该角色所对应的权限,从而访 问相应的客体。 第9章网络数据管理
第9章 网络数据管理 5 9.3.1 网络数据库访问控制方式 3. 基于角色访问控制 所谓“角色”,就是一个或一群用户在组织内可执行的 操作的集合。 RBAC根据用户在组织内所处的角色进行访问授权与控 制。只有系统管理员有权定义和分配角色。用户与客体无直 接联系,只有通过角色才享有该角色所对应的权限,从而访 问相应的客体
