摘 要:本文针对基于IP的全数字网络视频监控系统中数据库安全的特殊需求,首先提出了基于安全代理机制的安全数据访问控制模型和基于角色的访问控制模型(RBAC),最后,给出了该模型在网络视频监控服务器系统中的具体实现。
关键词:权限;访问控制;视频服务器
1. 基于数据库访问安全代理的访问控制模型
为了达到安全访问数据库的目的,在传统的数据库访问方式中加入加密和认证安全技术以及防火墙技术,形成新的数据库访问结构,而基于数据库访问安全代理的模型中数据库的安全访问控制是以代理的形式在起作用[1]。
1.1 数据库访问安全代理
数据库访问安全代理DASP是用于对抗恶意DBM各种威胁的应用层防火墙。DBMS被认为是不可信任的,所以必须控制并记录所有外界信息流与DBMS的交互过程。没有DASP的环境中,客户端将直接与DBMS进行交互;而有了DASP后,客户端不允许直接与位于物理隔离环境中的DBMS进行交互,而只能与位于物理隔离环境边界上的DASP进行交互,所有信息流只能在DASP的监控和管理下,与后端DBMS进行交互。这样就使得所有DBMS与外界的交互必须经过DASP的各种控制,从而达到一定的安全性保障。
1.2 数据库访问安全代理的代理作用
为了不因为安全访问系统的介入而增加信息系统解决方案的复杂度,采用代理的形式。有很多代理系统得到了广泛应用。例如HTTP代理、FTP代理、POP3代理以至包罗万象的SOCKS代理。同HTTP和FTP代理一样,数据库安全访问代理作用在应用层。之所以称之为代理是因为系统接收数据库应用的数据库访问请求,把请求映射到代理系统对于数据库的访问,而系统不对这些请求进行过于复杂的处理。同其它代理系统一样,这种代理具有能够加入安全控制的特点,同时代理系统对外接收数据库访问请求,而数据库系统可以只接受代理的访问请求,起到隔离和安全保护作用。另一个重要特点是,可以加入到已经开发应用的信息系统中,极大提高原有系统的安全性能而不需要重新开发。这是因为代理接收的是标准的数据库访问同时通过标准的数据库访问API对数据库进行访问。这也和通用的代理系统很类似。
2. 基于角色的访问控制模型
基于角色的访问控制模型的基本思想是:将用户划分成与其职能和职位相符合的角色,通过将权限授予角色而不是直接授予主体,主体通过角色分派来得到客体操作权限从而实现授权,因此减少授权管理的复杂性,降低管理开销,为管理员提供一个比较好的实现复杂安全政策的环境,引起了极大的关注,以其显著的优势被认为是自主型访问控制和强制型访问控制的最佳替代者[2]。
基于角色的访问控制模型RBAC是目前主流的访问控制模型,它比传统的自主访问控制和强制访问控制更优越,同时也提供了更高的灵活性和扩展性。
基于角色的访问策略根据用户在系统中的活动来管理用户对信息的访问,这种访问策略首先要求标识出系统中的角色,角色可以定义为与一个工作实体相联系的行为和职权的集合[3]。在标识出角色之后,就可以将对客体对象的访问权限授予各个角色,而不必再对每个用户分别声明其允许执行的访问权限,用户根据他的职责被分配以相应的角色而获得对客体的访问权限,这大大简化了权限的管理工作。这种策略具有很大的灵活性。
3. RBAC模型在视频服务器系统中的应用
RBAC模型在系统的应用主要体现在对登录系统的用户的身份认证和访问控制,主要流程如下[4]:
(1)用户登录,激活相应的客户端模块;
(2)通过数据库访问代理服务器查询数据库,进行用户身份认证,认证用户的合法性以及用户的权限级别;
(3)进入系统,根据用户自己的权限实现相应的访问控制功能;
系统使用者根据自己的权限类型,通过访问流程,调用相应的功能模块实现相应的操作[5]。系统中用户信息及其权限信息都是以表的形式保存的数据库中,系统中独立的数据库访问代理模块实现对数据库的访问控制[6]。
随着计算机技术和企业信息化的发展,对信息系统的安全访问控制技术也在逐步的探索中完善起来。随着RBAC模型的发展完善,应用规范的逐步建立,必将出现各种新型的RBAC模型,RBAC技术必将在各领域迅速发展并获得充分应用。
参考文献:
[1]黄益民,杨子江,平玲娣等。安全管理系统中基于角色访问控制的实施方法[J]。浙江大学学报:工学版,2004,38(4):408413。
[2]黄益民,平玲娣和潘雪增,一种基于角色的访问控制扩展模型及其实现;计算机研究与发展[J],2003,10,1521-1528。
[3]李黎,王小明和张黎明,基于角色代理的统一模型[J],计算机工程与应用,2004,23,54-58。
[4]张黎明,王小明和李黎,几种基于角色的代理授权模型特征比较[J],微机发展,2004,11,12 6-129。
[5]王秀坤,杨南海,张志勇。一种基于角色的数据库安全访问控制方案的设计与实现[J]。计算机应用研究,2003年3月.
[6]周小为;何斌;基于角色的授权与访问控制的研究计算机与信息技术,Compvter& Information Technology,编辑部邮箱2006年10期
