一種基于訪問標記的安全數(shù)據(jù)庫審計方法

2018-03-21 13:15:08 電力信息與通信技術(shù)　點擊量：評論 (0)

0 引言隨著信息技術(shù)的高速發(fā)展,各類計算機應(yīng)用系統(tǒng)活躍在各個行業(yè)的不同領(lǐng)域。盡管各類系統(tǒng)實現(xiàn)的功能各不相同,但無論是部署于大型企業(yè)和

0 引言

隨著信息技術(shù)的高速發(fā)展,各類計算機應(yīng)用系統(tǒng)活躍在各個行業(yè)的不同領(lǐng)域。盡管各類系統(tǒng)實現(xiàn)的功能各不相同,但無論是部署于大型企業(yè)和商業(yè)組織的企業(yè)級應(yīng)用,還是開發(fā)者出于興趣編寫的個人應(yīng)用,數(shù)據(jù)庫系統(tǒng)是所有應(yīng)用系統(tǒng)數(shù)據(jù)存儲和管理的核心,存儲著整個應(yīng)用系統(tǒng)中最重要的數(shù)據(jù)。然而,數(shù)據(jù)庫系統(tǒng)往往面臨許多的安全威脅,不僅外部攻擊者會攻擊應(yīng)用系統(tǒng)所在服務(wù)器,一些擁有特權(quán)的內(nèi)部人員也有可能從內(nèi)部對應(yīng)用系統(tǒng)進行破壞,采用實時審計技術(shù)來對數(shù)據(jù)庫用戶操作進行快速準確的權(quán)限審計,能夠有效防范內(nèi)部管理人員的越權(quán)操作。

目前,在數(shù)據(jù)庫系統(tǒng)領(lǐng)域,現(xiàn)有的成熟商用數(shù)據(jù)庫系統(tǒng)包括Oracle、Microsoft SQL Server、DB2等,它們都有各自的高效安全的審計系統(tǒng),但這類審計方案往往應(yīng)用于國外廠商的數(shù)據(jù)庫管理系統(tǒng)中。而在國內(nèi),在很多高機密級別的應(yīng)用場景中,出于對高安全性要求的考慮,無法直接使用國外廠商提供的技術(shù)解決方案,因此在國產(chǎn)自主研發(fā)的數(shù)據(jù)庫系統(tǒng)中研究并部署數(shù)據(jù)庫審計系統(tǒng)則成為亟待解決的問題。國網(wǎng)數(shù)據(jù)庫管理軟件SG-RDB是基于開源數(shù)據(jù)庫PostgreSQL內(nèi)核系統(tǒng)進行的二次開發(fā)和封裝,SG-RDB具備關(guān)系型數(shù)據(jù)庫的基本功能,通過數(shù)據(jù)庫安全標記和三權(quán)分立實現(xiàn)了強制訪問控制,并開發(fā)定制了一系列異構(gòu)數(shù)據(jù)庫接口和主從讀寫分離等高可用集群功能。但SG-RDB在數(shù)據(jù)庫審計方面依舊存在PostgreSQL本身數(shù)據(jù)庫審計功能不足的問題,基于國產(chǎn)數(shù)據(jù)庫SG-RDB進行安全數(shù)據(jù)審計方案的研究與開發(fā),成為亟待解決的課題。

審計功能主要是為了確認數(shù)據(jù)庫系統(tǒng)中用戶對數(shù)據(jù)庫進行訪問時所遵守的訪問策略的合法性^[1]。如果只是對用戶操作結(jié)果進行審計,往往會有許多不足之處,一方面用戶可能通過多次合法操作來實現(xiàn)不合法的目的,另一方面過于細粒度的審計往往也會帶來效率的降低。目前存在很多種針對數(shù)據(jù)庫的審計方式,如基于推理的審計^[2]、基于網(wǎng)絡(luò)偵聽的審計^[3-4]、面向數(shù)據(jù)操作的審計^[5-9]、基于日志的審計等^[10]。在基于網(wǎng)絡(luò)偵聽的審計方式中,審計系統(tǒng)會捕獲、過濾、分析數(shù)據(jù)庫系統(tǒng)中服務(wù)器和客戶端通信的數(shù)據(jù),根據(jù)分析結(jié)果按照策略分類進行審計操作。這類審計操作對于數(shù)據(jù)包的分析方式有較高要求,同時這類系統(tǒng)不利于推廣,解析和審計策略必須針對不同的數(shù)據(jù)庫進行調(diào)整^[11-12],不易針對用戶的詳細操作進行審計。在面向數(shù)據(jù)操作的審計操作中,審計系統(tǒng)會通過觸發(fā)器在發(fā)生數(shù)據(jù)操作時檢查數(shù)據(jù)操作語句是否擁有操作數(shù)據(jù)的權(quán)限,或某些操作是否處理了特定數(shù)據(jù),這類審計直接基于常規(guī)的數(shù)據(jù)操作^[13],審計粒度較小,但是這類審計操作往往只能針對操作進行審計,如果多個用戶通過共謀或者單用戶通過多次查詢往往會造成數(shù)據(jù)信息的泄露^[14-15]?；谌罩镜膶徲嬛荒茉谑潞笞匪輹r對數(shù)據(jù)庫操作及處理結(jié)果進行審計,審計操作只能在事后對系統(tǒng)中的非法操作進行跟蹤定位,難以滿足高效準確的實時審計需求。

比較以上兩類審計操作可以發(fā)現(xiàn),傳統(tǒng)的數(shù)據(jù)庫審計系統(tǒng)雖然能夠較好地實現(xiàn)數(shù)據(jù)庫審計功能,但在安全性方面的犧牲較大,一方面為了實現(xiàn)較為高效的審計操作,某些審計系統(tǒng)不得不犧牲針對系統(tǒng)用戶的身份審計等能夠提高安全保障的審計操作;另一方面,為了實現(xiàn)細粒度的審計操作,審計系統(tǒng)在性能上不得不犧牲較多資源來針對數(shù)據(jù)操作觸發(fā)審計操作。為了解決以上兩方面問題,本文提出了一種基于訪問標記的方法,可實現(xiàn)權(quán)限控制和系統(tǒng)開銷的平衡,提供高效和安全的細粒度權(quán)限實時審計功能。

1 系統(tǒng)及安全模型

1.1 系統(tǒng)模型

本文提出了一種基于訪問標記的安全數(shù)據(jù)庫審計方法,設(shè)計了一種數(shù)據(jù)庫實時審計模型,該模型設(shè)置了2種訪問標記方法以及對應(yīng)的權(quán)限審計流程?；谠L問標記的安全數(shù)據(jù)庫審計方法原理如圖1所示。

圖1 基于訪問標記的安全數(shù)據(jù)庫審計模型Fig.1 Security database auditing model based on access attribute

為簡化說明,以圖1中的用戶和角色為例對整個系統(tǒng)進行說明。為提高數(shù)據(jù)庫審計的安全性,將系統(tǒng)模型集成到數(shù)據(jù)庫系統(tǒng)中,由實時審計模型首先進行權(quán)限審計,審計通過后進行數(shù)據(jù)操作審計,最后響應(yīng)用戶的實際數(shù)據(jù)操作請求。在實時審計模型中,按照數(shù)據(jù)的安全級別,可以分別設(shè)置基于角色的權(quán)限標記和基于訪問憑證的權(quán)限標記,為保證較小的系統(tǒng)開銷,對普通數(shù)據(jù)基于角色設(shè)置粗粒度權(quán)限標記,對高安全級別數(shù)據(jù)基于訪問憑證設(shè)置細粒度權(quán)限標記。根據(jù)數(shù)據(jù)庫的業(yè)務(wù)操作需求,將系統(tǒng)角色分為用戶管理角色、業(yè)務(wù)管理角色和高級管理角色,同時對應(yīng)數(shù)據(jù)庫中的用戶表、業(yè)務(wù)表和受保護表分別為各角色進行授權(quán)。其中對于高安全級別的數(shù)據(jù),如圖1中的受保護表,需要屬于高級管理員角色的用戶3向訪問憑證接口發(fā)送具體的權(quán)限申請,若用戶的權(quán)限申請在應(yīng)用簽名的授權(quán)范圍內(nèi),則根據(jù)應(yīng)用簽名、用戶申請的權(quán)限、時間戳和隨機數(shù)共同生成唯一的、具有時限性的訪問憑證字符串,系統(tǒng)臨時存儲該字符串以及對應(yīng)的操作權(quán)限,并采用用戶提供的密鑰進行AES加密后返回給用戶。用戶3對受保護表的所有訪問操作都需要帶上該字符串,并在指定時間范圍內(nèi)進行訪問憑證的更新。上述示例并不局限于3個角色的情況,實際模型可根據(jù)需求進行角色的設(shè)定和權(quán)限的劃分。

此后用戶發(fā)送數(shù)據(jù)操作請求時,都將經(jīng)過權(quán)限審計環(huán)節(jié),根據(jù)用戶所屬角色的操作授權(quán)與用戶實際操作請求進行權(quán)限審計,若用戶擁有高安全級別數(shù)據(jù)的操作授權(quán),則審計系統(tǒng)通過用戶提交的訪問憑證獲得用戶的操作授權(quán),將用戶實際的操作請求與訪問憑證的授權(quán)進行比較,從而完成權(quán)限審計。

系統(tǒng)模型中的應(yīng)用簽名和用戶密鑰由系統(tǒng)與用戶共同維護,用戶可以擁有多個應(yīng)用簽名,并為每個簽名申請所需權(quán)限,由審計管理員進行審批和授權(quán),應(yīng)用簽名的權(quán)限矩陣通過線性數(shù)組進行存儲。

1.2 主要問題

在本文審計方法設(shè)計中,需要考慮以下幾個問題,這些問題是目前數(shù)據(jù)庫審計方案必須權(quán)衡的。

1）用戶權(quán)限過大。基于角色的權(quán)限標記方法會綜合考慮所有用戶的應(yīng)用需求,同時用戶與角色存在多對一的關(guān)聯(lián)關(guān)系,因此可能造成用戶獲得過多非必要的操作權(quán)限。在本文的審計模型中,由于隔離了高安全級別的數(shù)據(jù),同時結(jié)合審計日志的操作記錄,因此普通授權(quán)的用戶不會造成系統(tǒng)損失。

2）系統(tǒng)開銷?；谠L問憑證的權(quán)限標記方法由于進行了細粒度的權(quán)限設(shè)置,因此可能存在較大的系統(tǒng)開銷。在本文的審計模型中,對高安全級別的數(shù)據(jù)進行了程度較高的細粒度權(quán)限劃分,用戶只能獲得非常少的操作權(quán)限,并通過訪問憑證申請接口提前進行權(quán)限檢測,并存儲用戶獲得的操作授權(quán),在實際的權(quán)限審計過程中,只需根據(jù)訪問憑證即可獲得用戶的操作授權(quán),直接與用戶實際操作進行檢驗即可完成權(quán)限審計,大大降低了權(quán)限審計帶來的系統(tǒng)開銷。

3）內(nèi)部操作審計。審計系統(tǒng)管理員通過系統(tǒng)內(nèi)部通道獲得數(shù)據(jù)的操作權(quán)限,并且操作不受監(jiān)控。在本文的審計模型中,只存在一個超級管理員賬戶,審計管理員也要獲得用戶角色的授權(quán)才能進行相關(guān)操作,因此內(nèi)部管理員的操作也在審計范圍內(nèi)。

2 基于訪問標記的安全數(shù)據(jù)庫審計

2.1 整體描述

基于訪問標記的安全數(shù)據(jù)庫審計方法原理描述中涉及的變量定義見表1所列。

表1 基于訪問標記的安全數(shù)據(jù)庫審計變量定義Tab.1 Definitions of system variables based on access attribute

針對上文討論的內(nèi)容,本文提出了基于訪問標記的安全數(shù)據(jù)庫審計方法,基于訪問標記的安全數(shù)據(jù)庫審計方法原理如圖2所示。

在初始化階段,用戶與數(shù)據(jù)庫建立連接,系統(tǒng)為每個用戶建立Session會話,并通過用戶的角色標記,提取用戶的授權(quán)矩陣,授權(quán)矩陣包括可操作類型矩陣T_OP與可操作數(shù)據(jù)范圍R_FIELD,并對兩矩陣列向量進行拼接,未對齊的部分用0填充,形成授權(quán)矩陣T_SM。對于普通角色的用戶進行權(quán)限審計時,只需將用戶的實際操作請求解析為同維的權(quán)限矩陣T_UM,并將兩矩陣進行向量運算即可完成普通角色的權(quán)限審計。對于高級管理角色,首先需要進行訪問憑證申請,用戶提交權(quán)限申請矩陣,由訪問憑證接口進行校驗,若所申請權(quán)限在應(yīng)用簽名的授權(quán)范圍內(nèi),則將T_UM通過Arnode坐標變換進行加密處理,將加密后的矩陣整理為線性字符串,并進行拼接處理s_act=strcat(s_App1,s_ac,s_timestamp,s_rand),經(jīng)過ACT=AES_encrypt(s_act,u_key)加密后返回給用戶。權(quán)限審計方法同角色標記的審計。