0 引言

隨著信息技術的高速發展,各類計算機應用系統活躍在各個行業的不同領域。盡管各類系統實現的功能各不相同,但無論是部署于大型企業和商業組織的企業級應用,還是開發者出于興趣編寫的個人應用,數據庫系統是所有應用系統數據存儲和管理的核心,存儲著整個應用系統中最重要的數據。然而,數據庫系統往往面臨許多的安全威脅,不僅外部攻擊者會攻擊應用系統所在服務器,一些擁有特權的內部人員也有可能從內部對應用系統進行破壞,采用實時審計技術來對數據庫用戶操作進行快速準確的權限審計,能夠有效防范內部管理人員的越權操作。

目前,在數據庫系統領域,現有的成熟商用數據庫系統包括Oracle、Microsoft SQL Server、DB2等,它們都有各自的高效安全的審計系統,但這類審計方案往往應用于國外廠商的數據庫管理系統中。而在國內,在很多高機密級別的應用場景中,出于對高安全性要求的考慮,無法直接使用國外廠商提供的技術解決方案,因此在國產自主研發的數據庫系統中研究并部署數據庫審計系統則成為亟待解決的問題。國網數據庫管理軟件SG-RDB是基于開源數據庫PostgreSQL內核系統進行的二次開發和封裝,SG-RDB具備關系型數據庫的基本功能,通過數據庫安全標記和三權分立實現了強制訪問控制,并開發定制了一系列異構數據庫接口和主從讀寫分離等高可用集群功能。但SG-RDB在數據庫審計方面依舊存在PostgreSQL本身數據庫審計功能不足的問題,基于國產數據庫SG-RDB進行安全數據審計方案的研究與開發,成為亟待解決的課題。

審計功能主要是為了確認數據庫系統中用戶對數據庫進行訪問時所遵守的訪問策略的合法性^[1]。如果只是對用戶操作結果進行審計,往往會有許多不足之處,一方面用戶可能通過多次合法操作來實現不合法的目的,另一方面過于細粒度的審計往往也會帶來效率的降低。目前存在很多種針對數據庫的審計方式,如基于推理的審計^[2]、基于網絡偵聽的審計^[3-4]、面向數據操作的審計^[5-9]、基于日志的審計等^[10]。在基于網絡偵聽的審計方式中,審計系統會捕獲、過濾、分析數據庫系統中服務器和客戶端通信的數據,根據分析結果按照策略分類進行審計操作。這類審計操作對于數據包的分析方式有較高要求,同時這類系統不利于推廣,解析和審計策略必須針對不同的數據庫進行調整^[11-12],不易針對用戶的詳細操作進行審計。在面向數據操作的審計操作中,審計系統會通過觸發器在發生數據操作時檢查數據操作語句是否擁有操作數據的權限,或某些操作是否處理了特定數據,這類審計直接基于常規的數據操作^[13],審計粒度較小,但是這類審計操作往往只能針對操作進行審計,如果多個用戶通過共謀或者單用戶通過多次查詢往往會造成數據信息的泄露^[14-15]。基于日志的審計只能在事后追溯時對數據庫操作及處理結果進行審計,審計操作只能在事后對系統中的非法操作進行跟蹤定位,難以滿足高效準確的實時審計需求。

比較以上兩類審計操作可以發現,傳統的數據庫審計系統雖然能夠較好地實現數據庫審計功能,但在安全性方面的犧牲較大,一方面為了實現較為高效的審計操作,某些審計系統不得不犧牲針對系統用戶的身份審計等能夠提高安全保障的審計操作;另一方面,為了實現細粒度的審計操作,審計系統在性能上不得不犧牲較多資源來針對數據操作觸發審計操作。為了解決以上兩方面問題,本文提出了一種基于訪問標記的方法,可實現權限控制和系統開銷的平衡,提供高效和安全的細粒度權限實時審計功能。

 1 系統及安全模型

1.1 系統模型

本文提出了一種基于訪問標記的安全數據庫審計方法,設計了一種數據庫實時審計模型,該模型設置了2種訪問標記方法以及對應的權限審計流程。基于訪問標記的安全數據庫審計方法原理如圖1所示。

圖1 基于訪問標記的安全數據庫審計模型Fig.1 Security database auditing model based on access attribute

為簡化說明,以圖1中的用戶和角色為例對整個系統進行說明。為提高數據庫審計的安全性,將系統模型集成到數據庫系統中,由實時審計模型首先進行權限審計,審計通過后進行數據操作審計,最后響應用戶的實際數據操作請求。在實時審計模型中,按照數據的安全級別,可以分別設置基于角色的權限標記和基于訪問憑證的權限標記,為保證較小的系統開銷,對普通數據基于角色設置粗粒度權限標記,對高安全級別數據基于訪問憑證設置細粒度權限標記。根據數據庫的業務操作需求,將系統角色分為用戶管理角色、業務管理角色和高級管理角色,同時對應數據庫中的用戶表、業務表和受保護表分別為各角色進行授權。其中對于高安全級別的數據,如圖1中的受保護表,需要屬于高級管理員角色的用戶3向訪問憑證接口發送具體的權限申請,若用戶的權限申請在應用簽名的授權范圍內,則根據應用簽名、用戶申請的權限、時間戳和隨機數共同生成唯一的、具有時限性的訪問憑證字符串,系統臨時存儲該字符串以及對應的操作權限,并采用用戶提供的密鑰進行AES加密后返回給用戶。用戶3對受保護表的所有訪問操作都需要帶上該字符串,并在指定時間范圍內進行訪問憑證的更新。上述示例并不局限于3個角色的情況,實際模型可根據需求進行角色的設定和權限的劃分。

此后用戶發送數據操作請求時,都將經過權限審計環節,根據用戶所屬角色的操作授權與用戶實際操作請求進行權限審計,若用戶擁有高安全級別數據的操作授權,則審計系統通過用戶提交的訪問憑證獲得用戶的操作授權,將用戶實際的操作請求與訪問憑證的授權進行比較,從而完成權限審計。

系統模型中的應用簽名和用戶密鑰由系統與用戶共同維護,用戶可以擁有多個應用簽名,并為每個簽名申請所需權限,由審計管理員進行審批和授權,應用簽名的權限矩陣通過線性數組進行存儲。

1.2 主要問題

在本文審計方法設計中,需要考慮以下幾個問題,這些問題是目前數據庫審計方案必須權衡的。

1）用戶權限過大。基于角色的權限標記方法會綜合考慮所有用戶的應用需求,同時用戶與角色存在多對一的關聯關系,因此可能造成用戶獲得過多非必要的操作權限。在本文的審計模型中,由于隔離了高安全級別的數據,同時結合審計日志的操作記錄,因此普通授權的用戶不會造成系統損失。

2）系統開銷。基于訪問憑證的權限標記方法由于進行了細粒度的權限設置,因此可能存在較大的系統開銷。在本文的審計模型中,對高安全級別的數據進行了程度較高的細粒度權限劃分,用戶只能獲得非常少的操作權限,并通過訪問憑證申請接口提前進行權限檢測,并存儲用戶獲得的操作授權,在實際的權限審計過程中,只需根據訪問憑證即可獲得用戶的操作授權,直接與用戶實際操作進行檢驗即可完成權限審計,大大降低了權限審計帶來的系統開銷。

3）內部操作審計。審計系統管理員通過系統內部通道獲得數據的操作權限,并且操作不受監控。在本文的審計模型中,只存在一個超級管理員賬戶,審計管理員也要獲得用戶角色的授權才能進行相關操作,因此內部管理員的操作也在審計范圍內。

 2 基于訪問標記的安全數據庫審計

2.1 整體描述

基于訪問標記的安全數據庫審計方法原理描述中涉及的變量定義見表1所列。

表1 基于訪問標記的安全數據庫審計變量定義Tab.1 Definitions of system variables based on access attribute

針對上文討論的內容,本文提出了基于訪問標記的安全數據庫審計方法,基于訪問標記的安全數據庫審計方法原理如圖2所示。

在初始化階段,用戶與數據庫建立連接,系統為每個用戶建立Session會話,并通過用戶的角色標記,提取用戶的授權矩陣,授權矩陣包括可操作類型矩陣T_OP與可操作數據范圍R_FIELD,并對兩矩陣列向量進行拼接,未對齊的部分用0填充,形成授權矩陣T_SM。對于普通角色的用戶進行權限審計時,只需將用戶的實際操作請求解析為同維的權限矩陣T_UM,并將兩矩陣進行向量運算即可完成普通角色的權限審計。對于高級管理角色,首先需要進行訪問憑證申請,用戶提交權限申請矩陣,由訪問憑證接口進行校驗,若所申請權限在應用簽名的授權范圍內,則將T_UM通過Arnode坐標變換進行加密處理,將加密后的矩陣整理為線性字符串,并進行拼接處理s_act=strcat(s_App1,s_ac,s_timestamp,s_rand),經過ACT=AES_encrypt(s_act,u_key)加密后返回給用戶。權限審計方法同角色標記的審計。

圖2 基于訪問標記的安全數據庫審計方法原理Fig.2 Principle of security database auditing method based on access attribute

2.2 一種基于訪問標記的安全數據庫審計

本節對基于訪問標記的安全數據庫審計方法的原理進行詳細介紹,依據訪問標記的生命周期依次進行原理闡述,具體分為訪問標記的初始化階段、訪問憑證的申請階段、操作請求的解析階段和權限審計階段。

2.2.1 訪問標記初始化階段

1）角色標記初始化。根據用戶實際需求、數據安全級別和系