英语原文共 14 页,剩余内容已隐藏,支付完成后下载完整资料
在关系数据库管理系统中基于目的的访问控制的有效实施行为感知
摘要:针对数据库管理系统(DBMS)提出的各种访问控制模型,其中一个关键角色是基于目标的访问控制模型,该模型在实施访问控制的同时也实现了基本的隐私保护。 我们相信DBMS可以从整合支持高度定制和高效访问控制的基于增强型目的的模型中受益匪浅。 因此,在本文中,我们提出了一种基于目的的模型,该模型支持动作感知策略规范和相关高效实施框架,以便集成到关系DBMS中。 我们进行的实验评估显示了该框架的可行性和效率。
关键词:基于目的的访问控制,执行,行动意识,关系数据库管理系统
- 介绍
随着移动计算和数字网络相关领域的近期创新的出现,存储和处理的个人数据和敏感数据量迅速增长。 在这种情况下,数据库管理系统(DBMS)扮演着关键角色,数据库管理系统存储数据并提供访问和分析数据的工具。 尽管通过访问访问控制进行数据保护正在成为数据库管理系统的关键要求,但目前大多数商用数据库管理系统本身都集成了非常基本的访问控制形式。
在文献中已经提出了几种访问控制模型,例如酌情的,强制的,基于角色的和基于目的的模型,这些模型以从表格级别到单元格级别的粒度进行操作。在这些模型中,基于目的的模型涵盖了关键角色,因为它有助于缩小安全性和面向隐私的数据保护机制之间的差距。事实上,从隐私导向的角度来看,目的代表了隐私政策的本质,而从安全角度来看,则是访问控制的一个新的互补维度。事实上,可能受到Agrawal等人开创性工作的启发。 [2],近年来已经提出了几种基于目的的访问控制模型(例如[3],[4],[5],[6],[7])(参见第7节的详细讨论)。其中一些建议增强了核心基于目的的模型,并增加了一些功能以提高控制的效率。例如,在[3]和[5]中,基于目的的访问控制与基于角色的机制相结合。我们认为支持更具表达性的策略可能会潜在地导致定义高度定制的访问控制形式,而关系型数据库管理系统可以大大受益于模型与这些功能的集成。但是,为了实现整合,需要有效的执法技术。
基于这些考虑,在本文中,我们为关系数据库管理系统提出了一个动作感知的基于目的的访问控制模型,即基于目的的模型,该模型在以下基础上实施细粒度的访问控制:1)访问的目的, 2)SQL查询对被访问数据执行的操作,以及3)访问数据的类别。例如,给定一个表Employees(name,
role, salary),让我们考虑查询qa:select name, salary from Employees 和 qb: select count(name), avg(salary) from Employees。这两个查询披露了与存储的数据有关的不同信息。实际上,Employees中元组的字段name 和salary的实际内容仅由qa的结果集显示。因此,qa表现出比qb更高的威胁程度。因此,应该定义适当的策略,以基于在数据上执行的操作(例如,组合,聚集,过滤)来调节查询的执行。而且,存储在不同表格列中的数据可以属于由不同灵敏度级别表征的数据类别。例如,再次考虑表Employees,列name标识一个员工,role提供与公司中员工职能相关的公共信息,而salary是与员工合同有关的私人信息。查询的威胁级别取决于所访问数据的类别。例如,让我们考虑一下再次查询qa和另一个查询qc: select name, role from Employees。由于qa将私人信息与个人联系起来(即salary和name),因此它比将公共信息与个人信息联系起来的qc更具威胁性(即role和name)。因此,我们认为政策应该根据数据类别来规范访问。但是,我们并不知道具有上述所有功能的DBMS的访问控制模型。 例如,Byun和Li [3]提出的模型可以被认为是关系型数据库管理系统的参考基于目标的模型,它基于目标合规性来规范访问。 如果所访问数据的收集目的与查询访问数据的目的相一致,则授予访问权限。 除了支持用[3]表达的基于目的的策略之外,本文提出的模型支持动作感知策略,允许更高级别的访问控制定制。
所提出的访问控制模型已经通过一个框架实现,该框架允许将策略规范和执行功能集成到关系DBMS中。 该框架被定义为最小化策略规范的内存消耗和时间执行开销。 实验评估显示了所提出的解决方案的效率。
本文的其余部分安排如下。 第2部分概述了该框架。 第3部分介绍整个论文中使用的运行示例。 第4部分介绍表征我们的访问控制模型的概念元素。 第5部分讨论框架的选定方面,而第6部分介绍实验结果。 第7部分调查相关工作。 第8部分结束了论文。 最后,本文件包含两个附录,可在计算机协会数字图书馆http://doi.ieeecomputersociety.org/10.1109/ TKDE.2015.2411595找到:附录A提供在线补充材料,其中提供了有关 强制执行机制,而附录B在线补充材料中提供了正式的正确性证明。
- 概览
本文提出的实现基于动作感知的基于目的的访问控制模型的框架包含了几个模块,如图1所示。本文主要关注访问控制管理模块,策略管理模块和执法监视器。
访问控制管理模块用于:1)定义涉及策略规范和执行的一组目的; 2)指定基于目的的授权; 3)将存储在目标数据库中的数据分类为用于访问控制目的的数据类别。这些活动允许安全管理员为目标DBMS配置访问控制。 所有指定的与安全有关的元数据都存储在受保护数据库的表中。
策略管理模块用于细粒度的访问控制策略管理。 它可用于为用户/管理员提供策略规范请求(例如,添加策略),以及由于修改目标集合或数据库表格方案而自动处理指定策略的更新。
最后,强制监视器通过SQL查询重写来执行访问控制,将重写的查询发布到受保护的DBMS。
第4节和第5节介绍了涉及这些模块的定义、实施的规范和执行机制的概念要素的细节。
- 运行示例
为了简化所需概念的介绍,在本节中,我们将介绍一个将在本文其余部分中使用的运行示例。 我们考虑一个关系数据库存储在疗养院住院的患者信息的情景。 患者佩戴“智能手表”嵌入传感器,感应位置,动作,温度和心脏跳动。 手表将观察到的数据发送给管理患者数据库(DB)的DBMS,DBMS负责处理感知数据以及与患者有关的联系信息和营养信息。
patients 中包含表 users(user_id, watch_id, nutritional_profile_id), sensed_data(watch_id, timestamp, temperature, position, beats) 和表 nutritional_profile(profile_id,
food_intolerances, food_preferences, diet_type)。
sensed_data存储智能手表发布的所有数据以及这些数据已被感知的时间,nutritional_profile存储与患者营养有关的信息。 最后,表user记录登记的患者。
4 领域模型
本文中考虑的应用程序域具有以下基本要素:
- 数据,这些数据存储在关系数据库管理系统中并分类为数据类别。
- 查询,访问和处理数据。
- 具有行动意识的基于目的的数据策略(为简洁起见,在本文其余部分称为策略)管理查询的执行。
在本节的其余部分中,在介绍了所考虑的数据类别之后,我们将策略和查询签名的概念正式化,即指定查询访问的表和列的模型,查询访问的操作类型和目的数据。
4.1 数据类别
数据类别是由隐私法规提到的,例如欧洲数据保护指令1,它涉及敏感,个人和可识别的数据,以及隐私保护数据发布工作。 为了这项工作的目的,我们考虑类别标识符,准标识符,敏感和通用。 标识符数据是允许直接标识数据主体的个人数据.2如果联合访问集合中的所有元素以及外部数据可以允许标识这些数据的个体,则称这组数据为准标识符 数据参考[8]。 当收集与个人相关的信息时,数据被称为敏感信息,揭示他/她的私人生活的敏感方面。 本课程包括医疗,教育,财务,宗教信仰,政治偏好和就业信息等数据.2最后,通用类别将不属于任何其他类别的数据分组。类别是否保留英文。
安全管理员负责数据分类(参见第2节)。 图2显示了我们运行实例的数据分类结果
就我们所知,所提出的类别是隐私条例所提及的唯一类别。 我们相信它们足以允许在各种应用领域进行策略定制。 但是,建议的列表不一定完整,管理员可以添加其他类别,并在第5部分介绍的机制中添加小扩展。如果对于给定的应用场景无用,则可以跳过数据分类。 在这种情况下,框架将目标数据库的所有数据隐式分类为通用数据。
4.2 策略
策略指定了可以处理数据的目的,可以对数据执行的操作类型,以及可以与分配了策略的数据共同访问的数据类别。 策略是细化的,因为它们可以引用每个元组中包含的单个数据项
由于策略是复杂的因素,我们首先介绍它们的基本构成要素。
让我们开始考虑动作类型的概念。不同形式的访问由SQL查询执行,应由政策规定。我们根据四个不同的维度来描述这些访问。
第一个方面涉及访问的间接性。 授予间接访问权限,查询可以访问仅为过滤,分组和排序构成查询结果集的数据而指定策略的数据。 相反,如果授予直接访问权限,则允许查询访问策略所应用的数据,并使用它们来派生构成查询结果集的那些数据的值。 直观地说,规范直接进入的政策应该比限制间接进入更为严格。
示例1.假设护理室的患者Bob指定允许间接访问属性nptp的diet_type(指营养信息的营养配置元组)的策略。 像q1这样的查询:从nutrition_profile中选择food_intolerances,其中diet_type就像#39;素食主义者#39;,符合政策。 相比之下,执行直接访问的查询(例如来自nutrition_profile的q2:select *)无权访问nptp的diet_type字段。
第二个方面涉及为获得结果集而访问的数据源的多样性。 这个维度允许改进授予直接访问权限的策略。 多重性指定访问策略附加到的字段的查询是否可以显示此字段的内容,或者必须将此值与存储到其他表列中的数据的值组合。 在前一种情况下,由于从单个数据字段中提取了由查询导出的对应值,所以将多重性设置为单一。 在后一种情况下,它被设置为多个,因为派生值已经被定义为组合属于多个数据字段的数据。
示例2.假设Bob为他的sensed_data元组指定策略,只有当它与其他数据源组合时,即当查询执行从多个源直接访问时,才允许直接访问字段温度。 此策略允许查询,如选择温度平均(温度),来自用户的时间戳加入users.watch_id = sensed_data.watch_id,其中user_id像#39;Bob#39;访问温度,因为该查询导出了来自给定平均温度的变化观察时间。
第三个维度涉及聚合。 这个维度在直接访问单个或多个源的情况下进一步专门化策略,指定查询是否可以显示受限数据字段的内容,或者是否必须通过聚合将它们与其他元组的同名字段组合。 当此维度设置为聚合时,只有访问查询将F的值与其他元组的F字段的值聚合时,才允许访问元组t的引用字段F. 如果组件设置为不聚合,则访问查询可以显示相应字段的值。
示例3.假设Bob为他所有的sensed_data元组指定了一个策略,允许直接访问和聚合到列温度。 此策略允许执行如下查询:从sensed_data中选择avg(温度)将用户加入您的s.watch_id = u.watch_id,其中u.user_id像#39;Bob#39;。 事实上,这个查询聚集了多个元组的字段温度值。
第四个(也是最后一个)维度允许指定标识符,准标识符,敏感和通用中的哪个数据类别,受约束的数据字段可以共同访问。
例如,如果数据所有者允许共同访问通用和敏感数据(基于表2),那么属性时间戳和温度可以通过相同的查询来访问。共同访问属于不同类别的数据可以揭示与个人相关的私密/敏感信息。例如,联合访问标识符和敏感数据就是这种情况。应相应地确定策略的选择性。
上述四个维度的分组有助于定义一个动作类型。
定义1(动作类型)。 一个动作类型Ac是一个元组lt;Ia,Ms,Ag,Jagt;,其中Ia:{d,i}指定访问的间接方向(d=direct,i=indirect),Ms:{s,m}表示多重性数据来源(s=single,m= multiple),Ag:{a,n}表示数据聚合标准(a = aggregation,n =no aggregation),还有lt;Ja:hi:{a,n},q: {a,n},s:{a,n},g:{a,n}gt;指定了联合访问约束。[1]
要包含在动作类型中的联合访问约束指定可以与指定了策略的表属性共同访问的数据类别。 因此,规范要求列出允许联合访问的类别以及不允许访问的类别。 更确切地说,让我们假设为表AT的一组属性定义联合访问约束。 如果联合访问约束将i指定为允许的类别(即,Ja.i = a),则AT中的属性可以与已经被分类为标识符的任何其他表属性(也是不同的表)共同访问。
如前所述,策略规定了查询可以访问系统中收集的数据的目的。 为应用场景定义的目的集合构成了场景的目的集合,称为Ps。 我们运行示例的目标集包括:治疗(p1),支付(p2),医疗保健运营(p3),执法(p4),报告(p5),研究(p6),市场营销(p7)和销售(p8))。
上述组件的组成指定了一个策略规则。 规则指定了可以在表的给定列上执行特定类型的操作的目的。 然后通过分组不同的规则来定义策略。
定义2(数据策略)。 策略PP是元组hRs,Tb,tpi
全文共7034字,剩余内容已隐藏,支付完成后下载完整资料
资料编号:[11798],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
