分布式數(shù)據(jù)庫系統(tǒng)中用戶身份認證及訪問控制研究.pdf

1、本文在研究影響分布式數(shù)據(jù)庫的幾種不安全因素的基礎上，針對分布式數(shù)據(jù)庫安全策略可能存在的缺陷，利用基于x.509證書的雙向認證機制來取代傳統(tǒng)的口令方式以防止口令的脆弱性；并通過信任評價機制以防止分布式數(shù)據(jù)庫站點間的“盲目”信任；還引入了基于信任的訪問控制機制以防止未授權用戶對數(shù)據(jù)庫的訪問。通過這些機制，減少了數(shù)據(jù)庫的不安全因素，從而達到了改善分布式數(shù)據(jù)庫安全的目的。 本文在假設各站點存儲信息安全的前提下，著重討論了身份驗證，保密通

2、信及訪問控制等技術在分布式數(shù)據(jù)安全中的應用。首先，通過分析和借鑒當前的數(shù)據(jù)庫安全理論，結合當前的分布式身份認證技術，對X.509雙向認證模型進行了擴展，弱化了網(wǎng)絡可靠性假設，提出了基于重發(fā)機制的、動態(tài)更新現(xiàn)時值的雙向認證協(xié)議，并通過基于日志的兩階段提交機制來保證認證雙方現(xiàn)時值的一致性；然后，在雙向認證的基礎上引入了雙通道(控制通道和數(shù)據(jù)通道)的概念，先通過控制通道進行身份認證，交換AES會話密鑰，然后用AES密鑰加密數(shù)據(jù)在數(shù)據(jù)通道中傳輸

3、，從而保證了數(shù)據(jù)傳輸?shù)陌踩?；最后，將信任機制引入到分布式數(shù)據(jù)庫系統(tǒng)中，利用基于推薦的信任模型[3]對各分布式站點的全局信任度作出了評價，并在信任評價的基礎上，引入了文獻[22]中元權限的概念，通過將信任度量化為元權限中的權限量，對基于角色的訪問控制模型作出了面向B/S結構的擴展及實現(xiàn)，在RBAC96模型的基礎上，對安全對象進行了細分，引入了模塊實體、方法實體及相應的角色傳遞關系，并將權限分割成普通元權限和特殊元權限，提出了BSAC模型