1.1 身份鉴别功能
1.1.1 用户标识
在GBase 8s中,每个数据库用户都有一个不可重复的唯一性用户标识,并在DBMS的整个生命周期实现该用户标识的唯一性。
1.1.2 用户鉴别
按照基本鉴别、不可伪造鉴别及一次性使用鉴别要求进行用户身份鉴别,用户在使用DBMS时必须首先给出用户标识,通过检验合格后才能进入使用DBMS。用户身份鉴别采用了用户密码及数据证书双重认证的鉴别机制。
数据库用户的密码使用杂凑算法加密处理后存储在GBase 8s的系统表中,从而保证了密码自身的安全性。
1.2 自主访问控制
采用访问控制表访问方式以实现自主访问控制,即采用如下表所示的访问控制表。
访问控制表
客体1 | 客体2 | …… | 客体n | |
主体1 | 操作1.1 | 操作1.2 | …… | 操作1.n |
主体2 | 操作2.1 | 操作2.2 | …… | 操作2.n |
…… | …… | …… | …… | …… |
主体m | 操作m.1 | 操作m.2 | …… | 操作m.n |
其中主体即为用户,客体包括基表、视图、列、存储过程、函数等,操作包括SELECT,INSERT,UPDATE,DELETE,ALTER、INDEX、REFERENCE,EXECUTE等。
根据访问控制表,每个主体拥有一定操作权限,并可将权限授予(或收回)另一个主体,称为授权。
当一个主体访问某个客体时,自主访问控制根据访问控制表检查,以确认主体对客体访问的操作是否在表中允许,若为允许操作,则访问为合法,否则为非法操作,此时访问不能进行。
目前自主访问控制的主体粒度为用户级,客体粒度为字段(属性)级。