基于属性访问控制

【需求背景】
等保 2.0 在三级安全通用技术要求，应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。针对 openGauss 数据库中的访问控制现状，需要引入基于属性的访问控制技术，实现等保 2.0 的强制访问控制要求。

【需求描述】

实现属性管理特性，提供属性创建、修改、删除等功能，支持数值类型、字符串类型、集合类型等多种属性类型。
支持对主体、客体和环境上下文的属性指派管理。
实现安全规则的制定功能，通过主体、客体、环境属性的支配关系，制定系统的安全访问规则。
多条安全规则的集合，构成数据库系统的安全访问控制策略，通过逻辑运算与的关系，提供对访问控制规则的支持。
在安全策略的安全规则集合中，多条安全规则有可能对同一个资源的访问提供允许和拒绝的多条访问规则，系统提供安全规则的冲突检测机制，并对冲突的安全规则提供冲突解决建议。
提供属性管理、属性指派和制定安全规则和安全策略的 sql 语句。
实现策略解释器功能，将字符串策略描述解析成策略执行器所能识别的数据结构，即编译策略。
实现策略执行器功能，根据用户请求执行对应的策略，策略来源于策略解析器，执行所需的数据来至于属性集，执行完成后将结果返回给权限检查器。
实现权限检查功能，权限检查器在策略执行点将截获的访问控制请求，针对主体、客体的安全属性以及访问权限，调用策略解释器和执行器，获得访问控制的最终决策结果。
实现列级的基于属性的安全访问策略。

【其他说明】

Hey @The__Flash, Welcome to openGauss Community.
All of the projects in openGauss Community are maintained by @opengauss-bot.
That means the developers can comment below every pull request or issue to trigger Bot Commands.
Please follow instructions at Here to find the details.

Hi @The__Flash, please use the command /sig xxx to add a SIG label to this issue.
For example: /sig sqlengine or /sig storageengine or /sig om or /sig ai and so on.
You can find more SIG labels from Here.
If you have no idea about that, please contact with @xiangxinyong , @zhangxubo .

/assign

This issue can not be assigned to haoran-li. Please try to assign to the repository collaborators.

GVP openGauss / openGauss-server

内容风险标识

评论 (4)

GVPopenGauss / openGauss-server

内容风险标识