Non-invasive method of mandatory access control implementaion on dbms layer in web applications | Applied Discrete Mathematics. Supplement. 2015. № 8.

HomeIssuesNon-invasive method of mandatory access control implementaion on dbms layer in web applications | Applied Discrete Mathematics. Supplement. 2015. № 8.

Non-invasive method of mandatory access control implementaion on dbms layer in web applications

We propose non-invasive method of mandatory access control implementation on DBMS MySQL layer in web applications. This method is based on formal DP-models for DBMS MySQL and proxy-based reference monitor for SQL queries. The main idea of the method is identification of users in account-based web applications and SQL query rewriting. Users' identities are added by applicaion's module (Django middleware) and transmitted in comments of SQL queries to MySQL-proxy. After identification of users has been completed, we simulate DBMS's entities identification and row level security by SQL rewriting.

Download file
Counter downloads: 249

Keywords

DBMS security, web applications, access control, безопасность СУБД, веб-приложения, управление доступом

Authors

NameOrganizationE-mail
Kolegov D. N.Tomsk State Universityd.n.kolegov@gmail.com
Tkachenko N. O.Tomsk State Universityn.o.tkachenko@gmail.com
Всего: 2

References

Ткаченко Н. О. Реализация монитора безопасности СУБД MySQL в DBF/DAM-системах // Прикладная дискретная математика. Приложение. 2014. №7. С. 99-101.
Колегов Д. Н., Ткаченко Н. О., Чернов Д. В. Основные элементы разработки механизма мандатного управления доступом в СУБД MySQL на основе ДП-моделей // Безопасность информационных техологий. 2014. №3. С. 102-107.
Колегов Д. Н., Ткаченко Н. О, Чернов Д. В. Разработка и реализация мандатных механизмов управления доступом в СУБД MySQL // Прикладная дискретная математика. Приложение. 2013. №6. С. 62-67.
Девянин П. Н., Захаренков П. С. Способ реализации информационного потока по времени в операционных системах с мандатным управлением доступом через clipboard // Методы и технические средства обеспечения безопасности информации: материалы Юбилейной 20-й науч.-технич. конф. 27 июня-01 июля 2011г. СПб.: Изд-во Политехн. ун-та, 2011. С. 76-77.
CVE-2012-2122. https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-2122
Oracle Database. Oracle Label Security. http://www.oracle.com/technetwork/database/ options/label-security/index.html
Trusted DBMS Rubix. http://rubix.com/cms
СУБД Линтер. http://linter.ru
Non-invasive method of mandatory access control implementaion on dbms layer in web applications | Applied Discrete Mathematics. Supplement. 2015. № 8.

Non-invasive method of mandatory access control implementaion on dbms layer in web applications | Applied Discrete Mathematics. Supplement. 2015. № 8.

Download full-text version
Counter downloads: 1755