A review of technologies supporting dynamic fine-Ggained data access control in relational databases

Abstract

Die Menge an sensiblen Daten, die in Enterprise-Applikationen verarbeitet werden, wächst kontinuierlich. Gleichzeitig kann ebenso beobachtet werden, dass die Anzahl der Anwender dieser Applikationen steigt. Aus diesem Grund ist es notwendig, Mechanismen zu entwickeln, die die effiziente Verwaltung von Zugriffskontrolle auf sensible Daten ermöglicht. Feingranulare Datenzugriffskontrolle und Attributbasierte Zugriffskontrolle sind junge Konzepte die die Umsetzung dieser Anforderung unterstützen. Noch komplexer wird es, wenn sowohl die Struktur der Datenbank als auch die Zugriffsregeln zur Entwicklungszeit einer Applikation noch nicht bekannt sind. Es wird ein Prototyp eines Systems vorgestellt, welcher Dynamische Feingranulare Datenzugriffskontrolle im Forschungsfeld des Sustainable Non-Bureaucratic Government ermöglicht. Zu diesem Zweck wird Virtual Private Database eine Funktionalität der Oracle-Datenbank, herangezogen, um erfolgreich einen Prototyp einer Applikation mit dynamischen Zugriffsregeln zu entwerfen. Die Applikation unterstützt ihre eigene Modifizierung zur Laufzeit durch demokratische, gemeinschaftliche Entscheidungsfindung ihrer Anwender. Der replizierende Vergleich mit einem bestehenden Prototyp zeigt, dass mit Hilfe von Virtual Private Database eine Implementierung eines Systems mit Dynamischer Feingranularer Datenzugrifsskontrolle möglich ist. Im Gegensatz dazu wird gezeigt, dass es nicht möglich ist, standardisierte Definition von Zugriffsregeln mittels der eXtensible Access Control Markup Language im selben Prototyp zu erreichen.

The amount of sensitive data processed by enterprise applications is constantly increasing. Simultaneously, a growing number of users of these applications can be observed. Thus it is necessary to provide means for efficiently managing access control to sensitive data. Fine-Grained Data Access Control and Attribute Based Access Control are new concepts assisting with fulfilling this requirement. The complexity of access control reaches an even higher level, if database structure and authorization rules are not known at application design time. A proposed prototype system in the field of Sustainable Non-Bureaucratic Government aids as a decision criterion for which technologies can be used to implement Dynamic Fine-Grained Data Access Control. Virtual Private Database is a feature provided by Oracle Database that is successfully utilized in the prototype system to build a dynamic access control aware application. The application supports its own alteration during runtime by means of democratic collaborative decision making of the users. In a comparison with an existing prototype system it is shown that it is possible to replicate the feature set of Dynmic Fine-Grained Data Access Control using Virtual Private Database. In contrast, it is found that it is not possible to integrate standardized access policy definition with the prototype using the eXtensible Access Control Markup Language.