Application-level access control is a top priority when hardening software applications. In particular, run-time customization of access control policies and separation for concerns are becoming increasingly important. While these requirements are generally well-supported for request-response applications, there is a lack of support for data-focused operations, such as search or data aggregation, in a multi-tier architecture. Moreover, an ability to specify fine-grained access control policies is generally lacking for such applications. This puts at risk the security of organizations that employ existing and emerging database technologies and requires solutions that alleviate this issue. This paper approaches this issue through query rewriting. We present Sequoia, a data access middleware that enables attribute-based, application-level access control in data-driven applications. The middleware enforces external access control policies on data-focused operations such as search and aggregation queries by means of query rewriting based on dynamic run-time conditions. Sequoia provides run-time enforcement of policies that is scalable with regard to the database size. This paper presents an extensible architecture for both relational databases and document stores. It discusses the rewriting approach, and provides a formal verification of equivalencyand an extensive evaluation that shows that this approach scales better than the current state of practice and is an important track for future research.

中文翻译：

---

SEQUOIA：一种支持基于策略的访问控制的中间件，用于数据驱动应用程序中的搜索和聚合

在强化软件应用程序时，应用程序级访问控制是重中之重。特别是，访问控制策略的运行时定制和关注点分离变得越来越重要。虽然请求-响应应用程序通常可以很好地支持这些要求，但在多层体系结构中缺乏对以数据为中心的操作（例如搜索或数据聚合）的支持。此外，此类应用程序通常缺乏指定细粒度访问控制策略的能力。这使采用现有和新兴数据库技术的组织的安全面临风险，需要解决方案来缓解这个问题。本文通过查询重写来解决这个问题。我们展示了 Sequoia，这是一种数据访问中间件，它支持基于属性的、数据驱动应用程序中的应用程序级访问控制。中间件通过基于动态运行时条件的查询重写，对以数据为中心的操作（例如搜索和聚合查询）实施外部访问控制策略。Sequoia 提供在数据库大小方面可扩展的策略的运行时实施。本文介绍了一种适用于关系数据库和文档存储的可扩展架构。它讨论了重写方法，并提供了等效性的形式验证和广泛的评估，表明该方法比当前的实践状态更好，并且是未来研究的重要途径。中间件通过基于动态运行时条件的查询重写，对以数据为中心的操作（例如搜索和聚合查询）实施外部访问控制策略。Sequoia 提供在数据库大小方面可扩展的策略的运行时实施。本文介绍了一种适用于关系数据库和文档存储的可扩展架构。它讨论了重写方法，并提供了等效性的形式验证和广泛的评估，表明该方法比当前的实践状态更好，并且是未来研究的重要途径。中间件通过基于动态运行时条件的查询重写，对以数据为中心的操作（例如搜索和聚合查询）实施外部访问控制策略。Sequoia 提供在数据库大小方面可扩展的策略的运行时实施。本文介绍了一种适用于关系数据库和文档存储的可扩展架构。它讨论了重写方法，并提供了等效性的形式验证和广泛的评估，表明该方法比当前的实践状态更好，并且是未来研究的重要途径。本文介绍了一种适用于关系数据库和文档存储的可扩展架构。它讨论了重写方法，并提供了等效性的形式验证和广泛的评估，表明该方法比当前的实践状态更好，并且是未来研究的重要途径。本文介绍了一种适用于关系数据库和文档存储的可扩展架构。它讨论了重写方法，并提供了等效性的形式验证和广泛的评估，表明该方法比当前的实践状态更好，并且是未来研究的重要途径。