第六章多级数据库安全管理系统

1第六章多级安全数据库管理系统2本章概要6.1安全数据库标准6.2多级安全数据库关键问题6.3多级安全数据库设计准则6.4多级关系数据模型6.5多实例6.6隐蔽通道分析36.1安全数据库标准6.1.1可信计算机系统评测标准为降低进而消除对系统的安全攻击，各国引用或制定了一系列安全标准TCSEC(桔皮书)TDI(紫皮书)41985年美国国防部（DoD）正式颁布《DoD可信计算机系统评估标准》简称TCSEC或DoD85，TCSEC又称桔皮书TCSEC标准的目的提供一种标准，使用户可以对其计算机系统内敏感信息安全操作的可信程度做评估。给计算机行业的制造商提供一种可循的指导规则，使其产品能够更好地满足敏感应用的安全需求。5TCB可信计算基：是TrustedComputingBase的简称，指的是计算机内保护装置的总体，包括硬件、固件、软件和负责执行安全策略管理员的组合体。它建立了一个基本的保护环境并提供一个可信计算机系统所要求的附加用户服务。61991年4月美国NCSC（国家计算机安全中心）颁布了《可信计算机系统评估标准关于可信数据库系统的解释》简称TDI，又称紫皮书它将TCSEC扩展到数据库管理系统定义了数据库管理系统的设计与实现中需满足和用以进行安全性级别评估的标准7TDI/TCSEC标准的基本内容TDI与TCSEC一样，从四个方面来描述安全性级别划分的指标安全策略责任保证文档8TCSEC/TDI安全级别划分安全级别定义A1验证设计（VerifiedDesign）B3安全域（SecurityDomains）B2结构化保护（StructuralProtection）B1标记安全保护（LabeledSecurityProtection）C2受控的存取保护（ControlledAccessProtection）C1自主安全保护（DiscretionarySecurityProtection）D最小保护（MinimalProtection）四组七个等级按系统可靠或可信程度逐渐增高各安全级别之间具有一种偏序向下兼容的关系，即较高安全性级别提供的安全保护要包含较低级别的所有保护要求，同时提供更多或更完善的保护能力。9等级说明：D，C1D级（最小保护级）将一切不符合更高标准的系统均归于D组典型例子：DOS是安全标准为D的操作系统DOS在安全性方面几乎没有什么专门的机制来保障无身份认证与访问控制。C1级（自主安全保护级）非常初级的自主安全保护能够实现对用户和数据的分离，进行自主存取控制（DAC），保护或限制用户权限的传播。早期的UNIX系统属于这一类。这类系统适合于多个协作用户在同一个安全级上处理数据的工作环境。10等级说明：C2C2级（受控的存取保护级）C2级达到企业级安全要求。可作为最低军用安全级别提供受控的自主存取保护，将C1级的DAC进一步细化，以个人身份注册负责，并实施审计（审计粒度要能够跟踪每个主体对每个客体的每一次访问。对审计记录应该提供保护，防止非法修改。）和资源隔离，客体重用，记录安全性事件达到C2级的产品在其名称中往往不突出“安全”(Security)这一特色典型例子操作系统：Microsoft的WindowsNT3.5，数字设备公司的OpenVMSVAX6.0和6.1，linux系统的某些执行方法符合C2级别。数据库：Oracle公司的Oracle7，Sybase公司的SQLServer11.0.611等级说明：B1B1级（标签安全保护级）标记安全保护。“安全”(Security)或“可信的”(Trusted)产品。对系统的数据加以标记，对标记的主体和客体实施强制存取控制（MAC）、对安全策略进行非形式化描述，加强了隐通道分析，审计等安全机制典型例子操作系统：数字设备公司的SEVMSVAXVersion6.0，惠普公司的HP-UXBLSrelease9.0.9+数据库：Oracle公司的TrustedOracle7，Sybase公司的SecureSQLServerversion11.0.6。12等级说明：B2B2级（结构化保护级）建立形式化的安全策略模型并对系统内的所有主体和客体实施DAC和MAC，从主体到客体扩大到I/O设备等所有资源。要求开发者对隐蔽信道进行彻底地搜索。TCB划分保护与非保护部分，存放于固定区内。经过认证的B2级以上的安全系统非常稀少典型例子操作系统：只有TrustedInformationSystems公司的TrustedXENIX一种产品数据库：北京人大金仓信息技术股份有限公司的KingbaseESV7产品13等级说明：B3，A1B3级（安全区域保护级）该级的TCB必须满足访问监控器的要求，安全内核，审计跟踪能力更强，并提供系统恢复过程。即使计算机崩溃,也不会泄露系统信息。A1级（验证设计级）验证设计，即提供B3级保护的同时给出系统的形式化设计说明和验证以确信各安全保护真正实现。这个级别要求严格的数学证明。14说明B2以上的系统还处于理论研究阶段应用多限于一些特殊的部门如军队等美国正在大力发展安全产品，试图将目前仅限于少数领域应用的B2安全级别下放到商业应用中来，并逐步成为新的商业标准。156.2多级安全数据库关键问题多级安全数据库关键问题包括：多级安全数据库体系结构多级安全数据模型多实例元数据管理并发事务处理推理分析和隐蔽通道分析166.3多级安全数据库设计准则多级安全数据库设计准则如下：提供多级密级粒度确保一致性和完整性实施推理控制防止敏感聚合进行隐蔽通道分析支持多实例执行并发控制176.4多级关系数据模型6.4.1安全的特征传统关系模型两个重要的完整性：实体完整性、引用完整性（参照完整性）。多级关系数据模型三要素：多级关系、多级关系完整性约束及多级关系操作。多级安全模型需作的改进：多级安全模型：在传统关系模型基础上各种逻辑数据对象强制赋予安全属性标签。修改传统关系模型中关系的完整性及关系上的操作。18安全标签粒度：是标识安全等级的最小逻辑对象单位。安全标签粒度级别：关系级、元组级及属性级。安全粒度控制按照不同的安全需求和实体类型，决定安全控制的程度。例如，对数据的存取，可以是关系级、元组级及属性级。粒度越细，控制越灵活，但所对应的操作越困难和复杂。19一、多级关系传统的关系模式：R(A1,A2,……,An)多级关系模式：R(A1,C1,A2,C2,……,An,Cn,TC)元组的安全级别:TC元组表示：t(a1,c1,a2,c2,……,an,cn,tc)元组t的安全标签：t[tc].属性ai的安全标签：t[ci].[例]Weapon多级关系表示。6.4.2多级关系20wnameC1RangeC2QuantityC3TCGun1U1U5000UUGun2U2U1000SSMissile1S100S300TSTSMissile2TS150TS50TSTS表1原始Weapon多级关系wnameC1RangeC2QuantityC3TCGun1U1U5000UUGun2U2UnullUU表2WeaponU级实例21wnameC1RangeC2QuantityC3TCGun1U1U5000UUGun2U2U1000SSMissile1S100S300TSTSMissile2TS150TS50TSTS表1原始Weapon多级关系表3原始WeaponS级实例wnameC1RangeC2QuantityC3TCGun1U1U5000UUGun2U2U1000SSMissile1S100SnullSS22wnameC1RangeC2QuantityC3TCGun1U1U5000UUGun2U2U1000SSMissile1S100S300TSTSMissile2TS150TS50TSTS表4WeaponTS级实例23多级关系完整性：实体完整性空值完整性多级外码完整性与参照完整性实例间完整性多实例完整性6.4.3多级关系完整性24一、实体完整性设AK是定义在关系模式R上的外观主码，一个多级关系满足实体完整性，当且仅当对R的所有实例Rc与t∈Rc,有：Ai∈AK=t[Ai]≠null//主码属性不能为空Ai,Aj∈AK=t[Ci]＝t[Cj]//主键各属性安全等级一致，保证在任何级别上主键都是完整的。AiAK=t[Ci]=t[CAK]//非码属性安全等级支配键值，保证关系可见的任何级别上，主键不可能为空。∈25二、空值完整性在多级关系中，空值有两种解释:一种确实为空。另一种是实例的等级低于属性的等级使此属性不可见，从而显示为空。空值完整性使用了归类关系，归类关系如下：如果两元组t和s，如果属性Ai满足下列条件之一，元组t包含元组s。对于两元组t和s,如果任何一个属性t[Ai,Ci]＝s[Ai,Ci];t[Ai]≠null且s[Ai]＝null，则称元组t包含元组s或t归类于s。26一个多级关系R满足空值完整性，当且仅当对R的每个实例Rc均满足下列两个条件：空值的安全级别与主键相同。即对于所有的t∈Rc,t[Ai]＝null=t[ci]＝t[CAK]//空值对所有级别用户可见Rc不含有两个有包含关系的不同元组。//不出现因为空值而导致的冗余元组27[例1]多级关系违反了空值完整性wnameC1RangeC2QuantityC3TCGun2U2UnullUUGun2U2U3000SS多级关系违反了空值完整性28三、多级外码完整性与参照完整性多级外码完整性：假设FK是参照关系R的外码，多级关系R的一个实例Rc满足外码完整性，当且仅当对所有的t∈Rc满足：或者（所有Ai∈FK）t[Ai]=null，或者（所有Ai∈FK）t[Ai]≠null//外码属性全空或全非空Ai,Aj∈FK=t[Ci]＝t[Cj]。//外码的每个属性具有相同的安全级别29多级参照完整性：假设参照关系R1具有外观主码AK1，外码FK1，被参照关系R2具有外观主码AK2，多级关系R1的一个实例r1和多级关系R2的一个实例r2满足参照完整性，当且仅当所有t11∈r1,t11[FK1]≠null,Et21∈r2,t11[FK1]=t21[AK2]Λt11[TC]=t21[TC]Λt11[CFK1]≥t21[CAK2]。外键的访问等级必须支配引用元组中主键的访问等级。30四、实例间完整性多级关系Rc满足实例间完整性，当且仅当对所有c‘≤c，Rc′=σ(Rc，c′)，其中过滤函数σ按以下方法从Rc产生安全等级为c′的实例Rc′：所有t∈Rc,t[CAK]≤c′,t′∈Rc′，满足t′[AK,CAK]=t[AK,CAK].//主码保留所有AiAK有t′[Ai,Ci]=t[Ai,Ci]ift[Ci]≤c′t′[Ai,Ci]=null,t[CAK]otherwiseE∈消除Rc’的归类元组31卫星名C1任务C2目标C3TC探索者U科技探测SA火山US表1.多级关系“卫星”S级实例实例间完整性举例：例1U级用户对表1过滤后得到表2卫星名C1任务C2目标C3TC探索者UNULLUA火山UU表2.多级关系“卫星”过滤后U级实例32卫星名C1任务C2目标C3TC探索者UNULLUA火山UU探索者U科技探测SA火山US表4.多级关系“卫星”S级实例卫星名C1任务C2目标C3TC探索者U科技探测SA火山US表5.多级关系“卫星”过滤后S级实例实例间完整性举例：例2卫星名C1任务C2目标C3TC探索者UNULLUA火山UU表3.多级关系“卫星”U级实例33五、多实例完整性假设多级关系R的外观主码集合为AK，主码等级为CAK。多实例完整性要求由AK、CAK以及第i个属性的等级Ci便可确定第i个属性值Ai。一个多级关系满足多实例完整性，当且仅当Rc中的每个属性Ai,满足AK,CAK,Ci→Ai即Ai函数依赖于AK,CAK,