资源描述
Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第 六 章,多级安全数据库,管理系统,1,第1页,本 章 概 要,6.1,安全数据库标准,6.2,多级安全数据库关键问题,6.3,多级安全数据库设计准则,6.4 多级关系数据模型,6.5 多实例,6.6 隐蔽通道分析,2,第2页,6.1 安全数据库标准,6.1.1 可信计算机系统评测标准,为降低进而消除对系统安全攻击,各国引用或制订了一系列安全标准,TCSEC(桔皮书),TDI(紫皮书),3,第3页,1985年美国国防部(DoD)正式颁布 DoD可信计算机系统评定标准,简称TCSEC或DoD85,TCSEC又称桔皮书,TCSEC标准目标,提供一个标准,使,用户,能够对其计算机系统内敏感信息安全操作可信程度做评定。,给计算机行业,制造商,提供一个可循指导规则,使其产品能够更加好地满足敏感应用安全需求。,4,第4页,TCB可信计算基:,是Trusted Computing Base简称,指是计算机内保护装置总体,包含硬件、固件、软件和负责执行安全策略管理员组合体。它建立了一个基本保护环境并提供一个可信计算机系统所要求附加用户服务。,5,第5页,1991年4月美国NCSC(国家计算机安全中心)颁布了可信计算机系统评定标准关于可信数据库系统解释,简称TDI,又称紫皮书,它将TCSEC扩展到数据库管理系统,定义了数据库管理系统设计与实现中需满足和用以进行安全性级别评定标准,6,第6页,TDI/TCSEC标准基本内容,TDI与TCSEC一样,从,四个方面,来描述安全性级别划分指标,安全策略,责任,确保,文档,7,第7页,TCSEC/TDI安全级别划分,安 全 级 别,定 义,A1,验证设计(Verified Design),B3,安全域(Security Domains),B2,结构化保护(Structural Protection),B1,标识安全保护(Labeled Security Protection),C2,受控存取保护,(Controlled Access Protection),C1,自主安全保护,(Discretionary Security Protection),D,最小保护(Minimal Protection),四组七个等级,按系统可靠或可信程度逐步增高,各安全级别之间含有一个偏序向下兼容关系,即较高安全性级别提供安全保护要包含较低级别全部保护要求,同时提供更多或更完善保护能力。,8,第8页,等级说明:D,C1,D级(最小保护级),将一切不符合更高标准系统均归于D组,经典例子:DOS是安全标准为D操作系统,DOS在安全性方面几乎没有什么专门,机制来保障,无身份认证与访问控制,。,C1级(自主安全保护级),非常初级自主安全保护,能够实现对用户和数据分离,进行自主存取控制(DAC),保护或限制用户权限传输。早期UNIX系统属于这一类。,这类系统适合于多个协作用户在同一个安全级上处理数据工作环境。,9,第9页,等级说明:C2,C2级(,受控存取保护级),C2级到达企业级安全要求。可作为最低军用安全级别,提供受控自主存取保护,将C1级DAC深入细化,以个人身份注册负责,并,实施审计,(,审计粒度要能够跟踪每个主体对每个客体每一次访问。对审计统计应该提供保护,预防非法修改。,),和资,源隔离,客体重用,统计安全性事件,到达C2级产品在其名称中往往不突出“安全”(Security)这一特色,经典例子,操作系统:MicrosoftWindows NT 3.5,数字设备企业Open VMS VAX 6.0和6.1,,l,inux系统一些执行方法符合C2级别。,数据库:Oracle企业Oracle 7,Sybase企业 SQL Server 11.0.6,10,第10页,等级说明:B1,B1级(标签安全保护级),标识安全保护。“安全”(Security)或“可信”(Trusted)产品。,对系统数据加以标识,对标识主体和客体实施强制存取控制(MAC)、对安全策略进行非形式化描述,加强了隐通道分析,审计等安全机制,经典例子,操作系统:数字设备企业SEVMS VAX Version 6.0,惠普企业HP-UX BLS release 9.0.9+,数据库:Oracle企业Trusted Oracle 7,Sybase企业Secure SQL Server version 11.0.6,。,11,第11页,等级说明:B2,B2级(结构化保护级),建立形式化安全策略模型并对系统内全部主体和客体实施DAC和MAC,,从主体到客体,扩大到I/O设备等全部资源。要求开发者对隐蔽信道进行彻底地搜索。TCB划分保护与非保护部分,存放于固定区内。,经过认证B2级以上安全系统非常稀少,经典例子,操作系统:只有Trusted Information Systems企业Trusted XENIX一个产品,数据库:北京人大金仓信息技术股份有限企业,KingbaseES V7产品,12,第12页,等级说明:B3,A1,B3级(安全区域保护级),该级TCB必须满足访问监控器要求,安全内核,审计跟踪能力更强,并提供系统恢复过程。即使计算机瓦解,也不会泄露系统信息。,A1级(验证设计级),验证设计,即提供B3级保护同时给出系统形式化设计说明和验证以确信各安全保护真正实现,。这个级别要求严格数学证实。,13,第13页,说明,B2以上系统,还处于理论研究阶段,应用多限于一些特殊部门如军队等,美国正在大力发展安全产品,试图将当前仅限于少数领域应用B2安全级别下放到商业应用中来,并逐步成为新商业标准。,14,第14页,6.2 多级安全数据库关键问题,多级安全数据库关键问题包含:,多级安全数据库体系结构,多级安全数据模型,多实例,元数据管理,并发事务处理,推理分析和隐蔽通道分析,15,第15页,6.3 多级安全数据库设计准则,多级安全数据库设计准则以下:,提供多级密级粒度,确保一致性和完整性,实施推理控制,预防敏感聚合,进行隐蔽通道分析,支持多实例,执行并发控制,16,第16页,6.4 多级关系数据模型,6.4.1 安全特征,传统关系模型两个主要完整性:,实体完整性、引用完整性(参考完整性)。,多级关系数据模型三要素:,多级关系、多级关系完整性约束及多级关系操作。,多级安全模型需作改进:,多级安全模型:,在传统关系模型基础上各种逻辑数据对象强制赋予安全属性标签。,修改传统关系模型中关系完整性及关系上操作。,17,第17页,安全标签粒度:,是标识安全等级最小逻辑对象单位。,安全标签粒度级别:,关系级、元组级及属性级。,安全粒度控制,按照不一样安全需求和实体类型,决定安全控制程度。,比如,对数据存取,能够是关系级、元组级及属性级。,粒度越细,控制越灵活,但所对应操作越困难和复杂。,18,第18页,一、多级关系,传统关系模式:R(A,1,A,2,A,n,),多级关系模式:,R(A,1,C,1,A,2,C,2,A,n,C,n,TC),元组安全级别:TC,元组表示:t(a,1,c,1,a,2,c,2,a,n,c,n,tc),元组t安全标签:ttc.,属性a,i,安全标签:tc,i,.,例 Weapon多级关系表示。,6.4.2 多级关系,19,第19页,表1 原始Weapon多级关系,表2 Weapon U 级实例,20,第20页,表1 原始Weapon多级关系,表3 原始Weapon S级实例,21,第21页,表4 Weapon TS级实例,22,第22页,多级关系完整性:,实体完整性,空值完整性,多级外码完整性与参考完整性,实例间完整性,多实例完整性,6.4.3,多级关系完整性,23,第23页,一、实体完整性,设AK是定义在关系模式R上外观主码,一个多级关系满足实体完整性,当且仅当对R全部实例Rc与,t,Rc,有:,A,i,AK=tA,i,null/主码属性不能为空,A,i,A,j,AK=tC,i,tC,j,/主键各属性安全等级一致,,确保在任何级别上主键都是完整。,A,i,AK=tC,i,=tC,AK,/非码属性安全等级支配键值,,确保关系可见任何级别上,主键不可能为空。,24,第24页,二、空值完整性,在多级关系中,空值有两种解释:,一个确实为空。,另一个是实例等级低于属性等级使此属性不可见,从而显示为空。,空值完整性使用了归类关系,归类关系以下:,假如两元组t和s,假如属性Ai满足以下条件,之一,,元组t包含元组s。,对于两元组t和s,假如任何一个属性,tA,i,C,i,sA,i,C,i,;,tA,i,null且 sA,i,null,,则称元组t包含元组s,或 t归类于s,。,25,第25页,一,个多级关系R满足空值完整性,当且仅当对R每个实例Rc均满足以下两个条件:,空值安全级别与主键相同。,即对于全部tR,c,tA,i,null=tc,i,tC,AK,/空值对全部级别用户可见,R,c,不含有两个有包含关系不一样元组。,/不出现因为空值而造成冗余元组,26,第26页,例1 多级关系违反了空值完整性,多级关系违反了空值完整性,27,第27页,三、多级外码完整性与参考完整性,多级外码完整性:,假设FK是参考关系R外码,多级关系R一个实例Rc满足外码完整性,当且仅当对全部tRc满足:,或者(全部A,i,FK)tA,i,=null,,或者(全部A,i,FK)tA,i,null,/外码属性全空或全非空,A,i,A,j,FK=tC,i,tC,j,。,/外码每个属性含有相同安全级别,28,第28页,多级参考完整性:,假设,参考关系R,1,含有外观主码AK,1,,,外码FK,1,,,被参考关系R,2,含有外观主码AK,2,,多级关系R,1,一个实例 r,1,和多级关系R,2,一个实例 r,2,满足参考完整性,当且仅当,全部t,11,r,1,t,11,FK,1,null,E,t,21,r,2,t,11,FK,1,=t,21,AK,2,t,11,TC=,t,21,TC,t,11,C,FK1,t,21,C,AK2,。,外键访问等级必须支配引用元组中主键访问等级。,29,第29页,四、实例间完整性,多级关系Rc满足实例间完整性,当且仅当对全部,cc,Rc=,(Rc,c),其中过滤函数,按以下方法从Rc产生安全等级为c实例Rc:,全部 tR,c,tC,AK,c,tRc,,满足tAK,C,AK,=tAK,C,AK,.,/主码保留,全部A,i,AK有,tA,i,C,i,=tA,i,C,i,if tC,i,c,tA,i,C,i,=otherwise,E,消除Rc归类元组,30,第30页,表1.多级关系“卫星”,S,级实例,实例间完整性举例:例1,U级用户对表1过滤后得到表2,表2.多级关系“卫星”,过滤后U,级实例,31,第31页,表4.多级关系“卫星”,S,级实例,表5.多级关系“卫星”,过滤后S,级实例,实例间完整性举例:例2,表3.多级关系“卫星”,U,级实例,32,第32页,五、多实例完整性,假设多级关系R外观主码集合为AK,主码等级为C,AK,。多实例完整性要求由AK、C,AK,以及第i个属性等级C,i,便可确定第i个属性值A,i,。,一个多级关系满足多实例完整性,当且仅当R,c,中每个属性A,i,满足AK,C,AK,C,i,A,i,即A,i,函数依赖于AK,C,AK,C,i,。,同一级别元组之间不存在多实例。,33,第33页,多级关系Weapon(满足多实例完整性),多级关系Weapon(不满足多实例完整性),(元组级别相同主键重复),34,第34页,6.4.4 多级关系操作,一、插入操作,形式:INSERT INTO Rc(A,i,A,j,),VALUES(a,i,a,j,),当插入元组t(新插入),与主键值相同元组,t,时:,1)若tTC tTC,拒绝t插入。,/满足多,实例完整性约束,2)若tTC t,TC,允许或拒绝t插入均可,以。,/多级关系操作尽可能降低额外元组,35,第35页,例1 S级别主体插入操作,1)主码值不一样,正常插入,INSERT INTO,Weapon,VALUES“Cannonl,10,200”,插入后,Weapon多级关系S级插入,36,第36页,2)主码值、级别相同,系统不允许插入。,INSERT INTO,Weapon,VALUES“Cannonl,10,200”/,S级插入,Weapon多级关系S级插入,37,第37页,3)主码值相同,但插入元组级别低,允许插入,,预防隐通道,产生多实例。,INSERT INTO,Weapon,VALUES“,Missile2,250,30”/,S级插入,插入前,Weapon多级关系S级插入,38,第38页,插入后产生多实例,Weapon多级关系S级插入,39,第39页,二、更新操作,形式:UPDATE Rc,SET A,i,S,i,A,j,S,j,WHERE p,p是谓词条件,针对关系间完整性约束,更新操作对不一样等级关系实例影响有以下三点:,对同等级关系实例影响与传统UPDADE语句一样。,对更低等级关系实例无影响。,对更高等级用户,为防止隐蔽通道可能引入多实例。,40,第40页,例1密级为U用户要求对Weapon关系,U级实例作更新操作。,/直接修改,UPDATE,Weapon,SET Quantity=3000,WHERE Wname=“Gun1”/,U级用户,Weapon关系 U 级实例,41,第41页,Weapon关系 U 级实例,更新前,Weapon关系 U 级实例,更新后,42,第42页,例2密级为U用户要求对Weapon关系,S级实例作更新操作。,UPDATE,Weapon,SET Quantity=3000,WHERE Wname=“Gun1”/,U级用户,Weapon关系 S 级实例,43,第43页,Weapon关系 S 级实例,更新前,Weapon关系 S 级实例,更新后产生多实例,44,第44页,例3密级为S用户要求对Weapon关系,S级实例执行以下更新操作。,UPDATE,Weapon,SET Range=2,WHERE Wname=“Gun1”AND,Quantity=5000,Weapon关系 S 级实例,45,第45页,Weapon关系 S 级实例,更新后,Weapon关系 S 级实例,更新前,46,第46页,例4密级为S用户要求对Weapon关系,S级实例执行以下更新操作。,UPDATE,Weapon,SET Range=2,WHERE Wname=“Gun1”/,S级用户,Weapon关系 S 级实例,47,第47页,Weapon关系 S 级实例,更新后,Weapon关系 S 级实例,更新前,48,第48页,三、删除操作,形式:DELETE FROM Rc,WHERE p,p是谓词条件,四、查询操作,形式:SELECT A1,A2FROM R1,R2,WHERE pAT c1,c2,p是谓词条件,49,第49页,6.5 多实例,多实例:是指在多级安全数据库管理系统中,同时存在多个含有相同主码值实体。,多实例元组:关系包含多个含有相同主码元组,但,相同主码,安全等级能够,不,相同,,这些元组安全等级不一样。,多实例属性:关系包含多个含有相同主码元组,但,相同主码,安全等级,相同,,但含有不一样安全级属性,,这些元组安全等级不一样。,50,第50页,例:两种多实例情况。,多实例属性,多级关系,多实例元组,多级关系,51,第51页,6.5.1 多实例发生,可见多实例:,当高访问等级用户想在数据库一个域上插入数据,而在这个域上已经存在低安全等级数据时发生。,不可见多实例:,当低访问等级用户想在数据库一个已经有高安全等级域上插入一个新数据时发生。,52,第52页,可见多实例,U级用户将Range更新为1,S级用户将Range更新为2,最初多级关系,53,第53页,不可见多实例,最初,S级用户,实例,上例中U级用户将Range更新为1后,U级实比如下:,U级用户将Range更新为1后,S级实比如下:,54,第54页,6.5.2 多实例引发问题,多实例虽可预防隐蔽通道,但引发一些相关问题:,数据机密性与完整性冲突,增加了数据库管理难度,增加了对同一现实世界中不一样模型了解迷惑。不清楚那个实例信息是正确、可信。,55,第55页,6.5.3 多实例问题处理,对多实例处理采取下面方法或其组合,使全部主码可见,主码以关系内可见最低安全等级标识,依据主码可能各种安全等级,划分主码域。,限制对多级关系插入。要求全部插入由系统最高安全等级用户实施向下写完成。,56,第56页,6.6 隐蔽通道分析,6.6.1 隐蔽通道及其分类,隐蔽通道:,是指给定一个强制安全策略模型M和它在一个操作系统中解释I(M),I(M)中两个主体I(Si)和I(Sj)之间任何潜在通信都是隐蔽,当且仅当模型M中对应主体Si和Sj之间任何通信在M中都是非法。(系统中不受安全策略控制,违反安全策略信息泄露路径),系统实际使用中,攻击者制造一组表面上正当操作序列,将高级数据传送到低级用户。这种隐蔽非法通道叫隐蔽通道。,57,第57页,隐通道经过不是用于数据传递系统设施来发送信息,而且这种通信方式往往不被系统存取控制机制所检测和控制。,隐蔽通道分类,存放隐蔽通道和时序隐蔽通道,存放隐蔽通道:,假如一个隐通道是一个主体直接或间接地修改一存放变量,而被另一主体经过直接或间接地读取同一个变量取得信息,这个隐通道是存放隐通道。,58,第58页,例1:进程号隐通道.,进程号(PID)是系统中标志进程唯一符号,在许多操作系统中采取连续递增方法来管理进程号,即新建进程进程号在上一个进程进程号基础上加1,利用系统这一管理机制也可产生隐通道,其操作过程以下:,59,第59页,操作过程:,接收方建立一个子进程并马上结束它,统计下它进程号;,发送方若发“0”,则什么也不做,若发“1”则建一个子进程并马上结束它;,接收方再建一个子进程并马上结束它,统计下它进程号,假如新进程号与上一次得到进程号相差1,则确认接收到“0”,假如新进程号与上一次得进程号相差2,则确认接收到“1”;,做好同时工作,转入2,传送下一比特,。,例:,收 发 收 发 收 发 收 发,p,1,p,2,p,3,p,4,p,5,p,6,传送信息,1 0 1 0,60,第60页,时序隐蔽通道:,时序隐通道发送者经过对使用资源时间影响来发送信息,接收者经过观察响应时间改变来接收信息,这个隐通道是时序隐通道。,例2:时序隐蔽通道。,CPU是一个能够利用系统资源,可由多个用户共享,假设有H和L两个进程,H安全级高于L,H企图将信息传递给L。它们约定一系列间隔均匀时间点t1,t1,t1,(间隔时间最少允许两次CPU调度)。,L在每个时间点都请求使用CPU,而H在每个时间点,若要发送0,则不请求使用CPU;若要发送1,则请求使用CPU(假设H优先级高于L)。于是,在每个时间点,L若能马上取得CPU使用权,则确认收到0,若要等候,则确认收到1,这个隐通道被称时序隐蔽通道,。,61,第61页,数据库系统隐蔽通道,在数据库系统中存在大量共享资源,造成隐蔽,通,道存在。,数据库存放资源引入,通,道。,该,通,道利用数据库中共享资源,如数据、数据字典等。发送者修改数据/数据字典,接收者则经过完整性约束等方式间接感知数据/数据字典修改,以此来传输机密信息。,数据库管理资源引入,通,道。,数据库系统中另一类共享资源包含,数据库表、,系统变量、游标、暂时数据区等。经过耗尽有限共享资源,收发双方传输机密信息。,事务并发控制引发隐蔽,通,道。,入侵者能够利用不一样安全级事务间并发冲突结构隐蔽信道,称作数据冲突隐蔽信道。,62,第62页,数据库系统隐蔽通道举例:,利用并发上锁机制隐,蔽,通道,63,第63页,6.6.,2,隐通道,防治,搜索隐通道:,对系统中是否存在,存在哪些隐通道应该清楚(国内做此工作较为困难)。,消除隐通道:,隐通道存在一个主要原因是不一样安全级用户之间共享系统资源(如磁盘、CPU、内存、打印机、进程号等),这使得高安全级用户对系统资源使用能被低安全级用户观察到。所以,消除隐通道一个可能方法是限制进程间资源共享,尤其是只在安全级相同实体间共享资源,但这可能带来一些资源闲置而大大降低使用效率问题。,64,第64页,限制带宽:,假如不能完全消除隐通道,则要想方法限制其带宽,将带宽限制在允许范围内使其满足安全要求。限制带宽方法如有意引入噪音,有意引入外部进程干扰收/发进程工作,使之延时。,带宽:,是指信息经过隐通道传输速度,用比特/秒来衡量。,因为对付隐通道方法,首先是消除隐通道,当无法完全消除隐通道时,则必须限制隐通道带宽,因为带宽越高,单位时间内泄露信息量就越多,对系统安全性威胁就越大。普通地,经过计算隐通道最大宽度来最大程度地衡量隐通道威胁。依据TESEC提议,隐通道带宽到达1比特/秒就要引发注意;带宽到达100比特/秒以上,就必须采取对应处理方法。,65,第65页,
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
