分布式數(shù)據(jù)庫的安全性與目錄管理課件

1、徐俊剛（)分布式數(shù)據(jù)庫系統(tǒng)及其應(yīng)用2007年2月2007年6月數(shù)據(jù)庫安全性概述安全數(shù)據(jù)模型與多級(jí)安全數(shù)據(jù)庫計(jì)算機(jī)系統(tǒng)與數(shù)據(jù)庫系統(tǒng)的安全評(píng)估標(biāo)準(zhǔn)分布式數(shù)據(jù)庫的目錄結(jié)構(gòu)和管理分布式數(shù)據(jù)庫中權(quán)限保護(hù)和用戶識(shí)別分布式數(shù)據(jù)庫的安全性與目錄管理 第7章兩個(gè)方面保密性：即“私有”, 控制屬于自己的數(shù)據(jù)，包括數(shù)據(jù)的收集、存儲(chǔ)、處理、傳輸和使用安全性：保護(hù)保密數(shù)據(jù)不被非法使用擴(kuò)展來說保障DB數(shù)據(jù)的完整性（物理、邏輯和元素完整性）保障DB數(shù)據(jù)的保密性身份識(shí)別, 訪問控制, 審計(jì), 隱蔽信道攻擊、語義保密性等保障DB數(shù)據(jù)的可用性防止硬件系統(tǒng)引起的數(shù)據(jù)庫破壞及時(shí)休復(fù)上述破壞拒絕和清除數(shù)據(jù)庫垃圾1.1 數(shù)據(jù)庫安全性的概

2、念1 數(shù)據(jù)庫安全性概述三個(gè)方面數(shù)據(jù)存儲(chǔ)在各個(gè)站點(diǎn)上存在的不安全因素訪問各個(gè)站點(diǎn)上數(shù)據(jù)存在的不安全因素?cái)?shù)據(jù)在各站點(diǎn)之間傳輸時(shí)存在的不安全因素綜合起來分析，不安全因素有：黑客攻擊（獵取用戶口令、偽裝、隱蔽通道、特洛伊木馬、程序蠕蟲、攻擊電子郵件、突破防火墻等）病毒（病毒種類10幾萬種、破壞性更強(qiáng)、互聯(lián)網(wǎng)環(huán)境有利于傳播）網(wǎng)絡(luò)環(huán)境的脆弱性O(shè)S安全DBMS安全網(wǎng)絡(luò)協(xié)議安全（TCP/IP協(xié)議一開始沒有考慮安全）1.2 分布式數(shù)據(jù)庫的不安全因素1 數(shù)據(jù)庫安全性概述DDB安全需求安全環(huán)節(jié) 各站點(diǎn)上存儲(chǔ)安全、 本地/遠(yuǎn)程訪問安全、 傳輸安全受破壞時(shí)的表現(xiàn) 非法用戶對(duì)DB的訪問； 執(zhí)行了不正確的修改； DB一致性

3、, 完整性被破壞, DB中垃圾堆積, 使DB不可用；數(shù)據(jù)庫中數(shù)據(jù)的機(jī)密被泄漏提供服務(wù)DB有保密性，數(shù)據(jù)加密DB有一致性DB有可用性,防止/及時(shí)修復(fù)錯(cuò)誤造成的惡意破壞對(duì)DB變化做跟蹤記錄1.3 分布式數(shù)據(jù)庫安全需求和安全措施分析1 數(shù)據(jù)庫安全性概述安全層次物理層用戶層OS層網(wǎng)絡(luò)層數(shù)據(jù)庫系統(tǒng)1.3 分布式數(shù)據(jù)庫安全需求和安全措施分析1 數(shù)據(jù)庫安全性概述物理層保護(hù)數(shù)據(jù)不受侵入者的物理破壞, 傳統(tǒng)方式用鎖和鑰匙等保護(hù)不受洪水, 電力故障等數(shù)據(jù)恢復(fù)保護(hù)磁盤不被偷竊, 清除, 物理損壞等1.3 分布式數(shù)據(jù)庫安全需求和安全措施分析1 數(shù)據(jù)庫安全性概述用戶層防止保密字被盜, 偷看主要的管理方法:經(jīng)常變換保密字

4、使用不可猜測(cè)的保密字日志所有非法的訪問數(shù)據(jù)審計(jì)仔細(xì)雇用人員1.3 分布式數(shù)據(jù)庫安全需求和安全措施分析1 數(shù)據(jù)庫安全性概述OS層次的安全防止非法登錄文件層訪問保護(hù)(通常對(duì)DB安全作用不大)防止“超級(jí)用戶”的不正確使用防止高級(jí)別優(yōu)先權(quán)的指令的不正確使用1.3 分布式數(shù)據(jù)庫安全需求和安全措施分析1 數(shù)據(jù)庫安全性概述網(wǎng)絡(luò)層安全每個(gè)站點(diǎn)必須保證是與可信賴的站點(diǎn)通信鏈路必須保證沒有被竊聽和篡改方法:基于保密字的協(xié)議 (password-based),密碼學(xué)(Cryptography)1.3 分布式數(shù)據(jù)庫安全需求和安全措施分析1 數(shù)據(jù)庫安全性概述數(shù)據(jù)庫系統(tǒng)層假定在OS, 網(wǎng)絡(luò), 人員, 物理層都是安全的數(shù)據(jù)

5、庫安全是:每個(gè)用戶僅僅可以讀/寫部分?jǐn)?shù)據(jù)用戶可能對(duì)整個(gè)文件或關(guān)系有權(quán), 也可能僅僅只對(duì)文件或關(guān)系的一部分有權(quán)1.3 分布式數(shù)據(jù)庫安全需求和安全措施分析1 數(shù)據(jù)庫安全性概述用戶帳戶DBA為用戶創(chuàng)建一個(gè)帳號(hào)和口令每次用戶登錄都要輸入帳號(hào)和口令保持?jǐn)?shù)據(jù)庫用戶的賬號(hào)和口令痕跡是必要的，可以通過建立一個(gè)加密表來實(shí)現(xiàn)每創(chuàng)建一個(gè)用戶在加密表中添加一條記錄每取消一個(gè)帳戶，就從表中刪除一個(gè)相應(yīng)的記錄保持用戶和站點(diǎn)的操作痕跡也是必要的從用戶登錄開始，直到退出為止，這一段時(shí)間內(nèi)的所有數(shù)據(jù)庫交互記錄都要記錄下來，特別是更新操作，一旦數(shù)據(jù)庫被篡改，就能知道是哪個(gè)站點(diǎn)的哪個(gè)用戶進(jìn)行的。1.4 分布式數(shù)據(jù)庫的用戶帳戶和數(shù)據(jù)

6、審計(jì)1 數(shù)據(jù)庫安全性概述數(shù)據(jù)審計(jì)也可以通過對(duì)系統(tǒng)日志的擴(kuò)充來記錄用戶和相關(guān)操作的信息系統(tǒng)日志包括對(duì)分布式數(shù)據(jù)庫的實(shí)施的每一個(gè)操作的入口項(xiàng)，事務(wù)故障和系統(tǒng)故障時(shí)就需要利用這些記錄對(duì)數(shù)據(jù)庫進(jìn)行恢復(fù)如果懷疑出現(xiàn)了對(duì)數(shù)據(jù)庫的任意篡改，就可以執(zhí)行數(shù)據(jù)庫審計(jì)審計(jì)掃描一段時(shí)間內(nèi)的日志，以檢查所有作用于數(shù)據(jù)庫的存取動(dòng)作和操作當(dāng)發(fā)現(xiàn)一個(gè)非法的或未授權(quán)的操作時(shí)，DBA就可以確定執(zhí)行這個(gè)操作的帳號(hào)數(shù)據(jù)庫審計(jì)對(duì)于敏感性數(shù)據(jù)庫非常重要，比如銀行數(shù)據(jù)用于安全性的數(shù)據(jù)庫日志，也叫審計(jì)跟蹤1.4 分布式數(shù)據(jù)庫的用戶帳戶和數(shù)據(jù)審計(jì)1 數(shù)據(jù)庫安全性概述主體(Subject) 引起信息流動(dòng)或改變系統(tǒng)狀態(tài)的主動(dòng)實(shí)體, 如用戶, 程序

7、, 進(jìn)程客體(Object) 蘊(yùn)含或接收信息的被動(dòng)實(shí)體, 信息的載體, 如DB, 表, 記錄, 視圖, 屬性等可信計(jì)算基實(shí)現(xiàn)安全保護(hù)機(jī)制的集合體（硬件、軟件等）域主體有能力存取的客體集合安全級(jí)(Security Level) 主體和客體的訪問特權(quán), 一般主體安全級(jí)表示主體對(duì)客體敏感信息的操作能力, 客體安全級(jí)表示客體信息的敏感度2.1 數(shù)據(jù)庫安全術(shù)語和基本概念2 安全數(shù)據(jù)模型與多級(jí)安全數(shù)據(jù)庫最小特權(quán)原理主體應(yīng)該授予能夠完成任務(wù)所需的最小存取權(quán)訪問監(jiān)控器監(jiān)控主體和客體之間授權(quán)訪問關(guān)系的部件信道系統(tǒng)內(nèi)的信息傳輸通路隱蔽信道(Covert Channel)進(jìn)程以危害系統(tǒng)安全的隱蔽方式傳輸信息的通信信

8、道自主訪問控制(Discretionary Access Control) 基于主體身份或主體所屬組的身份或二者結(jié)合來限制對(duì)客體訪問的方法. 具有訪問權(quán)的主體能自行決定其訪問權(quán)直接或間接轉(zhuǎn)授給別人強(qiáng)制訪問控制(Mandatory Access Control) 基于主體與客體各自所具有的敏感度標(biāo)記的控制關(guān)系來決定主體對(duì)客體的訪問, 標(biāo)記是由系統(tǒng)安全員指派, 用戶不能隨意修改, 更不能轉(zhuǎn)讓 2.1 數(shù)據(jù)庫安全術(shù)語和基本概念2 安全數(shù)據(jù)模型與多級(jí)安全數(shù)據(jù)庫敏感度標(biāo)記表示客體和主體的安全級(jí)的一條信息?？尚庞?jì)算基使用它確實(shí)是否進(jìn)行強(qiáng)制訪問控制數(shù)據(jù)庫的安全策略根據(jù)用戶需求、安裝環(huán)境、建立規(guī)則和法律等方面

9、的限制來制定的，用來描述訪問規(guī)則和訪問特征的關(guān)系有四類策略：安全管理策略、最小特權(quán)策略、訪問控制分類策略、訪問控制策略形式化安全保護(hù)策略模型安全保護(hù)策略的完整精確描述安全保護(hù)策略模型安全保護(hù)策略的非形式化描述2.1 數(shù)據(jù)庫安全術(shù)語和基本概念2 安全數(shù)據(jù)模型與多級(jí)安全數(shù)據(jù)庫權(quán)限控制當(dāng)主體訪問客體時(shí), 要進(jìn)行訪問的合法性檢查.“知必所需” 原則: 限制用戶只能知道授權(quán)他知道的那些數(shù)據(jù)對(duì)象(最小特權(quán)原則)數(shù)據(jù)庫部分的權(quán)的形式:讀權(quán) - 允許讀, 但是不能修改數(shù)據(jù)插入權(quán) - 允許插入新數(shù)據(jù), 但不能修改已存在的數(shù)據(jù)修改權(quán) - 允許修改, 但不能刪除數(shù)據(jù)刪除權(quán) - 允許刪除數(shù)據(jù)2.2 基于授予/收回權(quán)限

10、的自主訪問控制2 安全數(shù)據(jù)模型與多級(jí)安全數(shù)據(jù)庫更新數(shù)據(jù)庫模式權(quán)的的形式:索引權(quán) - 允許創(chuàng)建和刪除索引資源權(quán) - 允許創(chuàng)建新關(guān)系修改權(quán) - 允許增加或刪除關(guān)系中的屬性刪除權(quán) - 允許刪除關(guān)系權(quán)與視圖用戶可以將某個(gè)權(quán)授給視圖視圖可以通過限制用戶訪問的數(shù)據(jù)而加強(qiáng)數(shù)據(jù)庫的安全性關(guān)系層和視圖層的安全組合可以精確地限制用戶只對(duì)其應(yīng)用需要的數(shù)據(jù)訪問2.2 基于授予/收回權(quán)限的自主訪問控制2 安全數(shù)據(jù)模型與多級(jí)安全數(shù)據(jù)庫權(quán)限控制授權(quán)與收權(quán)Grant 語句Grant To With Grant OptionRevoke 語句Revoke From 2.2 基于授予/收回權(quán)限的自主訪問控制2 安全數(shù)據(jù)模型與多級(jí)

11、安全數(shù)據(jù)庫授權(quán)方式靜態(tài)授權(quán)檢查功能隔離功能：保證用戶只訪問已授權(quán)的數(shù)據(jù)對(duì)象控制訪問：保證用戶只能按他已得到的訪問權(quán)的訪問方式存取數(shù)據(jù)，不得越權(quán)DBMS必須要確定不同用戶對(duì)不同數(shù)據(jù)對(duì)象的存取權(quán)數(shù)據(jù)對(duì)象的粒度由系統(tǒng)規(guī)定數(shù)據(jù)對(duì)象命名唯一DBA擁有訪問全部數(shù)據(jù)對(duì)象的全權(quán)2.2 基于授予/收回權(quán)限的自主訪問控制2 安全數(shù)據(jù)模型與多級(jí)安全數(shù)據(jù)庫矩陣法稱作安全矩陣法或存取檢查矩陣法O代表數(shù)據(jù)對(duì)象，U代表用戶各種存取權(quán)限R：讀；U：修改；I：添加；D：刪除元組；DR：刪除關(guān)系矩陣S的元素 Sij=S(Ui, Oj)表示用戶Ui對(duì)數(shù)據(jù)對(duì)象Oj的存取權(quán)，與數(shù)據(jù)對(duì)象的值無關(guān). 矩陣法簡便有效, OS的存取檢查中廣泛

12、使用2.2 基于授予/收回權(quán)限的自主訪問控制2 安全數(shù)據(jù)模型與多級(jí)安全數(shù)據(jù)庫R, DR, URUn.R, DRRR, UU2R, IR, DR, DU1OmO2O1數(shù)據(jù)對(duì)象用戶安全矩陣S2.2 基于授予/收回權(quán)限的自主訪問控制2 安全數(shù)據(jù)模型與多級(jí)安全數(shù)據(jù)庫按行存儲(chǔ)法 按用戶存儲(chǔ)的權(quán)利表方法。 用戶Ui有一由偶對(duì)（Oj, Sij）組成的一維表行按列存儲(chǔ)法按數(shù)據(jù)對(duì)象存儲(chǔ)的權(quán)利表方法。數(shù)據(jù)對(duì)象Oj有一由偶對(duì)（Uj, Sij）組成的一維表列 2.2 基于授予/收回權(quán)限的自主訪問控制2 安全數(shù)據(jù)模型與多級(jí)安全數(shù)據(jù)庫安全矩陣法實(shí)現(xiàn)技術(shù)鎖鑰實(shí)現(xiàn)法矩陣法中按行存儲(chǔ)與按列存儲(chǔ)方法的結(jié)合每個(gè)用戶Ui設(shè)立一個(gè)鑰表

13、(O1, K1), (O2, K2),. (Om, Km),每個(gè)數(shù)據(jù)對(duì)象Oj設(shè)立一個(gè)鎖表(L1, P1), (L2, P2),. (Ls, Ps),Ki：保密鑰；Li：保密鎖；Pi：存取權(quán)集合鎖鑰表由數(shù)據(jù)安全子系統(tǒng)管理若Ui對(duì)Oj存取權(quán)Pi時(shí), 查其Kj是否能與Oj中的某一Lk配對(duì), 若存在這樣的Lk, 使Kj=Lk, 且Pi Pk,則批準(zhǔn)存取.2.2 基于授予/收回權(quán)限的自主訪問控制2 安全數(shù)據(jù)模型與多級(jí)安全數(shù)據(jù)庫安全矩陣法實(shí)現(xiàn)技術(shù)口令實(shí)現(xiàn)法將鎖鑰法中的鑰匙直接交給用戶, 則稱口令法面向數(shù)據(jù)對(duì)象 每個(gè)數(shù)據(jù)對(duì)象有一個(gè)存取口令, 用戶通過出示其存取口令來訪問數(shù)據(jù)對(duì)象. 安全表集中管理, 系統(tǒng)實(shí)現(xiàn)

14、簡單面向用戶 每個(gè)用戶或用戶組一個(gè)口令, 口令表中存放該口令可以訪問的對(duì)象列表簡單口令表劃分安全級(jí)別的口令表2.2 基于授予/收回權(quán)限的自主訪問控制2 安全數(shù)據(jù)模型與多級(jí)安全數(shù)據(jù)庫安全矩陣法實(shí)現(xiàn)技術(shù)面向用戶的簡單口令系統(tǒng)O1, O2 , O9 , O10PWnO5, O7, O9PW1能存取的數(shù)據(jù)對(duì)象口令2.2 基于授予/收回權(quán)限的自主訪問控制2 安全數(shù)據(jù)模型與多級(jí)安全數(shù)據(jù)庫劃分安全級(jí)別的口令表12PWn75PW243PW11010PW-DBAWriteRead口令2.2 基于授予/收回權(quán)限的自主訪問控制2 安全數(shù)據(jù)模型與多級(jí)安全數(shù)據(jù)庫t1374t12t1143關(guān)系1WriteReadT231

15、010T22T2174關(guān)系2WriteRead12關(guān)系3WriteRead關(guān)系及元組的安全級(jí)表2.2 基于授予/收回權(quán)限的自主訪問控制2 安全數(shù)據(jù)模型與多級(jí)安全數(shù)據(jù)庫2.2 基于授予/收回權(quán)限的自主訪問控制2 安全數(shù)據(jù)模型與多級(jí)安全數(shù)據(jù)庫結(jié)論DBA所持口令的級(jí)別最高，可讀寫全部關(guān)系和元組。持有口令PW1的各用戶可讀寫關(guān)系1中除元組t12之外的所有元組及整個(gè)關(guān)系3持有口令PW2的各用戶可讀寫除元組t22之外的關(guān)系2、關(guān)系1和關(guān)系3的全部元組持有口令PWn的各用戶，只能讀寫關(guān)系3動(dòng)態(tài)授權(quán)方式用戶對(duì)自己生成的關(guān)系擁有全權(quán), 通過授權(quán)和收權(quán)語句完成對(duì)數(shù)據(jù)開放, 保密的存取權(quán)授予(Grant, Revo

16、ke)訪問表(AT)法Userid: 接受方用戶；oname: 授予的數(shù)據(jù)對(duì)象操作類型：R: Read; U: Update; I：insert; D: delete; DR: dropType:對(duì)象類型，t是表，V是試圖Grantor: 授予方用戶操作類型：t: Time; g: 轉(zhuǎn)讓, Y: 允許; N: 不允許; opt: 限制, all: 所有屬性都允許, none: 所有屬性都不允許, some: 某些屬性允許視圖法（略）2.2 基于授予/收回權(quán)限的自主訪問控制2 安全數(shù)據(jù)模型與多級(jí)安全數(shù)據(jù)庫N-N-N-NoneN-AllY40CrempXN30N30N30AllN30AllY30B

17、rempXY20Y20Y20AllY20AllY20ArempCN-Y10Y10NoneN-AllY10ArempBY0Y0Y0AllY0AllY0-rempAgtgtgtoptgtoptgtdrdiurgrantortypeonameuserid動(dòng)態(tài)授權(quán)方式的存取表AT2.2 基于授予/收回權(quán)限的自主訪問控制2 安全數(shù)據(jù)模型與多級(jí)安全數(shù)據(jù)庫發(fā)展歷史D.E.Bell和 L.J.La Padula 于1973年模擬軍事安全策略創(chuàng)建的計(jì)算機(jī)系統(tǒng)安全模型, 74年改進(jìn), 76年用于Multics操作系統(tǒng)形式化定義狀態(tài)機(jī)模型它形式化定義了模型中的概念，證明了其中的定理和結(jié)論，并表明系統(tǒng)可通過數(shù)學(xué)推導(dǎo)證

18、明其自身的安全性系統(tǒng)狀態(tài)狀態(tài)v V ， V=(B M F H) B:當(dāng)前存取集, B (S O A) ,S: 主體集; O: 客體集 ;A: 訪問方式集合, 有Read(R), Write(W), Execute (E), Append (A)2.3 多級(jí)安全BLP模型2 安全數(shù)據(jù)模型與多級(jí)安全數(shù)據(jù)庫存取控制矩陣 M=m11 m1nmn1 mnn.mij A 表示Si主體對(duì)客體Oj的訪問權(quán)集 F: 安全級(jí)函數(shù),有三個(gè)分量Fn：主體最大安全級(jí)函數(shù)Fc：主體當(dāng)前最大安全級(jí)函數(shù)Fo：客體安全級(jí)函數(shù) H: 當(dāng)前客體層次結(jié)構(gòu) H(O): 以O(shè)為根的樹中客體集合2.3 多級(jí)安全BLP模型2 安全數(shù)據(jù)模型與

19、多級(jí)安全數(shù)據(jù)庫狀態(tài)轉(zhuǎn)換規(guī)則 : R V D VR V :系統(tǒng)中給請(qǐng)求定義的請(qǐng)求-狀態(tài)對(duì)集合D V :系統(tǒng)中給請(qǐng)求定義的判定-狀態(tài)對(duì)集合R: 請(qǐng)求集 D: 請(qǐng)求的輸出集 yes, no, ?, errorYes:請(qǐng)求被執(zhí)行；No:請(qǐng)求未執(zhí)行；？：應(yīng)用規(guī)則時(shí)遇到意外情況；error：應(yīng)用規(guī)則時(shí)遇到錯(cuò)誤模型公理簡單安全特性V=(b, M, f, H) 滿足簡單安全特性, 當(dāng)且僅當(dāng)對(duì)任意 b=(s, o, x) B , 有 x=e或者a 或者 x=r或者w 并且 fn(s) = fo(o)即主體讀寫或訪問客體, 要求主體的最大安全級(jí)別 = 客體的安全級(jí)別2.3 多級(jí)安全BLP模型2 安全數(shù)據(jù)模型與多級(jí)

20、安全數(shù)據(jù)庫*特性V=(b, M, f, H) 對(duì)以主體集S S 滿足*特性, 當(dāng)且僅當(dāng)對(duì)任意b=(s, o, x) Bx=a fc (s) = fo (o) S是不可信主體該特性用以防止不可信主體引起的信息從高安全級(jí)向低安全級(jí)的非法流動(dòng)2.3 多級(jí)安全BLP模型2 安全數(shù)據(jù)模型與多級(jí)安全數(shù)據(jù)庫自主安全特性V=(b, M, f, H)滿足該特性, 當(dāng)且僅當(dāng)對(duì)每個(gè)b=(si, oj, x) B, x MijSi對(duì)Oj可執(zhí)行的讀寫訪問集只能是Mij所允許的集合兼容特性客體層次結(jié)構(gòu)H保持兼容特性, 當(dāng)且僅當(dāng)對(duì)任意Oi, Oj O , 有Oj H(Oi), fo(Oj) = fo(Oi), 用于保持客體

21、的安全級(jí)別是向樹葉方向增高2.3 多級(jí)安全BLP模型2 安全數(shù)據(jù)模型與多級(jí)安全數(shù)據(jù)庫1991年Jajodia和Sandhu提出的一種實(shí)現(xiàn)強(qiáng)制訪問控制的RDB系統(tǒng)DAC和DAC自主訪問控制，在關(guān)系上授權(quán)和收回特權(quán)強(qiáng)制訪問控制，在安全類別基礎(chǔ)上，對(duì)數(shù)據(jù)和用戶進(jìn)行分類基礎(chǔ)主體集S, 客體集O每個(gè)主體s, 存在固定的安全類class(S)每個(gè)客體o, 存在固定的安全類class(O)簡單安全特性: if class(O) = class(S) 時(shí), S可以讀O (下讀)*特性: if class(S) = class(O)時(shí), S才可以寫O ( 上寫)2.4 基于安全性分類級(jí)別標(biāo)記的強(qiáng)制訪問控制2 安

22、全數(shù)據(jù)模型與多級(jí)安全數(shù)據(jù)庫基本概念安全標(biāo)記基于標(biāo)記的安全DB中, 信息流動(dòng)策略定義為一個(gè)格陣(SC, )SC: 安全類的有限集 :定義在SC上的二元偏序關(guān)系每個(gè)安全類定義為 (level, Scope) level: 密級(jí), 分為絕密(TS), 秘密(S), 機(jī)密（C）, 普通（U）Scope: 領(lǐng)域當(dāng)A B時(shí), 允許A類信息流向B類.2.4 基于安全性分類級(jí)別標(biāo)記的強(qiáng)制訪問控制2 安全數(shù)據(jù)模型與多級(jí)安全數(shù)據(jù)庫客體安全標(biāo)記為實(shí)現(xiàn)強(qiáng)制訪問控制, 對(duì)數(shù)據(jù)進(jìn)行標(biāo)記, 按粒度分為三級(jí)基于元組的標(biāo)記 (A1, A2, ., An, TC) Ai，關(guān)系的每個(gè)屬性 TC，元組分類屬性基于主鍵的標(biāo)記 (A1,

23、 C1, A2, ., An, TC) Ci，與每個(gè)屬性Ai相關(guān)聯(lián)的分類級(jí)別屬性基于每個(gè)屬性的標(biāo)記 (A1, C1, A2, C2, ., An, Cn, TC)2.4 基于安全性分類級(jí)別標(biāo)記的強(qiáng)制訪問控制2 安全數(shù)據(jù)模型與多級(jí)安全數(shù)據(jù)庫主體安全標(biāo)記由系統(tǒng)安全員指派給用戶, 也是用戶向系統(tǒng)登錄時(shí)使用的安全標(biāo)記. 一個(gè)用戶可以申請(qǐng)不同的許可證.讀寫策略當(dāng)且僅當(dāng) Level_o = Level_s, 并且Scope_o Scope_s 時(shí), 主體才能讀客體當(dāng)且僅當(dāng) Level_o = Level_s, 并且Scope_o = Scope_s 時(shí), 主體才能寫客體2.4 基于安全性分類級(jí)別標(biāo)記的強(qiáng)制

24、訪問控制2 安全數(shù)據(jù)模型與多級(jí)安全數(shù)據(jù)庫基于標(biāo)記的多級(jí)安全關(guān)系對(duì)關(guān)系的擴(kuò)展將關(guān)系R(A1, A2, ., An)擴(kuò)展為 R(A1, C1, A2, C2,., An, Cn, TC), Ci是Ai的定義域, 由區(qū)間 Li, Hi 表示從Li到Hi的訪問類子格, TC是整個(gè)元組的安全標(biāo)記, 由區(qū)間 lubLi:i=1,n, lubHi:i=1,n 表示.關(guān)系實(shí)例 r (A1, C1, A2, C2,., An, Cn, TC) 關(guān)系實(shí)例中元組 t (a1, c1, a2, c2,., an, cn, tc) ciLi, Hi, tc=lub(ci : i=1,2,n)不同級(jí)別的主體對(duì)關(guān)系實(shí)例有不

25、同的視圖2.4 基于安全性分類級(jí)別標(biāo)記的強(qiáng)制訪問控制2 安全數(shù)據(jù)模型與多級(jí)安全數(shù)據(jù)庫多級(jí)安全的讀寫規(guī)則主體與客體都被標(biāo)記, 并遵循Bell-La Padula模型主體只能讀其級(jí)別等于或小于其登錄標(biāo)記(許可證)的元組 下讀主體寫時(shí), 其登錄標(biāo)記也隨之記錄到所寫元組中, 成為該元組的安全級(jí)別, 并且只能寫入級(jí)別等于或大于其登錄標(biāo)記的元組 上寫2.4 基于安全性分類級(jí)別標(biāo)記的強(qiáng)制訪問控制2 安全數(shù)據(jù)模型與多級(jí)安全數(shù)據(jù)庫2.4 基于安全性分類級(jí)別標(biāo)記的強(qiáng)制訪問控制2 安全數(shù)據(jù)模型與多級(jí)安全數(shù)據(jù)庫(a) EMPLOYEE：原來的EMPLOYEE關(guān)系 Name Salary JobPerformance

26、TC Smith U 40000 C Fair S S Brown C 80000 S Good C S(b) EMPLOYEE：具有許可證級(jí)別C的用戶所看到的EMPLOYEE關(guān)系 Name Salary JobPerformance TC Smith U 40000 C null C C Brown C null C Good C C(c) EMPLOYEE：具有許可證級(jí)別U的用戶所看到的EMPLOYEE關(guān)系 Name Salary JobPerformance TC Smith U null U null U U (d) EMPLOYEE：Smith元組的多重實(shí)例 Name Salary

27、JobPerformance TC Smith U 40000 C Fair S S Smith U 40000 C Excellent C C Brown C 80000 S Good C C計(jì)算機(jī)系統(tǒng)的安全標(biāo)準(zhǔn)1983年美國防部桔皮書 TCSEC1990年歐洲白皮書 ITSEC美國、加拿大和歐洲四國聯(lián)合研制的CC1994年我國1999年我國GB17859-1999TCSEC將安全分為四類7個(gè)級(jí)別D類，最低安全級(jí)別，只有一個(gè)級(jí)別D級(jí)3.1 計(jì)算機(jī)系統(tǒng)的安全評(píng)估標(biāo)準(zhǔn)3 計(jì)算機(jī)系統(tǒng)與DBMS的安全評(píng)估標(biāo)準(zhǔn)C類：自主保護(hù)類 , 基于主體身份來限制對(duì)客體訪問, 主體可自主地決定其權(quán)限的授與C1級(jí)：自

28、主安全 (自主存取控制, 審計(jì))C2級(jí)：可控存取 (比C1更強(qiáng))B類：強(qiáng)制保護(hù)類, 基于主體與客體各自所具有的敏感度標(biāo)記的控制關(guān)系來決定主體對(duì)客體的訪問B1級(jí)：標(biāo)記安全(強(qiáng)制存取控制, 敏感標(biāo)記)B2級(jí)：結(jié)構(gòu)化保護(hù)(形式化模型, 隱蔽通道約束)B3級(jí)：安全域保護(hù)(安全內(nèi)核, 高抗?jié)B透)A類：驗(yàn)證保護(hù)類A1級(jí)：可驗(yàn)證保護(hù),形式化安全驗(yàn)證,隱蔽通道分析3.1 計(jì)算機(jī)系統(tǒng)的安全評(píng)估標(biāo)準(zhǔn)3 計(jì)算機(jī)系統(tǒng)與DBMS的安全評(píng)估標(biāo)準(zhǔn)形式化安全驗(yàn)證，隱蔽通道分析可驗(yàn)證保護(hù)A1驗(yàn)證保護(hù)等級(jí)A4安全內(nèi)核，高抗?jié)B透能力安全域保護(hù)B3形式化模型，隱蔽通道約束結(jié)構(gòu)化保護(hù)B2強(qiáng)制存取控制，敏感度標(biāo)記標(biāo)記安全保護(hù)B1強(qiáng)制保護(hù)

29、等級(jí)B3比C1級(jí)更強(qiáng)的自主存取控制，審計(jì)功能可控存取保護(hù)C2自主存取控制，審計(jì)功能自主安全保護(hù)C1自主保護(hù)等級(jí)C2最小安全保護(hù)D最低保護(hù)等級(jí)D1主要特征安全等級(jí)TCSCE的安全等級(jí)與主要特征表3.1 計(jì)算機(jī)系統(tǒng)的安全評(píng)估標(biāo)準(zhǔn)3 計(jì)算機(jī)系統(tǒng)與DBMS的安全評(píng)估標(biāo)準(zhǔn)DBMS的安全評(píng)估標(biāo)準(zhǔn)應(yīng)與OS有相同的安全級(jí)別1991年美國國家計(jì)算機(jī)安全中心根據(jù)TCSEC制訂紫皮書DBMS的安全也分四類,7級(jí), 25條評(píng)估標(biāo)準(zhǔn)D級(jí)： 低級(jí)安全保護(hù) C1級(jí)：自主安全保護(hù)C2級(jí)：受控存取保護(hù) B1級(jí)：標(biāo)記安全保護(hù)B2級(jí)：結(jié)構(gòu)化保護(hù) B3級(jí)：安全域保護(hù)A1級(jí)：可驗(yàn)證保護(hù)3.2 DBMS的安全評(píng)估標(biāo)準(zhǔn)3 計(jì)算機(jī)系統(tǒng)與DB

30、MS的安全評(píng)估標(biāo)準(zhǔn) * - - - - - * * * * * - * - - - - - * - * * * * *24252627安全性能用戶指南保安設(shè)施手冊(cè)考核文件設(shè)計(jì)文件文件 * * * - - - * - - - - - * * * * * * * * * * * * * * * - * - * * - *151617181920212223體系結(jié)構(gòu)系統(tǒng)的完整性完全考核設(shè)計(jì)規(guī)范與驗(yàn)證隱蔽通道分析可信設(shè)施管理配置管理恢復(fù)可信分配 保證 * * * - - - * * * * - * * -121314標(biāo)示與鑒別審計(jì)可信路徑責(zé)任 * * - - * - - * - - - - * * -

31、 - * - - - * - - - * - - - * - - - * - - - * * - - * - - * - -1234567891011自主訪問控制客體重用標(biāo)記標(biāo)記的完整性標(biāo)記信息輸出多級(jí)設(shè)備輸出單級(jí)設(shè)備輸出標(biāo)記的硬拷貝輸出強(qiáng)制訪問控制主體安全表示設(shè)備標(biāo)記安全策略D C1 C2 B1 B2 B3 A1序號(hào)安全評(píng)估指標(biāo)類別不同安全級(jí)別對(duì)安全評(píng)估指標(biāo)的支持當(dāng)前流行的幾種RDBMS安全機(jī)制的共性權(quán)限(Privilege)和授權(quán)(Authorization)：Grant和Revoke角色(Role)系統(tǒng)角色：系統(tǒng)預(yù)先定義用戶定義角色：命令方式或過程調(diào)用方式定義身份認(rèn)證(Authoriza

32、tion)為確認(rèn)某人是他自稱的那個(gè)人, 檢查他的合法性身份認(rèn)證一般有三個(gè)級(jí)別系統(tǒng)登錄認(rèn)證： OS檢查數(shù)據(jù)庫連接 ： DBMS驗(yàn)證數(shù)據(jù)庫對(duì)象使用：DBMS核實(shí)其對(duì)數(shù)據(jù)對(duì)象的存取權(quán)限3.3 當(dāng)前流行的幾種RDBMS安全機(jī)制3 計(jì)算機(jī)系統(tǒng)與DBMS的安全評(píng)估標(biāo)準(zhǔn)OS或NOS驗(yàn)證身份DBMS驗(yàn)證身份DBMS驗(yàn)證權(quán)限用戶名/口令登陸OS或NOS登陸DBMS訪問DB身份認(rèn)證的三個(gè)級(jí)別3.3 當(dāng)前流行的幾種RDBMS安全機(jī)制3 計(jì)算機(jī)系統(tǒng)與DBMS的安全評(píng)估標(biāo)準(zhǔn)自主訪問控制采用存取矩陣模型實(shí)現(xiàn)自主訪問控制描述用戶對(duì)DB級(jí)其對(duì)象的訪問權(quán)限通過Grant語句建立審計(jì)(Auditing)固定方式：系統(tǒng)自動(dòng)對(duì)其進(jìn)行

33、審計(jì)選擇方式：審計(jì)內(nèi)容由用戶(包括DBA)設(shè)置用作安全的視圖, 存儲(chǔ)過程和觸發(fā)器視圖：過濾掉需要保密的列存儲(chǔ)過程：為實(shí)現(xiàn)某一功能的一組SQL語句觸發(fā)器：有事件觸發(fā)執(zhí)行的一種特殊的存儲(chǔ)過程3.3 當(dāng)前流行的幾種RDBMS安全機(jī)制3 計(jì)算機(jī)系統(tǒng)與DBMS的安全評(píng)估標(biāo)準(zhǔn)流行RDBMS在安全機(jī)制方面的努力與改進(jìn)目前系統(tǒng)符合TCSEC的C1或C2級(jí)要求ORACLE公司的Trusted Oracle是多級(jí)安全服務(wù)器強(qiáng)制訪問控制：任意用戶訪問DB前, 對(duì)其進(jìn)行強(qiáng)制訪問控制使用標(biāo)簽：DB中每一行都有一個(gè)安全標(biāo)簽, 表示該行數(shù)據(jù)的敏感度用戶可寫數(shù)據(jù)標(biāo)簽 = 用戶當(dāng)前任務(wù)的敏感度標(biāo)簽 (同級(jí)寫)用戶可讀數(shù)據(jù)標(biāo)簽

34、或= 用戶當(dāng)前任務(wù)的敏感度標(biāo)簽 (下讀)3.3 當(dāng)前流行的幾種RDBMS安全機(jī)制3 計(jì)算機(jī)系統(tǒng)與DBMS的安全評(píng)估標(biāo)準(zhǔn)Sybase和TRM合作開發(fā)的符合TCSEC的B類標(biāo)準(zhǔn)安全SQL服務(wù)器B1版本：B1級(jí)安全的UNIX上運(yùn)行B2版本：據(jù)稱可在裸機(jī)上運(yùn)行DB2對(duì)用戶身份驗(yàn)證的改進(jìn)Client類型：驗(yàn)證在激活應(yīng)用的服務(wù)器上進(jìn)行Server類型：在數(shù)據(jù)庫所駐留的服務(wù)器上進(jìn)行分布式數(shù)據(jù)庫服務(wù)器, 在安裝了DDCS（數(shù)據(jù)庫管理和分布數(shù)據(jù)庫連接服務(wù)）的網(wǎng)關(guān)上進(jìn)行, 若驗(yàn)證為DCS類型, 驗(yàn)證被傳遞到主機(jī)DBMS, 若數(shù)據(jù)訪問不涉及DDCS, 則在數(shù)據(jù)庫駐留的服務(wù)器上對(duì)身份驗(yàn)證3.3 當(dāng)前流行的幾種RDBM

35、S安全機(jī)制3 計(jì)算機(jī)系統(tǒng)與DBMS的安全評(píng)估標(biāo)準(zhǔn)國內(nèi)外較著名的MLS DBMS名稱安全等級(jí)標(biāo)記粒度說明SeaViewA1元素級(jí)原型系統(tǒng)ASDA1元組級(jí)原型系統(tǒng)LDVA1元素級(jí)原型系統(tǒng)Trusted OracleB1元組級(jí)Sybase SQL Secure ServerB1元組級(jí)SDM3B2元素級(jí)B2級(jí)部分功能3.3 當(dāng)前流行的幾種RDBMS安全機(jī)制3 計(jì)算機(jī)系統(tǒng)與DBMS的安全評(píng)估標(biāo)準(zhǔn)數(shù)據(jù)庫目錄(Database Catalog)也稱數(shù)據(jù)字典或者原數(shù)據(jù)它是一個(gè)“微小DB”, 描述DB中數(shù)據(jù)的數(shù)據(jù)數(shù)據(jù)庫目錄的作用外部對(duì)數(shù)據(jù)庫的操作定義數(shù)據(jù)對(duì)象，查詢，添加，刪除，更新數(shù)據(jù)等內(nèi)部數(shù)據(jù)庫的運(yùn)作事務(wù)管理

36、，授權(quán)檢查，并發(fā)控制，故障恢復(fù)、命令翻譯等分布式數(shù)據(jù)庫目錄數(shù)據(jù)分布的透明性、各站點(diǎn)的自制性、分布式事務(wù)運(yùn)行和管理都與目錄有關(guān)分布式數(shù)據(jù)庫的目錄也構(gòu)成一個(gè)分布式數(shù)據(jù)庫，比集中式數(shù)據(jù)庫更加復(fù)雜4.1 分布式數(shù)據(jù)庫目錄的重要性4 分布式數(shù)據(jù)庫的目錄結(jié)構(gòu)和管理分布式數(shù)據(jù)庫目錄的內(nèi)容全局模式描述分片模式描述分布模式描述局部名稱映射存取方式描述數(shù)據(jù)庫統(tǒng)計(jì)信息一致性約束狀態(tài)信息數(shù)據(jù)表示系統(tǒng)描述4.2 分布式數(shù)據(jù)庫目錄的內(nèi)容和用途4 分布式數(shù)據(jù)庫的目錄結(jié)構(gòu)和管理目錄的用途設(shè)計(jì)應(yīng)用翻譯應(yīng)用優(yōu)化處理運(yùn)行監(jiān)督系統(tǒng)維護(hù)4.2 分布式數(shù)據(jù)庫目錄的內(nèi)容和用途4 分布式數(shù)據(jù)庫的目錄結(jié)構(gòu)和管理4.2 分布式數(shù)據(jù)庫目錄的內(nèi)容和

37、用途4 分布式數(shù)據(jù)庫的目錄結(jié)構(gòu)和管理系統(tǒng)目錄數(shù)據(jù)庫管理員應(yīng)用程序員最終用戶安全授權(quán)子系統(tǒng)編譯器預(yù)編譯器應(yīng)用程序報(bào)告生成器完整性約束實(shí)施器查詢優(yōu)化器全局?jǐn)?shù)據(jù)庫控制器通信子系統(tǒng) 人員接口 DBMS及軟件接口組織方式獨(dú)立式：利用OS提供的文件管理功能建立和維護(hù)目錄信息分離式：利用DBMS建立和維護(hù)目錄信息, 但其用戶界面和功能均獨(dú)立于DBMS嵌入式：DBMS與目錄信息一體化, 即數(shù)據(jù)目錄系統(tǒng)作為DBMS的子集, DBMS通常應(yīng)用該方式4.3 DDB目錄系統(tǒng)的組織方式和邏輯結(jié)構(gòu)4 分布式數(shù)據(jù)庫的目錄結(jié)構(gòu)和管理網(wǎng)絡(luò)目錄全局外模式目錄局部外模式目錄全局概念模式目錄局部概念模式目錄內(nèi)模式目錄局部數(shù)據(jù)庫DDB

38、S目錄系統(tǒng)的邏輯結(jié)構(gòu)4.3 DDB目錄系統(tǒng)的組織方式和邏輯結(jié)構(gòu)4 分布式數(shù)據(jù)庫的目錄結(jié)構(gòu)和管理邏輯結(jié)構(gòu)網(wǎng)絡(luò)目錄含有運(yùn)行,優(yōu)化DDB的信息, 包括通信線路的有關(guān)參數(shù), 各站點(diǎn)CPU的工作負(fù)載, 磁盤空間占有狀態(tài),語言配置,處理功能等全局外模式目錄數(shù)據(jù)結(jié)構(gòu), 存儲(chǔ)位置, 劃分準(zhǔn)則, 完整性, 安全性控制, 數(shù)據(jù)映像及存取路徑, 各站點(diǎn)軟硬件特征全局概念模式目錄全局關(guān)系, 公共過程等, 以反映DDB的整體觀念, 提供唯一的系統(tǒng)映象4.3 DDB目錄系統(tǒng)的組織方式和邏輯結(jié)構(gòu)4 分布式數(shù)據(jù)庫的目錄結(jié)構(gòu)和管理局部外模式目錄與局部概念模式目錄與全局外模式和全局模式目錄類似, 但包含的信息僅涉及各自站點(diǎn)的處理

39、對(duì)象, 與其它站點(diǎn)無關(guān)內(nèi)模式目錄DDBS的局部存儲(chǔ)描述, 與集中式系統(tǒng)完全相同. 目的是合理地組織物理數(shù)據(jù)庫, 以提高運(yùn)行效率4.3 DDB目錄系統(tǒng)的組織方式和邏輯結(jié)構(gòu)4 分布式數(shù)據(jù)庫的目錄結(jié)構(gòu)和管理目錄管理系統(tǒng)在網(wǎng)絡(luò)OS和DDBMS的支持下實(shí)現(xiàn)對(duì)DB目錄進(jìn)行自動(dòng)管理, 并保持其在動(dòng)態(tài)變化過程中數(shù)據(jù)目錄的一致性和有效性功能模塊目錄定義目錄裝入目錄查詢, 更新目錄維護(hù)報(bào)告生成4.3 DDB目錄系統(tǒng)的組織方式和邏輯結(jié)構(gòu)4 分布式數(shù)據(jù)庫的目錄結(jié)構(gòu)和管理目錄的分布方式集中式單一主目錄方式分組主目錄全復(fù)制式目錄每個(gè)站點(diǎn)存放一個(gè)全局目錄局部式目錄每個(gè)站點(diǎn)只存放局部目錄混合方式集中與局部混合全復(fù)制與局部式混合混合的關(guān)鍵是目錄的劃分4.4 DDB目錄的分布方式4 分布式數(shù)據(jù)庫的目錄結(jié)構(gòu)和管理站點(diǎn)自治允許每個(gè)局部用戶在與全局無關(guān)的前提下建立和命名其自己的局部數(shù)據(jù), 并允許若干用戶共享這些數(shù)據(jù)的權(quán)利允許用戶在各自站點(diǎn)獨(dú)立定義數(shù)據(jù)允許不同用戶在自己站點(diǎn)對(duì)同一數(shù)據(jù)命名以不同的名字允許不同站