第六章 多級數(shù)據(jù)庫安全管理系統(tǒng)

第六章多級安全數(shù)據(jù)庫管理系統(tǒng)1本章概要

6.1安全數(shù)據(jù)庫標(biāo)準(zhǔn)6.2多級安全數(shù)據(jù)庫關(guān)鍵問題6.3多級安全數(shù)據(jù)庫設(shè)計準(zhǔn)則6.4多級關(guān)系數(shù)據(jù)模型6.5多實例6.6隱蔽通道分析26.1安全數(shù)據(jù)庫標(biāo)準(zhǔn)

6.1.1可信計算機系統(tǒng)評測標(biāo)準(zhǔn)

為降低進(jìn)而消除對系統(tǒng)的安全攻擊，各國引用或制定了一系列安全標(biāo)準(zhǔn)TCSEC(桔皮書)TDI(紫皮書)31985年美國國防部（DoD）正式頒布《DoD可信計算機系統(tǒng)評估標(biāo)準(zhǔn)》簡稱TCSEC或DoD85，TCSEC又稱桔皮書TCSEC標(biāo)準(zhǔn)的目的提供一種標(biāo)準(zhǔn)，使用戶可以對其計算機系統(tǒng)內(nèi)敏感信息安全操作的可信程度做評估。給計算機行業(yè)的制造商提供一種可循的指導(dǎo)規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應(yīng)用的安全需求。4

TCB可信計算基：是TrustedComputingBase的簡稱，指的是計算機內(nèi)保護(hù)裝置的總體，包括硬件、固件、軟件和負(fù)責(zé)執(zhí)行安全策略管理員的組合體。它建立了一個基本的保護(hù)環(huán)境并提供一個可信計算機系統(tǒng)所要求的附加用戶服務(wù)。51991年4月美國NCSC（國家計算機安全中心）頒布了《可信計算機系統(tǒng)評估標(biāo)準(zhǔn)關(guān)于可信數(shù)據(jù)庫系統(tǒng)的解釋》簡稱TDI，又稱紫皮書它將TCSEC擴(kuò)展到數(shù)據(jù)庫管理系統(tǒng)定義了數(shù)據(jù)庫管理系統(tǒng)的設(shè)計與實現(xiàn)中需滿足和用以進(jìn)行安全性級別評估的標(biāo)準(zhǔn)6TDI/TCSEC標(biāo)準(zhǔn)的基本內(nèi)容TDI與TCSEC一樣，從四個方面來描述安全性級別劃分的指標(biāo)安全策略責(zé)任保證文檔7TCSEC/TDI安全級別劃分安全級別定義A1驗證設(shè)計（VerifiedDesign）B3安全域（SecurityDomains）

B2結(jié)構(gòu)化保護(hù)（StructuralProtection）

B1標(biāo)記安全保護(hù)（LabeledSecurityProtection）

C2受控的存取保護(hù)（ControlledAccessProtection）

C1自主安全保護(hù)（DiscretionarySecurityProtection）

D最小保護(hù)（MinimalProtection）四組七個等級按系統(tǒng)可靠或可信程度逐漸增高各安全級別之間具有一種偏序向下兼容的關(guān)系，即較高安全性級別提供的安全保護(hù)要包含較低級別的所有保護(hù)要求，同時提供更多或更完善的保護(hù)能力。8等級說明：D，C1D級（最小保護(hù)級）將一切不符合更高標(biāo)準(zhǔn)的系統(tǒng)均歸于D組典型例子：DOS是安全標(biāo)準(zhǔn)為D的操作系統(tǒng)DOS在安全性方面幾乎沒有什么專門的機制來保障無身份認(rèn)證與訪問控制。C1級（自主安全保護(hù)級）非常初級的自主安全保護(hù)能夠?qū)崿F(xiàn)對用戶和數(shù)據(jù)的分離，進(jìn)行自主存取控制（DAC），保護(hù)或限制用戶權(quán)限的傳播。早期的UNIX系統(tǒng)屬于這一類。這類系統(tǒng)適合于多個協(xié)作用戶在同一個安全級上處理數(shù)據(jù)的工作環(huán)境。9等級說明：C2C2級（受控的存取保護(hù)級）

C2級達(dá)到企業(yè)級安全要求。可作為最低軍用安全級別提供受控的自主存取保護(hù)，將C1級的DAC進(jìn)一步細(xì)化，以個人身份注冊負(fù)責(zé)，并實施審計（審計粒度要能夠跟蹤每個主體對每個客體的每一次訪問。對審計記錄應(yīng)該提供保護(hù)，防止非法修改。）和資源隔離，客體重用，記錄安全性事件達(dá)到C2級的產(chǎn)品在其名稱中往往不突出“安全”(Security)這一特色典型例子

操作系統(tǒng)：Microsoft的WindowsNT3.5，數(shù)字設(shè)備公司的OpenVMSVAX6.0和6.1，linux系統(tǒng)的某些執(zhí)行方法符合C2級別。數(shù)據(jù)庫：Oracle公司的Oracle7，Sybase公司的SQLServer11.0.610等級說明：B1B1級（標(biāo)簽安全保護(hù)級）標(biāo)記安全保護(hù)?！鞍踩?Security)或“可信的”(Trusted)產(chǎn)品。對系統(tǒng)的數(shù)據(jù)加以標(biāo)記，對標(biāo)記的主體和客體實施強制存取控制（MAC）、對安全策略進(jìn)行非形式化描述，加強了隱通道分析，審計等安全機制典型例子

操作系統(tǒng)：數(shù)字設(shè)備公司的SEVMSVAXVersion6.0，惠普公司的HP-UXBLSrelease9.0.9+數(shù)據(jù)庫：Oracle公司的TrustedOracle7，Sybase公司的SecureSQLServerversion11.0.6。11等級說明：B2B2級（結(jié)構(gòu)化保護(hù)級）建立形式化的安全策略模型并對系統(tǒng)內(nèi)的所有主體和客體實施DAC和MAC，從主體到客體擴(kuò)大到I/O設(shè)備等所有資源。要求開發(fā)者對隱蔽信道進(jìn)行徹底地搜索。TCB劃分保護(hù)與非保護(hù)部分，存放于固定區(qū)內(nèi)。經(jīng)過認(rèn)證的B2級以上的安全系統(tǒng)非常稀少典型例子

操作系統(tǒng)：只有TrustedInformationSystems公司的TrustedXENIX一種產(chǎn)品數(shù)據(jù)庫：北京人大金倉信息技術(shù)股份有限公司的

KingbaseESV7產(chǎn)品12等級說明：B3，A1B3級（安全區(qū)域保護(hù)級）該級的TCB必須滿足訪問監(jiān)控器的要求，安全內(nèi)核，審計跟蹤能力更強，并提供系統(tǒng)恢復(fù)過程。即使計算機崩潰,也不會泄露系統(tǒng)信息。A1級（驗證設(shè)計級）驗證設(shè)計，即提供B3級保護(hù)的同時給出系統(tǒng)的形式化設(shè)計說明和驗證以確信各安全保護(hù)真正實現(xiàn)。這個級別要求嚴(yán)格的數(shù)學(xué)證明。13說明B2以上的系統(tǒng)還處于理論研究階段應(yīng)用多限于一些特殊的部門如軍隊等美國正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于少數(shù)領(lǐng)域應(yīng)用的B2安全級別下放到商業(yè)應(yīng)用中來，并逐步成為新的商業(yè)標(biāo)準(zhǔn)。146.2多級安全數(shù)據(jù)庫關(guān)鍵問題多級安全數(shù)據(jù)庫關(guān)鍵問題包括：多級安全數(shù)據(jù)庫體系結(jié)構(gòu)多級安全數(shù)據(jù)模型多實例元數(shù)據(jù)管理并發(fā)事務(wù)處理推理分析和隱蔽通道分析156.3多級安全數(shù)據(jù)庫設(shè)計準(zhǔn)則多級安全數(shù)據(jù)庫設(shè)計準(zhǔn)則如下：提供多級密級粒度確保一致性和完整性實施推理控制防止敏感聚合進(jìn)行隱蔽通道分析支持多實例執(zhí)行并發(fā)控制166.4多級關(guān)系數(shù)據(jù)模型6.4.1安全的特征傳統(tǒng)關(guān)系模型兩個重要的完整性：實體完整性、引用完整性（參照完整性）。多級關(guān)系數(shù)據(jù)模型三要素：多級關(guān)系、多級關(guān)系完整性約束及多級關(guān)系操作。多級安全模型需作的改進(jìn)：多級安全模型：在傳統(tǒng)關(guān)系模型基礎(chǔ)上各種邏輯數(shù)據(jù)對象強制賦予安全屬性標(biāo)簽。修改傳統(tǒng)關(guān)系模型中關(guān)系的完整性及關(guān)系上的操作。17安全標(biāo)簽粒度：是標(biāo)識安全等級的最小邏輯對象單位。安全標(biāo)簽粒度級別：關(guān)系級、元組級及屬性級。安全粒度控制按照不同的安全需求和實體類型，決定安全控制的程度。例如，對數(shù)據(jù)的存取，可以是關(guān)系級、元組級及屬性級。粒度越細(xì)，控制越靈活，但所對應(yīng)的操作越困難和復(fù)雜。18一、多級關(guān)系傳統(tǒng)的關(guān)系模式：R(A1,A2,……,An)多級關(guān)系模式：R(A1,C1,A2,C2,……,An,Cn,TC)元組的安全級別:TC元組表示：t(a1,c1,a2,c2,……,an,cn,tc)元組t的安全標(biāo)簽：t[tc].屬性ai的安全標(biāo)簽：t[ci].[例]Weapon多級關(guān)系表示。6.4.2多級關(guān)系19表1原始Weapon多級關(guān)系表2WeaponU級實例20表1原始Weapon多級關(guān)系表3原始WeaponS級實例21表4WeaponTS級實例22多級關(guān)系完整性：實體完整性空值完整性多級外碼完整性與參照完整性實例間完整性多實例完整性6.4.3多級關(guān)系完整性23一、實體完整性設(shè)AK是定義在關(guān)系模式R上的外觀主碼，一個多級關(guān)系滿足實體完整性，當(dāng)且僅當(dāng)對R的所有實例Rc與t∈Rc,有：Ai∈AK=>t[Ai]≠null//主碼屬性不能為空Ai,Aj∈AK=>t[Ci]＝t[Cj]//主鍵各屬性安全等級一致，保證在任何級別上主鍵都是完整的。AiAK=>t[Ci]>=t[CAK]//非碼屬性安全等級支配鍵值，保證關(guān)系可見的任何級別上，主鍵不可能為空?！?4二、空值完整性在多級關(guān)系中，空值有兩種解釋:一種確實為空。另一種是實例的等級低于屬性的等級使此屬性不可見，從而顯示為空。空值完整性使用了歸類關(guān)系，歸類關(guān)系如下：如果兩元組t和s，如果屬性Ai滿足下列條件之一，元組t包含元組s。對于兩元組t和s,如果任何一個屬性t[Ai,Ci]＝s[Ai,Ci];t[Ai]≠null且s[Ai]＝null，則稱元組t包含元組s或t歸類于s。25一個多級關(guān)系R滿足空值完整性，當(dāng)且僅當(dāng)對R的每個實例Rc均滿足下列兩個條件：空值的安全級別與主鍵相同。即對于所有的t∈Rc,t[Ai]＝null=>t[ci]＝t[CAK]

//空值對所有級別用戶可見Rc不含有兩個有包含關(guān)系的不同元組。//不出現(xiàn)因為空值而導(dǎo)致的冗余元組26

[例1]多級關(guān)系違反了空值完整性

多級關(guān)系違反了空值完整性27三、多級外碼完整性與參照完整性多級外碼完整性：

假設(shè)FK是參照關(guān)系R的外碼，多級關(guān)系R的一個實例Rc滿足外碼完整性，當(dāng)且僅當(dāng)對所有的t∈Rc滿足：或者（所有Ai∈FK）t[Ai]=null，或者（所有Ai∈FK）t[Ai]≠null

//外碼屬性全空或全非空Ai,Aj∈FK=>t[Ci]＝t[Cj]。

//外碼的每個屬性具有相同的安全級別28多級參照完整性：假設(shè)參照關(guān)系R1具有外觀主碼AK1，外碼FK1，被參照關(guān)系R2具有外觀主碼AK2，多級關(guān)系R1的一個實例r1和多級關(guān)系R2的一個實例r2滿足參照完整性，當(dāng)且僅當(dāng)

所有t11∈r1,t11[FK1]≠null,

E

t21∈r2,t11[FK1]=t21[AK2]Λt11[TC]=t21[TC]Λt11[CFK1]≥t21[CAK2]。外鍵的訪問等級必須支配引用元組中主鍵的訪問等級。29四、實例間完整性多級關(guān)系Rc滿足實例間完整性，當(dāng)且僅當(dāng)對所有c‘≤c，Rc′=σ(Rc，c′)，其中過濾函數(shù)σ按以下方法從Rc產(chǎn)生安全等級為c′的實例Rc′：所有t∈Rc,t[CAK]≤c′,t′∈Rc′，滿足t′[AK,CAK]=t[AK,CAK].//主碼保留所有AiAK有t′[Ai,Ci]=t[Ai,Ci]ift[Ci]≤c′t′[Ai,Ci]=<null,t[CAK]>otherwiseE

∈消除Rc’的歸類元組30表1.多級關(guān)系“衛(wèi)星”S級實例實例間完整性舉例：例1U級用戶對表1過濾后得到表2表2.多級關(guān)系“衛(wèi)星”過濾后U級實例31表4.多級關(guān)系“衛(wèi)星”S級實例表5.多級關(guān)系“衛(wèi)星”過濾后S級實例實例間完整性舉例：例2表3.多級關(guān)系“衛(wèi)星”U級實例32五、多實例完整性假設(shè)多級關(guān)系R的外觀主碼集合為AK，主碼等級為CAK。多實例完整性要求由AK、CAK以及第i個屬性的等級Ci便可確定第i個屬性值A(chǔ)i。一個多級關(guān)系滿足多實例完整性，當(dāng)且僅當(dāng)Rc中的每個屬性Ai,滿足AK,CAK,Ci→Ai即Ai函數(shù)依賴于AK,CAK,Ci。同一級別的元組之間不存在多實例。

33多級關(guān)系Weapon(滿足多實例完整性)

多級關(guān)系Weapon(不滿足多實例完整性)（元組級別相同主鍵重復(fù)）346.4.4多級關(guān)系操作一、插入操作形式：INSERTINTORc(Ai[,Aj]…)VALUES(ai[,aj]…)當(dāng)插入元組t（新插入）與主鍵值相同的元組t′時：1）若t[TC]＝tˊ[TC],拒絕t的插入。//滿足多實例完整性約束2）若t[TC]<tˊ[TC],允許t的插入，以防止隱通道。3）若t[TC]>tˊ

[TC],允許或拒絕t的插入均可以。//多級關(guān)系操作盡量減少額外元組35[例1]S級別主體插入操作

1）主碼值不同，正常插入INSERTINTOWeaponVALUES“Cannonl,10,200”插入后Weapon多級關(guān)系的S級插入362）主碼值、級別相同，系統(tǒng)不允許插入。INSERTINTOWeaponVALUES“Cannonl,10,200”//S級插入Weapon多級關(guān)系的S級插入373）主碼值相同，但插入元組級別低，允許插入，防止隱通道，產(chǎn)生多實例。

INSERTINTOWeaponVALUES“Missile2,250,30”//

S級插入插入前Weapon多級關(guān)系的S級插入38插入后產(chǎn)生多實例Weapon多級關(guān)系的S級插入39二、更新操作形式：UPDATERcSETAi＝S