1,第 六 章 多级安全数据库 管理系统,2,本 章 概 要,6.1 安全数据库标准 6.2 多级安全数据库关键问题 6.3 多级安全数据库设计准则 6.4 多级关系数据模型 6.5 多实例 6.6 隐蔽通道分析,3,6.1 安全数据库标准 6.1.1 可信计算机系统评测标准,为降低进而消除对系统的安全攻击,各国引用或制定了一系列安全标准 TCSEC (桔皮书) TDI (紫皮书),4,1985年美国国防部(DoD)正式颁布《 DoD可信计算机系统评估标准》 简称TCSEC或DoD85,TCSEC又称桔皮书 TCSEC标准的目的 提供一种标准,使用户可以对其计算机系统内敏感信息安全操作的可信程度做评估 给计算机行业的制造商提供一种可循的指导规则,使其产品能够更好地满足敏感应用的安全需求5,TCB可信计算基:是Trusted Computing Base的简称,指的是计算机内保护装置的总体,包括硬件、固件、软件和负责执行安全策略管理员的组合体它建立了一个基本的保护环境并提供一个可信计算机系统所要求的附加用户服务6,1991年4月美国NCSC(国家计算机安全中心)颁布了《可信计算机系统评估标准关于可信数据库系统的解释》 简称TDI,又称紫皮书 它将TCSEC扩展到数据库管理系统 定义了数据库管理系统的设计与实现中需满足和用以进行安全性级别评估的标准,7,TDI/TCSEC标准的基本内容,TDI与TCSEC一样,从四个方面来描述安全性级别划分的指标 安全策略 责任 保证 文档,8,TCSEC/TDI安全级别划分,四组七个等级 按系统可靠或可信程度逐渐增高 各安全级别之间具有一种偏序向下兼容的关系,即较高安全性级别提供的安全保护要包含较低级别的所有保护要求,同时提供更多或更完善的保护能力。
9,等级说明:D,C1,D级(最小保护级) 将一切不符合更高标准的系统均归于D组 典型例子:DOS是安全标准为D的操作系统 DOS在安全性方面几乎没有什么专门的 机制来保障无身份认证与访问控制 C1级(自主安全保护级) 非常初级的自主安全保护 能够实现对用户和数据的分离,进行自主存取控制(DAC),保护或限制用户权限的传播早期的UNIX系统属于这一类 这类系统适合于多个协作用户在同一个安全级上处理数据的工作环境10,等级说明:C2,C2级(受控的存取保护级) C2级达到企业级安全要求可作为最低军用安全级别 提供受控的自主存取保护,将C1级的DAC进一步细化,以个人身份注册负责,并实施审计(审计粒度要能够跟踪每个主体对每个客体的每一次访问对审计记录应该提供保护,防止非法修改和资源隔离,客体重用,记录安全性事件 达到C2级的产品在其名称中往往不突出“安全”(Security)这一特色 典型例子 操作系统:Microsoft的Windows NT 3.5,数字设备公司的Open VMS VAX 6.0和6.1,linux系统的某些执行方法符合C2级别 数据库:Oracle公司的Oracle 7,Sybase公司的 SQL Server 11.0.6,11,等级说明:B1,B1级(标签安全保护级) 标记安全保护。
安全”(Security)或“可信的”(Trusted)产品 对系统的数据加以标记,对标记的主体和客体实施强制存取控制(MAC)、对安全策略进行非形式化描述,加强了隐通道分析,审计等安全机制 典型例子 操作系统:数字设备公司的SEVMS VAX Version 6.0,惠普公司的HP-UX BLS release 9.0.9+ 数据库:Oracle公司的Trusted Oracle 7,Sybase公司的Secure SQL Server version 11.0.6,Informix公司的Incorporated INFORMIX-OnLine / Secure 5.0,12,等级说明:B2,B2级(结构化保护级) 建立形式化的安全策略模型并对系统内的所有主体和客体实施DAC和MAC,从主体到客体扩大到I/O设备等所有资源要求开发者对隐蔽信道进行彻底地搜索TCB划分保护与非保护部分,存放于固定区内 经过认证的B2级以上的安全系统非常稀少 典型例子 操作系统:只有Trusted Information Systems公司的Trusted XENIX一种产品 标准的网络产品:只有Cryptek Secure Communications公司的LLC VSLAN一种产品 数据库:没有符合B2标准的产品,13,等级说明:B3,A1,B3级(安全区域保护级) 该级的TCB必须满足访问监控器的要求,安全内核,审计跟踪能力更强,并提供系统恢复过程。
即使计算机崩溃,也不会泄露系统信息 A1级(验证设计级) 验证设计,即提供B3级保护的同时给出系统的形式化设计说明和验证以确信各安全保护真正实现这个级别要求严格的数学证明14,说明,B2以上的系统 还处于理论研究阶段 应用多限于一些特殊的部门如军队等 美国正在大力发展安全产品,试图将目前仅限于少数领域应用的B2安全级别下放到商业应用中来,并逐步成为新的商业标准15,我国的信息系统安全评估工作是随着对信息安全问题的认识的逐步深化不断发展的早期的信息安全工作中心是信息保密,通过保密检查来发现问题,改进提高80年代后,随着计算机的推广应用,随即提出了计算机安全的问题,开展了计算机安全检查工作6.1.2 我国信息安全评估标准,16,我国信息安全评测标准,我国国家质量技术监督局于1999年10月颁布了“计算机信息系统安全保护等级划分准则”,编号为GB 17859-1999 在2001年,发表了国家标准GB/T 18336-2001 《信息安全技术数据库管理系统安全技术要求》正在报批17,GB 17859-1999将信息系统划分为五个安全等级: 用户自主保护级 系统审计保护级 安全标签保护级 结构化保护级 访问验证保护级 基本上与TCSEC的C1、C2、B1、B2、B3级相对应。
18,6.2 多级安全数据库关键问题,多级安全数据库关键问题包括: 多级安全数据库体系结构 多级安全数据模型 多实例 元数据管理 并发事务处理 推理分析和隐蔽通道分析,19,6.3 多级安全数据库设计准则,多级安全数据库设计准则如下: 提供多级密级粒度 确保一致性和完整性 实施推理控制 防止敏感聚合 进行隐蔽通道分析 支持多实例 执行并发控制,20,6.4 多级关系数据模型 6.4.1 安全的特征 传统关系模型两个重要的完整性: 实体完整性、引用完整性(参照完整性) 多级关系数据模型三要素: 多级关系、多级关系完整性约束及多级关系操作 多级安全模型需作的改进: 多级安全模型:在传统关系模型基础上各种逻辑数据对象强制赋予安全属性标签 修改传统关系模型中关系的完整性及关系上的操作21,安全标签粒度:是标识安全等级的最小逻辑对象单位 安全标签粒度级别:关系级、元组级及属性级 安全粒度控制 按照不同的安全需求和实体类型,决定安全控制的程度 例如,对数据的存取,可以是关系级、元组级及属性级 粒度越细,控制越灵活,但所对应的操作越困难和复杂22,一、多级关系 传统的关系模式:R(A1,A2,……, An) 多级关系模式: R(A1,C1,A2,C2,……,An,Cn,TC) 元组的安全级别:TC 元组表示:t(a1,c1,a2,c2,……,an,cn,tc) 元组t的安全标签:t[tc]. 属性ai的安全标签:t[ci]. [例] Weapon多级关系表示。
6.4.2 多级关系,23,表1 原始Weapon多级关系,表2 Weapon U 级实例,24,,表1 原始Weapon多级关系,表3 原始Weapon S级实例,25,,表4 Weapon TS级实例,26,多级关系完整性: 实体完整性 空值完整性 多级外码完整性与参照完整性 实例间完整性 多实例完整性,6.4.3 多级关系完整性,27,一、实体完整性 设AK是定义在关系模式R上的外观主码,一个多级关系满足实体完整性,当且仅当对R的所有实例Rc与t∈Rc,有: Ai∈AK = t[Ai]≠null// 主码属性不能为空 Ai , Aj∈AK = t[Ci]=t[Cj]//主键各属性安全等级一致,保证在任何级别上主键都是完整的 Ai AK = t[Ci] = t[CAK]//非码属性安全等级支配键值,保证关系可见的任何级别上,主键不可能为空28,二、空值完整性 在多级关系中,空值有两种解释: 一种确实为空 另一种是实例的等级低于属性的等级使此属性不可见,从而显示为空 空值完整性使用了归类关系,归类关系如下:如果两元组t和s,如果属性Ai满足下列条件之一,元组t包含元组s 对于两元组t和s, 如果任何一个属性 t[Ai ,Ci] = s[Ai ,Ci]; t[Ai]≠null且 s[Ai]=null,则称元组t包含元组s。
29,一个多级关系R满足空值完整性,当且仅当对R的每个实例Rc均满足下列两个条件: 空值的安全级别与主键相同 即对于所有的t∈Rc, t[Ai]=null = t[ci]=t[CAK] Rc不含有两个有包含关系的不同元组30,[例1] 多级关系违反了空值完整性,多级关系违反了空值完整性,31,三、多级外码完整性与参照完整性 多级外码完整性: 假设FK是参照关系R的外码,多级关系R的一个实例Rc满足外码完整性,当且仅当对所有的t∈Rc满足: 或者(所有Ai∈FK) t[Ai] = null, 或者(所有Ai∈FK) t[Ai]≠null //外码属性全空或全非空 Ai , Aj∈FK = t[Ci]=t[Cj] //外码的每个属性具有相同的安全级别,32,多级参照完整性: 假设FK1是具有外观主码AK1参照关系R1的外码,R2具有外观主码AK2的被参照关系,多级关系R1的一个实例 r1 和多级关系R2的一个实例 r2满足参照完整性,当且仅当 所有t11∈r1 , t11[FK1] ≠null , E t21∈r2 ,t11[FK1] = t21[AK2] Λ t11[TC]= t21[TC]Λ t11[CFK1] ≥ t21[CAK2]。
外键的访问等级必须支配引用元组中主键的访问等级33,四、实例间完整性 多级关系Rc满足实例间完整性,当且仅当对所有 c‘≤c,Rc′=σ( Rc,c′),其中过滤函数σ按以下方法从Rc产生安全等级为c′的实例Rc′: 所有 t∈Rc, t[CAK]≤c′, t′∈Rc′, 满足t′[AK,CAK]= t[AK,CAK].//主码保留 所有Ai AK有 t′[Ai,Ci]=t[Ai,Ci] if t[Ci] ≤ c′ t′[Ai,Ci]= otherwise,E,消除Rc’的归类元组,34,,表1.多级关系“卫星” S级实例,实例间完整性举例:例1,表2.多级关系“卫星”过滤后U级实例,35,表4.多级关系“卫星”S级实例,表5.多级关系“卫星”过滤后S级实例,实例间完整性举例:例2,表3.多级关系“卫星” U级实例,36,五、多实例完整性 假设多级关系R的外观主码集合为AK,主码等级为CAK 多实例完整性要求由AK、CAK以及第i个属性的等级Ci便可确定第i个属性值Ai 一个多级关系满足多实例完整性,当且仅当每个Rc中的每个属性Ai ,满足AK,CAK,Ci → Ai 即Ai函数依赖于AK,CAK,Ci 。
同一级别的元组之间不存在多实例37,多级关系Weapon(满足多实例完整性),,多级关系Weapon(不满足多实例完整性) (元组级别相同主键重复),38,6.4.4 多级关系操作 一、 插入操作 形式:INSERT INTO Rc(Ai [,Aj]…) VALUES (ai [,aj]…) 当插入元组t(新插入)与主键值相同的元组t′时: 1)若t[TC]= tˊ[TC],拒绝t的插入//满足多 实例完。