《第三章多级安全数据库管理系统体系结构1讲义教材》由会员分享,可在线阅读,更多相关《第三章多级安全数据库管理系统体系结构1讲义教材(39页珍藏版)》请在金锄头文库上搜索。
1、单击此处编辑母版标题样式单击此处编辑母版副标题样式* *1 1第三章 多级安全数据库管理系统 体系结构内容来源: 数据库安全朱虹华中科技大学计算机学院单击此处编辑母版标题样式单击此处编辑母版副标题样式* *2 2多级安全数据库管理系统体系结构体系结构设计的重要性: DBMS与OS的结合方式.目标为某个安全等级的多级DBMS,需要有同安全等级或更高安全等级的OS的支持,否则多级DBMS自身的运行将失去保障.多级DBMS通过某种特殊体系结构的选择和OS所提供的安全功能密切结合,尽管自身无法达到某个安全等级,但通过有效地利用底层OS的安全特性,仍可以达到OS的安全等级单击此处编辑母版标题样式单击此处
2、编辑母版副标题样式* *3 3多级安全数据库管理系统体系结构1.体系结构的分类:.高级运行结构.可信主体结构.完整性锁结构.核心化结构.复制式结构按运行的DBMS实例(进程)数目分类:.单DBMS进程.多DBMS进程: 每个实例是不可信进程,安全级各不同单击此处编辑母版标题样式单击此处编辑母版副标题样式* *4 4单击此处编辑母版标题样式单击此处编辑母版副标题样式* *5 5多级安全数据库管理系统体系结构1.体系结构的分类不同多级安全数据库体系结构对比体系结结构名称是否为为可信主体DBMS实实例数目TCB位置高级级运行否单单操作系统统可信主体是单单DBMS完整性锁锁否单单过滤层过滤层集中/核心
3、否多操作系统统分布/复制否多OS/网络络原型系统统/商业产业产 品ASD/Oracle, Sybase, DMMitre/TrudataSeaView/OracleNRL单击此处编辑母版标题样式单击此处编辑母版副标题样式* *6 6多级安全数据库管理系统的体系结构2. 高级运行结构: DBMS进程运行在多级安全OS的最高安全级进程上 .所有的数据库用户都工作在最高安全级,与数据的安全级相同,数据库中的数据信息作为整体或多个实体存在于OS最高安全级对象中 .所有流出系统最高安全级的数据都必须经人工检查之后再发布总结: 完全依赖OS TCB,实际上数据库中的数据内容不分级的单击此处编辑母版标题样式
4、单击此处编辑母版副标题样式* *7 7多级安全数据库管理系统的体系结构2. 高级运行结构: DBMS进程运行在多级安全OS系统的最高安全级的进程上优点:简单,易于实现;已有的C2 级DBMS不必经过任何修改 存在的问题: .费用开销大 .更多的人指定为系统最高安全级导致信息泄露的危险 .手工发布信息的低效单击此处编辑母版标题样式单击此处编辑母版副标题样式* *8 8DBMS体系结构有三种: .核心化的方法 .完整性锁方法 .复制数据的方法 单击此处编辑母版标题样式单击此处编辑母版副标题样式* *9 93.1 可信DBMS的抽象体系结构1.TCB子集DBMS体系结构:TCB处在DBMS的外部,利
5、用安全操作系统的强制访问控制机制对数据库对象进行强制访问控制 (1) 特点 .多级DBMS实际上是由多个运行在安全OS不同安全级上的单级DBMS的进程(实例)组成 .多级数据库被分解为多个单级的数据库,每一个数据库都是一个概念上的多级数据库片段 .用户不是工作于多级别状态,而是OS TCB中的一个会话级别,每个用户只与和他同级别的DBMS交互 .多级DBMS有一定的访问控制权,但是OS对于DBMS访问数据的操作实行完全的访问控制单击此处编辑母版标题样式单击此处编辑母版副标题样式* *1010 TCB子集DBMS方法 2. 两种变形(1)集中式TCB子集DBMS体系结构(2)复制数据的体系结构
6、3.1 可信DBMS的抽象体系结构单击此处编辑母版标题样式单击此处编辑母版副标题样式* *11113.2 集中式TCB子集DBMS体系结构 高安全级用户 低安全级用户可信前端TFE可信前端TFE可信操作系统高安全级DBMS进程低安全级DBMS进程高安全级数据库分片低安全级数据库分片 集中式体系结构示意图单击此处编辑母版标题样式单击此处编辑母版副标题样式* *12123.2 集中式TCB子集DBMS体系结构将多级关系分解为单级关系多级关系单级关系数据 安全级Enterprise Rigel LowVoyager Mars High分解恢复LOW Enterprise RigelHIGH Voya
7、ger Mars单击此处编辑母版标题样式单击此处编辑母版副标题样式* *13133.2 集中式TCB子集DBMS体系结构特点:.在强制访问控制上和底层的操作系统一样安全;.数据存储集中。数据库内容按级别分解后,作为OS的对象集中保存在安全OS中,任何级别的数据在数据库中只保存一份;.运行进程集中。不同级别的DBMS进程实例运行在同一个安全OS中单击此处编辑母版标题样式单击此处编辑母版副标题样式* *14143.2 集中式TCB子集DBMS体系结构采用该体系结构的原型系统和商用系统: SeaView DBMS LDV DBMS ORACLE 的 OS MAC模式 可以达到TCSEC规定的A1级要
8、求 这几个系统都为用户提供了多级数据库的概念视图,具有元素级的标记粒度 单击此处编辑母版标题样式单击此处编辑母版副标题样式* *15153.2 集中式TCB子集DBMS体系结构优点:(1)安全性高: 可信安全OS负责强制访问控制,可以实现比DBMS本身的安全级别更高的多级安全DBMS,作为一个整体可以达到OS所能够提供的安全级别;(2)(2) 可靠性好: 减少了TCB的大小和复杂程度.(3)缺点:(4) OS 负载过大,系统性能表现差;(5) OS能够支持的并发进程数目有限,一定程度上限制了安全标签的范围;(6) 不同级别的DBMS共享数据,容易形成隐通道.单击此处编辑母版标题样式单击此处编辑
9、母版副标题样式* *1616题目2:多级安全数据库管理系统的实现方法并做报告(自由组合:2人合作完成,报告时要说明每人的工作)要求: (1) 模拟在多级安全操作系统上,实现一个多级安全数据库管理系统的可信前端TFE(只能给某一个安全级的用户使用),采用集中式TCB子集DBMS体系结构,不必做成服务模式。(2) 将标记粒度是元素的表分解后保存在不同安全级的数据库中。假设只有2个等级(普通、秘密)(3) 实现用户的管理和标记因为没有多级安全操作系统(4) 实现对固定表(可指定外键及值约束)、查询(恢复算法、带条件、排序, 不含子查询)、修改、删除、插入(分解算法)语句(5)实现BLP模型的“同级写
10、”,假如高安全级用户要修改低安全级数据怎么办?从安全性角度出发的处理方法,并分析可能存在的问题(6) 允许多实例的存在单击此处编辑母版标题样式单击此处编辑母版副标题样式* *1717复制式体系结构分为:.全部数据复制的分布式体系结构.部分数据复制的分布式体系结构.系统中的每个节点都存储数据副本,通过事务进行数据访问.复制数据库的两个重要问题: .并发控制: 将并发的事务隔离 .复制控制: 协调对不同副本的访问复制式体系结构提高性能的方法单击此处编辑母版标题样式单击此处编辑母版副标题样式* *18183.3 全部数据复制的分布式体系结构 可信前端TFE高安全级用户低安全级用户全部数据复制的分布式
11、体系结构示意图高安全级DBMS低安全级DBMS高+低安全级数据低安全级数据可信前端TFE单击此处编辑母版标题样式单击此处编辑母版副标题样式* *19193.3 全部数据复制的分布式体系结构 可信前端:(1)负责引导用户访问正确的数据库处理器(2)保证在数据库处理器之间没有非法信息流动(3)维护复制的数据库片段的数据一致性,正确地标记查询, 并将结果返回给用户(4)可信前端还负责用户标识和认证,维护到用户的可信路径和审计。单击此处编辑母版标题样式单击此处编辑母版副标题样式* *20203.3 全部数据复制的分布式体系结构 特点:(1)多级数据库的物理分布来实现强制分离和访问控制 (2)多个后端数
12、据库处理器将多级数据库分离为多个系统最高安全级的片段 (3)可信前端处理器(TFE)控制所有用户访问多级数据库和每个单安全级后端数据库处理器 (4)每个后端数据库处理器管理某个安全级上的数据库片段和所有低安全级数据的复制版本 单击此处编辑母版标题样式单击此处编辑母版副标题样式* *21213.3 全部数据复制的分布式体系结构 优点:(1)将数据库物理分离为系统最高安全级的片段,实现强制分离;(2)DBMS在后端运行用户的查询,后端有所需要的所有数据,不必在前端分解用户查询或实现另外的DBMS功能,因而提高了效率;(3)多个DBMS物理处理器的使用,与在一个可信操作系统上使用多个进程相比,提高了
13、系统性能; (4)简化了可信前端的代码量.单击此处编辑母版标题样式单击此处编辑母版副标题样式* *22223.3 全部数据复制的分布式体系结构 缺点:(1)需要用可信代码复制低安全级站点更新的元组,以保持版本的一致性 (2)物理上分离的处理器是在硬件上集中的,因而这种体系结构仅对系统安全级个数较少的情形可行。对于N个非分层的敏感级别,需要的后端处理器(站点)个数是2N-1单击此处编辑母版标题样式单击此处编辑母版副标题样式* *23233.4 可变数据复制的分布式体系结构 被Unisys安全分布式DBMS(SD-DBMS)采用特点:(1) 数据分布在不同的站点:以单个多级DBMS运行,提供元组级
14、标记,将多级关系分解成单级片段,在流行的商用DBMS处理器上分布存储这些片段。(2) 根据实际需要复制数据 (3) 由三类部件组成:用户前端(UFE)、可信前端(TFE)和网络连接 单击此处编辑母版标题样式单击此处编辑母版副标题样式* *24243.4 可变数据复制的分布式体系结构 可信操作系统可信前端TFE多级用户前端UFE多级用户前端UFE高DBMS后端低DBMS后端 SD-DBMS体系结构示意图单击此处编辑母版标题样式单击此处编辑母版副标题样式* *25253.4 可变数据复制的分布式体系结构 (1)用户前端UFE .具有单安全级的站点,或者是可在某个安全级范围内操作的多级模式下的可信工
15、作站点 .提供终端用户和TFE之间的接口(2)TFE组件 .控制所有DBMS组件的运行 .提供数据库访问的引用监控机制 .与TFE连接的是多个不可信后端DBMS主机 .后端DBMS将数据存储在适当的安全级上,响应由TFE产生的单级请求,完成终端用户的查询 单击此处编辑母版标题样式单击此处编辑母版副标题样式* *26263.4 可变数据复制的分布式体系结构 (3) 网络连接组件 多级局域网,支持不可信后端的分离并在UFE部件和TFE之间提供安全数据传输 (4) 数据库操作请求的处理 .用户请求被发送给用户可见的多级关系,产生元组级标记的多级结果 .任何在多级关系上的查询可分解为对单安全级片段的查
16、询集合,并且多个查询的单安全级结果可以组成正确的响应结果返回 单击此处编辑母版标题样式单击此处编辑母版副标题样式* *27273.4 可变数据复制的分布式体系结构 优点: 能给用户返回可信的元组级标记,不需要复制全部的数据,减少了更新复制的处理时间,减少了存储空间 采用分布式数据管理技术将多级请求分解为多个单级请求,这些单级请求可以并行地执行 缺点: 需要传送较低安全级数据到较高安全级后端单击此处编辑母版标题样式单击此处编辑母版副标题样式* *2828 3.5 完整性锁DBMS 不可信数据管理器单级用户前端单级用户前端不可信前端可信前端过滤器可信操作系统 完整性锁体系结构示意图单击此处编辑母版标题样式单击此处编辑母版副标题样式* *2929 3.5 完整性锁DBMS 单击此处编辑母版标题样式单击此处编辑母版副标题样式* *3030 3.5 完整性锁DBMS (1)不可信前端进程与终端用户交互,负责完成查询前后的处理,如查询的解析、优化、投影等,将最终处理结果返回给用户。(2)基于安全操作系统的可信过滤进程负责加密和解密对象及其标记,标识数据管理进程返回的数据子集,实现对这些数据子集的访
