《7章-分布式数据库的安全性与目录管理-》由会员分享,可在线阅读,更多相关《7章-分布式数据库的安全性与目录管理-(72页珍藏版)》请在金锄头文库上搜索。
1、1. 1.数据库安全性概述数据库安全性概述2.2.安全数据模型与多级安全数据库安全数据模型与多级安全数据库3.3.计算机系统与数据库系统的安全评估标准计算机系统与数据库系统的安全评估标准4.4.分布式数据库的目录结构和管理分布式数据库的目录结构和管理5.5.分布式数据库中权限保护和用户识别分布式数据库中权限保护和用户识别分布式数据库的安全性与目录管理分布式数据库的安全性与目录管理 第第7章章两个方面保密性:即“私有”, 控制属于自己的数据,包括数据的收集、存储、处理、传输和使用安全性:保护保密数据不被非法使用扩展来说保障DB数据的完整性(物理、逻辑和元素完整性)保障DB数据的保密性身份识别,
2、访问控制, 审计, 隐蔽信道攻击、语义保密性等保障DB数据的可用性防止硬件系统引起的数据库破坏及时休复上述破坏拒绝和清除数据库垃圾1.1 数据库安全性的概念数据库安全性的概念1 1 数据库安全性概述数据库安全性概述三个方面数据存储在各个站点上存在的不安全因素访问各个站点上数据存在的不安全因素数据在各站点之间传输时存在的不安全因素综合起来分析,不安全因素有:黑客攻击(猎取用户口令、伪装、隐蔽通道、特洛伊木马、程序蠕虫、攻击电子邮件、突破防火墙等)病毒(病毒种类10几万种、破坏性更强、互联网环境有利于传播)网络环境的脆弱性OS安全DBMS安全网络协议安全(TCP/IP协议一开始没有考虑安全)1.2
3、 分布式数据库的不安全因素分布式数据库的不安全因素1 1 数据库安全性概述数据库安全性概述DDB安全需求安全环节 各站点上存储安全、 本地/远程访问安全、 传输安全受破坏时的表现 非法用户对DB的访问; 执行了不正确的修改; DB一致性, 完整性被破坏, DB中垃圾堆积, 使DB不可用;数据库中数据的机密被泄漏提供服务DB有保密性,数据加密DB有一致性DB有可用性,防止/及时修复错误造成的恶意破坏对DB变化做跟踪记录1.3 分布式数据库安全需求和安全措施分析分布式数据库安全需求和安全措施分析1 1 数据库安全性概述数据库安全性概述安全层次安全层次物理层用户层OS层网络层数据库系统1.3 分布式
4、数据库安全需求和安全措施分析分布式数据库安全需求和安全措施分析1 1 数据库安全性概述数据库安全性概述物理层物理层保护数据不受侵入者的物理破坏, 传统方式用锁和钥匙等保护不受洪水, 电力故障等数据恢复保护磁盘不被偷窃, 清除, 物理损坏等1.3 分布式数据库安全需求和安全措施分析分布式数据库安全需求和安全措施分析1 1 数据库安全性概述数据库安全性概述用户层用户层防止保密字被盗, 偷看主要的管理方法:经常变换保密字使用不可猜测的保密字日志所有非法的访问数据审计仔细雇用人员1.3 分布式数据库安全需求和安全措施分析分布式数据库安全需求和安全措施分析1 1 数据库安全性概述数据库安全性概述OS层次
5、的安全层次的安全防止非法登录文件层访问保护(通常对DB安全作用不大)防止“超级用户”的不正确使用防止高级别优先权的指令的不正确使用1.3 分布式数据库安全需求和安全措施分析分布式数据库安全需求和安全措施分析1 1 数据库安全性概述数据库安全性概述网络层安全网络层安全每个站点必须保证是与可信赖的站点通信链路必须保证没有被窃听和篡改方法:基于保密字的协议 (password-based),密码学(Cryptography)1.3 分布式数据库安全需求和安全措施分析分布式数据库安全需求和安全措施分析1 1 数据库安全性概述数据库安全性概述数据库系统层数据库系统层假定在OS, 网络, 人员, 物理层都
6、是安全的数据库安全是:每个用户仅仅可以读/写部分数据用户可能对整个文件或关系有权, 也可能仅仅只对文件或关系的一部分有权1.3 分布式数据库安全需求和安全措施分析分布式数据库安全需求和安全措施分析1 1 数据库安全性概述数据库安全性概述用户帐户用户帐户DBA为用户创建一个帐号和口令每次用户登录都要输入帐号和口令保持数据库用户的账号和口令痕迹是必要的,可以通过建立一个加密表来实现每创建一个用户在加密表中添加一条记录每取消一个帐户,就从表中删除一个相应的记录保持用户和站点的操作痕迹也是必要的从用户登录开始,直到退出为止,这一段时间内的所有数据库交互记录都要记录下来,特别是更新操作,一旦数据库被篡改
7、,就能知道是哪个站点的哪个用户进行的。1.4 分布式数据库的用户帐户和数据审计分布式数据库的用户帐户和数据审计1 1 数据库安全性概述数据库安全性概述数据审计数据审计也可以通过对系统日志的扩充来记录用户和相关操作的信息系统日志包括对分布式数据库的实施的每一个操作的入口项,事务故障和系统故障时就需要利用这些记录对数据库进行恢复如果怀疑出现了对数据库的任意篡改,就可以执行数据库审计审计扫描一段时间内的日志,以检查所有作用于数据库的存取动作和操作当发现一个非法的或未授权的操作时,DBA就可以确定执行这个操作的帐号数据库审计对于敏感性数据库非常重要,比如银行数据用于安全性的数据库日志,也叫审计跟踪1.
8、4 分布式数据库的用户帐户和数据审计分布式数据库的用户帐户和数据审计1 1 数据库安全性概述数据库安全性概述主体(Subject) 引起信息流动或改变系统状态的主动实体, 如用户, 程序, 进程客体(Object) 蕴含或接收信息的被动实体, 信息的载体, 如DB, 表, 记录, 视图, 属性等可信计算基实现安全保护机制的集合体(硬件、软件等)域主体有能力存取的客体集合安全级(Security Level) 主体和客体的访问特权, 一般主体安全级表示主体对客体敏感信息的操作能力, 客体安全级表示客体信息的敏感度2.1 数据库安全术语和基本概念数据库安全术语和基本概念2 2 安全数据模型与多级安
9、全数据库安全数据模型与多级安全数据库最小特权原理主体应该授予能够完成任务所需的最小存取权访问监控器监控主体和客体之间授权访问关系的部件信道系统内的信息传输通路隐蔽信道(Covert Channel)进程以危害系统安全的隐蔽方式传输信息的通信信道自主访问控制(Discretionary Access Control) 基于主体身份或主体所属组的身份或二者结合来限制对客体访问的方法. 具有访问权的主体能自行决定其访问权直接或间接转授给别人强制访问控制(Mandatory Access Control) 基于主体与客体各自所具有的敏感度标记的控制关系来决定主体对客体的访问, 标记是由系统安全员指派,
10、 用户不能随意修改, 更不能转让 2.1 数据库安全术语和基本概念数据库安全术语和基本概念2 2 安全数据模型与多级安全数据库安全数据模型与多级安全数据库敏感度标记表示客体和主体的安全级的一条信息。可信计算基使用它确实是否进行强制访问控制数据库的安全策略根据用户需求、安装环境、建立规则和法律等方面的限制来制定的,用来描述访问规则和访问特征的关系有四类策略:安全管理策略、最小特权策略、访问控制分类策略、访问控制策略形式化安全保护策略模型安全保护策略的完整精确描述安全保护策略模型安全保护策略的非形式化描述2.1 数据库安全术语和基本概念数据库安全术语和基本概念2 2 安全数据模型与多级安全数据库安
11、全数据模型与多级安全数据库权限控制权限控制当主体访问客体时, 要进行访问的合法性检查.“知必所需” 原则: 限制用户只能知道授权他知道的那些数据对象(最小特权原则)数据库部分的权的形式:读权读权 - 允许读, 但是不能修改数据插入权插入权 - 允许插入新数据, 但不能修改已存在的数据修改权修改权 - 允许修改, 但不能删除数据删除权删除权 - 允许删除数据2.2 基于授予基于授予/ /收回权限的自主访问控制收回权限的自主访问控制2 2 安全数据模型与多级安全数据库安全数据模型与多级安全数据库更新数据库模式权的的形式:索引权索引权 - 允许创建和删除索引资源权资源权 - 允许创建新关系修改权修改
12、权 - 允许增加或删除关系中的属性删除权删除权 - 允许删除关系权与视图用户可以将某个权授给视图视图可以通过限制用户访问的数据而加强数据库的安全性关系层和视图层的安全组合可以精确地限制用户只对其应用需要的数据访问2.2 基于授予基于授予/ /收回权限的自主访问控制收回权限的自主访问控制2 2 安全数据模型与多级安全数据库安全数据模型与多级安全数据库权限控制权限控制授权与收权授权与收权Grant 语句Grant To With Grant OptionRevoke 语句Revoke From 2.2 基于授予基于授予/ /收回权限的自主访问控制收回权限的自主访问控制2 2 安全数据模型与多级安全
13、数据库安全数据模型与多级安全数据库授权方式授权方式静态授权检查功能隔离功能:保证用户只访问已授权的数据对象控制访问:保证用户只能按他已得到的访问权的访问方式存取数据,不得越权DBMS必须要确定不同用户对不同数据对象的存取权数据对象的粒度由系统规定数据对象命名唯一DBA拥有访问全部数据对象的全权2.2 基于授予基于授予/ /收回权限的自主访问控制收回权限的自主访问控制2 2 安全数据模型与多级安全数据库安全数据模型与多级安全数据库矩阵法称作安全矩阵法或存取检查矩阵法O代表数据对象,U代表用户各种存取权限R:读;U:修改;I:添加;D:删除元组;DR:删除关系矩阵S的元素 Sij=S(Ui, Oj
14、)表示用户Ui对数据对象Oj的存取权,与数据对象的值无关. 矩阵法简便有效, OS的存取检查中广泛使用2.2 基于授予基于授予/ /收回权限的自主访问控制收回权限的自主访问控制2 2 安全数据模型与多级安全数据库安全数据模型与多级安全数据库R, DR, URUn.R, DRRR, UU2R, IR, DR, DU1OmO2O1数据对象用户安全矩阵安全矩阵S2.2 基于授予基于授予/ /收回权限的自主访问控制收回权限的自主访问控制2 2 安全数据模型与多级安全数据库安全数据模型与多级安全数据库按行存储法 按用户存储的权利表方法。 用户Ui有一由偶对(Oj, Sij)组成的一维表行按列存储法按数据
15、对象存储的权利表方法。数据对象Oj有一由偶对(Uj, Sij)组成的一维表列 2.2 基于授予基于授予/ /收回权限的自主访问控制收回权限的自主访问控制2 2 安全数据模型与多级安全数据库安全数据模型与多级安全数据库安全矩阵法实现技术安全矩阵法实现技术锁钥实现法矩阵法中按行存储与按列存储方法的结合每个用户Ui设立一个钥表(O1, K1), (O2, K2),. (Om, Km),每个数据对象Oj设立一个锁表(L1, P1), (L2, P2),. (Ls, Ps),Ki:保密钥;Li:保密锁;Pi:存取权集合锁钥表由数据安全子系统管理若Ui对Oj存取权Pi时, 查其Kj是否能与Oj中的某一Lk
16、配对, 若存在这样的Lk, 使Kj=Lk, 且Pi Pk,则批准存取.2.2 基于授予基于授予/ /收回权限的自主访问控制收回权限的自主访问控制2 2 安全数据模型与多级安全数据库安全数据模型与多级安全数据库安全矩阵法实现技术安全矩阵法实现技术口令实现法将锁钥法中的钥匙直接交给用户, 则称口令法面向数据对象 每个数据对象有一个存取口令, 用户通过出示其存取口令来访问数据对象. 安全表集中管理, 系统实现简单面向用户 每个用户或用户组一个口令, 口令表中存放该口令可以访问的对象列表简单口令表划分安全级别的口令表2.2 基于授予基于授予/ /收回权限的自主访问控制收回权限的自主访问控制2 2 安全
17、数据模型与多级安全数据库安全数据模型与多级安全数据库安全矩阵法实现技术安全矩阵法实现技术面向用户的简单口令系统O1, O2 , O9 , O10PWnO5, O7, O9PW1能存取的数据对象口令2.2 基于授予基于授予/ /收回权限的自主访问控制收回权限的自主访问控制2 2 安全数据模型与多级安全数据库安全数据模型与多级安全数据库划分安全级别的口令表12PWn75PW243PW11010PW-DBAWriteRead口令2.2 基于授予基于授予/ /收回权限的自主访问控制收回权限的自主访问控制2 2 安全数据模型与多级安全数据库安全数据模型与多级安全数据库t1374t12t1143关系1Wr
18、iteReadT231010T22T2174关系2WriteRead12关系3WriteRead关系及元组的安全级表2.2 基于授予基于授予/ /收回权限的自主访问控制收回权限的自主访问控制2 2 安全数据模型与多级安全数据库安全数据模型与多级安全数据库2.2 基于授予基于授予/ /收回权限的自主访问控制收回权限的自主访问控制2 2 安全数据模型与多级安全数据库安全数据模型与多级安全数据库结论DBA所持口令的级别最高,可读写全部关系和元组。持有口令PW1的各用户可读写关系1中除元组t12之外的所有元组及整个关系3持有口令PW2的各用户可读写除元组t22之外的关系2、关系1和关系3的全部元组持有
19、口令PWn的各用户,只能读写关系3动态授权方式用户对自己生成的关系拥有全权, 通过授权和收权语句完成对数据开放, 保密的存取权授予(Grant, Revoke)访问表(AT)法Userid: 接受方用户;oname: 授予的数据对象操作类型:R: Read; U: Update; I:insert; D: delete; DR: dropType:对象类型,t是表,V是试图Grantor: 授予方用户操作类型:t: Time; g: 转让, Y: 允许; N: 不允许; opt: 限制, all: 所有属性都允许, none: 所有属性都不允许, some: 某些属性允许视图法(略)2.2 基
20、于授予基于授予/ /收回权限的自主访问控制收回权限的自主访问控制2 2 安全数据模型与多级安全数据库安全数据模型与多级安全数据库N-N-N-NoneN-AllY40CrempXN30N30N30AllN30AllY30BrempXY20Y20Y20AllY20AllY20ArempCN-Y10Y10NoneN-AllY10ArempBY0Y0Y0AllY0AllY0-rempAgtgtgtoptgtoptgtdrdiurgrantortypeonameuserid动态授权方式的存取表动态授权方式的存取表AT2.2 基于授予基于授予/ /收回权限的自主访问控制收回权限的自主访问控制2 2 安全数
21、据模型与多级安全数据库安全数据模型与多级安全数据库发展历史和 L.J.La Padula 于1973年模拟军事安全策略创建的计算机系统安全模型, 74年改进, 76年用于Multics操作系统形式化定义状态机模型它形式化定义了模型中的概念,证明了其中的定理和结论,并表明系统可通过数学推导证明其自身的安全性系统状态状态v V , V=(B M F H) B:当前存取集, B (S O A) ,S: 主体集; O: 客体集 ;A: 访问方式集合, 有Read(R), Write(W), Execute (E), Append (A)2.3 多级安全多级安全BLPBLP模型模型2 2 安全数据模型与
22、多级安全数据库安全数据模型与多级安全数据库存取控制矩阵 M=m11 m1nmn1 mnn.mij A 表示Si主体对客体Oj的访问权集 F: 安全级函数,有三个分量Fn:主体最大安全级函数Fc:主体当前最大安全级函数Fo:客体安全级函数 H: 当前客体层次结构 H(O): 以O为根的树中客体集合2.3 多级安全多级安全BLPBLP模型模型2 2 安全数据模型与多级安全数据库安全数据模型与多级安全数据库状态转换规则 : R V D VR V :系统中给请求定义的请求-状态对集合D V :系统中给请求定义的判定-状态对集合R: 请求集 D: 请求的输出集 yes, no, ?, errorYes:
23、请求被执行;No:请求未执行;?:应用规则时遇到意外情况;error:应用规则时遇到错误模型公理简单安全特性V=(b, M, f, H) 满足简单安全特性, 当且仅当对任意 b=(s, o, x) B , 有 x=e或者a 或者 x=r或者w 并且 fn(s) = fo(o)即主体读写或访问客体, 要求主体的最大安全级别 = 客体的安全级别2.3 多级安全多级安全BLPBLP模型模型2 2 安全数据模型与多级安全数据库安全数据模型与多级安全数据库*特性V=(b, M, f, H) 对以主体集S S 满足*特性, 当且仅当对任意b=(s, o, x) Bx=a fc (s) = fo (o) S
24、是不可信主体该特性用以防止不可信主体引起的信息从高安全级向低安全级的非法流动2.3 多级安全多级安全BLPBLP模型模型2 2 安全数据模型与多级安全数据库安全数据模型与多级安全数据库自主安全特性V=(b, M, f, H)满足该特性, 当且仅当对每个b=(si, oj, x) B, x MijSi对Oj可执行的读写访问集只能是Mij所允许的集合兼容特性客体层次结构H保持兼容特性, 当且仅当对任意Oi, Oj O , 有Oj H(Oi), fo(Oj) = fo(Oi), 用于保持客体的安全级别是向树叶方向增高2.3 多级安全多级安全BLPBLP模型模型2 2 安全数据模型与多级安全数据库安全
25、数据模型与多级安全数据库1991年Jajodia和Sandhu提出的一种实现强制访问控制的RDB系统DAC和DAC自主访问控制,在关系上授权和收回特权强制访问控制,在安全类别基础上,对数据和用户进行分类基础主体集S, 客体集O每个主体s, 存在固定的安全类class(S)每个客体o, 存在固定的安全类class(O)简单安全特性: if class(O) = class(S) 时, S可以读O (下读)*特性: if class(S) = class(O)时, S才可以写O ( 上写)2.4 基于安全性分类级别标记的强制访问控制基于安全性分类级别标记的强制访问控制2 2 安全数据模型与多级安全
26、数据库安全数据模型与多级安全数据库基本概念安全标记基于标记的安全DB中, 信息流动策略定义为一个格阵(SC, )SC: 安全类的有限集 :定义在SC上的二元偏序关系每个安全类定义为 (level, Scope) level: 密级, 分为绝密(TS), 秘密(S), 机密(C), 普通(U)Scope: 领域当A B时, 允许A类信息流向B类.2.4 基于安全性分类级别标记的强制访问控制基于安全性分类级别标记的强制访问控制2 2 安全数据模型与多级安全数据库安全数据模型与多级安全数据库客体安全标记为实现强制访问控制, 对数据进行标记, 按粒度分为三级基于元组的标记 (A1, A2, ., An
27、, TC) Ai,关系的每个属性 TC,元组分类属性基于主键的标记 (A1, C1, A2, ., An, TC) Ci,与每个属性Ai相关联的分类级别属性基于每个属性的标记 (A1, C1, A2, C2, ., An, Cn, TC)2.4 基于安全性分类级别标记的强制访问控制基于安全性分类级别标记的强制访问控制2 2 安全数据模型与多级安全数据库安全数据模型与多级安全数据库主体安全标记由系统安全员指派给用户, 也是用户向系统登录时使用的安全标记. 一个用户可以申请不同的许可证.读写策略当且仅当 Level_o = Level_s, 并且Scope_o Scope_s 时, 主体才能读客体
28、当且仅当 Level_o = Level_s, 并且Scope_o = Scope_s 时, 主体才能写客体2.4 基于安全性分类级别标记的强制访问控制基于安全性分类级别标记的强制访问控制2 2 安全数据模型与多级安全数据库安全数据模型与多级安全数据库基于标记的多级安全关系对关系的扩展将关系R(A1, A2, ., An)扩展为 R(A1, C1, A2, C2,., An, Cn, TC), Ci是Ai的定义域, 由区间 Li, Hi 表示从Li到Hi的访问类子格, TC是整个元组的安全标记, 由区间 lubLi:i=1,n, lubHi:i=1,n 表示.关系实例 r (A1, C1, A
29、2, C2,., An, Cn, TC) 关系实例中元组 t (a1, c1, a2, c2,., an, cn, tc) ciLi, Hi, tc=lub(ci : i=1,2,n)不同级别的主体对关系实例有不同的视图2.4 基于安全性分类级别标记的强制访问控制基于安全性分类级别标记的强制访问控制2 2 安全数据模型与多级安全数据库安全数据模型与多级安全数据库多级安全的读写规则主体与客体都被标记, 并遵循Bell-La Padula模型主体只能读其级别等于或小于其登录标记(许可证)的元组 下读主体写时, 其登录标记也随之记录到所写元组中, 成为该元组的安全级别, 并且只能写入级别等于或大于其
30、登录标记的元组 上写2.4 基于安全性分类级别标记的强制访问控制基于安全性分类级别标记的强制访问控制2 2 安全数据模型与多级安全数据库安全数据模型与多级安全数据库2.4 基于安全性分类级别标记的强制访问控制基于安全性分类级别标记的强制访问控制2 2 安全数据模型与多级安全数据库安全数据模型与多级安全数据库(a) EMPLOYEE:原来的EMPLOYEE关系 Name Salary JobPerformance TC Smith U 40000 C Fair S S Brown C 80000 S Good C S(b) EMPLOYEE:具有许可证级别C的用户所看到的EMPLOYEE关系 N
31、ame Salary JobPerformance TC Smith U 40000 C null C C Brown C null C Good C C(c) EMPLOYEE:具有许可证级别U的用户所看到的EMPLOYEE关系 Name Salary JobPerformance TC Smith U null U null U U (d) EMPLOYEE:Smith元组的多重实例 Name Salary JobPerformance TC Smith U 40000 C Fair S S Smith U 40000 C Excellent C C Brown C 80000 S Goo
32、d C C计算机系统的安全标准1983年美国防部桔皮书 TCSEC1990年欧洲白皮书 ITSEC美国、加拿大和欧洲四国联合研制的CC1994年我国1999年我国GB17859-1999TCSEC将安全分为四类7个级别D类,最低安全级别,只有一个级别D级3.1 计算机系统的安全评估标准计算机系统的安全评估标准3 3 计算机系统与计算机系统与DBMSDBMS的安全评估标准的安全评估标准C类:自主保护类 , 基于主体身份来限制对客体访问, 主体可自主地决定其权限的授与C1级:自主安全 (自主存取控制, 审计)C2级:可控存取 (比C1更强)B类:强制保护类, 基于主体与客体各自所具有的敏感度标记的
33、控制关系来决定主体对客体的访问B1级:标记安全(强制存取控制, 敏感标记)B2级:结构化保护(形式化模型, 隐蔽通道约束)B3级:安全域保护(安全内核, 高抗渗透)A类:验证保护类A1级:可验证保护,形式化安全验证,隐蔽通道分析3.1 计算机系统的安全评估标准计算机系统的安全评估标准3 3 计算机系统与计算机系统与DBMSDBMS的安全评估标准的安全评估标准形式化安全验证,隐蔽通道分析可验证保护A1验证保护等级A4安全内核,高抗渗透能力安全域保护B3形式化模型,隐蔽通道约束结构化保护B2强制存取控制,敏感度标记标记安全保护B1强制保护等级B3比C1级更强的自主存取控制,审计功能可控存取保护C2
34、自主存取控制,审计功能自主安全保护C1自主保护等级C2最小安全保护D最低保护等级D1主要特征安全等级TCSCE的安全等级与主要特征表的安全等级与主要特征表3.1 计算机系统的安全评估标准计算机系统的安全评估标准3 3 计算机系统与计算机系统与DBMSDBMS的安全评估标准的安全评估标准DBMS的安全评估标准应与OS有相同的安全级别1991年美国国家计算机安全中心根据TCSEC制订紫皮书DBMS的安全也分四类,7级, 25条评估标准D级: 低级安全保护 C1级:自主安全保护C2级:受控存取保护 B1级:标记安全保护B2级:结构化保护 B3级:安全域保护A1级:可验证保护3.2 DBMS DBMS
35、的安全评估标准的安全评估标准3 3 计算机系统与计算机系统与DBMSDBMS的安全评估标准的安全评估标准 * - - - - - * * * * * - * - - - - - * - * * * * *24252627安全性能用户指南保安设施手册考核文件设计文件文件 * * * - - - * - - - - - * * * * * * * * * * * * * * * - * - * * - *151617181920212223体系结构系统的完整性完全考核设计规范与验证隐蔽通道分析可信设施管理配置管理恢复可信分配 保证 * * * - - - * * * * - * * -121314
36、标示与鉴别审计可信路径责任 * * - - * - - * - - - - * * - - * - - - * - - - * - - - * - - - * - - - * * - - * - - * - -1234567891011自主访问控制客体重用标记标记的完整性标记信息输出多级设备输出单级设备输出标记的硬拷贝输出强制访问控制主体安全表示设备标记安全策略D C1 C2 B1 B2 B3 A1序号安全评估指标类别不同安全级别对安全评估指标的支持当前流行的几种RDBMS安全机制的共性权限(Privilege)和授权(Authorization):Grant和Revoke角色(Role)系统
37、角色:系统预先定义用户定义角色:命令方式或过程调用方式定义身份认证(Authorization)为确认某人是他自称的那个人, 检查他的合法性身份认证一般有三个级别系统登录认证: OS检查数据库连接 : DBMS验证数据库对象使用:DBMS核实其对数据对象的存取权限3.3 当前流行的几种当前流行的几种RDBMSRDBMS安全机制安全机制3 3 计算机系统与计算机系统与DBMSDBMS的安全评估标准的安全评估标准OS或NOS验证身份DBMS验证身份DBMS验证权限用户名/口令登陆OS或NOS登陆DBMS访问DB身份认证的三个级别3.3 当前流行的几种当前流行的几种RDBMSRDBMS安全机制安全机
38、制3 3 计算机系统与计算机系统与DBMSDBMS的安全评估标准的安全评估标准自主访问控制采用存取矩阵模型实现自主访问控制描述用户对DB级其对象的访问权限通过Grant语句建立审计(Auditing)固定方式:系统自动对其进行审计选择方式:审计内容由用户(包括DBA)设置用作安全的视图, 存储过程和触发器视图:过滤掉需要保密的列存储过程:为实现某一功能的一组SQL语句触发器:有事件触发执行的一种特殊的存储过程3.3 当前流行的几种当前流行的几种RDBMSRDBMS安全机制安全机制3 3 计算机系统与计算机系统与DBMSDBMS的安全评估标准的安全评估标准流行RDBMS在安全机制方面的努力与改进
39、目前系统符合TCSEC的C1或C2级要求ORACLE公司的Trusted Oracle是多级安全服务器强制访问控制:任意用户访问DB前, 对其进行强制访问控制使用标签:DB中每一行都有一个安全标签, 表示该行数据的敏感度用户可写数据标签 = 用户当前任务的敏感度标签 (同级写)用户可读数据标签 或= 用户当前任务的敏感度标签 (下读)3.3 当前流行的几种当前流行的几种RDBMSRDBMS安全机制安全机制3 3 计算机系统与计算机系统与DBMSDBMS的安全评估标准的安全评估标准Sybase和TRM合作开发的符合TCSEC的B类标准安全SQL服务器B1版本:B1级安全的UNIX上运行B2版本:
40、据称可在裸机上运行DB2对用户身份验证的改进Client类型:验证在激活应用的服务器上进行Server类型:在数据库所驻留的服务器上进行分布式数据库服务器, 在安装了DDCS(数据库管理和分布数据库连接服务)的网关上进行, 若验证为DCS类型, 验证被传递到主机DBMS, 若数据访问不涉及DDCS, 则在数据库驻留的服务器上对身份验证3.3 当前流行的几种当前流行的几种RDBMSRDBMS安全机制安全机制3 3 计算机系统与计算机系统与DBMSDBMS的安全评估标准的安全评估标准国内外较著名的MLS DBMS名称安全等级标记粒度说明SeaViewA1元素级原型系统ASDA1元组级原型系统LDV
41、A1元素级原型系统Trusted OracleB1元组级Sybase SQL Secure ServerB1元组级SDM3B2元素级B2级部分功能3.3 当前流行的几种当前流行的几种RDBMSRDBMS安全机制安全机制3 3 计算机系统与计算机系统与DBMSDBMS的安全评估标准的安全评估标准数据库目录(Database Catalog)也称数据字典或者原数据它是一个“微小DB”, 描述DB中数据的数据数据库目录的作用外部对数据库的操作定义数据对象,查询,添加,删除,更新数据等内部数据库的运作事务管理,授权检查,并发控制,故障恢复、命令翻译等分布式数据库目录数据分布的透明性、各站点的自制性、分
42、布式事务运行和管理都与目录有关分布式数据库的目录也构成一个分布式数据库,比集中式数据库更加复杂4.1 分布式数据库目录的重要性分布式数据库目录的重要性4 4 分布式数据库的目录结构和管理分布式数据库的目录结构和管理分布式数据库目录的内容全局模式描述分片模式描述分布模式描述局部名称映射存取方式描述数据库统计信息一致性约束状态信息数据表示系统描述4.2 分布式数据库目录的内容和用途分布式数据库目录的内容和用途4 4 分布式数据库的目录结构和管理分布式数据库的目录结构和管理目录的用途设计应用翻译应用优化处理运行监督系统维护4.2 分布式数据库目录的内容和用途分布式数据库目录的内容和用途4 4 分布式
43、数据库的目录结构和管理分布式数据库的目录结构和管理4.2 分布式数据库目录的内容和用途分布式数据库目录的内容和用途4 4 分布式数据库的目录结构和管理分布式数据库的目录结构和管理系统目录数据库管理员应用程序员最终用户安全授权子系统编译器预编译器应用程序报告生成器完整性约束实施器查询优化器全局数据库控制器通信子系统 人员接口 DBMS及软件接口组织方式独立式:利用OS提供的文件管理功能建立和维护目录信息分离式:利用DBMS建立和维护目录信息, 但其用户界面和功能均独立于DBMS嵌入式:DBMS与目录信息一体化, 即数据目录系统作为DBMS的子集, DBMS通常应用该方式4.3 DDB目录系统的组
44、织方式和逻辑结构目录系统的组织方式和逻辑结构4 4 分布式数据库的目录结构和管理分布式数据库的目录结构和管理网络目录全局外模式目录局部外模式目录全局概念模式目录局部概念模式目录内模式目录局部数据库DDBS目录系统的逻辑结构4.3 DDB目录系统的组织方式和逻辑结构目录系统的组织方式和逻辑结构4 4 分布式数据库的目录结构和管理分布式数据库的目录结构和管理逻辑结构网络目录含有运行,优化DDB的信息, 包括通信线路的有关参数, 各站点CPU的工作负载, 磁盘空间占有状态,语言配置,处理功能等全局外模式目录数据结构, 存储位置, 划分准则, 完整性, 安全性控制, 数据映像及存取路径, 各站点软硬件
45、特征全局概念模式目录全局关系, 公共过程等, 以反映DDB的整体观念, 提供唯一的系统映象4.3 DDB目录系统的组织方式和逻辑结构目录系统的组织方式和逻辑结构4 4 分布式数据库的目录结构和管理分布式数据库的目录结构和管理局部外模式目录与局部概念模式目录与全局外模式和全局模式目录类似, 但包含的信息仅涉及各自站点的处理对象, 与其它站点无关内模式目录DDBS的局部存储描述, 与集中式系统完全相同. 目的是合理地组织物理数据库, 以提高运行效率4.3 DDB目录系统的组织方式和逻辑结构目录系统的组织方式和逻辑结构4 4 分布式数据库的目录结构和管理分布式数据库的目录结构和管理目录管理系统在网络
46、OS和DDBMS的支持下实现对DB目录进行自动管理, 并保持其在动态变化过程中数据目录的一致性和有效性功能模块目录定义目录装入目录查询, 更新目录维护报告生成4.3 DDB目录系统的组织方式和逻辑结构目录系统的组织方式和逻辑结构4 4 分布式数据库的目录结构和管理分布式数据库的目录结构和管理目录的分布方式集中式单一主目录方式分组主目录全复制式目录每个站点存放一个全局目录局部式目录每个站点只存放局部目录混合方式集中与局部混合全复制与局部式混合混合的关键是目录的划分4.4 DDB目录的分布方式目录的分布方式4 4 分布式数据库的目录结构和管理分布式数据库的目录结构和管理站点自治允许每个局部用户在与
47、全局无关的前提下建立和命名其自己的局部数据, 并允许若干用户共享这些数据的权利允许用户在各自站点独立定义数据允许不同用户在自己站点对同一数据命名以不同的名字允许不同站点上的不同用户使用相同名字访问不同数据4.5 具有站点自治性的对象命名和目录管理具有站点自治性的对象命名和目录管理4 4 分布式数据库的目录结构和管理分布式数据库的目录结构和管理命名机制(System R为例,有两种命名机制)系统范围名4部分组成:创建对象的用户标识符用户所在站点名对象名对象的源站点名User-1shanghai.EMP beijing“”是站点名的前置分隔符“.” 是对象名的前置分隔符该例表示上海站点的用户Use
48、r-1在北京站点上创建了一个EMP的全局对象名打印名系统范围名的速记名,1、2、4项可缺省,3不可省略4.5 具有站点自治性的对象命名和目录管理具有站点自治性的对象命名和目录管理4 4 分布式数据库的目录结构和管理分布式数据库的目录结构和管理目录分布策略在每一对象的源站点存放一个描述该对象的目录项在对象副本所在的每一个站点设置该对象相应的目录项目录分布特点避免了目录的全复制, 各站点可以自主定义对象站点不需维护不是其创建或不在那里存放的对象描述,即目录信息4.5 具有站点自治性的对象命名和目录管理具有站点自治性的对象命名和目录管理4 4 分布式数据库的目录结构和管理分布式数据库的目录结构和管理
49、DDB中给予每个站点自治性的程度没有任何自治性:全局DBA的功能与集中式DBA没有多少差别完全站点自治: 全局DBA功能有限, 因为每个站点都是独立管理的,两个站点间共享数据是其协商的结果激活与保护站点之间的通信, 重要的是要保证通信线路另一侧是所要的站点,通过建立一个识别协议来实现没有入侵者能读取或操纵两个站点之间交换的报文,要有保护报文的保护机制,最好是用密码机制5.1 分布式数据库中的权限保护分布式数据库中的权限保护5 5 分布式数据库中的权限保护和用户识别分布式数据库中的权限保护和用户识别权限规则的分布全局复制和全局复制目录相似,允许在编译时, 或者执行开始时检验权限, 能较早发现用户
50、是否是合法访问将权限规则分配在对象所属的站点此法与站点自治一致, 但是用户权限检验只能在编译或执行的某个中间阶段通过访问数据实现DDB中要增加“移动”对象的权分布式数据库中除了读出、插入、创建和删除的权限,还有移动对象的权限,从一个站点移动到另外一个站点移动对象的权 插入和删除的权5.2 分布式数据库中权限规则的分布分布式数据库中权限规则的分布5 5 分布式数据库中的权限保护和用户识别分布式数据库中的权限保护和用户识别 用户识别原则上说用户可以在DDBS内的任一站点被识别全复制口令 口令可以在DDB的所有站点中复制, 缺点是危害口令的保密性“家乡”站点 每个用户可以有一个“家乡”站点, 在那儿
51、对其识别“穿越” 限制每个用户只在家乡站点登录并识别优点:用穿越功能使在远程登录的用户能把它们的终端连到其家乡站点识别认为用户识别比Data和Program更为“静止”, 即用户常常在同一个站点访问DDB5.3 分布式数据库中的用户识别和分类分布式数据库中的用户识别和分类5 5 分布式数据库中的权限保护和用户识别分布式数据库中的权限保护和用户识别用户分类用户分类是为了简化处理权限的方法及减少存储的信息,每类中的用户全都具有同样的特权自然分类根据数据库数据在不同站点中的分布考虑 例: 站点1的全部用户用户组中包含来自多个站点用户与“纯粹”站点自治相对立要考虑“该组访问权信息存放何处”类问题5.3 分布式数据库中的用户识别和分类分布式数据库中的用户识别和分类5 5 分布式数据库中的权限保护和用户识别分布式数据库中的权限保护和用户识别总总 结结数据库安全性概述数据库安全性概述安全数据模型与多级安全数据库安全数据模型与多级安全数据库计算机系统与数据库系统的安全评估标准计算机系统与数据库系统的安全评估标准分布式数据库的目录结构和管理分布式数据库的目录结构和管理分布式数据库中权限保护和用户识别分布式数据库中权限保护和用户识别
