1、1,第 六 章 多級安全數(shù)據(jù)庫 管理系統(tǒng),2,本 章 概 要,6.1 安全數(shù)據(jù)庫標(biāo)準(zhǔn) 6.2 多級安全數(shù)據(jù)庫關(guān)鍵問題 6.3 多級安全數(shù)據(jù)庫設(shè)計準(zhǔn)則 6.4 多級關(guān)系數(shù)據(jù)模型 6.5 多實例 6.6 隱蔽通道分析,3,6.1 安全數(shù)據(jù)庫標(biāo)準(zhǔn) 6.1.1 可信計算機系統(tǒng)評測標(biāo)準(zhǔn),為降低進而消除對系統(tǒng)的安全攻擊，各國引用或制定了一系列安全標(biāo)準(zhǔn) TCSEC (桔皮書) TDI (紫皮書),4,1985年美國國防部（DoD）正式頒布 DoD可信計算機系統(tǒng)評估標(biāo)準(zhǔn) 簡稱TCSEC或DoD85，TCSEC又稱桔皮書 TCSEC標(biāo)準(zhǔn)的目的 提供一種標(biāo)準(zhǔn)，使用戶可以對其計算機系統(tǒng)內(nèi)敏感信息安全操作的可信程度做

2、評估。 給計算機行業(yè)的制造商提供一種可循的指導(dǎo)規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應(yīng)用的安全需求。,5,TCB可信計算基：是Trusted Computing Base的簡稱，指的是計算機內(nèi)保護裝置的總體，包括硬件、固件、軟件和負(fù)責(zé)執(zhí)行安全策略管理員的組合體。它建立了一個基本的保護環(huán)境并提供一個可信計算機系統(tǒng)所要求的附加用戶服務(wù)。,6,1991年4月美國NCSC（國家計算機安全中心）頒布了可信計算機系統(tǒng)評估標(biāo)準(zhǔn)關(guān)于可信數(shù)據(jù)庫系統(tǒng)的解釋 簡稱TDI，又稱紫皮書 它將TCSEC擴展到數(shù)據(jù)庫管理系統(tǒng) 定義了數(shù)據(jù)庫管理系統(tǒng)的設(shè)計與實現(xiàn)中需滿足和用以進行安全性級別評估的標(biāo)準(zhǔn),7,TDI/TCSEC標(biāo)準(zhǔn)的基本

3、內(nèi)容,TDI與TCSEC一樣，從四個方面來描述安全性級別劃分的指標(biāo) 安全策略 責(zé)任 保證 文檔,8,TCSEC/TDI安全級別劃分,四組七個等級 按系統(tǒng)可靠或可信程度逐漸增高 各安全級別之間具有一種偏序向下兼容的關(guān)系，即較高安全性級別提供的安全保護要包含較低級別的所有保護要求，同時提供更多或更完善的保護能力。,9,等級說明：D，C1,D級（最小保護級） 將一切不符合更高標(biāo)準(zhǔn)的系統(tǒng)均歸于D組 典型例子：DOS是安全標(biāo)準(zhǔn)為D的操作系統(tǒng) DOS在安全性方面幾乎沒有什么專門的 機制來保障無身份認(rèn)證與訪問控制。 C1級（自主安全保護級） 非常初級的自主安全保護 能夠?qū)崿F(xiàn)對用戶和數(shù)據(jù)的分離，進行自主存取控

4、制（DAC），保護或限制用戶權(quán)限的傳播。早期的UNIX系統(tǒng)屬于這一類。 這類系統(tǒng)適合于多個協(xié)作用戶在同一個安全級上處理數(shù)據(jù)的工作環(huán)境。,10,等級說明：C2,C2級（受控的存取保護級） C2級達到企業(yè)級安全要求?？勺鳛樽畹蛙娪冒踩墑e 提供受控的自主存取保護，將C1級的DAC進一步細化，以個人身份注冊負(fù)責(zé)，并實施審計（審計粒度要能夠跟蹤每個主體對每個客體的每一次訪問。對審計記錄應(yīng)該提供保護，防止非法修改。）和資源隔離，客體重用，記錄安全性事件 達到C2級的產(chǎn)品在其名稱中往往不突出“安全”(Security)這一特色 典型例子 操作系統(tǒng)：Microsoft的Windows NT 3.5，數(shù)字設(shè)備

5、公司的Open VMS VAX 6.0和6.1，linux系統(tǒng)的某些執(zhí)行方法符合C2級別。 數(shù)據(jù)庫：Oracle公司的Oracle 7，Sybase公司的 SQL Server 11.0.6,11,等級說明：B1,B1級（標(biāo)簽安全保護級） 標(biāo)記安全保護?！鞍踩?Security)或“可信的”(Trusted)產(chǎn)品。 對系統(tǒng)的數(shù)據(jù)加以標(biāo)記，對標(biāo)記的主體和客體實施強制存取控制（MAC）、對安全策略進行非形式化描述，加強了隱通道分析，審計等安全機制 典型例子 操作系統(tǒng)：數(shù)字設(shè)備公司的SEVMS VAX Version 6.0，惠普公司的HP-UX BLS release 9.0.9+ 數(shù)據(jù)庫：Or

6、acle公司的Trusted Oracle 7，Sybase公司的Secure SQL Server version 11.0.6，Informix公司的Incorporated INFORMIX-OnLine / Secure 5.0,12,等級說明：B2,B2級（結(jié)構(gòu)化保護級） 建立形式化的安全策略模型并對系統(tǒng)內(nèi)的所有主體和客體實施DAC和MAC，從主體到客體擴大到I/O設(shè)備等所有資源。要求開發(fā)者對隱蔽信道進行徹底地搜索。TCB劃分保護與非保護部分，存放于固定區(qū)內(nèi)。 經(jīng)過認(rèn)證的B2級以上的安全系統(tǒng)非常稀少 典型例子 操作系統(tǒng)：只有Trusted Information Systems公司的

7、Trusted XENIX一種產(chǎn)品 標(biāo)準(zhǔn)的網(wǎng)絡(luò)產(chǎn)品：只有Cryptek Secure Communications公司的LLC VSLAN一種產(chǎn)品 數(shù)據(jù)庫：沒有符合B2標(biāo)準(zhǔn)的產(chǎn)品,13,等級說明：B3，A1,B3級（安全區(qū)域保護級） 該級的TCB必須滿足訪問監(jiān)控器的要求，安全內(nèi)核，審計跟蹤能力更強，并提供系統(tǒng)恢復(fù)過程。即使計算機崩潰,也不會泄露系統(tǒng)信息。 A1級（驗證設(shè)計級） 驗證設(shè)計，即提供B3級保護的同時給出系統(tǒng)的形式化設(shè)計說明和驗證以確信各安全保護真正實現(xiàn)。這個級別要求嚴(yán)格的數(shù)學(xué)證明。,14,說明,B2以上的系統(tǒng) 還處于理論研究階段 應(yīng)用多限于一些特殊的部門如軍隊等 美國正在大力發(fā)展安全

8、產(chǎn)品，試圖將目前僅限于少數(shù)領(lǐng)域應(yīng)用的B2安全級別下放到商業(yè)應(yīng)用中來，并逐步成為新的商業(yè)標(biāo)準(zhǔn)。,15,我國的信息系統(tǒng)安全評估工作是隨著對信息安全問題的認(rèn)識的逐步深化不斷發(fā)展的。早期的信息安全工作中心是信息保密，通過保密檢查來發(fā)現(xiàn)問題，改進提高。80年代后，隨著計算機的推廣應(yīng)用，隨即提出了計算機安全的問題，開展了計算機安全檢查工作。,6.1.2 我國信息安全評估標(biāo)準(zhǔn),16,我國信息安全評測標(biāo)準(zhǔn),我國國家質(zhì)量技術(shù)監(jiān)督局于1999年10月頒布了“計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則”，編號為GB 17859-1999 在2001年，發(fā)表了國家標(biāo)準(zhǔn)GB/T 18336-2001 信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)

9、安全技術(shù)要求正在報批。,17,GB 17859-1999將信息系統(tǒng)劃分為五個安全等級： 用戶自主保護級 系統(tǒng)審計保護級 安全標(biāo)簽保護級 結(jié)構(gòu)化保護級 訪問驗證保護級 基本上與TCSEC的C1、C2、B1、B2、B3級相對應(yīng)。,18,6.2 多級安全數(shù)據(jù)庫關(guān)鍵問題,多級安全數(shù)據(jù)庫關(guān)鍵問題包括： 多級安全數(shù)據(jù)庫體系結(jié)構(gòu) 多級安全數(shù)據(jù)模型 多實例 元數(shù)據(jù)管理 并發(fā)事務(wù)處理 推理分析和隱蔽通道分析,19,6.3 多級安全數(shù)據(jù)庫設(shè)計準(zhǔn)則,多級安全數(shù)據(jù)庫設(shè)計準(zhǔn)則如下： 提供多級密級粒度 確保一致性和完整性 實施推理控制 防止敏感聚合 進行隱蔽通道分析 支持多實例 執(zhí)行并發(fā)控制,20,6.4 多級關(guān)系數(shù)據(jù)模

10、型 6.4.1 安全的特征 傳統(tǒng)關(guān)系模型兩個重要的完整性： 實體完整性、引用完整性（參照完整性）。 多級關(guān)系數(shù)據(jù)模型三要素： 多級關(guān)系、多級關(guān)系完整性約束及多級關(guān)系操作。 多級安全模型需作的改進： 多級安全模型：在傳統(tǒng)關(guān)系模型基礎(chǔ)上各種邏輯數(shù)據(jù)對象強制賦予安全屬性標(biāo)簽。 修改傳統(tǒng)關(guān)系模型中關(guān)系的完整性及關(guān)系上的操作。,21,安全標(biāo)簽粒度：是標(biāo)識安全等級的最小邏輯對象單位。 安全標(biāo)簽粒度級別：關(guān)系級、元組級及屬性級。 安全粒度控制 按照不同的安全需求和實體類型，決定安全控制的程度。 例如，對數(shù)據(jù)的存取，可以是關(guān)系級、元組級及屬性級。 粒度越細，控制越靈活，但所對應(yīng)的操作越困難和復(fù)雜。,22,一、

11、多級關(guān)系 傳統(tǒng)的關(guān)系模式：R(A1,A2, An) 多級關(guān)系模式： R(A1,C1,A2,C2,An,Cn,TC) 元組的安全級別:TC 元組表示：t(a1,c1,a2,c2,an,cn,tc) 元組t的安全標(biāo)簽：ttc. 屬性ai的安全標(biāo)簽：tci. 例 Weapon多級關(guān)系表示。,6.4.2 多級關(guān)系,23,表1 原始Weapon多級關(guān)系,表2 Weapon U 級實例,24,表1 原始Weapon多級關(guān)系,表3 原始Weapon S級實例,25,表4 Weapon TS級實例,26,多級關(guān)系完整性： 實體完整性 空值完整性 多級外碼完整性與參照完整性 實例間完整性 多實例完整性,6.4.

12、3 多級關(guān)系完整性,27,一、實體完整性 設(shè)AK是定義在關(guān)系模式R上的外觀主碼，一個多級關(guān)系滿足實體完整性，當(dāng)且僅當(dāng)對R的所有實例Rc與tRc,有： AiAK = tAinull/ 主碼屬性不能為空 Ai , AjAK = tCitCj/主鍵各屬性安全等級一致，保證在任何級別上主鍵都是完整的。 Ai AK = tCi = tCAK/非碼屬性安全等級支配鍵值，保證關(guān)系可見的任何級別上，主鍵不可能為空。,28,二、空值完整性 在多級關(guān)系中，空值有兩種解釋: 一種確實為空。 另一種是實例的等級低于屬性的等級使此屬性不可見，從而顯示為空。 空值完整性使用了歸類關(guān)系，歸類關(guān)系如下：如果兩元組t和s，如果

13、屬性Ai滿足下列條件之一，元組t包含元組s。 對于兩元組t和s, 如果任何一個屬性 tAi ,Ci sAi ,Ci; tAinull且 sAinull，則稱元組t包含元組s。,29,一個多級關(guān)系R滿足空值完整性，當(dāng)且僅當(dāng)對R的每個實例Rc均滿足下列兩個條件： 空值的安全級別與主鍵相同。 即對于所有的tRc, tAinull = tcitCAK Rc不含有兩個有包含關(guān)系的不同元組。,30,例1 多級關(guān)系違反了空值完整性,多級關(guān)系違反了空值完整性,31,三、多級外碼完整性與參照完整性 多級外碼完整性： 假設(shè)FK是參照關(guān)系R的外碼，多級關(guān)系R的一個實例Rc滿足外碼完整性，當(dāng)且僅當(dāng)對所有的tRc滿足：

14、 或者（所有AiFK） tAi = null， 或者（所有AiFK） tAinull /外碼屬性全空或全非空 Ai , AjFK = tCitCj。 /外碼的每個屬性具有相同的安全級別,32,多級參照完整性： 假設(shè)FK1是具有外觀主碼AK1參照關(guān)系R1的外碼，R2具有外觀主碼AK2的被參照關(guān)系，多級關(guān)系R1的一個實例 r1 和多級關(guān)系R2的一個實例 r2滿足參照完整性，當(dāng)且僅當(dāng) 所有t11r1 , t11FK1 null , E t21r2 ,t11FK1 = t21AK2 t11TC= t21TC t11CFK1 t21CAK2。 外鍵的訪問等級必須支配引用元組中主鍵的訪問等級。,33,四、

15、實例間完整性 多級關(guān)系Rc滿足實例間完整性，當(dāng)且僅當(dāng)對所有 cc，Rc=( Rc，c)，其中過濾函數(shù)按以下方法從Rc產(chǎn)生安全等級為c的實例Rc： 所有 tRc, tCAKc, tRc， 滿足tAK,CAK= tAK,CAK./主碼保留 所有Ai AK有 tAi,Ci=tAi,Ci if tCi c tAi,Ci= otherwise,E,消除Rc的歸類元組,34,表1.多級關(guān)系“衛(wèi)星” S級實例,實例間完整性舉例：例1,表2.多級關(guān)系“衛(wèi)星”過濾后U級實例,35,表4.多級關(guān)系“衛(wèi)星”S級實例,表5.多級關(guān)系“衛(wèi)星”過濾后S級實例,實例間完整性舉例：例2,表3.多級關(guān)系“衛(wèi)星” U級實例,36

16、,五、多實例完整性 假設(shè)多級關(guān)系R的外觀主碼集合為AK，主碼等級為CAK 。多實例完整性要求由AK、CAK以及第i個屬性的等級Ci便可確定第i個屬性值A(chǔ)i 。 一個多級關(guān)系滿足多實例完整性，當(dāng)且僅當(dāng)每個Rc中的每個屬性Ai ,滿足AK,CAK,Ci Ai 即Ai函數(shù)依賴于AK,CAK,Ci 。 同一級別的元組之間不存在多實例。,37,多級關(guān)系Weapon(滿足多實例完整性),多級關(guān)系Weapon(不滿足多實例完整性) （元組級別相同主鍵重復(fù)）,38,6.4.4 多級關(guān)系操作 一、 插入操作 形式：INSERT INTO Rc(Ai ,Aj) VALUES (ai ,aj) 當(dāng)插入元組t（新插入

17、）與主鍵值相同的元組t時： 1）若tTC tTC,拒絕t的插入。/滿足多 實例完整性約束 2）若tTC t TC,允許或拒絕t的插入均可 以。 /多級關(guān)系操作盡量減少額外元組,39,例1 S級別主體插入操作 1）主碼值不同，正常插入 INSERT INTO Weapon VALUES “Cannonl,10,200” 插入后,Weapon多級關(guān)系的S級插入,40,2）主碼值、級別相同，系統(tǒng)不允許插入。 INSERT INTO Weapon VALUES “Cannonl,10,200”/S級插入,Weapon多級關(guān)系的S級插入,41,3）主碼值相同，但插入元組級別低，允許插入， 防止隱通道，產(chǎn)

18、生多實例。 INSERT INTO Weapon VALUES “Missile2,250,30”/ S級插入 插入前,Weapon多級關(guān)系的S級插入,42,插入后產(chǎn)生多實例,Weapon多級關(guān)系的S級插入,43,二、更新操作 形式：UPDATE Rc SET AiSi ,AjSj WHERE p p是謂詞條件 針對關(guān)系間完整性的約束，更新操作對不同等級的關(guān)系實例的影響有以下三點： 對同等級關(guān)系實例的影響與傳統(tǒng)的UPDADE語句一樣。 對更低等級關(guān)系實例無影響。 對更高等級用戶，為避免隱蔽通道可能引入多實例。,44,例1密級為U的用戶要求對Weapon關(guān)系的 U級實例作更新操作。/直接修改 U

19、PDATE Weapon SET Quantity=3000 WHERE Wname=“Gun1”/ U級用戶,Weapon關(guān)系的 U 級實例,45,Weapon關(guān)系的 U 級實例,更新前,Weapon關(guān)系的 U 級實例,更新后,46,例2密級為U的用戶要求對Weapon關(guān)系的 S級實例作更新操作。 UPDATE Weapon SET Quantity=3000 WHERE Wname=“Gun1”/ U級用戶,Weapon關(guān)系的 S 級實例,47,Weapon關(guān)系的 S 級實例,更新前,Weapon關(guān)系的 S 級實例,更新后產(chǎn)生多實例,48,例3密級為S的用戶要求對Weapon關(guān)系的 S級實

20、例執(zhí)行如下更新操作。 UPDATE Weapon SET Range=2 WHERE Wname=“Gun1”AND Quantity=5000,Weapon關(guān)系的 S 級實例,49,Weapon關(guān)系的 S 級實例,更新后,Weapon關(guān)系的 S 級實例,更新前,50,例4密級為S的用戶要求對Weapon關(guān)系的 S級實例執(zhí)行如下更新操作。 UPDATE Weapon SET Range=2 WHERE Wname=“Gun1”/ S級用戶,Weapon關(guān)系的 S 級實例,51,Weapon關(guān)系的 S 級實例,更新后,Weapon關(guān)系的 S 級實例,更新前,52,三、刪除操作 形式：DELETE

21、 FROM Rc WHERE p p是謂詞條件 四、查詢操作 形式：SELECT A1,A2FROM R1 ,R2 WHERE pAT c1,c2, p是謂詞條件,53,6.5 多實例 多實例：是指在多級安全數(shù)據(jù)庫管理系統(tǒng)中，同時存在多個具有相同主碼值的實體。 多實例元組：關(guān)系包含多個具有相同主碼的元組，但相同主碼的安全等級可以不 相同，這些元組的安全等級不同。 多實例屬性：關(guān)系包含多個具有相同主碼的元組，但相同主碼的安全等級相同，這些元組的安全等級不同。,54,例：兩種多實例的情況。,多實例屬性的多級關(guān)系,多實例元組的多級關(guān)系,55,6.5.1 多實例的發(fā)生 可見多實例：當(dāng)高訪問等級的用戶想

22、在數(shù)據(jù)庫的一個域上插入數(shù)據(jù)，而在這個域上已經(jīng)存在低安全等級的數(shù)據(jù)時發(fā)生。 不可見多實例：當(dāng)?shù)驮L問等級的用戶想在數(shù)據(jù)庫的一個已經(jīng)有高安全等級的域上插入一個新數(shù)據(jù)時發(fā)生。,56,可見多實例,U級用戶將Range更新為1,S級用戶將Range更新為2,最初的多級關(guān)系,57,不可見多實例,最初的S級用戶實例,U級用戶將Range更新為1后，U級實例如下：,U級用戶將Range更新為2后，S級實例如下：,58,6.5.2 多實例引起的問題 多實例雖可防止隱蔽通道，但引起一些相關(guān)問題： 數(shù)據(jù)機密性與完整性沖突 增加了數(shù)據(jù)庫的管理難度 增加了對同一現(xiàn)實世界中不同模型理解的困惑。不清楚那個實例的信息是正確、可

23、信的。,59,6.5.3 多實例問題的處理 對多實例的處理采取下面的方法或其組合 使所有的主碼可見，主碼以關(guān)系內(nèi)可見的最低安全等級標(biāo)識 根據(jù)主碼可能的各種安全等級，劃分主碼的域。 限制對多級關(guān)系的插入。要求所有的插入由系統(tǒng)最高安全等級的用戶實施向下寫完成。,60,6.6 隱蔽通道分析 6.6.1 隱蔽通道及其分類 隱蔽通道：是指給定一個強制安全策略模型M和它在一個操作系統(tǒng)中的解釋I(M),I(M)中兩個主體I(Si)和I(Sj)之間的任何潛在通信都是隱蔽的,當(dāng)且僅當(dāng)模型M中的相應(yīng)主體Si和Sj之間的任何通信在M中都是非法的。（系統(tǒng)中不受安全策略控制的，違反安全策略的信息泄露路徑） 系統(tǒng)實際使用

24、中，攻擊者制造一組表面上合法的操作序列，將高級數(shù)據(jù)傳送到低級用戶。這種隱蔽的非法通道叫隱蔽通道。,61,隱通道通過不是用于數(shù)據(jù)傳遞的系統(tǒng)設(shè)施來發(fā)送信息 ，并且這種通信方式往往不被系統(tǒng)的存取控制機制所檢測和控制。 隱蔽通道的分類 存儲隱蔽通道和時序隱蔽通道 雙向同步隱蔽通道和單項同步隱蔽通道 無噪聲隱蔽通道和有噪聲隱蔽通道 聚集隱蔽通道和非聚集隱蔽通道 存儲隱蔽通道:如果一個隱通道是一個主體直接或間接地修改一存儲變量，而被另一主體通過直接或間接地讀取同一個變量獲得信息，這個隱通道是存儲隱通道。,62,例1:進程號隱通道. 進程號（PID）是系統(tǒng)中標(biāo)志進程的唯一符號，在許多操作系統(tǒng)中采用連續(xù)遞增的

25、方法來管理進程號，即新建的進程的進程號在上一個進程的進程號的基礎(chǔ)上加1，利用系統(tǒng)的這一管理機制也可產(chǎn)生隱通道，其操作過程如下：,63,操作過程： 接收方建立一個子進程并立即結(jié)束它，記錄下它的進程號； 發(fā)送方若發(fā)“0”，則什么也不做，若發(fā)“1”則建一個子進程并立即結(jié)束它； 接收方再建一個子進程并立即結(jié)束它，記錄下它的進程號，如果新的進程號與上一次得到的進程號相差1，則確認(rèn)接收到“0”，如果新的進程號與上一次得的進程號相差2，則確認(rèn)接收到“1”； 做好同步工作，轉(zhuǎn)入2，傳送下一比特。,64,時序隱蔽通道：時序隱通道的發(fā)送者通過對使用資源時間的影響來發(fā)送信息，接收者通過觀察響應(yīng)時間的變化來接收信息，

26、這個隱通道是時序隱通道。 例2：時序隱蔽通道。 CPU是一種可以利用的系統(tǒng)資源，可由多個用戶共享，假設(shè)有H和L兩個進程，H的安全級高于L，H企圖將信息傳遞給L。它們約定一系列間隔均勻的時間點t1，t1，t1，（間隔時間至少允許兩次CPU調(diào)度）。 L在每個時間點都請求使用CPU，而H在每個時間點，若要發(fā)送0，則不請求使用CPU；若要發(fā)送1，則請求使用CPU（假設(shè)H的優(yōu)先級高于L）。于是，在每個時間點，L若能立即獲得CPU的使用權(quán)，則確認(rèn)收到0，若要等待，則確認(rèn)收到1，這個隱通道被稱時序隱蔽通道。,65,雙向同步隱蔽通道和單項同步隱蔽通道 為了讓一個進程通知另外一個進程已經(jīng)完成了對一個數(shù)據(jù)的讀或?qū)?/p>

27、，在使用隱蔽通道傳遞信息之前，信息發(fā)送者和接收者之間必須規(guī)定好同步方式。 如果一個隱蔽通道中除了包含一個傳輸用戶數(shù)據(jù)的變量外，還包括兩個同步變量：一個同步變量用于發(fā)送者到接收者的同步，另一個用于接收者到發(fā)送者的同步，這種隱蔽通道稱為雙向同步隱蔽通道。 有些安全模型和它們的解釋允許一類接收者到一類發(fā)送者的通信，這類系統(tǒng)中從發(fā)送者到接收者的同步也不可缺少，這種隱蔽通道稱為單向同步隱蔽通道。,66,無噪聲隱蔽通道和有噪聲隱蔽通道 接收者收到的符號與發(fā)送者發(fā)送的符號完全一樣的可能性為1的信道稱為無噪聲信道，反之稱為有噪聲信道。 對于隱蔽通道來說，每個符號就是一比特。對于無噪聲隱蔽通道，不管系統(tǒng)中用戶的行為如何，發(fā)送者可以保證