1、一個(gè)新的多級(jí)安全數(shù)據(jù)庫(kù)模型及實(shí)現(xiàn)劉欣 沈昌祥(Email: ),由于現(xiàn)有多級(jí)安全模型的約束條件與現(xiàn)實(shí)工作需求存在著矛盾，本文提出了一個(gè)基于擴(kuò)展安全級(jí)的安全模型，本模型實(shí)現(xiàn)了強(qiáng)制訪問(wèn)控制，可達(dá)到B1級(jí)安全。本文描述了其基本定義、規(guī)則和定理，并簡(jiǎn)單介紹了其實(shí)現(xiàn)。,1、 前言 1.1現(xiàn)有安全模型 1.2 上述模型的不足 1.3新模型概述 2、新模型形式化描述 2.1定義 2.2規(guī)則 2.3模型的定理系統(tǒng) 3、應(yīng)用本模型的SDBMS實(shí)現(xiàn) 4、 結(jié)束語(yǔ),1.2 上述模型的不足,BLP作為經(jīng)典強(qiáng)制訪問(wèn)控制模型，其規(guī)則過(guò)于嚴(yán)格，會(huì)與實(shí)際工作需求發(fā)生沖突；比如，某高安全級(jí)主體可能要求寫(xiě)比其安全低的數(shù)據(jù)；下面例

2、子說(shuō)明該沖突： 比如，設(shè)一個(gè)表equipment中，Price是公開(kāi)，purpose是秘密，則操作： UPDATE equipment SET price=price*1.1 Where purpose =”missle test” 是無(wú)法執(zhí)行的。,SeaView模型做為BLP模型與Biba模型的結(jié)合，為維護(hù)數(shù)據(jù)庫(kù)完整性和避免隱通道，引入了多實(shí)例的概念，并將多級(jí)關(guān)系分解成單級(jí)關(guān)系存儲(chǔ)，這就大大降低了數(shù)據(jù)庫(kù)效率。 同樣上面的例子，若price 與purpose的完整級(jí)均為VI，而主體的寫(xiě)級(jí)與讀級(jí)分別為和，則由于完整性約束，使主體仍不能執(zhí)行上述操作。 如何既解決上述模型與實(shí)際需求的沖突，又保證強(qiáng)制

3、訪問(wèn)策略實(shí)施，達(dá)到B1級(jí)標(biāo)準(zhǔn)，本文提出了一個(gè)多級(jí)數(shù)據(jù)庫(kù)安全模型。,1.3 新模型概述,本模型通過(guò)給出一個(gè)安全級(jí)的新定義，擴(kuò)展了保密等級(jí)的概念，使一個(gè)主體具有最高保密等級(jí)和最低保密等級(jí)，并更改了“寫(xiě)”操作檢查規(guī)則，使主體可以在一定范圍內(nèi)向下寫(xiě)，增加了模型的靈活性和實(shí)用性。,1.3.1安全級(jí)的定義,本模型安全級(jí)由保密性等級(jí)、完整性等級(jí)和范圍的集合組成。一般說(shuō)來(lái)，保密性等級(jí)是如下四元素集合中的任一元素：絕密TS，機(jī)密S，秘密C，公開(kāi)U，此集合是全序的，即絕密TS機(jī)密S秘密C公開(kāi)U。完整性等級(jí)是如下集合中的一個(gè)元素：極重要C，非常重要VI，重要I，公開(kāi)U。此集合也是全序的，即CVIIU。范圍的集合是系

4、統(tǒng)中分類(lèi)元素集合的一個(gè)子集。這些元素依賴于所考慮的環(huán)境和應(yīng)用領(lǐng)域。 安全級(jí)形成服從偏序關(guān)系的格，此偏序關(guān)系稱(chēng)為支配（）關(guān)系。,1.3.2主體讀保密等級(jí)與寫(xiě)保密等級(jí),系統(tǒng)中每個(gè)主體的寫(xiě)保密等級(jí)是一個(gè)取值范圍，而非一個(gè)值，分別用Cmin, Cmax,則主體的寫(xiě)保密等級(jí)為偶對(duì)，讀保密等級(jí)Cmax。 如果一個(gè)主體的讀保密等級(jí)嚴(yán)格支配其最低寫(xiě)保密等級(jí)（Cmax Cmin），則稱(chēng)主體是可信的；允許可信主體將數(shù)據(jù)以低于讀保密等級(jí)的某保密等級(jí)寫(xiě)入，但必須證明主體沒(méi)有向下傳播信息（第二節(jié)將詳細(xì)介紹）。,1.3.3安全檢查規(guī)則,寫(xiě)操作安全檢查規(guī)則： （1）主體的當(dāng)前保密等級(jí)被客體的保密等級(jí)支配；主體的完整等級(jí)支配

5、客體的完整等級(jí)；主體的范圍包含于客體的范圍；或 （2）客體保密等級(jí)屬于主體的寫(xiě)保密等級(jí)；主體的完整等級(jí)支配客體的完整等級(jí)；主體的范圍包含于客體的范圍；符合保密性約束規(guī)則（第2.2節(jié)規(guī)則2） 本規(guī)則擴(kuò)展了安全級(jí)的概念，給主體寫(xiě)操作一個(gè)范圍，但同時(shí)又進(jìn)行了保密性約束。,讀操作安全檢查規(guī)則： 主體的保密等級(jí)支配客體的保密等級(jí)；主體的完整等級(jí)被客體的完整等級(jí)支配；主體的范圍包含客體的范圍。 這條規(guī)則符合BLP模型不上讀和Biba模型不下讀的規(guī)則。 讀寫(xiě)操作安全檢查規(guī)則： （1）客體保密等級(jí)等于主體的當(dāng)前保密等級(jí)；客體的完整等級(jí)等于主體的當(dāng)前完整等級(jí)；主體的范圍等于客體的范圍?；?（2）客體保密等級(jí)屬于

6、主體的寫(xiě)保密等級(jí)；客體的完整等級(jí)等于主體的當(dāng)前完整等級(jí)；主體的范圍等于客體的范圍。符合保密性約束規(guī)則,2模型介紹,2.1定義 定義1 系統(tǒng)狀態(tài)v：集合V中元素， vV=(BMFICTH) 當(dāng)前存取集B：B(SOA) 訪問(wèn)方式集合A：A=r,w,e,a,定義2 保密性規(guī)則集合CVP：保密性規(guī)則cvpCVP是客體到Y(jié)es,No是映射，其中Yes=1，No=0。Yes表示符合保密性規(guī)則，No表示不符合保密性規(guī)則。 函數(shù)k：k是CVP和Sec_L間的映射。，有且僅有唯一的k(cvp)Sec_L。 安全級(jí)sec_lSec_L對(duì)應(yīng)的保密性規(guī)則集合sec_l_cvp，sec_l_cvp=cvp|k(cvp)

7、= sec_l, cvpCVP。,定義3 安全代理集合DS 函數(shù)m：m是DS和Sec_L間的一一映射。有且僅有唯一的k(ds) Sec_L；，有且僅有唯一的m-1(sec_l)DS； 定義4 對(duì)一個(gè)寫(xiě)保密等級(jí)偶對(duì)（Cmin ，Cmax）和一個(gè)保密等級(jí)c，若CmincCmax，稱(chēng)c屬于該寫(xiě)保密等級(jí)。,2.2規(guī)則 我們用rq(Si,Oj,x)表示主體Si對(duì)客體Oj的x訪問(wèn)請(qǐng)求。 規(guī)則1 對(duì)任意b=(s,o,x) B： (1) x=a fc(s)fo(o), ic(s)io(o), cts(s) cto(o)； 或者fmin(s)fo(o)fc(s), ic(s)io(o), cts(s) cto(

8、o) 且滿足規(guī)則2； (2) x=w f(s) =fo(o), ic(s) = io(o) , cts(s)=cto(o) 或者fmin(s)fo(o)fc(s), ic(s) = io(o) , cts(s)=cto(o)且滿足規(guī)則2； (3) x=r fc(s)fo(o), ic(s) io(o) , cts(s) cto(o)；（讀規(guī)則不變） (4) x=e fmax(s)fo(o), imax(s)io(o) , cts(s) cto(o),規(guī)則2 在（b,M,f,i,ct,H）狀態(tài)，aMijM, fmin(s)fo(o)fc(s), ic(s)io(o), cts(s) cto(o)

9、時(shí)，對(duì)rq(Si,Oj,a)的處理： （1） Si激活客體Oj， Oj的安全級(jí)為sel_11= (fo(Oj), io(Oj), cto(Oj)且fo(Oj)= fc(Si)，io(Oj)= ic(Si),cto(Oj)=cts(Si)。對(duì)rq(Si,Oj,a)授權(quán)，構(gòu)造b1*=(Si,Oj,a)b，進(jìn)入（b1*,M,f,i,ct,H）狀態(tài)。 （2） 安全級(jí)sel_12=( fo(Oj), io(Oj), cto(Oj)對(duì)應(yīng)的保密性規(guī)則集為sel_12_cvp。 If , cvp(Oj)=YES Then 進(jìn)入步驟（3） ） 構(gòu)造f*，使得fo(Oj)= fo(Oj)。,（4 Else Si刪

10、除客體Oj，拒絕rq(Si,Oj,a)。 （3） 安全級(jí)sel_12對(duì)應(yīng)的安全代理為Si （5） 對(duì)rq(Si,Oj,r)授權(quán)，構(gòu)造b2*=(Si,Oj,r)b1*，進(jìn)入（b2*,M,f*,i,ct, H）狀態(tài)。 （6） 對(duì)rq(Si,Oj,a)授權(quán)，構(gòu)造b3*=(Si,Oj,a)b2*，進(jìn)入（b3*,M,f*, i,ct, H）狀態(tài)。 Si刪除Oj 。,2.3模型的定理系統(tǒng),推論1 當(dāng)客體的保密等級(jí)屬于主體的寫(xiě)保密等級(jí)，客體的完整級(jí)被主體的完整級(jí)支配，主體的范圍包含于客體的范圍，且，主體寫(xiě)入客體的內(nèi)容符合客體安全級(jí)對(duì)應(yīng)的保密性規(guī)則時(shí)，主體可以間接寫(xiě)入客體。,證明 rq(Si,Oj,a)時(shí)主體

11、Si寫(xiě)入客體Oj的內(nèi)容為ContentWij，主體Si從客體Oj讀出的內(nèi)容為ContenRij，客體Oj的內(nèi)容為Contentj。 在（b,M,f,i,ct,H）狀態(tài)，aMijM, fc(Si)fo(Oj), ic(s)io(o), cts(s) cto(o)時(shí)，主體寫(xiě)入客體的內(nèi)容為ContentWij。 a) 根據(jù)規(guī)則2步驟（1），激活客體Oj對(duì)rq(Si,Oj,a)授權(quán)后，ContentWij= ContentWij = Contentj 。 b) 根據(jù)規(guī)則2步驟（2），當(dāng)Contentj 符合保密性規(guī)則集sec_l2_cvp后，經(jīng)規(guī)則（2）步驟（5），對(duì)rq(Si,Oj,r)授權(quán)后Con

12、tenRij= Contentj 。 c) 根據(jù)規(guī)則2步驟（6）對(duì)rq(Si,Oj,a) 授權(quán)后ContentWij= ContenRij 。 由a)、b)、c) ContentWij=ContentWij，即主體Si寫(xiě)入客體Oj的內(nèi)容符合保密性規(guī)則后通過(guò)代理Si寫(xiě)入客體Oj。,定理1 若狀態(tài)（b,M,f,i,ct,H）滿足BLP公理，則由規(guī)則2得到狀態(tài)（b3*,M,f,i*,H）滿足BLP公理。 定理2 規(guī)則1滿足BLP公理。 定理3 模型符合BLP模型。 定理4 模型符合Biba模型。,3、應(yīng)用本模型的SDBMS實(shí)現(xiàn),從圖中我們可看出，本安全模型由MAC模塊與TCB模塊組成，完成強(qiáng)制和自主訪問(wèn)控制。系統(tǒng)管理員負(fù)責(zé)自主訪問(wèn)控制，安全管理員負(fù)責(zé)強(qiáng)制訪問(wèn)控制，只有安全管理員才能定義和修改主客體安全級(jí)，DBA也受強(qiáng)制訪問(wèn)策略的制約；而SSO的權(quán)限又受到DBA的限制，使系統(tǒng)權(quán)力分離，增加了系統(tǒng)安全性。 在應(yīng)用本模型加強(qiáng)數(shù)據(jù)庫(kù)安全時(shí)，應(yīng)該考慮其安全標(biāo)識(shí)的實(shí)現(xiàn)，包括安全級(jí)在系統(tǒng)中的表示及定義、多級(jí)關(guān)系的存儲(chǔ)、數(shù)據(jù) 字典的擴(kuò)充，SQL語(yǔ)句的功能擴(kuò)充，主要是增加安全檢查規(guī)則，這些實(shí)現(xiàn)了模型的強(qiáng)制訪問(wèn)控制功能。,4、 結(jié)束語(yǔ) 由于現(xiàn)有多級(jí)