1、1,第 六 章 多級安全數(shù)據(jù)庫 管理系統(tǒng),2,本 章 概 要,6.1 安全數(shù)據(jù)庫標準 6.2 多級安全數(shù)據(jù)庫關鍵問題 6.3 多級安全數(shù)據(jù)庫設計準則 6.4 多級關系數(shù)據(jù)模型 6.5 多實例 6.6 隱蔽通道分析,3,6.1 安全數(shù)據(jù)庫標準6.1.1 可信計算機系統(tǒng)評測標準,為降低進而消除對系統(tǒng)的安全攻擊，各國引用或制定了一系列安全標準 TCSEC (桔皮書) TDI (紫皮書),4,1985年美國國防部（DoD）正式頒布 DoD可信計算機系統(tǒng)評估標準 簡稱TCSEC或DoD85，TCSEC又稱桔皮書 TCSEC標準的目的 提供一種標準，使用戶可以對其計算機系統(tǒng)內(nèi)敏感信息安全操作的可信程度做評

2、估。 給計算機行業(yè)的制造商提供一種可循的指導規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應用的安全需求。,5,TCB可信計算基：是Trusted Computing Base的簡稱，指的是計算機內(nèi)保護裝置的總體，包括硬件、固件、軟件和負責執(zhí)行安全策略管理員的組合體。它建立了一個基本的保護環(huán)境并提供一個可信計算機系統(tǒng)所要求的附加用戶服務。,6,1991年4月美國NCSC（國家計算機安全中心）頒布了可信計算機系統(tǒng)評估標準關于可信數(shù)據(jù)庫系統(tǒng)的解釋 簡稱TDI，又稱紫皮書 它將TCSEC擴展到數(shù)據(jù)庫管理系統(tǒng) 定義了數(shù)據(jù)庫管理系統(tǒng)的設計與實現(xiàn)中需滿足和用以進行安全性級別評估的標準,7,TDI/TCSEC標準的基本內(nèi)

3、容,TDI與TCSEC一樣，從四個方面來描述安全性級別劃分的指標 安全策略 責任 保證 文檔,8,TCSEC/TDI安全級別劃分,四組七個等級 按系統(tǒng)可靠或可信程度逐漸增高 各安全級別之間具有一種偏序向下兼容的關系，即較高安全性級別提供的安全保護要包含較低級別的所有保護要求，同時提供更多或更完善的保護能力。,9,等級說明：D，C1,D級（最小保護級） 將一切不符合更高標準的系統(tǒng)均歸于D組 典型例子：DOS是安全標準為D的操作系統(tǒng) DOS在安全性方面幾乎沒有什么專門的 機制來保障無身份認證與訪問控制。 C1級（自主安全保護級） 非常初級的自主安全保護 能夠?qū)崿F(xiàn)對用戶和數(shù)據(jù)的分離，進行自主存取控制

4、（DAC），保護或限制用戶權限的傳播。早期的UNIX系統(tǒng)屬于這一類。 這類系統(tǒng)適合于多個協(xié)作用戶在同一個安全級上處理數(shù)據(jù)的工作環(huán)境。,10,等級說明：C2,C2級（受控的存取保護級） C2級達到企業(yè)級安全要求?？勺鳛樽畹蛙娪冒踩墑e 提供受控的自主存取保護，將C1級的DAC進一步細化，以個人身份注冊負責，并實施審計（審計粒度要能夠跟蹤每個主體對每個客體的每一次訪問。對審計記錄應該提供保護，防止非法修改。）和資源隔離，客體重用，記錄安全性事件 達到C2級的產(chǎn)品在其名稱中往往不突出“安全”(Security)這一特色 典型例子 操作系統(tǒng)：Microsoft的Windows NT 3.5，數(shù)字設備公

5、司的Open VMS VAX 6.0和6.1，linux系統(tǒng)的某些執(zhí)行方法符合C2級別。 數(shù)據(jù)庫：Oracle公司的Oracle 7，Sybase公司的 SQL Server 11.0.6,11,等級說明：B1,B1級（標簽安全保護級） 標記安全保護。“安全”(Security)或“可信的”(Trusted)產(chǎn)品。 對系統(tǒng)的數(shù)據(jù)加以標記，對標記的主體和客體實施強制存取控制（MAC）、對安全策略進行非形式化描述，加強了隱通道分析，審計等安全機制 典型例子 操作系統(tǒng)：數(shù)字設備公司的SEVMS VAX Version 6.0，惠普公司的HP-UX BLS release 9.0.9+ 數(shù)據(jù)庫：Ora

6、cle公司的Trusted Oracle 7，Sybase公司的Secure SQL Server version 11.0.6。,12,等級說明：B2,B2級（結構化保護級） 建立形式化的安全策略模型并對系統(tǒng)內(nèi)的所有主體和客體實施DAC和MAC，從主體到客體擴大到I/O設備等所有資源。要求開發(fā)者對隱蔽信道進行徹底地搜索。TCB劃分保護與非保護部分，存放于固定區(qū)內(nèi)。 經(jīng)過認證的B2級以上的安全系統(tǒng)非常稀少 典型例子 操作系統(tǒng)：只有Trusted Information Systems公司的Trusted XENIX一種產(chǎn)品 數(shù)據(jù)庫：北京人大金倉信息技術股份有限公司的 KingbaseES V7

7、產(chǎn)品,13,等級說明：B3，A1,B3級（安全區(qū)域保護級） 該級的TCB必須滿足訪問監(jiān)控器的要求，安全內(nèi)核，審計跟蹤能力更強，并提供系統(tǒng)恢復過程。即使計算機崩潰,也不會泄露系統(tǒng)信息。 A1級（驗證設計級） 驗證設計，即提供B3級保護的同時給出系統(tǒng)的形式化設計說明和驗證以確信各安全保護真正實現(xiàn)。這個級別要求嚴格的數(shù)學證明。,14,說明,B2以上的系統(tǒng) 還處于理論研究階段 應用多限于一些特殊的部門如軍隊等 美國正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于少數(shù)領域應用的B2安全級別下放到商業(yè)應用中來，并逐步成為新的商業(yè)標準。,15,6.2 多級安全數(shù)據(jù)庫關鍵問題,多級安全數(shù)據(jù)庫關鍵問題包括： 多級安全數(shù)據(jù)

8、庫體系結構 多級安全數(shù)據(jù)模型 多實例 元數(shù)據(jù)管理 并發(fā)事務處理 推理分析和隱蔽通道分析,16,6.3 多級安全數(shù)據(jù)庫設計準則,多級安全數(shù)據(jù)庫設計準則如下： 提供多級密級粒度 確保一致性和完整性 實施推理控制 防止敏感聚合 進行隱蔽通道分析 支持多實例 執(zhí)行并發(fā)控制,17,6.4 多級關系數(shù)據(jù)模型 6.4.1 安全的特征 傳統(tǒng)關系模型兩個重要的完整性： 實體完整性、引用完整性（參照完整性）。 多級關系數(shù)據(jù)模型三要素： 多級關系、多級關系完整性約束及多級關系操作。 多級安全模型需作的改進： 多級安全模型：在傳統(tǒng)關系模型基礎上各種邏輯數(shù)據(jù)對象強制賦予安全屬性標簽。 修改傳統(tǒng)關系模型中關系的完整性及關

9、系上的操作。,18,安全標簽粒度：是標識安全等級的最小邏輯對象單位。 安全標簽粒度級別：關系級、元組級及屬性級。 安全粒度控制 按照不同的安全需求和實體類型，決定安全控制的程度。 例如，對數(shù)據(jù)的存取，可以是關系級、元組級及屬性級。 粒度越細，控制越靈活，但所對應的操作越困難和復雜。,19,一、多級關系 傳統(tǒng)的關系模式：R(A1,A2, An) 多級關系模式： R(A1,C1,A2,C2,An,Cn,TC) 元組的安全級別:TC 元組表示：t(a1,c1,a2,c2,an,cn,tc) 元組t的安全標簽：ttc. 屬性ai的安全標簽：tci. 例 Weapon多級關系表示。,6.4.2 多級關系

10、,20,表1 原始Weapon多級關系,表2 Weapon U 級實例,21,表1 原始Weapon多級關系,表3 原始Weapon S級實例,22,表4 Weapon TS級實例,23,多級關系完整性： 實體完整性 空值完整性 多級外碼完整性與參照完整性 實例間完整性 多實例完整性,6.4.3 多級關系完整性,24,一、實體完整性 設AK是定義在關系模式R上的外觀主碼，一個多級關系滿足實體完整性，當且僅當對R的所有實例Rc與tRc,有： AiAK = tAinull/ 主碼屬性不能為空 Ai , AjAK = tCitCj/主鍵各屬性安全等級一致，保證在任何級別上主鍵都是完整的。 Ai AK

11、 = tCi = tCAK/非碼屬性安全等級支配鍵值，保證關系可見的任何級別上，主鍵不可能為空。,25,二、空值完整性 在多級關系中，空值有兩種解釋: 一種確實為空。 另一種是實例的等級低于屬性的等級使此屬性不可見，從而顯示為空。 空值完整性使用了歸類關系，歸類關系如下：如果兩元組t和s，如果屬性Ai滿足下列條件之一，元組t包含元組s。 對于兩元組t和s, 如果任何一個屬性 tAi ,Ci sAi ,Ci; tAinull且 sAinull，則稱元組t包含元組s 或 t歸類于s。,26,一個多級關系R滿足空值完整性，當且僅當對R的每個實例Rc均滿足下列兩個條件： 空值的安全級別與主鍵相同。 即

12、對于所有的tRc, tAinull = tcitCAK /空值對所有級別用戶可見 Rc不含有兩個有包含關系的不同元組。 /不出現(xiàn)因為空值而導致的冗余元組,27,例1 多級關系違反了空值完整性,多級關系違反了空值完整性,28,三、多級外碼完整性與參照完整性 多級外碼完整性： 假設FK是參照關系R的外碼，多級關系R的一個實例Rc滿足外碼完整性，當且僅當對所有的tRc滿足： 或者（所有AiFK） tAi = null， 或者（所有AiFK） tAinull /外碼屬性全空或全非空 Ai , AjFK = tCitCj。 /外碼的每個屬性具有相同的安全級別,29,多級參照完整性： 假設參照關系R1具有

13、外觀主碼AK1，外碼FK1，被參照關系R2具有外觀主碼AK2，多級關系R1的一個實例 r1 和多級關系R2的一個實例 r2滿足參照完整性，當且僅當 所有t11r1 , t11FK1 null , E t21r2 ,t11FK1 = t21AK2 t11TC= t21TC t11CFK1 t21CAK2。 外鍵的訪問等級必須支配引用元組中主鍵的訪問等級。,30,四、實例間完整性 多級關系Rc滿足實例間完整性，當且僅當對所有 cc，Rc=( Rc，c)，其中過濾函數(shù)按以下方法從Rc產(chǎn)生安全等級為c的實例Rc： 所有 tRc, tCAKc, tRc， 滿足tAK,CAK= tAK,CAK./主碼保留

14、 所有Ai AK有 tAi,Ci=tAi,Ci if tCi c tAi,Ci= otherwise,E,消除Rc的歸類元組,31,表1.多級關系“衛(wèi)星” S級實例,實例間完整性舉例：例1 U級用戶對表1過濾后得到表2,表2.多級關系“衛(wèi)星”過濾后U級實例,32,表4.多級關系“衛(wèi)星”S級實例,表5.多級關系“衛(wèi)星”過濾后S級實例,實例間完整性舉例：例2,表3.多級關系“衛(wèi)星” U級實例,33,五、多實例完整性 假設多級關系R的外觀主碼集合為AK，主碼等級為CAK 。多實例完整性要求由AK、CAK以及第i個屬性的等級Ci便可確定第i個屬性值Ai 。 一個多級關系滿足多實例完整性，當且僅當Rc中

15、的每個屬性Ai ,滿足AK,CAK,Ci Ai 即Ai函數(shù)依賴于AK,CAK,Ci 。 同一級別的元組之間不存在多實例。,34,多級關系Weapon(滿足多實例完整性),多級關系Weapon(不滿足多實例完整性) （元組級別相同主鍵重復）,35,6.4.4 多級關系操作 一、 插入操作 形式：INSERT INTO Rc(Ai ,Aj) VALUES (ai ,aj) 當插入元組t（新插入）與主鍵值相同的元組t時： 1）若tTC tTC,拒絕t的插入。/滿足多 實例完整性約束 2）若tTC t TC,允許或拒絕t的插入均可 以。 /多級關系操作盡量減少額外元組,36,例1 S級別主體插入操作

16、1）主碼值不同，正常插入 INSERT INTO Weapon VALUES “Cannonl,10,200” 插入后,Weapon多級關系的S級插入,37,2）主碼值、級別相同，系統(tǒng)不允許插入。 INSERT INTO Weapon VALUES “Cannonl,10,200”/S級插入,Weapon多級關系的S級插入,38,3）主碼值相同，但插入元組級別低，允許插入， 防止隱通道，產(chǎn)生多實例。 INSERT INTO Weapon VALUES “Missile2,250,30”/ S級插入 插入前,Weapon多級關系的S級插入,39,插入后產(chǎn)生多實例,Weapon多級關系的S級插入,

17、40,二、更新操作 形式：UPDATE Rc SET AiSi ,AjSj WHERE p p是謂詞條件 針對關系間完整性的約束，更新操作對不同等級的關系實例的影響有以下三點： 對同等級關系實例的影響與傳統(tǒng)的UPDADE語句一樣。 對更低等級關系實例無影響。 對更高等級用戶，為避免隱蔽通道可能引入多實例。,41,例1密級為U的用戶要求對Weapon關系的 U級實例作更新操作。/直接修改 UPDATE Weapon SET Quantity=3000 WHERE Wname=“Gun1”/ U級用戶,Weapon關系的 U 級實例,42,Weapon關系的 U 級實例,更新前,Weapon關系的

18、 U 級實例,更新后,43,例2密級為U的用戶要求對Weapon關系的 S級實例作更新操作。 UPDATE Weapon SET Quantity=3000 WHERE Wname=“Gun1”/ U級用戶,Weapon關系的 S 級實例,44,Weapon關系的 S 級實例,更新前,Weapon關系的 S 級實例,更新后產(chǎn)生多實例,45,例3密級為S的用戶要求對Weapon關系的 S級實例執(zhí)行如下更新操作。 UPDATE Weapon SET Range=2 WHERE Wname=“Gun1”AND Quantity=5000,Weapon關系的 S 級實例,46,Weapon關系的 S

19、級實例,更新后,Weapon關系的 S 級實例,更新前,47,例4密級為S的用戶要求對Weapon關系的 S級實例執(zhí)行如下更新操作。 UPDATE Weapon SET Range=2 WHERE Wname=“Gun1”/ S級用戶,Weapon關系的 S 級實例,48,Weapon關系的 S 級實例,更新后,Weapon關系的 S 級實例,更新前,49,三、刪除操作 形式：DELETE FROM Rc WHERE p p是謂詞條件 四、查詢操作 形式：SELECT A1,A2FROM R1 ,R2 WHERE pAT c1,c2, p是謂詞條件,50,6.5 多實例 多實例：是指在多級安全

20、數(shù)據(jù)庫管理系統(tǒng)中，同時存在多個具有相同主碼值的實體。 多實例元組：關系包含多個具有相同主碼的元組，但相同主碼的安全等級可以不 相同，這些元組的安全等級不同。 多實例屬性：關系包含多個具有相同主碼的元組，但相同主碼的安全等級相同，但具有不同安全級的屬性，這些元組的安全等級不同。,51,例：兩種多實例的情況。,多實例屬性的多級關系,多實例元組的多級關系,52,6.5.1 多實例的發(fā)生 可見多實例：當高訪問等級的用戶想在數(shù)據(jù)庫的一個域上插入數(shù)據(jù)，而在這個域上已經(jīng)存在低安全等級的數(shù)據(jù)時發(fā)生。 不可見多實例：當?shù)驮L問等級的用戶想在數(shù)據(jù)庫的一個已經(jīng)有高安全等級的域上插入一個新數(shù)據(jù)時發(fā)生。,53,可見多實例

21、,U級用戶將Range更新為1,S級用戶將Range更新為2,最初的多級關系,54,不可見多實例,最初的S級用戶實例,上例中U級用戶將Range更新為1后，U級實例如下：,U級用戶將Range更新為1后，S級實例如下：,55,6.5.2 多實例引起的問題 多實例雖可防止隱蔽通道，但引起一些相關問題： 數(shù)據(jù)機密性與完整性沖突 增加了數(shù)據(jù)庫的管理難度 增加了對同一現(xiàn)實世界中不同模型理解的困惑。不清楚那個實例的信息是正確、可信的。,56,6.5.3 多實例問題的處理 對多實例的處理采取下面的方法或其組合 使所有的主碼可見，主碼以關系內(nèi)可見的最低安全等級標識 根據(jù)主碼可能的各種安全等級，劃分主碼的域。

22、 限制對多級關系的插入。要求所有的插入由系統(tǒng)最高安全等級的用戶實施向下寫完成。,57,6.6 隱蔽通道分析 6.6.1 隱蔽通道及其分類 隱蔽通道：是指給定一個強制安全策略模型M和它在一個操作系統(tǒng)中的解釋I(M),I(M)中兩個主體I(Si)和I(Sj)之間的任何潛在通信都是隱蔽的,當且僅當模型M中的相應主體Si和Sj之間的任何通信在M中都是非法的。（系統(tǒng)中不受安全策略控制的，違反安全策略的信息泄露路徑） 系統(tǒng)實際使用中，攻擊者制造一組表面上合法的操作序列，將高級數(shù)據(jù)傳送到低級用戶。這種隱蔽的非法通道叫隱蔽通道。,58,隱通道通過不是用于數(shù)據(jù)傳遞的系統(tǒng)設施來發(fā)送信息 ，并且這種通信方式往往不被

23、系統(tǒng)的存取控制機制所檢測和控制。 隱蔽通道的分類 存儲隱蔽通道和時序隱蔽通道 存儲隱蔽通道:如果一個隱通道是一個主體直接或間接地修改一存儲變量，而被另一主體通過直接或間接地讀取同一個變量獲得信息，這個隱通道是存儲隱通道。,59,例1:進程號隱通道. 進程號（PID）是系統(tǒng)中標志進程的唯一符號，在許多操作系統(tǒng)中采用連續(xù)遞增的方法來管理進程號，即新建的進程的進程號在上一個進程的進程號的基礎上加1，利用系統(tǒng)的這一管理機制也可產(chǎn)生隱通道，其操作過程如下：,60,操作過程： 接收方建立一個子進程并立即結束它，記錄下它的進程號； 發(fā)送方若發(fā)“0”，則什么也不做，若發(fā)“1”則建一個子進程并立即結束它； 接收

24、方再建一個子進程并立即結束它，記錄下它的進程號，如果新的進程號與上一次得到的進程號相差1，則確認接收到“0”，如果新的進程號與上一次得的進程號相差2，則確認接收到“1”； 做好同步工作，轉入2，傳送下一比特。,61,時序隱蔽通道：時序隱通道的發(fā)送者通過對使用資源時間的影響來發(fā)送信息，接收者通過觀察響應時間的變化來接收信息，這個隱通道是時序隱通道。 例2：時序隱蔽通道。 CPU是一種可以利用的系統(tǒng)資源，可由多個用戶共享，假設有H和L兩個進程，H的安全級高于L，H企圖將信息傳遞給L。它們約定一系列間隔均勻的時間點t1，t1，t1，（間隔時間至少允許兩次CPU調(diào)度）。 L在每個時間點都請求使用CPU，而H在每個時間點，若要發(fā)送0，則不請求使用CPU；若要發(fā)送1，則請求使用CPU（假設H的優(yōu)先級高于L）。于是，在每個時間點，L若能立即獲得CPU的使用權，則確認收到0，若要等待，則確認收到