（計算機軟件與理論專業(yè)論文）安全數(shù)據(jù)庫的理論與實現(xiàn).pdf

南京航空航天大學碩士學位論文 i 摘 要 在眾多安全數(shù)據(jù)庫的數(shù)據(jù)模型中mlr 模型是非常成功的mlr 模型成 功地引入了數(shù)據(jù)借用的概念解決了多實例等問題但也帶來了安全隱患 在該模型的數(shù)據(jù)借用操作中低安全級的用戶可以修改高安全級用戶的視圖 本文針對這個問題提出了一種改進的安全模型該模型擴展了 smith-winslett 模型將修改后的數(shù)據(jù)借用操作增加到模型中同時該模型重新定義了 多實例完整性和參照完整性消除了多實例帶來的語義模糊性查詢模糊性和 更新引起的元組數(shù)據(jù)激增等問題然后本文研究了推理控制問題介紹了檢測 推理通道的方法在此基礎(chǔ)上描述了一種兩階段推理控制策略這種策略包含 靜態(tài)提升安全級和動態(tài)推理控制兩部分靜態(tài)提升安全級的算法能夠保證在信 息易用性損耗較小的情況下控制推理通道在數(shù)據(jù)庫運行階段利用動態(tài)推理 控制算法可以在基本不影響訪問速度的情況下切斷剩余的推理通道同時本 文還研究了隱通道控制問題介紹了隱通道的分類標識和處理措施結(jié)合信 息流法和隱蔽流樹法的優(yōu)點提出了隱蔽流圖法并給出了搜索步驟根據(jù)上述 的諸多理論設計并開發(fā)了一個多級安全關(guān)系數(shù)據(jù)庫管理系統(tǒng)的原型系統(tǒng)實 驗結(jié)果表明文中提出的理論和各種算法是正確的 關(guān)鍵詞安全模型多級安全隱通道推理通道動態(tài)推理控制 安全數(shù)據(jù)庫的理論與實現(xiàn) ii abstract in many data models of secure database, the mlr model is very successful. it introduced the concept of data-borrow successfully and solved the polyinstantiation problem. however, it also brought a potential security problem. in the data-borrow operation of this model, a low-level user can modify the view of high-level user. this paper presents an improved security model to solve the problem. the model extends the smith-winslett model and introduces the amendatory data-borrow operation. at the same time, the model redefines polyinstantiation integrity and referential integrity. it eliminates the ambiguous semantics, fuzzy query and proliferation of tuples due to updates. then this paper studies the problem of inference control. it presents methods of detecting the inference channels. also, it describes a two-phase inference control strategy. this strategy includes static upgrade of the seurity level and dynamic inference control. static upgrade of the security level algorithm can guarantee controlling inference channels with less information loss. when the database is running, dynamic inference control algorithm can cut off the inference channels well without efficiency decline. at the same time, the paper studies covert channel control. it introduces the taxonomy, identifications and resolvents of covert channel briefly. with the advantages of the information flow method and covert flow tree method, this paper proposes a covert flow diagram method and gives steps of searching the diagram. according to the various theories, a multilevel secure dbms is designed and developed. the result of our experiment shows that the theory and algorithms are correct. key words: security model, multilevel security, covert channel, inference channel, dynamic inference control 安全數(shù)據(jù)庫的理論與實現(xiàn) vi 圖清單 圖 2.1 半元組級標記模型的模式表達形式.21 圖 2.2 半元組級標記數(shù)據(jù)模型的表達能力.22 圖 2.3 元素級標記數(shù)據(jù)模型的表達能力.22 圖 2.4 高低安全級之間的影響.28 圖 3.1 動態(tài)推理控制的例子.37 圖 4.1 根據(jù)條件構(gòu)造的隱蔽流圖.48 圖 5.1 原型系統(tǒng)體系結(jié)構(gòu).50 圖 5.2 原型系統(tǒng)功能模塊.51 圖 5.3 自主訪問控制模塊機制圖.53 圖 5.4 推理控制模塊內(nèi)部結(jié)構(gòu)圖.55 圖 5.5 隱通道工作原理.59 南京航空航天大學碩士學位論文 vii 表清單 表 1.1 tcsec/tdi安全級別劃分.5 表 2.1 一個多級關(guān)系實例.12 表 2.2 實體多實例完整性沖突.14 表 2.3 c 安全級上元組多實例.17 表 2.4 employee多級關(guān)系表.19 表 2.5 插入操作后的 employee多級關(guān)系表.19 表 2.6 刪除操作后的 employee多級關(guān)系表.20 表 2.7 更新操作后的 employee多級關(guān)系表.20 表 2.8 借用操作后的 employee多級關(guān)系表.21 安全數(shù)據(jù)庫的理論與實現(xiàn) viii 注釋表 mls/dbms:multilevel secure database management system多級安全 數(shù)據(jù)庫管理系統(tǒng) dac:discretionary access control自主訪問控制 mac:mandatory access control強制訪問控制 tcsec:trusted computer system evaluation criteria可信計算機 系統(tǒng)評估標準 tdi:trusted database management system interpretation可信數(shù) 據(jù)庫管理系統(tǒng)解釋 esw:extended smith-winslett改進的 smith-winslett 模型 fk:foreign key外鍵 blp:bell lapadula貝爾拉帕丟拉 seaview:secure data view安全數(shù)據(jù)視圖 srm:shared resource matrix共享資源矩陣 cft:covert flow trees隱蔽流樹 fd:functional dependency函數(shù)依賴 rbac:role-based access control基于角色的訪問控制 承諾書 本人鄭重聲明所呈交的學位論文是本人在導師指導下獨 立進行研究工作所取得的成果盡我所知除文中已經(jīng)注明引用的 內(nèi)容外本學位論文的研究成果不包含任何他人享有著作權(quán)的內(nèi)容 對本論文所涉及的研究工作做出貢獻的其他個人和集體均已在文 中以明確方式標明 本人授權(quán)南京航空航天大學可以有權(quán)保留送交論文的復印件 允許論文被查閱和借閱可以將學位論文的全部或部分內(nèi)容編入有 關(guān)數(shù)據(jù)庫進行檢索可以采用影印縮印或其他復制手段保存論文 作者簽名 日 期 南京航空航天大學碩士學位論文 1 第一章 緒論 1.1 引言 隨著因特網(wǎng)的飛速發(fā)展和計算機技術(shù)的普及數(shù)據(jù)庫技術(shù)已經(jīng)在社會的各 個方面包括經(jīng)濟政治軍事科技等領(lǐng)域得到了廣泛應用目前大多 數(shù)公司和組織都把數(shù)據(jù)存儲在數(shù)據(jù)庫中通過計算機網(wǎng)絡進行傳輸和交換在 享受數(shù)據(jù)庫技術(shù)帶來的便利的同時也承擔了不小的風險數(shù)據(jù)庫中的機密信 息個人數(shù)據(jù)和商業(yè)情報一旦被非法竊取或刪改將產(chǎn)生難以估量的損失 據(jù)統(tǒng)計西方發(fā)達國家的政府機構(gòu)和企業(yè)每年通過計算機被竊取的資金高達 數(shù)十億元因此保護數(shù)據(jù)庫中的數(shù)據(jù)已刻不容緩研究發(fā)現(xiàn)對數(shù)據(jù)庫的威 脅主要包括對數(shù)據(jù)庫內(nèi)數(shù)據(jù)包括敏感非敏感的信息的非授權(quán)訪問使 授權(quán)用戶不能正常得到數(shù)據(jù)庫的數(shù)據(jù)服務如何處理這些威脅已經(jīng)成為信息安 全非常重要的研究課題1,2具有重大的理論意義和現(xiàn)實意義 當前商用的數(shù)據(jù)庫系統(tǒng)大多采用自主訪問控制或基于角色的訪問控制來 限制用戶的非授權(quán)訪問3這兩種訪問控制策略的最大缺陷是不能有效抵御特 洛伊木馬攻擊為了解決這個問題 引入了強制訪問控制機制在這個機制中 高安全級的用戶不允許對低安全級的對象進行寫訪問因此木馬的服務器程序 無法將信息發(fā)送出去從而阻止了敏感信息的泄露4 實現(xiàn)了強制訪問控制的數(shù)據(jù)庫管理系統(tǒng)一般稱為多級安全數(shù)據(jù)庫管理系 統(tǒng)multilevel secure database management systemmls/dbms 5 在 mls/dbms 中主體和客體均被賦予一個安全級別安全級別由密級和類別 集合組成密級是有序的類別集合是彼此獨立無序的有時類別集合不 出現(xiàn)為確定用戶是否可以訪問某個數(shù)據(jù)項用戶的安全級需要與數(shù)據(jù)的安全 級進行比較2目前流行的 mls/dbms 大多采用 blp 模型作為其安全模型 在 blp 模型中遵循向下讀向上寫的安全策略這樣雖然可以有效防 止非授權(quán)用戶直接獲取敏感信息但并不能有效阻止用戶利用可獲取的低安全 級信息進行推理利用隱通道來獲取高安全級的信息6推理控制和隱通道控 安全數(shù)據(jù)庫的理論與實現(xiàn) 2 制對于保證數(shù)據(jù)的安全有著非常重要的意義本文圍繞安全數(shù)據(jù)模型推理控 制和隱通道控制等主題進行深入研究為開發(fā)商用高安全級 mls/dbms 提供 參考 1.2 安全數(shù)據(jù)庫的主要研究內(nèi)容 盡管對象 關(guān)系數(shù)據(jù)庫面向?qū)ο髷?shù)據(jù)庫的研究如火如荼多級安全數(shù)據(jù) 庫系統(tǒng)的研究目前仍主要基于傳統(tǒng)的關(guān)系數(shù)據(jù)庫系統(tǒng)rdbs 7 這一方面 是因為數(shù)據(jù)庫安全技術(shù)的發(fā)展滯后于數(shù)據(jù)庫技術(shù)的發(fā)展更主要的原因是 rdbs 在理論上和技術(shù)上都已經(jīng)比較成熟并得到了廣泛應用特別是其非過 程化的查詢語言 sql易于擴充并保持其安全性安全數(shù)據(jù)庫的研究內(nèi)容主 要包括多實例問題多級安全數(shù)據(jù)模型完整性問題推理問題隱通道的 分析與處理事務處理機制特定環(huán)境下的安全研究等 1. 多實例問題 多實例首先是在 seaview 項目8中提出的指的是在 mls/dbms 中同時 存在具有相同名字的多個數(shù)據(jù)客體元組元素它們的區(qū)別在于安全級別 在傳統(tǒng)數(shù)據(jù)庫系統(tǒng)中實體完整性9要求主關(guān)鍵字唯一標識一個關(guān)系中的每一 個元組并且不能為空這樣的定義在一個典型的單級關(guān)系中易于理解但不 能簡單擴展到多級關(guān)系中因為主關(guān)鍵字的唯一性要求會產(chǎn)生信號通道導致 信息從高安全級流向低安全級多實例的引入解決了保密性與完整性沖突的問 題然而同時也帶來了多級關(guān)系的語義模糊性查詢模糊性和更新引起的元組 數(shù)目激增等問題為了控制多實例各種安全模型都重新定義了實體完整性 參照完整性等規(guī)則并引入了多實例完整性規(guī)則然而不同模型對于多實例 元組或元素語義的理解還存在較大的分歧 2. 多級安全數(shù)據(jù)模型 安全模型也稱為策略表達模型是一種不依賴于軟件實現(xiàn)的高層次上的 概念模型安全模型大致可以分為兩類自主型安全模型和強制型安全模型 自主訪問控制通過明確授權(quán)來決定用戶訪問某數(shù)據(jù)對象其典型代表是 harrisonruzzo 和 ullman 在 1976 年提出的一種基于訪問控制矩陣的模型 強制訪問控制通過無法回避的存取限制防止各種直接和間接的攻擊它的典型 代表是 bell lapadula 模型10簡稱 blp 模型為保護數(shù)據(jù)庫中信息的安全 南京航空航天大學碩士學位論文 3 人們在 blp 模型的基礎(chǔ)上提出了各種安全模型如seaview 模型ldv 模 型11jajodia-sandhu模型12mlr 模型13等 3. 完整性問題 完整性是指能夠保障被傳輸接收或存儲的數(shù)據(jù)是完整的和未被篡改的 傳統(tǒng)數(shù)據(jù)庫的完整性一般包括實體完整性參照完整性和用戶自定義的完整性 14 數(shù)據(jù)庫的完整性約束條件與安全性需求往往是相沖突的多實例的引入就 是為了解決實體完整性與安全性沖突的如何在數(shù)據(jù)庫的完整性約束與安全性 需求之間進行折衷是一個值得研究的課題 4. 推理問題 由于關(guān)系數(shù)據(jù)庫中的數(shù)據(jù)之間存在各種內(nèi)在關(guān)聯(lián)數(shù)據(jù)庫用戶有可能根據(jù) 他所允許知道的信息利用數(shù)據(jù)之間的內(nèi)在邏輯聯(lián)系推斷某些限制其訪問的 內(nèi)容這類問題稱為數(shù)據(jù)庫中的推理分析問題推理通道與下面將提到的隱通 道是不同的推理通道只要有低安全級用戶參與即可因此推理通道是單方面 的而隱通道需要兩個不同安全級的主體共同協(xié)作完成信息的傳送 5. 隱通道的分析與處理 目前被廣泛使用的隱通道的定義是一個非自主的安全模型 m以及在 一個系統(tǒng)中該模型的解釋 i(m)在任何兩個主體 i(sh)和 i(sl)之間的信道是隱 通道 當且僅當在模型 m 中對應主體 sh 和 sl 之間的任何通信都是非法的6 隱通道存在的原因是系統(tǒng)中存在共享資源這些資源可以被系統(tǒng)原語查看和修 改因此隱通道分析的關(guān)鍵是搜索系統(tǒng)中的共享資源以及查看和修改這些 資源的系統(tǒng)原語 6. 事務處理機制 事務處理是數(shù)據(jù)庫系統(tǒng)的重要技術(shù)之一安全數(shù)據(jù)庫的事務處理包含了安 全并發(fā)控制和多級事務的處理如果兩個不同安全級的事務希望訪問同一個數(shù) 據(jù)庫元素那么它們之間就有可能產(chǎn)生定時隱通道這就需要安全并發(fā)控制技 術(shù)來解決這個問題多級事務處理是為了解決在一個事務內(nèi)訪問多個安全級上 的數(shù)據(jù)庫對象又能保持事務的原子性問題文獻15中證明了要同時保持原 子性和安全性是不可能的因此必須在兩者之間進行折衷 7. 特定環(huán)境下的安全研究 近年來安全數(shù)據(jù)庫在各種特定環(huán)境中的研究已成為一個熱門方向空間 安全數(shù)據(jù)庫移動環(huán)境下的安全數(shù)據(jù)庫xml 安全數(shù)據(jù)庫等都是值得深入研 安全數(shù)據(jù)庫的理論與實現(xiàn) 4 究的領(lǐng)域 1.3 國內(nèi)外研究現(xiàn)狀 國外對計算機安全及數(shù)據(jù)庫安全的研究起步較早包括政府部門在內(nèi)的各 種研究機構(gòu)及公司對此投入了大量的研究研究成果和應用都較為豐富 1967 年 10 月在美國國防科學技術(shù)委員會的贊助下成立了特別工作組 致力于計算機安全保護遠程訪問保護和遠程共享計算機系統(tǒng)的保密信息60 年代末70 年代初期開始出現(xiàn)一系列有關(guān)計算機安全的論文d. e. bell 和 lapadula 于 1973 年提出著名的 blp 模型這是最早的一個完全的形式化的 多級安全模型此后又出現(xiàn)了格模型無干擾模型seaview 模型等一系列的 安全模型這些模型的研究以及原型系統(tǒng)的開發(fā)大大地推進了數(shù)據(jù)庫安全研究 的理論和實踐 1985 年美國國防部正式頒布了dod 可信計算機系統(tǒng)評估標準 16 trusted computer system evaluation criteria簡稱 tcsec 或 dod851991 年又頒布了 tdi17trusted database management system interpretation將 tcsec 擴展到數(shù)據(jù)庫管理系統(tǒng)在 dod85 中按系統(tǒng)可靠或可信程度逐漸增 高將系統(tǒng)劃分為四組七個等級16-17dcc1c2bb1b2b3a a1如表 1.1 所示 在安全產(chǎn)品研究方面歐美主流數(shù)據(jù)庫公司都推出了通過一定等級評估的 安全產(chǎn)品1993 年oracle 公司發(fā)布了安全數(shù)據(jù)庫 trusted oracle 7tm滿足 tcsec 的 b1 級要求目前 oracle 公司的安全數(shù)據(jù)庫產(chǎn)品 oracle 9i 已經(jīng)通過 十四個獨立的安全評估達到美國可信計算機安全評價標準tcsec的 a1 級并成功通過英國 itsec 和新的 iso 標準ms sql server 是購買 sybase 公 司 1987 年推出的 sybase sql servermicrosoft sql server 2005 作為一個可 升級的可靠的并且易于使用的產(chǎn)品為企業(yè)用戶所青睞其在安全方面也有了 很大的發(fā)展secure sql server 是 sybase 公司的安全數(shù)據(jù)庫其安全產(chǎn)品通 過 tcsec 的 b1 級評估也是美國軍方使用的產(chǎn)品曾在海灣戰(zhàn)爭中使用 目前最新產(chǎn)品 sybase ase 12.5.2 已經(jīng)獲得 cc 的 eal4 級的安全認證為通用 軟件達到的最高安全級別 國內(nèi)在這方面的研究和開發(fā)起步較晚與技術(shù)先進國家有較大差距我國 南京航空航天大學碩士學位論文 5 于 1999 年頒布了計算機信息系統(tǒng)安全保護等級劃分準則 18 在 2002 年又 由公安部頒布了 ga/t-389-2002計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系 統(tǒng)技術(shù)要求 19 在產(chǎn)品方面由北京大學牽頭人大中軟和華中合作研發(fā) 的 cobase數(shù)據(jù)庫管理系統(tǒng) 其 cobase v2.0 的可信版本基本實現(xiàn)了 tcsec b1 級的安全功能要求華中理工大學現(xiàn)華中科技大學研制的 dm 系列數(shù) 據(jù)庫管理系統(tǒng)其中 dm3 經(jīng)公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢測中 心評測達到國標 17859 的第三級基本相當于 tcsec b1 級國內(nèi)的大部分 數(shù)據(jù)庫系統(tǒng)仍停留在原型系統(tǒng)上真正商用的很少而且也沒有 b2 級以上標 準的產(chǎn)品 表 1.1 tcsec/tdi 安全級別劃分 安全級別定 義 a1 驗證設計verified design b3 安全域security domains b2 結(jié)構(gòu)化保護structural protection b1 標記安全保護labeled security protection c2 受控的存取保護controlled access protection c1 自主安全保護discretionary security protection d 最小保護minimal protection 本文主要研究安全數(shù)據(jù)模型推理控制和隱通道控制因此下面分別介紹 這三個方向國內(nèi)外的研究進展 1.3.1 安全數(shù)據(jù)模型 數(shù)據(jù)庫技術(shù)的研究是從數(shù)據(jù)模型開始的目前已有的數(shù)據(jù)模型根據(jù)安全策 略可以分為兩類自主型數(shù)據(jù)模型和強制型數(shù)據(jù)模型自主型數(shù)據(jù)模型遵守自 主訪問安全策略使用訪問控制矩陣來實現(xiàn)對數(shù)據(jù)的訪問控制這類數(shù)據(jù)模型 容易因惡意代碼等因素造成信息泄露不能滿足軍隊國家等一些對信息保密 要求較高的單位的應用需求強制型數(shù)據(jù)模型遵守強制訪問安全策略用戶對 數(shù)據(jù)的訪問控制基于用戶和數(shù)據(jù)的安全級強制型數(shù)據(jù)模型能夠防止各種直接 和間接的攻擊從歷史的發(fā)展來看主要有以下幾種著名的數(shù)據(jù)模型 1. 貝爾-拉帕丟拉模型 1973 年bell 和 lapadula 提出了貝爾-拉帕丟拉模型簡稱 blp 模型 該模型的目的是在操作系統(tǒng)環(huán)境下提供對于信息的安全保護blp 模型也是 安全數(shù)據(jù)庫的理論與實現(xiàn) 6 最著名的多級安全策略模型其定義中包含了兩條重要的安全規(guī)則 1簡單安全規(guī)則ss 規(guī)則僅當一個主體的安全級別支配一個客體 的安全級別時主體才具有對客體讀或?qū)懙拇嫒?quán)限 2星*規(guī)則如一個不可信主體具有對一客體添加權(quán)限那么客體 的安全級一定支配主體的當前安全級如一個不可信主體具有對一客體的寫權(quán) 限那么主體的當前安全級一定與客體的安全級相等如一個不可信主體具有 對某一客體的讀權(quán)限那么一定有主體的當前安全級支配客體的安全級 這兩個規(guī)則可以總結(jié)為不上讀不下寫滿足它即控制了系統(tǒng)中信息 的流動確保了系統(tǒng)的安全性所有采取強制訪問控制策略的安全模型都采用 這兩條規(guī)則 2. seaview模型 1987 年denning 等人在斯坦福研究所sri開發(fā)了一個保護關(guān)系數(shù)據(jù) 庫系統(tǒng)的安全模型稱之為安全數(shù)據(jù)視圖模型secure data view為處理多 級關(guān)系seaview 模型擴充了關(guān)系的概念對關(guān)系增加了密級標識密級可以 賦予關(guān)系中的單個元素即每個特定的屬性值 seaview模型定義了實體完整性參照完整性和多實例完整性規(guī)則其中 實體完整性要求所有主鍵屬性的安全級相同所有主鍵屬性值不為空其它屬 性的安全級支配主鍵屬性的安全級參照完整性要求所有外鍵屬性的安全級相 同并且必須支配參照元組中主鍵屬性的安全級多實例完整性要求主鍵和主 鍵屬性的安全級與其余屬性和這些屬性的安全級之間滿足多值依賴并以此來 控制多實例但在對關(guān)系進行插入或更新操作時seaview 模型會產(chǎn)生大量的 不合邏輯的多實例元組和多實例元素 3. jajodia-sandhu 模型 為消除多值依賴jajodia 和 sandhu 提出了另一個多級安全數(shù)據(jù)模型這 個模型定義了空值完整性實例間完整性并且重新定義了多實例完整性規(guī) 定用戶指定的主鍵 kk 的安全級屬性 ck和屬性 ai的安全級 ci函數(shù)決定 ai 的屬性值這個模型最大的問題是空值的二義性 4. smith-winslett模型 smith和 winslett 提出一種基于信賴語義多級安全數(shù)據(jù)模型在該模型中 每個安全級上的數(shù)據(jù)反映了那個安全級上的用戶對現(xiàn)實世界的信賴它是 一種半元組級標記數(shù)據(jù)模型smith-winslett 模型避免了語義模糊查詢模糊 南京航空航天大學碩士學位論文 7 和關(guān)系更新時多實例元組激增等問題 5. mlr模型 sandhu 等人總結(jié)了上述幾個模型的特點提出了一種基于數(shù)據(jù)語義的多 級關(guān)系multilevel relationalmlr數(shù)據(jù)模型該模型提出了數(shù)據(jù)借用的 思想即高安全級的用戶可以向低安全級的用戶借用數(shù)據(jù)mlr 模型定義了 數(shù)據(jù)借用完整性并修改了數(shù)據(jù)操縱語句的語義mlr 模型的缺點是允許低 安全級用戶修改高安全級用戶的視圖因而在系統(tǒng)的實現(xiàn)過程中有可能產(chǎn)生隱 患 1.3.2 推理控制 推理問題在其他系統(tǒng)中也存在但在數(shù)據(jù)庫系統(tǒng)中更加突出早在 1980 年科研工作者們就已經(jīng)開始對安全數(shù)據(jù)庫的推理控制問題進行研究其工作 主要集中在問題的定義及框架的建立上jajodia 等證實了數(shù)據(jù)庫自身約束是 造成多級關(guān)系數(shù)據(jù)庫中的大多數(shù)推理通道的原因20為確保數(shù)據(jù)的安全性檢 測和消除推理通道是必要的下面介紹當前關(guān)于推理控制的研究工作 1. 基于函數(shù)依賴和多值依賴的推理 su 和 ozsoyoglu 研究了在一個分別具有屬性分級模式和記錄分級模式的 多級關(guān)系數(shù)據(jù)庫中由于函數(shù)依賴和多值依賴產(chǎn)生的推理問題21對于函數(shù)依 賴他們給出了一個屬性級別調(diào)整算法對于多值依賴他們提出了一個關(guān)系 中元組級別調(diào)整算法從而消除了由于函數(shù)依賴和多值依賴產(chǎn)生的危險 2. 基于數(shù)據(jù)庫約束和非敏感數(shù)據(jù)結(jié)合的推理 brodsky 等人研究了當數(shù)據(jù)庫約束與非敏感數(shù)據(jù)結(jié)合獲得敏感信息時產(chǎn)生 的推理通道問題22他們提出了一個集成的安全機制稱為泄露監(jiān)控器泄露 監(jiān)控器使用一個泄露推理引擎擴展了標準的強制訪問機制確保數(shù)據(jù)的保密 性 3. 數(shù)據(jù)級推理檢測系統(tǒng) yip 和 levitt 注意到通過分析數(shù)據(jù)庫中存儲的數(shù)據(jù)用戶可以檢測出更多 的推理23他們提出了六條推理規(guī)則即包含唯一特征重疊補充函數(shù) 依賴和分解查詢這些推理規(guī)則的存在表明僅使用函數(shù)依賴檢測推理是不夠 的 安全數(shù)據(jù)庫的理論與實現(xiàn) 8 1.3.3 隱通道控制 早在 1973 年lampson 就認識到隱通道是對系統(tǒng)安全的一個潛在的威脅 6 隱通道分析的關(guān)鍵步驟就是找出系統(tǒng)設計和實現(xiàn)中存在的隱通道即隱通 道的搜索方法國外一些專家和學者已經(jīng)提出的影響較大的方法有信息流分 析法無干擾分析法共享資源矩陣法隱蔽流樹法基于源代碼的搜索方法 等 找到隱通道后下一個步驟一般是評估它們的帶寬目前計算帶寬的方法 主要是 millen 提出的形式化方法和 tsai 和 gligor 提出的非形式化方法他們 分別使用于不同的場合評估完帶寬后就可以根據(jù)安全策略來進行適當?shù)奶?理一般采用的方法是消除隱通道縮小帶寬或?qū)﹄[通道的使用進行審計 1.4 本文的組織 本文主要研究多級安全數(shù)據(jù)庫的數(shù)據(jù)模型推理控制和隱通道控制等三方 面內(nèi)容全文由六章組成組織如下 第一章介紹課題的研究背景多級安全數(shù)據(jù)庫的研究內(nèi)容和國內(nèi)外研究 現(xiàn)狀 第二章 一種改進的安全模型 分析了 mlr 模型的缺點 在 smith-winslett 模型的基礎(chǔ)上提出了一種改進的數(shù)據(jù)模型并修改了部分操作的語義使之更 加安全同時對幾個安全模型的表達能力進行了比較討論了數(shù)據(jù)操縱處理 規(guī)則并且證明了模型的正確性完備性和安全性 第三章推理控制分析了推理通道的來源及常見的幾種解決方法提出 了一種解決函數(shù)依賴的安全級提升方法并能使數(shù)據(jù)可用性損失最小同時 對于可用性損失過大的推理通道提出了一種在數(shù)據(jù)庫運行期間進行動態(tài)推理 控制的方法簡單易用在這兩種方法的綜合作用下較好地解決了基于元數(shù) 據(jù)的推理問題 第四章隱通道控制主要介紹了隱通道的分類標識和處理策略重點 介紹了共享資源矩陣法和其他幾種常見的隱通道表示方法對隱蔽流樹法進行 改進提出隱蔽流圖法并且給出了在隱蔽流圖中檢索隱通道的策略 第五章原型系統(tǒng)的設計與實現(xiàn)介紹了原型系統(tǒng)采用的體系結(jié)構(gòu)和部分 南京航空航天大學碩士學位論文 9 實現(xiàn)過程研究分析原型系統(tǒng)中三個安全模塊的功能和數(shù)據(jù)結(jié)構(gòu) 第六章總結(jié)全文并對未來的工作進行展望 安全數(shù)據(jù)庫的理論與實現(xiàn) 10 第二章 一種改進的安全模型 確定多級安全模型的目的是提供一個不依賴于軟件實現(xiàn)的高層次上的多 級模型用以精確定義系統(tǒng)的多級安全策略到目前為止在大量的文獻中已 經(jīng)提出了許多用以實現(xiàn)多級安全數(shù)據(jù)庫系統(tǒng)的安全模型13,26-31不同的模型有 不同的特點本章借鑒了 mlr 模型13數(shù)據(jù)借用的思想對 smith-winslett模型31 進行了擴展同時對 smith-winslett 模型的操縱語義進行了部分改進提出了 eswextended smith-winslett模型 2.1 引言 安全模型也稱為策略表達模型是一種高層抽象獨立于軟件實現(xiàn)的概念 模型6在包括數(shù)據(jù)庫系統(tǒng)在內(nèi)的各種安全系統(tǒng)中安全模型是用于精確地描 述該系統(tǒng)的安全需求和安全策略的有效方式目前比較成熟的安全模型大部分 是訪問控制策略模型用于描述與維護系統(tǒng)中數(shù)據(jù)的保密性和完整性 根據(jù)訪問控制策略類型的差異目前主流的安全策略模型大致可以分為自 主訪問控制和強制訪問控制兩大類自主訪問控制策略是一種通用訪問控制策 略在該策略下決定用戶能否訪問某數(shù)據(jù)對象的依據(jù)是系統(tǒng)中是否存在明確授 權(quán)授權(quán)一般有兩種方法一種是基于封閉世界的理論用戶要訪問某個對象 必須擁有該對象上的授權(quán)否則拒絕這種方式的缺點是如果一個集合中只有 幾個人不允許訪問某對象那么授權(quán)將有許多無謂的重復另外一種是基于開 放世界的理論在這個理論下用戶可以訪問任一對象除非明確禁止用戶訪 問該對象這就很好地解決了封閉世界理論所遇到的問題通常情況下是將兩 者結(jié)合起來使用用戶的授權(quán)可以傳遞轉(zhuǎn)讓也可以回收自主訪問控制模 型普遍難以解決的一個問題是如何有效抵御特洛伊木馬攻擊木馬在對象的擁 有者不知情的情況下可以直接冒充屬主給攻擊者授權(quán)或?qū)⑿畔⒈硎境晒?者可以訪問的某種方式從而繞過訪問控制機制達到竊取或篡改破壞的目 的強制訪問控制通過用戶無法回避的存取限制來防止這類攻擊與自主訪問 控制不同強制訪問控制策略把所有的權(quán)限都歸于系統(tǒng)集中管理保證信息的 南京航空航天大學碩士學位論文 11 流動始終處于系統(tǒng)的控制之下這種策略給每個主體和客體分配一個安全級 別系統(tǒng)通過比較主體和客體的安全屬性是否匹配來決定讓主體訪問指定的客 體或者拒絕典型的強制訪問控制模型包括 blp 模型dion 模型等 對于安全性要求不高的系統(tǒng)實現(xiàn)自主訪問控制就能滿足其安全性需要 但在國防軍事等應用中由于對系統(tǒng)安全性要求很高必須實現(xiàn)強制訪問控 制24一個系統(tǒng)中如果只有強制訪問控制那么很多資源將無法正常使用因 此安全性較高的系統(tǒng)大多采用強制訪問控制為主自主訪問控制為輔的訪問 控制策略 本章把強制訪問控制作為重點在所有強制訪問控制模型中mlr 模型 是較為成功的安全模型它集合了其它幾個安全模型的優(yōu)點解決了其缺點 它首次提出了借用的概念但是由于它分級粒度很細針對每個元素都 分配了安全級因此并沒有在實際的產(chǎn)品中得到應用同時由于借用的語義 使得低級用戶的操作可以改變高級用戶的視圖這就有潛在的安全問題而 smith-winslett 模型中沒有借用的概念高級用戶不能同時借用幾個低級用戶 的數(shù)據(jù)針對這些問題本章對 smith-winslett 模型進行了擴展使它既保持 了原有的優(yōu)點 又添加了改進的借用操作并修改了部分操作的語義 同時 esw extended smith-winslett模型繼承并發(fā)展了多級實體的語義一個多級實 體可以跨越多個安全級別并且能夠模擬對屬性值的多個安全理解 2.2 esw 模型 本節(jié)對 esw 模型進行形式化定義并對該新模型進行數(shù)據(jù)語義解釋然 后在 2.3 和 2.4 節(jié)分別描述 esw 模型的完整性性質(zhì)和數(shù)據(jù)管理操作 2.2.1 模型定義 一個多級關(guān)系是由下面兩部分組成的 定義2.1 一個多級關(guān)系模式被表示為 ra1c1a2a3antc 其中 ai是定義在域 di上的數(shù)據(jù)屬性c1是對應于 a1的分級屬性tc 是元組 的分級屬性c1和 tc 的域由安全級格lh指定其中 l 表示系統(tǒng)最低安 全級h 表示系統(tǒng)最高安全級 定義2.2 一個關(guān)系實例被表示為 ra1c1a2a3antc它 安全數(shù)據(jù)庫的理論與實現(xiàn) 12 是一個形式為a1c1a2a3antc的不同元組的集合其中 aidi c1tclhtc c1 上述的兩個定義中a1表示用戶指定的外觀主鍵通常 a1由一個或多個 屬性組成這些屬性具有相同的安全級每個關(guān)系在任何時刻都只能有一個實 例不同級別的用戶可以看到這個實例不同的視圖為了描述方便將訪問安 全級是 c 的主體稱之為 c-主體將元組級別是 c 的元組稱之為 c-元組下面的 表就是一個多級關(guān)系實例 表 2.1 一個多級關(guān)系實例 姓名主鍵安全級工資部門元組級別 王強s6000信息s 王強u2000技術(shù)u 定義2.3 一個數(shù)據(jù)庫是一個關(guān)系的集合一個數(shù)據(jù)庫狀態(tài)是在某個特定的 時刻數(shù)據(jù)庫中所有關(guān)系實例的一個集合25 2.2.2 模型數(shù)據(jù)語義的解釋 esw 模型的思想與 mlr 模型的思想相似對于所有的實例 ra1c1 a2a3antc和所有的元組 tr數(shù)據(jù)解釋如下 1a1c1可以唯一確定一個關(guān)系中的實體c1表示這個實體的安全級 別 2tc1=c1表明這個實體由一個 c1-主體創(chuàng)建因而被稱作是一個 c1-實 體 3ttc=tc 且 tc1=c1表示 t 是由一個 tc-主體加入的t 中所有的數(shù)據(jù) 都被 tc-主體認可如果 t 不存在則說明 c1-實體不被 tc-主體認可t 只能被 級別ctc 的主體看到t 只能被 tc 主體刪除 4如果 ttc=tc1那么 t 是實體的基本元組所有元組 tr 滿足 ta1,c1=ta1,c1同時 ttcttc都是基于 t 的借用元組 由上面的形式化描述可以得到如下有用信息 1主體只可以更新包括插入刪除修改同級別的數(shù)據(jù)某一級 別的數(shù)據(jù)只可以被同級別的主體更新這條規(guī)則對應 blp 模型中的不下寫 原則但因其限定在同級別所以控制比 blp 模型更強這也避免了 mlr 模 南京航空航天大學碩士學位論文 13 型中低級別主體可以修改高安全級主體的視圖這一問題 2一個 c-主體能夠看到訪問級被 c 支配的主體認可的數(shù)據(jù)這條規(guī)則 對應于 blp 模型中的不上讀原則這里一個 c-主體認可的數(shù)據(jù)包括兩 部分內(nèi)容c-主體自己創(chuàng)建的數(shù)據(jù)通過插入操作c-主體通過借用操作得 到的數(shù)據(jù)它一般是由 c-主體向低級用戶借用的數(shù)據(jù)和自己指定的數(shù)據(jù)兩部 分組成 3存在兩種類型的多實例實體多實例和元組多實例當一個關(guān)系包 含多個元組具有相同的 a1值如果這些元組的 c1值不同則稱其為實體多實 例如果這些元組的 c1值相同但 tc 值不同則稱其為元組多實例 2.3 完整性性質(zhì) esw 數(shù)據(jù)模型包含了 4 個完整性性質(zhì)其中實體完整性外鍵完整性和 參照完整性是傳統(tǒng)關(guān)系數(shù)據(jù)庫都必須滿足的性質(zhì)而多實例完整性是多級安全 數(shù)據(jù)模型所特有的 2.3.1 實體完整性 esw 的實體完整性是取自于原始的 seaview 模型也就是一個多級關(guān)系 r 的實例 r 滿足實體完整性當且僅當對于所有的 tr 1ta1 null 2ttc tc1 第一個要求是指外觀主鍵不能為空第二個要求說明在任何元組中元組 的安全級別必須支配主鍵屬性的安全級別 2.3.2 外鍵完整性 設 fk 是參照關(guān)系 r 的外鍵一個多級關(guān)系 r 的實例 r 滿足外鍵完整性 當且僅當對于所有的 tr 1aifk, tai = null 或者 2aifk, tai null 外鍵完整性要求在任何元組中所有外鍵的屬性值要么都為空要么都不為 空 安全數(shù)據(jù)庫的理論與實現(xiàn) 14 2.3.3 參照完整性 設 fk1是參照關(guān)系 r1的外鍵a11是 r1的外觀主鍵a21是被參照關(guān)系的 外觀主鍵r1的實例 r1和 r2的實例 r2滿足參照完整性當且僅當 對于所有的 t1r1如果 t1fk1null 那么一定存在 t2r2滿足 t1fk1=t2a21 t1tc=t2tc t1cfk1t2c21其中 c21是對應于 a21的安全級屬性 在上面的定義中如果 fk1a11那么 t1cfk1=t1c11其中 c11是對應于 a11的安全級屬性否則 t1cfk1=t1tc參照完整性中要求 t1cfk1t2c21是為 了只允許向下參照而 t1tc=t2tc說明對于任何級別 cc-元組只能參照 c- 元組這是由于 c-元組包含了 c-主體認可的所有數(shù)據(jù)一個 c-元組的缺少意 味著 c-主體不認可這個實體的存在這樣esw 模型消除了參照模糊性 2.3.4 多實例完整性 一個多級關(guān)系 r 的實例 r 滿足多實例完整性當且僅當 1a1, tc c1并且 2對于所有 1 i na1, tc ai 性質(zhì) 1 是實體多實例完整性直觀解釋是在一個關(guān)系中可以有多個實體 具有相同的主鍵值但在任何安全級主體能夠認可至多一個實體具有那個外觀 主鍵例如表 2.2 的多級關(guān)系是不允許的因為在級別 s 存在兩個實體具有 相同的主鍵值小李小李u和小李s為了避免語義模糊性s 可以認可兩個中的任何一個但不能同時認可兩個 表 2.2 實體多實例完整性沖突 姓名主鍵安全級部門工資元組級別 小張u部門 11000u 小李u部門 11000u 小李u部門 24000c 小李u部門 21000s 小李s部門 22000s 在 esw 模型中跨越安全級的實體多實例是允許的因此不存在插入元 組時由于在較高級別存在實體多實例而被拒絕這就避免了向下的信息泄露 南京航空航天大學碩士學位論文 15 此外在特定的安全級主體認可的元組中不允許存在實體多實例這就消除 了模糊性 2.4 模型的操作 esw 數(shù)據(jù)模型一共包含五個數(shù)據(jù)操縱語句其中四個是傳統(tǒng)數(shù)據(jù)庫的操 作語句insertdeleteselect和 update另外一個是 mlr 模型的 uplevel語句uplevel 語句主要是用來解決 smith-winslett 模型的操作不 方便問題的針對每個數(shù)據(jù)操縱語句本節(jié)給出形式化的語法和語義 2.4.1 insert 語句 1. 語法 一個 c-主體執(zhí)行的 insert 語句具有如下的一般形式 insert into r(aj1, aj2 ) values (aj1, aj2 ); 其中 r 代表一個關(guān)系aj1aj2是屬性名aj1aj2是屬性 aj1aj2 上的數(shù)值在本文中代表可選代表重復屬性上的值必須在它 的域范圍內(nèi)如 aj1dj1aj2dj2等 2. 語義 每個 insert 語句至多能夠向關(guān)系 r 中插入一個元組被插入的元組 t 構(gòu) 造如下對于 1 i n 1如果 ai在 into 子句的屬性列表中則 tai=ai 2如果 ai不在 into 子句的屬性列表中則 tai=null同時 tc1=ttc=c 插入操作被允許當且僅當 1不存在 tr 滿足 ta1=ta1 ttc=c并且 2產(chǎn)生的數(shù)據(jù)庫狀態(tài)滿足實體完整性參照完整性和外鍵完整性 如果上述兩個條件能夠滿足那么元組 t 被插入到 r 中否則操作被拒絕 原始的數(shù)據(jù)庫狀態(tài)保持不變 安全數(shù)據(jù)庫的理論與實現(xiàn) 16 2.4.2 delete語句 1. 語法 一個 c-主體執(zhí)行的 delete 語句具有如下的一般形式 delete from r where p; 其中 p 是一個謂詞表達式除了通常情況下的數(shù)據(jù)屬性外還可以包含安全級屬 性其余符號與上節(jié)相似 2. 語義 只有 tr 且 ttc=c 的元組才會在 p 的計算中被考慮換句話說p 在執(zhí) 行前被修改為 pttc=c對于滿足條件的元組 tr 將被刪除如果在級別 c 產(chǎn)生的數(shù)據(jù)庫狀態(tài)滿足參照完整性也就是說元組級別等于 c 的所有元組都 滿足參照完整性那么 delete 語句執(zhí)行成功否則刪除被拒絕并且原 始的數(shù)據(jù)狀態(tài)保持不變 2.4.3 select語句 1. 語法 一個 c-主體執(zhí)行的 select語句具有如下的一般形式 select b1, b2 from r1, r2 where p believed by c1, c2, ; 其中 r1r2是關(guān)系名b1b2是 r1r2中的屬性名每個 bi是 一個數(shù)據(jù)屬性或分級屬性或元組級別屬性p 是一個謂詞表達式除了通常情 況下的數(shù)據(jù)屬性外p 還可以包含有關(guān)分級屬性的條件c1c2 是安全級 的值可以使用通配符*表示所有受 c 支配的級別它們均小于 c 2. 語義 只有那些 tr1r2且 ttc出現(xiàn)在 believed by子句中的元組將在 p 的計算中考慮如果沒有 believed by 子句則要求 ttc=c如果 from 子句中包含多個關(guān)系則謂詞 p 被隱含地替換為 pr1.tc=r2.tc= 對于 南京航空航天大學碩士學位論文 17 滿足條件 p 的元組其對應于 select 子句里提到的屬性的數(shù)據(jù)將被返回 select 語句總是執(zhí)行成功的盡管返回的元組集可能是一個空集 3. 說明 一個關(guān)系中的 c-元組只能和其他關(guān)系中的 c-元組進行連接因為一個 c- 元組包含了 c-主體認可的所有數(shù)據(jù)因此它只應當與其它的 c-元組連接否 則很難解釋返回結(jié)果允許不同安全級的元組進行連接不僅會帶來連接模糊性 問題而且還可能導致隱通道的產(chǎn)生由于在 esw 模型中任何安全級上不允 許存在元組多實例如表 2.3因此 select 語句的連接可能性是唯一的 表 2.3 c 安全級上元組多實例 姓名主鍵安全級工資部門元組級別 王強c6000信息c 王強c2000技術(shù)c 2.