碩士論文-基于組合訪問控制的安全數(shù)據(jù)庫(kù)設(shè)計(jì).pdf

江蘇大學(xué) 碩士學(xué)位論文 基于組合訪問控制的安全數(shù)據(jù)庫(kù)設(shè)計(jì) 姓名 邵學(xué)軍 申請(qǐng)學(xué)位級(jí)別 碩士 專業(yè) 計(jì)算機(jī)應(yīng)用 指導(dǎo)教師 鞠時(shí)光 20040901 為 J j 學(xué)幀I 學(xué)他畢業(yè)論文 摘要 安全對(duì)象關(guān)系數(shù)據(jù)庫(kù)是當(dāng)前信息安全研究的一個(gè)重要分支 具有廣泛的應(yīng)用 前景 該領(lǐng)域的研究具有強(qiáng)烈地域性和保密性 信息技術(shù)發(fā)達(dá)國(guó)家對(duì)我國(guó)一直施 行尖端安全產(chǎn)品禁止輸出策略 數(shù)據(jù)庫(kù)安全產(chǎn)品亦在其列 因此 研究和開發(fā)自 主的安全數(shù)據(jù)庫(kù)產(chǎn)品是進(jìn)行自主信息保護(hù)的一個(gè)重要手段 本文就安全對(duì)象關(guān)系數(shù)據(jù)庫(kù)進(jìn)行了深入的研究 對(duì)安全對(duì)象關(guān)系數(shù)據(jù)庫(kù)的安 全策略 安全模型 安全設(shè)計(jì)和安全數(shù)據(jù)庫(kù)的實(shí)現(xiàn)進(jìn)行了深入的討論 提供了一 個(gè)較為完整的邏輯設(shè)計(jì)方案 并在此基礎(chǔ)上實(shí)現(xiàn)安全對(duì)象關(guān)系數(shù)據(jù)庫(kù)系統(tǒng) V I S T A 本文針對(duì)傳統(tǒng)的安全模型進(jìn)行分析和改進(jìn) 提出了一種新的安全模型T D M 并設(shè)計(jì)了該模型相應(yīng)的規(guī)則組 T D M 安全規(guī)則從安全定義 數(shù)據(jù)安全訪問 數(shù) 據(jù)完整性 沖突協(xié)調(diào)四個(gè)方面對(duì)T D M 安全模型進(jìn)行了嚴(yán)格的定義 為模型的實(shí) 現(xiàn)提供了依據(jù) 同時(shí) 通過T D M 模型與傳統(tǒng)安全模型的兼容性論證 說明了T D M 模型的可行性和合理性 本文簡(jiǎn)要介紹了項(xiàng)目組設(shè)計(jì)開發(fā)的安全對(duì)象關(guān)系數(shù)據(jù)庫(kù)系統(tǒng) v l S T A 從 安全存儲(chǔ)機(jī)制 安全數(shù)據(jù)模式 安全訪問和審計(jì)設(shè)計(jì)四個(gè)方面 對(duì)V I S T A 的設(shè) 計(jì)方案進(jìn)行了闡述 首次提出了可組合安全訪問控制方案 根據(jù)具體安全訪問控 制需求 對(duì)自主訪問控制 強(qiáng)制訪問控制和角色訪問控制三種傳統(tǒng)的訪問控制方 案進(jìn)行合理的改進(jìn)和設(shè)計(jì) 使之可以自由組合 以適合不同安全強(qiáng)度的實(shí)際應(yīng)用 的需要 本工作在理論上具備以下創(chuàng)新點(diǎn) 1 提出了新的安全模型 T D M 2 第一次提出了可組合安全訪問控制策略 3 對(duì)傳統(tǒng)的自主安全訪問控制和角色訪問控制進(jìn)行了改進(jìn) 增強(qiáng)了其安全輅 制的約束 在自差安全訪問控制中增加了有效時(shí)間域 將角色域分解為業(yè)務(wù)域和 職責(zé)域 使得訪問策略更貼近和適合實(shí)際需要 關(guān)鍵詞 安全模型 安全規(guī) 1 0 數(shù)據(jù)庫(kù)管理系統(tǒng) 訪問控制 審計(jì) 安全存儲(chǔ) 交令對(duì)象關(guān)系數(shù)據(jù)庫(kù)研究和改汁 A B S T R A C T 1 1 1 es e c u r i t yo b j e c t r e l a t i o n a ld a t e b a s ei sa l l i m p o r t a n tb r a n c ho ft h ep r e s e n ts t u d yo f i n f o r m a t i o ns e c u r i t y I th a sb r o a da p p l i c a t i o nf o r e g r o u n d T h es t u d yi n t h i sr e g i o nh a ss t r o n g c h a r a c t e ro fd i s t r i c ta n ds e c r e c y T h ec o u n t r i e sw i t hd e v e l o p e di n f o r m a t i v et e c h n o l o g yh a v eb e e n p r o h i b i t i n gf i o me x p o r t i n gt h ea d v a n c e ds e c u r i t yp r o d u c t st oC h i n a i n c l u d i n gt h es e c u r i t y d a t e b a s ep r o d u c t s T h e r e b yi ti sa ni m p o r t a n tm e a nt os t u d ya n dd e v e l o pt h es e c u r i t yd a t e b a s e p r o d u c t sf o rp r o t e c t i n go u rs e l f d e t e r m i n e di n f o r m a t i o n I nt h i st h e s i si tc a r r i e st h r o u g ha ne m b e d d e ds t u d yt Ot h ed a t e b a s es e c u r i t yp r o d u c t s I ta l s o h a sat h o r o u g h g o i n gd i s c u s s i o na b o u tt h es e c u r i t yp o l i c y s e c u r i t ym o d e l s e c u r i t yd e s i g na n d s e c u r i t yd a t e b a s e I tp r o v i d e sar e l a t i v e l yc o m p l e t el o g i c a ld e s i g n i n gb l u ep r i n ta n dr e a l i z e st h e s e c u r i t yo b j e c t r e l a t i o n a ld a t e b a s es y s t e m V I S T A T l l i st h e s i sa i m sa ta n a l y z i n ga n di m p r o v i n gt h et r a d i t i o n a ls e c u r i t ym o d e la n dc o l n c so u ta n e ws e c u r i t ym o d e l T D M I td e s i g n st h en e wm o d e l Sr e g u l a t eg r o u p T h eT D M Ss e c u r i t y r e g u l a t i o nd e f i n e si t Sm e a n i n gs t r i c t l yf r o mt h ef o u ra s p e c t sa st h es e c u r i t yd e f i n e s t h ed a t e s e c u r i t ya c c e s s d a t ei n t e g r a l i t ya n dt h ec o o r d i n a t i n go fc o n f l i c t i o n I tp r o v i d e st h eb a s i sf o rm o d e l r e a l i z i n g A tt h es a m et i m e t h i sa r t i c l ee x p l a i n st h ef e a s i b i l i t ya n dr a t i o n a l i t yt h r o u g ht h e d i s c u s s i n go nt h ec o m t g a t i b i l i t vo f T D Mm o d e l I ti n t r o d u c e st h es e c u r i t yo b j e c t r e l a t i o n a ld a t e b a s es y s t e mV I S T A w h i c hi sd e v e l o p e db y t h ed e s i g n i n gg r o u p I te x p a t i a t e st h ed e s i g n i n gb l u ep r i n to fV I S T Af r o mt h ef o u ra s p e c t sa s b e l o w t h es e c u r i t ys t o r a g em e c h a n i s m t h es e c u r i t yd a t am o d e l s e c u r i t ya c c e s sa n da u d i t d e s i g n i n g F o rt h e f t r s tt i m ei t p r o m o t e st h ec o m b i n a t o r i a ls e c u r i t ya c c e s sc o n t r o ld e s i g n A c c o r d i n gt ot h en e e do fs e c u r i t ya c c e s sc o n t r o li tg o e sa l o n gar a t i o n a la m e l i o r a t i o na n dd e s i g nt O t h et h r e ec o n v e n t i o n a ls e c u r i t yv i s i t i n gc o n t r o ld e s i g n s u c ha sd i s c r e t i o n a r ya c c e s sc o n t r o l m a n d a t o r ya c c e s sc o n t r o la n dr o l e b a s e da c c e s sc o n t r o l w h i c hC a nb ec o m b i n e df r e e l yi no r d e rt O f i tt h ep r a c t i c a la p p l i e dn e e do fd i f f e r e n ts e c u r i t yi n t e n s i t y T h e o r e t i c a l l yi th a ss o m eL r m o v a t e df e a t u r e si nt h i sa r t i c l e P u tf o r w a r dan e ws e c u r i t ym o d e l F i r s t l yp u tf o r w a r dc o m b i n a t o r i a ls e c u r i t ya c c e s sc o n t r o ld e s i g n I ti m p r o v e st h et r a d i t i o n a ld i s c r e t i o n a r ya c c e s sc o n t r o la n dr o l e b a s e da c c e s sc o n t r o la n d e n f o r c e si t sr e s t r i c t i o no fs e c u r i t yc o n t r o l w h i c hi n c r e a s e st h ee f f e c t i v ed o m a i ni nd i s c r e t i o n a r y a c c e s sc o n t r 0 1 I td e p a r t st h er o l ed o m a i ni n t oo p e r a t i o n a ld o m a i na n df u n c t i o n a ld o m a i n w h i c h m a k e st h ea c c s sp o l i c ym o r es u i t a b l et Ot h ep r a c t i c a ln e e d K e yW a r d s s e c u r i t ym o d e l s e c u r i t yr e g u l a t i o n a c c e s sc o n t r o l T h eD a t a B a s eM a n a g e m e n tS y s t e ma u d i t s e c u r i t ys t o r a g e 江茄 人學(xué)壩I j 學(xué)位畢業(yè)論文 第一章緒論 對(duì)數(shù)據(jù)庫(kù)安全的研究由來已久 尤其進(jìn)入網(wǎng)絡(luò)時(shí)代 數(shù)據(jù)密集管理的安全問 題愈發(fā)突出 為保證國(guó)家安全 商業(yè)信息安全 各國(guó)及其大型l T 行業(yè)紛紛投入 大量經(jīng)費(fèi)從事數(shù)據(jù)庫(kù)安全項(xiàng)目研究 出于國(guó)家安全及其他緣由 一些信息技術(shù)大國(guó)對(duì)安全技術(shù)進(jìn)行嚴(yán)格封鎖 對(duì) 這些技術(shù)的出口進(jìn)行了嚴(yán)格的控制 由于技術(shù)的封鎖 以及安全技術(shù)的特征 為 保證信息的安全性 我們有必要開發(fā)自己的安全產(chǎn)品 本課題主要就對(duì)象關(guān)系數(shù)據(jù)的安全構(gòu)架進(jìn)行了基礎(chǔ)研究 1 1 對(duì)象關(guān)系型數(shù)據(jù)庫(kù)安全問題 一自上世紀(jì)8 0 年代起 基于對(duì)象的信息處理技術(shù)逐步為人們所接受 人們開 始廣泛研究如何以對(duì)象為基本信息單位 對(duì)信息進(jìn)行存儲(chǔ) 處理 加工和應(yīng)用 在此基礎(chǔ)上 對(duì)象關(guān)系數(shù)據(jù)庫(kù)技術(shù)運(yùn)用而生 隨著網(wǎng)絡(luò)時(shí)代的到來 協(xié)同工作 多媒體技術(shù) G l S 系統(tǒng)等越來越多采用對(duì) 象關(guān)系數(shù)據(jù)庫(kù)對(duì)數(shù)據(jù)進(jìn)行存儲(chǔ)和管理 大對(duì)象 復(fù)雜對(duì)象的安全性引起了這些領(lǐng) 域的工作人員的關(guān)注 與此同時(shí) 數(shù)據(jù)庫(kù)攻擊者注意力也集中到對(duì)象關(guān)系數(shù)據(jù)庫(kù) 上 對(duì)象關(guān)系數(shù)據(jù)庫(kù)的安全問題屢見報(bào)端 因此 對(duì)象關(guān)系數(shù)據(jù)庫(kù)的安全防范問 題成為數(shù)據(jù)庫(kù)安全領(lǐng)域的一個(gè)備受關(guān)注的問題 對(duì)象關(guān)系數(shù)據(jù)庫(kù)由于其操作客體對(duì)象具有封閉性這一特征 人們往往主觀認(rèn) 為其安全性高于關(guān)系型數(shù)據(jù)庫(kù) 然而 事實(shí)并非如此 對(duì)象關(guān)系數(shù)據(jù)庫(kù)可能存在 的安全問題并不會(huì)少于關(guān)系型數(shù)據(jù)庫(kù) 甚至 在特定環(huán)境中存在更多安全隱患 只是封閉性使得這些隱患更具有隱蔽性 封閉性是在一個(gè)原子單位中將數(shù)據(jù)和與其相聯(lián)系的操作連接起來 利用用戶 細(xì)節(jié)數(shù)據(jù)的隱藏和操作與應(yīng)用分離 賦予數(shù)據(jù)關(guān)于其領(lǐng)域的完整性 有效性和一 致性 然而 從數(shù)據(jù)庫(kù)管理底層可能出現(xiàn)的對(duì)存儲(chǔ)媒體直接攻擊 到數(shù)據(jù)庫(kù)管理 的應(yīng)用層 攻擊者借助對(duì)象提供的服務(wù)的安全缺陷對(duì)對(duì)象屬性值的攻擊 這些安 全悶題封閉性是無法解決的 同時(shí) 對(duì)象關(guān)系數(shù)據(jù)庫(kù)中的數(shù)據(jù)的原子單位 或記錄 的比特量一般遠(yuǎn)大于關(guān) 系數(shù)據(jù)庫(kù)中的數(shù)據(jù)原子單位 這樣 攻擊者對(duì)信息的獲墩 篡改 刪除 統(tǒng)計(jì)分 析的安全攻擊的可能性就更大 對(duì)象關(guān)系數(shù)據(jù)瘁安令框架可以 般包括以一V J L 個(gè)安全部分 見劁1 1 數(shù)折 存儲(chǔ)安全 指數(shù)捌靠 存儲(chǔ)介質(zhì)f 安傘存儲(chǔ)方 包括數(shù)槲的存儲(chǔ)規(guī)則 和數(shù)捌加密 如數(shù)掀庫(kù)的加密技術(shù) 多 爻例r J 題等 f 2 磁I j l li I 衍 奠個(gè) i f 7 時(shí)數(shù)州的籀價(jià) 以雎仲 衙f r 1 杰0 J 1 f h 7 t z l i4 ri t J 4 奠會(huì)肘繯關(guān)系數(shù)據(jù)庫(kù)蚶亢嗣j 改汁 鏡像存儲(chǔ)技術(shù) 3 數(shù)據(jù)訪問安全 指用戶訪問數(shù)據(jù)庫(kù)的安全規(guī)則 如自主訪問控制 強(qiáng)制訪 問控制 基于角色的訪問控制等 4 事務(wù)安全 指數(shù)據(jù)庫(kù)管理系統(tǒng)根據(jù)在處理用戶訪問請(qǐng)求時(shí) 如何保證數(shù)據(jù) 的完整性 有效性 一致性和信息的不泄漏 如事務(wù)回滾 事務(wù)鎖等 5 對(duì)象解釋安全 指用戶在定義數(shù)據(jù)庫(kù)模式時(shí) 如何建立主客體問的安全訪 問規(guī)則 如安全視圖定義 在對(duì)象關(guān)系數(shù)據(jù)庫(kù)中 該部分的安全規(guī)則主要解決如 何與數(shù)據(jù)訪問安全規(guī)則組合使用 防止攻擊者借助對(duì)象提供的服務(wù)的安全缺陷對(duì) 對(duì)象屬性值的攻擊 圖1 1 對(duì)象關(guān)系數(shù)據(jù)庫(kù)安全框架的組成 上述五個(gè)部分中任何一個(gè)部分的安全缺陷 均會(huì)給對(duì)象關(guān)系數(shù)據(jù)庫(kù)的應(yīng)用帶 來不良后果 為保證對(duì)象關(guān)系數(shù)據(jù)庫(kù)的安全使用 需要對(duì)上述方面進(jìn)行深入研究 本文試圖通過對(duì)我們開發(fā)的安全空間數(shù)據(jù)V I S T A 設(shè)計(jì)思想的介紹 探討對(duì)象關(guān)系 數(shù)據(jù)庫(kù)的安全技術(shù) 1 2 國(guó)內(nèi)外研究的現(xiàn)狀 數(shù)據(jù)庫(kù)技術(shù)從6 0 年代產(chǎn)生至今 已得到快速的發(fā)展和廣泛的應(yīng)用 由于數(shù) 據(jù)庫(kù)系統(tǒng)是保管信息系統(tǒng)核心內(nèi)容的關(guān)鍵工具 大量數(shù)據(jù)集中存放 擔(dān)負(fù)著R 益 艱巨的集中處理大量信息的任務(wù) 而且數(shù)據(jù)為許多用戶直接共享 是寶貴的信息 資源 從而使數(shù)據(jù)庫(kù)系統(tǒng)的安全性問題同漸突出 其安全保密研究無疑應(yīng)當(dāng)具有 極其重要的意義 伴隨著T C S E C 一 的發(fā)布 斟外的影f 究者們作了大量的研究 出現(xiàn)了一些高 安令 k 的蟓型系統(tǒng) 輳一 返止弩研究 茭 t 4 j i1 9 9 1f c 卜 發(fā)鉑i 了T C S E Cf t 數(shù)掘陣箭 邢系統(tǒng)的解釋T D I 為商川系統(tǒng)的Jr 發(fā)和i l f i 嗅定了j 硎 小1 j 將f J I 賊 f l 總結(jié) I J J 外數(shù)j j l 踴i 發(fā)令發(fā)挺f 膏況 J f j f 芝薯 j 術(shù)術(shù)的發(fā)眨 匕鈴 a 蘇人掌形 I 學(xué)位畢業(yè)論文 1 2 1 國(guó)外安全數(shù)據(jù)庫(kù)研究狀況 國(guó)際上對(duì)數(shù)據(jù)庫(kù)安全研究起步較早 積累了豐富的理論經(jīng)驗(yàn) 自7 0 年代起 B e l l B i b a L a p a d u l a 和D e n n i n g 等人對(duì)信息安全進(jìn)行了大量的基礎(chǔ)研究 提 出了多種系統(tǒng)安全模型 并在多個(gè)系統(tǒng)中得以實(shí)現(xiàn) B e l l 等人的為實(shí)現(xiàn)數(shù)據(jù)庫(kù)安全提供了基礎(chǔ) 1 9 7 8 年 G u d e s 等人提出了數(shù) 據(jù)庫(kù)的多級(jí)安全模型 把計(jì)算機(jī)安全保密研究擴(kuò)展到數(shù)據(jù)庫(kù)領(lǐng)域 1 9 8 6 年 D e n n i n g 等人提出了安全數(shù)據(jù)視圖模型 該模型是針對(duì)關(guān)系數(shù)據(jù)庫(kù)系統(tǒng)設(shè)計(jì)的 采用基于強(qiáng)制存取策略和自主存取策略控制對(duì)數(shù)據(jù)庫(kù)進(jìn)行訪問控制 8 0 年代 美國(guó)國(guó)防部基于軍事計(jì)算機(jī)系統(tǒng)的保密需要 制訂了 可信計(jì)算機(jī) 系統(tǒng)安全評(píng)價(jià)準(zhǔn)則 T C S E C f 5 形成了安全信息系統(tǒng)體系結(jié)構(gòu)的最早原則 1 9 9 4 年 美國(guó)國(guó)家計(jì)算機(jī)安全中心 N C S C 頒布了T D I 即 可信計(jì)算機(jī)評(píng) 估標(biāo)準(zhǔn)在數(shù)據(jù)庫(kù)管理系統(tǒng)的解釋 8 1 它將T C S E C 擴(kuò)展到數(shù)據(jù)庫(kù)管理系統(tǒng) 并 從安全策略 責(zé)任 保證和文檔四個(gè)方面進(jìn)一步描述了每級(jí)的安全標(biāo)準(zhǔn) 這表明 到9 0 年代數(shù)據(jù)庫(kù)安全已引起足夠重視 按照T C S E C 標(biāo)準(zhǔn) 安全數(shù)據(jù)庫(kù)研究原型一般是指安全級(jí)別在B 1 級(jí)以上的 以科研為目的 尚未產(chǎn)品化的數(shù)據(jù)庫(kù)管理系統(tǒng)原型 至今美國(guó)已研究出達(dá)到 T C S E C 要求安全系統(tǒng) 包括安全操作系統(tǒng) 安全數(shù)據(jù)庫(kù) 安全網(wǎng)絡(luò)部件 的產(chǎn) 品多達(dá)1 0 0 多種 目前在國(guó)外已有不少上市的數(shù)據(jù)庫(kù)管理系統(tǒng)得到B 1 級(jí)的認(rèn)證 如O r a c l e 公司的T r u s t e dO r a c l e7 S y b a s e 的S e c u r eS Q Ls e r v e rv e r s i o n1 1 0 6 等 而B 2 級(jí)及以上認(rèn)證的安全數(shù)據(jù)庫(kù)產(chǎn)品尚屬少見 在美國(guó)的大型D B M S 中 多數(shù)產(chǎn)品已經(jīng)通過美國(guó)N C S C 的安全認(rèn)證 達(dá)到B 1 或相當(dāng)于B 1 的級(jí)別 個(gè)別 的系統(tǒng)已達(dá)到B 2 級(jí) 另外還有一些具有高安全級(jí)別的數(shù)據(jù)庫(kù)原型 如 安全數(shù) 據(jù)視圖原型和A 1 安全D B M S 等 然而 他們的高安全級(jí)別的產(chǎn)品對(duì)我國(guó)是封鎖 禁售的 9 0 年代初 英 法 德 荷四困針對(duì)T C S E C 準(zhǔn)則只考慮保密性的局限 聯(lián)合提 j J 了包括保密性 完整性 可用性概念的 信息技術(shù)安全評(píng)價(jià)準(zhǔn)則 T I S F C 但是該準(zhǔn)則中并沒有給出綜合解決以上問題的理論模型和方案 近年來六固七方 美國(guó)國(guó)家安全局和剛家技術(shù)標(biāo)準(zhǔn)研究所 加 英 法 德 荷 共同提出了 信息技術(shù)安全評(píng)價(jià)通j j 準(zhǔn)則 C Cf o rI TS E C C C 綜合了國(guó) 際上已有的評(píng)審準(zhǔn)則和技術(shù)標(biāo)準(zhǔn)的精華 給出了框架和原則要求 是當(dāng)自訂最新的 信息安全標(biāo)準(zhǔn) 它是一系列丌發(fā)準(zhǔn)則的努 f J 的結(jié)果 然而 將作為取代T C S E C 朋 j 系統(tǒng)安全的評(píng)測(cè)的圍際標(biāo)7 E 它仍然缺少綜合解決信息的多種安令屬性 的理 淪饃型依槲 迄今 I t t I 外億數(shù)捌瞻安令饃喇 L 做了徼多l(xiāng) 作 f Im 多難題尚未角 決 安 個(gè)體系結(jié)f 勾力 i f 的研究f 作川川玎好i 交侖 J m i f 巧f I 彳 f 統(tǒng)的村m 4 k 增枷 拼l j j Z 企 j 叫9 0tf 以 2 I j S E CV I S T A 奠 2 訓(xùn)f 的 奠侖哦略f 孫 i 乏i i U 弛0 上 丘傘時(shí)緣天系數(shù)捌唯州二午1 I 改汁 1 4 內(nèi)容安排 本文將從對(duì)象關(guān)系型數(shù)據(jù)庫(kù)安全框架 S E C V I S T A 安全數(shù)據(jù)庫(kù)安全模型 S E CV I S T A 的安全策略以及系統(tǒng)的實(shí)現(xiàn)等幾個(gè)方面來介紹作者的工作 1 對(duì)象關(guān)系型數(shù)據(jù)庫(kù)安全框架 第二章介紹了對(duì)象關(guān)系型數(shù)據(jù)庫(kù)安全框架 討論對(duì)象關(guān)系數(shù)據(jù)庫(kù)安全體系 安全框架的各組成部分在安全數(shù)據(jù)庫(kù)中的作用及 其相互關(guān)系 在本章中著重研究對(duì)象關(guān)系數(shù)據(jù)庫(kù)的安全訪問策略及其基本技術(shù) 2 S E CV I S T A 安全數(shù)據(jù)庫(kù)安全模型 第三章將介紹S E CV I S T A 安全數(shù)據(jù) 庫(kù)的安全模型定義 討論空問數(shù)據(jù)庫(kù)V I S T A 的體系結(jié)構(gòu) 根據(jù)其體系特征增加 對(duì)象關(guān)系型數(shù)據(jù)庫(kù)的安全需求 建立S E CV I S T A 的安全模型 3 S E CV I S T A 的安全策略 第四章將詳細(xì)介紹多級(jí)安全數(shù)據(jù)庫(kù)S E CV I S T A 安全策略的設(shè)計(jì)方案 包括安全訪問策略和安全存儲(chǔ)策略及其信息過濾機(jī)制等 4 S E CV I S T A 系統(tǒng)環(huán)境簡(jiǎn)介 第五章簡(jiǎn)單介紹了S E CV I S T A 系統(tǒng)的安全 功能 及其主要交互界面 江另 人學(xué)壩卜 位畢業(yè)論文 第二章對(duì)象安全數(shù)據(jù)庫(kù)安全概論 對(duì)象關(guān)系型數(shù)據(jù)庫(kù)管理系統(tǒng) 是在關(guān)系數(shù)據(jù)庫(kù)的基礎(chǔ)之上增加了面向?qū)ο蟮?特征 其數(shù)據(jù)模型比關(guān)系模型要豐富的多 數(shù)據(jù)間的關(guān)系也比較復(fù)雜 因此 傳 統(tǒng)的針對(duì)關(guān)系型數(shù)據(jù)庫(kù)管理系統(tǒng)所采取的安全機(jī)制需要進(jìn)行修改和補(bǔ)充 才能夠 適用于對(duì)象關(guān)系型數(shù)據(jù)庫(kù) 本章簡(jiǎn)要討論對(duì)象關(guān)系型數(shù)據(jù)庫(kù)安全訪問策略 及其安全體系模型 2 1 對(duì)象關(guān)系數(shù)據(jù)庫(kù)安全定義 2 1 1 對(duì)象關(guān)系型數(shù)據(jù)庫(kù)系統(tǒng)的安全定義 數(shù)據(jù)庫(kù)系統(tǒng)的安全性是指數(shù)據(jù)庫(kù)的數(shù)據(jù)及其組成部分不得受到侵害或篡改 其安全機(jī)制核心是 提供數(shù)據(jù)的安全存取服務(wù)和可信用戶的安全訪問服務(wù) 以保 證所管理的數(shù)據(jù)具備可用性 完整性和一致性 需要滿足下述基本的安全要求 1 保密性 即數(shù)據(jù)不被直接或間接的泄露 防止非授權(quán)訪問 2 完整性 即數(shù)據(jù)的物理 邏輯乃至數(shù)據(jù)元素是完整的 J 下確的 即信息 在存儲(chǔ)或傳輸過程中不篡改 不缺損 不丟失 3 可用性 即在任何時(shí)刻 可信用戶可以通過合法途徑訪問授權(quán)數(shù)據(jù) 由此可見 數(shù)據(jù)庫(kù)系統(tǒng)的安全問題主要集中在存取和訪問兩個(gè)方面 傳統(tǒng)關(guān)系數(shù)據(jù)庫(kù)系統(tǒng)的安全防范和攻擊主要通過兩個(gè)途徑實(shí)現(xiàn) 1 直接作用 于數(shù)據(jù) 2 借助數(shù)據(jù)庫(kù)的數(shù)據(jù)操縱指令間接作用于數(shù)據(jù) 而對(duì)象關(guān)系型數(shù)據(jù)庫(kù)系 統(tǒng)則在保留這兩種途徑的基礎(chǔ)上 由于對(duì)象的封閉型 還存在第三種途徑 即通 過對(duì)象提供的方法 H E 務(wù) 作用于對(duì)象的屬性 數(shù)據(jù) 因此 我們可以給出對(duì)象關(guān)系數(shù)據(jù)庫(kù)系統(tǒng) O R D B S 安全的簡(jiǎn)要描述 O R O B S 的安全性是指數(shù)據(jù)庫(kù)的數(shù)據(jù)及其組成部分不得受到侵害或篡改 并且數(shù) 據(jù)對(duì)象提供的方法是可信的 其安全機(jī)制的核心是 提供數(shù)據(jù)的安全存取服務(wù) 提供數(shù)據(jù)對(duì)象方法的可信管理 提供可信用戶的安全訪問服務(wù) 以保證數(shù)據(jù)具備 可用性 完整性和一致性 2 1 2 對(duì)象關(guān)系型數(shù)據(jù)庫(kù)的安全特點(diǎn) 數(shù)據(jù)癢系統(tǒng)山 其E I 身的特征 在安全需求I 訂 i 特殊的要求 j i 要特點(diǎn)了r 1 安全需求的復(fù)雜 勝 表現(xiàn)為 彳i 川數(shù) j I j 仃 f i f 4 的安令等級(jí) 彳i 舊j J j 1 j I idf 勺i 辦 j J 域 f i l d f I J 數(shù)j l t 7 i 1 J i f J l t L 1 J 一 Ir l J J 奠個(gè)J qi 9 J 等 r 安食 髯f 4 17 n 型 j r f m i 嫩j 1 Jf 鬯 M 的多付i 映蚶火系 j 童f J 艾了奠個(gè) 奠令 寸象關(guān)系數(shù)據(jù) 了C 和改i 客體具有復(fù)雜的拓?fù)浣Y(jié)構(gòu) 每個(gè)視圖的安全依賴于組成該視圖拓?fù)浣Y(jié)構(gòu)的基本單 位的安全因素的代數(shù)運(yùn)算 3 安全操縱的復(fù)雜性 對(duì)數(shù)據(jù)庫(kù)的操作是通過操縱指令的組合實(shí)現(xiàn)的 指令 組合的多樣性可能帶來語(yǔ)義解釋上的安全漏洞 造成信息泄漏 同時(shí) 數(shù)據(jù)庫(kù)允 許使用統(tǒng)計(jì)指令 可能產(chǎn)生由非敏感數(shù)據(jù)推理得出敏感數(shù)據(jù)的推理攻擊 4 數(shù)據(jù)規(guī)范矛盾 數(shù)據(jù)庫(kù)是建立在特定的數(shù)據(jù)模型上的數(shù)據(jù)密集型存儲(chǔ)和管 理機(jī)制 要求數(shù)據(jù)滿足數(shù)據(jù)模型的規(guī)范 這可能導(dǎo)致安全隱患 如關(guān)系數(shù)據(jù)庫(kù)中 的一致性導(dǎo)致出的多實(shí)例問題 5 獨(dú)立性矛盾 數(shù)據(jù)庫(kù)要求數(shù)據(jù)對(duì)象獨(dú)立于訪問環(huán)境 這會(huì)導(dǎo)致對(duì)數(shù)據(jù)文件 的直接安全攻擊 導(dǎo)致安全問題 在包含上述安全特征的基礎(chǔ)上 由于對(duì)象關(guān)系型數(shù)據(jù)庫(kù)還具備有別于其他數(shù) 據(jù)庫(kù)的特點(diǎn) 還有一些擴(kuò)充的安全特點(diǎn) O R D B S 除了具有原有關(guān)系數(shù)據(jù)庫(kù)的各 種特點(diǎn)以外 還具有以下特點(diǎn) 1 可擴(kuò)充數(shù)據(jù)類型 允許用戶在關(guān)系型數(shù)據(jù)庫(kù)系統(tǒng)中拉充數(shù)據(jù)婁型 即允 許用戶根據(jù)應(yīng)用需求自己定義數(shù)據(jù)類型 函數(shù)和操作符 且一經(jīng)定義 這些新的 數(shù)據(jù)類型 函數(shù)和操作符將存放在數(shù)據(jù)庫(kù)系統(tǒng)核心中 可供所有用戶共享 如同 基本數(shù)據(jù)類型 樣 2 支持復(fù)雜對(duì)象 關(guān)系數(shù)據(jù)庫(kù)以二維表作為數(shù)據(jù)模型 簡(jiǎn)單 清晰 但難以 直觀 全面地描述客觀世界中的復(fù)雜事物 對(duì)象關(guān)系型數(shù)據(jù)庫(kù)支持復(fù)雜對(duì)象 3 基類擴(kuò)充 所謂基類擴(kuò)充 是指用戶在操作原語(yǔ)的基礎(chǔ)上創(chuàng)建帶有相應(yīng)操 作符和函數(shù)的新數(shù)據(jù)類型 以實(shí)現(xiàn)數(shù)據(jù)類型的擴(kuò)充和復(fù)雜對(duì)象的創(chuàng)建 4 支持繼承的概念 在事物分類中 繼承描述了不同分類粒度下事物問特征 的相關(guān)性 對(duì)象關(guān)系型數(shù)據(jù)庫(kù)提供了繼承機(jī)制 可以更好地模擬實(shí)際問題 5 通用規(guī)則系統(tǒng) 規(guī)則系統(tǒng)指D D L D D M 和D D C 中原語(yǔ)的組合和解釋規(guī) 則的集合 由于對(duì)象關(guān)系數(shù)據(jù)對(duì)基類擴(kuò)充和繼承的支持 在此基礎(chǔ)上產(chǎn)生的用戶 定義必須滿足規(guī)則系統(tǒng) 基于上述特征 O R D B S 還具有如下擴(kuò)充的安全特點(diǎn) 1 安全定義的復(fù)雜性 傳統(tǒng)數(shù)據(jù)庫(kù)中 安全定義只需給出數(shù)據(jù)的安全等級(jí)和 用戶的訪問域 在對(duì)象關(guān)系數(shù)據(jù)庫(kù)中 還需要定義對(duì)象提供的服務(wù) 方法 的安全 包括服務(wù)與用戶問的關(guān)系 2 安全繼承問題 傳統(tǒng)數(shù)據(jù)庫(kù)中 數(shù)據(jù)問的關(guān)系比較簡(jiǎn)單 只是通過外碼構(gòu) 成關(guān)聯(lián)關(guān)系 I 叮在對(duì)象關(guān)系數(shù)拂 庫(kù)允y f 繼 晟 使得數(shù)據(jù)類 1 H j 還存在包含關(guān)系 然 酊 數(shù)捌時(shí)象的包含并不能簡(jiǎn)啦地推J 到數(shù)鋸對(duì)象安全的包含 這就引發(fā)了安 傘繼承問題 3 墳令 戈例M 題 對(duì)緣爻系數(shù) I f l j J 終川J I 火心的慫復(fù)j l i 對(duì)蒙類 弘f l j 丈 例 l u l 給 爻例的安個(gè)j t 義也址 j 次4 1 7 川 JI l J 題 為 艾例談個(gè)的j t 義彳i 越 6 乇 j 也r j 袋 l j 互 7 t 之 匿 j ti 7 0 j 坐 I J 芝 攫 0J i l f j 芝 I j 人學(xué)f j 學(xué)位畢業(yè)論文 4 覘則可信問題 用戶定義是否滿足規(guī)則系統(tǒng) 或者規(guī)則系統(tǒng)是否能判斷用 戶定義是可信的 這是對(duì)象關(guān)系數(shù)據(jù)庫(kù)需要解決的問題 這里的可信判定包括用 戶定義的可用性和安全性兩個(gè)方面的含義 2 2 對(duì)象關(guān)系型數(shù)據(jù)庫(kù)安全體系模型 任何信息管理系統(tǒng)可以通過三個(gè)互相支持的技術(shù)可以達(dá)到保護(hù)信息免遭破 壞或篡改 對(duì)象關(guān)系型數(shù)據(jù)庫(kù)也是如此 這三個(gè)技術(shù)為 鑒別 訪問控制和審計(jì) 鑒別對(duì)用戶身份合法性進(jìn)行判別 訪問控制定義和控制 個(gè)對(duì)象對(duì)另一個(gè)對(duì)象的 訪問權(quán)限 存取控制往往需要鑒別作為先決條件 審計(jì)過程收集系統(tǒng)中所有的數(shù) 據(jù)操作 并且分析它們以發(fā)現(xiàn)系統(tǒng)的安全弱點(diǎn) 圖2 1 是在安全對(duì)象關(guān)系數(shù)據(jù)庫(kù)中這些安全服務(wù)和它們相互作用的邏輯結(jié) 構(gòu)圖 圖中給出了三種安全服務(wù)如何在對(duì)象關(guān)系數(shù)據(jù)庫(kù)中作用的邏輯關(guān)系 以及 對(duì)象關(guān)系數(shù)據(jù)庫(kù)基本安全控制體系 用戶在請(qǐng)求訪問時(shí)首先通過身份鑒別 在得到合法訪問權(quán)后根據(jù)安全訪問規(guī) 則訪問數(shù)據(jù)庫(kù) 并由系統(tǒng)反饋相應(yīng)信息 同時(shí) 在用戶請(qǐng)求事件發(fā)生的同時(shí) 系 統(tǒng)觸發(fā)審計(jì)事件 對(duì)用戶請(qǐng)求事件進(jìn)行審計(jì) 隆I2 1 安全對(duì)象滅系數(shù)據(jù)陣的安全服務(wù)的邏輯結(jié)1 J 例 系統(tǒng)中 系統(tǒng)安倉(cāng)員時(shí)系統(tǒng)r fr 的客體的安全進(jìn) J 箭邢 艦定用J 對(duì)客體訪問 的規(guī)則 審汁員對(duì)系統(tǒng)發(fā)乍 1 J7 J 殳 f f 進(jìn)行 i 計(jì) 防范系統(tǒng)漏洲和對(duì)外部攻 J 進(jìn) J f 測(cè) 毹 S E t 員塒系統(tǒng) i 休邊iJ I 銣 確j 刊i 舟系統(tǒng)t I 的 功域 通過 奠個(gè) f 疋j 川 什j l t l j 二矗 f i f j 0 0 I I 什川 丘 乍腫豫t 系數(shù)掂庫(kù)川歹i 羊 改i f 在安全體系中 三種安全服務(wù)是研究關(guān)注的焦點(diǎn) 其中 鑒別是對(duì)系統(tǒng)中的主體進(jìn)行驗(yàn)證的過程 根據(jù)用戶的私有信息來確定用戶的 真實(shí)性 防止欺騙 主要采用三種方法驗(yàn)證主體身份 1 只有該主體了解的秘密 如口令或加密密鑰 2 主體攜帶的物品 如智能卡 3 只有該主體具有的獨(dú)一無二的特征或能力 如指紋 聲音 視網(wǎng)膜或簽 字等 訪問控制是一種加強(qiáng)授權(quán)的方法 所謂授權(quán) 是指資源的所有者或控制者準(zhǔn) 許其他人訪問這種資源 存取控制在身份識(shí)別的基礎(chǔ)上 根據(jù)身份對(duì)提出的資 源訪問請(qǐng)求加以控制 在訪問控制中 對(duì)其訪問必須進(jìn)行控制的資源稱為客體 必須控制它對(duì)客體的訪問的活動(dòng)資源 稱為主體 主體即訪問的發(fā)起者 通常為 用戶 進(jìn)程等 訪問控制的目的是為了限制訪問主體對(duì)訪問客體的訪問權(quán)限 從 而使系統(tǒng)在合法范圍內(nèi)使用 訪問控制需采取兩種措施 一是識(shí)別與確證訪問系 統(tǒng)的用戶 二是決定該用戶對(duì)某一系統(tǒng)資源可進(jìn)行何種類型的訪問 讀 寫 刪 改 運(yùn)行等 可具體描述如下 1 規(guī)定需要保護(hù)的資源 又稱客體 2 規(guī)定可以訪問該資源的實(shí)體又稱主體 3 規(guī)定可對(duì)該資源執(zhí)行的動(dòng)作 如讀 寫 執(zhí)行或不許訪問 4 通過確定每個(gè)實(shí)體可對(duì)哪些資源執(zhí)行哪些動(dòng)作來確定該安全方案 安全審計(jì)是對(duì)系統(tǒng)記錄和過程的檢查和審查 其目的是測(cè)試安全策略是否充 足 證實(shí)安全策略的一致性 建議安全策略的改變 協(xié)助攻擊的分析 收集證據(jù) 以用于起訴攻擊者 安全審計(jì)追蹤是記錄用于入侵檢測(cè)和安全審計(jì)的相關(guān)事件的 一個(gè)R 志 它可以自動(dòng)記錄一些重要安全事件 記錄此事件應(yīng)包括試圖聯(lián)機(jī)的每 個(gè)用戶所在的主機(jī)和時(shí)間 同時(shí)對(duì)管理員的活動(dòng)也要記錄 以便于研究入侵事件 有些入侵的成功可能是由于管理員的錯(cuò)誤所造成的 如管理員誤將訪問權(quán)給了某 一個(gè)用戶 審計(jì)追蹤是檢測(cè)入侵的一個(gè)基本工具 設(shè)計(jì)審計(jì)系統(tǒng)的關(guān)鍵是 1 確定必須審計(jì)的事件 建立軟件記錄這些事件 并將其存儲(chǔ) 防止隨意 訪問 2 審計(jì)機(jī)構(gòu)監(jiān)測(cè)系統(tǒng)的活動(dòng)細(xì)節(jié)并以確定格式進(jìn)行記錄 3 對(duì)試圖聯(lián)機(jī) 對(duì)敏感文件的讀寫 管理員對(duì)文件的刪除 建立和訪問權(quán) 的授1 r 等每 事件進(jìn)行記錄 4 鎂 嬋參j 住安裝時(shí)對(duì)要i 己求的 j f f i I 做 f 刃確胤j 之 2 3 安全數(shù)據(jù)庫(kù)訪問策略 砷 t j 務(wù) f I 塒J 圻M(jìn) 掙 仝 J ji Z j 符 乏 汀i L Jl C 涉 乏H 緣眾彩 刈 緣I l t j t 公l h 繾 吖陌奠 jo 講 j t j 蘭 th 哆 j j t j 仃般j 另 人學(xué)壩I j 學(xué)位畢業(yè)論文 為主要研究對(duì)象的訪問控制策略 自主策略 D A C 強(qiáng)制策略 M A C 和以 主體作用域?yàn)橹饕芯繉?duì)象的訪問控制策略 基于角色的策略 R B A C 本節(jié) 我們將討論這三種不同的策略 2 3 1 自主策略 D A C 自主型訪問控制 D i s c r e t i o n a r yA c c e s sC o n t r 0 1 是基于一種訪問控制規(guī)則 實(shí)現(xiàn)主體對(duì)客體的訪問 這種控制規(guī)則是自主的 自主是指某一主體能直接或間 接的將訪問權(quán)或訪問權(quán)的某些子集授予其他主體 用戶對(duì)信息的控制是基于用戶 的鑒別和存取訪問規(guī)則的確定 D A C 基于用戶的身份和訪問控制規(guī)則 自主保護(hù)策略管理用戶的存取 這 些信息是以用戶的身份和授權(quán)為基礎(chǔ)的 它們?cè)敿?xì)說明了對(duì)于系統(tǒng)中的每一個(gè)用 戶 或用戶組 和每一個(gè)客體 允許用戶對(duì)客體的存取模式 例如讀 寫或執(zhí)行 根據(jù)指定的授權(quán) 用戶存取客體的每一個(gè)要求都被檢查 如果存在授權(quán)狀態(tài) 則 用戶可以按指定的模式存取客體 存取被同意 否則被拒絕 D A C 之所以被稱 為自主的 是因?yàn)樗试S用戶將其訪問權(quán)力賦予其它的用戶 自主策略的靈活性 使它們適合于多種系統(tǒng)和應(yīng)用 在自主存取控制中 用戶對(duì)于不同的數(shù)據(jù)對(duì)象有不同的存取權(quán)限 不同的用 戶對(duì)同一對(duì)象也有不同的權(quán)限 而且用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用 戶 因此自主存取控制非常靈活 自主存取控制能夠通過授權(quán)機(jī)制有效地控制其 他用戶對(duì)敏感數(shù)據(jù)的存取 但是由于用戶對(duì)數(shù)據(jù)的存取權(quán)限是 自主 的 用戶 可以自由地決定將數(shù)據(jù)的存耿權(quán)限授予何人 決定是否也將 授權(quán) 的權(quán)限授予 別人 在這種授權(quán)機(jī)制下 仍可能存在數(shù)據(jù)的 無意泄露 自主訪問控制的實(shí)現(xiàn)主要有三種方式 1 訪問控制表 A C L 2 訪問能力 表 C a p a b i l i t y 3 授權(quán)關(guān)系表 2 3 2 強(qiáng)制策略 M A C 自主控制的最大問題是沒有對(duì)信息的傳播加以控制 為了避免這種情況的發(fā) 生 引進(jìn)了強(qiáng)制型安全控制 強(qiáng)制型訪問控制 M a n d a t o r yA c c e s sC o n t r 0 1 通過無法回避的存墩限制柬 防止各種直接的或i 日J(rèn) 接的攻擊 系統(tǒng)給主體分配了不同的安全楫性 并通過主體 和客體的安全屬性的匹配比較決定是否允許訪問繼續(xù)進(jìn)行 強(qiáng)制訪問控制施加給 H 廣 自己客體的j 叫備的限制 也使川 受到自己的限 制 它可以防止伍j f J I 允意或彳i 負(fù)責(zé)任的操作時(shí) 泄搭機(jī)密信息 一般強(qiáng)制訪l u J 控 j 0 聚J 1 j 以一F J L 種乃 法 1 限制訪 u J p j 制 j f 卜i i 控制方 允許川J 睜術(shù)修改他書H 仃文什的 f f 暇擰制是 盹乃 j 只 I J 朵之f j I i r j j 以0 挺拱運(yùn) 力 餿 述 奠令計(jì)壤天系數(shù) 1 i f tr I 和設(shè)計(jì) 類系統(tǒng)中 用戶要修改存取控制表的唯 途符是請(qǐng)求一個(gè)特權(quán)系統(tǒng)調(diào)用 該凋用 的功能是依據(jù)用戶終端輸入的信息 而不是靠另一個(gè)程序提供的信息來修改存取 控制信息 2 過程控制 在通常的計(jì)算機(jī)系統(tǒng)中 只要系統(tǒng)允許用戶自己編程 就沒 辦法杜絕特洛伊木馬 但可以對(duì)其過程采取某些措施 這種方法稱為過程控制 需要說明的一點(diǎn)是 這些限制取決于用戶本身執(zhí)行與否 因而 自愿的限制很容 易變成實(shí)際上沒有限制 3 系統(tǒng)限制 顯然 實(shí)施的限制最好是由系統(tǒng)自動(dòng)完成 要對(duì)系統(tǒng)的功能 實(shí)施一些限制 比如 限制共享文件 但共享文件是計(jì)算機(jī)系統(tǒng)的優(yōu)點(diǎn) 所以是 不可能加以完全限制的 再者 就是限制用戶編程 事實(shí)上 有許多不需編程的 系統(tǒng)都是這樣做的 在安全數(shù)據(jù)庫(kù)系統(tǒng)中 有許多安全模型采用了強(qiáng)制存取控制策略 如貝爾 拉帕丟拉 B e l l L aP a d u l a 模型 第昂模型和施密斯 溫斯萊特模型等 2 3 3 基于角色的策略 1 m A C 從保護(hù)能力來看 由于自主型控制太弱 強(qiáng)制型控制太強(qiáng) 而且二者的工作 量都很大 不便于管理 于是提出了基于角色的策略 這種策略在當(dāng)代的商 業(yè)環(huán)境中特別有意義 角色控制與D A C 和M A C 相比 角色控制相對(duì)獨(dú)立 根據(jù)配置可使某些角 色接近D A C 某些角色接近M A C 基于角色的策略以系統(tǒng)中用戶執(zhí)行的行為為 基礎(chǔ) 管制用戶對(duì)信息的存取 基于角色策略需要系統(tǒng)中角色的認(rèn)證 一個(gè)角色 可以作為一個(gè)行為和與特殊工作行為關(guān)聯(lián)的責(zé)任集合而被定義 因而 代替指定 每一個(gè)用戶允許執(zhí)行的所有存取 對(duì)客體的存取授權(quán)被指定給角色 R B A C 提供了解決具有大量用戶 數(shù)據(jù)客體和訪問權(quán)限的系統(tǒng)中的授權(quán)管理 問題 R B A C 涉及用戶 u s e r 角色 r o l e 訪問權(quán)限 p e r m i s s i o n 會(huì)話 s e s s i o n 這幾個(gè)主要概念 角色是訪問權(quán)的集合 當(dāng)用戶被賦予一個(gè)角色時(shí) 用戶具有這個(gè)角色所包含的所有訪問權(quán) 用戶和角色之間是多對(duì)多的關(guān)系 角色 與訪問權(quán)I 日J(rèn) 也是多對(duì)多的關(guān)系 在R B A C 模型系統(tǒng)中 每個(gè)用戶進(jìn)入系統(tǒng)時(shí)得 到一個(gè)會(huì)話 一個(gè)用戶會(huì)話可能激活的角色是該用戶的全部角色的子集 對(duì)此用 戶而畝 在一個(gè)會(huì)話內(nèi)可獲得全部被激活的角色所包含的訪問權(quán) 角色和會(huì)話的 改置j 轉(zhuǎn)末的好處足容易 實(shí)施最小特權(quán)原則 fj 對(duì)蒙關(guān)系數(shù)擤 J 宰 f 數(shù)拓引i 黝的特殊悱 我們r(jià) 叮以將對(duì)象類提髟 的般務(wù)指 定給f f j 包 實(shí)現(xiàn)時(shí)象類的立個(gè)訪 J j 江另 人學(xué)壩I 位畢業(yè)論文 第三章V I S T A 數(shù)據(jù)庫(kù)系統(tǒng)的安全模型 V I S T A 旺4 1 娩們數(shù)據(jù)庫(kù)系統(tǒng)是一個(gè)對(duì)象關(guān)系型數(shù)據(jù)庫(kù)管理系統(tǒng) 我們?cè)谠摂?shù)據(jù) 庫(kù)的基礎(chǔ)上設(shè)計(jì)了一整套安全策略 實(shí)現(xiàn)了一個(gè)安全對(duì)象關(guān)系數(shù)據(jù)庫(kù) 不同于傳 統(tǒng)的建立在商業(yè)數(shù)據(jù)庫(kù)系統(tǒng)上的安全數(shù)據(jù)庫(kù) V I S T A 在數(shù)據(jù)庫(kù)內(nèi)核上直接開發(fā)安 全功能 而不是采用外包完全模塊的設(shè)計(jì)方案 因此 V I S T A 更為安全 本章簡(jiǎn)要介紹了V I S T A 的體系結(jié)構(gòu) 并重點(diǎn)討論V I S T A 數(shù)據(jù)庫(kù)所遵循的安 全模型 3 1V I S T A 數(shù)據(jù)庫(kù)系統(tǒng)簡(jiǎn)介 V I S T A 系統(tǒng)是我們課題組自主開發(fā)的一個(gè)空間數(shù)據(jù)庫(kù)管理系統(tǒng) 并于9 2 年 在該系統(tǒng)的基礎(chǔ)上為墨西哥石油公司開發(fā)的一個(gè)用于石油勘探資源管理的G I S 該系統(tǒng)由兩部分組成 圖符化數(shù)據(jù)庫(kù)查詢語(yǔ)言C Q L 2 7 和空問數(shù)據(jù)庫(kù)管理系統(tǒng) C Q L 是用可視化的方法進(jìn)行數(shù)據(jù)庫(kù)查詢操作 空間數(shù)據(jù)庫(kù)管理系統(tǒng)部分主要實(shí) 現(xiàn)對(duì)空間數(shù)據(jù)庫(kù)的維護(hù)操作 經(jīng)過多年的技術(shù)積累和改造 V I S T A 逐步形成了一個(gè)較為完善的對(duì)象關(guān)系型 數(shù)據(jù)庫(kù) V I S T A 系統(tǒng)結(jié)構(gòu)如圖3 1 所示 V I S T A 包含了數(shù)據(jù)庫(kù)管理系統(tǒng)的基本功能 主要分為四部分 對(duì)象關(guān)系數(shù)據(jù) 的存儲(chǔ)機(jī)制 D D L 解釋機(jī)制 D M L 解釋機(jī)制和數(shù)據(jù)管理維護(hù)功能 3 1 1V I S T A 的存儲(chǔ)機(jī)制 數(shù)據(jù)庫(kù)的存儲(chǔ)結(jié)構(gòu)是數(shù)據(jù)庫(kù)的物理基礎(chǔ) 對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的性能影 l l j f E 大 存 儲(chǔ)結(jié)構(gòu)中涉及記錄的物理表示 物理塊的磁盤分配 數(shù)據(jù)壓縮技術(shù)以及文件形式 等 在V I S T A 中將物理塊的磁盛分配交給操作系統(tǒng)管理 僅考慮數(shù)據(jù)的邏輯存 儲(chǔ)機(jī)制 V I S T A 將數(shù)據(jù)存儲(chǔ)定義為i 段式 見圖3 2 首先 進(jìn)行數(shù)據(jù)模型處理 其 次 進(jìn)行文件形式處理 決定數(shù)據(jù)類型采用的文件形式 確定記錄在文件中存放 位笱 最后 進(jìn)行記錄物理表示肜式處理 決定i 己錄的存儲(chǔ)格式 再由O S 將記 錄存儲(chǔ)到磁盛 奠令i 緣天系數(shù) 唾癢訓(xùn)究扁i 砹 f 數(shù)據(jù)模型處理 圖3 1 V I S T A 系統(tǒng)結(jié)構(gòu)圖 數(shù)t l 一獰弦畦縫 D B M S 一 一弋 一 糾j I S I A 數(shù) l f r J i 能流f 茄 人學(xué)頌I j 學(xué)f t 畢業(yè)論文 由于V I S T A 處理的數(shù)據(jù)為對(duì)象關(guān)系型數(shù)據(jù) 我們采用二層存儲(chǔ)處理方案對(duì) 數(shù)據(jù)進(jìn)行存儲(chǔ) 如圖3 3 所示 這種結(jié)構(gòu)將傳統(tǒng)的關(guān)系數(shù)據(jù)存取結(jié)構(gòu)和空I 白J 數(shù)據(jù) 存取結(jié)構(gòu)相融合 能同時(shí)有效地管理和處理傳統(tǒng)數(shù)據(jù)類型和新型空間數(shù)據(jù)類型 第一層是關(guān)系信息層 主要用來存取空問對(duì)象問的關(guān)系信息 這些信息均為 F 文 信息 該層使用傳統(tǒng)的B 樹來實(shí)現(xiàn)存取操作 第二層是對(duì)象數(shù)據(jù)層 該層用來 存放各種異質(zhì)數(shù)據(jù) 如地物坐標(biāo) 圖像 圖形等 3 1 2D D L 解釋機(jī)制 圖3 3V I S T A 二層存儲(chǔ)處理方案示意 數(shù)據(jù)定義語(yǔ)言 D D L 主要實(shí)現(xiàn)數(shù)據(jù)庫(kù)的結(jié)構(gòu)描述 包括外模式 模式 內(nèi)模 式的定義 數(shù)據(jù)庫(kù)完整性定義 安全保密定義 存取路徑定義 這些定義存儲(chǔ)在 數(shù)據(jù)字典中 是D B M S 運(yùn)行的依據(jù) D D L 的定義均與數(shù)據(jù)字典有著密切的關(guān)系 每個(gè)定義與數(shù)據(jù)字典問存在數(shù) 據(jù)交換 數(shù)據(jù)字典的定義是否合理 直接影響到系統(tǒng)的正確性 通用性和重用 V I S T A 將該部分的每個(gè)定義設(shè)計(jì)為 一個(gè)定義模塊對(duì)應(yīng)一個(gè)數(shù)據(jù)字典文件 定義 模塊通過數(shù)據(jù)字典管理模塊訪問對(duì)應(yīng)的字典文件 數(shù)據(jù)字典管理模塊通過數(shù)據(jù)字 典表管理數(shù)據(jù)字典文件 圖3 4 給出了字典管理的結(jié)構(gòu)示意 主要包括三個(gè)方面 1 外模塊 模塊 內(nèi)模塊 存取路徑定義 V I S T A 中外模式 模式 內(nèi)模式定義是一個(gè)解釋程序模塊 即模式定義模塊 該模塊將相應(yīng)的數(shù)據(jù)字典內(nèi)容解釋為數(shù)據(jù)庫(kù)的數(shù)據(jù)結(jié)構(gòu) 數(shù)據(jù)的存取過程由存儲(chǔ) 處理模塊實(shí)現(xiàn) 同時(shí) 在內(nèi)模式巾定義了數(shù)據(jù)庫(kù)的數(shù)據(jù)模型處理 文件形式處理 和記澩表示處理相關(guān)信息 其一f 一文件形式處理包含了存取路徑的汁算方法 2 數(shù)據(jù)庫(kù)完整性定義 數(shù)擄 暉究祭 M L 指數(shù)荊的j l i 確 陀和棚容一 通過0 t 整 n 約束條f 卜的規(guī)j 之和伶 A 來實(shí)觀的 V I S T A 的完整 陀定義也禽位 結(jié)約約束 動(dòng)態(tài)約求 執(zhí)fJ 約水等 V I S T A 龜i 乍 JJ 1 j 垣j 蔓t 鷥L t 芒 警 Z l j 0 氈 L 義ir 啦過f jJ t 荽f J 芬Z l eI j 庀毒譬f 約 二夸 f 象父系數(shù)據(jù)惲叭亢和改 柬 模式完整I 生安全保 定義 定義 密定義 工 彳r jrt L 上y 字典管理器 一了j 一一 黼掰 E 一1 工一 庫(kù)結(jié)構(gòu)l 數(shù)據(jù)字典l數(shù)據(jù)字典I數(shù)據(jù)字典I 一 J 一 圖3 4V I S T A 中的D D L 定義模塊對(duì)數(shù)據(jù)字典的訪問示意 3 安全保密定義 保護(hù)數(shù)據(jù)庫(kù)的安全 本質(zhì)上就是保證合法訪問 阻止非法訪問 對(duì)數(shù)據(jù)庫(kù)安 全問題 可歸結(jié)為對(duì)數(shù)據(jù)庫(kù)系統(tǒng)中各種對(duì)象存取權(quán)的合法性和對(duì)數(shù)據(jù)庫(kù)內(nèi)容本身 的安全 防泄露 篡改或破壞 兩個(gè)方面 數(shù)據(jù)庫(kù)的安全驗(yàn)證是建立在各種安全 規(guī)則表上的 如用戶安全 訪問規(guī)則 審計(jì)日志 授權(quán)表等 V l S T A 通過安全保 密定義實(shí)現(xiàn)其安全 在此基礎(chǔ)上建立的一系列的安全規(guī)則 就構(gòu)成了V I S T A 的 安全體系 在后面的章節(jié) 我們將著重討論這些規(guī)則的建立方法 以及V I S T A 如何通 過對(duì)安全規(guī)則的解釋來實(shí)現(xiàn)數(shù)據(jù)庫(kù)的安全 3 1 3D M L 解釋機(jī)制 數(shù)據(jù)庫(kù)操縱語(yǔ)言 D M L 完成對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)的檢索 插入 修改 刪除操作 D M L 面向用戶 將用戶輸入的請(qǐng)求解釋為相應(yīng)的D M L 指令 調(diào)用存儲(chǔ)處理功能 對(duì)數(shù)據(jù)庫(kù)的數(shù)據(jù)進(jìn)行操作 其工作過程如圖3 5 焉三 J D T 兒 j 存取 卜 一一 廣 1 1 烈拮庠 廣 1 解釋 廠 控制 l k 吲3 5D M LI 作過f l D M L 功能的 丈脫l I J 以劃分一t 個(gè) f l 哆j 刖戶t 豐妾 J 解釋 仃取州川 存馭洲 川指D M L 根巍f J J 請(qǐng)求的f 0 乍釋 嗣I t M i 耿垛f t m 數(shù)引眸1 j 入或i 奐取數(shù)拭 f 8 昂釋 舟 分將川J ti 托j 之自彳 乒川一的仃耿慚令 或 睜l I 數(shù)州 陵l f 加勺數(shù) l f 解l 羊f 為 訂 ii i J 訂 一J l j 弋 J h l 戶i 姿 壬摻眥f jJ 求剮f 乏 Jr I I 0 j J 乏 H j t j i D M L 7 i j j o i j 二 引j J i i j