第六章 多級數(shù)據(jù)庫安全管理系統(tǒng)

1、1 第 六 章 多級安全數(shù)據(jù)庫 管理系統(tǒng) 2 安全數(shù)據(jù)庫標準安全數(shù)據(jù)庫標準 多級安全數(shù)據(jù)庫關(guān)鍵問題多級安全數(shù)據(jù)庫關(guān)鍵問題 多級安全數(shù)據(jù)庫設(shè)計準則多級安全數(shù)據(jù)庫設(shè)計準則 6.4 6.4 多級關(guān)系數(shù)據(jù)模型多級關(guān)系數(shù)據(jù)模型 6.5 6.5 多實例多實例 6.6 6.6 隱蔽通道分析隱蔽通道分析 3 6.1 6.1 安全數(shù)據(jù)庫標準安全數(shù)據(jù)庫標準 為降低進而消除對系統(tǒng)的安全攻擊，各國引為降低進而消除對系統(tǒng)的安全攻擊，各國引 用或制定了一系列安全標準用或制定了一系列安全標準 v TCSEC (TCSEC (桔皮書桔皮書) ) v TDI ( TDI (紫皮書紫皮書) ) 4 19851985年美國國防部（

2、年美國國防部（DoDDoD）正式頒布）正式頒布 DoD DoD 可信計算機系統(tǒng)評估標準可信計算機系統(tǒng)評估標準 v簡稱簡稱TCSECTCSEC或或DoD85DoD85，TCSECTCSEC又稱桔皮書又稱桔皮書 TCSECTCSEC標準的目的標準的目的 v提供一種標準，使提供一種標準，使用戶用戶可以對其計算機系可以對其計算機系 統(tǒng)內(nèi)敏感信息安全操作的可信程度做評估。統(tǒng)內(nèi)敏感信息安全操作的可信程度做評估。 v給計算機行業(yè)的給計算機行業(yè)的制造商制造商提供一種可循的指提供一種可循的指 導(dǎo)規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應(yīng)導(dǎo)規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應(yīng) 用的安全需求。用的安全需求。 5 TCBTCB

3、可信計算基：可信計算基：是是Trusted Computing Trusted Computing BaseBase的簡稱，指的是計算機內(nèi)保護裝置的簡稱，指的是計算機內(nèi)保護裝置 的總體，包括硬件、固件、軟件和負責的總體，包括硬件、固件、軟件和負責 執(zhí)行安全策略管理員的組合體。它建立執(zhí)行安全策略管理員的組合體。它建立 了一個基本的保護環(huán)境并提供一個可信了一個基本的保護環(huán)境并提供一個可信 計算機系統(tǒng)所要求的附加用戶服務(wù)。計算機系統(tǒng)所要求的附加用戶服務(wù)。 6 19911991年年4 4月美國月美國NCSCNCSC（國家計算機安全中（國家計算機安全中 心）頒布了心）頒布了可信計算機系統(tǒng)評估標準可信計算

4、機系統(tǒng)評估標準 關(guān)于可信數(shù)據(jù)庫系統(tǒng)的解釋關(guān)于可信數(shù)據(jù)庫系統(tǒng)的解釋 v簡稱簡稱TDITDI，又稱紫皮書，又稱紫皮書 v它將它將TCSECTCSEC擴展到數(shù)據(jù)庫管理系統(tǒng)擴展到數(shù)據(jù)庫管理系統(tǒng) v定義了數(shù)據(jù)庫管理系統(tǒng)的設(shè)計與實現(xiàn)定義了數(shù)據(jù)庫管理系統(tǒng)的設(shè)計與實現(xiàn) 中需滿足和用以進行安全性級別評估中需滿足和用以進行安全性級別評估 的標準的標準 7 TDI/TCSEC標準的基本內(nèi)容標準的基本內(nèi)容 vTDITDI與與TCSECTCSEC一樣，從一樣，從四個方面四個方面來描述安來描述安 全性級別劃分的指標全性級別劃分的指標 v安全策略安全策略 v責任責任 v保證保證 v文檔文檔 8 TCSEC/TDI安全級別劃

5、分安全級別劃分 安安 全全 級級 別別 定定 義義 A1驗證設(shè)計（驗證設(shè)計（Verified Design） B3安全域（安全域（Security Domains） B2結(jié)構(gòu)化保護（結(jié)構(gòu)化保護（Structural Protection） B1 標記安全保護（標記安全保護（Labeled Security Protection） C2 受控的存取保護受控的存取保護（Controlled Access Protection） C1 自主安全保護自主安全保護（Discretionary Security Protection） D最小保護（最小保護（Minimal Protection） 四組七個

6、等級四組七個等級 按系統(tǒng)可靠或可信程按系統(tǒng)可靠或可信程 度逐漸增高度逐漸增高 各安全級別之間具有各安全級別之間具有 一種偏序向下兼容的一種偏序向下兼容的 關(guān)系，即較高安全性關(guān)系，即較高安全性 級別提供的安全保護級別提供的安全保護 要包含較低級別的所要包含較低級別的所 有保護要求，同時提有保護要求，同時提 供更多或更完善的保供更多或更完善的保 護能力。護能力。 9 等級說明：等級說明：D，C1 D D級（最小保護級）級（最小保護級） v將一切不符合更高標準的系統(tǒng)均歸于將一切不符合更高標準的系統(tǒng)均歸于D D組組 v典型例子：典型例子：DOSDOS是安全標準為是安全標準為D D的操作系的操作系 統(tǒng)統(tǒng)

7、 DOS DOS在安全性方面幾乎沒有什么專門的在安全性方面幾乎沒有什么專門的 機制來保障機制來保障無身份認證與訪問控制無身份認證與訪問控制。 C1C1級（自主安全保護級）級（自主安全保護級） v非常初級的自主安全保護非常初級的自主安全保護 v能夠?qū)崿F(xiàn)對用戶和數(shù)據(jù)的分離，進行自主能夠?qū)崿F(xiàn)對用戶和數(shù)據(jù)的分離，進行自主 存取控制（存取控制（DACDAC），保護或限制用戶權(quán)限），保護或限制用戶權(quán)限 的傳播。早期的的傳播。早期的UNIXUNIX系統(tǒng)屬于這一類。系統(tǒng)屬于這一類。 v這類系統(tǒng)適合于多個協(xié)作用戶在同一個安這類系統(tǒng)適合于多個協(xié)作用戶在同一個安 全級上處理數(shù)據(jù)的工作環(huán)境。全級上處理數(shù)據(jù)的工作環(huán)境。

8、 10 等級說明：等級說明：C2 C2C2級（級（受控的存取保護級受控的存取保護級） C2C2級達到企業(yè)級安全要求。可作為最低軍用安全級別級達到企業(yè)級安全要求?？勺鳛樽畹蛙娪冒踩墑e v提供受控的自主存取保護，將提供受控的自主存取保護，將C1C1級的級的DACDAC進一步細進一步細 化，以個人身份注冊負責，并化，以個人身份注冊負責，并實施審計實施審計（審計粒度審計粒度 要能夠跟蹤每個主體對每個客體的每一次訪問。對要能夠跟蹤每個主體對每個客體的每一次訪問。對 審計記錄應(yīng)該提供保護，防止非法修改。審計記錄應(yīng)該提供保護，防止非法修改。）和資和資源源 隔離，客體重用，記錄安全性事件隔離，客體重用，記錄

9、安全性事件 v達到達到C2C2級的產(chǎn)品在其名稱中往往不突出級的產(chǎn)品在其名稱中往往不突出“安安 全全”(Security)”(Security)這一特色這一特色 v典型例子典型例子 操作系統(tǒng)：操作系統(tǒng)：MicrosoftMicrosoft的的Windows NT 3.5Windows NT 3.5，數(shù)字設(shè)備公司，數(shù)字設(shè)備公司 的的Open VMS VAX 6.0Open VMS VAX 6.0和和6.16.1，l linuxinux系統(tǒng)的某些執(zhí)行方法符系統(tǒng)的某些執(zhí)行方法符 合合C2C2級別。級別。 數(shù)據(jù)庫：數(shù)據(jù)庫：OracleOracle公司的公司的Oracle 7Oracle 7，Sybase

10、Sybase公司的公司的 SQL SQL Server 11.0.6Server 11.0.6 11 等級說明：等級說明：B1 B1B1級（標簽安全保護級）級（標簽安全保護級） v標記安全保護。標記安全保護?！鞍踩踩?Security)(Security)或或“可可 信的信的”(Trusted)(Trusted)產(chǎn)品。產(chǎn)品。 v對系統(tǒng)的數(shù)據(jù)加以標記，對標記的主體和客對系統(tǒng)的數(shù)據(jù)加以標記，對標記的主體和客 體實施強制存取控制（體實施強制存取控制（MACMAC）、對安全策略）、對安全策略 進行非形式化描述，加強了隱通道分析，審進行非形式化描述，加強了隱通道分析，審 計等安全機制計等安全機制 v

11、典型例子典型例子 操作系統(tǒng)：數(shù)字設(shè)備公司的操作系統(tǒng)：數(shù)字設(shè)備公司的SEVMS VAX Version SEVMS VAX Version 6.06.0，惠普公司的，惠普公司的HP-UX BLS release 9.0.9+ HP-UX BLS release 9.0.9+ 數(shù)據(jù)庫：數(shù)據(jù)庫：OracleOracle公司的公司的Trusted Oracle 7Trusted Oracle 7， SybaseSybase公司的公司的Secure SQL Server version Secure SQL Server version 11.0.611.0.6，InformixInformix公司的公

12、司的Incorporated Incorporated INFORMIX-OnLine / Secure 5.0INFORMIX-OnLine / Secure 5.0 12 等級說明：等級說明：B2 B2B2級（結(jié)構(gòu)化保護級）級（結(jié)構(gòu)化保護級） v建立形式化的安全策略模型并對系統(tǒng)內(nèi)的所有主體建立形式化的安全策略模型并對系統(tǒng)內(nèi)的所有主體 和客體實施和客體實施DACDAC和和MACMAC，從主體到客體，從主體到客體擴大到擴大到I/OI/O設(shè)設(shè) 備等所有資源。要求開發(fā)者對隱蔽信道進行徹底地備等所有資源。要求開發(fā)者對隱蔽信道進行徹底地 搜索。搜索。TCBTCB劃分保護與非保護部分，存放于固定區(qū)劃分保

13、護與非保護部分，存放于固定區(qū) 內(nèi)。內(nèi)。 v經(jīng)過認證的經(jīng)過認證的B2B2級以上的安全系統(tǒng)非常稀少級以上的安全系統(tǒng)非常稀少 v典型例子典型例子 操作系統(tǒng)：只有操作系統(tǒng)：只有Trusted Information SystemsTrusted Information Systems公司的公司的 Trusted XENIXTrusted XENIX一種產(chǎn)品一種產(chǎn)品 標準的網(wǎng)絡(luò)產(chǎn)品：只有標準的網(wǎng)絡(luò)產(chǎn)品：只有Cryptek Secure CommunicationsCryptek Secure Communications 公司的公司的LLC VSLANLLC VSLAN一種產(chǎn)品一種產(chǎn)品 數(shù)據(jù)庫：沒有符合

14、數(shù)據(jù)庫：沒有符合B2B2標準的產(chǎn)品標準的產(chǎn)品 13 等級說明：等級說明：B3，A1 B3B3級（安全區(qū)域保護級）級（安全區(qū)域保護級） v該級的該級的TCBTCB必須滿足訪問監(jiān)控器的要求，安全必須滿足訪問監(jiān)控器的要求，安全 內(nèi)核，審計跟蹤能力更強，并提供系統(tǒng)恢復(fù)過內(nèi)核，審計跟蹤能力更強，并提供系統(tǒng)恢復(fù)過 程。即使計算機崩潰程。即使計算機崩潰, ,也不會泄露系統(tǒng)信息。也不會泄露系統(tǒng)信息。 A1A1級（驗證設(shè)計級）級（驗證設(shè)計級） v驗證設(shè)計，即提供驗證設(shè)計，即提供B3B3級保護的同時給出系統(tǒng)的級保護的同時給出系統(tǒng)的 形式化設(shè)計說明和驗證以確信各安全保護真正形式化設(shè)計說明和驗證以確信各安全保護真正

15、實現(xiàn)實現(xiàn)。這個級別要求嚴格的數(shù)學證明。這個級別要求嚴格的數(shù)學證明。 14 說明說明 vB2B2以上的系統(tǒng)以上的系統(tǒng) v還處于理論研究階段還處于理論研究階段 v應(yīng)用多限于一些特殊的部門如軍隊等應(yīng)用多限于一些特殊的部門如軍隊等 v美國正在大力發(fā)展安全產(chǎn)品，試圖將目前僅美國正在大力發(fā)展安全產(chǎn)品，試圖將目前僅 限于少數(shù)領(lǐng)域應(yīng)用的限于少數(shù)領(lǐng)域應(yīng)用的B2B2安全級別下放到商業(yè)安全級別下放到商業(yè) 應(yīng)用中來，并逐步成為新的商業(yè)標準。應(yīng)用中來，并逐步成為新的商業(yè)標準。 15 我國的信息系統(tǒng)安全評估工作是隨著對我國的信息系統(tǒng)安全評估工作是隨著對 信息安全問題的認識的逐步深化不斷發(fā)信息安全問題的認識的逐步深化不斷發(fā)

16、 展的。早期的信息安全工作中心是信息展的。早期的信息安全工作中心是信息 保密，通過保密檢查來發(fā)現(xiàn)問題，改進保密，通過保密檢查來發(fā)現(xiàn)問題，改進 提高。提高。8080年代后，隨著計算機的推廣應(yīng)年代后，隨著計算機的推廣應(yīng) 用，隨即提出了計算機安全的問題，開用，隨即提出了計算機安全的問題，開 展了計算機安全檢查工作。展了計算機安全檢查工作。 16 我國信息安全評測標準我國信息安全評測標準 我我國國家質(zhì)量技術(shù)監(jiān)督局于國國家質(zhì)量技術(shù)監(jiān)督局于19991999年年1010月頒布了月頒布了 “計算機信息系統(tǒng)安全保護等級劃分準則計算機信息系統(tǒng)安全保護等級劃分準則”， 編號為編號為GB 17859-1999GB 1

17、7859-1999 在在20012001年，發(fā)表了國家標準年，發(fā)表了國家標準GB/T 18336-2001GB/T 18336-2001 信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求 正在報批。正在報批。 17 GB 17859-1999GB 17859-1999將信息系統(tǒng)劃分為五個安全等將信息系統(tǒng)劃分為五個安全等 級：級： v用戶自主保護級用戶自主保護級 v系統(tǒng)審計保護級系統(tǒng)審計保護級 v安全標簽保護級安全標簽保護級 v結(jié)構(gòu)化保護級結(jié)構(gòu)化保護級 v訪問驗證保護級訪問驗證保護級 基本上與基本上與TCSECTCSEC的的C1C1、C2C2、B1B1、B2B2、B3

18、B3級相對級相對 應(yīng)。應(yīng)。 18 多級安全數(shù)據(jù)庫關(guān)鍵問題包括：多級安全數(shù)據(jù)庫關(guān)鍵問題包括： v多級安全數(shù)據(jù)庫體系結(jié)構(gòu)多級安全數(shù)據(jù)庫體系結(jié)構(gòu) v多級安全數(shù)據(jù)模型多級安全數(shù)據(jù)模型 v多實例多實例 v元數(shù)據(jù)管理元數(shù)據(jù)管理 v并發(fā)事務(wù)處理并發(fā)事務(wù)處理 v推理分析和隱蔽通道分析推理分析和隱蔽通道分析 19 多級安全數(shù)據(jù)庫設(shè)計準則如下：多級安全數(shù)據(jù)庫設(shè)計準則如下： v提供多級密級粒度提供多級密級粒度 v確保一致性和完整性確保一致性和完整性 v實施推理控制實施推理控制 v防止敏感聚合防止敏感聚合 v進行隱蔽通道分析進行隱蔽通道分析 v支持多實例支持多實例 v執(zhí)行并發(fā)控制執(zhí)行并發(fā)控制 20 傳統(tǒng)關(guān)系模型兩個重

19、要的完整性：傳統(tǒng)關(guān)系模型兩個重要的完整性： v實體完整性、引用完整性（參照完整性）。實體完整性、引用完整性（參照完整性）。 多級關(guān)系數(shù)據(jù)模型三要素：多級關(guān)系數(shù)據(jù)模型三要素： v多級關(guān)系、多級關(guān)系完整性約束及多級關(guān)系多級關(guān)系、多級關(guān)系完整性約束及多級關(guān)系 操作。操作。 多級安全模型需作的改進：多級安全模型需作的改進： v多級安全模型：多級安全模型：在傳統(tǒng)關(guān)系模型基礎(chǔ)上各種在傳統(tǒng)關(guān)系模型基礎(chǔ)上各種 邏輯數(shù)據(jù)對象強制賦予安全屬性標簽。邏輯數(shù)據(jù)對象強制賦予安全屬性標簽。 v修改傳統(tǒng)關(guān)系模型中關(guān)系的完整性及關(guān)系上修改傳統(tǒng)關(guān)系模型中關(guān)系的完整性及關(guān)系上 的操作。的操作。 21 安全標簽粒度：安全標簽粒度：

20、是標識安全等級的最小邏輯對是標識安全等級的最小邏輯對 象單位。象單位。 安全標簽粒度級別：安全標簽粒度級別：關(guān)系級、元組級及屬性級。關(guān)系級、元組級及屬性級。 安全粒度控制安全粒度控制 v按照不同的安全需求和實體類型，決定安全按照不同的安全需求和實體類型，決定安全 控制的程度?？刂频某潭?。 v例如，對數(shù)據(jù)的存取，可以是關(guān)系級、元組例如，對數(shù)據(jù)的存取，可以是關(guān)系級、元組 級及屬性級。級及屬性級。 粒度越細，控制越靈活，但所對應(yīng)的操作越困粒度越細，控制越靈活，但所對應(yīng)的操作越困 難和復(fù)雜。難和復(fù)雜。 22 一、多級關(guān)系一、多級關(guān)系 傳統(tǒng)的關(guān)系模式：傳統(tǒng)的關(guān)系模式：R(AR(A1 1,A,A2 2,

21、A, An n) ) 多級關(guān)系模式：多級關(guān)系模式： R(AR(A1 1,C,C1 1,A,A2 2,C,C2 2,A,An n,C,Cn n,TC),TC) v元組的安全級別元組的安全級別:TC:TC v元組表示：元組表示：t(at(a1 1,c,c1 1,a,a2 2,c,c2 2,a,an n,c,cn n,tc),tc) v元組元組t t的安全標簽：的安全標簽：ttc.ttc. v屬性屬性a ai i的安全標簽：的安全標簽：tctci i. 例例 Weapon Weapon多級關(guān)系表示。多級關(guān)系表示。 23 表表1 1 原始原始WeaponWeapon多級關(guān)系多級關(guān)系 表表2 Weapo

22、n U 2 Weapon U 級實例級實例 24 表表1 1 原始原始WeaponWeapon多級關(guān)系多級關(guān)系 表表3 3 原始原始Weapon SWeapon S級實例級實例 25 表表4 Weapon TS4 Weapon TS級實例級實例 26 多級關(guān)系完整性：多級關(guān)系完整性： v實體完整性實體完整性 v空值完整性空值完整性 v多級外碼完整性與參照完整性多級外碼完整性與參照完整性 v實例間完整性實例間完整性 v多實例完整性多實例完整性 多級關(guān)系完整性多級關(guān)系完整性 27 一、實體完整性一、實體完整性 設(shè)設(shè)AKAK是定義在關(guān)系模式是定義在關(guān)系模式R R上的外觀主碼，一個上的外觀主碼，一個

23、多級關(guān)系滿足實體完整性，當且僅當對多級關(guān)系滿足實體完整性，當且僅當對R R的所的所 有實例有實例RcRc與與tRc,Rc,有：有： vA Ai iAK = tAAK = tAi inull/ null/ 主碼屬性不能主碼屬性不能 為空為空 vA Ai i , A , Aj jAK = tCAK = tCi i tCtCj j/主鍵各屬主鍵各屬 性安全等級一致性安全等級一致，保證在任何級別上主鍵，保證在任何級別上主鍵 都是完整的。都是完整的。 vA Ai i AK = tC AK = tCi i = tC = tCAK AK/ /非碼屬性安非碼屬性安 全等級支配鍵值，全等級支配鍵值，保證關(guān)系可見

24、的任何級保證關(guān)系可見的任何級 別上，主鍵不可能為空。別上，主鍵不可能為空。 28 二、空值完整性二、空值完整性 在多級關(guān)系中，空值有兩種解釋在多級關(guān)系中，空值有兩種解釋: : v一種確實為空。一種確實為空。 v另一種是實例的等級低于屬性的等級使此屬另一種是實例的等級低于屬性的等級使此屬 性不可見，從而顯示為空。性不可見，從而顯示為空。 空值完整性使用了歸類關(guān)系，歸類關(guān)系如下：空值完整性使用了歸類關(guān)系，歸類關(guān)系如下： 如果兩元組如果兩元組t t和和s s，如果屬性，如果屬性AiAi滿足下列條件滿足下列條件 ，元組，元組t t包含元組包含元組s s。 v對于兩元組對于兩元組t t和和s, s, 如

25、果任何一個屬性如果任何一個屬性 tAi ,Ci sAi ,Ci; vtAinull且且 sAinull，則稱元組則稱元組t t包含元包含元 組組s s。 29 一個多級關(guān)系個多級關(guān)系R R滿足空值完整性，當滿足空值完整性，當 且僅當對且僅當對R R的每個實例的每個實例RcRc均滿足下列均滿足下列 兩個條件：兩個條件： v空值的安全級別與主鍵相同?？罩档陌踩墑e與主鍵相同。 即對于所有的即對于所有的tRtRc c, , tA tAi i null = tcnull = tci i tCtCAK AK vR Rc c不含有兩個有包含關(guān)系的不同元不含有兩個有包含關(guān)系的不同元 組。組。 30 例例1

26、1 多級關(guān)系違反了空值完整性多級關(guān)系違反了空值完整性 多級關(guān)系違反了空值完整性多級關(guān)系違反了空值完整性 31 三、多級外碼完整性與參照完整性三、多級外碼完整性與參照完整性 多級外碼完整性：多級外碼完整性： 假設(shè)假設(shè)FKFK是參照關(guān)系是參照關(guān)系R R的外碼，多級關(guān)系的外碼，多級關(guān)系R R的一個實例的一個實例 RcRc滿足外碼完整性，當且僅當對所有的滿足外碼完整性，當且僅當對所有的tRctRc滿足：滿足： v 或者（所有或者（所有A Ai iFKFK） tA tAi i = null = null， 或者（所有或者（所有A Ai iFKFK） tA tAi inullnull /外碼屬性全空或全非

27、空外碼屬性全空或全非空 v A Ai i , A , Aj jFK = tCFK = tCi i tCtCj j 。 /外碼的每個屬性具有相同的安全級別外碼的每個屬性具有相同的安全級別 32 多級參照完整性：多級參照完整性： 假設(shè)假設(shè)FKFK1 1是具有外觀主碼是具有外觀主碼AKAK1 1參照關(guān)系參照關(guān)系R R1 1的外碼，的外碼， R R2 2具有外觀主碼具有外觀主碼AKAK2 2的被參照關(guān)系，多級關(guān)系的被參照關(guān)系，多級關(guān)系R R1 1 的一個實例的一個實例 r r1 1 和多級關(guān)系和多級關(guān)系R R2 2的一個實例的一個實例 r r2 2滿滿 足參照完整性，當且僅當足參照完整性，當且僅當 所

28、有所有t t11 11r r1 1 , t , t11 11FK FK1 1 null , null , E t t21 21r r2 2 ,t ,t11 11FK FK1 1 = t = t21 21AK AK2 2 t t11 11TC= TC= t t21 21TC TC t t11 11C CFK1 FK1 t t21 21C CAK2 AK2 。 。 外鍵的訪問等級必須支配引用元組中主鍵的訪外鍵的訪問等級必須支配引用元組中主鍵的訪 問等級。問等級。 33 四、實例間完整性四、實例間完整性 多級關(guān)系多級關(guān)系RcRc滿足實例間完整性，當且僅當對所滿足實例間完整性，當且僅當對所 有有 cc

29、 cc，Rc=Rc=( Rc( Rc，c)c)，其中過濾函數(shù)，其中過濾函數(shù)按按 以下方法從以下方法從RcRc產(chǎn)生安全等級為產(chǎn)生安全等級為cc的實例的實例RcRc： v所有所有 tR tRc c, tC, tCAK AKc, tRc c, tRc， 滿足滿足tAK,CtAK,CAK AK= tAK,C = tAK,CAK AK. ./主碼保留主碼保留 v所有所有A Ai i AK AK有有 tA tAi i,C,Ci i=tA=tAi i,C,Ci i if tC if tCi i c c tA tAi i,C,Ci i=null,tC= otherwise otherwise E E 消除消除

30、RcRc的歸類元組的歸類元組 34 表表1.1.多級關(guān)系多級關(guān)系“衛(wèi)星衛(wèi)星” S S級實例級實例 實例間完整性舉例：例實例間完整性舉例：例1 1 表表2.2.多級關(guān)系多級關(guān)系“衛(wèi)星衛(wèi)星”過濾后過濾后U U級實例級實例 35 表表4.4.多級關(guān)系多級關(guān)系“衛(wèi)星衛(wèi)星”S S級實例級實例 表表5.5.多級關(guān)系多級關(guān)系“衛(wèi)星衛(wèi)星”過濾后過濾后S S級實例級實例 實例間完整性舉例：例實例間完整性舉例：例2 2 表表3.3.多級關(guān)系多級關(guān)系“衛(wèi)星衛(wèi)星” ” U U級實例級實例 36 五、多實例完整性五、多實例完整性 假設(shè)多級關(guān)系假設(shè)多級關(guān)系R R的外觀主碼集合為的外觀主碼集合為AKAK，主碼等級，主碼等級

31、 為為C CAK AK 。多實例完整性要求由 。多實例完整性要求由AKAK、C CAK AK以及第 以及第i i個個 屬性的等級屬性的等級C Ci i便可確定第便可確定第i i個屬性值個屬性值A(chǔ) Ai i 。 。 一個多級關(guān)系滿足多實例完整性，當且僅當每一個多級關(guān)系滿足多實例完整性，當且僅當每 個個R Rc c中的每個屬性中的每個屬性A Ai i , ,滿足 滿足AK,CAK,CAK AK,C ,Ci i A Ai i 即即A Ai i函數(shù)依賴于函數(shù)依賴于AK,CAK,CAK AK,C ,Ci i 。 。 同一級別的元組之間不存在多實例。同一級別的元組之間不存在多實例。 37 多級關(guān)系多級關(guān)系

32、Weapon(Weapon(滿足多實例完整性滿足多實例完整性) ) 多級關(guān)系多級關(guān)系Weapon(Weapon(不滿足多實例完整性不滿足多實例完整性) ) （元組級別相同主鍵重復(fù)）（元組級別相同主鍵重復(fù)） 38 一、一、 插入操作插入操作 形式：形式：INSERT INTO Rc(AINSERT INTO Rc(Ai i ,A ,Aj j) VALUES (a VALUES (ai i ,a ,aj j) 當插入元組當插入元組t t（新插入）（新插入）與主鍵值相同的元組與主鍵值相同的元組t t 時：時： 1 1）若）若tTCtTC tTC, tTC,拒絕拒絕t t的插入。的插入。 2 2）若）

33、若tTC tTC,tTC ttTC t TC,TC,允許或拒絕允許或拒絕t t的插入均可的插入均可 以。以。 39 例例1 S1 S級別主體插入操作級別主體插入操作 1 1）主碼值不同，正常插入）主碼值不同，正常插入 INSERT INTO INSERT INTO WeaponWeapon VALUES “Cannonl,10,200” VALUES “Cannonl,10,200” 插入后插入后 WeaponWeapon多級關(guān)系的多級關(guān)系的S S級插入級插入 40 2 2）主碼值、級別相同，系統(tǒng)不允許插入。）主碼值、級別相同，系統(tǒng)不允許插入。 INSERT INTO INSERT INTO

34、WeaponWeapon VALUES “Cannonl,10,200”/ VALUES “Cannonl,10,200”/S S級插入級插入 WeaponWeapon多級關(guān)系的多級關(guān)系的S S級插入級插入 41 3 3）主碼值相同，但插入元組級別低，允許插入，）主碼值相同，但插入元組級別低，允許插入， 防止隱通道，產(chǎn)生多實例。防止隱通道，產(chǎn)生多實例。 INSERT INTO INSERT INTO WeaponWeapon VALUES “ VALUES “Missile2,250,30”/,250,30”/ S S級插入級插入 插入前插入前 WeaponWeapon多級關(guān)系的多級關(guān)系的S

35、S級插入級插入 42 插入后產(chǎn)生多實例插入后產(chǎn)生多實例 WeaponWeapon多級關(guān)系的多級關(guān)系的S S級插入級插入 43 二、更新操作二、更新操作 形式：形式：UPDATE RcUPDATE Rc SET A SET Ai iS Si i ,A ,Aj jS Sj j WHERE p WHERE p p p是謂詞條件是謂詞條件 針對關(guān)系間完整性的約束，更新操作對不同等針對關(guān)系間完整性的約束，更新操作對不同等 級的關(guān)系實例的影響有以下三點：級的關(guān)系實例的影響有以下三點： v對同等級關(guān)系實例的影響與傳統(tǒng)的對同等級關(guān)系實例的影響與傳統(tǒng)的UPDADEUPDADE語語 句一樣。句一樣。 v對更低等級

36、關(guān)系實例無影響。對更低等級關(guān)系實例無影響。 v對更高等級用戶，為避免隱蔽通道可能引入對更高等級用戶，為避免隱蔽通道可能引入 多實例。多實例。 44 例例11密級為密級為U U的用戶要求對的用戶要求對WeaponWeapon關(guān)系的關(guān)系的 U U級實例作更新操作。級實例作更新操作。/直接修改直接修改 UPDATE UPDATE WeaponWeapon SET Quantity=3000 SET Quantity=3000 WHERE Wname=“Gun1”/ WHERE Wname=“Gun1”/ U U級用戶級用戶 WeaponWeapon關(guān)系的關(guān)系的 U U 級實例級實例 45 Weapo

37、nWeapon關(guān)系的關(guān)系的 U U 級實例級實例更新前更新前 WeaponWeapon關(guān)系的關(guān)系的 U U 級實例級實例更新后更新后 46 例例22密級為密級為U U的用戶要求對的用戶要求對WeaponWeapon關(guān)系的關(guān)系的 S S級實例作更新操作。級實例作更新操作。 UPDATE UPDATE WeaponWeapon SET Quantity=3000 SET Quantity=3000 WHERE Wname=“Gun1”/ WHERE Wname=“Gun1”/ U U級用戶級用戶 WeaponWeapon關(guān)系的關(guān)系的 S S 級實例級實例 47 WeaponWeapon關(guān)系的關(guān)系的

38、 S S 級實例級實例更新前更新前 WeaponWeapon關(guān)系的關(guān)系的 S S 級實例級實例 更新后產(chǎn)生多實例更新后產(chǎn)生多實例 48 例例33密級為密級為S S的用戶要求對的用戶要求對WeaponWeapon關(guān)系的關(guān)系的 S S級實例執(zhí)行如下更新操作。級實例執(zhí)行如下更新操作。 UPDATE UPDATE WeaponWeapon SET Range=2 SET Range=2 WHERE Wname=“Gun1”AND WHERE Wname=“Gun1”AND Quantity=5000 Quantity=5000 WeaponWeapon關(guān)系的關(guān)系的 S S 級實例級實例 49 Weap

39、onWeapon關(guān)系的關(guān)系的 S S 級實例級實例更新后更新后 WeaponWeapon關(guān)系的關(guān)系的 S S 級實例級實例更新前更新前 50 例例44密級為密級為S S的用戶要求對的用戶要求對WeaponWeapon關(guān)系的關(guān)系的 S S級實例執(zhí)行如下更新操作。級實例執(zhí)行如下更新操作。 UPDATE UPDATE WeaponWeapon SET Range=2 SET Range=2 WHERE Wname=“Gun1”/ WHERE Wname=“Gun1”/ S S級用戶級用戶 WeaponWeapon關(guān)系的關(guān)系的 S S 級實例級實例 51 WeaponWeapon關(guān)系的關(guān)系的 S S

40、級實例級實例更新后更新后 WeaponWeapon關(guān)系的關(guān)系的 S S 級實例級實例更新前更新前 52 三、刪除操作三、刪除操作 形式：形式：DELETE FROM RcDELETE FROM Rc WHERE p WHERE p p p是謂詞條件是謂詞條件 四、查詢操作四、查詢操作 形式：形式：SELECT A1,A2FROM R1 ,R2SELECT A1,A2FROM R1 ,R2 WHERE pAT c1,c2, WHERE pAT c1,c2, p p是謂詞條件是謂詞條件 53 多實例：是指在多級安全數(shù)據(jù)庫管理系統(tǒng)多實例：是指在多級安全數(shù)據(jù)庫管理系統(tǒng) 中，同時存在多個具有相同主碼值的

41、實體。中，同時存在多個具有相同主碼值的實體。 多實例元組：關(guān)系包含多個具有相同主碼多實例元組：關(guān)系包含多個具有相同主碼 的元組，但的元組，但相同主碼相同主碼的安全等級可以不的安全等級可以不 相同，相同，這些元組的安全等級不同。這些元組的安全等級不同。 多實例屬性：關(guān)系包含多個具有相同主碼多實例屬性：關(guān)系包含多個具有相同主碼 的元組，但的元組，但相同主碼相同主碼的安全等級的安全等級相同，相同，這這 些元組的安全等級不同。些元組的安全等級不同。 54 例：兩種多實例的情況。例：兩種多實例的情況。 多實例屬性多實例屬性的多級關(guān)系的多級關(guān)系 多實例元組的多實例元組的多級關(guān)系多級關(guān)系 55 可見多實例：

42、可見多實例：當高訪問等級的用戶想當高訪問等級的用戶想 在數(shù)據(jù)庫的一個域上插入數(shù)據(jù)，而在在數(shù)據(jù)庫的一個域上插入數(shù)據(jù)，而在 這個域上已經(jīng)存在低安全等級的數(shù)據(jù)這個域上已經(jīng)存在低安全等級的數(shù)據(jù) 時發(fā)生。時發(fā)生。 不可見多實例：不可見多實例：當?shù)驮L問等級的用戶當?shù)驮L問等級的用戶 想在數(shù)據(jù)庫的一個已經(jīng)有高安全等級想在數(shù)據(jù)庫的一個已經(jīng)有高安全等級 的域上插入一個新數(shù)據(jù)時發(fā)生。的域上插入一個新數(shù)據(jù)時發(fā)生。 56 可見多實例可見多實例 U U級用戶將級用戶將RangeRange更新為更新為1 1 S S級用戶將級用戶將RangeRange更新為更新為2 2 最初的多級關(guān)系最初的多級關(guān)系 57 不可見多實例不可見

43、多實例 最初的最初的S S級用戶級用戶實例實例 U U級用戶將級用戶將RangeRange更新為更新為1 1后，后，U U級實例如下：級實例如下： U U級用戶將級用戶將RangeRange更新為更新為2 2后，后，S S級實例如下：級實例如下： 58 多實例雖可防止隱蔽通道，但引起一多實例雖可防止隱蔽通道，但引起一 些相關(guān)問題：些相關(guān)問題： 數(shù)據(jù)機密性與完整性沖突數(shù)據(jù)機密性與完整性沖突 增加了數(shù)據(jù)庫的管理難度增加了數(shù)據(jù)庫的管理難度 增加了對同一現(xiàn)實世界中不同模型理增加了對同一現(xiàn)實世界中不同模型理 解的困惑。不清楚那個實例的信息是解的困惑。不清楚那個實例的信息是 正確、可信的。正確、可信的。

44、59 v使所有的主碼可見，主碼以關(guān)系內(nèi)可見的使所有的主碼可見，主碼以關(guān)系內(nèi)可見的 最低安全等級標識最低安全等級標識 v根據(jù)主碼可能的各種安全等級，劃分主碼根據(jù)主碼可能的各種安全等級，劃分主碼 的域。的域。 v限制對多級關(guān)系的插入。要求所有的插入限制對多級關(guān)系的插入。要求所有的插入 由系統(tǒng)最高安全等級的用戶實施向下寫完由系統(tǒng)最高安全等級的用戶實施向下寫完 成。成。 60 隱蔽通道：隱蔽通道：是指給定一個強制安全策略模型是指給定一個強制安全策略模型M M和和 它在一個操作系統(tǒng)中的解釋它在一個操作系統(tǒng)中的解釋I(M),I(M)I(M),I(M)中兩個主中兩個主 體體I(Si)I(Si)和和I(Sj)

45、I(Sj)之間的任何潛在通信都是隱蔽之間的任何潛在通信都是隱蔽 的的, ,當且僅當模型當且僅當模型M M中的相應(yīng)主體中的相應(yīng)主體SiSi和和SjSj之間的之間的 任何通信在任何通信在M M中都是非法的。（系統(tǒng)中不受安全中都是非法的。（系統(tǒng)中不受安全 策略控制的，違反安全策略的信息泄露路徑）策略控制的，違反安全策略的信息泄露路徑） 系統(tǒng)實際使用中，攻擊者制造一組表面上合法系統(tǒng)實際使用中，攻擊者制造一組表面上合法 的操作序列，將高級數(shù)據(jù)傳送到低級用戶。這的操作序列，將高級數(shù)據(jù)傳送到低級用戶。這 種隱蔽的非法通道叫隱蔽通道。種隱蔽的非法通道叫隱蔽通道。 61 隱通道通過不是用于數(shù)據(jù)傳遞的系統(tǒng)設(shè)施來發(fā)

46、隱通道通過不是用于數(shù)據(jù)傳遞的系統(tǒng)設(shè)施來發(fā) 送信息送信息 ，并且這種通信方式往往不被系統(tǒng)的，并且這種通信方式往往不被系統(tǒng)的 存取控制機制所檢測和控制。存取控制機制所檢測和控制。 隱蔽通道的分類隱蔽通道的分類 v存儲隱蔽通道和時序隱蔽通道存儲隱蔽通道和時序隱蔽通道 v雙向同步隱蔽通道和單項同步隱蔽通道雙向同步隱蔽通道和單項同步隱蔽通道 v無噪聲隱蔽通道和有噪聲隱蔽通道無噪聲隱蔽通道和有噪聲隱蔽通道 v聚集隱蔽通道和非聚集隱蔽通道聚集隱蔽通道和非聚集隱蔽通道 存儲隱蔽通道存儲隱蔽通道: :如果一個隱通道是一個主體直如果一個隱通道是一個主體直 接或間接地修改一存儲變量，而被另一主體通接或間接地修改一存

47、儲變量，而被另一主體通 過直接或間接地讀取同一個變量獲得信息，這過直接或間接地讀取同一個變量獲得信息，這 個隱通道是存儲隱通道。個隱通道是存儲隱通道。 62 例例1:1:進程號隱通道進程號隱通道. . 進程號（進程號（PIDPID）是系統(tǒng)中標志進程的唯一符）是系統(tǒng)中標志進程的唯一符 號，在許多操作系統(tǒng)中采用連續(xù)遞增的方法號，在許多操作系統(tǒng)中采用連續(xù)遞增的方法 來管理進程號，即新建的進程的進程號在上來管理進程號，即新建的進程的進程號在上 一個進程的進程號的基礎(chǔ)上加一個進程的進程號的基礎(chǔ)上加1 1，利用系統(tǒng)，利用系統(tǒng) 的這一管理機制也可產(chǎn)生隱通道，其操作過的這一管理機制也可產(chǎn)生隱通道，其操作過 程

48、如下：程如下： 63 操作過程：操作過程： 接收方建立一個子進程并立即結(jié)束它，記接收方建立一個子進程并立即結(jié)束它，記 錄下它的進程號；錄下它的進程號； 發(fā)送方若發(fā)發(fā)送方若發(fā)“0”0”，則什么也不做，若發(fā)，則什么也不做，若發(fā) “1”1”則建一個子進程并立即結(jié)束它；則建一個子進程并立即結(jié)束它； 接收方再建一個子進程并立即結(jié)束它，記接收方再建一個子進程并立即結(jié)束它，記 錄下它的進程號，如果新的進程號與上一次錄下它的進程號，如果新的進程號與上一次 得到的進程號相差得到的進程號相差1 1，則確認接收到，則確認接收到“0”0”， 如果新的進程號與上一次得的進程號相差如果新的進程號與上一次得的進程號相差2

49、2， 則確認接收到則確認接收到“1”1”； 做好同步工作，轉(zhuǎn)入做好同步工作，轉(zhuǎn)入2 2，傳送下一比特，傳送下一比特。 例：例： 收收 發(fā)發(fā) 收收 發(fā)發(fā) 收收 發(fā)發(fā) 收收 發(fā)發(fā) p1 p2 p3 p4 p5 p6 傳送信息傳送信息 1 0 1 0 64 時序隱蔽通道：時序隱蔽通道：時序隱通道的發(fā)送者通過對使用資時序隱通道的發(fā)送者通過對使用資 源時間的影響來發(fā)送信息，接收者通過觀察響應(yīng)時源時間的影響來發(fā)送信息，接收者通過觀察響應(yīng)時 間的變化來接收信息，這個隱通道是時序隱通道。間的變化來接收信息，這個隱通道是時序隱通道。 例例2 2：時序隱蔽通道。：時序隱蔽通道。 vCPUCPU是一種可以利用的系統(tǒng)

50、資源，可由多個用戶是一種可以利用的系統(tǒng)資源，可由多個用戶 共享，假設(shè)有共享，假設(shè)有H H和和L L兩個進程，兩個進程，H H的安全級高于的安全級高于L L， H H企圖將信息傳遞給企圖將信息傳遞給L L。它們約定一系列間隔均勻。它們約定一系列間隔均勻 的時間點的時間點t1t1，t1t1，t1t1，（間隔時間至少允許兩（間隔時間至少允許兩 次次CPUCPU調(diào)度）。調(diào)度）。 vL L在每個時間點都請求使用在每個時間點都請求使用CPUCPU，而，而H H在每個時間在每個時間 點，若要發(fā)送點，若要發(fā)送0 0，則不請求使用，則不請求使用CPUCPU；若要發(fā)送；若要發(fā)送1 1， 則請求使用則請求使用CPU

51、CPU（假設(shè)（假設(shè)H H的優(yōu)先級高于的優(yōu)先級高于L L）。于是，）。于是， 在每個時間點，在每個時間點，L L若能立即獲得若能立即獲得CPUCPU的使用權(quán)，則的使用權(quán)，則 確認收到確認收到0 0，若要等待，則確認收到，若要等待，則確認收到1 1，這個隱通，這個隱通 道被稱時序隱蔽通道道被稱時序隱蔽通道。 65 v雙向同步隱蔽通道和單項同步隱蔽通道雙向同步隱蔽通道和單項同步隱蔽通道 為了讓一個進程通知另外一個進程已經(jīng)完成了對一為了讓一個進程通知另外一個進程已經(jīng)完成了對一 個數(shù)據(jù)的讀或?qū)?，在使用隱蔽通道傳遞信息之前，個數(shù)據(jù)的讀或?qū)?，在使用隱蔽通道傳遞信息之前， 信息發(fā)送者和接收者之間必須規(guī)定好同步

52、方式。信息發(fā)送者和接收者之間必須規(guī)定好同步方式。 如果一個隱蔽通道中除了包含一個傳輸用戶數(shù)據(jù)的如果一個隱蔽通道中除了包含一個傳輸用戶數(shù)據(jù)的 變量外，還包括兩個同步變量：一個同步變量用于變量外，還包括兩個同步變量：一個同步變量用于 發(fā)送者到接收者的同步，另一個用于接收者到發(fā)送發(fā)送者到接收者的同步，另一個用于接收者到發(fā)送 者的同者的同步步，這種隱蔽通道稱為，這種隱蔽通道稱為雙向同步隱蔽通道雙向同步隱蔽通道。 有些安全模型和它們的解釋允許一類接收者到一類有些安全模型和它們的解釋允許一類接收者到一類 發(fā)送者的通信，這類系統(tǒng)中從發(fā)送者到接收者的同發(fā)送者的通信，這類系統(tǒng)中從發(fā)送者到接收者的同 步也不可缺少，這種隱蔽通道稱為步也不可缺少，這種隱蔽通道稱為單向同步隱蔽通單向同步隱蔽通 道道。