数据库安全策略.

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

13
下图是一个简单的状态机模型:
A
q0
B B
q1
A
B
A
B

qs
AБайду номын сангаас
qr
有机状态机模型
14

开发一个状态机安全模型一般具有以下 一些步骤 定义与安全有关的状态变量。 定义安全状态需满足的条件是静态表 达式,表达了在状态转移期间,状态 变量值之间必须保持的关系。 定义状态转移函数。 证明转移函数能供维持安全状态。 定义系统运行的初始状态,并用安全 状态的定义证明初始状态是安全的。
19
主体集S、客体集O、主体访问等级 sclass、客体访问等级oclass和访问模 式集合A(s,o)都是安全模型的状态变量。 系统在任一时刻的状态可定义为状态变 量的集合: State={S,O,sclass,oclass,A}。 该安全策略对应的安全状态可描述为: 系统是安全的,当且仅当对于所有的s ∈ S,o ∈ O有 (1)If r ∈A(s,o),then sclass(s)>oclass(o) (2)If w ∈A(s,o),then 20 sclass(s)<oclass(o)
8
5.2.2 SPSL
SPSL是一种策略规范语言,它的主要目
的是描述安全操作系统中使用的安全策 略,即授权决策策略。授权决策是一个 从请求到决策的映射AD={(q,d)|q ∈Q,d ∈D},其中,Q是请求集,D是决策集。
9
SPSL属于逻辑语言,主要由常量、变
量和谓词三部分组成。主体集S、客体 集O、动作集A和访问权限集SA均是 SPSL的常量。SPSL的变量包括四个集 合:Vs、Vo、Va、Vsa分别表示主体、 客体、动作和带符号访问权限的变量 集合。分别用st,ot,at和sat表示四 个集合中的项。 SPSL的谓词有13个:
11
5.3 安全策略模型

安全模型的作用是在一个安全策略中, 描述策略控制实体并且声明构成策略的 规则。
12
5.3.1 状态机模型
状态机模型将系统描述为一个抽象的数
学状态机。在这种模型里,状态变量表 示机器的状态,随着系统的运行而不断 地变化。 状态转移函数是对系统调用的抽象表示, 精确地描述了状态的变化情况。主体和 客体被模拟为集合S和O的函数。
10

简单的实例说明如何用SPSL描述自主访 问控制策略。假定 o∈O,s1∈S,s2∈S,s3∈S,g∈G,others=G -g,自主访问控制策略可表示为: 客体属主访问规则:cando(s1,o,a) ←owner(o,s1)。 同组用户访问规则:cando(s2,o,a’) ← cando(g,o,a)&in(s1,g)&in(s2,g)。 其他人访问规则:cando(s3,o,a”) ← cando(others,o,a’)& ﹁in(s3,g) 。
4
保证数据库的完整性。数据库的完整
性包括物理完整性、逻辑完整性和元 素完整性。物理完整性是指存储介质 和运行环境的完整性。逻辑完整性主 要有实体完整性和引用完整性。元素 完整性是指数据库元素的正确性和准 确性。
5
5.2 安全策略语言

安全策略语言用来描述定义不同层次的 安全策略。
6
5.2.1 安全策略基本元素
3

数据库系统至少具有以下一些安全策略 保证数据库的存在安全。确保数据库 系统的安全首先要确保数据库系统的 存在安全。 保证数据库的可用性。数据库管理系 统的可用性表现在两个方面:一是需 要阻止发布某些非保护数据以防止敏 感数据的泄漏;二是当两个用户同时 请求同一纪录时进行仲裁。 保障数据库系统的机密性。主要包括 用户身份认证、访问控制和可审计性 等。
15

转换函数的例子: Create-object(o,c) If o ∈O Then O’=O ∪{o}and oclass’(o)=c and s∈S,A’(s,o)= ф
16

采用有限状态机为某种安全策略构造安 全模型的例子: 假设安全策略为: (1)当且仅当用户的认证等级高于文件 的安全等级时,可以对文件进行读操作。 (2)当且仅当用户的认证等级低于文件 的安全等级时,可以对文件进行写操作。 将其“翻译”成计算机语言。
安全策略定义语言具有以下一些基本概
念与标记 主体(Subject):系统中的活动实体, 主体在系统中的活动受安全策略控制。 主体一般记为S={s1,…,sn}。 客体( Object ):是系统中的被动实 体,每个客体可以有自己的类型。客 体一般记为O={o1,…,on}。
7
类型(Type):每个客体都可以有自己
17

根据上述对应关系,给定安全策略可以 进一步表示: (1)当且仅当主体的访问等级高于客体 的访问等级时,可以对客体进行读操作。 (2)当且仅当主体的访问等级低于客体 的访问等级时,可以对客体进行写操作。
18

将这些与安全相关的状态变量符号化: 主体用S表示,客体用O表示,访问等级 用class表示,主体s的访问等级表示为 sclass(s),客体o的访问等级表示为 oclass(o),A(s,o)为访问模式集合,则 安全策略的形式化描述为: (1)sclass(s)>oclass(o)=>r∈A(s,o) (2)sclass(s)<oclass(o)=>w∈A(s,o)
cando(st,ot,sat),decando(st,ot,sat),do( s,o,sat),done(s,o,at),fail(s,o,at),din (s1,s2),in(s1,s2),cooper(e1,e2),conflic t(e1,e2),super(e1,e2),owner(e1,e2),type of(e,t)和spof(e)。
第五章 数据库安全策略
1
本 章 概 要
5.1 5.2 5.3 5.4 5.5 5.6
安全策略的定义 安全策略语言 安全策略模型 安全策略模型特性分析 安全策略的执行 关系数据库的授权机制
2
5.1 安全策略的定义

安全策略:是粗线条描述安全需求以及规 则的说明,是一组规定如何管理、保护 和指派敏感信息的法律、规则及实践经 验的集合。
的类型。 角色(Role):在系统中进行特定活动 所需权限的集合。角色可以被主体激 活,主体可以同时担任不同的角色。 角色一般记为R={r1,…,rn}。 任务(Task):任务一般记为 TK={tk1,…,tkn}。 转换过程(TP,Tansformation procedure):可以是通常的读、写操 作或一系列简单操作组合形成的特定 应用过程。
相关文档
最新文档