第六章多级数据库安全管理系统
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Ø 为降低进而消除对系统的安全攻击,各国引 用或制定了一系列安全标准 v TCSEC (桔皮书) v TDI (紫皮书)
第六章多级数据库安全管理系统
Ø 1985年美国国防部(DoD)正式颁布《 DoD 可信计算机系统评估标准》 v 简称TCSEC或DoD85,TCSEC又称桔皮书
Ø TCSEC标准的目的 v 提供一种标准,使用户可以对其计算机系 统内敏感信息安全操作的可信程度做评估。
Ø 多级关系完整性: v 实体完整性 v 空值完整性 v 多级外码完整性与参照完整性 v 实例间完整性 v 多实例完整性
第六章多级数据库安全管理系统
一、实体完整性
设AK是定义在关系模式R上的外观主码,一个 多级关系满足实体完整性,当且仅当对R的所 有实例Rc与t∈Rc,有:
v Ai∈AK => t[Ai]≠null// 主码属性不能 为空
第六章多级数据库安全管理系统
等级说明:B1
Ø B1级(标签安全保护级) v 标记安全保护。“安全”(Security)或“可 信的”(Trusted)产品。 v 对系统的数据加以标记,对标记的主体和客 体实施强制存取控制(MAC)、对安全策略 进行非形式化描述,加强了隐通道分析,审 计等安全机制 v 典型例子
等级说明:D,C1
Ø D级(最小保护级) v 将一切不符合更高标准的系统均归于D组 v 典型例子:DOS是安全标准为D的操作系统 • DOS在安全性方面几乎没有什么专门的 机制来保障无身份认证与访问控制。
Ø C1级(自主安全保护级) v 非常初级的自主安全保护 v 能够实现对用户和数据的分离,进行自主 存取控制(DAC),保护或限制用户权限 的传播。早期的UNIX系统属于这一类。 v 这类系统适合于多个协作用户在同一个安 全级上处理数据的工作环境。
v Ai , Aj∈AK => t[Ci]=t[Cj]//主键各属 性安全等级一致,保证在任何级别上主键 都是完整的。
v Ai∈AK => t[Ci] >= t[CAK]//非码属性安
全等级支配键值,保证关系可见的任何级 别上,主键不可能为空。
第六章多级数据库安全管理系统
二、空值完整性
Ø 在多级关系中,空值有两种解释: v 一种确实为空。 v 另一种是实例的等级低于属性的等级使此属 性不可见,从而显示为空。
v 给计算机行业的制造商提供一种可循的指 导规则,使其产品能够更好地满足敏感应 用的安全需求。
第六章多级数据库安全管理系统
Ø TCB可信计算基:是Trusted Computing Base的简称,指的是计算机内保护装置 的总体,包括硬件、固件、软件和负责 执行安全策略管理员的组合体。它建立 了一个基本的保护环境并提供一个可信 计算机系统所要求的附加用户服务。
TDI/TCSEC标准的基本内容
➢ TDI与TCSEC一样,从四个方面来描述安 全性级别划分的指标 v 安全策略 v 责任 v 保证 v 文档
第六章多级数据库安全管理系统
TCSEC/TDI安全级别划分
安全级别
A1 B3 B2 B1 C2 C1 D
定义
验证设计(Verified Design)
安全域(Security Domains)
第六章多级数据库安全管理系统
➢多级参照完整性:
➢假设参照关系R1具有外观主码AK1, 外码FK1,被参照关系R2具有外观主 码AK2,多级关系R1的一个实例 r1 和多级关系R2的一个实例 r2满足参 照完整性,当且仅当
所有t11∈r1 , t11[FK1] ≠null ,
E t21∈r2 ,t11[FK1] = t21[AK2] Λ t11[TC]=
第六章多级数据库安全管理系统
6.4 多级关系数据模型
6.4.1 安全的特征
Ø 传统关系模型两个重要的完整性: v 实体完整性、引用完整性(参照完整性)。
Ø 多级关系数据模型三要素: v 多级关系、多级关系完整性约束及多级关系 操作。
Ø 多级安全模型需作的改进: v 多级安全模型:在传统关系模型基础上各种 逻辑数据对象强制赋予安全属性标签。 v 修改传统关系模型中关系的完整性及关系上 的操作。
Ø A1级(验证设计级)
v 验证设计,即提供B3级保护的同时给出系统的 形式化设计说明和验证以确信各安全保护真正 实现。这个级别要求严格的数学证明。
第六章多级数据库安全管理系统
说明
➢ B2以上的系统 v 还处于理论研究阶段 v 应用多限于一些特殊的部门如军队等 v 美国正在大力发展安全产品,试图将目前仅 限于少数领域应用的B2安全级别下放到商业 应用中来,并逐步成为新的商业标准。
等级说明:B2
Ø B2级(结构化保护级)
v 建立形式化的安全策略模型并对系统内的所有主体 和客体实施DAC和MAC,从主体到客体扩大到I/O设 备等所有资源。要求开发者对隐蔽信道进行彻底地 搜索。TCB划分保护与非保护部分,存放于固定区 内。
v 经过认证的B2级以上的安全系统非常稀少 v 典型例子
第六章多级数据库安全管理系统
Ø 安全标签粒度:是标识安全等级的最小逻辑对 象单位。
Ø 安全标签粒度级别:关系级、元组级及属性级。 Ø 安全粒度控制
v 按照不同的安全需求和实体类型,决定安全 控制的程度。
v 例如,对数据的存取,可以是关系级、元组 级及属性级。
Ø 粒度越细,控制越灵活,但所对应的操作越困 难和复杂。
❖所有 t∈Rc, t[CAK]≤c′,
∈ t′∈Rc′, 满足t′[AK,CAK]= t[AK,CAK].//主码保留 ❖所有Ai AK有
t′[Ai,Ci]=t[Ai,Ci] if t[Ci] ≤ c′ t′[Ai,Ci]=<null,t[CAK]> otherwise
➢ 消除Rc’的归类元组
E
第六章多级数据库安全管理系统
结构化保护(Structural Protection) 标 记 安 全 保 护 ( Labeled Security Protection) 受 控 的 存 取 保 护 ( Controlled Access
Protection)
自 主 安 全 保 护 ( Discretionary Security
第六章多级数据库安全管理系统
[例1] 多级关系违反了空值完整性
多级关系违反了空值完整性
第六章多级数据库安全管理系统
三、多级外码完整性与参照完整性
Ø 多级外码完整性: 假设FK是参照关系R的外码,多级关系R的一个实例 Rc满足外码完整性,当且仅当对所有的t∈Rc满足: v 或者(所有Ai∈FK) t[Ai] = null, 或者(所有Ai∈FK) t[Ai]≠null //外码属性全空或全非空 v Ai , Aj∈FK => t[Ci]=t[Cj]。 //外码的每个属性具有相同的安全级别
t21[TC]Λ t11[CFK1] ≥ t21[CAK2]。
➢外键的访问等级必须支配引用元组 中主键的访问等级。
第六章多级数据库安全管理系统
四、实例间完整性
➢多级关系Rc满足实例间完整性,当且仅 当对所有
c‘≤c,Rc′=σ( Rc,c′),其中过 滤函数σ按以下方法从Rc产生安全等级为
c′的实例Rc′:
• 操作系统:数字设备公司的SEVMS VAX Version 6.0,惠普公司的HP-UX BLS release 9.0.9+
• 数据库:Oracle公司的Trusted Oracle 7, Sybase公司的Secure SQL Server version 11.0.6。
第六章多级数据库安全管理系统
Ø 空值完整性使用了归类关系,归类关系如下: 如果两元组t和s,如果属性Ai满足下列条件之 一,元组t包含元组s。 v 对于两元组t和s, 如果任何一个属性 t[Ai ,Ci] = s[Ai ,Ci]; v t[Ai]≠null且 s[Ai]=null,则称元组t包含元 组s 或 t归类于s。
第六章多级数据库安全管理系统
第六章多级数据库安全管理系统
6.4.2 多级关系
一、多级关系 Ø 传统的关系模式:R(A1,A2,……, An) Ø 多级关系模式:
R(A1,C1,A2,C2,……,An,Cn,TC) v 元组的安全级别:TC v 元组表示:t(a1,c1,a2,c2,……,an,cn,tc) v 元组t的安全标签:t[tc]. v 属性ai的安全标签:t[ci]. [例] Weapon多级关系表示。
Protection)
最小保护(Minimal Protection)
Ø 四组七个等级
Ø 按系统可靠或可信程 度逐渐增高
Ø 各安全级别之间具有 一种偏序向下兼容的 关系,即较高安全性 级别提供的安全保护 要包含较低级别的所 有保护要求,同时提 供更多或更完善的保 护能力。
第六章多级数据库安全管理系统
v 达到C2级的产品在其名称中往往不突出“安 全”(Security)这一特色
v 典型例子
• 操作系统:Microsoft的Windows NT 3.5,数字设备公司 的Open VMS VAX 6.0和6.1,linux系统的某些执行方法符 合C2级别。
• 数据库:Oracle公司的Oracle 7,Sybase公司的 SQL Server 11.0.6
第六章多级数据库安全管理系统
表1 原始Weapon多级关系 表2 Weapon U 级实例
第六章多级数据库安全管理系统
表1 原始Weapon多级关系 表3 原始Weapon S级实例
第六章多级数据库安全管理系统
Biblioteka Baidu
表4 Weapon TS级实例
第六章多级数据库安全管理系统
6.4.3 多级关系完整性
第六章多级数据库安全管理系统
等级说明:C2
Ø C2级(受控的存取保护级)
C2级达到企业级安全要求。可作为最低军用安全级别
v 提供受控的自主存取保护,将C1级的DAC进一步细 化,以个人身份注册负责,并实施审计(审计粒度 要能够跟踪每个主体对每个客体的每一次访问。对 审计记录应该提供保护,防止非法修改。)和资源 隔离,客体重用,记录安全性事件
• 操作系统:只有Trusted Information Systems公司的 Trusted XENIX一种产品
• 数据库:北京人大金仓信息技术股份有限公司的 KingbaseES V7产品
第六章多级数据库安全管理系统
等级说明:B3,A1
Ø B3级(安全区域保护级) v 该级的TCB必须满足访问监控器的要求,安全 内核,审计跟踪能力更强,并提供系统恢复过 程。即使计算机崩溃,也不会泄露系统信息。
第六章多级数据库安全管理系统
Ø 1991年4月美国NCSC(国家计算机安全中 心)颁布了《可信计算机系统评估标准 关于可信数据库系统的解释》 v 简称TDI,又称紫皮书 v 它将TCSEC扩展到数据库管理系统 v 定义了数据库管理系统的设计与实现 中需满足和用以进行安全性级别评估 的标准
第六章多级数据库安全管理系统
第六章多级数据库安全 管理系统
2020/11/27
第六章多级数据库安全管理系统
本章概要 6.1 安全数据库标准 6.2 多级安全数据库关键问题 6.3 多级安全数据库设计准则 6.4 多级关系数据模型 6.5 多实例 6.6 隐蔽通道分析
第六章多级数据库安全管理系统
6.1 安全数据库标准
6.1.1 可信计算机系统评测标准
第六章多级数据库安全管理系统
6.2 多级安全数据库关键问题
Ø 多级安全数据库关键问题包括: v 多级安全数据库体系结构 v 多级安全数据模型 v 多实例 v 元数据管理 v 并发事务处理 v 推理分析和隐蔽通道分析
第六章多级数据库安全管理系统
6.3 多级安全数据库设计准则
Ø 多级安全数据库设计准则如下: v 提供多级密级粒度 v 确保一致性和完整性 v 实施推理控制 v 防止敏感聚合 v 进行隐蔽通道分析 v 支持多实例 v 执行并发控制
Ø 一个多级关系R满足空值完整性,当且仅当 对R的每个实例Rc均满足下列两个条件: v 空值的安全级别与主键相同。 即对于所有的t∈Rc, t[Ai]=null => t[ci]=t[CAK] //空值对所有级别用户可见 v Rc不含有两个有包含关系的不同元组。 //不出现因为空值而导致的冗余元组
实例间完整性举例:例1 U级用户对表1过滤后得到表2
表1.多级关系“卫星” S级实例
表2.多级关系“卫星”过滤后U级实例
第六章多级数据库安全管理系统
Ø 1985年美国国防部(DoD)正式颁布《 DoD 可信计算机系统评估标准》 v 简称TCSEC或DoD85,TCSEC又称桔皮书
Ø TCSEC标准的目的 v 提供一种标准,使用户可以对其计算机系 统内敏感信息安全操作的可信程度做评估。
Ø 多级关系完整性: v 实体完整性 v 空值完整性 v 多级外码完整性与参照完整性 v 实例间完整性 v 多实例完整性
第六章多级数据库安全管理系统
一、实体完整性
设AK是定义在关系模式R上的外观主码,一个 多级关系满足实体完整性,当且仅当对R的所 有实例Rc与t∈Rc,有:
v Ai∈AK => t[Ai]≠null// 主码属性不能 为空
第六章多级数据库安全管理系统
等级说明:B1
Ø B1级(标签安全保护级) v 标记安全保护。“安全”(Security)或“可 信的”(Trusted)产品。 v 对系统的数据加以标记,对标记的主体和客 体实施强制存取控制(MAC)、对安全策略 进行非形式化描述,加强了隐通道分析,审 计等安全机制 v 典型例子
等级说明:D,C1
Ø D级(最小保护级) v 将一切不符合更高标准的系统均归于D组 v 典型例子:DOS是安全标准为D的操作系统 • DOS在安全性方面几乎没有什么专门的 机制来保障无身份认证与访问控制。
Ø C1级(自主安全保护级) v 非常初级的自主安全保护 v 能够实现对用户和数据的分离,进行自主 存取控制(DAC),保护或限制用户权限 的传播。早期的UNIX系统属于这一类。 v 这类系统适合于多个协作用户在同一个安 全级上处理数据的工作环境。
v Ai , Aj∈AK => t[Ci]=t[Cj]//主键各属 性安全等级一致,保证在任何级别上主键 都是完整的。
v Ai∈AK => t[Ci] >= t[CAK]//非码属性安
全等级支配键值,保证关系可见的任何级 别上,主键不可能为空。
第六章多级数据库安全管理系统
二、空值完整性
Ø 在多级关系中,空值有两种解释: v 一种确实为空。 v 另一种是实例的等级低于属性的等级使此属 性不可见,从而显示为空。
v 给计算机行业的制造商提供一种可循的指 导规则,使其产品能够更好地满足敏感应 用的安全需求。
第六章多级数据库安全管理系统
Ø TCB可信计算基:是Trusted Computing Base的简称,指的是计算机内保护装置 的总体,包括硬件、固件、软件和负责 执行安全策略管理员的组合体。它建立 了一个基本的保护环境并提供一个可信 计算机系统所要求的附加用户服务。
TDI/TCSEC标准的基本内容
➢ TDI与TCSEC一样,从四个方面来描述安 全性级别划分的指标 v 安全策略 v 责任 v 保证 v 文档
第六章多级数据库安全管理系统
TCSEC/TDI安全级别划分
安全级别
A1 B3 B2 B1 C2 C1 D
定义
验证设计(Verified Design)
安全域(Security Domains)
第六章多级数据库安全管理系统
➢多级参照完整性:
➢假设参照关系R1具有外观主码AK1, 外码FK1,被参照关系R2具有外观主 码AK2,多级关系R1的一个实例 r1 和多级关系R2的一个实例 r2满足参 照完整性,当且仅当
所有t11∈r1 , t11[FK1] ≠null ,
E t21∈r2 ,t11[FK1] = t21[AK2] Λ t11[TC]=
第六章多级数据库安全管理系统
6.4 多级关系数据模型
6.4.1 安全的特征
Ø 传统关系模型两个重要的完整性: v 实体完整性、引用完整性(参照完整性)。
Ø 多级关系数据模型三要素: v 多级关系、多级关系完整性约束及多级关系 操作。
Ø 多级安全模型需作的改进: v 多级安全模型:在传统关系模型基础上各种 逻辑数据对象强制赋予安全属性标签。 v 修改传统关系模型中关系的完整性及关系上 的操作。
Ø A1级(验证设计级)
v 验证设计,即提供B3级保护的同时给出系统的 形式化设计说明和验证以确信各安全保护真正 实现。这个级别要求严格的数学证明。
第六章多级数据库安全管理系统
说明
➢ B2以上的系统 v 还处于理论研究阶段 v 应用多限于一些特殊的部门如军队等 v 美国正在大力发展安全产品,试图将目前仅 限于少数领域应用的B2安全级别下放到商业 应用中来,并逐步成为新的商业标准。
等级说明:B2
Ø B2级(结构化保护级)
v 建立形式化的安全策略模型并对系统内的所有主体 和客体实施DAC和MAC,从主体到客体扩大到I/O设 备等所有资源。要求开发者对隐蔽信道进行彻底地 搜索。TCB划分保护与非保护部分,存放于固定区 内。
v 经过认证的B2级以上的安全系统非常稀少 v 典型例子
第六章多级数据库安全管理系统
Ø 安全标签粒度:是标识安全等级的最小逻辑对 象单位。
Ø 安全标签粒度级别:关系级、元组级及属性级。 Ø 安全粒度控制
v 按照不同的安全需求和实体类型,决定安全 控制的程度。
v 例如,对数据的存取,可以是关系级、元组 级及属性级。
Ø 粒度越细,控制越灵活,但所对应的操作越困 难和复杂。
❖所有 t∈Rc, t[CAK]≤c′,
∈ t′∈Rc′, 满足t′[AK,CAK]= t[AK,CAK].//主码保留 ❖所有Ai AK有
t′[Ai,Ci]=t[Ai,Ci] if t[Ci] ≤ c′ t′[Ai,Ci]=<null,t[CAK]> otherwise
➢ 消除Rc’的归类元组
E
第六章多级数据库安全管理系统
结构化保护(Structural Protection) 标 记 安 全 保 护 ( Labeled Security Protection) 受 控 的 存 取 保 护 ( Controlled Access
Protection)
自 主 安 全 保 护 ( Discretionary Security
第六章多级数据库安全管理系统
[例1] 多级关系违反了空值完整性
多级关系违反了空值完整性
第六章多级数据库安全管理系统
三、多级外码完整性与参照完整性
Ø 多级外码完整性: 假设FK是参照关系R的外码,多级关系R的一个实例 Rc满足外码完整性,当且仅当对所有的t∈Rc满足: v 或者(所有Ai∈FK) t[Ai] = null, 或者(所有Ai∈FK) t[Ai]≠null //外码属性全空或全非空 v Ai , Aj∈FK => t[Ci]=t[Cj]。 //外码的每个属性具有相同的安全级别
t21[TC]Λ t11[CFK1] ≥ t21[CAK2]。
➢外键的访问等级必须支配引用元组 中主键的访问等级。
第六章多级数据库安全管理系统
四、实例间完整性
➢多级关系Rc满足实例间完整性,当且仅 当对所有
c‘≤c,Rc′=σ( Rc,c′),其中过 滤函数σ按以下方法从Rc产生安全等级为
c′的实例Rc′:
• 操作系统:数字设备公司的SEVMS VAX Version 6.0,惠普公司的HP-UX BLS release 9.0.9+
• 数据库:Oracle公司的Trusted Oracle 7, Sybase公司的Secure SQL Server version 11.0.6。
第六章多级数据库安全管理系统
Ø 空值完整性使用了归类关系,归类关系如下: 如果两元组t和s,如果属性Ai满足下列条件之 一,元组t包含元组s。 v 对于两元组t和s, 如果任何一个属性 t[Ai ,Ci] = s[Ai ,Ci]; v t[Ai]≠null且 s[Ai]=null,则称元组t包含元 组s 或 t归类于s。
第六章多级数据库安全管理系统
第六章多级数据库安全管理系统
6.4.2 多级关系
一、多级关系 Ø 传统的关系模式:R(A1,A2,……, An) Ø 多级关系模式:
R(A1,C1,A2,C2,……,An,Cn,TC) v 元组的安全级别:TC v 元组表示:t(a1,c1,a2,c2,……,an,cn,tc) v 元组t的安全标签:t[tc]. v 属性ai的安全标签:t[ci]. [例] Weapon多级关系表示。
Protection)
最小保护(Minimal Protection)
Ø 四组七个等级
Ø 按系统可靠或可信程 度逐渐增高
Ø 各安全级别之间具有 一种偏序向下兼容的 关系,即较高安全性 级别提供的安全保护 要包含较低级别的所 有保护要求,同时提 供更多或更完善的保 护能力。
第六章多级数据库安全管理系统
v 达到C2级的产品在其名称中往往不突出“安 全”(Security)这一特色
v 典型例子
• 操作系统:Microsoft的Windows NT 3.5,数字设备公司 的Open VMS VAX 6.0和6.1,linux系统的某些执行方法符 合C2级别。
• 数据库:Oracle公司的Oracle 7,Sybase公司的 SQL Server 11.0.6
第六章多级数据库安全管理系统
表1 原始Weapon多级关系 表2 Weapon U 级实例
第六章多级数据库安全管理系统
表1 原始Weapon多级关系 表3 原始Weapon S级实例
第六章多级数据库安全管理系统
Biblioteka Baidu
表4 Weapon TS级实例
第六章多级数据库安全管理系统
6.4.3 多级关系完整性
第六章多级数据库安全管理系统
等级说明:C2
Ø C2级(受控的存取保护级)
C2级达到企业级安全要求。可作为最低军用安全级别
v 提供受控的自主存取保护,将C1级的DAC进一步细 化,以个人身份注册负责,并实施审计(审计粒度 要能够跟踪每个主体对每个客体的每一次访问。对 审计记录应该提供保护,防止非法修改。)和资源 隔离,客体重用,记录安全性事件
• 操作系统:只有Trusted Information Systems公司的 Trusted XENIX一种产品
• 数据库:北京人大金仓信息技术股份有限公司的 KingbaseES V7产品
第六章多级数据库安全管理系统
等级说明:B3,A1
Ø B3级(安全区域保护级) v 该级的TCB必须满足访问监控器的要求,安全 内核,审计跟踪能力更强,并提供系统恢复过 程。即使计算机崩溃,也不会泄露系统信息。
第六章多级数据库安全管理系统
Ø 1991年4月美国NCSC(国家计算机安全中 心)颁布了《可信计算机系统评估标准 关于可信数据库系统的解释》 v 简称TDI,又称紫皮书 v 它将TCSEC扩展到数据库管理系统 v 定义了数据库管理系统的设计与实现 中需满足和用以进行安全性级别评估 的标准
第六章多级数据库安全管理系统
第六章多级数据库安全 管理系统
2020/11/27
第六章多级数据库安全管理系统
本章概要 6.1 安全数据库标准 6.2 多级安全数据库关键问题 6.3 多级安全数据库设计准则 6.4 多级关系数据模型 6.5 多实例 6.6 隐蔽通道分析
第六章多级数据库安全管理系统
6.1 安全数据库标准
6.1.1 可信计算机系统评测标准
第六章多级数据库安全管理系统
6.2 多级安全数据库关键问题
Ø 多级安全数据库关键问题包括: v 多级安全数据库体系结构 v 多级安全数据模型 v 多实例 v 元数据管理 v 并发事务处理 v 推理分析和隐蔽通道分析
第六章多级数据库安全管理系统
6.3 多级安全数据库设计准则
Ø 多级安全数据库设计准则如下: v 提供多级密级粒度 v 确保一致性和完整性 v 实施推理控制 v 防止敏感聚合 v 进行隐蔽通道分析 v 支持多实例 v 执行并发控制
Ø 一个多级关系R满足空值完整性,当且仅当 对R的每个实例Rc均满足下列两个条件: v 空值的安全级别与主键相同。 即对于所有的t∈Rc, t[Ai]=null => t[ci]=t[CAK] //空值对所有级别用户可见 v Rc不含有两个有包含关系的不同元组。 //不出现因为空值而导致的冗余元组
实例间完整性举例:例1 U级用户对表1过滤后得到表2
表1.多级关系“卫星” S级实例
表2.多级关系“卫星”过滤后U级实例