数据库安全策略
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
10
➢ 简单的实例说明如何用SPSL描述自主访 问控制策略。假定 o∈O,s1∈S,s2∈S,s3∈S,g∈G,others=G -g,自主访问控制策略可表示为:
❖ 客体属主访问规则:cando(s1,o,a) ←owner(o,s1)。
❖ 同组用户访问规则:cando(s2,o,a’) ← cando(g,o,a)&in(s1,g)&in(s2,g) 。
❖ 角色(Role):在系统中进行特定活动 所需权限的集合。角色可以被主体激 活,主体可以同时担任不同的角色。 角色一般记为R={r1,…,rn}。
❖ 任务(Task):任务一般记为 TK={tk1,…,tkn}。
❖ 转换过程(TP,Tansformation procedure):可以是通常的读、写操 作或一系列简单操作组合形成的特定 应用过程。
4
❖ 保证数据库的完整性。数据库的完整 性包括物理完整性、逻辑完整性和元 素完整性。物理完整性是指存储介质 和运行环境的完整性。逻辑完整性主 要有实体完整性和引用完整性。元素 完整性是指数据库元素的正确性和准 确性。
5
5.2 安全策略语言
➢ 安全策略语言用来描述定义不同层次的 安全策略。
6
5.2.1 安全策略基本元素
19
➢ 主体集S、客体集O、主体访问等级 sclass、客体访问等级oclass和访问模 式集合A(s,o)都是安全模型的状态变量 。系统在任一时刻的状态可定义为状态 变量的集合: State={S,O,sclass,oclass,A}。
➢ 安全策略定义语言具有以下一些基本概 念与标记 ❖ 主体(Subject):系统中的活动实体 ,主体在系统中的活动受安全策略控 制。主体一般记为S={s1,…,sn}。 ❖ 客体(Object):是系统中的被动实 体,每个客体可以有自己的类型。客 体一般记为O={o1,…,on}。
7
❖ 类型(Type):每个客体都可以有自己 的类型。
❖ 其他人访问规则:cando(s3,o,a”) ← cando(others,o,a’)&
﹁in(s3,g) 。
11
5.3 安全策略模型
➢ 安全模型的作用是在一个安全策略中, 描述策略控制实体并且声明构成策略的 规则。
12
5.3.1 状态机模型
➢ 状态机模型将系统描述为一个抽象的数 学状态机。在这种模型里,状态变量表 示机器的状态,随着系统的运行而不断 地变化。
3
➢ 数据库系统至少具有以下一些安全策略
❖ 保证数据库的存在安全。确保数据库 系统的安全首先要确保数据库系统的 存在安全。
❖ 保证数据库的可用性。数据库管理系 统的可用性表现在两个方面:一是需 要阻止发布某些非保护数据以防止敏 感数据的泄漏;二是当两个用户同时 请求同一纪录时进行仲裁。
❖保障数据库系统的机密性。主要包括 用户身份认证、访问控制和可审计性 等。
➢ SPSL的谓词有13个:
cando(st,ot,sat),decando(st,ot,sat),do( s,o,sat),done(s,o,at),fail(s,o,at),din (s1,s2),in(s1,s2),cooper(e1,e2),conflic t(e1,e2),super(e1,e2),owner(e1,e2),type of(e,t)和spof(e)。
第五章 数据库安全策略
1
本章概要
5.1 安全策略的定义 5.2 安全策略语言 5.3 安全策略模型 5.4 安全策略模型特性分析 5.5 安全策略的执行 5.6 关系数据库的授权机制
2
5.1 安全策略的定义
➢ 安全策略:是粗线条描述安全需求以及规 则的说明,是一组规定如何管理、保护 和指派敏感信息的法律、规则及实践经 验的集合。
8
5.2.2 SPSL
➢ SPSL是一种策略规范语言,它的主要目 的是描述安全操作系统中使用的安全策 略,即授权决策策略。授权决策是一个 从请求到决策的映射AD={(q,d)|q ∈Q,d ∈D},其中,Q是请求集,D是决策集。
9
➢ SPSL属于逻辑语言,主要由常量、变 量和谓词三部分组成。主体集S、客体 集O、动作集A和访问权限集SA均是 SPSL的常量。SPSL的变量包括四个集 合:Vs、Vo、Va、Vsa分别表示主体、 客体、动作和带符号访问权限的变量 集合。分别用st,ot,at和sat表示四 个集合中的项。
➢ 状态转移函数是对系统调用的抽象表示 ,精确地描述了状态的变化情况。主体 和客体被模拟为集合S和O的函数。
13
➢ 下图是一个简单的状态机模型:
➢
A
q0
q1
Leabharlann Baidu
A
B
B
BB
A
qs
qr
➢
A
有机状态机模型
14
➢ 开发一个状态机安全模型一般具有以下 一些步骤 ❖ 定义与安全有关的状态变量。 ❖定义安全状态需满足的条件是静态表 达式,表达了在状态转移期间,状态 变量值之间必须保持的关系。 ❖ 定义状态转移函数。 ❖ 证明转移函数能供维持安全状态。 ❖ 定义系统运行的初始状态,并用安全 状态的定义证明初始状态是安全的。
17
➢ 根据上述对应关系,给定安全策略可以 进一步表示: (1)当且仅当主体的访问等级高于客体 的访问等级时,可以对客体进行读操作 。 (2)当且仅当主体的访问等级低于客体 的访问等级时,可以对客体进行写操作 。
18
➢ 将这些与安全相关的状态变量符号化: 主体用S表示,客体用O表示,访问等级 用class表示,主体s的访问等级表示为 sclass(s),客体o的访问等级表示为 oclass(o),A(s,o)为访问模式集合,则 安全策略的形式化描述为: (1)sclass(s)>oclass(o)=>r∈A(s,o) (2)sclass(s)<oclass(o)=>w∈A(s,o)
15
➢ 转换函数的例子: Create-object(o,c) If o ∈O Then O’=O ∪{o}and oclass’(o)=c and s∈S,A’(s,o)= ф
16
➢ 采用有限状态机为某种安全策略构造安 全模型的例子: 假设安全策略为: (1)当且仅当用户的认证等级高于文件 的安全等级时,可以对文件进行读操作。 (2)当且仅当用户的认证等级低于文件 的安全等级时,可以对文件进行写操作 。 将其“翻译”成计算机语言。
➢ 简单的实例说明如何用SPSL描述自主访 问控制策略。假定 o∈O,s1∈S,s2∈S,s3∈S,g∈G,others=G -g,自主访问控制策略可表示为:
❖ 客体属主访问规则:cando(s1,o,a) ←owner(o,s1)。
❖ 同组用户访问规则:cando(s2,o,a’) ← cando(g,o,a)&in(s1,g)&in(s2,g) 。
❖ 角色(Role):在系统中进行特定活动 所需权限的集合。角色可以被主体激 活,主体可以同时担任不同的角色。 角色一般记为R={r1,…,rn}。
❖ 任务(Task):任务一般记为 TK={tk1,…,tkn}。
❖ 转换过程(TP,Tansformation procedure):可以是通常的读、写操 作或一系列简单操作组合形成的特定 应用过程。
4
❖ 保证数据库的完整性。数据库的完整 性包括物理完整性、逻辑完整性和元 素完整性。物理完整性是指存储介质 和运行环境的完整性。逻辑完整性主 要有实体完整性和引用完整性。元素 完整性是指数据库元素的正确性和准 确性。
5
5.2 安全策略语言
➢ 安全策略语言用来描述定义不同层次的 安全策略。
6
5.2.1 安全策略基本元素
19
➢ 主体集S、客体集O、主体访问等级 sclass、客体访问等级oclass和访问模 式集合A(s,o)都是安全模型的状态变量 。系统在任一时刻的状态可定义为状态 变量的集合: State={S,O,sclass,oclass,A}。
➢ 安全策略定义语言具有以下一些基本概 念与标记 ❖ 主体(Subject):系统中的活动实体 ,主体在系统中的活动受安全策略控 制。主体一般记为S={s1,…,sn}。 ❖ 客体(Object):是系统中的被动实 体,每个客体可以有自己的类型。客 体一般记为O={o1,…,on}。
7
❖ 类型(Type):每个客体都可以有自己 的类型。
❖ 其他人访问规则:cando(s3,o,a”) ← cando(others,o,a’)&
﹁in(s3,g) 。
11
5.3 安全策略模型
➢ 安全模型的作用是在一个安全策略中, 描述策略控制实体并且声明构成策略的 规则。
12
5.3.1 状态机模型
➢ 状态机模型将系统描述为一个抽象的数 学状态机。在这种模型里,状态变量表 示机器的状态,随着系统的运行而不断 地变化。
3
➢ 数据库系统至少具有以下一些安全策略
❖ 保证数据库的存在安全。确保数据库 系统的安全首先要确保数据库系统的 存在安全。
❖ 保证数据库的可用性。数据库管理系 统的可用性表现在两个方面:一是需 要阻止发布某些非保护数据以防止敏 感数据的泄漏;二是当两个用户同时 请求同一纪录时进行仲裁。
❖保障数据库系统的机密性。主要包括 用户身份认证、访问控制和可审计性 等。
➢ SPSL的谓词有13个:
cando(st,ot,sat),decando(st,ot,sat),do( s,o,sat),done(s,o,at),fail(s,o,at),din (s1,s2),in(s1,s2),cooper(e1,e2),conflic t(e1,e2),super(e1,e2),owner(e1,e2),type of(e,t)和spof(e)。
第五章 数据库安全策略
1
本章概要
5.1 安全策略的定义 5.2 安全策略语言 5.3 安全策略模型 5.4 安全策略模型特性分析 5.5 安全策略的执行 5.6 关系数据库的授权机制
2
5.1 安全策略的定义
➢ 安全策略:是粗线条描述安全需求以及规 则的说明,是一组规定如何管理、保护 和指派敏感信息的法律、规则及实践经 验的集合。
8
5.2.2 SPSL
➢ SPSL是一种策略规范语言,它的主要目 的是描述安全操作系统中使用的安全策 略,即授权决策策略。授权决策是一个 从请求到决策的映射AD={(q,d)|q ∈Q,d ∈D},其中,Q是请求集,D是决策集。
9
➢ SPSL属于逻辑语言,主要由常量、变 量和谓词三部分组成。主体集S、客体 集O、动作集A和访问权限集SA均是 SPSL的常量。SPSL的变量包括四个集 合:Vs、Vo、Va、Vsa分别表示主体、 客体、动作和带符号访问权限的变量 集合。分别用st,ot,at和sat表示四 个集合中的项。
➢ 状态转移函数是对系统调用的抽象表示 ,精确地描述了状态的变化情况。主体 和客体被模拟为集合S和O的函数。
13
➢ 下图是一个简单的状态机模型:
➢
A
q0
q1
Leabharlann Baidu
A
B
B
BB
A
qs
qr
➢
A
有机状态机模型
14
➢ 开发一个状态机安全模型一般具有以下 一些步骤 ❖ 定义与安全有关的状态变量。 ❖定义安全状态需满足的条件是静态表 达式,表达了在状态转移期间,状态 变量值之间必须保持的关系。 ❖ 定义状态转移函数。 ❖ 证明转移函数能供维持安全状态。 ❖ 定义系统运行的初始状态,并用安全 状态的定义证明初始状态是安全的。
17
➢ 根据上述对应关系,给定安全策略可以 进一步表示: (1)当且仅当主体的访问等级高于客体 的访问等级时,可以对客体进行读操作 。 (2)当且仅当主体的访问等级低于客体 的访问等级时,可以对客体进行写操作 。
18
➢ 将这些与安全相关的状态变量符号化: 主体用S表示,客体用O表示,访问等级 用class表示,主体s的访问等级表示为 sclass(s),客体o的访问等级表示为 oclass(o),A(s,o)为访问模式集合,则 安全策略的形式化描述为: (1)sclass(s)>oclass(o)=>r∈A(s,o) (2)sclass(s)<oclass(o)=>w∈A(s,o)
15
➢ 转换函数的例子: Create-object(o,c) If o ∈O Then O’=O ∪{o}and oclass’(o)=c and s∈S,A’(s,o)= ф
16
➢ 采用有限状态机为某种安全策略构造安 全模型的例子: 假设安全策略为: (1)当且仅当用户的认证等级高于文件 的安全等级时,可以对文件进行读操作。 (2)当且仅当用户的认证等级低于文件 的安全等级时,可以对文件进行写操作 。 将其“翻译”成计算机语言。