第六章 多级数据库安全管理系统

17

安全标签粒度：是标识安全等级的最小逻辑对 象单位。
安全标签粒度级别：关系级、元组级及属性级。
安全粒度控制
按照不同的安全需求和实体类型，决定安全
控制的程度。
例如，对数据的存取，可以是关系级、元组
级及属性级。

粒度越细，控制越灵活，但所对应的操作越困 难和复杂。
18
6.4.2 多级关系
第六章 多级安全数据库 管理系统
1
本 章 概 要
6.1 6.2 6.3 6.4 6.5
安全数据库标准 多级安全数据库关键问题 多级安全数据库设计准则 多级关系数据模型 多实例
6.6 隐蔽通道分析
2
6.1 安全数据库标准
6.1.1 可信计算机系统评测标准
为降低进而消除对系统的安全攻击，各国引
用或制定了一系列安全标准
16
6.4 多级关系数据模型
6.4.1 安全的特征
传统关系模型两个重要的完整性： 实体完整性、引用完整性（参照完整性）。 多级关系数据模型三要素： 多级关系、多级关系完整性约束及多级关系 操作。 多级安全模型需作的改进： 多级安全模型：在传统关系模型基础上各种 逻辑数据对象强制赋予安全属性标签。 修改传统关系模型中关系的完整性及关系上 的操作。
6.0，惠普公司的HP-UX BLS release 9.0.9+ 数据库：Oracle公司的Trusted Oracle 7， Sybase公司的Secure SQL Server version 11.0.6。
11
等级说明：B2

B2级（结构化保护级）
建立形式化的安全策略模型并对系统内的所有主体
Protection） Protection）
C2
C1 D
自主安全保护 （ Discretionary Security 最小保护（Minimal Protection）
四组七个等级 按系统可靠或可信程 度逐渐增高 各安全级别之间具有 一种偏序向下兼容的 关系，即较高安全性 级别提供的安全保护 要包含较低级别的所 有保护要求，同时提 供更多或更完善的保 护能力。
心）颁布了《可信计算机系统评估标准 关于可信数据库系统的解释》
简称TDI，又称紫皮书 它将TCSEC扩展到数据库管理系统 定义了数据库管理系统的设计与实现
中需满足和用以进行安全性级别评估 的标准
6
TDI/TCSEC标准的基本内容
TDI与TCSEC一样，从四个方面来描述安
全性级别划分的指标

或者（所有Ai∈FK） t[Ai] = null，
或者（所有Ai∈FK） t[Ai]≠null
//外码属性全空或全非空

Ai , Aj∈FK => t[Ci]＝t[Cj]。
//外码的每个属性具有相同的安全级别
28
多级参照完整性： 假设参照关系R1具有外观主码AK1，
外码FK1，被参照关系R2具有外观主 码AK2，多级关系R1的一个实例 r1 和多级关系R2的一个实例 r2满足参 照完整性，当且仅当 所有t11∈r1 , t11[FK1] ≠null ,
多级安全数据库关键问题包括：
多级安全数据库体系结构
多级安全数据模型 多实例 元数据管理 并发事务处理 推理分析和隐蔽通道分析
15
6.3 多级安全数据库设计准则
多级安全数据库设计准则如下： 提供多级密级粒度
确保一致性和完整性
实施推理控制 防止敏感聚合 进行隐蔽通道分析 支持多实例 执行并发控制

wenku.baidu.com
TCSEC (桔皮书)

TDI (紫皮书)
3
1985年美国国防部（DoD）正式颁布《
DoD
可信计算机系统评估标准》 简称TCSEC或DoD85，TCSEC又称桔皮书 TCSEC标准的目的 提供一种标准，使用户可以对其计算机系 统内敏感信息安全操作的可信程度做评估。
给计算机行业的制造商提供一种可循的指
一、多级关系


传统的关系模式：R(A1,A2,„„, An)
多级关系模式： R(A1,C1,A2,C2,„„,An,Cn,TC)
元组的安全级别:TC 元组表示：t(a1,c1,a2,c2,„„,an,cn,tc)
元组t的安全标签：t[tc].
属性ai的安全标签：t[ci].
[例] Weapon多级关系表示。
8
等级说明：D，C1
D级（最小保护级）
将一切不符合更高标准的系统均归于D组
典型例子：DOS是安全标准为D的操作系统
DOS在安全性方面几乎没有什么专门 的 机制来保障无身份认证与访问控制。 C1级（自主安全保护级） 非常初级的自主安全保护 能够实现对用户和数据的分离，进行自主 存取控制（DAC），保护或限制用户权限 的传播。早期的UNIX系统属于这一类。 9 这类系统适合于多个协作用户在同一个安

25

一个多级关系R满足空值完整性，当且仅当 对R的每个实例Rc均满足下列两个条件：

空值的安全级别与主键相同。
即对于所有的t∈Rc,
t[Ai]＝null => t[ci]＝t[CAK]
//空值对所有级别用户可见

Rc不含有两个有包含关系的不同元组。 //不出现因为空值而导致的冗余元组
26
[例1] 多级关系违反了空值完整性
形式化设计说明和验证以确信各安全保护真正 实现。这个级别要求严格的数学证明。
13
说明

B2以上的系统
还处于理论研究阶段
应用多限于一些特殊的部门如军队等
美国正在大力发展安全产品，试图将目前仅
限于少数领域应用的B2安全级别下放到商业 应用中来，并逐步成为新的商业标准。
14
6.2 多级安全数据库关键问题
19
表1 原始Weapon多级关系
wname Gun1 C1 U Range 1 C2 U Quan tity 5000 C3 U TC U
Gun2 Missile1 Missile2
U S TS
2 100 150
U S TS
1000 300 50
S TS TS
S TS TS
表2 Weapon U 级实例
和客体实施DAC和MAC，从主体到客体扩大到I/O设 备等所有资源。要求开发者对隐蔽信道进行彻底地 搜索。TCB划分保护与非保护部分，存放于固定区 内。
经过认证的B2级以上的安全系统非常稀少 典型例子 操作系统：只有Trusted Information Systems公司的 Trusted XENIX一种产品

数据库：北京人大金仓信息技术股份有限公司的 KingbaseES V7产品
12
等级说明：B3，A1

B3级（安全区域保护级）
该级的TCB必须满足访问监控器的要求，安全
内核，审计跟踪能力更强，并提供系统恢复过 程。即使计算机崩溃,也不会泄露系统信息。 A1级（验证设计级）
验证设计，即提供B3级保护的同时给出系统的


Ai∈AK => t[Ai]≠null// 主码属性不能 为空
Ai , Aj∈AK => t[Ci]＝t[Cj]//主键各属 性安全等级一致，保证在任何级别上主键 都是完整的。

Ai ∈ AK => t[Ci] >= t[CAK]//非码属性安 全等级支配键值，保证关系可见的任何级 别上，主键不可能为空。
wname
Gun1 Gun2
C1
U U
Range
1 2
C2
U U
Quan tity 5000
null
C3
U U
TC
U U
20
表1 原始Weapon多级关系 wname
Gun1 Gun2 Missile1 Missile2
C1
U U S TS
Range
1 2 100 150
C2
U U S TS
Quan tity 5000 1000 300
多级关系违反了空值完整性
wname Gun2 Gun2 C1 U U Range 2 2 C2 U U Quan tity null 3000 C3 U S TC U S
27
三、多级外码完整性与参照完整性

多级外码完整性： 假设FK是参照关系R的外码，多级关系R的一个实例 Rc满足外码完整性，当且仅当对所有的t∈Rc满足：

等级说明：C2

C2级（受控的存取保护级） C2级达到企业级安全要求。可作为最低军用安全级别 提供受控的自主存取保护，将C1级的DAC进一步细 化，以个人身份注册负责，并实施审计（审计粒度 要能够跟踪每个主体对每个客体的每一次访问。对 审计记录应该提供保护，防止非法修改。）和资源 隔离，客体重用，记录安全性事件
10
等级说明：B1

B1级（标签安全保护级） 标记安全保护。“安全”(Security)或“可 信的”(Trusted)产品。
对系统的数据加以标记，对标记的主体和客
体实施强制存取控制（MAC）、对安全策略 进行非形式化描述，加强了隐通道分析，审 计等安全机制 典型例子
操作系统：数字设备公司的SEVMS VAX Version
50
C3
U S TS TS
TC
U S TS TS
表3 原始Weapon S级实例 wname Gun1 C1 U Range 1 C2 U Quan tity 5000 C3 U TC U
Gun2 Missile1
U S
2 100
U S
1000 null
S S
S S
21
表4 Weapon TS级实例 wname Gun1 C1 U Range 1 C2 U Quan tity 5000 C3 U TC U
导规则，使其产品能够更好地满足敏感应 用的安全需求。
4

TCB可信计算基：是Trusted Computing Base的简称，指的是计算机内保护装置 的总体，包括硬件、固件、软件和负责 执行安全策略管理员的组合体。它建立 了一个基本的保护环境并提供一个可信 计算机系统所要求的附加用户服务。
5
1991年4月美国NCSC（国家计算机安全中
安全策略 责任 保证 文档
7
TCSEC/TDI安全级别划分
安全级别
定
义
A1 B3 B2 B1
验证设计（Verified Design） 安全域（Security Domains） 结构化保护（Structural Protection） 标记安全保护（Labeled Security Protection） 受控的存取保护（Controlled Access
E t21∈r2 ,t11[FK1] = t21[AK2] Λ t11[TC]= t21[TC]Λ t11[CFK1] ≥ t21[CAK2]。
外键的访问等级必须支配引用元组
中主键的访问等级。
29
四、实例间完整性
多级关系Rc满足实例间完整性，当且仅
当对所有
c‘≤c，Rc′=σ( Rc，c′)，其中过
所有
t∈Rc, t[CAK]≤c′, t′∈Rc′， 满足t′[AK,CAK]= t[AK,CAK].//主码保留 所有Ai AK有
∈
t′[Ai,Ci]=t[Ai,Ci] if t[Ci] ≤ c′ t′[Ai,Ci]=<null,t[CAK]> otherwise

消除Rc’的归类元组
达到C2级的产品在其名称中往往不突出“安
全”(Security)这一特色 典型例子
操作系统：Microsoft的Windows NT 3.5，数字设备公司
的Open VMS VAX 6.0和6.1，linux系统的某些执行方法符 合C2级别。 数据库：Oracle公司的Oracle 7，Sybase公司的 SQL Server 11.0.6
Gun2 Missile1 Missile2
U S TS
2 100 150
U S TS
1000 300 50
S TS TS
S TS TS
22
6.4.3 多级关系完整性
多级关系完整性： 实体完整性 空值完整性 多级外码完整性与参照完整性 实例间完整性 多实例完整性
23
一、实体完整性
设AK是定义在关系模式R上的外观主码，一个 多级关系满足实体完整性，当且仅当对R的所 有实例Rc与t∈Rc,有：
24
二、空值完整性
在多级关系中，空值有两种解释: 一种确实为空。 另一种是实例的等级低于属性的等级使此属 性不可见，从而显示为空。 空值完整性使用了归类关系，归类关系如下： 如果两元组t和s，如果属性Ai满足下列条件之 一，元组t包含元组s。 对于两元组t和s, 如果任何一个属性 t[Ai ,Ci] ＝ s[Ai ,Ci]; t[Ai]≠null且 s[Ai]＝null，则称元组t包含元 组s 或 t归类于s。