多级安全数据库管理系统体系结构

多级安全数据库管理系统体系结构
1.体系结构的分类:
.高级运行结构
按运行的DBMS实例(进程)数目分类:
.可信主体结构
.完整性锁结构
.单DBMS进程
.核心化结构
.复制式结构
.多DBMS进程: 每个实例是不可信进 程，安全级各不同
多级安全数据库管理系统体系结构
1. 体系结构的分类: 按照TCB的范围来划分
低安全级用户
可信前端TFE 低安全级DBMS进程
可信操作系统 高安全级数据库分片 集中式体系结构示意图 低安全级数据库分片
3.2 集中式TCB子集DBMS体系结构
将多级关系分解为 单级关系
数据
Enterprise Rigel Voyager Mars 分解
安全级
Low High 恢复 Enterprise Rigel
3.4 可信主体DBMS
优点： (1)DBMS具备同时访问所有安全级上数据的能力，充 分利用了DBMS的数据处理能力，最小化了操作系统 处理负载 。 (2)可以处理更复杂的，包含多个访问控制级别的数 据访问，支持不同敏感级别的数据对象之间定义的完 整性约束，例如引用完整性约束。
缺点： (1)难以达到高的TCSEC评估的级别，难以证明软件 正确工作而不引起从高安全级到低安全级的数据流动
.具有自身独立的TCB，独立实现自主与强制访问控制
——可信主体DBMS
.DBMS TCB与外部TCB(安全OS或安全网络的TCB)共同构成完 整的TCB：两者之间存在依赖关系，强制访问控制依赖外部 TCB ——TCB子集结构，核心化和复制式结构 .完全依赖DBMS外封装的安全过滤层为TCB ——完整性锁结构 .依赖操作系统的TCB：完全依赖OS实现访问控制
单级用户前端
单级用户前端
不可信前端 可信前端过滤器 可信操作系统
不可信数据管理器
完整性锁体系结构示意图
3.3 完整性锁DBMS
3.3 完整性锁DBMS
(1)不可信前端进程与终端用户交互，负责完成查询 前后的处理，如查询的解析、优化、投影等，将最
终处理结果返回给用户。
(2)基于安全操作系统的可信过滤进程负责加密和解
题目3:多级安全数据库管理系统的实现方法并做报告 (限选7人)
要求: (1) 模拟在多级安全操作系统上,实现一个多级安全数据库管 理系统的可信前端TFE(只能给某一个安全级的用户使用)，采用集 中式TCB子集DBMS体系结构，不必做成服务模式。 (2) 将标记粒度是元素的表分解后保存在不同安全级的数据库中。 假设只有2个等级(普通、秘密) (3) 实现用户的管理和标记——因为没有多级安全操作系统 (4) 实现对固定表(可指定外键及值约束)、查询(恢复算法、带条件、 排序, 不含子查询)、修改、删除、插入(分解算法)语句 (5)实现BLP模型的“同级写”，假如高安全级用户要修改低安全 级数据怎么办？——从安全性角度出发的处理方法，并分析可能 存在的问题 (6) 允许多实例的存在
经过滤之后的结果
Enterprise Rigel
Low
3.3 完整性锁DBMS
存在推理问题：
3.3 完整性锁DBMS
优点：
(1)实现简单。用不可信的商用DBMS以数据库最高安 全级存储多级数据库，降低了由可信前端支持检索的 功能要求
(2)增强了对偶然的或恶意的数据更新的保护 缺点：
(1)安全性、可靠性差。加密技术的应用，需要管理密 钥，增加了TCB的复杂度。
优点:
(1)安全性高: 可信安全OS负责强制访问控制，可以实现比 DBMS本身的安全级别更高的多级安全DBMS，作为一个整 体可以达到OS所能够提供的安全级别; (2) 可靠性好: 减少了TCB的大小和复杂程度. 缺点: (1) OS 负载过大，系统性能表现差; (2) OS能够支持的并发进程数目有限，一定程度上限制了安全 标签的范围; ห้องสมุดไป่ตู้3) 不同级别的DBMS共享数据，容易形成隐通道.
3.1 可信DBMS的抽象体系结构
1.TCB子集DBMS体系结构：TCB处在DBMS的外部，利用 安全操作系统的强制访问控制机制对数据库对象进行强制访 问控制 (1) 特点 .多级DBMS实际上是由多个运行在安全OS不同安全级上的 单级DBMS的进程(实例)组成 .多级数据库被分解为多个单级的数据库，每一个数据库都 是一个概念上的多级数据库片段 .用户不是工作于多级别状态，而是OS TCB中的一个会话 级别，每个用户只与和他同级别的DBMS交互
复制式体系结构——提高性能的方法
.系统中的每个节点都存储数据副本，通过事务进行 数据访问 .复制数据库的两个重要问题： ..并发控制: 将并发的事务隔离 ..复制控制: 协调对不同副本的访问
复制式体系结构分为:
.全部数据复制的分布式体系结构 .部分数据复制的分布式体系结构
3.3 完整性锁DBMS
Mitre/Trudata SeaView/Oracle NRL
多级安全数据库管理系统的体系结构
2. 高级运行结构: DBMS进程运行在多级安全OS的最高
安全级进程上
.所有的数据库用户都工作在最高安全级，与数据的安全级相同，
数据库中的数据信息作为整体或多个实体存在于OS最高安全级对
象中 .所有流出系统最高安全级的数据都必须经人工检查之后再发布 总结: 完全依赖OS TCB，实际上数据库中的数据内容不分级的
密对象及其标记，标识数据管理进程返回的数据子
集，实现对这些数据子集的访问。假设数据库对象 是元组，可信过滤器对每个元组及其标记用一个加 密算法产生密码效验和，从而用元组的安全级对元 组加密封缄。
3.3 完整性锁DBMS
数据 封缄
Enterprise Rigel Voyager Mars
Low High
3.2 集中式TCB子集DBMS体系结构
采用该体系结构的原型系统和商用系统： SeaView DBMS LDV DBMS
ORACLE 的 OS MAC模式 可以达到TCSEC规定的A1级要求 这几个系统都为用户提供了多级数据库的概 念视图，具有元素级的标记粒度
3.2 集中式TCB子集DBMS体系结构
多级安全数据库管理系统的体系结构
2. 高级运行结构: DBMS进程运行在多级安全OS系统
的最高安全级的进程上
优点：简单，易于实现；已有的C2 级DBMS不必经过任
何修改 存在的问题： .费用开销大 .更多的人指定为系统最高安全级导致信息泄露的危险 .手工发布信息的低效
DBMS体系结构
有三种： .核心化的方法 .完整性锁方法 .复制数据的方法
第三章
多级安全数据库管理系统
体系结构
华中科技大学计算机学院
多级安全数据库管理系统体系结构
体系结构设计的重要性: DBMS与OS的结合方式
.目标为某个安全等级的多级DBMS，需要有同安全等级或更高
安全等级的OS的支持，否则多级DBMS自身的运行将失去保
障 .多级DBMS通过某种特殊体系结构的选择和OS所提供的安全 功能密切结合，尽管自身无法达到某个安全等级，但通过有效 地利用底层OS的安全特性，仍可以达到OS的安全等级
.封缄不可伪造，即只有可信前端过滤器能够产生正确的 封缄 .封缄是通过加密产生的，密钥只有可信前端过滤器知道 .通过加密封缄，可以判断数据是否被篡改过——不能防 止这一行为
.响应结果被正确的封缄过滤，但是不足以保证安全性
3.3 完整性锁DBMS
.高安全级用户查询：所有的数据 数据 封缄 Low High 封缄
多级安全数据库管理系统体系结构总结
(1) 以系统最高安全级的进程运行 (2) 5种多级安全DBMS的体系结构
.核心化的方法(Hink-Schaefer)
.复制数据的体系结构 .完整性锁方法 .可信主体体系结构 .高级运行结构
多级安全数据库管理系统体系结构
1.体系结构的分类——不同多级安全数据库体系结构对比
体系结构名称 是否为可 信主体 DBMS实例 数目 TCB位置 原型系统/ 商业产品
ASD/Oracle, Sybase, DM
高级运行
否
单
可信主体 完整性锁 集中/核心
分布/复制
是 否 否
否
单 单 多
多
操作系统 DBMS 过滤层 操作系统 OS/网络
(2)查询优化，子查询处理，投影运算都必须在TFE或 者UFE中实现 (3)最高评估级别达到B1
3.4 可信主体DBMS
.DBMS运行在安全操作系统之上，安全操作
系统提供DBMS代码的分离和数据库访问
.所有对数据库的访问必须通过可信DBMS， DBMS在一个或多个文件中存储多级数据库； .所有的DBMS数据都以DBMS标记存储。
.多级DBMS有一定的访问控制权，但是OS对于DBMS访问 数据的操作实行完全的访问控制
3.1 可信DBMS的抽象体系结构 TCB子集DBMS方法
2. 两种变形
(1)集中式TCB子集DBMS体系结构
(2)复制数据的体系结构
3.2 集中式TCB子集DBMS体系结构
高安全级用户
可信前端TFE 高安全级DBMS进程
多级关系
LOW 单级关系
HIGH
Voyager
Mars
3.2 集中式TCB子集DBMS体系结构
特点：
.在强制访问控制方面和底层的操作系统一样安全；
.数据存储集中。数据库内容按级别分解后，作为 OS的对象集中保存在安全OS中，任何级别的数据 在数据库中只保存一份； .运行进程集中。不同级别的DBMS进程实例运行在 同一个安全OS中
不可信DBMS返回 的结果
Enterprise Rigel Voyager Mars 数据
经过滤之后的结果
Enterprise Rigel Voyager Mars
Low High
3.3 完整性锁DBMS
.低安全级用户查询：所有的数据 数据 封缄 Low High 封缄
不可信DBMS返回 的结果
Enterprise Rigel Voyager Mars 数据