江蘇大學 碩士學位論文 基于組合訪問控制的安全數據庫設計 姓名 邵學軍 申請學位級別 碩士 專業 計算機應用 指導教師 鞠時光 20040901 為 J j 學幀I 學他畢業論文 摘要 安全對象關系數據庫是當前信息安全研究的一個重要分支 具有廣泛的應用 前景 該領域的研究具有強烈地域性和保密性 信息技術發達國家對我國一直施 行尖端安全產品禁止輸出策略 數據庫安全產品亦在其列 因此 研究和開發自 主的安全數據庫產品是進行自主信息保護的一個重要手段 本文就安全對象關系數據庫進行了深入的研究 對安全對象關系數據庫的安 全策略 安全模型 安全設計和安全數據庫的實現進行了深入的討論 提供了一 個較為完整的邏輯設計方案 并在此基礎上實現安全對象關系數據庫系統 V I S T A 本文針對傳統的安全模型進行分析和改進 提出了一種新的安全模型T D M 并設計了該模型相應的規則組 T D M 安全規則從安全定義 數據安全訪問 數 據完整性 沖突協調四個方面對T D M 安全模型進行了嚴格的定義 為模型的實 現提供了依據 同時 通過T D M 模型與傳統安全模型的兼容性論證 說明了T D M 模型的可行性和合理性 本文簡要介紹了項目組設計開發的安全對象關系數據庫系統 v l S T A 從 安全存儲機制 安全數據模式 安全訪問和審計設計四個方面 對V I S T A 的設 計方案進行了闡述 首次提出了可組合安全訪問控制方案 根據具體安全訪問控 制需求 對自主訪問控制 強制訪問控制和角色訪問控制三種傳統的訪問控制方 案進行合理的改進和設計 使之可以自由組合 以適合不同安全強度的實際應用 的需要 本工作在理論上具備以下創新點 1 提出了新的安全模型 T D M 2 第一次提出了可組合安全訪問控制策略 3 對傳統的自主安全訪問控制和角色訪問控制進行了改進 增強了其安全輅 制的約束 在自差安全訪問控制中增加了有效時間域 將角色域分解為業務域和 職責域 使得訪問策略更貼近和適合實際需要 關鍵詞 安全模型 安全規 1 0 數據庫管理系統 訪問控制 審計 安全存儲 交令對象關系數據庫研究和改汁 A B S T R A C T 1 1 1 es e c u r i t yo b j e c t r e l a t i o n a ld a t e b a s ei sa l l i m p o r t a n tb r a n c ho ft h ep r e s e n ts t u d yo f i n f o r m a t i o ns e c u r i t y I th a sb r o a da p p l i c a t i o nf o r e g r o u n d T h es t u d yi n t h i sr e g i o nh a ss t r o n g c h a r a c t e ro fd i s t r i c ta n ds e c r e c y T h ec o u n t r i e sw i t hd e v e l o p e di n f o r m a t i v et e c h n o l o g yh a v eb e e n p r o h i b i t i n gf i o me x p o r t i n gt h ea d v a n c e ds e c u r i t yp r o d u c t st oC h i n a i n c l u d i n gt h es e c u r i t y d a t e b a s ep r o d u c t s T h e r e b yi ti sa ni m p o r t a n tm e a nt os t u d ya n dd e v e l o pt h es e c u r i t yd a t e b a s e p r o d u c t sf o rp r o t e c t i n go u rs e l f d e t e r m i n e di n f o r m a t i o n I nt h i st h e s i si tc a r r i e st h r o u g ha ne m b e d d e ds t u d yt Ot h ed a t e b a s es e c u r i t yp r o d u c t s I ta l s o h a sat h o r o u g h g o i n gd i s c u s s i o na b o u tt h es e c u r i t yp o l i c y s e c u r i t ym o d e l s e c u r i t yd e s i g na n d s e c u r i t yd a t e b a s e I tp r o v i d e sar e l a t i v e l yc o m p l e t el o g i c a ld e s i g n i n gb l u ep r i n ta n dr e a l i z e st h e s e c u r i t yo b j e c t r e l a t i o n a ld a t e b a s es y s t e m V I S T A T l l i st h e s i sa i m sa ta n a l y z i n ga n di m p r o v i n gt h et r a d i t i o n a ls e c u r i t ym o d e la n dc o l n c so u ta n e ws e c u r i t ym o d e l T D M I td e s i g n st h en e wm o d e l Sr e g u l a t eg r o u p T h eT D M Ss e c u r i t y r e g u l a t i o nd e f i n e si t Sm e a n i n gs t r i c t l yf r o mt h ef o u ra s p e c t sa st h es e c u r i t yd e f i n e s t h ed a t e s e c u r i t ya c c e s s d a t ei n t e g r a l i t ya n dt h ec o o r d i n a t i n go fc o n f l i c t i o n I tp r o v i d e st h eb a s i sf o rm o d e l r e a l i z i n g A tt h es a m et i m e t h i sa r t i c l ee x p l a i n st h ef e a s i b i l i t ya n dr a t i o n a l i t yt h r o u g ht h e d i s c u s s i n go nt h ec o m t g a t i b i l i t vo f T D Mm o d e l I ti n t r o d u c e st h es e c u r i t yo b j e c t r e l a t i o n a ld a t e b a s es y s t e mV I S T A w h i c hi sd e v e l o p e db y t h ed e s i g n i n gg r o u p I te x p a t i a t e st h ed e s i g n i n gb l u ep r i n to fV I S T Af r o mt h ef o u ra s p e c t sa s b e l o w t h es e c u r i t ys t o r a g em e c h a n i s m t h es e c u r i t yd a t am o d e l s e c u r i t ya c c e s sa n da u d i t d e s i g n i n g F o rt h e f t r s tt i m ei t p r o m o t e st h ec o m b i n a t o r i a ls e c u r i t ya c c e s sc o n t r o ld e s i g n A c c o r d i n gt ot h en e e do fs e c u r i t ya c c e s sc o n t r o li tg o e sa l o n gar a t i o n a la m e l i o r a t i o na n dd e s i g nt O t h et h r e ec o n v e n t i o n a ls e c u r i t yv i s i t i n gc o n t r o ld e s i g n s u c ha sd i s c r e t i o n a r ya c c e s sc o n t r o l m a n d a t o r ya c c e s sc o n t r o la n dr o l e b a s e da c c e s sc o n t r o l w h i c hC a nb ec o m b i n e df r e e l yi no r d e rt O f i tt h ep r a c t i c a la p p l i e dn e e do fd i f f e r e n ts e c u r i t yi n t e n s i t y T h e o r e t i c a l l yi th a ss o m eL r m o v a t e df e a t u r e si nt h i sa r t i c l e P u tf o r w a r dan e ws e c u r i t ym o d e l F i r s t l yp u tf o r w a r dc o m b i n a t o r i a ls e c u r i t ya c c e s sc o n t r o ld e s i g n I ti m p r o v e st h et r a d i t i o n a ld i s c r e t i o n a r ya c c e s sc o n t r o la n dr o l e b a s e da c c e s sc o n t r o la n d e n f o r c e si t sr e s t r i c t i o no fs e c u r i t yc o n t r o l w h i c hi n c r e a s e st h ee f f e c t i v ed o m a i ni nd i s c r e t i o n a r y a c c e s sc o n t r 0 1 I td e p a r t st h er o l ed o m a i ni n t oo p e r a t i o n a ld o m a i na n df u n c t i o n a ld o m a i n w h i c h m a k e st h ea c c s sp o l i c ym o r es u i t a b l et Ot h ep r a c t i c a ln e e d K e yW a r d s s e c u r i t ym o d e l s e c u r i t yr e g u l a t i o n a c c e s sc o n t r o l T h eD a t a B a s eM a n a g e m e n tS y s t e ma u d i t s e c u r i t ys t o r a g e 江茄 人學壩I j 學位畢業論文 第一章緒論 對數據庫安全的研究由來已久 尤其進入網絡時代 數據密集管理的安全問 題愈發突出 為保證國家安全 商業信息安全 各國及其大型l T 行業紛紛投入 大量經費從事數據庫安全項目研究 出于國家安全及其他緣由 一些信息技術大國對安全技術進行嚴格封鎖 對 這些技術的出口進行了嚴格的控制 由于技術的封鎖 以及安全技術的特征 為 保證信息的安全性 我們有必要開發自己的安全產品 本課題主要就對象關系數據的安全構架進行了基礎研究 1 1 對象關系型數據庫安全問題 一自上世紀8 0 年代起 基于對象的信息處理技術逐步為人們所接受 人們開 始廣泛研究如何以對象為基本信息單位 對信息進行存儲 處理 加工和應用 在此基礎上 對象關系數據庫技術運用而生 隨著網絡時代的到來 協同工作 多媒體技術 G l S 系統等越來越多采用對 象關系數據庫對數據進行存儲和管理 大對象 復雜對象的安全性引起了這些領 域的工作人員的關注 與此同時 數據庫攻擊者注意力也集中到對象關系數據庫 上 對象關系數據庫的安全問題屢見報端 因此 對象關系數據庫的安全防范問 題成為數據庫安全領域的一個備受關注的問題 對象關系數據庫由于其操作客體對象具有封閉性這一特征 人們往往主觀認 為其安全性高于關系型數據庫 然而 事實并非如此 對象關系數據庫可能存在 的安全問題并不會少于關系型數據庫 甚至 在特定環境中存在更多安全隱患 只是封閉性使得這些隱患更具有隱蔽性 封閉性是在一個原子單位中將數據和與其相聯系的操作連接起來 利用用戶 細節數據的隱藏和操作與應用分離 賦予數據關于其領域的完整性 有效性和一 致性 然而 從數據庫管理底層可能出現的對存儲媒體直接攻擊 到數據庫管理 的應用層 攻擊者借助對象提供的服務的安全缺陷對對象屬性值的攻擊 這些安 全悶題封閉性是無法解決的 同時 對象關系數據庫中的數據的原子單位 或記錄 的比特量一般遠大于關 系數據庫中的數據原子單位 這樣 攻擊者對信息的獲墩 篡改 刪除 統計分 析的安全攻擊的可能性就更大 對象關系數據瘁安令框架可以 般包括以一V J L 個安全部分 見劁1 1 數折 存儲安全 指數捌靠 存儲介質f 安傘存儲方 包括數槲的存儲規則 和數捌加密 如數掀庫的加密技術 多 爻例r J 題等 f 2 磁I j l li I 衍 奠個 i f 7 時數州的籀價 以雎仲 衙f r 1 杰0 J 1 f h 7 t z l i4 ri t J 4 奠會肘繯關系數據庫蚶亢嗣j 改汁 鏡像存儲技術 3 數據訪問安全 指用戶訪問數據庫的安全規則 如自主訪問控制 強制訪 問控制 基于角色的訪問控制等 4 事務安全 指數據庫管理系統根據在處理用戶訪問請求時 如何保證數據 的完整性 有效性 一致性和信息的不泄漏 如事務回滾 事務鎖等 5 對象解釋安全 指用戶在定義數據庫模式時 如何建立主客體問的安全訪 問規則 如安全視圖定義 在對象關系數據庫中 該部分的安全規則主要解決如 何與數據訪問安全規則組合使用 防止攻擊者借助對象提供的服務的安全缺陷對 對象屬性值的攻擊 圖1 1 對象關系數據庫安全框架的組成 上述五個部分中任何一個部分的安全缺陷 均會給對象關系數據庫的應用帶 來不良后果 為保證對象關系數據庫的安全使用 需要對上述方面進行深入研究 本文試圖通過對我們開發的安全空間數據V I S T A 設計思想的介紹 探討對象關系 數據庫的安全技術 1 2 國內外研究的現狀 數據庫技術從6 0 年代產生至今 已得到快速的發展和廣泛的應用 由于數 據庫系統是保管信息系統核心內容的關鍵工具 大量數據集中存放 擔負著R 益 艱巨的集中處理大量信息的任務 而且數據為許多用戶直接共享 是寶貴的信息 資源 從而使數據庫系統的安全性問題同漸突出 其安全保密研究無疑應當具有 極其重要的意義 伴隨著T C S E C 一 的發布 斟外的影f 究者們作了大量的研究 出現了一些高 安令 k 的蟓型系統 輳一 返止弩研究 茭 t 4 j i1 9 9 1f c 卜 發鉑i 了T C S E Cf t 數掘陣箭 邢系統的解釋T D I 為商川系統的Jr 發和i l f i 嗅定了j 硎 小1 j 將f J I 賊 f l 總結 I J J 外數j j l 踴i 發令發挺f 膏況 J f j f 芝薯 j 術術的發眨 匕鈴 a 蘇人掌形 I 學位畢業論文 1 2 1 國外安全數據庫研究狀況 國際上對數據庫安全研究起步較早 積累了豐富的理論經驗 自7 0 年代起 B e l l B i b a L a p a d u l a 和D e n n i n g 等人對信息安全進行了大量的基礎研究 提 出了多種系統安全模型 并在多個系統中得以實現 B e l l 等人的為實現數據庫安全提供了基礎 1 9 7 8 年 G u d e s 等人提出了數 據庫的多級安全模型 把計算機安全保密研究擴展到數據庫領域 1 9 8 6 年 D e n n i n g 等人提出了安全數據視圖模型 該模型是針對關系數據庫系統設計的 采用基于強制存取策略和自主存取策略控制對數據庫進行訪問控制 8 0 年代 美國國防部基于軍事計算機系統的保密需要 制訂了 可信計算機 系統安全評價準則 T C S E C f 5 形成了安全信息系統體系結構的最早原則 1 9 9 4 年 美國國家計算機安全中心 N C S C 頒布了T D I 即 可信計算機評 估標準在數據庫管理系統的解釋 8 1 它將T C S E C 擴展到數據庫管理系統 并 從安全策略 責任 保證和文檔四個方面進一步描述了每級的安全標準 這表明 到9 0 年代數據庫安全已引起足夠重視 按照T C S E C 標準 安全數據庫研究原型一般是指安全級別在B 1 級以上的 以科研為目的 尚未產品化的數據庫管理系統原型 至今美國已研究出達到 T C S E C 要求安全系統 包括安全操作系統 安全數據庫 安全網絡部件 的產 品多達1 0 0 多種 目前在國外已有不少上市的數據庫管理系統得到B 1 級的認證 如O r a c l e 公司的T r u s t e dO r a c l e7 S y b a s e 的S e c u r eS Q Ls e r v e rv e r s i o n1 1 0 6 等 而B 2 級及以上認證的安全數據庫產品尚屬少見 在美國的大型D B M S 中 多數產品已經通過美國N C S C 的安全認證 達到B 1 或相當于B 1 的級別 個別 的系統已達到B 2 級 另外還有一些具有高安全級別的數據庫原型 如 安全數 據視圖原型和A 1 安全D B M S 等 然而 他們的高安全級別的產品對我國是封鎖 禁售的 9 0 年代初 英 法 德 荷四困針對T C S E C 準則只考慮保密性的局限 聯合提 j J 了包括保密性 完整性 可用性概念的 信息技術安全評價準則 T I S F C 但是該準則中并沒有給出綜合解決以上問題的理論模型和方案 近年來六固七方 美國國家安全局和剛家技術標準研究所 加 英 法 德 荷 共同提出了 信息技術安全評價通j j 準則 C Cf o rI TS E C C C 綜合了國 際上已有的評審準則和技術標準的精華 給出了框架和原則要求 是當自訂最新的 信息安全標準 它是一系列丌發準則的努 f J 的結果 然而 將作為取代T C S E C 朋 j 系統安全的評測的圍際標7 E 它仍然缺少綜合解決信息的多種安令屬性 的理 淪饃型依槲 迄今 I t t I 外億數捌瞻安令饃喇 L 做了徼多l 作 f Im 多難題尚未角 決 安 個體系結f 勾力 i f 的研究f 作川川玎好i 交侖 J m i f 巧f I 彳 f 統的村m 4 k 增枷 拼l j j Z 企 j 叫9 0tf 以 2 I j S E CV I S T A 奠 2 訓f 的 奠侖哦略f 孫 i 乏i i U 弛0 上 丘傘時緣天系數捌唯州二午1 I 改汁 1 4 內容安排 本文將從對象關系型數據庫安全框架 S E C V I S T A 安全數據庫安全模型 S E CV I S T A 的安全策略以及系統的實現等幾個方面來介紹作者的工作 1 對象關系型數據庫安全框架 第二章介紹了對象關系型數據庫安全框架 討論對象關系數據庫安全體系 安全框架的各組成部分在安全數據庫中的作用及 其相互關系 在本章中著重研究對象關系數據庫的安全訪問策略及其基本技術 2 S E CV I S T A 安全數據庫安全模型 第三章將介紹S E CV I S T A 安全數據 庫的安全模型定義 討論空問數據庫V I S T A 的體系結構 根據其體系特征增加 對象關系型數據庫的安全需求 建立S E CV I S T A 的安全模型 3 S E CV I S T A 的安全策略 第四章將詳細介紹多級安全數據庫S E CV I S T A 安全策略的設計方案 包括安全訪問策略和安全存儲策略及其信息過濾機制等 4 S E CV I S T A 系統環境簡介 第五章簡單介紹了S E CV I S T A 系統的安全 功能 及其主要交互界面 江另 人學壩卜 位畢業論文 第二章對象安全數據庫安全概論 對象關系型數據庫管理系統 是在關系數據庫的基礎之上增加了面向對象的 特征 其數據模型比關系模型要豐富的多 數據間的關系也比較復雜 因此 傳 統的針對關系型數據庫管理系統所采取的安全機制需要進行修改和補充 才能夠 適用于對象關系型數據庫 本章簡要討論對象關系型數據庫安全訪問策略 及其安全體系模型 2 1 對象關系數據庫安全定義 2 1 1 對象關系型數據庫系統的安全定義 數據庫系統的安全性是指數據庫的數據及其組成部分不得受到侵害或篡改 其安全機制核心是 提供數據的安全存取服務和可信用戶的安全訪問服務 以保 證所管理的數據具備可用性 完整性和一致性 需要滿足下述基本的安全要求 1 保密性 即數據不被直接或間接的泄露 防止非授權訪問 2 完整性 即數據的物理 邏輯乃至數據元素是完整的 J 下確的 即信息 在存儲或傳輸過程中不篡改 不缺損 不丟失 3 可用性 即在任何時刻 可信用戶可以通過合法途徑訪問授權數據 由此可見 數據庫系統的安全問題主要集中在存取和訪問兩個方面 傳統關系數據庫系統的安全防范和攻擊主要通過兩個途徑實現 1 直接作用 于數據 2 借助數據庫的數據操縱指令間接作用于數據 而對象關系型數據庫系 統則在保留這兩種途徑的基礎上 由于對象的封閉型 還存在第三種途徑 即通 過對象提供的方法 H E 務 作用于對象的屬性 數據 因此 我們可以給出對象關系數據庫系統 O R D B S 安全的簡要描述 O R O B S 的安全性是指數據庫的數據及其組成部分不得受到侵害或篡改 并且數 據對象提供的方法是可信的 其安全機制的核心是 提供數據的安全存取服務 提供數據對象方法的可信管理 提供可信用戶的安全訪問服務 以保證數據具備 可用性 完整性和一致性 2 1 2 對象關系型數據庫的安全特點 數據癢系統山 其E I 身的特征 在安全需求I 訂 i 特殊的要求 j i 要特點了r 1 安全需求的復雜 勝 表現為 彳i 川數 j I j 仃 f i f 4 的安令等級 彳i 舊j J j 1 j I idf 勺i 辦 j J 域 f i l d f I J 數j l t 7 i 1 J i f J l t L 1 J 一 Ir l J J 奠個J qi 9 J 等 r 安食 髯f 4 17 n 型 j r f m i 嫩j 1 Jf 鬯 M 的多付i 映蚶火系 j 童f J 艾了奠個 奠令 寸象關系數據 了C 和改i 客體具有復雜的拓撲結構 每個視圖的安全依賴于組成該視圖拓撲結構的基本單 位的安全因素的代數運算 3 安全操縱的復雜性 對數據庫的操作是通過操縱指令的組合實現的 指令 組合的多樣性可能帶來語義解釋上的安全漏洞 造成信息泄漏 同時 數據庫允 許使用統計指令 可能產生由非敏感數據推理得出敏感數據的推理攻擊 4 數據規范矛盾 數據庫是建立在特定的數據模型上的數據密集型存儲和管 理機制 要求數據滿足數據模型的規范 這可能導致安全隱患 如關系數據庫中 的一致性導致出的多實例問題 5 獨立性矛盾 數據庫要求數據對象獨立于訪問環境 這會導致對數據文件 的直接安全攻擊 導致安全問題 在包含上述安全特征的基礎上 由于對象關系型數據庫還具備有別于其他數 據庫的特點 還有一些擴充的安全特點 O R D B S 除了具有原有關系數據庫的各 種特點以外 還具有以下特點 1 可擴充數據類型 允許用戶在關系型數據庫系統中拉充數據婁型 即允 許用戶根據應用需求自己定義數據類型 函數和操作符 且一經定義 這些新的 數據類型 函數和操作符將存放在數據庫系統核心中 可供所有用戶共享 如同 基本數據類型 樣 2 支持復雜對象 關系數據庫以二維表作為數據模型 簡單 清晰 但難以 直觀 全面地描述客觀世界中的復雜事物 對象關系型數據庫支持復雜對象 3 基類擴充 所謂基類擴充 是指用戶在操作原語的基礎上創建帶有相應操 作符和函數的新數據類型 以實現數據類型的擴充和復雜對象的創建 4 支持繼承的概念 在事物分類中 繼承描述了不同分類粒度下事物問特征 的相關性 對象關系型數據庫提供了繼承機制 可以更好地模擬實際問題 5 通用規則系統 規則系統指D D L D D M 和D D C 中原語的組合和解釋規 則的集合 由于對象關系數據對基類擴充和繼承的支持 在此基礎上產生的用戶 定義必須滿足規則系統 基于上述特征 O R D B S 還具有如下擴充的安全特點 1 安全定義的復雜性 傳統數據庫中 安全定義只需給出數據的安全等級和 用戶的訪問域 在對象關系數據庫中 還需要定義對象提供的服務 方法 的安全 包括服務與用戶問的關系 2 安全繼承問題 傳統數據庫中 數據問的關系比較簡單 只是通過外碼構 成關聯關系 I 叮在對象關系數拂 庫允y f 繼 晟 使得數據類 1 H j 還存在包含關系 然 酊 數捌時象的包含并不能簡啦地推J 到數鋸對象安全的包含 這就引發了安 傘繼承問題 3 墳令 戈例M 題 對緣爻系數 I f l j J 終川J I 火心的慫復j l i 對蒙類 弘f l j 丈 例 l u l 給 爻例的安個j t 義也址 j 次4 1 7 川 JI l J 題 為 艾例談個的j t 義彳i 越 6 乇 j 也r j 袋 l j 互 7 t 之 匿 j ti 7 0 j 坐 I J 芝 攫 0J i l f j 芝 I j 人學f j 學位畢業論文 4 覘則可信問題 用戶定義是否滿足規則系統 或者規則系統是否能判斷用 戶定義是可信的 這是對象關系數據庫需要解決的問題 這里的可信判定包括用 戶定義的可用性和安全性兩個方面的含義 2 2 對象關系型數據庫安全體系模型 任何信息管理系統可以通過三個互相支持的技術可以達到保護信息免遭破 壞或篡改 對象關系型數據庫也是如此 這三個技術為 鑒別 訪問控制和審計 鑒別對用戶身份合法性進行判別 訪問控制定義和控制 個對象對另一個對象的 訪問權限 存取控制往往需要鑒別作為先決條件 審計過程收集系統中所有的數 據操作 并且分析它們以發現系統的安全弱點 圖2 1 是在安全對象關系數據庫中這些安全服務和它們相互作用的邏輯結 構圖 圖中給出了三種安全服務如何在對象關系數據庫中作用的邏輯關系 以及 對象關系數據庫基本安全控制體系 用戶在請求訪問時首先通過身份鑒別 在得到合法訪問權后根據安全訪問規 則訪問數據庫 并由系統反饋相應信息 同時 在用戶請求事件發生的同時 系 統觸發審計事件 對用戶請求事件進行審計 隆I2 1 安全對象滅系數據陣的安全服務的邏輯結1 J 例 系統中 系統安倉員時系統r fr 的客體的安全進 J 箭邢 艦定用J 對客體訪問 的規則 審汁員對系統發乍 1 J7 J 殳 f f 進行 i 計 防范系統漏洲和對外部攻 J 進 J f 測 毹 S E t 員塒系統 i 休邊iJ I 銣 確j 刊i 舟系統t I 的 功域 通過 奠個 f 疋j 川 什j l t l j 二矗 f i f j 0 0 I I 什川 丘 乍腫豫t 系數掂庫川歹i 羊 改i f 在安全體系中 三種安全服務是研究關注的焦點 其中 鑒別是對系統中的主體進行驗證的過程 根據用戶的私有信息來確定用戶的 真實性 防止欺騙 主要采用三種方法驗證主體身份 1 只有該主體了解的秘密 如口令或加密密鑰 2 主體攜帶的物品 如智能卡 3 只有該主體具有的獨一無二的特征或能力 如指紋 聲音 視網膜或簽 字等 訪問控制是一種加強授權的方法 所謂授權 是指資源的所有者或控制者準 許其他人訪問這種資源 存取控制在身份識別的基礎上 根據身份對提出的資 源訪問請求加以控制 在訪問控制中 對其訪問必須進行控制的資源稱為客體 必須控制它對客體的訪問的活動資源 稱為主體 主體即訪問的發起者 通常為 用戶 進程等 訪問控制的目的是為了限制訪問主體對訪問客體的訪問權限 從 而使系統在合法范圍內使用 訪問控制需采取兩種措施 一是識別與確證訪問系 統的用戶 二是決定該用戶對某一系統資源可進行何種類型的訪問 讀 寫 刪 改 運行等 可具體描述如下 1 規定需要保護的資源 又稱客體 2 規定可以訪問該資源的實體又稱主體 3 規定可對該資源執行的動作 如讀 寫 執行或不許訪問 4 通過確定每個實體可對哪些資源執行哪些動作來確定該安全方案 安全審計是對系統記錄和過程的檢查和審查 其目的是測試安全策略是否充 足 證實安全策略的一致性 建議安全策略的改變 協助攻擊的分析 收集證據 以用于起訴攻擊者 安全審計追蹤是記錄用于入侵檢測和安全審計的相關事件的 一個R 志 它可以自動記錄一些重要安全事件 記錄此事件應包括試圖聯機的每 個用戶所在的主機和時間 同時對管理員的活動也要記錄 以便于研究入侵事件 有些入侵的成功可能是由于管理員的錯誤所造成的 如管理員誤將訪問權給了某 一個用戶 審計追蹤是檢測入侵的一個基本工具 設計審計系統的關鍵是 1 確定必須審計的事件 建立軟件記錄這些事件 并將其存儲 防止隨意 訪問 2 審計機構監測系統的活動細節并以確定格式進行記錄 3 對試圖聯機 對敏感文件的讀寫 管理員對文件的刪除 建立和訪問權 的授1 r 等每 事件進行記錄 4 鎂 嬋參j 住安裝時對要i 己求的 j f f i I 做 f 刃確胤j 之 2 3 安全數據庫訪問策略 砷 t j 務 f I 塒J 圻M 掙 仝 J ji Z j 符 乏 汀i L Jl C 涉 乏H 緣眾彩 刈 緣I l t j t 公l h 繾 吖陌奠 jo 講 j t j 蘭 th 哆 j j t j 仃般j 另 人學壩I j 學位畢業論文 為主要研究對象的訪問控制策略 自主策略 D A C 強制策略 M A C 和以 主體作用域為主要研究對象的訪問控制策略 基于角色的策略 R B A C 本節 我們將討論這三種不同的策略 2 3 1 自主策略 D A C 自主型訪問控制 D i s c r e t i o n a r yA c c e s sC o n t r 0 1 是基于一種訪問控制規則 實現主體對客體的訪問 這種控制規則是自主的 自主是指某一主體能直接或間 接的將訪問權或訪問權的某些子集授予其他主體 用戶對信息的控制是基于用戶 的鑒別和存取訪問規則的確定 D A C 基于用戶的身份和訪問控制規則 自主保護策略管理用戶的存取 這 些信息是以用戶的身份和授權為基礎的 它們詳細說明了對于系統中的每一個用 戶 或用戶組 和每一個客體 允許用戶對客體的存取模式 例如讀 寫或執行 根據指定的授權 用戶存取客體的每一個要求都被檢查 如果存在授權狀態 則 用戶可以按指定的模式存取客體 存取被同意 否則被拒絕 D A C 之所以被稱 為自主的 是因為它允許用戶將其訪問權力賦予其它的用戶 自主策略的靈活性 使它們適合于多種系統和應用 在自主存取控制中 用戶對于不同的數據對象有不同的存取權限 不同的用 戶對同一對象也有不同的權限 而且用戶還可將其擁有的存取權限轉授給其他用 戶 因此自主存取控制非常靈活 自主存取控制能夠通過授權機制有效地控制其 他用戶對敏感數據的存取 但是由于用戶對數據的存取權限是 自主 的 用戶 可以自由地決定將數據的存耿權限授予何人 決定是否也將 授權 的權限授予 別人 在這種授權機制下 仍可能存在數據的 無意泄露 自主訪問控制的實現主要有三種方式 1 訪問控制表 A C L 2 訪問能力 表 C a p a b i l i t y 3 授權關系表 2 3 2 強制策略 M A C 自主控制的最大問題是沒有對信息的傳播加以控制 為了避免這種情況的發 生 引進了強制型安全控制 強制型訪問控制 M a n d a t o r yA c c e s sC o n t r 0 1 通過無法回避的存墩限制柬 防止各種直接的或i 日J 接的攻擊 系統給主體分配了不同的安全楫性 并通過主體 和客體的安全屬性的匹配比較決定是否允許訪問繼續進行 強制訪問控制施加給 H 廣 自己客體的j 叫備的限制 也使川 受到自己的限 制 它可以防止伍j f J I 允意或彳i 負責任的操作時 泄搭機密信息 一般強制訪l u J 控 j 0 聚J 1 j 以一F J L 種乃 法 1 限制訪 u J p j 制 j f 卜i i 控制方 允許川J 睜術修改他書H 仃文什的 f f 暇擰制是 盹乃 j 只 I J 朵之f j I i r j j 以0 挺拱運 力 餿 述 奠令計壤天系數 1 i f tr I 和設計 類系統中 用戶要修改存取控制表的唯 途符是請求一個特權系統調用 該凋用 的功能是依據用戶終端輸入的信息 而不是靠另一個程序提供的信息來修改存取 控制信息 2 過程控制 在通常的計算機系統中 只要系統允許用戶自己編程 就沒 辦法杜絕特洛伊木馬 但可以對其過程采取某些措施 這種方法稱為過程控制 需要說明的一點是 這些限制取決于用戶本身執行與否 因而 自愿的限制很容 易變成實際上沒有限制 3 系統限制 顯然 實施的限制最好是由系統自動完成 要對系統的功能 實施一些限制 比如 限制共享文件 但共享文件是計算機系統的優點 所以是 不可能加以完全限制的 再者 就是限制用戶編程 事實上 有許多不需編程的 系統都是這樣做的 在安全數據庫系統中 有許多安全模型采用了強制存取控制策略 如貝爾 拉帕丟拉 B e l l L aP a d u l a 模型 第昂模型和施密斯 溫斯萊特模型等 2 3 3 基于角色的策略 1 m A C 從保護能力來看 由于自主型控制太弱 強制型控制太強 而且二者的工作 量都很大 不便于管理 于是提出了基于角色的策略 這種策略在當代的商 業環境中特別有意義 角色控制與D A C 和M A C 相比 角色控制相對獨立 根據配置可使某些角 色接近D A C 某些角色接近M A C 基于角色的策略以系統中用戶執行的行為為 基礎 管制用戶對信息的存取 基于角色策略需要系統中角色的認證 一個角色 可以作為一個行為和與特殊工作行為關聯的責任集合而被定義 因而 代替指定 每一個用戶允許執行的所有存取 對客體的存取授權被指定給角色 R B A C 提供了解決具有大量用戶 數據客體和訪問權限的系統中的授權管理 問題 R B A C 涉及用戶 u s e r 角色 r o l e 訪問權限 p e r m i s s i o n 會話 s e s s i o n 這幾個主要概念 角色是訪問權的集合 當用戶被賦予一個角色時 用戶具有這個角色所包含的所有訪問權 用戶和角色之間是多對多的關系 角色 與訪問權I 日J 也是多對多的關系 在R B A C 模型系統中 每個用戶進入系統時得 到一個會話 一個用戶會話可能激活的角色是該用戶的全部角色的子集 對此用 戶而畝 在一個會話內可獲得全部被激活的角色所包含的訪問權 角色和會話的 改置j 轉末的好處足容易 實施最小特權原則 fj 對蒙關系數擤 J 宰 f 數拓引i 黝的特殊悱 我們r 叮以將對象類提髟 的般務指 定給f f j 包 實現時象類的立個訪 J j 江另 人學壩I 位畢業論文 第三章V I S T A 數據庫系統的安全模型 V I S T A 旺4 1 娩們數據庫系統是一個對象關系型數據庫管理系統 我們在該數據 庫的基礎上設計了一整套安全策略 實現了一個安全對象關系數據庫 不同于傳 統的建立在商業數據庫系統上的安全數據庫 V I S T A 在數據庫內核上直接開發安 全功能 而不是采用外包完全模塊的設計方案 因此 V I S T A 更為安全 本章簡要介紹了V I S T A 的體系結構 并重點討論V I S T A 數據庫所遵循的安 全模型 3 1V I S T A 數據庫系統簡介 V I S T A 系統是我們課題組自主開發的一個空間數據庫管理系統 并于9 2 年 在該系統的基礎上為墨西哥石油公司開發的一個用于石油勘探資源管理的G I S 該系統由兩部分組成 圖符化數據庫查詢語言C Q L 2 7 和空問數據庫管理系統 C Q L 是用可視化的方法進行數據庫查詢操作 空間數據庫管理系統部分主要實 現對空間數據庫的維護操作 經過多年的技術積累和改造 V I S T A 逐步形成了一個較為完善的對象關系型 數據庫 V I S T A 系統結構如圖3 1 所示 V I S T A 包含了數據庫管理系統的基本功能 主要分為四部分 對象關系數據 的存儲機制 D D L 解釋機制 D M L 解釋機制和數據管理維護功能 3 1 1V I S T A 的存儲機制 數據庫的存儲結構是數據庫的物理基礎 對數據庫系統的性能影 l l j f E 大 存 儲結構中涉及記錄的物理表示 物理塊的磁盤分配 數據壓縮技術以及文件形式 等 在V I S T A 中將物理塊的磁盛分配交給操作系統管理 僅考慮數據的邏輯存 儲機制 V I S T A 將數據存儲定義為i 段式 見圖3 2 首先 進行數據模型處理 其 次 進行文件形式處理 決定數據類型采用的文件形式 確定記錄在文件中存放 位笱 最后 進行記錄物理表示肜式處理 決定i 己錄的存儲格式 再由O S 將記 錄存儲到磁盛 奠令i 緣天系數 唾癢訓究扁i 砹 f 數據模型處理 圖3 1 V I S T A 系統結構圖 數t l 一獰弦畦縫 D B M S 一 一弋 一 糾j I S I A 數 l f r J i 能流f 茄 人學頌I j 學f t 畢業論文 由于V I S T A 處理的數據為對象關系型數據 我們采用二層存儲處理方案對 數據進行存儲 如圖3 3 所示 這種結構將傳統的關系數據存取結構和空I 白J 數據 存取結構相融合 能同時有效地管理和處理傳統數據類型和新型空間數據類型 第一層是關系信息層 主要用來存取空問對象問的關系信息 這些信息均為 F 文 信息 該層使用傳統的B 樹來實現存取操作 第二層是對象數據層 該層用來 存放各種異質數據 如地物坐標 圖像 圖形等 3 1 2D D L 解釋機制 圖3 3V I S T A 二層存儲處理方案示意 數據定義語言 D D L 主要實現數據庫的結構描述 包括外模式 模式 內模 式的定義 數據庫完整性定義 安全保密定義 存取路徑定義 這些定義存儲在 數據字典中 是D B M S 運行的依據 D D L 的定義均與數據字典有著密切的關系 每個定義與數據字典問存在數 據交換 數據字典的定義是否合理 直接影響到系統的正確性 通用性和重用 V I S T A 將該部分的每個定義設計為 一個定義模塊對應一個數據字典文件 定義 模塊通過數據字典管理模塊訪問對應的字典文件 數據字典管理模塊通過數據字 典表管理數據字典文件 圖3 4 給出了字典管理的結構示意 主要包括三個方面 1 外模塊 模塊 內模塊 存取路徑定義 V I S T A 中外模式 模式 內模式定義是一個解釋程序模塊 即模式定義模塊 該模塊將相應的數據字典內容解釋為數據庫的數據結構 數據的存取過程由存儲 處理模塊實現 同時 在內模式巾定義了數據庫的數據模型處理 文件形式處理 和記澩表示處理相關信息 其一f 一文件形式處理包含了存取路徑的汁算方法 2 數據庫完整性定義 數擄 暉究祭 M L 指數荊的j l i 確 陀和棚容一 通過0 t 整 n 約束條f 卜的規j 之和伶 A 來實觀的 V I S T A 的完整 陀定義也禽位 結約約束 動態約求 執fJ 約水等 V I S T A 龜i 乍 JJ 1 j 垣j 蔓t 鷥L t 芒 警 Z l j 0 氈 L 義ir 啦過f jJ t 荽f J 芬Z l eI j 庀毒譬f 約 二夸 f 象父系數據惲叭亢和改 柬 模式完整I 生安全保 定義 定義 密定義 工 彳r jrt L 上y 字典管理器 一了j 一一 黼掰 E 一1 工一 庫結構l 數據字典l數據字典I數據字典I 一 J 一 圖3 4V I S T A 中的D D L 定義模塊對數據字典的訪問示意 3 安全保密定義 保護數據庫的安全 本質上就是保證合法訪問 阻止非法訪問 對數據庫安 全問題 可歸結為對數據庫系統中各種對象存取權的合法性和對數據庫內容本身 的安全 防泄露 篡改或破壞 兩個方面 數據庫的安全驗證是建立在各種安全 規則表上的 如用戶安全 訪問規則 審計日志 授權表等 V l S T A 通過安全保 密定義實現其安全 在此基礎上建立的一系列的安全規則 就構成了V I S T A 的 安全體系 在后面的章節 我們將著重討論這些規則的建立方法 以及V I S T A 如何通 過對安全規則的解釋來實現數據庫的安全 3 1 3D M L 解釋機制 數據庫操縱語言 D M L 完成對數據庫數據的檢索 插入 修改 刪除操作 D M L 面向用戶 將用戶輸入的請求解釋為相應的D M L 指令 調用存儲處理功能 對數據庫的數據進行操作 其工作過程如圖3 5 焉三 J D T 兒 j 存取 卜 一一 廣 1 1 烈拮庠 廣 1 解釋 廠 控制 l k 吲3 5D M LI 作過f l D M L 功能的 丈脫l I J 以劃分一t 個 f l 哆j 刖戶t 豐妾 J 解釋 仃取州川 存馭洲 川指D M L 根巍f J J 請求的f 0 乍釋 嗣I t M i 耿垛f t m 數引眸1 j 入或i 奐取數拭 f 8 昂釋 舟 分將川J ti 托j 之自彳 乒川一的仃耿慚令 或 睜l I 數州 陵l f 加勺數 l f 解l 羊f 為 訂 ii i J 訂 一J l j 弋 J h l 戶i 姿 壬摻眥f jJ 求剮f 乏 Jr I I 0 j J 乏 H j t j i D M L 7 i j j o i j 二 引j J i i j