《一個新的多級安全數(shù)據(jù)庫模型及實現(xiàn)》由會員分享，可在線閱讀，更多相關(guān)《一個新的多級安全數(shù)據(jù)庫模型及實現(xiàn)（24頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,*,#,一個新的多級安全數(shù)據(jù)庫模型及實現(xiàn),劉欣 沈昌祥(Email:,),由于現(xiàn)有多級安全模型的約束條件與現(xiàn)實工作需求存在著矛盾，本文提出了一個基于擴展安全級的安全模型，本模型實現(xiàn)了強制訪問控制，可達到,B1,級安全。本文描述了其基本定義、規(guī)則和定理，并簡單介紹了其實現(xiàn)。,1、,前言,1.1現(xiàn)有安全模型,1.2,上述模型,的不足,1.3新模型概述,2、新模型形式化描述,2.1定義,2.2規(guī)則,2.3模型的定理系統(tǒng),3、應(yīng)用本模型的SDBMS實現(xiàn),4、,結(jié)束語,1.2 上述模型的不足,BLP作為經(jīng)典強制訪問控

2、制模型，其規(guī)則過于嚴格，會與實際工作需求發(fā)生沖突；比如，某高安全級主體可能要求寫比其安全低的數(shù)據(jù)；下面例子說明該沖突：,比如，設(shè)一個表equipment中，Price是公開，purpose是秘密，則操作：,UPDATE equipment,SET price=price*1.1,Where purpose=”missle test”,是無法執(zhí)行的。,SeaView模型做為BLP模型與Biba模型的結(jié)合，為維護數(shù)據(jù)庫完整性和避免隱通道，引入了多實例的概念，并將多級關(guān)系分解成單級關(guān)系存儲，這就大大降低了數(shù)據(jù)庫效率。,同樣上面的例子，若price 與purpose的完整級均為VI，而主體的寫級與讀級

3、分別為和，則由于完整性約束，使主體仍不能執(zhí)行上述操作。,如何既解決上述模型與實際需求的沖突，又保證強制訪問策略實施，達到B1級標準，本文提出了一個多級數(shù)據(jù)庫安全模型。,1.3 新模型概述,本模型通過給出一個安全級的新定義，擴展了保密等級的概念，使一個主體具有最高保密等級和最低保密等級，并更改了“寫”操作檢查規(guī)則，使主體可以在一定范圍內(nèi)向下寫，增加了模型的靈活性和實用性。,1.3.1安全級的定義,本模型安全級由保密性等級、完整性等級和范圍的集合組成。一般說來，保密性等級是如下四元素集合中的任一元素：絕密TS，機密S，秘密C，公開U，此集合是全序的，即絕密TS機密S秘密C公開U。完整性等級是如下集

4、合中的一個元素：極重要C，非常重要VI，重要I，公開U。此集合也是全序的，即CVIIU。范圍的集合是系統(tǒng)中分類元素集合的一個子集。這些元素依賴于所考慮的環(huán)境和應(yīng)用領(lǐng)域。,安全級形成服從偏序關(guān)系的格，此偏序關(guān)系稱為支配（,）關(guān)系。,1.3.2主體讀保密等級與寫保密等級,系統(tǒng)中每個主體的寫保密等級是一個取值范圍，而非一個值，分別用C,min,C,max,則主體的寫保密等級為偶對，讀保密等級C,max,。,如果一個主體的讀保密等級嚴格支配其最低寫保密等級（C,max,C,min,），則稱主體是,可信的,；允許可信主體將數(shù)據(jù)以低于讀保密等級的某保密等級寫入，但必須證明主體沒有向下傳播信息（第二節(jié)將詳細

5、介紹）。,1.3.3安全檢查規(guī)則,寫操作安全檢查規(guī)則,：,（1）,主體的當(dāng)前保密等級被客體的保密等級支配；,主體的完整等級支配客體的完整等級；,主體的范圍包含于客體的范圍；或,（2）,客體保密等級屬于主體的寫保密等級；,主體的完整等級,支配客體的完整等級,；,主體的范圍包含于客體的范圍,；符合保密性約束規(guī)則（第2.2節(jié)規(guī)則2）,本規(guī)則擴展了安全級的概念，給主體寫操作一個范圍，但同時又進行了保密性約束。,讀操作安全檢查規(guī)則：,主體的保密等級支配客體的保密等級；,主體的完整等級被客體的完整等級支配；,主體的范圍包含客體的范圍,。,這條規(guī)則符合BLP模型不上讀和Biba模型不下讀的規(guī)則。,讀寫操作安

6、全檢查規(guī)則：,（1）,客體保密等級等于主體的當(dāng)前保密等級；,客體的完整等級等于主體的當(dāng)前完整等級；,主體的范圍等于客體的范圍,?；?（2）客體保密等級屬于主體的寫保密等級；客體的完整等級等于主體的當(dāng)前完整等級；主體的范圍等于客體的范圍。符合保密性約束規(guī)則,2模型介紹,2.1定義,定義1,系統(tǒng)狀態(tài)v：集合V中元素，v,V=(BMFICTH),當(dāng)前存取集B：B,(SOA),訪問方式集合,A,：,A=r,w,e,a,定義2,保密性規(guī)則集合CVP：保密性規(guī)則cvp,CVP是客體到Y(jié)es,No是映射，其中Yes=1，No=0。Yes表示符合保密性規(guī)則，No表示不符合保密性規(guī)則。,函數(shù)k：k是CVP和Se

7、c_L間的映射。，有且僅有唯一的k(cvp),Sec_L。,安全級,sec_l,Sec_L,對應(yīng)的保密性規(guī)則集合,sec_l_cvp,，,sec_l_cvp=cvp|k(cvp)=sec_l,cvp,CVP,。,定義3,安全代理集合DS,函數(shù),m,：,m,是,DS,和,Sec_L,間的一一映射。有且僅有唯一的,k(ds),Sec_L,；，有且僅有唯一的,m,-1,(sec_l),DS；,定義,4,對一個寫保密等級偶對（C,min,，C,max,）和一個保密等級c，若C,min,c,C,max,，稱c屬于該寫保密等級。,2.2規(guī)則,我們用rq(S,i,O,j,x,),表示主體,S,i,對客體,O

8、,j,的,x,訪問請求。,規(guī)則1,對任意b=(s,o,x,),B,：,(1),x,=a f,c,(s)f,o,(o),i,c,(s)i,o,(o),ct,s,(s)ct,o,(o)；,或者,f,min,(s)f,o,(o)f,c,(s),i,c,(s)i,o,(o),ct,s,(s)ct,o,(o)且滿足規(guī)則2,；,(2),x,=w,f(s)=f,o,(o),i,c,(s)=i,o,(o),ct,s,(s),=,ct,o,(o),或者,f,min,(s),f,o,(o),f,c,(s),i,c,(s)=i,o,(o),ct,s,(s),=,ct,o,(o),且滿足規(guī)則2；,(3),x,=r,f

9、,c,(s),f,o,(o),i,c,(s),i,o,(o),ct,s,(s)ct,o,(o)；（讀規(guī)則不變）,(4),x,=e,f,max,(s),f,o,(o),i,max,(s),i,o,(o),ct,s,(s)ct,o,(o),規(guī)則2,在（b,M,f,i,ct,H）狀態(tài)，aM,ij,M,f,min,(s)f,o,(o)f,c,(s),i,c,(s)i,o,(o),ct,s,(s)ct,o,(o)時，對rq(S,i,O,j,a)的處理：,（1）,S,i,激活客體O,j,，O,j,的安全級為sel_11=(f,o,(O,j,),i,o,(O,j,),ct,o,(O,j,)且f,o,(O,j

10、,)=f,c,(S,i,)，i,o,(O,j,)=i,c,(S,i,),ct,o,(O,j,)=ct,s,(S,i,)。對rq(S,i,O,j,a)授權(quán)，構(gòu)造b,1,*=(S,i,O,j,a),b，進入（b,1,*,M,f,i,ct,H）狀態(tài)。,（2）,安全級sel_12=(f,o,(O,j,),i,o,(O,j,),ct,o,(O,j,)對應(yīng)的保密性規(guī)則集為sel_12_cvp。,If,cvp(O,j,)=YES,Then 進入步驟（3）,）,構(gòu)造f*，使得f,o,(O,j,)=f,o,(O,j,)。,（4 Else S,i,刪除客體O,j,，拒絕rq(S,i,O,j,a)。,（3）,安全級

11、sel_12對應(yīng)的安全代理為S,i,（5）,對rq(S,i,O,j,r)授權(quán)，構(gòu)造b,2,*=(S,i,O,j,r),b,1,*，進入（b,2,*,M,f*,i,ct,H）狀態(tài)。,（6）,對rq(S,i,O,j,a)授權(quán)，構(gòu)造b,3,*=(S,i,O,j,a),b,2,*，進入（b,3,*,M,f*,i,ct,H）狀態(tài)。,S,i,刪除,O,j,。,2.3模型的定理系統(tǒng),推論1,當(dāng)客體的保密等級屬于主體的寫保密等級，客體的完整級被主體的完整級支配，主體的范圍包含于客體的范圍，且，主體寫入客體的內(nèi)容符合客體安全級對應(yīng)的保密性規(guī)則時，主體可以間接寫入客體。,證明,rq(Si,Oj,a)時,主體Si寫

12、入客體Oj的內(nèi)容為ContentWij，主體Si從客體Oj讀出的內(nèi)容為ContenRij，客體Oj的內(nèi)容為Contentj。,在（,b,M,f,i,ct,H,）狀態(tài)，,a,Mij,M,fc(Si),fo(Oj),ic(s),io(o),cts(s)cto(o),時，主體寫入客體的內(nèi)容為,ContentWij,。,a),根據(jù)規(guī)則,2,步驟（,1,），激活客體,Oj,對,rq(Si,Oj,a),授權(quán)后，,ContentWij=ContentWij=Contentj,。,b),根據(jù)規(guī)則,2,步驟（,2,），當(dāng),Contentj,符合保密性規(guī)則集,sec_l2_cvp,后，經(jīng)規(guī)則（,2,）步驟（,5,

13、），對,rq(Si,Oj,r),授權(quán)后,ContenRij=Contentj,。,c),根據(jù)規(guī)則,2,步驟（,6,）對,rq(Si,Oj,a),授權(quán)后,ContentWij=ContenRij,。,由,a),、,b),、,c)ContentWij=ContentWij,，即主體,Si,寫入客體,Oj,的內(nèi)容符合保密性規(guī)則后通過代理,Si,寫入客體,Oj,。,定理1,若狀態(tài)（b,M,f,i,ct,H）滿足BLP公理，則由規(guī)則2得到狀態(tài)（b,3,*,M,f,i*,H）滿足BLP公理。,定理2,規(guī)則1滿足BLP公理。,定理3,模型符合BLP模型。,定理4,模型符合,Biba,模型。,3、應(yīng)用本模型的

14、SDBMS實現(xiàn),從圖中我們可看出，本安全模型由MAC模塊與TCB模塊組成，完成強制和自主訪問控制。系統(tǒng)管理員負責(zé)自主訪問控制，安全管理員負責(zé)強制訪問控制，只有安全管理員才能定義和修改主客體安全級，DBA也受強制訪問策略的制約；而SSO的權(quán)限又受到DBA的限制，使系統(tǒng)權(quán)力分離，增加了系統(tǒng)安全性。,在應(yīng)用本模型加強數(shù)據(jù)庫安全時，應(yīng)該考慮其安全標識的實現(xiàn)，包括安全級在系統(tǒng)中的表示及定義、多級關(guān)系的存儲、數(shù)據(jù),字典的擴充，,SQL,語句的功能擴充，主要是增加安全檢查規(guī)則，這些實現(xiàn)了模型的強制訪問控制功能。,4、,結(jié)束語,由于現(xiàn)有多級安全模型規(guī)則過于嚴格，使得現(xiàn)實工作需求與安全限制間的存在著矛盾，造成工作的不便。比如，在一個辦公系統(tǒng)中，一個人可能會在多個主體安全級間變換以完成他的工作。這不僅加重安全管理員的負擔(dān)，也降低了安全性，使嚴格的安全模型失去了意義。本模型就是源于這個問題而提出的，模型實現(xiàn)了強制訪問控制，可達到B1級安全。其優(yōu)點是：,讀、寫安全級分開，為寫操作確立一保密等級區(qū)間，增加了模型靈活性，提高了可用性,；,謝謝!,感謝閱讀本文檔，謝謝！,