多级安全数据库中推理控制功能的设计及实现.pdfVIP

多级安全数据库中推理控制功能的设计及实现 毛奇正 柏文阳 摘 要： 为在数据库安全增强工作中如何进行推理控制给出了一种较为完整的解决方案。信息技术的发 展使得计算机已经渗透到社会生活的各个方面。随着Internet 的广泛应用，网上信息的开放与共享性日益增 强，因此，计算机已经成为必不可少的信息处理手段。但随之而来的是对信息的恶意破坏愈加严重，因而 使信息安全成为研究的一个重点。数据库作为网上信息的主要载体，其安全性自然成为信息安全的重中之 重。 当前被广泛使用的数据库系统一般只达到了 C2 级安全标准，为了确保数据库中数据的安全性和可用 性，只能采用在现有的数据库系统上进行安全增强工作的方法。 多级安全数据库使用基于多级安全模型的强制访问控制 MAC （Mandatory Access Control ）机制来保证 数据库的安全。但是在多级安全数据库中，由于推理通道的存在，即使强制访问机制完全发生作用，有时 也不可避免地存在信息泄漏的问题。本文针对在实现多级安全数据库增强器时如何解决推理通道的问题， 提出了一种解决方案。 关键词： 多级安全数据库 推理控制 强制访问控制 函数依赖 1. 多级安全数据库与推理问题 1.1. 多级安全数据库 现实世界中的大多数应用需要将信息划分为不同的保密级别，对同一条记录内的不同字段也可能要划 分为不同的保密级别，甚至同一字段的不同值之间都要划分为不同的保密级别。在多级安全数据库体系中， 对不同的数据项赋予不同的保密级别，然后根据数据项的密级决定某一访问操作是否合法。在对数据进行 了分级划分后，MAC 通过一定的强制访问控制策略来控制用户对信息的存取，从而保证信息的安全。 多级安全数据库通过使用多级保护机制，扩展了系统安全的粒度，提供了更为全面的安全保证。 1.2. 数据库中的推理问题 多级安全数据库中的推理是指：数据库中拥有低安全分类标识的用户，通过获取低安全分类标识的数 据，并通过数据库查询之外的操作，可以推断出具有高安全分类标识的信息。下面是 Marks[2]给出的一个 数据库推理问题的正式定义： 多级安全数据库中的推理是指用户从数据库中获取元组集 T，该元组具有属性 A 。此时如果可以描述 出一个元组集T′，具有属性集A′，而且有 T′不包含于 T 或者 A′不等于 A ，则从逻辑上讲，此时存在一个推 理通道，从元组集 T 可以推导出元组集 T′。 在多级安全数据库中，通过多级安全模型及其 MAC 机制能够防止具有低安全分类标识的用户通过查 询命令来直接获取高安全分类标识的数据。但是用户可以通过推理来获取高安全分类标识的数据信息， MAC 并不能解决因此而带来的信息泄密问题。因此需要对多级安全数据库中的推理通道进行控制。 2. 推理控制 2.1. 推理问题的分类 多级安全数据库中的推理安全问题可分二类。第一类问题是由于数据库安全设计不合理导致分类的不 连续性，从而引起的推理问题。这类问题主要是使用数据库中元数据信息进行推理所引起的；第二类问题 是由于语义信息而导致的推理问题。存储在数据库中的信息不仅包括个体的数据条目，还包含这些条目间 的关系。但是关系数据模型强调有效的数据结构和操作，缺乏一个可以充分表示应用分类的数据关联。所 以通过对于数据项的安全分类标识不能确保数据的安全。如果此时应用的语义，或者说数据条目之间的关 系没有被考虑，就会产生安全问题。 2.2. 推理控制的方法 从上面对推理问题的分类可以看到，推理所使用的知识可以分成二类：一类是数据库中元数据的信息； 另一类是数据库中和应用相关的数据信息。对于第一类知识，由于只和数据库中数据模式相关，因此这样 的信息在数据库设计阶段就可以获得。而第二类知识是数据库中和应用相关的数据信息，这样的信息只能 在数据库运行期获得。由于用于推理的知识可以在不同的阶段获得，所以可以把推理控制工作分为设计期 推理控制和运行期推理控制。 设计期推理控制研究的目的在于产生一个设计良好的多级安全数据库，从而使用户不能通过一系列的 查询来推断出受限制的元组。其主要方法是在数据库的设计阶段，使用数据库的元数据信息进行检测，确 定可能存在的推理通道，并修改数据库中客体的安全分类标识，从而控制数据库中的推理通道。如修改不 成功则要把该条函数依赖关系作为查询期推理控制的规则传送给查询期推理控制模块。 设计期推理控制的 结构如图1所示。