d0155060005.docVIP

d0155060005 多级安全数据库并发控制的研究与实现 第三章多级安全并发控制机制 在第二章中，我们回顾了传统的并发控制机制以及在多级安全条件下存在的问 题。本章我们提出了一种 NHSTM多级事务模型，并全面的分析了该事务模型在 BLP 安全模型下的事务冲突，并应用 NHSTM事务模型给出了一种基于严格两段锁的并法 调度算法，解决了多级安全并发控制的隐通道问题与饥饿问题。同时，我们给出了该 调度算法的正确性证明。 3.1 多级安全数据库概述 1985年，美国国防部推出“可信计算机系统评估准则”（TCSEC）。1991年，美 国国家计算机安全中心（NCSC）又颁布了《可信计算机系统评估标准关于可信数据 库的解释》（Trusted Database Interpretation，TDI），将 TCSEC扩展到数据库管理系统。 根据计算机系统对各项指标的支持情况，TDI按系统可信度的递增将系统划分为四组 七个等级，依次是 D，C（C1，C2），B(B1，B2，B3)，A(A1)[24]。我国自 2001年 1 月 1日起实施强制性国家标准 GB17859-1999。它将安全系统划分为一到五级共五个 级别。迄今为止，国内尚未开发出任何通过正式测评的安全数据库系统。 为了让数据库管理系统达到 B级安全，必须对数据元素进行安全标记，实行强 制存取控制。当数据库管理系统为每个主体和每个客体都分配一个安全级，并通过主 客体的安全级支配关系来进行存取控制时，这样的系统称为多级安全数据库管理系 统。 3.1.1 多级安全数据库管理系统的研究现状 多级安全数据库管理系统的理论研究始于二十世纪七十年代，它包括多级安全数 据库系统的体系结构，数据库的完整性，多级事务处理，隐通道分析处理，审计机制， 推理机制等许多方面的研究[25]。国外专家在这方面做了大量的研究工作，并研制出了 一些 A1级原型系统。如 SRI-InternationalGemini Computers开发的 SeaView系统， Security Conmputer Technolog Corporation开发的 LDV系统和 TRW内部开发的原型系 统 ASD[26。27。28]，三个著名的数据库开发商也推出了他们各自的 B1级数据库管理系  南京航空航天大学硕士学位论文 统：Sybase Security SQL Server[29]，Trusted Oracle7和 Informix-OnLine/Secure[30]。此 外，Sybase公司还开发了一个运行在裸机上的系统，它在硬件级实现了任务分离和内 存保护，把敏感数据分配到自己的地址空间，完全脱离了不可信地址空间，满足 B2 级标准[31]。国内在这方面的研究起步较晚，已有许多相关的理论研究，但尚未有成熟 的原型系统出现。 3.1.2 多级安全并发控制的研究目标 已有研究表明[23]，传统的并发控制在 MLS环境中易于产生隐通道。为了避免隐 通道的产生，必须对传统的并发控制提出新的要求。目前提出的解决方法中[12。13。14。 15]，在防止产生隐通道的同时，又导致了高安全级事务的读饥饿问题，或者存在可串 行化等问题。为此，一个多级安全并发控制的提出，应满足以下三个目标： ⑴保证事务执行的可串行化； ⑵不存在可能产生的隐通道； ⑶不会导致高安全级事务的读饥饿问题. 第一点是保证了并发控制的正确性。第二点则保证了并发控制的安全性。第三点 是为了保证并发控制的可行性。如果高安全级事务总是不停地因为和低安全级事务的 操作冲突而被回滚，则高安全级事务的执行效率是低下的，这样的并发控制机制显然 没有可用性。 3.1.3 多级事务的体系结构 多级安全数据库管理系统的体系结构主要有 TCB子集结构和可信主体结构（图 3.1）。在 TCB子集合体系结构中，多级 DBMS是多个单级 DBMS的实例，且多级数 据库被分解为多个单安全级或系统级的数据库片段。这种结构能够达到教高的安全 级，但实现起来较为复杂。可信主体体系结构比较容易实现，广泛为商用系统所采用。 尽管它难以达到较高的安全级，但它不受操作系统进程数的限制，充分地利用了 DBMS的性能，被认为是未来商用安全数据库管理系统的发展方向，其结构示意图如 图 4所示。 本文所讨论的多级安全并发控制机制是在自主研发的 NHSDB上设计实现的， NHSDB采用了可信主体体系结构，有 DBMS自身实现强制访问控制。要求运行在多 级安全局域网上，通过安全网络进行通信，安全操作系统提供 DBMS代码的分离和 数据库访问。所有对数据库的访问必须通过可信 DBMS，DBMS在多个文件中存储  多级安全数据库并发