第8章分布式数据库的安全性概述.ppt

发展历史 D.E.Bell和 L.J.La Padula 于1973年模拟军事安全策略创建的计算机系统安全模型, 74年改进, 76年用于Multics操作系统 形式化定义 状态机模型 它形式化定义了模型中的概念，证明了其中的定理和结论，并表明系统可通过数学推导证明其自身的安全性 系统状态 状态v ?V ， V=(B? M ? F ? H) B:当前存取集, B ? (S ? O ? A) ,S: 主体集; O: 客体集 ;A: 访问方式集合, 有Read(R), Write(W), Execute (E), Append (A) 2.3 多级安全BLP模型 2 安全数据模型与多级安全数据库 存取控制矩阵 M= m11 … m1n mn1 … mnn …. mij ? A 表示Si主体对客体Oj的访问权集 F: 安全级函数,有三个分量 Fn：主体最大安全级函数 Fc：主体当前最大安全级函数 Fo：客体安全级函数 H: 当前客体层次结构 H(O): 以O为根的树中客体集合 2.3 多级安全BLP模型 2 安全数据模型与多级安全数据库 状态转换 规则? : R ? V D ? V R ? V :系统中给请求定义的请求-状态对集合 D ? V :系统中给请求定义的判定-状态对集合 R: 请求集 D: 请求的输出集 {yes, no, ?, error} Yes:请求被执行；No:请求未执行；？：应用规则时遇到意外情况；error：应用规则时遇到错误 模型公理 简单安全特性 V=(b, M, f, H) 满足简单安全特性, 当且仅当对任意 b=(s, o, x’) ? B , 有 x’=e或者a 或者 x’=r或者w 并且 fn(s) = fo(o) 即主体读写或访问客体, 要求主体的最大安全级别 = 客体的安全级别 2.3 多级安全BLP模型 2 安全数据模型与多级安全数据库 *特性 V=(b, M, f, H) 对以主体集S’? S 满足*特性, 当且仅当对任意b=(s, o, x’) ? B x’=a ? fc (s) = fo (o) x’=w ? fc (s) = fo (o) x’=r ? fc (s) = fo (o) S’是不可信主体 该特性用以防止不可信主体引起的信息从高安全级向低安全级的非法流动 2.3 多级安全BLP模型 2 安全数据模型与多级安全数据库 自主安全特性 V=(b, M, f, H)满足该特性, 当且仅当对每个b=(si, oj, x’) ?B, x’ ? Mij Si对Oj可执行的读写访问集只能是Mij所允许的集合 兼容特性 客体层次结构H保持兼容特性, 当且仅当对任意Oi, Oj ?O , 有Oj ? H(Oi), fo(Oj) = fo(Oi), 用于保持客体的安全级别是向树叶方向增高 2.3 多级安全BLP模型 2 安全数据模型与多级安全数据库 1991年Jajodia和Sandhu提出的一种实现强制访问控制的RDB系统 DAC和DAC 自主访问控制，在关系上授权和收回特权 强制访问控制，在安全类别基础上，对数据和用户进行分类 基础 主体集S, 客体集O 每个主体s, 存在固定的安全类class(S) 每个客体o, 存在固定的安全类class(O) 简单安全特性: if class(O) = class(S) 时, S可以读O (下读) *特性: if class(S) = class(O)时, S才可以写O ( 上写) 2.4 基于安全性分类级别标记的强制访问控制 2 安全数据模型与多级安全数据库 基本概念 安全标记 基于标记的安全DB中, 信息流动策略定义为一个格阵(SC, ?) SC: 安全类的有限集 ? :定义在SC上的二元偏序关系 每个安全类定义为 (level, Scope) level: 密级, 分为绝密(TS), 秘密(S), 机密（C）, 普通（U） Scope: 领域 当A ? B时, 允许A类信息流向B类. 2.4 基于安全性分类级别标记的强制访问控制 2 安全数据模型与多级安全数据库 客体安全标记 为实现强制访问控制, 对数据进行标记, 按粒度分为三级 基于元组的标记 (A1, A2, ……., An, TC) Ai，关系的每个属性 TC，元组分类属性 基于主键的标记 (A1, C1, A2, ……., An, TC) Ci，与每个属性Ai相关联的分类级别属性 基于每个属性的标记 (A1, C1, A2, C2, ……., An, Cn, TC)