3 安全策略及安全模型.ppt

* d8 z d8 35 d8 005 d8 y d7 15 d3 013 d5 x d5 24 d2 001 C3 A3 C2 A2 C1 A1 d8 d7 d6 d5 d2 d3 d4 d1 * ③若class(u)=d5,则看到的是过滤后的如下表三 ④若class(u)=d1,则u知道表R存在(可访问表R的 模式,可向R插入数据) null null null null d3 013 d5 x d5 24 d2 001 C3 A3 C2 A2 C1 A1 * (二) Seaview模型的安全性质 1.若class(u) class(R)（class(u)class(R)或两者不可比）则u看不到R的存在。 2.若class(u)≥class(R)，则u可以访问R，但不一定能访问到R中所有的数据，具体规则如下： 对每条纪录r： ①若class(u)≥class(r)，则u能查询到r，并能看到r中所有的数据 * ②若class(u) class(r),(小于class(r)或不可比) 则u可以看到记录r中的部分数据。 i）class(u)≥class(kr)，则u能看到主关键字kr和r中安全级≤class(u)的数据；而其它的数据，u看起来全为空值。 ii）class(u) class(kr)（小于class(kr)或不可比），则u不能看到r中任何数据。 * ③u可以对R进行插入和修改操作 如d1~d8均可对表进行插入,对其能看见的数据作修改。修改策略是： 低不能改高（数据完整性保护）； 高不能改低（防止信息泄漏）； 只有同级才能改 * （三） 多事例 在数据库中可能出现这样的现象：相同名 字，同时存在多个数据实体。Seaview模型用 不同的安全级来区别这些实体 ——这种现象称为多事例 1.多事例关系（由“查询”引起的） 在任一状态下，不同安全级的主体检索同一多级关系时，将得到的是不同的关系，这些不同的关系，称为是多事例关系 * 2．多事例记录（由“插入”引起的） 具有相同的主关键字，但主关键字的安全级不同的记录称为是多事例记录 例如:安全级为d7的主体用主关键字005添加一条记录到表一得到如下表四 A1 C1 A2 C2 A3 C3 001 d2 24 d5 x d5 013 d3 15 d7 y d8 005 d8 35 d8 z d8 005 d7 20 d7 w d7 * 3．多事例数据项（由“修改”引起的） 在相同的记录中，某数据项的值和其安全级呈现多种不同的取值，这样的数据项称为是多事例数据项 。 例如:d8要修改表一中的第二条记录的A2 此时不能用修改值覆盖旧值,以免造成信息泄露。因此必须再创建相同的记录，但相应数据项是多事例的 A1 C1 A2 C2 A3 C3 013 d3 15 d7 y d8 013 d3 48 d8 y d8 * （四）多级安全存储 多事例使得多级关系中出现了大量的数据冗余，Seaview模型将多级关系分解成关系模型的标准关系，将多级数据按照不同的级别分开存储，这样做消除了冗余且较大程度地减少了信息的泄露 * * * * * 例如：设o1 o2 o3 o4，主体S的安全级同o1 时刻t1 S r o2 高 低 o3 r 时刻t2 释放对o2的访问权 S a o3 高 低 o4 r 时刻t3 S已含有o2和o3的信息 此时S可将o2的信息传送到o3 (无记忆) * （九）对BLP安全模型的评价 在BLP模型中，通过比较主体安全级和客体安全级来确定主体是否对客体具有访问权限。安全检查执行向上写向下读的策略，即主体只能写安全级高(包括相等)的数据，只能读安全级低(包括相等)的数据 在实际系统设计过程中，发现传统的BLP模型过于严格和简单，不能满足实际应用的需求，需要进行以下改进： * （九）对BLP安全模型的评价 (1)按照BLP模型“向上写”的规则，任何主体都可以写最高安全级的数据，没有限制主体的最高写安全级，从而降低了高安全级数据的完整性。必须限制低安全级主体向高安全级别数据写的能力 (2)某些高安全级别的主体不应该总是有能力看到所有低安全级别的数据，必须将主体的读能力限定在一个范围内，而不是允许读所有低安全级别的客体 (3)有些低安全级别的数据允许低安全级别主体读，但不意味着允许低级别的主体改写，只有规定的安全级别范围内的主体才能改写 * （九）对BLP安全模型的评价 (4)对于安全级高的主体而言