第7章 多级安全数据库基础.pptVIP

第7章 多级安全数据库基础 主要内容 多级安全数据库概念 多级安全DBMS体系结构 多级关系数据模型 多级安全数据库事务处理 多实例 课程知识结构 一、多级安全数据库概念 MultiLevel Secure DBMS，MLS数据库 允许不同密级（classification）的数据存储在同一个数据库中 用户具有不同的安全可信度（clearances）和存取授权（authorizations），数据具有不同的安全级别，例如，Top Secret，Secret，…… 用户可以按传统的数据库访问方式访问MLS数据库，MLS DBMS保证用户仅可以存取其安全级别允许的数据 使用BLP模型为基础的安全模型 一、多级安全数据库概念 基本功能和要求 允许不同安全级别的用户可以获得同一数据的不同视图 不允许低安全级的用户访问高安全级的数据 需要提供和关系数据库一样的完整性控制 实体完整性、参照完整性、自定义完整性 一、多级安全数据库概念 例子：SOD(starship,objective,destination) 一、多级安全数据库概念 一、多级安全数据库概念 一、多级安全数据库概念 关键问题 MLS DBMS体系结构 多级关系数据模型 多实例问题 多级安全数据库事务处理 推理分析和隐通道分析 二、MLS DBMS体系结构 两类MLS DBMS体系结构 Woods Hole体系结构(Woods Hole Architectures) TCB子集体系结构 (TCB Subset Architectures) 核心式(集中式)体系结构 (Kernelized architecture) 复制式体系结构 (Replicated architecture) 完整性锁体系结构 (Integrity lock architecture) 可信主体体系结构(Trusted Subject Architecture) 二、MLS DBMS体系结构 TCB，Trusted Computing Base 是指为实现系统安全保护策略的各种安全保护机制的集合。它包括为了执行系统安全策略所必需的所有软件、硬件和固件 在MLS DBMS中，TCB可以是DBMS自己的，也可以借助外部操作系统的TCB DBMS自身具有独立TCB，并且仅依靠自己的TCB独立实现访问控制——可信主体体系结构 DBMS借助自身的TCB和外部操作系统的TCB共同实现访问控制——TCB子集体系结构 DBMS自身没有TCB，而是以外挂在DBMS之上的安全控制层作为TCB——完整性锁体系结构 二、MLS DBMS体系结构 Woods Hole体系结构强调对传统DBMS的改造和重用，减少MLS DBMS实现代价 可信主体体系结构倾向于独立实现MLS DBMS，不依赖其它外部的安全控制机制 1、TCB子集体系结构 由 Thomas Hinke和Marvin Schaefer于1975年提出 针对美国空军的安全数据库需求 在已有操作系统安全控制基础上实现MLS DBMS 1、TCB子集体系结构 特点 MLS DBMS包含了多个单级DBMS。单级DBMS的安全级别各不相同 多级数据库被分解为多个单安全级或操作系统最高安全级的数据库片断保存在操作系统中 MLS DBMS具有一定的访问控制权，但数据存取操作的访问控制由OS完全负责 1、TCB子集体系结构 集中式TCB子集体系结构 单级DBMS是运行在可信OS之上的分离进程 多级数据库被分解为多个单级片断，每个片断保存在分离的操作系统对象中 所有数据库访问的对象都由可信OS实现全部的强制访问控制 不同级别的DBMS实例运行在同一可信OS上，可以同时操作数据库 所有数据库片断在操作系统只保留一份 1、TCB子集体系结构 1、TCB子集体系结构 集中式TCB子集体系结构应用例子 Trusted Oracle MLS DBMS Seaview MLS DBMS Lock Data View （LDV） MLS DBMS 1、TCB子集体系结构 集中式TCB子集体系结构优点 安全性高 系统可以达到底层可信OS提供的安全级 可靠性好 DBMS主要借助操作系统的TCB实现访问控制，减少了DBMS TCB的大小和复杂程度 集中式TCB子集体系结构缺点 操作系统承担了几乎所有的访问控制任务，负载过大，容易出现性能问题 OS支持的并发进程有限，使得OS可以支持的安全级别受限，因为不同安全级别需要运行不同的DBMS实例 数据共享可能为数据库访问控制带来隐通道问题 1、TCB子集体系结构 隐通道不是通常的信息流，而是用于传递信号。这种信号传递并不违背安全控制策略。下面是时间隐通道的一个例子： 1、TCB子集体系结构 复制式TCB子集体系结构 利用多级数据库的物理分布来实现强制分离和访