安全数据库的推理通道问题分析-analysis of reasoning channel problem in secure database.docxVIP

注释表DACDiscretionaryAccessControlDiMonDisclosureMonitorD2MonDynamicDisclosureMonitorFDFunctionalDependenciesMACMandatoryAccessControlS-DBMSSecureDatabaseManagementSystemMLS-DBMSMultilevelSecureDatabaseManagementSystemMVDMultivaluedDependenciesRBACRole-BasedAccessControlSQLStructuredQueryLanguageTCSECTrustedComputerSystemEvaluationCriteriaTDITrustedDatabaseInterpretationUpConUpdateConsolidator承诺书本人郑重声明：所呈交的学位论文，是本人在导师指导下，独立进行研究工作所取得的成果。尽我所知，除文中已经注明引用的内容外，本学位论文的研究成果不包含任何他人享有著作权的内容。对本论文所涉及的研究工作做出贡献的其他个人和集体，均已在文中以明确方式标明。本人授权南京航空航天大学可以有权保留送交论文的复印件，允许论文被查阅和借阅,可以将学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或其他复制手段保存论文。作者签名：日期：第一章绪论随着数据库信息安全的要求越来越高，安全数据库的推理通道问题逐渐成为研究的热点。本章首先介绍推理通道的概念，国内外研究现状，描述了为某些推理问题而提出的专门的策略，以及关于推理问题的通用模型。1.1本课题的研究背景、目的及意义随着经济和科技的迅速发展，以计算机以及网络技术为代表的信息科学技术的广泛应用标志着现代信息化的渐渐成熟。信息技术带给了人们生活和工作上的极大方便，但与此同时也带来了信息安全方面的威胁。其中数据的安全问题就是最突出的问题之一。非法的入侵、窃取、篡改、毁坏计算机系统中的重要信息数据，会给社会造成难以估计的损失，也为信息技术的更广泛应用造成了障碍。在信息社会中，国家的很多重要信息都存放在计算机中，计算机系统的信息安全已经涉及到了国家主权问题。同时，在互联网、电子商务和电子政务这些领域的应用，也对数据库系统的安全提出了比较高的要求。由此，信息的保密性、完整性、健壮性以及可靠性，在信息时代特别重要。数据库管理系统是信息系统的基础软件，所以它的安全性在信息系统中尤为重要。仅仅通过使用硬件来保护机密信息不被入侵窃取、篡改及破坏是远远不够的，软件保护同样也十分重要。像是未经授权非法访问数据库以及篡改数据库中的信息、偷取数据或者恶意破坏数据、网络方面黑客入侵、推理通道和隐通道等都是目前对数据库安全的主要威胁。安全数据库管理系统(SecureDatabaseManagementSystem，S-DBMS)给每一个用户（主体）和每一个数据对象（客体）都定义一个安全级，表示主体能够对什么样的安全级别的数据进行访问，从而保护数据库中的数据。目前国际上S-DBMS使用较多的安全模型是BellLaPadula(BLP)模型，安全策略原则为“上读下写”，它阻止了数据库系统中信息从高安全级向低安全级的直接流动，但敏感信息仍然可能通过隐通道被泄漏。隐通道是用来传递信息的载体，一般不被认为是客体资源，所以访问控制策略不会对其实行控制。高安全级数据库系统要求进行隐通道分析，以消除隐通道带来的威胁。另一种违反安全策略的信息泄漏是数据库的推理问题。推理是指较低安全级上的数据库中的用户利用在较低安全级上的数据、约束以及用户自有的信息来推理得出较高安全级的机密信息，一般来说用户自己就可以实现。虽然推理是自然界和人类社会中一种普遍存在的现象，并非数据库系统所特有的，但是推理问题在数据库系统中尤其突出。推理问题是指检测和消除推理通道。推理会导致未被授权的信息泄漏。通过推理方法获取权限以外的敏感信息，是一种比较隐蔽的信息泄漏方法。在较高安全级数据库系统中，要考虑对这种攻击的防御，以消除推理通道带来的威胁。推理与隐通道的不同之处在于，推理可以由一个用户单独利用返回的信息以及自身了解的知识实现。而隐通道则需要发送者和接收者之间进行协作，通过借助特洛伊木马来实现信息的传递。计算机数据安全主要包含三个方面的内容：（1）保密性：用来防止未授权的数据泄漏；（2）完整性：用来防止未授权的修改信息；（3）可用性：用来防止未授权的信息或者资源的占有。我们研究推理问题的目的，是为了保证信息保密性和完整性的同时提高信息的可用性。1.2国内外研究概况计算机安全在国际上早就受到了关注。目前各国所沿用或指定的一系列安全标准中，最重要的当属1985年美国国防部DoD推出的《