《多级安全数据库管理系统体系结构.ppt》由会员分享,可在线阅读,更多相关《多级安全数据库管理系统体系结构.ppt(39页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第三章第三章 多级安全数据库管理系统多级安全数据库管理系统 体系结构体系结构内容来源内容来源:数据库安全数据库安全朱虹朱虹华中科技大学计算机学院华中科技大学计算机学院多级安全数据库管理系统体系结构多级安全数据库管理系统体系结构体系结构设计的重要性体系结构设计的重要性:DBMS与与OS的结合方式的结合方式.目标为某个安全等级的多级目标为某个安全等级的多级DBMS,需要有同安全等级或更,需要有同安全等级或更高安全等级的高安全等级的OS的支持,否则多级的支持,否则多级DBMS自身的运行将失去保自身的运行将失去保障障.多级多级DBMS通过某种特殊体系结构的选择和通过某种特殊体系结构的选择和OS所提供的
2、安全所提供的安全功能密切结合,尽管自身无法达到某个安全等级,但通过有效功能密切结合,尽管自身无法达到某个安全等级,但通过有效地利用底层地利用底层OS的安全特性,仍可以达到的安全特性,仍可以达到OS的安全等级的安全等级多级安全数据库管理系统体系结构多级安全数据库管理系统体系结构1.体系结构的分类体系结构的分类:.高级运行结构高级运行结构.可信主体结构可信主体结构.完整性锁结构完整性锁结构.核心化结构核心化结构.复制式结构复制式结构按运行的按运行的DBMS实例实例(进程进程)数目分类数目分类:.单单DBMS进程进程.多多DBMS进程进程:每个实例是不可信进每个实例是不可信进程,安全级各不同程,安全
3、级各不同多级安全数据库管理系统体系结构多级安全数据库管理系统体系结构1.体系结构的分类体系结构的分类:按照按照TCB的范围来划分的范围来划分.具有自身具有自身独立的独立的TCB,独立实现自主与强制访问控制,独立实现自主与强制访问控制 可信主体可信主体DBMS.DBMS TCB与与外部外部TCB(安全安全OS或安全网络的或安全网络的TCB)共同构成完整共同构成完整的的TCB:两者之间存在依赖关系,:两者之间存在依赖关系,强制访问控制依赖外部强制访问控制依赖外部TCB TCB子集结构,核心化和复制式结构子集结构,核心化和复制式结构.完全依赖完全依赖DBMS外封装的安全过滤层为外封装的安全过滤层为T
4、CB 完整性锁结构完整性锁结构.依赖操作系统的依赖操作系统的TCB:完全依赖:完全依赖OS实现访问控制实现访问控制多级安全数据库管理系统体系结构多级安全数据库管理系统体系结构1.体系结构的分类体系结构的分类不同多级安全数据库体系结构对比不同多级安全数据库体系结构对比体系体系结结构名称构名称是否是否为为可可信主体信主体DBMS实实例例数目数目TCB位置位置高高级级运行运行否否单单操作系操作系统统可信主体可信主体是是单单DBMS完整性完整性锁锁否否单单过滤层过滤层集中集中/核心核心否否多多操作系操作系统统分布分布/复制复制否否多多OS/网网络络原型系原型系统统/商商业产业产品品ASD/Oracle
5、,Sybase,DMMitre/TrudataSeaView/OracleNRL多级安全数据库管理系统的体系结构多级安全数据库管理系统的体系结构2.高级运行结构高级运行结构:DBMS进程运行在多级安全进程运行在多级安全OS的最高的最高安全级进程上安全级进程上 .所有的数据库用户都工作在最高安全级,与数据的安全级相所有的数据库用户都工作在最高安全级,与数据的安全级相同,数据库中的数据信息作为整体或多个实体存在于同,数据库中的数据信息作为整体或多个实体存在于OS最高安全最高安全级对象中级对象中 .所有流出系统最高安全级的数据都必须经人工检查之后再发布所有流出系统最高安全级的数据都必须经人工检查之后
6、再发布总结总结:完全依赖完全依赖OS TCB,实际上数据库中的数据内容不分级的,实际上数据库中的数据内容不分级的多级安全数据库管理系统的体系结构多级安全数据库管理系统的体系结构2.高级运行结构高级运行结构:DBMS进程运行在多级安全进程运行在多级安全OS系统系统的最高安全级的进程上的最高安全级的进程上优点:简单,易于实现;已有的优点:简单,易于实现;已有的C2 级级DBMS不必经过任不必经过任何修改何修改 存在的问题:存在的问题:.费用开销大费用开销大 .更多的人指定为系统最高安全级导致信息泄露的危险更多的人指定为系统最高安全级导致信息泄露的危险 .手工发布信息的低效手工发布信息的低效DBMS
7、体系结构体系结构有三种:有三种:.核心化的方法核心化的方法 .完整性锁方法完整性锁方法 .复制数据的方法复制数据的方法 3.1 可信可信DBMS的抽象体系结构的抽象体系结构子集子集DBMS体系结构:体系结构:TCB处在处在DBMS的外部,利用安全操的外部,利用安全操作系统的强制访问控制机制对数据库对象进行强制访问控制作系统的强制访问控制机制对数据库对象进行强制访问控制 (1)特点特点 .多级多级DBMS实际上是由多个运行在安全实际上是由多个运行在安全OS不同安全级上的不同安全级上的单级单级DBMS的进程的进程(实例实例)组成组成 .多级数据库被分解为多个单级的数据库,每一个数据库都多级数据库被
8、分解为多个单级的数据库,每一个数据库都是一个概念上的多级数据库片段是一个概念上的多级数据库片段 .用户不是工作于多级别状态,而是用户不是工作于多级别状态,而是OS TCB中的一个会话级中的一个会话级别,每个用户只与和他同级别的别,每个用户只与和他同级别的DBMS交互交互 .多级多级DBMS有一定的访问控制权,但是有一定的访问控制权,但是OS对于对于DBMS访问访问数据的操作实行完全的访问控制数据的操作实行完全的访问控制 TCB子集子集DBMS方法方法 2.两种变形两种变形(1)集中式集中式TCB子集子集DBMS体系结构体系结构(2)复制数据的体系结构复制数据的体系结构 3.1 可信可信DBMS
9、的抽象体系结构的抽象体系结构3.2 集中式集中式TCB子集子集DBMS体系结构体系结构 高安全级用户高安全级用户 低安全级用户低安全级用户可信前端可信前端TFE可信前端可信前端TFE可信操作系统可信操作系统高安全级高安全级DBMS进程进程低安全级低安全级DBMS进程进程高安全级数据库分片高安全级数据库分片低安全级数据库分片低安全级数据库分片 集中式体系结构示意图集中式体系结构示意图3.2 集中式集中式TCB子集子集DBMS体系结构体系结构将多级关系分解为将多级关系分解为单级关系单级关系多级关系多级关系单级关系单级关系数据数据 安全级安全级Enterprise Rigel LowVoyager
10、Mars High分解分解恢复恢复LOW Enterprise RigelHIGH Voyager Mars3.2 集中式集中式TCB子集子集DBMS体系结构体系结构特点:特点:.在强制访问控制上和底层的操作系统一样安全;在强制访问控制上和底层的操作系统一样安全;.数据存储集中。数据库内容按级别分解后,作为数据存储集中。数据库内容按级别分解后,作为OS的对象集中保存在安全的对象集中保存在安全OS中,任何级别的数据中,任何级别的数据在数据库中只保存一份;在数据库中只保存一份;.运行进程集中。不同级别的运行进程集中。不同级别的DBMS进程实例运行进程实例运行在同一个安全在同一个安全OS中中3.2
11、集中式集中式TCB子集子集DBMS体系结构体系结构采用该体系结构的原型系统和商用系统:采用该体系结构的原型系统和商用系统:SeaView DBMS LDV DBMS ORACLE 的的 OS MAC模式模式 可以达到可以达到TCSEC规定的规定的A1级要求级要求 这几个系统都为用户提供了多级数据库的概这几个系统都为用户提供了多级数据库的概念视图,具有元素级的标记粒度念视图,具有元素级的标记粒度 3.2 集中式集中式TCB子集子集DBMS体系结构体系结构优点优点:(1)安全性高安全性高:可信安全可信安全OS负责强制访问控制,可以实现比负责强制访问控制,可以实现比DBMS本身的安全级别更高的多级安
12、全本身的安全级别更高的多级安全DBMS,作为一个整,作为一个整体可以达到体可以达到OS所能够提供的安全级别所能够提供的安全级别;(2)(2)可靠性好可靠性好:减少了减少了TCB的大小和复杂程度的大小和复杂程度.(3)缺点缺点:(4)OS 负载过大,系统性能表现差负载过大,系统性能表现差;(5)OS能够支持的并发进程数目有限,一定程度上限制了安全能够支持的并发进程数目有限,一定程度上限制了安全标签的范围标签的范围;(6)不同级别的不同级别的DBMS共享数据,容易形成隐通道共享数据,容易形成隐通道.题目题目2:多级安全数据库管理系统的实现方法并做报告多级安全数据库管理系统的实现方法并做报告(自由组
13、合:自由组合:2人合作完成,报告时要说明每人的工作人合作完成,报告时要说明每人的工作)要求要求:(1)模拟在多级安全操作系统上模拟在多级安全操作系统上,实现一个多级安全数据库实现一个多级安全数据库管理系统的可信前端管理系统的可信前端TFE(只能给某一个安全级的用户使用只能给某一个安全级的用户使用),采用,采用集中式集中式TCB子集子集DBMS体系结构,不必做成服务模式。体系结构,不必做成服务模式。(2)将将标记粒度是元素标记粒度是元素的表分解后保存在不同安全级的数据库中。的表分解后保存在不同安全级的数据库中。假设只有假设只有2个等级个等级(普通、秘密普通、秘密)(3)实现用户的管理和标记实现用
14、户的管理和标记因为没有多级安全操作系统因为没有多级安全操作系统(4)实现对固定表实现对固定表(可指定外键及值约束可指定外键及值约束)、查询、查询(恢复算法恢复算法、带条、带条件、排序件、排序,不含子查询不含子查询)、修改、删除、插入、修改、删除、插入(分解算法分解算法)语句语句(5)实现实现BLP模型的模型的“同级写同级写”,假如高安全级用户要修改低安全,假如高安全级用户要修改低安全级数据怎么办?级数据怎么办?从安全性角度出发的处理方法,并分析可能从安全性角度出发的处理方法,并分析可能存在的问题存在的问题(6)允许多实例的存在允许多实例的存在复制式体系结构分为复制式体系结构分为:.全部数据复制
15、的分布式体系结构全部数据复制的分布式体系结构.部分数据复制的分布式体系结构部分数据复制的分布式体系结构.系统中的每个节点都存储数据副本,通过事务进行系统中的每个节点都存储数据副本,通过事务进行数据访问数据访问.复制数据库的两个重要问题:复制数据库的两个重要问题:.并发控制并发控制:将并发的事务隔离将并发的事务隔离 .复制控制复制控制:协调对不同副本的访问协调对不同副本的访问复制式体系结构复制式体系结构提高性能的方法提高性能的方法3.3 全部数据复制的分布式体系结构全部数据复制的分布式体系结构 可信前端可信前端TFE高安全级用户高安全级用户低安全级用户低安全级用户全部数据复制的分布式体系结构示意
16、图全部数据复制的分布式体系结构示意图高安全级高安全级DBMS低安全级低安全级DBMS高高+低低安安全全级数据级数据低安全级低安全级数据数据可信前端可信前端TFE3.3 全部数据全部数据复制的分布式体系结构复制的分布式体系结构 可信前端:可信前端:(1)负责引导用户访问正确的数据库处理器负责引导用户访问正确的数据库处理器(2)保证在数据库处理器之间没有非法信息流动保证在数据库处理器之间没有非法信息流动(3)维护复制的数据库片段的数据一致性,正确维护复制的数据库片段的数据一致性,正确地标记查询地标记查询,并将结果返回给用户并将结果返回给用户(4)可信前端还负责用户标识和认证,维护到用可信前端还负责
17、用户标识和认证,维护到用户的可信路径和审计。户的可信路径和审计。3.3 全部全部数据复制的分布式体系结构数据复制的分布式体系结构 特点:特点:(1)多级数据库的物理分布来实现强制分离和访问控制多级数据库的物理分布来实现强制分离和访问控制(2)多个后端数据库处理器将多级数据库分离为多个系多个后端数据库处理器将多级数据库分离为多个系统最高安全级的片段统最高安全级的片段(3)可信前端处理器可信前端处理器(TFE)控制所有用户访问多级数据控制所有用户访问多级数据库和每个单安全级后端数据库处理器库和每个单安全级后端数据库处理器(4)每个后端数据库处理器管理某个安全级上的数据库每个后端数据库处理器管理某个
18、安全级上的数据库片段和所有低安全级数据的复制版本片段和所有低安全级数据的复制版本 3.3 全部数据复制的分布式体系结构全部数据复制的分布式体系结构 优点:优点:(1)将数据库物理分离为系统最高安全级的片段,实将数据库物理分离为系统最高安全级的片段,实现强制分离现强制分离;(2)DBMS在后端运行用户的查询,后端有所需要的在后端运行用户的查询,后端有所需要的所有数据,不必在前端分解用户查询或实现另外所有数据,不必在前端分解用户查询或实现另外的的DBMS功能,因而提高了效率功能,因而提高了效率;(3)多个多个DBMS物理处理器的使用,与在一个可信操物理处理器的使用,与在一个可信操作系统上使用多个进
19、程相比,提高了系统性能作系统上使用多个进程相比,提高了系统性能;(4)简化了可信前端的代码量简化了可信前端的代码量.全部数据复制的分布式体系结构全部数据复制的分布式体系结构 缺点:缺点:(1)需要用可信代码复制低安全级站点更新的元组,需要用可信代码复制低安全级站点更新的元组,以保持版本的一致性以保持版本的一致性 (2)物理上分离的处理器是在硬件上集中的,因而这物理上分离的处理器是在硬件上集中的,因而这种体系结构仅对系统安全级个数较少的情形可行。种体系结构仅对系统安全级个数较少的情形可行。对于对于N个非分层的敏感级别,需要的后端处理器个非分层的敏感级别,需要的后端处理器(站点站点)个数是个数是2
20、N-13.4 可变数据复制的分布式体系结构可变数据复制的分布式体系结构 被被Unisys安全分布式安全分布式DBMS(SD-DBMS)采用采用特点:特点:(1)数据分布在不同的站点:以单个多级数据分布在不同的站点:以单个多级DBMS运行,运行,提供元组级标记,将多级关系分解成单级片段,在流行提供元组级标记,将多级关系分解成单级片段,在流行的商用的商用DBMS处理器上分布存储这些片段处理器上分布存储这些片段。(2)根据实际需要复制数据根据实际需要复制数据(3)由三类部件组成:用户前端由三类部件组成:用户前端(UFE)、可信前端、可信前端(TFE)和网络连接和网络连接 3.4 可变数据复制的分布式
21、体系结构可变数据复制的分布式体系结构 可信操作系统可信操作系统可信前端可信前端TFE多级用户前端多级用户前端UFE多级用户前端多级用户前端UFE高高DBMS后端后端低低DBMS后端后端 SD-DBMS体系结构示意图体系结构示意图 可变数据复制的分布式体系结构可变数据复制的分布式体系结构(1)用户前端用户前端UFE .具有单安全级的站点,或者是可在某个安全级具有单安全级的站点,或者是可在某个安全级范围内操作的多级模式下的可信工作站点范围内操作的多级模式下的可信工作站点 .提供终端用户和提供终端用户和TFE之间的接口之间的接口(2)TFE组件组件 .控制所有控制所有DBMS组件的运行组件的运行 .
22、提供数据库访问的提供数据库访问的引用监控机制引用监控机制 .与与TFE连接的是多个不可信后端连接的是多个不可信后端DBMS主机主机 .后端后端DBMS将数据存储在适当的安全级上,响将数据存储在适当的安全级上,响应由应由TFE产生的单级请求,完成终端用户的查询产生的单级请求,完成终端用户的查询 可变数据复制的分布式体系结构可变数据复制的分布式体系结构(3)网络连接组件网络连接组件 多级局域网,支持不可信后端的分离并在多级局域网,支持不可信后端的分离并在UFE部部件和件和TFE之间提供安全数据传输之间提供安全数据传输(4)数据库操作请求的处理数据库操作请求的处理 .用户请求被发送给用户可见的多级关
23、系,产用户请求被发送给用户可见的多级关系,产生元组级标记的多级结果生元组级标记的多级结果 .任何在多级关系上的查询可分解为对单安全任何在多级关系上的查询可分解为对单安全级片段的查询集合,并且多个查询的单安全级结果级片段的查询集合,并且多个查询的单安全级结果可以组成正确的响应结果返回可以组成正确的响应结果返回 可变数据复制的分布式体系结构可变数据复制的分布式体系结构 优点:优点:能给用户返回可信的元组级标记,不需要复制全能给用户返回可信的元组级标记,不需要复制全部的数据,减少了更新复制的处理时间,减少了存部的数据,减少了更新复制的处理时间,减少了存储空间储空间 采用分布式数据管理技术将多级请求分
24、解为多采用分布式数据管理技术将多级请求分解为多个单级请求,这些单级请求可以并行地执行个单级请求,这些单级请求可以并行地执行 缺点:缺点:需要传送较低安全级数据到较高安全级后端需要传送较低安全级数据到较高安全级后端 3.5 完整性锁完整性锁DBMS 不可信数据管理器不可信数据管理器单级用户前端单级用户前端单级用户前端单级用户前端不可信前端不可信前端可信前端过滤器可信前端过滤器可信操作系统可信操作系统 完整性锁体系结构示意图完整性锁体系结构示意图 3.5 完整性锁完整性锁DBMS 3.5 完整性锁完整性锁DBMS(1)不可信前端进程与终端用户交互,负责完成查询不可信前端进程与终端用户交互,负责完成
25、查询前后的处理,如查询的解析、优化、投影等,将最前后的处理,如查询的解析、优化、投影等,将最终处理结果返回给用户。终处理结果返回给用户。(2)基于安全操作系统的可信过滤进程负责加密和解基于安全操作系统的可信过滤进程负责加密和解密对象及其标记,标识数据管理进程返回的数据子密对象及其标记,标识数据管理进程返回的数据子集,实现对这些数据子集的访问。假设数据库对象集,实现对这些数据子集的访问。假设数据库对象是元组,可信过滤器对每个元组及其标记用一个加是元组,可信过滤器对每个元组及其标记用一个加密算法产生密码效验和,从而用元组的安全级对元密算法产生密码效验和,从而用元组的安全级对元组加密封缄。组加密封缄
26、。3.5 完整性锁完整性锁DBMS 数据数据 封缄封缄Enterprise Rigel LowVoyager Mars High.封缄不可伪造,即只有可信前端过滤器能够产生正确的封缄不可伪造,即只有可信前端过滤器能够产生正确的封缄封缄.封缄是通过加密产生的,密钥只有可信前端过滤器知道封缄是通过加密产生的,密钥只有可信前端过滤器知道.通过加密封缄,可以判断数据是否被篡改过通过加密封缄,可以判断数据是否被篡改过不能防不能防止这一行为止这一行为.响应结果被正确的封缄过滤,但是不足以保证安全性响应结果被正确的封缄过滤,但是不足以保证安全性 3.5 完整性锁完整性锁DBMS 数据数据 封缄封缄Enter
27、prise Rigel LowVoyager Mars High.高安全级用户查询:所有的数据高安全级用户查询:所有的数据不可信不可信DBMS返回返回的结果的结果数据数据 封缄封缄Enterprise Rigel LowVoyager Mars High经过滤之后的结果经过滤之后的结果 3.5 完整性锁完整性锁DBMS 数据数据 封缄封缄Enterprise Rigel LowVoyager Mars High.低安全级用户查询:所有的数据低安全级用户查询:所有的数据不可信不可信DBMS返回返回的结果的结果数据数据 封缄封缄Enterprise Rigel Low经过滤之后的结果经过滤之后的结
28、果 3.5 完整性锁完整性锁DBMS 存在推理问题:存在推理问题:3.5 完整性锁完整性锁DBMS 优点:优点:(1)实现简单。用不可信的商用实现简单。用不可信的商用DBMS以数据库最高安以数据库最高安全级存储多级数据库,降低了由可信前端支持检索的全级存储多级数据库,降低了由可信前端支持检索的功能要求功能要求(2)增强了对偶然的或恶意的数据更新的保护增强了对偶然的或恶意的数据更新的保护缺点:缺点:(1)安全性、可靠性差。加密技术的应用,需要管理密安全性、可靠性差。加密技术的应用,需要管理密钥,增加了钥,增加了TCB的复杂度。的复杂度。(2)查询优化,子查询处理,投影运算都必须在查询优化,子查询
29、处理,投影运算都必须在TFE或或者者UFE中实现中实现(3)最高评估级别达到最高评估级别达到B13.6 可信主体可信主体DBMS.DBMS运行在安全操作系统之上,安全操作系运行在安全操作系统之上,安全操作系统提供统提供DBMS代码的分离和数据库访问代码的分离和数据库访问.所有对数据库的访问必须通过可信所有对数据库的访问必须通过可信DBMS,DBMS在一个或多个文件中存储多级数据库;在一个或多个文件中存储多级数据库;.所有的所有的DBMS数据都以数据都以DBMS标记存储。标记存储。3.6 可信主体可信主体DBMS 优点:优点:(1)DBMS具备同时访问所有安全级上数据的能力,充具备同时访问所有安
30、全级上数据的能力,充分利用了分利用了DBMS的数据处理能力,的数据处理能力,最小化了操作系统最小化了操作系统处理负载处理负载。(2)可以处理更复杂的,包含多个访问控制级别的数可以处理更复杂的,包含多个访问控制级别的数据访问,支持不同敏感级别的数据对象之间定义的完据访问,支持不同敏感级别的数据对象之间定义的完整性约束,例如引用完整性约束。整性约束,例如引用完整性约束。缺点:缺点:(1)难以达到高的难以达到高的TCSEC评估的级别,评估的级别,难以证明软件难以证明软件正确工作而不引起从高安全级到低安全级的数据流动正确工作而不引起从高安全级到低安全级的数据流动 多级安全数据库管理系统体系结构总结多级
31、安全数据库管理系统体系结构总结(1)以系统最高安全级的进程运行以系统最高安全级的进程运行(2)5种多级安全种多级安全DBMS的体系结构的体系结构 .核心化的方法核心化的方法(Hink-Schaefer).复制数据的体系结构复制数据的体系结构 .完整性锁方法完整性锁方法 .可信主体体系结构可信主体体系结构 .高级运行结构高级运行结构题目题目2:字符数据的字符数据的加密方法及性能分析加密方法及性能分析 总要求:总要求:(1)不考虑密钥的管理技术,表内所有数据采用等密钥不考虑密钥的管理技术,表内所有数据采用等密钥加密,要充分利用加密,要充分利用DBMS的管理能力的管理能力;(2)数据库加解密在客户端进行数据库加解密在客户端进行;(3)要对要对2类查询类查询:LIKE 和范围查询进行测试,不要求和范围查询进行测试,不要求做成通用程序,可以专门针对这两类查询设计处理程序做成通用程序,可以专门针对这两类查询设计处理程序;(4)针对全表查询后解密和直接密文查询进行性能对比。针对全表查询后解密和直接密文查询进行性能对比。注意注意:英文字符加密处理采用英文字符加密处理采用TPC-H数据生成工具产生数据生成工具产生初始数据,再编写程序加密后保存在数据库中;中文字初始数据,再编写程序加密后保存在数据库中;中文字符加密则可以用金庸小说作为测试数据。符加密则可以用金庸小说作为测试数据。