《分布式数据库的安全与管理.ppt》由会员分享,可在线阅读,更多相关《分布式数据库的安全与管理.ppt(78页珍藏版)》请在三一办公上搜索。
1、1,第八章 分布式数据库的安全与管理,2,概念(1),保密 即“私有”,控制属于自己的数据安全 保护保密数据不被非法使用安全的两个方面数据保护和授权控制进一步保障DB数据完整性保障DB数据的保密性 身份识别,访问控制,审计,隐通道等保障DB数据的可用性,3,概念(2),不安全因素黑客攻击病毒网络环境的脆弱OS安全DBMS安全网络协议安全,4,概念(3),DDB安全需求受破坏时的表现 非法用户对DB的访问,执行了不正确的修改,DB一致性,完整性被破坏,DB中垃圾堆积,使DB不可用安全环节 各站点上存储安全,本地/远程访问安全,传输安全提供服务DB有保密性DB有一致性有可用性 防止/及时修复错误造
2、成的恶意破坏有可控性对DB变化做跟踪记录,5,分布式授权控制问题,远程用户身份认证分布式授权规则管理分布式授权规则表达与集中式时相同视图以及用户组的管理,6,完整性(1),一致性,正确性,有效性和准确性数据库状态是否遵从它所描述的机构的规则关系定义时的约束局部完整性与全局完整性的约束局部完整性约束是通过局部数据库系统实现站点自治要求DDBS上的完整性约束不应该改变其原有约束,7,完整性(2),局部完整性约束不一致站点1要求EMP有birthdate属性,站点2不要求站点1要求学生每学期学习5门课,站点2要求学习6门课(使全局用户计算学生平均分数时困惑)站点1的Salary有上/下限要求,站点2
3、没有要求难以规定全局的完整性EMP的工作总时数20,若EMP可以在两个站点上的部门工作,如何分配工作时数(全局完整性约束保留在全局目录系统中)全局与局部完整性的不一致同时允许局部与全局完整性,不一致性不可避免假定全局要求EMP.hour20,站点1要求EMP.hour15,站点2要求EMP.hour10,8,安全层次,安全-防止人恶意地破坏和偷窃数据数据库系统层次OS层次网络层次物理层次人员层次,9,OS层次的安全,防止非法登录文件层访问保护(通常对DB安全作用不大)防止“超级用户”的不正确使用防止高级别优先权的指令的不正确使用,10,网络层安全,每个站点必须保证是与可信赖的站点通信链路必须保
4、证没有没窃听和篡改方法:基于保密字的协议(password-based),密码学(Cryptography),11,物理层,保护数据不受侵入者的物理破坏,传统方式用锁和钥匙等保护不受洪水,电力故障等数据恢复保护磁盘不被偷窃,清除,物理损坏等,12,人员层,防止保密字被盗,偷看主要的管理方法:经常变换保密字使用不可猜测的保密字日志所有非法的访问数据审计仔细雇用人员,13,数据库层,假定在OS,网络,人员,物理层都是安全的数据库安全是:每个用户仅仅可以读/写部分数据用户可能对整个文件或关系有权,也可能仅仅只对文件或关系的一部分有权,14,安全术语(1),主体(Subject)引起信息流动或改变系统
5、状态的主动实体,如用户,程序,进程客体(Object)蕴含或接收信息的被动实体,信息的载体,如DB,表,记录,视图,属性等安全级(Security Level)主体和客体的访问特权,一般主体安全级表示主体对客体敏感信息的操作能力,客体安全级表示客体信息的敏感度,15,安全术语(2),隐蔽信道(Covert Channel)进程以危害系统安全的隐蔽方式传输信息的通信信道统计数据库(推论)安全,信息漏洞,特洛伊木马等自主访问控制(Discretionary Access Control)基于主体身份或主体所属组的身份或二者结合来限制对客体访问的方法。具有访问权的主体能自行决定其访问权直接或间接转授
6、给别人强制访问控制(Mandatory Access Control)基于主体与客体各自所具有的敏感度标记的控制关系来决定主体对客体的访问,标记是由系统安全员指派,用户不能随意修改,更不能转让,16,权限控制,当主体访问客体时,要进行访问的合法性检查。“知必所需”原则 限制用户只能知道授权他知道的那些数据对象(最小特权原则),17,权,数据库部分的权的形式:读权-允许读,但是不能修改数据插入权-允许插入新数据,但不能修改以存在的数据修改权-允许修改,但不能删除数据删除权-允许删除数据,18,权 续.,更新数据库模式权的的形式:索引权-允许创建和删除索引资源权-允许创建新关系修改权-允许增加或删
7、除关系中的属性删除权-允许删除关系,19,权与视图,用户可以将某个权授给视图,但是没有给定义视图的关系视图可以通过限制用户访问的数据而加强数据库的安全性关系层和视图层的安全组合可以精确地限制用户只对其应用需要的数据访问,20,授权与收权,Grant 语句Grant To With Grant OptionRevoke 语句Revoke From,21,授权方式(1),静态授权DBMS必须要确定不同用户对不同数据对象的存取权数据对象的粒度由系统规定数据对象命名唯一DBA拥有访问全部数据对象的全权检查功能隔离功能 保证用户只访问已授权的数据对象控制访问 保证用户只能按他已得到的访问权的访问方式存取
8、数据,22,授权方式(2),矩阵法实现安全矩阵法或存取检查矩阵法矩阵S的元素 Sij=S(Ui,Oj)用户Ui对数据对象Oj的存取权.矩阵法简便有效,OS的存取检查中广泛被应用按行存储法 按用户存储的权利表方法 按列存储法 按数据对象存储的权利表方法,23,R,D,R,U,R,Un,.,.,.,.,.,.,.,.,R,DR,R,R,U,U2,R,I,R,D,R,D,U1,Om,O2,O1,数据对象,用户,安全矩阵S,24,授权方式(3),锁钥实现法矩阵法中按行存储与按列存储方法的结合每个用户Ui设立一个钥表(O1,K1),(O2,K2),.(Om,Km),每个数据对象Oj设立一个锁表(L1,P
9、1),(L2,P2),.(Ls,Ps),Ki 保密钥 Li 保密锁 Pi 存取权集钥匙表由数据安全子系统管理若Ui对Oj存取权Pi时,查其Kj是否能与Oj中的某一Lk配对,若存在这样的Lk,使Kj=Lk,且Pi Pk,则批准存取.,25,授权方式(4),口令实现法将锁钥法中的钥匙直接交给用户,则称口令法面向数据对象 每个数据对象有一个存取口令,用户通过出示其存取口令来访问数据对象.安全表集中管理,系统实现简单面向用户 每个用户或用户组一个口令,口令表中存放该口令可以访问的对象列表 简单口令表 划分安全级别的口令表,26,面向用户的简单口令系统,27,划分安全级别的口令表,28,关系及元组的安全
10、级表,29,授权方式(5),动态授权方式用户对自己生成的关系拥有全权,通过授权和收权语句完成对数据开放,保密的存取权授予(Grant,Revoke)存取表(AT)实现法t:Time g:转让 y:允许 N:不允许opt:限制 all 所有属性都允许 none 所有属性都不允许 some 某些属性允许视图法,30,动态授权方式的存取表AT,31,多级安全的BLP模型(1),和 L.J.La Padula 于1973年模拟军事安全策略创建的计算机系统安全模型,74年改进,76年用于Multics操作系统形式化定义状态机模型系统状态状态v V V=(B M F H)B 当前存取集,B(S O A)S
11、 主体集 O 客体集 A 访问方式集,有Read(R),Write(W),Execute(E)Append(A),32,多级安全的BLP模型(2),存取控制矩阵 M=,m11 m1n,mn1 mnn,.,mij A 表示Si主体对客体Oj的访问权集,F:安全级函数.三个分量fn 主体最大安全级函数fc 主体当前最大安全级fo 客体安全级 H:当前客体层次结构 H(O):以O为根的树中客体集合 H的限制:在当前客体结构中,任意客体不具有多个父客 体且不存在循环,33,多级安全的BLP模型(3),状态转换规则:R V D VR V 系统中给请求定义的请求-状态对集合D V 系统中给请求定义的判定-
12、状态对集合R:请求集 D:请求的输出集 yes,no,?,error模型公理简单安全特性V=(b,M,f,H)满足简单安全特性,当且仅当对任意 b=(s,o,x)B,有 x=e/a 或者 x=r/w 并且 fn(s)=fo(o)即主体读写或访问客体,要求 主体的最大安全级别=客体的安全级别,34,多级安全的BLP模型(4),*特性V=(b,M,f,H)对以主体集S S 满足*特性,当且仅当对任意b=(s,o,x)Bx=a fc(s)=fo(o)S是不可信主体该特性用以防止不可信主体引起的信息从高安全级向低安全级的非法流动,35,多级安全的BLP模型(5),自主安全特性V=(b,M,f,H)满足
13、该特性,当且仅当对每个b=(si,oj,x)B,x MijSi对Oj可执行的读写访问集只能是Mij所允许的集合兼容特性客体层次结构H保持兼容特性,当且仅当对任意Oi,Oj O 并且Oj H(fo(Oi),fo(Oj)=fo(Oi),用于保持客体的安全级别是向树叶方向增高,36,多级安全的BLP模型(5),BLP模型策略分两部分MAC部分 包括简单安全特性和*特性,是通过安全级别来强制约束主体对客体的存取DAC部分 通过存取控制矩阵按用户意愿限制主体对客体的存取,37,基于标记的多级安全(1),一种实现强制访问控制的RDB系统基于BLP模型1991年 Jajodia和Sandhu提出基础主体集S
14、,客体集O每个主体s,存在固定的安全类SC(s)每个客体o,存在固定的安全类SC(o)简单安全特性 iff SC(o)=SC(s)时,s可以读o(下读)*特性 iff SC(s)=SC(o)时,s才可以写o(上写),38,基于标记的多级安全(2),基本概念安全标记基于标记的安全DB中,信息流动策略定义为一个格阵(SC,)SC:安全类的有限集:定义在SC上的二元偏序关系当A B时,允许A类信息流向B类.每个安全类定义为(level,Scope)level:密级,分为绝密,秘密,机密,普通Scope:领域,39,基于标记的多级安全(3),客体安全标记为实现强制访问控制,对数据进行标记,按粒度分 为
15、三级基于元组的标记(A1,A2,.,An,TC)基于主键的标记(A1,C1,A2,.,An,TC)基于每个属性的标记(A1,C1,A2,C2,.,An,Cn,TC),40,基于标记的多级安全(4),主体安全标记由系统安全员指派给用户,也是用户向系统登录时使用的安全标记.一个用户可以申请不同的许可证.读写策略当且仅当 Level_o=Level_s,并且Scope_o Scope_s 时,主体才能读客体当且仅当 Level_o=Level_s,并且Scope_o=Scope_s 时,主体才能写客体,41,基于标记的多级安全(5),基于标记的多级安全关系对关系的扩展将关系R(A1,A2,.,An)
16、扩展为 R(A1,C1,A2,C2,.,An,Cn,TC),Ci是Ai的定义域,由区间 Li,Hi 表示从Li到Hi的访问类子格,TC是整个元组的安全标记,由区间 lubLi:i=1,n,lubHi:i=1,n 表示.,42,基于标记的多级安全(6),关系实例 r(A1,C1,A2,C2,.,An,Cn,TC)关系实例中元组 t(a1,c1,a2,c2,.,an,cn,tc)ciLi,Hi,tc=lub(ci)不同级别的主体对关系实例有不同的视图,43,基于标记的多级安全(7),多级安全的读写规则主体与客体都被标记,并遵循Bell-La Padula模型主体只能读其级别等于或小于其登录标记(许
17、可证)的元组 下读主体写时,其登录标记也随之记录到所写元组中,成为该元组的安全级别,并且只能写入级别等于或大于其登录标记的元组 上写,44,MLS 关系举例(1),Ename Sal Job performance TCSmith U 4000 U Fair U UBrown U 5000 U Good U UJack C 2000 C Excellent C C Jack C 2000 C Fair S S,45,MLS 关系举例(2),Level U 读到前 2 元组Level C 读到前 3 元组Level S 读到所有元组,46,安全评估标准(1),计算机系统的安全标准1983年美国防
18、部桔皮书 TCSEC1990年欧洲白皮书 CC1994年中国TCSEC将安全分为四类7个级别D类 D级 最低,47,安全评估标准(2),C类 自主保护类,基于主体身份来限制对客体访问,主体可自主地决定其权限的授与C1级 自主安全(自主存取控制,审计)C2级 可控存取(比C1更强)B类 强制保护类,基于主体与客体各自所具有的敏感度标记的控制关系来决定主体对客体的访问B1级 标记安全(强制存取控制,敏感标记)B2级 结构化保护(形式化模型,隐蔽通道约束)B3级 安全域保护(安全内核,高抗渗透)A类 验证保护类A1级 可验证保护,形式化安全验证,隐蔽通道分析,48,TCSCE的安全等级与主要特征表,
19、49,安全评估标准(3),DBMS的安全评估标准应与OS有相同的安全级别1991年美国家计算机安全中心根据TCSEC制订紫皮书DBMS的安全也分四类,7级,25条评估标准D级 低级安全保护 C1级 自主安全保护C2级 受控存取保护 B1级 标记安全保护B2级 结构化保护 B3级 安全域保护A1级 可验证保护,50,*-*-*-*-*,24252627,安全性能用户指南保安设施手册考核文件设计文件,文件,*-*-*-*-*-*,151617181920212223,体系结构系统的完整性完全考核设计规范与验证隐蔽通道分析可信设施管理配置管理恢复可信分配,保证,*-*-*-,121314,标示与鉴别
20、审计可信路径,责任,*-*-*-*-*-*-*-*-*-*-*-*-,1234567891011,自主访问控制客体重用标记标记的完整性标记信息输出多级设备输出单级设备输出标记的硬拷贝输出强制访问控制主体安全表示设备标记,安全策略,D C1 C2 B1 B2 B3 A1,序号,安全评估指标,类别,不同安全级别对安全评估指标的支持,51,当前流行RDBMS安全机制(1),共性权限(Privilege)和授权(Authorization)角色(Role)系统角色 系统预先定义用户定义角色 命令方式定义身份认证(Authorization)为确认某人是他自称的那个人,检查他的合法性系统登录认证 OS检
21、查数据库连接 DBMS验证数据库对象使用 DBMS核实其对数据对象的存取权限,52,OS或NOS验证身份,DBMS验证身份,DBMS验证权限,用户名/口令,登陆OS或NOS,登陆DBMS,访问DB,身份认证的三个级别,53,当前流行RDBMS安全机制(2),自主访问控制采用存取矩阵模型实现自主访问控制描述用户对DB级其对象的访问权限通过Grant语句建立审计(Auditing)固定方式 系统自动对其进行选择方式 审计内容由用户(包括DBA)设置视图,存储过程和触发器存储过程 为实现某一功能的一组SQL语句,54,当前流行RDBMS安全机制(3),努力与改进目前系统符合TCSEC的C1或C2级要
22、求ORACLE公司的Trusted Oracle7是多级安全服务器强制访问控制 任意用户访问DB前,对其进行强制访问控制使用标签 DB中每一行都有一个安全标签,表示该行数据的敏感度用户可写数据标签=用户当前任务的敏感度标签(同级写)用户可读数据标签 或=用户当前任务的敏感度标签(下读),55,当前流行RDBMS安全机制(4),Sybase和RTM合作开发的符合TCSEC的B类标准安全SQL服务器B1版本 B1级安全的UNIX上运行B2版本 可在裸机上运行DB2对用户身份验证的改进Client类型 验证在激活应用的服务器上进行Server类型 在数据库所驻留的服务器上进行分布式数据库服务器,在安
23、装了DDCS的网关上进行,若验证为DCS类型,验证被传递到主机DBMS,若数据访问不涉及DDCS,则在数据库驻留的服务器上对身份验证,56,DDB的目录系统(1),目录(System Catalog)一个“微小DB”,描述DB的元数据字典(Dictionary)比目录更一般的软件,存储的信息可为用户和DBA使用,但更重要的是为DBMS本省的软件模块所有以表的形式存放在DB中,表由系统建立,用户只可读,不可写,57,DDB的目录系统(2),目录的内容全局模式描述分片模式描述分布模式描述局部映射存取方式描述数据库统计信息一致性约束状态信息数据表示系统描述,58,DDB的目录系统(3),目录的用途设
24、计应用翻译应用优化处理运行监督系统维护,59,DDB的目录系统(4),组织方式独立式 利用OS提供的文件管理功能建立和维护目录信息分离式 利用DBMS建立和维护目录信息,但其用户界面和功能均独立于DBMS嵌入式 DBMS与目录信息一体化,即数据目录系统作为DBMS的子集,DBMS通常应用该方式,60,DDB的目录系统(5),逻辑结构网络目录含有运行,优化DDB的信息,包括通信线路的有关参数,各站点CPU的工作负载,磁盘空间占有状态,语言配置,处理功能等全局外模式目录 数据结构,存储位置,划分准则,完整性,安全性控制,数据映像及存取路径,各站点软硬件特征全局概念模式目录全局关系,公共过程等,以反
25、映DDB的整体观念,提供唯一的系统映象,61,DDB的目录系统(6),局部外模式目录与局部概念模式目录与全局外模式和全局模式目录类似,但包含的信息仅涉及各自站点的处理对象,与其它站点无关内模式目录DDBS的局部存储描述,与集中式系统完全相同.目的是合理地组织物理数据库,以提高运行效率,62,网络目录,全局外模式目录,局部外模式目录,全局概念模式目录,局部概念模式目录,内模式目录,局部数据库,DDBS目录系统的逻辑结构,63,DDB的目录系统(7),目录管理系统在网络OS和DDBMS的支持下实现对DB目录进行自动管理,并保持其在动态变化过程中数据目录的一致性和有效性功能模块目录定义目录装入目录查
26、询,更新目录维护报告生成,64,DDB的目录系统(8),目录的分布方式集中式单一主目录方式分组主目录全复制式目录局部式目录混合方式集中与局部混合全复制与局部式混合混合的关键是目录的划分,65,具有站点自治的命名与管理(1),站点自治允许每个局部用户在与全局无关的前提下建立和命名其自己的局部数据,并允许若干用户共享这些数据的权利允许用户在各自站点独立定义数据允许不同用户在自己站点对同一数据命以不同的名字允许不同站点上的不同用户使用相同名字访问不同数据,66,具有站点自治的命名与管理(2),命名机制(System R为例)系统范围名4部分组成 创建对象的用户标识符,用户所在站点名,对象名,对象的源
27、站点名User-1shanghai.EMP beijing“”是站点名的前置分隔符“.”是对象名的前置分隔符该例表示上海站点的用户User-1在北京站点上创建了一个EMP的全局对象名打印名系统范围名的速记名,67,具有站点自治的命名与管理(3),目录分布策略在每一对象的源站点存放一个描述该对象的目录项在对象副本所在的每一个站点设置该对象相应的目录项目录分布特点避免了目录的全复制,各站点可以自主定义对象站点不需维护不是其创建或不存储对象的描述,68,分布式DB中权限保护(1),DDB中给予每个站点自治性的程度没有任何自治性 全局DBA的功能与集中式DBA没有多少差别完全站点自治 全局DBA功能有
28、限,站点间共享数据是其协商的结果激活与保护站点之间的通信,重要的事要保证通信线路另一侧是所要的站点 识别协议没有入侵者能读取或操纵两个站点之间交换的报文,69,分布式DB中权限保护(2),权限规则的分布全局复制此法允许在编译时,或者执行开始时检验权限,能较早发现用户是否是合法访问将权限规则分配在对象所属的站点此法与站点自治一致,但是用户权限检验只能在编译或执行的某个中间阶段通过访问数据实现DDB中要增加“移动”对象的权移动对象的权 插入和删除的权,70,DDBS中的用户识别,原则上说用户可以在DDBS内的任一站点被识别全复制口令 口令可以在DDB的所有站点中复制,缺点是危害口令的保密性家乡站点
29、 每个用户可以有一个“家乡”站点,在那儿对其识别穿越 限制每个用户只在家乡站点登录并识别优点 用穿越功能使在远程登录的用户能把它们的终端连到其家乡站点识别认为用户识别比Data和Program更为“静止”,即用户常常在同一个站点访问DDB,71,DDBS中用户分类,自然分类根据数据库数据在不同站点中的分布考虑 例:站点1的全部用户用户组中包含来自多个站点用户与“纯粹”站点自治相对立要考虑“该组访问权信息存放何处”类问题,72,Oracle 8 的安全管理(1),用户验证数据库验证 创建用户和指定口令时使用口令管理 创建用户时必须指定口令,在用户口令上运用规则称为口令管理 通过一个环境资源文件中
30、设置参数并把那个环境资源文件分配给一个用户的方法实现用企业管理器或SQL*PLUS创建环境资源文件init.ora文件中resource-limit参数设为“true”限制:会话数量,会话使用的CPU时间,CPU调用次数,逻辑读的次数,空闲时间,以及连接时间,73,Oracle 8 的安全管理(2),用户账号锁定 多次注册失败,要锁定一定时间口令使用期与到期口令历史口令复杂性验证DBA验证通过口令文件验证DBA外部验证依赖OS或网络验证服务init.ora文件中设置OS-AUTHENT-PREFIX参数,以通知ORACLE同辞职有相同前缀的用户将要道外部得到验证init.ora中REMOTE-
31、OS-AUTHENT必须设为“true”,74,Oracle 8 的安全管理(3),企业验证企业角色 一个或多个全局角色的容器.全局角色不同于数据库角色,它们使你能够把验证信息跨多个DB分配给(全局)用户表空间分配与使用 系统表空间,临时表空间,用户表空间,.表空间定额限制了用户在表空间中创建的DB对象的大小.,75,Oracle 8 的安全管理(4),数据库权限管理对象特权,系统特权安全角色角色验证 例 Create Role payroll-role Identified Using payroll-pkg.admin通过OS的角色验证 例:Create Role role Identif
32、ied EXTERNALLY管理安全管理和DB管理.安全管理员有权创建,改变和删除用户以及维护安全角色和用户环境资源文件,但是没有DB管理员的特权,如打开或关闭一个DB.,76,Oracle 8 的安全管理(5),企业安全管理器监控DB资产审计登录审计DB操作审计DB对象上的DML管理审计保护数据完整性使用安全用户连接与加密算法来保护数据完整性,77,Oracle 8 的安全管理(6),Oracle 8i因特网安全特性不仅确认用户是他自己说明的身份,而且能确认应用服务器就是他自己说明的身份.数字证书 验证用户或机器,客户机,因特网,应用服务器,防火墙,OracleDB,SSL,Net8,Net8,SSL,使用远程拨号用户服务(RADIUS)验证,78,作业 考虑 给出一个涉及多个站点关系(或同一关系的多个分片)上的完整性约束检查方法.,
