《多级安全数据库管理系统体系结构.ppt》由会员分享,可在线阅读,更多相关《多级安全数据库管理系统体系结构.ppt(39页珍藏版)》请在三一办公上搜索。
1、第三章 多级安全数据库管理系统 体系结构内容来源:数据库安全,朱虹华中科技大学计算机学院,多级安全数据库管理系统体系结构,体系结构设计的重要性:DBMS与OS的结合方式.目标为某个安全等级的多级DBMS,需要有同安全等级或更高安全等级的OS的支持,否则多级DBMS自身的运行将失去保障.多级DBMS通过某种特殊体系结构的选择和OS所提供的安全功能密切结合,尽管自身无法达到某个安全等级,但通过有效地利用底层OS的安全特性,仍可以达到OS的安全等级,多级安全数据库管理系统体系结构,1.体系结构的分类:.高级运行结构.可信主体结构.完整性锁结构.核心化结构.复制式结构,按运行的DBMS实例(进程)数目
2、分类:.单DBMS进程.多DBMS进程:每个实例是不可信进程,安全级各不同,多级安全数据库管理系统体系结构,1.体系结构的分类:按照TCB的范围来划分.具有自身独立的TCB,独立实现自主与强制访问控制 可信主体DBMS.DBMS TCB与外部TCB(安全OS或安全网络的TCB)共同构成完整的TCB:两者之间存在依赖关系,强制访问控制依赖外部TCB TCB子集结构,核心化和复制式结构.完全依赖DBMS外封装的安全过滤层为TCB 完整性锁结构.依赖操作系统的TCB:完全依赖OS实现访问控制,多级安全数据库管理系统体系结构,1.体系结构的分类不同多级安全数据库体系结构对比,多级安全数据库管理系统的体
3、系结构,2.高级运行结构:DBMS进程运行在多级安全OS的最高安全级进程上.所有的数据库用户都工作在最高安全级,与数据的安全级相同,数据库中的数据信息作为整体或多个实体存在于OS最高安全级对象中.所有流出系统最高安全级的数据都必须经人工检查之后再发布总结:完全依赖OS TCB,实际上数据库中的数据内容不分级的,多级安全数据库管理系统的体系结构,2.高级运行结构:DBMS进程运行在多级安全OS系统的最高安全级的进程上优点:简单,易于实现;已有的C2 级DBMS不必经过任何修改 存在的问题:.费用开销大.更多的人指定为系统最高安全级导致信息泄露的危险.手工发布信息的低效,DBMS体系结构,有三种:
4、.核心化的方法.完整性锁方法.复制数据的方法,3.1 可信DBMS的抽象体系结构,1.TCB子集DBMS体系结构:TCB处在DBMS的外部,利用安全操作系统的强制访问控制机制对数据库对象进行强制访问控制(1)特点.多级DBMS实际上是由多个运行在安全OS不同安全级上的单级DBMS的进程(实例)组成.多级数据库被分解为多个单级的数据库,每一个数据库都是一个概念上的多级数据库片段.用户不是工作于多级别状态,而是OS TCB中的一个会话级别,每个用户只与和他同级别的DBMS交互.多级DBMS有一定的访问控制权,但是OS对于DBMS访问数据的操作实行完全的访问控制,TCB子集DBMS方法,2.两种变形
5、(1)集中式TCB子集DBMS体系结构(2)复制数据的体系结构,3.1 可信DBMS的抽象体系结构,3.2 集中式TCB子集DBMS体系结构,3.2 集中式TCB子集DBMS体系结构,将多级关系分解为单级关系多级关系单级关系,数据 安全级,Enterprise Rigel LowVoyager Mars High,分解,恢复,LOW Enterprise RigelHIGH Voyager Mars,3.2 集中式TCB子集DBMS体系结构,特点:.在强制访问控制上和底层的操作系统一样安全;.数据存储集中。数据库内容按级别分解后,作为OS的对象集中保存在安全OS中,任何级别的数据在数据库中只保
6、存一份;.运行进程集中。不同级别的DBMS进程实例运行在同一个安全OS中,3.2 集中式TCB子集DBMS体系结构,采用该体系结构的原型系统和商用系统:SeaView DBMS LDV DBMS ORACLE 的 OS MAC模式 可以达到TCSEC规定的A1级要求 这几个系统都为用户提供了多级数据库的概念视图,具有元素级的标记粒度,3.2 集中式TCB子集DBMS体系结构,优点:安全性高:可信安全OS负责强制访问控制,可以实现比DBMS本身的安全级别更高的多级安全DBMS,作为一个整体可以达到OS所能够提供的安全级别;(2)可靠性好:减少了TCB的大小和复杂程度.缺点:OS 负载过大,系统性
7、能表现差;OS能够支持的并发进程数目有限,一定程度上限制了安全标签的范围;不同级别的DBMS共享数据,容易形成隐通道.,题目2:多级安全数据库管理系统的实现方法并做报告(自由组合:2人合作完成,报告时要说明每人的工作)要求:(1)模拟在多级安全操作系统上,实现一个多级安全数据库管理系统的可信前端TFE(只能给某一个安全级的用户使用),采用集中式TCB子集DBMS体系结构,不必做成服务模式。(2)将标记粒度是元素的表分解后保存在不同安全级的数据库中。假设只有2个等级(普通、秘密)(3)实现用户的管理和标记因为没有多级安全操作系统(4)实现对固定表(可指定外键及值约束)、查询(恢复算法、带条件、排
8、序,不含子查询)、修改、删除、插入(分解算法)语句(5)实现BLP模型的“同级写”,假如高安全级用户要修改低安全级数据怎么办?从安全性角度出发的处理方法,并分析可能存在的问题(6)允许多实例的存在,复制式体系结构分为:,.全部数据复制的分布式体系结构.部分数据复制的分布式体系结构,.系统中的每个节点都存储数据副本,通过事务进行数据访问.复制数据库的两个重要问题:.并发控制:将并发的事务隔离.复制控制:协调对不同副本的访问,复制式体系结构提高性能的方法,3.3 全部数据复制的分布式体系结构,3.3 全部数据复制的分布式体系结构,可信前端:(1)负责引导用户访问正确的数据库处理器(2)保证在数据库
9、处理器之间没有非法信息流动(3)维护复制的数据库片段的数据一致性,正确地标记查询,并将结果返回给用户(4)可信前端还负责用户标识和认证,维护到用户的可信路径和审计。,3.3 全部数据复制的分布式体系结构,特点:(1)多级数据库的物理分布来实现强制分离和访问控制(2)多个后端数据库处理器将多级数据库分离为多个系统最高安全级的片段(3)可信前端处理器(TFE)控制所有用户访问多级数据库和每个单安全级后端数据库处理器(4)每个后端数据库处理器管理某个安全级上的数据库片段和所有低安全级数据的复制版本,3.3 全部数据复制的分布式体系结构,优点:将数据库物理分离为系统最高安全级的片段,实现强制分离;DB
10、MS在后端运行用户的查询,后端有所需要的所有数据,不必在前端分解用户查询或实现另外的DBMS功能,因而提高了效率;多个DBMS物理处理器的使用,与在一个可信操作系统上使用多个进程相比,提高了系统性能;(4)简化了可信前端的代码量.,3.3 全部数据复制的分布式体系结构,缺点:需要用可信代码复制低安全级站点更新的元组,以保持版本的一致性 物理上分离的处理器是在硬件上集中的,因而这种体系结构仅对系统安全级个数较少的情形可行。对于N个非分层的敏感级别,需要的后端处理器(站点)个数是2N-1,3.4 可变数据复制的分布式体系结构,被Unisys安全分布式DBMS(SD-DBMS)采用特点:(1)数据分
11、布在不同的站点:以单个多级DBMS运行,提供元组级标记,将多级关系分解成单级片段,在流行的商用DBMS处理器上分布存储这些片段。(2)根据实际需要复制数据(3)由三类部件组成:用户前端(UFE)、可信前端(TFE)和网络连接,3.4 可变数据复制的分布式体系结构,3.4 可变数据复制的分布式体系结构,(1)用户前端UFE.具有单安全级的站点,或者是可在某个安全级范围内操作的多级模式下的可信工作站点.提供终端用户和TFE之间的接口(2)TFE组件.控制所有DBMS组件的运行.提供数据库访问的引用监控机制.与TFE连接的是多个不可信后端DBMS主机.后端DBMS将数据存储在适当的安全级上,响应由T
12、FE产生的单级请求,完成终端用户的查询,3.4 可变数据复制的分布式体系结构,(3)网络连接组件 多级局域网,支持不可信后端的分离并在UFE部件和TFE之间提供安全数据传输(4)数据库操作请求的处理.用户请求被发送给用户可见的多级关系,产生元组级标记的多级结果.任何在多级关系上的查询可分解为对单安全级片段的查询集合,并且多个查询的单安全级结果可以组成正确的响应结果返回,3.4 可变数据复制的分布式体系结构,优点:能给用户返回可信的元组级标记,不需要复制全部的数据,减少了更新复制的处理时间,减少了存储空间 采用分布式数据管理技术将多级请求分解为多个单级请求,这些单级请求可以并行地执行 缺点:需要
13、传送较低安全级数据到较高安全级后端,3.5 完整性锁DBMS,3.5 完整性锁DBMS,3.5 完整性锁DBMS,(1)不可信前端进程与终端用户交互,负责完成查询前后的处理,如查询的解析、优化、投影等,将最终处理结果返回给用户。(2)基于安全操作系统的可信过滤进程负责加密和解密对象及其标记,标识数据管理进程返回的数据子集,实现对这些数据子集的访问。假设数据库对象是元组,可信过滤器对每个元组及其标记用一个加密算法产生密码效验和,从而用元组的安全级对元组加密封缄。,3.5 完整性锁DBMS,数据 封缄,Enterprise Rigel LowVoyager Mars High,.封缄不可伪造,即只
14、有可信前端过滤器能够产生正确的封缄.封缄是通过加密产生的,密钥只有可信前端过滤器知道.通过加密封缄,可以判断数据是否被篡改过不能防止这一行为.响应结果被正确的封缄过滤,但是不足以保证安全性,3.5 完整性锁DBMS,数据 封缄,Enterprise Rigel LowVoyager Mars High,.高安全级用户查询:所有的数据,不可信DBMS返回的结果,数据 封缄,Enterprise Rigel LowVoyager Mars High,经过滤之后的结果,3.5 完整性锁DBMS,数据 封缄,Enterprise Rigel LowVoyager Mars High,.低安全级用户查询
15、:所有的数据,不可信DBMS返回的结果,数据 封缄,Enterprise Rigel Low,经过滤之后的结果,3.5 完整性锁DBMS,存在推理问题:,3.5 完整性锁DBMS,优点:(1)实现简单。用不可信的商用DBMS以数据库最高安全级存储多级数据库,降低了由可信前端支持检索的功能要求(2)增强了对偶然的或恶意的数据更新的保护缺点:(1)安全性、可靠性差。加密技术的应用,需要管理密钥,增加了TCB的复杂度。(2)查询优化,子查询处理,投影运算都必须在TFE或者UFE中实现(3)最高评估级别达到B1,3.6 可信主体DBMS,.DBMS运行在安全操作系统之上,安全操作系统提供DBMS代码的
16、分离和数据库访问.所有对数据库的访问必须通过可信DBMS,DBMS在一个或多个文件中存储多级数据库;.所有的DBMS数据都以DBMS标记存储。,3.6 可信主体DBMS,优点:(1)DBMS具备同时访问所有安全级上数据的能力,充分利用了DBMS的数据处理能力,最小化了操作系统处理负载。(2)可以处理更复杂的,包含多个访问控制级别的数据访问,支持不同敏感级别的数据对象之间定义的完整性约束,例如引用完整性约束。缺点:(1)难以达到高的TCSEC评估的级别,难以证明软件正确工作而不引起从高安全级到低安全级的数据流动,多级安全数据库管理系统体系结构总结,(1)以系统最高安全级的进程运行(2)5种多级安全DBMS的体系结构.核心化的方法(Hink-Schaefer).复制数据的体系结构.完整性锁方法.可信主体体系结构.高级运行结构,题目2:字符数据的加密方法及性能分析 总要求:(1)不考虑密钥的管理技术,表内所有数据采用等密钥加密,要充分利用DBMS的管理能力;(2)数据库加解密在客户端进行;(3)要对2类查询:LIKE 和范围查询进行测试,不要求做成通用程序,可以专门针对这两类查询设计处理程序;(4)针对全表查询后解密和直接密文查询进行性能对比。注意:英文字符加密处理采用TPC-H数据生成工具产生初始数据,再编写程序加密后保存在数据库中;中文字符加密则可以用金庸小说作为测试数据。,