第六章 多級數(shù)據(jù)庫安全管理系統(tǒng)

1、1 第 六 章 多級安全數(shù)據(jù)庫 管理系統(tǒng) 2 安全數(shù)據(jù)庫標(biāo)準(zhǔn)安全數(shù)據(jù)庫標(biāo)準(zhǔn) 多級安全數(shù)據(jù)庫關(guān)鍵問題多級安全數(shù)據(jù)庫關(guān)鍵問題 多級安全數(shù)據(jù)庫設(shè)計(jì)準(zhǔn)則多級安全數(shù)據(jù)庫設(shè)計(jì)準(zhǔn)則 6.4 6.4 多級關(guān)系數(shù)據(jù)模型多級關(guān)系數(shù)據(jù)模型 6.5 6.5 多實(shí)例多實(shí)例 6.6 6.6 隱蔽通道分析隱蔽通道分析 3 6.1 6.1 安全數(shù)據(jù)庫標(biāo)準(zhǔn)安全數(shù)據(jù)庫標(biāo)準(zhǔn) 為降低進(jìn)而消除對系統(tǒng)的安全攻擊，各國引為降低進(jìn)而消除對系統(tǒng)的安全攻擊，各國引 用或制定了一系列安全標(biāo)準(zhǔn)用或制定了一系列安全標(biāo)準(zhǔn) v TCSEC (TCSEC (桔皮書桔皮書) ) v TDI ( TDI (紫皮書紫皮書) ) 4 19851985年美國國防部（

2、年美國國防部（DoDDoD）正式頒布）正式頒布 DoD DoD 可信計(jì)算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)可信計(jì)算機(jī)系統(tǒng)評估標(biāo)準(zhǔn) v簡稱簡稱TCSECTCSEC或或DoD85DoD85，TCSECTCSEC又稱桔皮書又稱桔皮書 TCSECTCSEC標(biāo)準(zhǔn)的目的標(biāo)準(zhǔn)的目的 v提供一種標(biāo)準(zhǔn)，使提供一種標(biāo)準(zhǔn)，使用戶用戶可以對其計(jì)算機(jī)系可以對其計(jì)算機(jī)系 統(tǒng)內(nèi)敏感信息安全操作的可信程度做評估。統(tǒng)內(nèi)敏感信息安全操作的可信程度做評估。 v給計(jì)算機(jī)行業(yè)的給計(jì)算機(jī)行業(yè)的制造商制造商提供一種可循的指提供一種可循的指 導(dǎo)規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應(yīng)導(dǎo)規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應(yīng) 用的安全需求。用的安全需求。 5 TCBTCB

3、可信計(jì)算基：可信計(jì)算基：是是Trusted Computing Trusted Computing BaseBase的簡稱，指的是計(jì)算機(jī)內(nèi)保護(hù)裝置的簡稱，指的是計(jì)算機(jī)內(nèi)保護(hù)裝置 的總體，包括硬件、固件、軟件和負(fù)責(zé)的總體，包括硬件、固件、軟件和負(fù)責(zé) 執(zhí)行安全策略管理員的組合體。它建立執(zhí)行安全策略管理員的組合體。它建立 了一個基本的保護(hù)環(huán)境并提供一個可信了一個基本的保護(hù)環(huán)境并提供一個可信 計(jì)算機(jī)系統(tǒng)所要求的附加用戶服務(wù)。計(jì)算機(jī)系統(tǒng)所要求的附加用戶服務(wù)。 6 19911991年年4 4月美國月美國NCSCNCSC（國家計(jì)算機(jī)安全中（國家計(jì)算機(jī)安全中 心）頒布了心）頒布了可信計(jì)算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)可信計(jì)算

4、機(jī)系統(tǒng)評估標(biāo)準(zhǔn) 關(guān)于可信數(shù)據(jù)庫系統(tǒng)的解釋關(guān)于可信數(shù)據(jù)庫系統(tǒng)的解釋 v簡稱簡稱TDITDI，又稱紫皮書，又稱紫皮書 v它將它將TCSECTCSEC擴(kuò)展到數(shù)據(jù)庫管理系統(tǒng)擴(kuò)展到數(shù)據(jù)庫管理系統(tǒng) v定義了數(shù)據(jù)庫管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)定義了數(shù)據(jù)庫管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn) 中需滿足和用以進(jìn)行安全性級別評估中需滿足和用以進(jìn)行安全性級別評估 的標(biāo)準(zhǔn)的標(biāo)準(zhǔn) 7 TDI/TCSEC標(biāo)準(zhǔn)的基本內(nèi)容標(biāo)準(zhǔn)的基本內(nèi)容 vTDITDI與與TCSECTCSEC一樣，從一樣，從四個方面四個方面來描述安來描述安 全性級別劃分的指標(biāo)全性級別劃分的指標(biāo) v安全策略安全策略 v責(zé)任責(zé)任 v保證保證 v文檔文檔 8 TCSEC/TDI安全級別劃

5、分安全級別劃分 安安 全全 級級 別別 定定 義義 A1驗(yàn)證設(shè)計(jì)（驗(yàn)證設(shè)計(jì)（Verified Design） B3安全域（安全域（Security Domains） B2結(jié)構(gòu)化保護(hù)（結(jié)構(gòu)化保護(hù)（Structural Protection） B1 標(biāo)記安全保護(hù)（標(biāo)記安全保護(hù)（Labeled Security Protection） C2 受控的存取保護(hù)受控的存取保護(hù)（Controlled Access Protection） C1 自主安全保護(hù)自主安全保護(hù)（Discretionary Security Protection） D最小保護(hù)（最小保護(hù)（Minimal Protection） 四組七個

6、等級四組七個等級 按系統(tǒng)可靠或可信程按系統(tǒng)可靠或可信程 度逐漸增高度逐漸增高 各安全級別之間具有各安全級別之間具有 一種偏序向下兼容的一種偏序向下兼容的 關(guān)系，即較高安全性關(guān)系，即較高安全性 級別提供的安全保護(hù)級別提供的安全保護(hù) 要包含較低級別的所要包含較低級別的所 有保護(hù)要求，同時提有保護(hù)要求，同時提 供更多或更完善的保供更多或更完善的保 護(hù)能力。護(hù)能力。 9 等級說明：等級說明：D，C1 D D級（最小保護(hù)級）級（最小保護(hù)級） v將一切不符合更高標(biāo)準(zhǔn)的系統(tǒng)均歸于將一切不符合更高標(biāo)準(zhǔn)的系統(tǒng)均歸于D D組組 v典型例子：典型例子：DOSDOS是安全標(biāo)準(zhǔn)為是安全標(biāo)準(zhǔn)為D D的操作系的操作系 統(tǒng)統(tǒng)

7、 DOS DOS在安全性方面幾乎沒有什么專門的在安全性方面幾乎沒有什么專門的 機(jī)制來保障機(jī)制來保障無身份認(rèn)證與訪問控制無身份認(rèn)證與訪問控制。 C1C1級（自主安全保護(hù)級）級（自主安全保護(hù)級） v非常初級的自主安全保護(hù)非常初級的自主安全保護(hù) v能夠?qū)崿F(xiàn)對用戶和數(shù)據(jù)的分離，進(jìn)行自主能夠?qū)崿F(xiàn)對用戶和數(shù)據(jù)的分離，進(jìn)行自主 存取控制（存取控制（DACDAC），保護(hù)或限制用戶權(quán)限），保護(hù)或限制用戶權(quán)限 的傳播。早期的的傳播。早期的UNIXUNIX系統(tǒng)屬于這一類。系統(tǒng)屬于這一類。 v這類系統(tǒng)適合于多個協(xié)作用戶在同一個安這類系統(tǒng)適合于多個協(xié)作用戶在同一個安 全級上處理數(shù)據(jù)的工作環(huán)境。全級上處理數(shù)據(jù)的工作環(huán)境。

8、 10 等級說明：等級說明：C2 C2C2級（級（受控的存取保護(hù)級受控的存取保護(hù)級） C2C2級達(dá)到企業(yè)級安全要求。可作為最低軍用安全級別級達(dá)到企業(yè)級安全要求。可作為最低軍用安全級別 v提供受控的自主存取保護(hù)，將提供受控的自主存取保護(hù)，將C1C1級的級的DACDAC進(jìn)一步細(xì)進(jìn)一步細(xì) 化，以個人身份注冊負(fù)責(zé)，并化，以個人身份注冊負(fù)責(zé)，并實(shí)施審計(jì)實(shí)施審計(jì)（審計(jì)粒度審計(jì)粒度 要能夠跟蹤每個主體對每個客體的每一次訪問。對要能夠跟蹤每個主體對每個客體的每一次訪問。對 審計(jì)記錄應(yīng)該提供保護(hù)，防止非法修改。審計(jì)記錄應(yīng)該提供保護(hù)，防止非法修改。）和資和資源源 隔離，客體重用，記錄安全性事件隔離，客體重用，記錄

9、安全性事件 v達(dá)到達(dá)到C2C2級的產(chǎn)品在其名稱中往往不突出級的產(chǎn)品在其名稱中往往不突出“安安 全全”(Security)”(Security)這一特色這一特色 v典型例子典型例子 操作系統(tǒng)：操作系統(tǒng)：MicrosoftMicrosoft的的Windows NT 3.5Windows NT 3.5，數(shù)字設(shè)備公司，數(shù)字設(shè)備公司 的的Open VMS VAX 6.0Open VMS VAX 6.0和和6.16.1，l linuxinux系統(tǒng)的某些執(zhí)行方法符系統(tǒng)的某些執(zhí)行方法符 合合C2C2級別。級別。 數(shù)據(jù)庫：數(shù)據(jù)庫：OracleOracle公司的公司的Oracle 7Oracle 7，Sybase

10、Sybase公司的公司的 SQL SQL Server 11.0.6Server 11.0.6 11 等級說明：等級說明：B1 B1B1級（標(biāo)簽安全保護(hù)級）級（標(biāo)簽安全保護(hù)級） v標(biāo)記安全保護(hù)。標(biāo)記安全保護(hù)?！鞍踩踩?Security)(Security)或或“可可 信的信的”(Trusted)(Trusted)產(chǎn)品。產(chǎn)品。 v對系統(tǒng)的數(shù)據(jù)加以標(biāo)記，對標(biāo)記的主體和客對系統(tǒng)的數(shù)據(jù)加以標(biāo)記，對標(biāo)記的主體和客 體實(shí)施強(qiáng)制存取控制（體實(shí)施強(qiáng)制存取控制（MACMAC）、對安全策略）、對安全策略 進(jìn)行非形式化描述，加強(qiáng)了隱通道分析，審進(jìn)行非形式化描述，加強(qiáng)了隱通道分析，審 計(jì)等安全機(jī)制計(jì)等安全機(jī)制 v

11、典型例子典型例子 操作系統(tǒng)：數(shù)字設(shè)備公司的操作系統(tǒng)：數(shù)字設(shè)備公司的SEVMS VAX Version SEVMS VAX Version 6.06.0，惠普公司的，惠普公司的HP-UX BLS release 9.0.9+ HP-UX BLS release 9.0.9+ 數(shù)據(jù)庫：數(shù)據(jù)庫：OracleOracle公司的公司的Trusted Oracle 7Trusted Oracle 7， SybaseSybase公司的公司的Secure SQL Server version Secure SQL Server version 11.0.611.0.6，InformixInformix公司的公

12、司的Incorporated Incorporated INFORMIX-OnLine / Secure 5.0INFORMIX-OnLine / Secure 5.0 12 等級說明：等級說明：B2 B2B2級（結(jié)構(gòu)化保護(hù)級）級（結(jié)構(gòu)化保護(hù)級） v建立形式化的安全策略模型并對系統(tǒng)內(nèi)的所有主體建立形式化的安全策略模型并對系統(tǒng)內(nèi)的所有主體 和客體實(shí)施和客體實(shí)施DACDAC和和MACMAC，從主體到客體，從主體到客體擴(kuò)大到擴(kuò)大到I/OI/O設(shè)設(shè) 備等所有資源。要求開發(fā)者對隱蔽信道進(jìn)行徹底地備等所有資源。要求開發(fā)者對隱蔽信道進(jìn)行徹底地 搜索。搜索。TCBTCB劃分保護(hù)與非保護(hù)部分，存放于固定區(qū)劃分保

13、護(hù)與非保護(hù)部分，存放于固定區(qū) 內(nèi)。內(nèi)。 v經(jīng)過認(rèn)證的經(jīng)過認(rèn)證的B2B2級以上的安全系統(tǒng)非常稀少級以上的安全系統(tǒng)非常稀少 v典型例子典型例子 操作系統(tǒng)：只有操作系統(tǒng)：只有Trusted Information SystemsTrusted Information Systems公司的公司的 Trusted XENIXTrusted XENIX一種產(chǎn)品一種產(chǎn)品 標(biāo)準(zhǔn)的網(wǎng)絡(luò)產(chǎn)品：只有標(biāo)準(zhǔn)的網(wǎng)絡(luò)產(chǎn)品：只有Cryptek Secure CommunicationsCryptek Secure Communications 公司的公司的LLC VSLANLLC VSLAN一種產(chǎn)品一種產(chǎn)品 數(shù)據(jù)庫：沒有符合

14、數(shù)據(jù)庫：沒有符合B2B2標(biāo)準(zhǔn)的產(chǎn)品標(biāo)準(zhǔn)的產(chǎn)品 13 等級說明：等級說明：B3，A1 B3B3級（安全區(qū)域保護(hù)級）級（安全區(qū)域保護(hù)級） v該級的該級的TCBTCB必須滿足訪問監(jiān)控器的要求，安全必須滿足訪問監(jiān)控器的要求，安全 內(nèi)核，審計(jì)跟蹤能力更強(qiáng)，并提供系統(tǒng)恢復(fù)過內(nèi)核，審計(jì)跟蹤能力更強(qiáng)，并提供系統(tǒng)恢復(fù)過 程。即使計(jì)算機(jī)崩潰程。即使計(jì)算機(jī)崩潰, ,也不會泄露系統(tǒng)信息。也不會泄露系統(tǒng)信息。 A1A1級（驗(yàn)證設(shè)計(jì)級）級（驗(yàn)證設(shè)計(jì)級） v驗(yàn)證設(shè)計(jì)，即提供驗(yàn)證設(shè)計(jì)，即提供B3B3級保護(hù)的同時給出系統(tǒng)的級保護(hù)的同時給出系統(tǒng)的 形式化設(shè)計(jì)說明和驗(yàn)證以確信各安全保護(hù)真正形式化設(shè)計(jì)說明和驗(yàn)證以確信各安全保護(hù)真正

15、實(shí)現(xiàn)實(shí)現(xiàn)。這個級別要求嚴(yán)格的數(shù)學(xué)證明。這個級別要求嚴(yán)格的數(shù)學(xué)證明。 14 說明說明 vB2B2以上的系統(tǒng)以上的系統(tǒng) v還處于理論研究階段還處于理論研究階段 v應(yīng)用多限于一些特殊的部門如軍隊(duì)等應(yīng)用多限于一些特殊的部門如軍隊(duì)等 v美國正在大力發(fā)展安全產(chǎn)品，試圖將目前僅美國正在大力發(fā)展安全產(chǎn)品，試圖將目前僅 限于少數(shù)領(lǐng)域應(yīng)用的限于少數(shù)領(lǐng)域應(yīng)用的B2B2安全級別下放到商業(yè)安全級別下放到商業(yè) 應(yīng)用中來，并逐步成為新的商業(yè)標(biāo)準(zhǔn)。應(yīng)用中來，并逐步成為新的商業(yè)標(biāo)準(zhǔn)。 15 我國的信息系統(tǒng)安全評估工作是隨著對我國的信息系統(tǒng)安全評估工作是隨著對 信息安全問題的認(rèn)識的逐步深化不斷發(fā)信息安全問題的認(rèn)識的逐步深化不斷發(fā)

16、 展的。早期的信息安全工作中心是信息展的。早期的信息安全工作中心是信息 保密，通過保密檢查來發(fā)現(xiàn)問題，改進(jìn)保密，通過保密檢查來發(fā)現(xiàn)問題，改進(jìn) 提高。提高。8080年代后，隨著計(jì)算機(jī)的推廣應(yīng)年代后，隨著計(jì)算機(jī)的推廣應(yīng) 用，隨即提出了計(jì)算機(jī)安全的問題，開用，隨即提出了計(jì)算機(jī)安全的問題，開 展了計(jì)算機(jī)安全檢查工作。展了計(jì)算機(jī)安全檢查工作。 16 我國信息安全評測標(biāo)準(zhǔn)我國信息安全評測標(biāo)準(zhǔn) 我我國國家質(zhì)量技術(shù)監(jiān)督局于國國家質(zhì)量技術(shù)監(jiān)督局于19991999年年1010月頒布了月頒布了 “計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則”， 編號為編號為GB 17859-1999GB 1

17、7859-1999 在在20012001年，發(fā)表了國家標(biāo)準(zhǔn)年，發(fā)表了國家標(biāo)準(zhǔn)GB/T 18336-2001GB/T 18336-2001 信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求 正在報(bào)批。正在報(bào)批。 17 GB 17859-1999GB 17859-1999將信息系統(tǒng)劃分為五個安全等將信息系統(tǒng)劃分為五個安全等 級：級： v用戶自主保護(hù)級用戶自主保護(hù)級 v系統(tǒng)審計(jì)保護(hù)級系統(tǒng)審計(jì)保護(hù)級 v安全標(biāo)簽保護(hù)級安全標(biāo)簽保護(hù)級 v結(jié)構(gòu)化保護(hù)級結(jié)構(gòu)化保護(hù)級 v訪問驗(yàn)證保護(hù)級訪問驗(yàn)證保護(hù)級 基本上與基本上與TCSECTCSEC的的C1C1、C2C2、B1B1、B2B2、B3

18、B3級相對級相對 應(yīng)。應(yīng)。 18 多級安全數(shù)據(jù)庫關(guān)鍵問題包括：多級安全數(shù)據(jù)庫關(guān)鍵問題包括： v多級安全數(shù)據(jù)庫體系結(jié)構(gòu)多級安全數(shù)據(jù)庫體系結(jié)構(gòu) v多級安全數(shù)據(jù)模型多級安全數(shù)據(jù)模型 v多實(shí)例多實(shí)例 v元數(shù)據(jù)管理元數(shù)據(jù)管理 v并發(fā)事務(wù)處理并發(fā)事務(wù)處理 v推理分析和隱蔽通道分析推理分析和隱蔽通道分析 19 多級安全數(shù)據(jù)庫設(shè)計(jì)準(zhǔn)則如下：多級安全數(shù)據(jù)庫設(shè)計(jì)準(zhǔn)則如下： v提供多級密級粒度提供多級密級粒度 v確保一致性和完整性確保一致性和完整性 v實(shí)施推理控制實(shí)施推理控制 v防止敏感聚合防止敏感聚合 v進(jìn)行隱蔽通道分析進(jìn)行隱蔽通道分析 v支持多實(shí)例支持多實(shí)例 v執(zhí)行并發(fā)控制執(zhí)行并發(fā)控制 20 傳統(tǒng)關(guān)系模型兩個重

19、要的完整性：傳統(tǒng)關(guān)系模型兩個重要的完整性： v實(shí)體完整性、引用完整性（參照完整性）。實(shí)體完整性、引用完整性（參照完整性）。 多級關(guān)系數(shù)據(jù)模型三要素：多級關(guān)系數(shù)據(jù)模型三要素： v多級關(guān)系、多級關(guān)系完整性約束及多級關(guān)系多級關(guān)系、多級關(guān)系完整性約束及多級關(guān)系 操作。操作。 多級安全模型需作的改進(jìn)：多級安全模型需作的改進(jìn)： v多級安全模型：多級安全模型：在傳統(tǒng)關(guān)系模型基礎(chǔ)上各種在傳統(tǒng)關(guān)系模型基礎(chǔ)上各種 邏輯數(shù)據(jù)對象強(qiáng)制賦予安全屬性標(biāo)簽。邏輯數(shù)據(jù)對象強(qiáng)制賦予安全屬性標(biāo)簽。 v修改傳統(tǒng)關(guān)系模型中關(guān)系的完整性及關(guān)系上修改傳統(tǒng)關(guān)系模型中關(guān)系的完整性及關(guān)系上 的操作。的操作。 21 安全標(biāo)簽粒度：安全標(biāo)簽粒度：

20、是標(biāo)識安全等級的最小邏輯對是標(biāo)識安全等級的最小邏輯對 象單位。象單位。 安全標(biāo)簽粒度級別：安全標(biāo)簽粒度級別：關(guān)系級、元組級及屬性級。關(guān)系級、元組級及屬性級。 安全粒度控制安全粒度控制 v按照不同的安全需求和實(shí)體類型，決定安全按照不同的安全需求和實(shí)體類型，決定安全 控制的程度?？刂频某潭?。 v例如，對數(shù)據(jù)的存取，可以是關(guān)系級、元組例如，對數(shù)據(jù)的存取，可以是關(guān)系級、元組 級及屬性級。級及屬性級。 粒度越細(xì)，控制越靈活，但所對應(yīng)的操作越困粒度越細(xì)，控制越靈活，但所對應(yīng)的操作越困 難和復(fù)雜。難和復(fù)雜。 22 一、多級關(guān)系一、多級關(guān)系 傳統(tǒng)的關(guān)系模式：傳統(tǒng)的關(guān)系模式：R(AR(A1 1,A,A2 2,

21、A, An n) ) 多級關(guān)系模式：多級關(guān)系模式： R(AR(A1 1,C,C1 1,A,A2 2,C,C2 2,A,An n,C,Cn n,TC),TC) v元組的安全級別元組的安全級別:TC:TC v元組表示：元組表示：t(at(a1 1,c,c1 1,a,a2 2,c,c2 2,a,an n,c,cn n,tc),tc) v元組元組t t的安全標(biāo)簽：的安全標(biāo)簽：ttc.ttc. v屬性屬性a ai i的安全標(biāo)簽：的安全標(biāo)簽：tctci i. 例例 Weapon Weapon多級關(guān)系表示。多級關(guān)系表示。 23 表表1 1 原始原始WeaponWeapon多級關(guān)系多級關(guān)系 表表2 Weapo

22、n U 2 Weapon U 級實(shí)例級實(shí)例 24 表表1 1 原始原始WeaponWeapon多級關(guān)系多級關(guān)系 表表3 3 原始原始Weapon SWeapon S級實(shí)例級實(shí)例 25 表表4 Weapon TS4 Weapon TS級實(shí)例級實(shí)例 26 多級關(guān)系完整性：多級關(guān)系完整性： v實(shí)體完整性實(shí)體完整性 v空值完整性空值完整性 v多級外碼完整性與參照完整性多級外碼完整性與參照完整性 v實(shí)例間完整性實(shí)例間完整性 v多實(shí)例完整性多實(shí)例完整性 多級關(guān)系完整性多級關(guān)系完整性 27 一、實(shí)體完整性一、實(shí)體完整性 設(shè)設(shè)AKAK是定義在關(guān)系模式是定義在關(guān)系模式R R上的外觀主碼，一個上的外觀主碼，一個

23、多級關(guān)系滿足實(shí)體完整性，當(dāng)且僅當(dāng)對多級關(guān)系滿足實(shí)體完整性，當(dāng)且僅當(dāng)對R R的所的所 有實(shí)例有實(shí)例RcRc與與tRc,Rc,有：有： vA Ai iAK = tAAK = tAi inull/ null/ 主碼屬性不能主碼屬性不能 為空為空 vA Ai i , A , Aj jAK = tCAK = tCi i tCtCj j/主鍵各屬主鍵各屬 性安全等級一致性安全等級一致，保證在任何級別上主鍵，保證在任何級別上主鍵 都是完整的。都是完整的。 vA Ai i AK = tC AK = tCi i = tC = tCAK AK/ /非碼屬性安非碼屬性安 全等級支配鍵值，全等級支配鍵值，保證關(guān)系可見

24、的任何級保證關(guān)系可見的任何級 別上，主鍵不可能為空。別上，主鍵不可能為空。 28 二、空值完整性二、空值完整性 在多級關(guān)系中，空值有兩種解釋在多級關(guān)系中，空值有兩種解釋: : v一種確實(shí)為空。一種確實(shí)為空。 v另一種是實(shí)例的等級低于屬性的等級使此屬另一種是實(shí)例的等級低于屬性的等級使此屬 性不可見，從而顯示為空。性不可見，從而顯示為空。 空值完整性使用了歸類關(guān)系，歸類關(guān)系如下：空值完整性使用了歸類關(guān)系，歸類關(guān)系如下： 如果兩元組如果兩元組t t和和s s，如果屬性，如果屬性AiAi滿足下列條件滿足下列條件 ，元組，元組t t包含元組包含元組s s。 v對于兩元組對于兩元組t t和和s, s, 如

25、果任何一個屬性如果任何一個屬性 tAi ,Ci sAi ,Ci; vtAinull且且 sAinull，則稱元組則稱元組t t包含元包含元 組組s s。 29 一個多級關(guān)系個多級關(guān)系R R滿足空值完整性，當(dāng)滿足空值完整性，當(dāng) 且僅當(dāng)對且僅當(dāng)對R R的每個實(shí)例的每個實(shí)例RcRc均滿足下列均滿足下列 兩個條件：兩個條件： v空值的安全級別與主鍵相同?？罩档陌踩墑e與主鍵相同。 即對于所有的即對于所有的tRtRc c, , tA tAi i null = tcnull = tci i tCtCAK AK vR Rc c不含有兩個有包含關(guān)系的不同元不含有兩個有包含關(guān)系的不同元 組。組。 30 例例1

26、1 多級關(guān)系違反了空值完整性多級關(guān)系違反了空值完整性 多級關(guān)系違反了空值完整性多級關(guān)系違反了空值完整性 31 三、多級外碼完整性與參照完整性三、多級外碼完整性與參照完整性 多級外碼完整性：多級外碼完整性： 假設(shè)假設(shè)FKFK是參照關(guān)系是參照關(guān)系R R的外碼，多級關(guān)系的外碼，多級關(guān)系R R的一個實(shí)例的一個實(shí)例 RcRc滿足外碼完整性，當(dāng)且僅當(dāng)對所有的滿足外碼完整性，當(dāng)且僅當(dāng)對所有的tRctRc滿足：滿足： v 或者（所有或者（所有A Ai iFKFK） tA tAi i = null = null， 或者（所有或者（所有A Ai iFKFK） tA tAi inullnull /外碼屬性全空或全非

27、空外碼屬性全空或全非空 v A Ai i , A , Aj jFK = tCFK = tCi i tCtCj j 。 /外碼的每個屬性具有相同的安全級別外碼的每個屬性具有相同的安全級別 32 多級參照完整性：多級參照完整性： 假設(shè)假設(shè)FKFK1 1是具有外觀主碼是具有外觀主碼AKAK1 1參照關(guān)系參照關(guān)系R R1 1的外碼，的外碼， R R2 2具有外觀主碼具有外觀主碼AKAK2 2的被參照關(guān)系，多級關(guān)系的被參照關(guān)系，多級關(guān)系R R1 1 的一個實(shí)例的一個實(shí)例 r r1 1 和多級關(guān)系和多級關(guān)系R R2 2的一個實(shí)例的一個實(shí)例 r r2 2滿滿 足參照完整性，當(dāng)且僅當(dāng)足參照完整性，當(dāng)且僅當(dāng) 所

28、有所有t t11 11r r1 1 , t , t11 11FK FK1 1 null , null , E t t21 21r r2 2 ,t ,t11 11FK FK1 1 = t = t21 21AK AK2 2 t t11 11TC= TC= t t21 21TC TC t t11 11C CFK1 FK1 t t21 21C CAK2 AK2 。 。 外鍵的訪問等級必須支配引用元組中主鍵的訪外鍵的訪問等級必須支配引用元組中主鍵的訪 問等級。問等級。 33 四、實(shí)例間完整性四、實(shí)例間完整性 多級關(guān)系多級關(guān)系RcRc滿足實(shí)例間完整性，當(dāng)且僅當(dāng)對所滿足實(shí)例間完整性，當(dāng)且僅當(dāng)對所 有有 cc

29、 cc，Rc=Rc=( Rc( Rc，c)c)，其中過濾函數(shù)，其中過濾函數(shù)按按 以下方法從以下方法從RcRc產(chǎn)生安全等級為產(chǎn)生安全等級為cc的實(shí)例的實(shí)例RcRc： v所有所有 tR tRc c, tC, tCAK AKc, tRc c, tRc， 滿足滿足tAK,CtAK,CAK AK= tAK,C = tAK,CAK AK. ./主碼保留主碼保留 v所有所有A Ai i AK AK有有 tA tAi i,C,Ci i=tA=tAi i,C,Ci i if tC if tCi i c c tA tAi i,C,Ci i=null,tC= otherwise otherwise E E 消除消除

30、RcRc的歸類元組的歸類元組 34 表表1.1.多級關(guān)系多級關(guān)系“衛(wèi)星衛(wèi)星” S S級實(shí)例級實(shí)例 實(shí)例間完整性舉例：例實(shí)例間完整性舉例：例1 1 表表2.2.多級關(guān)系多級關(guān)系“衛(wèi)星衛(wèi)星”過濾后過濾后U U級實(shí)例級實(shí)例 35 表表4.4.多級關(guān)系多級關(guān)系“衛(wèi)星衛(wèi)星”S S級實(shí)例級實(shí)例 表表5.5.多級關(guān)系多級關(guān)系“衛(wèi)星衛(wèi)星”過濾后過濾后S S級實(shí)例級實(shí)例 實(shí)例間完整性舉例：例實(shí)例間完整性舉例：例2 2 表表3.3.多級關(guān)系多級關(guān)系“衛(wèi)星衛(wèi)星” ” U U級實(shí)例級實(shí)例 36 五、多實(shí)例完整性五、多實(shí)例完整性 假設(shè)多級關(guān)系假設(shè)多級關(guān)系R R的外觀主碼集合為的外觀主碼集合為AKAK，主碼等級，主碼等級

31、 為為C CAK AK 。多實(shí)例完整性要求由 。多實(shí)例完整性要求由AKAK、C CAK AK以及第 以及第i i個個 屬性的等級屬性的等級C Ci i便可確定第便可確定第i i個屬性值個屬性值A(chǔ) Ai i 。 。 一個多級關(guān)系滿足多實(shí)例完整性，當(dāng)且僅當(dāng)每一個多級關(guān)系滿足多實(shí)例完整性，當(dāng)且僅當(dāng)每 個個R Rc c中的每個屬性中的每個屬性A Ai i , ,滿足 滿足AK,CAK,CAK AK,C ,Ci i A Ai i 即即A Ai i函數(shù)依賴于函數(shù)依賴于AK,CAK,CAK AK,C ,Ci i 。 。 同一級別的元組之間不存在多實(shí)例。同一級別的元組之間不存在多實(shí)例。 37 多級關(guān)系多級關(guān)系

32、Weapon(Weapon(滿足多實(shí)例完整性滿足多實(shí)例完整性) ) 多級關(guān)系多級關(guān)系Weapon(Weapon(不滿足多實(shí)例完整性不滿足多實(shí)例完整性) ) （元組級別相同主鍵重復(fù)）（元組級別相同主鍵重復(fù)） 38 一、一、 插入操作插入操作 形式：形式：INSERT INTO Rc(AINSERT INTO Rc(Ai i ,A ,Aj j) VALUES (a VALUES (ai i ,a ,aj j) 當(dāng)插入元組當(dāng)插入元組t t（新插入）（新插入）與主鍵值相同的元組與主鍵值相同的元組t t 時：時： 1 1）若）若tTCtTC tTC, tTC,拒絕拒絕t t的插入。的插入。 2 2）若）

33、若tTC tTC,tTC ttTC t TC,TC,允許或拒絕允許或拒絕t t的插入均可的插入均可 以。以。 39 例例1 S1 S級別主體插入操作級別主體插入操作 1 1）主碼值不同，正常插入）主碼值不同，正常插入 INSERT INTO INSERT INTO WeaponWeapon VALUES “Cannonl,10,200” VALUES “Cannonl,10,200” 插入后插入后 WeaponWeapon多級關(guān)系的多級關(guān)系的S S級插入級插入 40 2 2）主碼值、級別相同，系統(tǒng)不允許插入。）主碼值、級別相同，系統(tǒng)不允許插入。 INSERT INTO INSERT INTO

34、WeaponWeapon VALUES “Cannonl,10,200”/ VALUES “Cannonl,10,200”/S S級插入級插入 WeaponWeapon多級關(guān)系的多級關(guān)系的S S級插入級插入 41 3 3）主碼值相同，但插入元組級別低，允許插入，）主碼值相同，但插入元組級別低，允許插入， 防止隱通道，產(chǎn)生多實(shí)例。防止隱通道，產(chǎn)生多實(shí)例。 INSERT INTO INSERT INTO WeaponWeapon VALUES “ VALUES “Missile2,250,30”/,250,30”/ S S級插入級插入 插入前插入前 WeaponWeapon多級關(guān)系的多級關(guān)系的S

35、S級插入級插入 42 插入后產(chǎn)生多實(shí)例插入后產(chǎn)生多實(shí)例 WeaponWeapon多級關(guān)系的多級關(guān)系的S S級插入級插入 43 二、更新操作二、更新操作 形式：形式：UPDATE RcUPDATE Rc SET A SET Ai iS Si i ,A ,Aj jS Sj j WHERE p WHERE p p p是謂詞條件是謂詞條件 針對關(guān)系間完整性的約束，更新操作對不同等針對關(guān)系間完整性的約束，更新操作對不同等 級的關(guān)系實(shí)例的影響有以下三點(diǎn)：級的關(guān)系實(shí)例的影響有以下三點(diǎn)： v對同等級關(guān)系實(shí)例的影響與傳統(tǒng)的對同等級關(guān)系實(shí)例的影響與傳統(tǒng)的UPDADEUPDADE語語 句一樣。句一樣。 v對更低等級

36、關(guān)系實(shí)例無影響。對更低等級關(guān)系實(shí)例無影響。 v對更高等級用戶，為避免隱蔽通道可能引入對更高等級用戶，為避免隱蔽通道可能引入 多實(shí)例。多實(shí)例。 44 例例11密級為密級為U U的用戶要求對的用戶要求對WeaponWeapon關(guān)系的關(guān)系的 U U級實(shí)例作更新操作。級實(shí)例作更新操作。/直接修改直接修改 UPDATE UPDATE WeaponWeapon SET Quantity=3000 SET Quantity=3000 WHERE Wname=“Gun1”/ WHERE Wname=“Gun1”/ U U級用戶級用戶 WeaponWeapon關(guān)系的關(guān)系的 U U 級實(shí)例級實(shí)例 45 Weapo

37、nWeapon關(guān)系的關(guān)系的 U U 級實(shí)例級實(shí)例更新前更新前 WeaponWeapon關(guān)系的關(guān)系的 U U 級實(shí)例級實(shí)例更新后更新后 46 例例22密級為密級為U U的用戶要求對的用戶要求對WeaponWeapon關(guān)系的關(guān)系的 S S級實(shí)例作更新操作。級實(shí)例作更新操作。 UPDATE UPDATE WeaponWeapon SET Quantity=3000 SET Quantity=3000 WHERE Wname=“Gun1”/ WHERE Wname=“Gun1”/ U U級用戶級用戶 WeaponWeapon關(guān)系的關(guān)系的 S S 級實(shí)例級實(shí)例 47 WeaponWeapon關(guān)系的關(guān)系的

38、 S S 級實(shí)例級實(shí)例更新前更新前 WeaponWeapon關(guān)系的關(guān)系的 S S 級實(shí)例級實(shí)例 更新后產(chǎn)生多實(shí)例更新后產(chǎn)生多實(shí)例 48 例例33密級為密級為S S的用戶要求對的用戶要求對WeaponWeapon關(guān)系的關(guān)系的 S S級實(shí)例執(zhí)行如下更新操作。級實(shí)例執(zhí)行如下更新操作。 UPDATE UPDATE WeaponWeapon SET Range=2 SET Range=2 WHERE Wname=“Gun1”AND WHERE Wname=“Gun1”AND Quantity=5000 Quantity=5000 WeaponWeapon關(guān)系的關(guān)系的 S S 級實(shí)例級實(shí)例 49 Weap

39、onWeapon關(guān)系的關(guān)系的 S S 級實(shí)例級實(shí)例更新后更新后 WeaponWeapon關(guān)系的關(guān)系的 S S 級實(shí)例級實(shí)例更新前更新前 50 例例44密級為密級為S S的用戶要求對的用戶要求對WeaponWeapon關(guān)系的關(guān)系的 S S級實(shí)例執(zhí)行如下更新操作。級實(shí)例執(zhí)行如下更新操作。 UPDATE UPDATE WeaponWeapon SET Range=2 SET Range=2 WHERE Wname=“Gun1”/ WHERE Wname=“Gun1”/ S S級用戶級用戶 WeaponWeapon關(guān)系的關(guān)系的 S S 級實(shí)例級實(shí)例 51 WeaponWeapon關(guān)系的關(guān)系的 S S

40、級實(shí)例級實(shí)例更新后更新后 WeaponWeapon關(guān)系的關(guān)系的 S S 級實(shí)例級實(shí)例更新前更新前 52 三、刪除操作三、刪除操作 形式：形式：DELETE FROM RcDELETE FROM Rc WHERE p WHERE p p p是謂詞條件是謂詞條件 四、查詢操作四、查詢操作 形式：形式：SELECT A1,A2FROM R1 ,R2SELECT A1,A2FROM R1 ,R2 WHERE pAT c1,c2, WHERE pAT c1,c2, p p是謂詞條件是謂詞條件 53 多實(shí)例：是指在多級安全數(shù)據(jù)庫管理系統(tǒng)多實(shí)例：是指在多級安全數(shù)據(jù)庫管理系統(tǒng) 中，同時存在多個具有相同主碼值的

41、實(shí)體。中，同時存在多個具有相同主碼值的實(shí)體。 多實(shí)例元組：關(guān)系包含多個具有相同主碼多實(shí)例元組：關(guān)系包含多個具有相同主碼 的元組，但的元組，但相同主碼相同主碼的安全等級可以不的安全等級可以不 相同，相同，這些元組的安全等級不同。這些元組的安全等級不同。 多實(shí)例屬性：關(guān)系包含多個具有相同主碼多實(shí)例屬性：關(guān)系包含多個具有相同主碼 的元組，但的元組，但相同主碼相同主碼的安全等級的安全等級相同，相同，這這 些元組的安全等級不同。些元組的安全等級不同。 54 例：兩種多實(shí)例的情況。例：兩種多實(shí)例的情況。 多實(shí)例屬性多實(shí)例屬性的多級關(guān)系的多級關(guān)系 多實(shí)例元組的多實(shí)例元組的多級關(guān)系多級關(guān)系 55 可見多實(shí)例：

42、可見多實(shí)例：當(dāng)高訪問等級的用戶想當(dāng)高訪問等級的用戶想 在數(shù)據(jù)庫的一個域上插入數(shù)據(jù)，而在在數(shù)據(jù)庫的一個域上插入數(shù)據(jù)，而在 這個域上已經(jīng)存在低安全等級的數(shù)據(jù)這個域上已經(jīng)存在低安全等級的數(shù)據(jù) 時發(fā)生。時發(fā)生。 不可見多實(shí)例：不可見多實(shí)例：當(dāng)?shù)驮L問等級的用戶當(dāng)?shù)驮L問等級的用戶 想在數(shù)據(jù)庫的一個已經(jīng)有高安全等級想在數(shù)據(jù)庫的一個已經(jīng)有高安全等級 的域上插入一個新數(shù)據(jù)時發(fā)生。的域上插入一個新數(shù)據(jù)時發(fā)生。 56 可見多實(shí)例可見多實(shí)例 U U級用戶將級用戶將RangeRange更新為更新為1 1 S S級用戶將級用戶將RangeRange更新為更新為2 2 最初的多級關(guān)系最初的多級關(guān)系 57 不可見多實(shí)例不可見

43、多實(shí)例 最初的最初的S S級用戶級用戶實(shí)例實(shí)例 U U級用戶將級用戶將RangeRange更新為更新為1 1后，后，U U級實(shí)例如下：級實(shí)例如下： U U級用戶將級用戶將RangeRange更新為更新為2 2后，后，S S級實(shí)例如下：級實(shí)例如下： 58 多實(shí)例雖可防止隱蔽通道，但引起一多實(shí)例雖可防止隱蔽通道，但引起一 些相關(guān)問題：些相關(guān)問題： 數(shù)據(jù)機(jī)密性與完整性沖突數(shù)據(jù)機(jī)密性與完整性沖突 增加了數(shù)據(jù)庫的管理難度增加了數(shù)據(jù)庫的管理難度 增加了對同一現(xiàn)實(shí)世界中不同模型理增加了對同一現(xiàn)實(shí)世界中不同模型理 解的困惑。不清楚那個實(shí)例的信息是解的困惑。不清楚那個實(shí)例的信息是 正確、可信的。正確、可信的。

44、59 v使所有的主碼可見，主碼以關(guān)系內(nèi)可見的使所有的主碼可見，主碼以關(guān)系內(nèi)可見的 最低安全等級標(biāo)識最低安全等級標(biāo)識 v根據(jù)主碼可能的各種安全等級，劃分主碼根據(jù)主碼可能的各種安全等級，劃分主碼 的域。的域。 v限制對多級關(guān)系的插入。要求所有的插入限制對多級關(guān)系的插入。要求所有的插入 由系統(tǒng)最高安全等級的用戶實(shí)施向下寫完由系統(tǒng)最高安全等級的用戶實(shí)施向下寫完 成。成。 60 隱蔽通道：隱蔽通道：是指給定一個強(qiáng)制安全策略模型是指給定一個強(qiáng)制安全策略模型M M和和 它在一個操作系統(tǒng)中的解釋它在一個操作系統(tǒng)中的解釋I(M),I(M)I(M),I(M)中兩個主中兩個主 體體I(Si)I(Si)和和I(Sj)

45、I(Sj)之間的任何潛在通信都是隱蔽之間的任何潛在通信都是隱蔽 的的, ,當(dāng)且僅當(dāng)模型當(dāng)且僅當(dāng)模型M M中的相應(yīng)主體中的相應(yīng)主體SiSi和和SjSj之間的之間的 任何通信在任何通信在M M中都是非法的。（系統(tǒng)中不受安全中都是非法的。（系統(tǒng)中不受安全 策略控制的，違反安全策略的信息泄露路徑）策略控制的，違反安全策略的信息泄露路徑） 系統(tǒng)實(shí)際使用中，攻擊者制造一組表面上合法系統(tǒng)實(shí)際使用中，攻擊者制造一組表面上合法 的操作序列，將高級數(shù)據(jù)傳送到低級用戶。這的操作序列，將高級數(shù)據(jù)傳送到低級用戶。這 種隱蔽的非法通道叫隱蔽通道。種隱蔽的非法通道叫隱蔽通道。 61 隱通道通過不是用于數(shù)據(jù)傳遞的系統(tǒng)設(shè)施來發(fā)

46、隱通道通過不是用于數(shù)據(jù)傳遞的系統(tǒng)設(shè)施來發(fā) 送信息送信息 ，并且這種通信方式往往不被系統(tǒng)的，并且這種通信方式往往不被系統(tǒng)的 存取控制機(jī)制所檢測和控制。存取控制機(jī)制所檢測和控制。 隱蔽通道的分類隱蔽通道的分類 v存儲隱蔽通道和時序隱蔽通道存儲隱蔽通道和時序隱蔽通道 v雙向同步隱蔽通道和單項(xiàng)同步隱蔽通道雙向同步隱蔽通道和單項(xiàng)同步隱蔽通道 v無噪聲隱蔽通道和有噪聲隱蔽通道無噪聲隱蔽通道和有噪聲隱蔽通道 v聚集隱蔽通道和非聚集隱蔽通道聚集隱蔽通道和非聚集隱蔽通道 存儲隱蔽通道存儲隱蔽通道: :如果一個隱通道是一個主體直如果一個隱通道是一個主體直 接或間接地修改一存儲變量，而被另一主體通接或間接地修改一存

47、儲變量，而被另一主體通 過直接或間接地讀取同一個變量獲得信息，這過直接或間接地讀取同一個變量獲得信息，這 個隱通道是存儲隱通道。個隱通道是存儲隱通道。 62 例例1:1:進(jìn)程號隱通道進(jìn)程號隱通道. . 進(jìn)程號（進(jìn)程號（PIDPID）是系統(tǒng)中標(biāo)志進(jìn)程的唯一符）是系統(tǒng)中標(biāo)志進(jìn)程的唯一符 號，在許多操作系統(tǒng)中采用連續(xù)遞增的方法號，在許多操作系統(tǒng)中采用連續(xù)遞增的方法 來管理進(jìn)程號，即新建的進(jìn)程的進(jìn)程號在上來管理進(jìn)程號，即新建的進(jìn)程的進(jìn)程號在上 一個進(jìn)程的進(jìn)程號的基礎(chǔ)上加一個進(jìn)程的進(jìn)程號的基礎(chǔ)上加1 1，利用系統(tǒng)，利用系統(tǒng) 的這一管理機(jī)制也可產(chǎn)生隱通道，其操作過的這一管理機(jī)制也可產(chǎn)生隱通道，其操作過 程

48、如下：程如下： 63 操作過程：操作過程： 接收方建立一個子進(jìn)程并立即結(jié)束它，記接收方建立一個子進(jìn)程并立即結(jié)束它，記 錄下它的進(jìn)程號；錄下它的進(jìn)程號； 發(fā)送方若發(fā)發(fā)送方若發(fā)“0”0”，則什么也不做，若發(fā)，則什么也不做，若發(fā) “1”1”則建一個子進(jìn)程并立即結(jié)束它；則建一個子進(jìn)程并立即結(jié)束它； 接收方再建一個子進(jìn)程并立即結(jié)束它，記接收方再建一個子進(jìn)程并立即結(jié)束它，記 錄下它的進(jìn)程號，如果新的進(jìn)程號與上一次錄下它的進(jìn)程號，如果新的進(jìn)程號與上一次 得到的進(jìn)程號相差得到的進(jìn)程號相差1 1，則確認(rèn)接收到，則確認(rèn)接收到“0”0”， 如果新的進(jìn)程號與上一次得的進(jìn)程號相差如果新的進(jìn)程號與上一次得的進(jìn)程號相差2

49、2， 則確認(rèn)接收到則確認(rèn)接收到“1”1”； 做好同步工作，轉(zhuǎn)入做好同步工作，轉(zhuǎn)入2 2，傳送下一比特，傳送下一比特。 例：例： 收收 發(fā)發(fā) 收收 發(fā)發(fā) 收收 發(fā)發(fā) 收收 發(fā)發(fā) p1 p2 p3 p4 p5 p6 傳送信息傳送信息 1 0 1 0 64 時序隱蔽通道：時序隱蔽通道：時序隱通道的發(fā)送者通過對使用資時序隱通道的發(fā)送者通過對使用資 源時間的影響來發(fā)送信息，接收者通過觀察響應(yīng)時源時間的影響來發(fā)送信息，接收者通過觀察響應(yīng)時 間的變化來接收信息，這個隱通道是時序隱通道。間的變化來接收信息，這個隱通道是時序隱通道。 例例2 2：時序隱蔽通道。：時序隱蔽通道。 vCPUCPU是一種可以利用的系統(tǒng)

50、資源，可由多個用戶是一種可以利用的系統(tǒng)資源，可由多個用戶 共享，假設(shè)有共享，假設(shè)有H H和和L L兩個進(jìn)程，兩個進(jìn)程，H H的安全級高于的安全級高于L L， H H企圖將信息傳遞給企圖將信息傳遞給L L。它們約定一系列間隔均勻。它們約定一系列間隔均勻 的時間點(diǎn)的時間點(diǎn)t1t1，t1t1，t1t1，（間隔時間至少允許兩（間隔時間至少允許兩 次次CPUCPU調(diào)度）。調(diào)度）。 vL L在每個時間點(diǎn)都請求使用在每個時間點(diǎn)都請求使用CPUCPU，而，而H H在每個時間在每個時間 點(diǎn)，若要發(fā)送點(diǎn)，若要發(fā)送0 0，則不請求使用，則不請求使用CPUCPU；若要發(fā)送；若要發(fā)送1 1， 則請求使用則請求使用CPU

51、CPU（假設(shè)（假設(shè)H H的優(yōu)先級高于的優(yōu)先級高于L L）。于是，）。于是， 在每個時間點(diǎn)，在每個時間點(diǎn)，L L若能立即獲得若能立即獲得CPUCPU的使用權(quán)，則的使用權(quán)，則 確認(rèn)收到確認(rèn)收到0 0，若要等待，則確認(rèn)收到，若要等待，則確認(rèn)收到1 1，這個隱通，這個隱通 道被稱時序隱蔽通道道被稱時序隱蔽通道。 65 v雙向同步隱蔽通道和單項(xiàng)同步隱蔽通道雙向同步隱蔽通道和單項(xiàng)同步隱蔽通道 為了讓一個進(jìn)程通知另外一個進(jìn)程已經(jīng)完成了對一為了讓一個進(jìn)程通知另外一個進(jìn)程已經(jīng)完成了對一 個數(shù)據(jù)的讀或?qū)?，在使用隱蔽通道傳遞信息之前，個數(shù)據(jù)的讀或?qū)懀谑褂秒[蔽通道傳遞信息之前， 信息發(fā)送者和接收者之間必須規(guī)定好同步

52、方式。信息發(fā)送者和接收者之間必須規(guī)定好同步方式。 如果一個隱蔽通道中除了包含一個傳輸用戶數(shù)據(jù)的如果一個隱蔽通道中除了包含一個傳輸用戶數(shù)據(jù)的 變量外，還包括兩個同步變量：一個同步變量用于變量外，還包括兩個同步變量：一個同步變量用于 發(fā)送者到接收者的同步，另一個用于接收者到發(fā)送發(fā)送者到接收者的同步，另一個用于接收者到發(fā)送 者的同者的同步步，這種隱蔽通道稱為，這種隱蔽通道稱為雙向同步隱蔽通道雙向同步隱蔽通道。 有些安全模型和它們的解釋允許一類接收者到一類有些安全模型和它們的解釋允許一類接收者到一類 發(fā)送者的通信，這類系統(tǒng)中從發(fā)送者到接收者的同發(fā)送者的通信，這類系統(tǒng)中從發(fā)送者到接收者的同 步也不可缺少，這種隱蔽通道稱為步也不可缺少，這種隱蔽通道稱為單向同步隱蔽通單向同步隱蔽通 道道。