剖析第六章多級數(shù)據(jù)庫安全管理系統(tǒng)詳解

1、剖析第六章多級數(shù)據(jù)庫安全管理系統(tǒng)詳解第六章多級數(shù)據(jù)庫安全管理系統(tǒng)詳解3 安全數(shù)據(jù)庫標(biāo)準(zhǔn)安全數(shù)據(jù)庫標(biāo)準(zhǔn) 多級安全數(shù)據(jù)庫關(guān)鍵問題多級安全數(shù)據(jù)庫關(guān)鍵問題多級安全數(shù)據(jù)庫設(shè)計準(zhǔn)則多級安全數(shù)據(jù)庫設(shè)計準(zhǔn)則6.4 6.4 多級關(guān)系數(shù)據(jù)模型多級關(guān)系數(shù)據(jù)模型6.5 6.5 多實例多實例6.6 6.6 隱蔽通道分析隱蔽通道分析46.1 6.1 安全數(shù)據(jù)庫標(biāo)準(zhǔn)安全數(shù)據(jù)庫標(biāo)準(zhǔn)為降低進(jìn)而消除對系統(tǒng)的安全攻擊，各國引用或為降低進(jìn)而消除對系統(tǒng)的安全攻擊，各國引用或制定了一系列安全標(biāo)準(zhǔn)制定了一系列安全標(biāo)準(zhǔn)v TCSEC (TCSEC (桔皮書桔皮書) )v TDI ( TDI (紫皮書紫皮書) )5202X202X年美國國防部

2、（年美國國防部（DoDDoD）正式頒布）正式頒布 DoD DoD可可信計算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)信計算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)簡稱簡稱TCSECTCSEC或或DoD85DoD85，TCSECTCSEC又稱桔皮書又稱桔皮書TCSECTCSEC標(biāo)準(zhǔn)的目的標(biāo)準(zhǔn)的目的提供一種標(biāo)準(zhǔn)，使用戶可以對其計算機(jī)系統(tǒng)內(nèi)提供一種標(biāo)準(zhǔn)，使用戶可以對其計算機(jī)系統(tǒng)內(nèi)敏感信息安全操作的可信程度做評估。敏感信息安全操作的可信程度做評估。給計算機(jī)行業(yè)的制造商提供一種可循的指導(dǎo)規(guī)則，給計算機(jī)行業(yè)的制造商提供一種可循的指導(dǎo)規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應(yīng)用的安全需求。使其產(chǎn)品能夠更好地滿足敏感應(yīng)用的安全需求。6TCBTCB可信計算基：是可信計算基

3、：是Trusted Computing Trusted Computing BaseBase的簡稱，指的是計算機(jī)內(nèi)保護(hù)裝置的的簡稱，指的是計算機(jī)內(nèi)保護(hù)裝置的總體，包括硬件、固件、軟件和負(fù)責(zé)執(zhí)行總體，包括硬件、固件、軟件和負(fù)責(zé)執(zhí)行安全策略管理員的組合體。它建立了一個安全策略管理員的組合體。它建立了一個基本的保護(hù)環(huán)境并提供一個可信計算機(jī)系基本的保護(hù)環(huán)境并提供一個可信計算機(jī)系統(tǒng)所要求的附加用戶服務(wù)。統(tǒng)所要求的附加用戶服務(wù)。 7202X202X年年4 4月美國月美國NCSCNCSC（國家計算機(jī)安全中心）（國家計算機(jī)安全中心）頒布了頒布了可信計算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)關(guān)于可信可信計算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)關(guān)于可信數(shù)據(jù)庫

4、系統(tǒng)的解釋數(shù)據(jù)庫系統(tǒng)的解釋簡稱簡稱TDITDI，又稱紫皮書，又稱紫皮書它將它將TCSECTCSEC擴(kuò)展到數(shù)據(jù)庫管理系統(tǒng)擴(kuò)展到數(shù)據(jù)庫管理系統(tǒng)定義了數(shù)據(jù)庫管理系統(tǒng)的設(shè)計與實現(xiàn)中需定義了數(shù)據(jù)庫管理系統(tǒng)的設(shè)計與實現(xiàn)中需滿足和用以進(jìn)行安全性級別評估的標(biāo)準(zhǔn)滿足和用以進(jìn)行安全性級別評估的標(biāo)準(zhǔn)8TDI/TCSEC標(biāo)準(zhǔn)的基本內(nèi)容標(biāo)準(zhǔn)的基本內(nèi)容TDITDI與與TCSECTCSEC一樣，從四個方面來描述安全一樣，從四個方面來描述安全性級別劃分的指標(biāo)性級別劃分的指標(biāo)v安全策略安全策略v責(zé)任責(zé)任v保證保證v文檔文檔9TCSEC/TDI安全級別劃分安全級別劃分安安 全全 級級 別別 定定 義義A1驗證設(shè)計（驗證設(shè)計（Ve

5、rified Design） B3安全域（安全域（Security Domains） B2結(jié)構(gòu)化保護(hù)（結(jié)構(gòu)化保護(hù)（Structural Protection） B1標(biāo)記安全保護(hù) （標(biāo)記安全保護(hù) （Labeled Security Protection） C2受控的存取保護(hù)受控的存取保護(hù)（Controlled Access Protection） C1自主安全保護(hù)自主安全保護(hù)（Discretionary Security Protection） D最小保護(hù)（最小保護(hù)（Minimal Protection）四組七個等級四組七個等級按系統(tǒng)可靠或可信程度逐漸按系統(tǒng)可靠或可信程度逐漸增高增高 各安全級別

6、之間具有一各安全級別之間具有一種偏序向下兼容的關(guān)系，種偏序向下兼容的關(guān)系，即較高安全性級別提供即較高安全性級別提供的安全保護(hù)要包含較低的安全保護(hù)要包含較低級別的所有保護(hù)要求，級別的所有保護(hù)要求，同時提供更多或更完善同時提供更多或更完善的保護(hù)能力。的保護(hù)能力。10等級說明：等級說明：D，C1D D級（最小保護(hù)級）級（最小保護(hù)級）v將一切不符合更高標(biāo)準(zhǔn)的系統(tǒng)均歸于將一切不符合更高標(biāo)準(zhǔn)的系統(tǒng)均歸于D D組組v典型例子：典型例子：DOSDOS是安全標(biāo)準(zhǔn)為是安全標(biāo)準(zhǔn)為D D的操作系統(tǒng)的操作系統(tǒng) DOS DOS在安全性方面幾乎沒有什么專門的在安全性方面幾乎沒有什么專門的 機(jī)制來保障機(jī)制來保障無身份認(rèn)證與訪

7、問控制無身份認(rèn)證與訪問控制。C1C1級（自主安全保護(hù)級）級（自主安全保護(hù)級）v非常初級的自主安全保護(hù)非常初級的自主安全保護(hù)v能夠?qū)崿F(xiàn)對用戶和數(shù)據(jù)的分離，進(jìn)行自主存能夠?qū)崿F(xiàn)對用戶和數(shù)據(jù)的分離，進(jìn)行自主存取控制（取控制（DACDAC），保護(hù)或限制用戶權(quán)限的傳），保護(hù)或限制用戶權(quán)限的傳播。早期的播。早期的UNIXUNIX系統(tǒng)屬于這一類。系統(tǒng)屬于這一類。v這類系統(tǒng)適合于多個協(xié)作用戶在同一個安這類系統(tǒng)適合于多個協(xié)作用戶在同一個安全級上處理數(shù)據(jù)的工作環(huán)境。全級上處理數(shù)據(jù)的工作環(huán)境。 11等級說明：等級說明：C2C2C2級（級（受控的存取保護(hù)級受控的存取保護(hù)級） C2C2級達(dá)到企業(yè)級安全要求。可作為最低軍用

8、安全級別級達(dá)到企業(yè)級安全要求。可作為最低軍用安全級別v提供受控的自主存取保護(hù)，將提供受控的自主存取保護(hù)，將C1C1級的級的DACDAC進(jìn)一步細(xì)化，進(jìn)一步細(xì)化，以個人身份注冊負(fù)責(zé)，并實施審計以個人身份注冊負(fù)責(zé)，并實施審計（審計粒度要能夠?qū)徲嬃６纫軌蚋櫭總€主體對每個客體的每一次訪問。對審計記錄跟蹤每個主體對每個客體的每一次訪問。對審計記錄應(yīng)該提供保護(hù)，防止非法修改。應(yīng)該提供保護(hù)，防止非法修改。）和資和資源隔離，客體源隔離，客體重用，記錄安全性事件重用，記錄安全性事件v達(dá)到達(dá)到C2C2級的產(chǎn)品在其名稱中往往不突出級的產(chǎn)品在其名稱中往往不突出“安安全全”(Security)”(Security)這

9、一特色這一特色v典型例子典型例子 ，l linuxinux系統(tǒng)的某些執(zhí)行方法符合系統(tǒng)的某些執(zhí)行方法符合C2C2級別。級別。 12等級說明：等級說明：B1B1B1級（標(biāo)簽安全保護(hù)級）級（標(biāo)簽安全保護(hù)級）v標(biāo)記安全保護(hù)。標(biāo)記安全保護(hù)?！鞍踩踩?Security)(Security)或或“可信可信的的”(Trusted)(Trusted)產(chǎn)品。產(chǎn)品。v對系統(tǒng)的數(shù)據(jù)加以標(biāo)記，對標(biāo)記的主體和客體實對系統(tǒng)的數(shù)據(jù)加以標(biāo)記，對標(biāo)記的主體和客體實施強(qiáng)制存取控制（施強(qiáng)制存取控制（MACMAC）、對安全策略進(jìn)行非形）、對安全策略進(jìn)行非形式化描述，加強(qiáng)了隱通道分析，審計等安全機(jī)制式化描述，加強(qiáng)了隱通道分析，審計等

10、安全機(jī)制v典型例子典型例子 操作系統(tǒng)：數(shù)字設(shè)備公司的操作系統(tǒng)：數(shù)字設(shè)備公司的SEVMS VAX Version 6.0SEVMS VAX Version 6.0，惠普，惠普公司的公司的HP-UX BLS release 9.0.9+ HP-UX BLS release 9.0.9+ 13等級說明：等級說明：B2B2B2級（結(jié)構(gòu)化保護(hù)級）級（結(jié)構(gòu)化保護(hù)級）v建立形式化的安全策略模型并對系統(tǒng)內(nèi)的所有主體和建立形式化的安全策略模型并對系統(tǒng)內(nèi)的所有主體和客體實施客體實施DACDAC和和MACMAC，從主體到客體，從主體到客體擴(kuò)大到擴(kuò)大到I/OI/O設(shè)備等設(shè)備等所有資源。要求開發(fā)者對隱蔽信道進(jìn)行徹底地搜

11、索。所有資源。要求開發(fā)者對隱蔽信道進(jìn)行徹底地搜索。TCBTCB劃分保護(hù)與非保護(hù)部分，存放于固定區(qū)內(nèi)。劃分保護(hù)與非保護(hù)部分，存放于固定區(qū)內(nèi)。v經(jīng)過認(rèn)證的經(jīng)過認(rèn)證的B2B2級以上的安全系統(tǒng)非常稀少級以上的安全系統(tǒng)非常稀少v典型例子典型例子 操作系統(tǒng)：只有操作系統(tǒng)：只有Trusted Information SystemsTrusted Information Systems公司的公司的Trusted XENIXTrusted XENIX一種產(chǎn)品一種產(chǎn)品 標(biāo)準(zhǔn)的網(wǎng)絡(luò)產(chǎn)品：只有標(biāo)準(zhǔn)的網(wǎng)絡(luò)產(chǎn)品：只有Cryptek Secure CommunicationsCryptek Secure Communica

12、tions公公司的司的LLC VSLANLLC VSLAN一種產(chǎn)品一種產(chǎn)品 數(shù)據(jù)庫：沒有符合數(shù)據(jù)庫：沒有符合B2B2標(biāo)準(zhǔn)的產(chǎn)品標(biāo)準(zhǔn)的產(chǎn)品14等級說明：等級說明：B3，A1B3B3級（安全區(qū)域保護(hù)級）級（安全區(qū)域保護(hù)級）v該級的該級的TCBTCB必須滿足訪問監(jiān)控器的要求，安全內(nèi)核，必須滿足訪問監(jiān)控器的要求，安全內(nèi)核，審計跟蹤能力更強(qiáng)，并提供系統(tǒng)恢復(fù)過程。即使計審計跟蹤能力更強(qiáng)，并提供系統(tǒng)恢復(fù)過程。即使計算機(jī)崩潰算機(jī)崩潰, ,也不會泄露系統(tǒng)信息。也不會泄露系統(tǒng)信息。A1A1級（驗證設(shè)計級）級（驗證設(shè)計級）v驗證設(shè)計，即提供驗證設(shè)計，即提供B3B3級保護(hù)的同時給出系統(tǒng)的級保護(hù)的同時給出系統(tǒng)的形式化設(shè)

13、計說明和驗證以確信各安全保護(hù)真正形式化設(shè)計說明和驗證以確信各安全保護(hù)真正實現(xiàn)實現(xiàn)。這個級別要求嚴(yán)格的數(shù)學(xué)證明。這個級別要求嚴(yán)格的數(shù)學(xué)證明。 15說明說明B2B2以上的系統(tǒng)以上的系統(tǒng)v還處于理論研究階段還處于理論研究階段v應(yīng)用多限于一些特殊的部門如軍隊等應(yīng)用多限于一些特殊的部門如軍隊等v美國正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于美國正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于少數(shù)領(lǐng)域應(yīng)用的少數(shù)領(lǐng)域應(yīng)用的B2B2安全級別下放到商業(yè)應(yīng)用中來，安全級別下放到商業(yè)應(yīng)用中來，并逐步成為新的商業(yè)標(biāo)準(zhǔn)。并逐步成為新的商業(yè)標(biāo)準(zhǔn)。16我國的信息系統(tǒng)安全評估工作是隨著對信息安我國的信息系統(tǒng)安全評估工作是隨著對信息安全問題

14、的認(rèn)識的逐步深化不斷發(fā)展的。早期的全問題的認(rèn)識的逐步深化不斷發(fā)展的。早期的信息安全工作中心是信息保密，通過保密檢查信息安全工作中心是信息保密，通過保密檢查來發(fā)現(xiàn)問題，改進(jìn)提高。來發(fā)現(xiàn)問題，改進(jìn)提高。8080年代后，隨著計算年代后，隨著計算機(jī)的推廣應(yīng)用，隨即提出了計算機(jī)安全的問題，機(jī)的推廣應(yīng)用，隨即提出了計算機(jī)安全的問題，開展了計算機(jī)安全檢查工作。開展了計算機(jī)安全檢查工作。17我國信息安全評測標(biāo)準(zhǔn)我國信息安全評測標(biāo)準(zhǔn)我國國家質(zhì)量技術(shù)監(jiān)督局于我國國家質(zhì)量技術(shù)監(jiān)督局于202X202X年年1010月頒布了月頒布了“計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則”，編號為編號為GB

15、 17859-202XGB 17859-202X在在202X202X年，發(fā)表了國家標(biāo)準(zhǔn)年，發(fā)表了國家標(biāo)準(zhǔn)GB/T 18336-202XGB/T 18336-202X信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求正在報批。正在報批。18GB 17859-202XGB 17859-202X將信息系統(tǒng)劃分為五個安全等將信息系統(tǒng)劃分為五個安全等級：級：用戶自主保護(hù)級用戶自主保護(hù)級系統(tǒng)審計保護(hù)級系統(tǒng)審計保護(hù)級安全標(biāo)簽保護(hù)級安全標(biāo)簽保護(hù)級結(jié)構(gòu)化保護(hù)級結(jié)構(gòu)化保護(hù)級訪問驗證保護(hù)級訪問驗證保護(hù)級 基本上與基本上與TCSECTCSEC的的C1C1、C2C2、B1B1、B2B2、B3B

16、3級相級相對應(yīng)。對應(yīng)。19多級安全數(shù)據(jù)庫關(guān)鍵問題包括：多級安全數(shù)據(jù)庫關(guān)鍵問題包括：v多級安全數(shù)據(jù)庫體系結(jié)構(gòu)多級安全數(shù)據(jù)庫體系結(jié)構(gòu)v多級安全數(shù)據(jù)模型多級安全數(shù)據(jù)模型v多實例多實例v元數(shù)據(jù)管理元數(shù)據(jù)管理v并發(fā)事務(wù)處理并發(fā)事務(wù)處理v推理分析和隱蔽通道分析推理分析和隱蔽通道分析20多級安全數(shù)據(jù)庫設(shè)計準(zhǔn)則如下：多級安全數(shù)據(jù)庫設(shè)計準(zhǔn)則如下：v提供多級密級粒度提供多級密級粒度v確保一致性和完整性確保一致性和完整性v實施推理控制實施推理控制v防止敏感聚合防止敏感聚合v進(jìn)行隱蔽通道分析進(jìn)行隱蔽通道分析v支持多實例支持多實例v執(zhí)行并發(fā)控制執(zhí)行并發(fā)控制21傳統(tǒng)關(guān)系模型兩個重要的完整性：傳統(tǒng)關(guān)系模型兩個重要的完整性：

17、v實體完整性、引用完整性（參照完整性）。實體完整性、引用完整性（參照完整性）。多級關(guān)系數(shù)據(jù)模型三要素：多級關(guān)系數(shù)據(jù)模型三要素：v多級關(guān)系、多級關(guān)系完整性約束及多級關(guān)系操多級關(guān)系、多級關(guān)系完整性約束及多級關(guān)系操作。作。多級安全模型需作的改進(jìn)：多級安全模型需作的改進(jìn)：v多級安全模型：在傳統(tǒng)關(guān)系模型基礎(chǔ)上各種邏輯數(shù)多級安全模型：在傳統(tǒng)關(guān)系模型基礎(chǔ)上各種邏輯數(shù)據(jù)對象強(qiáng)制賦予安全屬性標(biāo)簽。據(jù)對象強(qiáng)制賦予安全屬性標(biāo)簽。v修改傳統(tǒng)關(guān)系模型中關(guān)系的完整性及關(guān)系上的修改傳統(tǒng)關(guān)系模型中關(guān)系的完整性及關(guān)系上的操作。操作。22安全標(biāo)簽粒度：是標(biāo)識安全等級的最小邏輯對安全標(biāo)簽粒度：是標(biāo)識安全等級的最小邏輯對象單位。象單

18、位。安全標(biāo)簽粒度級別：關(guān)系級、元組級及屬性級。安全標(biāo)簽粒度級別：關(guān)系級、元組級及屬性級。安全粒度控制安全粒度控制v按照不同的安全需求和實體類型，決定安全控制的按照不同的安全需求和實體類型，決定安全控制的程度。程度。v例如，對數(shù)據(jù)的存取，可以是關(guān)系級、元組級及例如，對數(shù)據(jù)的存取，可以是關(guān)系級、元組級及屬性級。屬性級。粒度越細(xì)，控制越靈活，但所對應(yīng)的操作越困粒度越細(xì)，控制越靈活，但所對應(yīng)的操作越困難和復(fù)雜。難和復(fù)雜。23一、多級關(guān)系一、多級關(guān)系傳統(tǒng)的關(guān)系模式：傳統(tǒng)的關(guān)系模式：R(AR(A1 1,A,A2 2, A, An n) )多級關(guān)系模式：多級關(guān)系模式： R(AR(A1 1,C,C1 1,A,

19、A2 2,C,C2 2,A,An n,C,Cn n,TC),TC)v元組的安全級別元組的安全級別:TC:TCv元組表示：元組表示：t(at(a1 1,c,c1 1,a,a2 2,c,c2 2,a,an n,c,cn n,tc),tc)v元組元組t t的安全標(biāo)簽：的安全標(biāo)簽：ttc.ttc.v屬性屬性a ai i的安全標(biāo)簽：的安全標(biāo)簽：tctci i. 例例 Weapon Weapon多級關(guān)系表示。多級關(guān)系表示。24表1 原始Weapon多級關(guān)系表2 Weapon U 級實例25表1 原始Weapon多級關(guān)系表3 原始Weapon S級實例26表4 Weapon TS級實例27多級關(guān)系完整性：多

20、級關(guān)系完整性：v實體完整性實體完整性v空值完整性空值完整性v多級外碼完整性與參照完整性多級外碼完整性與參照完整性v實例間完整性實例間完整性v多實例完整性多實例完整性多級關(guān)系完整性多級關(guān)系完整性28一、實體完整性一、實體完整性 設(shè)設(shè)AKAK是定義在關(guān)系模式是定義在關(guān)系模式R R上的外觀主碼，一個上的外觀主碼，一個多級關(guān)系滿足實體完整性，當(dāng)且僅當(dāng)對多級關(guān)系滿足實體完整性，當(dāng)且僅當(dāng)對R R的所的所有實例有實例RcRc與與tRc,Rc,有：有：vA Ai iAK = tAAK = tAi inull/ null/ 主碼屬性不能為空主碼屬性不能為空vA Ai i , A, Aj jAK = tCAK =

21、 tCi i tCtCj j/主鍵各屬性安主鍵各屬性安全等級一致，保證在任何級別上主鍵都是完整全等級一致，保證在任何級別上主鍵都是完整的。的。vA Ai i AK = tCAK = tCi i = tC = tCAKAK/非碼屬性安全非碼屬性安全等級支配鍵值，保證關(guān)系可見的任何級別上，等級支配鍵值，保證關(guān)系可見的任何級別上，主鍵不可能為空。主鍵不可能為空。29二、空值完整性二、空值完整性在多級關(guān)系中，空值有兩種解釋在多級關(guān)系中，空值有兩種解釋: :v一種確實為空。一種確實為空。v另一種是實例的等級低于屬性的等級使此屬另一種是實例的等級低于屬性的等級使此屬性不可見，從而顯示為空。性不可見，從而顯

22、示為空?？罩低暾允褂昧藲w類關(guān)系，歸類關(guān)系如下：空值完整性使用了歸類關(guān)系，歸類關(guān)系如下：如果兩元組如果兩元組t t和和s s，如果屬性，如果屬性AiAi滿足下列條件滿足下列條件，元組，元組t t包含元組包含元組s s。v對于兩元組對于兩元組t t和和s, s, 如果任何一個屬性如果任何一個屬性 tAi ,Ci sAi ,Ci;vtAinull且且 sAinull，則稱元組則稱元組t t包含元組包含元組s s。30一個多級關(guān)系個多級關(guān)系R R滿足空值完整性，當(dāng)且滿足空值完整性，當(dāng)且僅當(dāng)對僅當(dāng)對R R的每個實例的每個實例RcRc均滿足下列兩個均滿足下列兩個條件：條件：v空值的安全級別與主鍵相同?？?/p>

23、值的安全級別與主鍵相同。 即對于所有的即對于所有的tRtRc c, , tA tAi i null = tcnull = tci i tCtCAKAK vR Rc c不含有兩個有包含關(guān)系的不同元組。不含有兩個有包含關(guān)系的不同元組。31 例例1 1 多級關(guān)系違反了空值完整性多級關(guān)系違反了空值完整性 多級關(guān)系違反了空值完整性32三、多級外碼完整性與參照完整性三、多級外碼完整性與參照完整性多級外碼完整性：多級外碼完整性： 假設(shè)假設(shè)FKFK是參照關(guān)系是參照關(guān)系R R的外碼，多級關(guān)系的外碼，多級關(guān)系R R的一個實例的一個實例RcRc滿足外碼完整性，當(dāng)且僅當(dāng)對所有的滿足外碼完整性，當(dāng)且僅當(dāng)對所有的tRct

24、Rc滿足：滿足：v 或者（所有或者（所有A Ai iFKFK） tA tAi i = null = null， 或者（所有或者（所有A Ai iFKFK） tA tAi inullnull / /外碼屬性全空或全非空外碼屬性全空或全非空v A Ai i , A, Aj jFK = tCFK = tCi i tCtCj j 。 / /外碼的每個屬性具有相同的安全級別外碼的每個屬性具有相同的安全級別33多級參照完整性：多級參照完整性：假設(shè)假設(shè)FKFK1 1是具有外觀主碼是具有外觀主碼AKAK1 1參照關(guān)系參照關(guān)系R R1 1的外碼，的外碼，R R2 2具有外觀主碼具有外觀主碼AKAK2 2的被參照

25、關(guān)系，多級關(guān)系的被參照關(guān)系，多級關(guān)系R R1 1的一個實例的一個實例 r r1 1 和多級關(guān)系和多級關(guān)系R R2 2的一個實例的一個實例 r r2 2滿滿足參照完整性，當(dāng)且僅當(dāng)足參照完整性，當(dāng)且僅當(dāng) 所有所有t t1111rr1 1 , t, t1111FKFK1 1 null , null , E E t t2121rr2 2 ,t,t1111FKFK1 1 = t = t2121AKAK2 2 t t1111TC=TC= t t2121TCTC t t1111CCFK1FK1 t t2121CCAK2AK2 。 外鍵的訪問等級必須支配引用元組中主鍵的訪外鍵的訪問等級必須支配引用元組中主鍵的

26、訪問等級。問等級。34四、實例間完整性四、實例間完整性多級關(guān)系多級關(guān)系RcRc滿足實例間完整性，當(dāng)且僅當(dāng)對所滿足實例間完整性，當(dāng)且僅當(dāng)對所有有 cc cc，Rc=Rc=( Rc( Rc，c)c)，其中過濾函數(shù)，其中過濾函數(shù)按按以下方法從以下方法從RcRc產(chǎn)生安全等級為產(chǎn)生安全等級為cc的實例的實例RcRc：v所有所有 tR tRc c, tC, tCAKAKc, tRcc, tRc， 滿足滿足tAK,CtAK,CAKAK= tAK,C= tAK,CAKAK./主碼保留主碼保留v所有所有A Ai i AK AK有有 tA tAi i,C,Ci i=tA=tAi i,C,Ci i if tC if

27、 tCi i c c tA tAi i,C,Ci i=null,tC= otherwise otherwiseE E 消除消除RcRc的歸類元組的歸類元組35表1.多級關(guān)系“衛(wèi)星” S級實例實例間完整性舉例：例1表2.多級關(guān)系“衛(wèi)星”過濾后U級實例36表4.多級關(guān)系“衛(wèi)星”S級實例表5.多級關(guān)系“衛(wèi)星”過濾后S級實例實例間完整性舉例：例2表3.多級關(guān)系“衛(wèi)星” U級實例37五、多實例完整性五、多實例完整性假設(shè)多級關(guān)系假設(shè)多級關(guān)系R R的外觀主碼集合為的外觀主碼集合為AKAK，主碼等級，主碼等級為為C CAK AK 。多實例完整性要求由。多實例完整性要求由AKAK、C CAKAK以及第以及第i

28、i個個屬性的等級屬性的等級C Ci i便可確定第便可確定第i i個屬性值個屬性值A(chǔ) Ai i 。一個多級關(guān)系滿足多實例完整性，當(dāng)且僅當(dāng)每一個多級關(guān)系滿足多實例完整性，當(dāng)且僅當(dāng)每個個R Rc c中的每個屬性中的每個屬性A Ai i , ,滿足滿足AK,CAK,CAKAK,C,Ci i A Ai i 即即A Ai i函數(shù)依賴于函數(shù)依賴于AK,CAK,CAKAK,C,Ci i 。同一級別的元組之間不存在多實例。同一級別的元組之間不存在多實例。 38多級關(guān)系多級關(guān)系Weapon(Weapon(滿足多實例完整性滿足多實例完整性) ) 多級關(guān)系Weapon(不滿足多實例完整性)（元組級別相同主鍵重復(fù)）39

29、一、一、 插入操作插入操作形式：形式：INSERT INTO Rc(AINSERT INTO Rc(Ai i ,A,Aj j) VALUES (a VALUES (ai i ,a,aj j)當(dāng)插入元組當(dāng)插入元組t t（新插入）與主鍵值相同的元組（新插入）與主鍵值相同的元組t t時：時：1 1）若）若tTCtTC tTC, tTC,拒絕拒絕t t的插入。的插入。2 2）若）若tTC tTC,tTC ttTC t TC,TC,允許或拒絕允許或拒絕t t的插入均可的插入均可 以。以。40 例例1 S1 S級別主體插入操作級別主體插入操作 1 1）主碼值不同，正常插入）主碼值不同，正常插入 INSER

30、T INTO INSERT INTO WeaponWeapon VALUES “Cannonl,10,200” VALUES “Cannonl,10,200”插入后插入后Weapon多級關(guān)系的S級插入412 2）主碼值、級別相同，系統(tǒng)不允許插入。）主碼值、級別相同，系統(tǒng)不允許插入。 INSERT INTO INSERT INTO WeaponWeapon VALUES “Cannonl,10,200”/ VALUES “Cannonl,10,200”/S S級插入級插入Weapon多級關(guān)系的S級插入423 3）主碼值相同，但插入元組級別低，允許插入，）主碼值相同，但插入元組級別低，允許插入，

31、防止隱通道，產(chǎn)生多實例。防止隱通道，產(chǎn)生多實例。 INSERT INTO INSERT INTO WeaponWeapon VALUES “ VALUES “Missile2,250,30”/ ,250,30”/ S S級插入級插入插入前插入前Weapon多級關(guān)系的S級插入43插入后產(chǎn)生多實例插入后產(chǎn)生多實例Weapon多級關(guān)系的S級插入44二、更新操作二、更新操作形式：形式：UPDATE RcUPDATE Rc SET A SET Ai iS Si i ,A ,Aj jS Sj j WHERE p WHERE pp p是謂詞條件是謂詞條件針對關(guān)系間完整性的約束，更新操作對不同等針對關(guān)系間完整

32、性的約束，更新操作對不同等級的關(guān)系實例的影響有以下三點：級的關(guān)系實例的影響有以下三點：v對同等級關(guān)系實例的影響與傳統(tǒng)的對同等級關(guān)系實例的影響與傳統(tǒng)的UPDADEUPDADE語句一語句一樣。樣。v對更低等級關(guān)系實例無影響。對更低等級關(guān)系實例無影響。v對更高等級用戶，為避免隱蔽通道可能引入多對更高等級用戶，為避免隱蔽通道可能引入多實例。實例。45 例例11密級為密級為U U的用戶要求對的用戶要求對WeaponWeapon關(guān)系的關(guān)系的 U U級實例作更新操作。級實例作更新操作。/直接修改直接修改 UPDATE WeaponUPDATE Weapon SET Quantity=3000 SET Qua

33、ntity=3000 WHERE Wname=“Gun1”/ U WHERE Wname=“Gun1”/ U級用戶級用戶Weapon關(guān)系的 U 級實例46Weapon關(guān)系的 U 級實例更新前更新前Weapon關(guān)系的 U 級實例更新后更新后47 例例22密級為密級為U U的用戶要求對的用戶要求對WeaponWeapon關(guān)系的關(guān)系的 S S級實例作更新操作。級實例作更新操作。 UPDATE WeaponUPDATE Weapon SET Quantity=3000 SET Quantity=3000 WHERE Wname=“Gun1”/ U WHERE Wname=“Gun1”/ U級用戶級用戶

34、Weapon關(guān)系的 S 級實例48Weapon關(guān)系的 S 級實例更新前更新前Weapon關(guān)系的 S 級實例更新后產(chǎn)生多實例更新后產(chǎn)生多實例49 例例33密級為密級為S S的用戶要求對的用戶要求對WeaponWeapon關(guān)系的關(guān)系的 S S級實例執(zhí)行如下更新操作。級實例執(zhí)行如下更新操作。 UPDATE WeaponUPDATE Weapon SET Range=2 SET Range=2 WHERE Wname=“Gun1”AND WHERE Wname=“Gun1”AND Quantity=5000 Quantity=5000Weapon關(guān)系的 S 級實例50Weapon關(guān)系的 S 級實例更新

35、后更新后Weapon關(guān)系的 S 級實例更新前更新前51 例例44密級為密級為S S的用戶要求對的用戶要求對WeaponWeapon關(guān)系的關(guān)系的 S S級實例執(zhí)行如下更新操作。級實例執(zhí)行如下更新操作。 UPDATE WeaponUPDATE Weapon SET Range=2 SET Range=2 WHERE Wname=“Gun1”/ S WHERE Wname=“Gun1”/ S級用戶級用戶 Weapon關(guān)系的 S 級實例52Weapon關(guān)系的 S 級實例更新后更新后Weapon關(guān)系的 S 級實例更新前更新前53三、刪除操作三、刪除操作形式：形式：DELETE FROM RcDELETE

36、 FROM Rc WHERE p WHERE pp p是謂詞條件是謂詞條件四、查詢操作四、查詢操作形式：形式：SELECT A1,A2FROM R1 ,R2SELECT A1,A2FROM R1 ,R2 WHERE pAT c1,c2, WHERE pAT c1,c2,p p是謂詞條件是謂詞條件54多實例：是指在多級安全數(shù)據(jù)庫管理系統(tǒng)中，多實例：是指在多級安全數(shù)據(jù)庫管理系統(tǒng)中，同時存在多個具有相同主碼值的實體。同時存在多個具有相同主碼值的實體。多實例元組：關(guān)系包含多個具有相同主碼多實例元組：關(guān)系包含多個具有相同主碼的元組，但相同主碼的安全等級可以不的元組，但相同主碼的安全等級可以不 相相同，這

37、些元組的安全等級不同。同，這些元組的安全等級不同。多實例屬性：關(guān)系包含多個具有相同主碼的多實例屬性：關(guān)系包含多個具有相同主碼的元組，但相同主碼的安全等級相同，這些元元組，但相同主碼的安全等級相同，這些元組的安全等級不同。組的安全等級不同。55例：兩種多實例的情況。例：兩種多實例的情況。多實例屬性的多級關(guān)系多實例元組的多級關(guān)系56可見多實例：當(dāng)高訪問等級的用戶想在數(shù)可見多實例：當(dāng)高訪問等級的用戶想在數(shù)據(jù)庫的一個域上插入數(shù)據(jù)，而在這個域上據(jù)庫的一個域上插入數(shù)據(jù)，而在這個域上已經(jīng)存在低安全等級的數(shù)據(jù)時發(fā)生。已經(jīng)存在低安全等級的數(shù)據(jù)時發(fā)生。不可見多實例：當(dāng)?shù)驮L問等級的用戶想在數(shù)不可見多實例：當(dāng)?shù)驮L問等

38、級的用戶想在數(shù)據(jù)庫的一個已經(jīng)有高安全等級的域上插入一據(jù)庫的一個已經(jīng)有高安全等級的域上插入一個新數(shù)據(jù)時發(fā)生。個新數(shù)據(jù)時發(fā)生。57可見多實例可見多實例U級用戶將Range更新為1S級用戶將Range更新為2最初的多級關(guān)系58不可見多實例不可見多實例最初的S級用戶實例U級用戶將Range更新為1后，U級實例如下：U級用戶將Range更新為2后，S級實例如下：59 多實例雖可防止隱蔽通道，但引起一些相多實例雖可防止隱蔽通道，但引起一些相關(guān)問題：關(guān)問題：數(shù)據(jù)機(jī)密性與完整性沖突數(shù)據(jù)機(jī)密性與完整性沖突增加了數(shù)據(jù)庫的管理難度增加了數(shù)據(jù)庫的管理難度增加了對同一現(xiàn)實世界中不同模型理解增加了對同一現(xiàn)實世界中不同模型

39、理解的困惑。不清楚那個實例的信息是正確、的困惑。不清楚那個實例的信息是正確、可信的?？尚诺摹?0v使所有的主碼可見，主碼以關(guān)系內(nèi)可見的最低使所有的主碼可見，主碼以關(guān)系內(nèi)可見的最低安全等級標(biāo)識安全等級標(biāo)識v根據(jù)主碼可能的各種安全等級，劃分主碼的根據(jù)主碼可能的各種安全等級，劃分主碼的域。域。v限制對多級關(guān)系的插入。要求所有的插入限制對多級關(guān)系的插入。要求所有的插入由系統(tǒng)最高安全等級的用戶實施向下寫完由系統(tǒng)最高安全等級的用戶實施向下寫完成。成。61隱蔽通道：是指給定一個強(qiáng)制安全策略模型隱蔽通道：是指給定一個強(qiáng)制安全策略模型M M和和它在一個操作系統(tǒng)中的解釋它在一個操作系統(tǒng)中的解釋I(M),I(M)I

40、(M),I(M)中兩個主中兩個主體體I(Si)I(Si)和和I(Sj)I(Sj)之間的任何潛在通信都是隱蔽之間的任何潛在通信都是隱蔽的的, ,當(dāng)且僅當(dāng)模型當(dāng)且僅當(dāng)模型M M中的相應(yīng)主體中的相應(yīng)主體SiSi和和SjSj之間的之間的任何通信在任何通信在M M中都是非法的。（系統(tǒng)中不受安全中都是非法的。（系統(tǒng)中不受安全策略控制的，違反安全策略的信息泄露路徑）策略控制的，違反安全策略的信息泄露路徑）系統(tǒng)實際使用中，攻擊者制造一組表面上合法系統(tǒng)實際使用中，攻擊者制造一組表面上合法的操作序列，將高級數(shù)據(jù)傳送到低級用戶。這的操作序列，將高級數(shù)據(jù)傳送到低級用戶。這種隱蔽的非法通道叫隱蔽通道。種隱蔽的非法通道叫

41、隱蔽通道。62隱通道通過不是用于數(shù)據(jù)傳遞的系統(tǒng)設(shè)施來發(fā)隱通道通過不是用于數(shù)據(jù)傳遞的系統(tǒng)設(shè)施來發(fā)送信息送信息 ，并且這種通信方式往往不被系統(tǒng)的，并且這種通信方式往往不被系統(tǒng)的存取控制機(jī)制所檢測和控制。存取控制機(jī)制所檢測和控制。隱蔽通道的分類隱蔽通道的分類v存儲隱蔽通道和時序隱蔽通道存儲隱蔽通道和時序隱蔽通道v雙向同步隱蔽通道和單項同步隱蔽通道雙向同步隱蔽通道和單項同步隱蔽通道v無噪聲隱蔽通道和有噪聲隱蔽通道無噪聲隱蔽通道和有噪聲隱蔽通道v聚集隱蔽通道和非聚集隱蔽通道聚集隱蔽通道和非聚集隱蔽通道存儲隱蔽通道存儲隱蔽通道: :如果一個隱通道是一個主體直如果一個隱通道是一個主體直接或間接地修改一存儲變

42、量，而被另一主體通接或間接地修改一存儲變量，而被另一主體通過直接或間接地讀取同一個變量獲得信息，這過直接或間接地讀取同一個變量獲得信息，這個隱通道是存儲隱通道。個隱通道是存儲隱通道。 63例例1:1:進(jìn)程號隱通道進(jìn)程號隱通道. .進(jìn)程號（進(jìn)程號（PIDPID）是系統(tǒng)中標(biāo)志進(jìn)程的唯一符）是系統(tǒng)中標(biāo)志進(jìn)程的唯一符號，在許多操作系統(tǒng)中采用連續(xù)遞增的方法號，在許多操作系統(tǒng)中采用連續(xù)遞增的方法來管理進(jìn)程號，即新建的進(jìn)程的進(jìn)程號在上來管理進(jìn)程號，即新建的進(jìn)程的進(jìn)程號在上一個進(jìn)程的進(jìn)程號的基礎(chǔ)上加一個進(jìn)程的進(jìn)程號的基礎(chǔ)上加1 1，利用系統(tǒng)，利用系統(tǒng)的這一管理機(jī)制也可產(chǎn)生隱通道，其操作過的這一管理機(jī)制也可產(chǎn)生

43、隱通道，其操作過程如下：程如下：64操作過程：操作過程：接收方建立一個子進(jìn)程并立即結(jié)束它，記錄接收方建立一個子進(jìn)程并立即結(jié)束它，記錄下它的進(jìn)程號；下它的進(jìn)程號；發(fā)送方若發(fā)發(fā)送方若發(fā)“0”0”，則什么也不做，若發(fā)，則什么也不做，若發(fā)“1”1”則則建一個子進(jìn)程并立即結(jié)束它；建一個子進(jìn)程并立即結(jié)束它；接收方再建一個子進(jìn)程并立即結(jié)束它，記錄下它接收方再建一個子進(jìn)程并立即結(jié)束它，記錄下它的進(jìn)程號，如果新的進(jìn)程號與上一次得到的進(jìn)程號的進(jìn)程號，如果新的進(jìn)程號與上一次得到的進(jìn)程號相差相差1 1，則確認(rèn)接收到，則確認(rèn)接收到“0”0”，如果新的進(jìn)程號與上，如果新的進(jìn)程號與上一次得的進(jìn)程號相差一次得的進(jìn)程號相差2

44、2，則確認(rèn)接收到，則確認(rèn)接收到“1”1”；做好同步工作，轉(zhuǎn)入做好同步工作，轉(zhuǎn)入2 2，傳送下一比特，傳送下一比特。例：例： 收收 發(fā)發(fā) 收收 發(fā)發(fā) 收收 發(fā)發(fā) 收收 發(fā)發(fā) p1 p2 p3 p4 p5 p6 傳送信息傳送信息 1 0 1 065時序隱蔽通道：時序隱通道的發(fā)送者通過對使用資源時間時序隱蔽通道：時序隱通道的發(fā)送者通過對使用資源時間的影響來發(fā)送信息，接收者通過觀察響應(yīng)時間的變化來接的影響來發(fā)送信息，接收者通過觀察響應(yīng)時間的變化來接收信息，這個隱通道是時序隱通道。收信息，這個隱通道是時序隱通道。 例例2 2：時序隱蔽通道。：時序隱蔽通道。vCPUCPU是一種可以利用的系統(tǒng)資源，可由多個用戶共是一種可以利用的系統(tǒng)資源，可由多個用戶共享，假設(shè)有享，假設(shè)有H H和和L L兩個進(jìn)程，兩個進(jìn)程，H H的安全級高于的安全級高于L L，H H企企圖將信息傳遞給圖將信息傳遞給L L。它們約定一系列間隔均勻的時。它們約定一系列間隔均勻的時間點間點t1t1，t1t1，t1t1，（間隔時間至少允許兩次（間隔時間至少允許兩次CPUCPU調(diào)度）。調(diào)度）。vL L在每個時間點都請求使用在每個時間點都請