多级数据库安全管理系统

《多级数据库安全管理系统》由会员分享，可在线阅读，更多相关《多级数据库安全管理系统（65页珍藏版）》请在装配图网上搜索。

1、1 第第 六六 章章多级安全数据库多级安全数据库管理系统管理系统2 安全数据库标准安全数据库标准 多级安全数据库关键问题多级安全数据库关键问题多级安全数据库设计准则多级安全数据库设计准则6.4 6.4 多级关系数据模型多级关系数据模型6.5 6.5 多实例多实例6.6 6.6 隐蔽通道分析隐蔽通道分析36.1 6.1 安全数据库标准安全数据库标准为降低进而消除对系统的安全攻击，各国引为降低进而消除对系统的安全攻击，各国引用或制定了一系列安全标准用或制定了一系列安全标准v TCSEC(TCSEC(桔皮书桔皮书)v TDI(TDI(紫皮书紫皮书)419851985年美国国防部（年美国国防部（DoD

2、DoD）正式颁布）正式颁布 DoD DoD可信计算机系统评估标准可信计算机系统评估标准v简称简称TCSECTCSEC或或DoD85DoD85，TCSECTCSEC又称桔皮书又称桔皮书TCSECTCSEC标准的目的标准的目的v提供一种标准，使提供一种标准，使用户用户可以对其计算机系可以对其计算机系统内敏感信息安全操作的可信程度做评估。统内敏感信息安全操作的可信程度做评估。v给计算机行业的给计算机行业的制造商制造商提供一种可循的指提供一种可循的指导规则，使其产品能够更好地满足敏感应导规则，使其产品能够更好地满足敏感应用的安全需求。用的安全需求。5TCBTCB可信计算基：可信计算基：是是Truste

3、d Computing Trusted Computing BaseBase的简称，指的是计算机内保护装置的简称，指的是计算机内保护装置的总体，包括硬件、固件、软件和负责的总体，包括硬件、固件、软件和负责执行安全策略管理员的组合体。它建立执行安全策略管理员的组合体。它建立了一个基本的保护环境并提供一个可信了一个基本的保护环境并提供一个可信计算机系统所要求的附加用户服务。计算机系统所要求的附加用户服务。619911991年年4 4月美国月美国NCSCNCSC（国家计算机安全中（国家计算机安全中心）颁布了心）颁布了可信计算机系统评估标准可信计算机系统评估标准关于可信数据库系统的解释关于可信数据库系

4、统的解释v简称简称TDITDI，又称紫皮书，又称紫皮书v它将它将TCSECTCSEC扩展到数据库管理系统扩展到数据库管理系统v定义了数据库管理系统的设计与实现定义了数据库管理系统的设计与实现中需满足和用以进行安全性级别评估中需满足和用以进行安全性级别评估的标准的标准7TDI/TCSEC标准的基本内容标准的基本内容vTDITDI与与TCSECTCSEC一样，从一样，从四个方面四个方面来描述安来描述安全性级别划分的指标全性级别划分的指标v安全策略安全策略v责任责任v保证保证v文档文档8TCSEC/TDI安全级别划分安全级别划分安安 全全 级级 别别 定定 义义A1验证设计（验证设计（Verifie

5、d Design）B3安全域（安全域（Security Domains）B2结构化保护（结构化保护（Structural Protection）B1标记安全保护（标记安全保护（Labeled Security Protection）C2受控的存取保护受控的存取保护（Controlled Access Protection）C1自主安全保护自主安全保护（Discretionary Security Protection）D最小保护（最小保护（Minimal Protection）四组七个等级四组七个等级 按系统可靠或可信程按系统可靠或可信程度逐渐增高度逐渐增高 各安全级别之间具有各安全级别之间具

6、有一种偏序向下兼容的一种偏序向下兼容的关系，即较高安全性关系，即较高安全性级别提供的安全保护级别提供的安全保护要包含较低级别的所要包含较低级别的所有保护要求，同时提有保护要求，同时提供更多或更完善的保供更多或更完善的保护能力。护能力。9等级说明：等级说明：D，C1D D级（最小保护级）级（最小保护级）v将一切不符合更高标准的系统均归于将一切不符合更高标准的系统均归于D D组组v典型例子：典型例子：DOSDOS是安全标准为是安全标准为D D的操作系的操作系统统 DOS DOS在安全性方面几乎没有什么专门在安全性方面几乎没有什么专门的的 机制来保障机制来保障无身份认证与访问控制无身份认证与访问控制

7、。C1C1级（自主安全保护级）级（自主安全保护级）v非常初级的自主安全保护非常初级的自主安全保护v能够实现对用户和数据的分离，进行自主能够实现对用户和数据的分离，进行自主存取控制（存取控制（DACDAC），保护或限制用户权限），保护或限制用户权限的传播。早期的的传播。早期的UNIXUNIX系统属于这一类。系统属于这一类。v这类系统适合于多个协作用户在同一个安这类系统适合于多个协作用户在同一个安全级上处理数据的工作环境。全级上处理数据的工作环境。10等级说明：等级说明：C2C2C2级（级（受控的存取保护级）受控的存取保护级）C2C2级达到企业级安全要求。可作为最低军用安全级别级达到企业级安全要求

8、。可作为最低军用安全级别v提供受控的自主存取保护，将提供受控的自主存取保护，将C1C1级的级的DACDAC进一步细进一步细化，以个人身份注册负责，并化，以个人身份注册负责，并实施审计实施审计（审计粒度审计粒度要能够跟踪每个主体对每个客体的每一次访问。对要能够跟踪每个主体对每个客体的每一次访问。对审计记录应该提供保护，防止非法修改。审计记录应该提供保护，防止非法修改。）和资和资源源隔离，客体重用，记录安全性事件隔离，客体重用，记录安全性事件v达到达到C2C2级的产品在其名称中往往不突出级的产品在其名称中往往不突出“安安全全”(Security)”(Security)这一特色这一特色v典型例子典型

9、例子，l linuxinux系统的某些执行方法符合系统的某些执行方法符合C2C2级别。级别。11等级说明：等级说明：B1B1B1级（标签安全保护级）级（标签安全保护级）v标记安全保护。标记安全保护。“安全安全”(Security)”(Security)或或“可可信的信的”(Trusted)”(Trusted)产品。产品。v对系统的数据加以标记，对标记的主体和客对系统的数据加以标记，对标记的主体和客体实施强制存取控制（体实施强制存取控制（MACMAC）、对安全策略）、对安全策略进行非形式化描述，加强了隐通道分析，审进行非形式化描述，加强了隐通道分析，审计等安全机制计等安全机制v典型例子典型例子

10、操作系统：数字设备公司的操作系统：数字设备公司的SEVMS VAX Version SEVMS VAX Version 6.06.0，惠普公司的，惠普公司的HP-UX BLS release 9.0.9+HP-UX BLS release 9.0.9+。12等级说明：等级说明：B2B2B2级（结构化保护级）级（结构化保护级）v建立形式化的安全策略模型并对系统内的所有主体建立形式化的安全策略模型并对系统内的所有主体和客体实施和客体实施DACDAC和和MACMAC，从主体到客体，从主体到客体扩大到扩大到I/OI/O设设备等所有资源。要求开发者对隐蔽信道进行彻底地备等所有资源。要求开发者对隐蔽信道进

11、行彻底地搜索。搜索。TCBTCB划分保护与非保护部分，存放于固定区划分保护与非保护部分，存放于固定区内。内。v经过认证的经过认证的B2B2级以上的安全系统非常稀少级以上的安全系统非常稀少v典型例子典型例子 操作系统：只有操作系统：只有Trusted Information SystemsTrusted Information Systems公司的公司的Trusted XENIXTrusted XENIX一种产品一种产品 数据库：北京人大金仓信息技术股份有限公司数据库：北京人大金仓信息技术股份有限公司的的 KingbaseES V7KingbaseES V7产品产品13等级说明：等级说明：B3，

12、A1B3B3级（安全区域保护级）级（安全区域保护级）v该级的该级的TCBTCB必须满足访问监控器的要求，安全必须满足访问监控器的要求，安全内核，审计跟踪能力更强，并提供系统恢复过内核，审计跟踪能力更强，并提供系统恢复过程。即使计算机崩溃程。即使计算机崩溃,也不会泄露系统信息。也不会泄露系统信息。A1A1级（验证设计级）级（验证设计级）v验证设计，即提供验证设计，即提供B3B3级保护的同时给出系统的级保护的同时给出系统的形式化设计说明和验证以确信各安全保护真正形式化设计说明和验证以确信各安全保护真正实现实现。这个级别要求严格的数学证明。这个级别要求严格的数学证明。14说明说明vB2B2以上的系统

13、以上的系统v还处于理论研究阶段还处于理论研究阶段v应用多限于一些特殊的部门如军队等应用多限于一些特殊的部门如军队等v美国正在大力发展安全产品，试图将目前仅美国正在大力发展安全产品，试图将目前仅限于少数领域应用的限于少数领域应用的B2B2安全级别下放到商业安全级别下放到商业应用中来，并逐步成为新的商业标准。应用中来，并逐步成为新的商业标准。15多级安全数据库关键问题包括：多级安全数据库关键问题包括：v多级安全数据库体系结构多级安全数据库体系结构v多级安全数据模型多级安全数据模型v多实例多实例v元数据管理元数据管理v并发事务处理并发事务处理v推理分析和隐蔽通道分析推理分析和隐蔽通道分析16多级安全

14、数据库设计准则如下：多级安全数据库设计准则如下：v提供多级密级粒度提供多级密级粒度v确保一致性和完整性确保一致性和完整性v实施推理控制实施推理控制v防止敏感聚合防止敏感聚合v进行隐蔽通道分析进行隐蔽通道分析v支持多实例支持多实例v执行并发控制执行并发控制17传统关系模型两个重要的完整性：传统关系模型两个重要的完整性：v实体完整性、引用完整性（参照完整性）。实体完整性、引用完整性（参照完整性）。多级关系数据模型三要素：多级关系数据模型三要素：v多级关系、多级关系完整性约束及多级关系多级关系、多级关系完整性约束及多级关系操作。操作。多级安全模型需作的改进：多级安全模型需作的改进：v多级安全模型：多

15、级安全模型：在传统关系模型基础上各种在传统关系模型基础上各种逻辑数据对象强制赋予安全属性标签。逻辑数据对象强制赋予安全属性标签。v修改传统关系模型中关系的完整性及关系上修改传统关系模型中关系的完整性及关系上的操作。的操作。18安全标签粒度：安全标签粒度：是标识安全等级的最小逻辑对是标识安全等级的最小逻辑对象单位。象单位。安全标签粒度级别：安全标签粒度级别：关系级、元组级及属性级。关系级、元组级及属性级。安全粒度控制安全粒度控制v按照不同的安全需求和实体类型，决定安全按照不同的安全需求和实体类型，决定安全控制的程度。控制的程度。v例如，对数据的存取，可以是关系级、元组例如，对数据的存取，可以是关

16、系级、元组级及属性级。级及属性级。粒度越细，控制越灵活，但所对应的操作越困粒度越细，控制越灵活，但所对应的操作越困难和复杂。难和复杂。19一、多级关系一、多级关系传统的关系模式：传统的关系模式：R(AR(A1 1,A,A2 2,A,An n)多级关系模式：多级关系模式：R(AR(A1 1,C,C1 1,A,A2 2,C,C2 2,A,An n,C,Cn n,TC),TC)v元组的安全级别元组的安全级别:TC:TCv元组表示：元组表示：t(at(a1 1,c,c1 1,a,a2 2,c,c2 2,a,an n,c,cn n,tc),tc)v元组元组t t的安全标签：的安全标签：ttc.ttc.v

17、属性属性a ai i的安全标签：的安全标签：tctci i.例例 Weapon Weapon多级关系表示。多级关系表示。20表表1 1 原始原始WeaponWeapon多级关系多级关系表表2 Weapon U 2 Weapon U 级实例级实例21表表1 1 原始原始WeaponWeapon多级关系多级关系表表3 3 原始原始Weapon SWeapon S级实例级实例22表表4 Weapon TS4 Weapon TS级实例级实例23多级关系完整性：多级关系完整性：v实体完整性实体完整性v空值完整性空值完整性v多级外码完整性与参照完整性多级外码完整性与参照完整性v实例间完整性实例间完整性v多

18、实例完整性多实例完整性多级关系完整性多级关系完整性24一、实体完整性一、实体完整性 设设AKAK是定义在关系模式是定义在关系模式R R上的外观主码，一个上的外观主码，一个多级关系满足实体完整性，当且仅当对多级关系满足实体完整性，当且仅当对R R的所的所有实例有实例RcRc与与ttRc,Rc,有：有：vA Ai iAK=tAAK=tAi inull/null/主码属性不能主码属性不能为空为空vA Ai i,A,Aj jAK=tCAK=tCi i tCtCj j/主键各属主键各属性安全等级一致性安全等级一致，保证在任何级别上主键，保证在任何级别上主键都是完整的。都是完整的。vA Ai i AK=t

19、CAK=tCi i=tC=tCAKAK/非码属性安非码属性安全等级支配键值，全等级支配键值，保证关系可见的任何级保证关系可见的任何级别上，主键不可能为空。别上，主键不可能为空。25二、空值完整性二、空值完整性在多级关系中，空值有两种解释在多级关系中，空值有两种解释:v一种确实为空。一种确实为空。v另一种是实例的等级低于属性的等级使此属另一种是实例的等级低于属性的等级使此属性不可见，从而显示为空。性不可见，从而显示为空。空值完整性使用了归类关系，归类关系如下：空值完整性使用了归类关系，归类关系如下：如果两元组如果两元组t t和和s s，如果属性，如果属性AiAi满足下列条件满足下列条件，元组，元

20、组t t包含元组包含元组s s。v对于两元组对于两元组t t和和s,s,如果任何一个属性如果任何一个属性 tAi,Ci sAi,Ci;vtAinull且且 sAinull，则称元组则称元组t t包含元包含元组组s s 或或 t t归类于归类于s s。26一一个多级关系个多级关系R R满足空值完整性，当且仅当满足空值完整性，当且仅当对对R R的每个实例的每个实例RcRc均满足下列两个条件：均满足下列两个条件：v空值的安全级别与主键相同。空值的安全级别与主键相同。即对于所有的即对于所有的tRtRc c,tA tAi i null=tcnull=tci i tCtCAKAK /空值对所有级别用户可见

21、空值对所有级别用户可见vR Rc c不含有两个有包含关系的不同元组。不含有两个有包含关系的不同元组。/不出现因为空值而导致的冗余元组不出现因为空值而导致的冗余元组27 例例1 1 多级关系违反了空值完整性多级关系违反了空值完整性 多级关系违反了空值完整性多级关系违反了空值完整性28三、多级外码完整性与参照完整性三、多级外码完整性与参照完整性多级外码完整性：多级外码完整性：假设假设FKFK是参照关系是参照关系R R的外码，多级关系的外码，多级关系R R的一个实例的一个实例RcRc满足外码完整性，当且仅当对所有的满足外码完整性，当且仅当对所有的tRctRc满足：满足：v 或者（所有或者（所有A A

22、i iFKFK）tA tAi i=null=null，或者（所有或者（所有A Ai iFKFK）tA tAi inullnull /外码属性全空或全非空外码属性全空或全非空v A Ai i,A,Aj jFK=tCFK=tCi i tCtCj j。/外码的每个属性具有相同的安全级别外码的每个属性具有相同的安全级别29多级参照完整性：多级参照完整性：假设假设参照关系参照关系R R1 1具有外观主码具有外观主码AKAK1 1，外码外码FKFK1 1，被参照关系被参照关系R R2 2具有外观主具有外观主码码AKAK2 2，多级关系，多级关系R R1 1的一个实例的一个实例 r r1 1 和多级关系和多

23、级关系R R2 2的一个实例的一个实例 r r2 2满足参满足参照完整性，当且仅当照完整性，当且仅当 所有所有t t1111rr1 1,t,t1111FKFK1 1 null,null,E E t t2121rr2 2,t,t1111FKFK1 1=t=t2121AKAK2 2 t t1111TC=TC=t t2121TCTC t t1111CCFK1FK1 t t2121CCAK2AK2。外键的访问等级必须支配引用元组外键的访问等级必须支配引用元组中主键的访问等级。中主键的访问等级。30四、实例间完整性四、实例间完整性多级关系多级关系RcRc满足实例间完整性，当且仅满足实例间完整性，当且仅当

24、对所有当对所有 cc cc，Rc=Rc=(Rc(Rc，c)c)，其中过，其中过滤函数滤函数按以下方法从按以下方法从RcRc产生安全等级为产生安全等级为cc的实例的实例RcRc：v所有所有 tR tRc c,tC,tCAKAKc,c,tRctRc，满足满足tAK,CtAK,CAKAK=tAK,CtAK,CAKAK./主码保留主码保留v所有所有A Ai i AK AK有有 tA tAi i,C,Ci i=tA=tAi i,C,Ci i if tC if tCi i c c tA tAi i,C,Ci i=null,tC=otherwise otherwiseE E 消除消除RcRc的归类元组的归类

25、元组31表表1.1.多级关系多级关系“卫星卫星”S S级实例级实例实例间完整性举例：例实例间完整性举例：例1 1U U级用户对表级用户对表1 1过滤后得到表过滤后得到表2 2表表2.2.多级关系多级关系“卫星卫星”过滤后过滤后U U级实例级实例32表表4.4.多级关系多级关系“卫星卫星”S S级实例级实例表表5.5.多级关系多级关系“卫星卫星”过滤后过滤后S S级实例级实例实例间完整性举例：例实例间完整性举例：例2 2表表3.3.多级关系多级关系“卫星卫星”U U级实例级实例33五、多实例完整性五、多实例完整性假设多级关系假设多级关系R R的外观主码集合为的外观主码集合为AKAK，主码等级，主

26、码等级为为C CAK AK。多实例完整性要求由。多实例完整性要求由AKAK、C CAKAK以及第以及第i i个个属性的等级属性的等级C Ci i便可确定第便可确定第i i个属性值个属性值A Ai i。一个多级关系满足多实例完整性，当且仅当一个多级关系满足多实例完整性，当且仅当R Rc c中的每个属性中的每个属性A Ai i,满足满足AK,CAK,CAKAK,C,Ci i A Ai i 即即A Ai i函数依赖于函数依赖于AK,CAK,CAKAK,C,Ci i。同一级别的元组之间不存在多实例。同一级别的元组之间不存在多实例。34多级关系多级关系Weapon(Weapon(满足多实例完整性满足多实

27、例完整性)多级关系多级关系Weapon(Weapon(不满足多实例完整性不满足多实例完整性)（元组级别相同主键重复）（元组级别相同主键重复）35一、一、插入操作插入操作形式：形式：INSERT INTO Rc(AINSERT INTO Rc(Ai i,A,Aj j)VALUES(a VALUES(ai i,a,aj j)当插入元组当插入元组t t（新插入）（新插入）与主键值相同的元组与主键值相同的元组t t时：时：1 1）若）若tTCtTC tTC,tTC,拒绝拒绝t t的插入。的插入。2 2）若）若tTC tTC,tTC ttTC t TC,TC,允许或拒绝允许或拒绝t t的插入均可的插入均

28、可 以。以。36 例例1 S1 S级别主体插入操作级别主体插入操作 1 1）主码值不同，正常插入）主码值不同，正常插入 INSERT INTO INSERT INTO WeaponWeapon VALUES“Cannonl,10,200”VALUES“Cannonl,10,200”插入后插入后WeaponWeapon多级关系的多级关系的S S级插入级插入372 2）主码值、级别相同，系统不允许插入。）主码值、级别相同，系统不允许插入。INSERT INTO INSERT INTO WeaponWeapon VALUES“Cannonl,10,200”/VALUES“Cannonl,10,200

29、”/S S级插入级插入WeaponWeapon多级关系的多级关系的S S级插入级插入383 3）主码值相同，但插入元组级别低，允许插入，）主码值相同，但插入元组级别低，允许插入，防止隐通道，产生多实例。防止隐通道，产生多实例。INSERT INTO INSERT INTO WeaponWeapon VALUES“VALUES“Missile2,250,30”/,250,30”/S S级插入级插入插入前插入前WeaponWeapon多级关系的多级关系的S S级插入级插入39插入后产生多实例插入后产生多实例WeaponWeapon多级关系的多级关系的S S级插入级插入40二、更新操作二、更新操作形

30、式：形式：UPDATE RcUPDATE Rc SET A SET Ai iS Si i,A,Aj jS Sj j WHERE p WHERE pp p是谓词条件是谓词条件针对关系间完整性的约束，更新操作对不同等针对关系间完整性的约束，更新操作对不同等级的关系实例的影响有以下三点：级的关系实例的影响有以下三点：v对同等级关系实例的影响与传统的对同等级关系实例的影响与传统的UPDADEUPDADE语语句一样。句一样。v对更低等级关系实例无影响。对更低等级关系实例无影响。v对更高等级用户，为避免隐蔽通道可能引入对更高等级用户，为避免隐蔽通道可能引入多实例。多实例。41 例例11密级为密级为U U的

31、用户要求对的用户要求对WeaponWeapon关系的关系的 U U级实例作更新操作。级实例作更新操作。/直接修改直接修改 UPDATE UPDATE WeaponWeapon SET Quantity=3000 SET Quantity=3000 WHERE Wname=“Gun1”/WHERE Wname=“Gun1”/U U级用户级用户WeaponWeapon关系的关系的 U U 级实例级实例42WeaponWeapon关系的关系的 U U 级实例级实例更新前更新前WeaponWeapon关系的关系的 U U 级实例级实例更新后更新后43 例例22密级为密级为U U的用户要求对的用户要求对

32、WeaponWeapon关系的关系的 S S级实例作更新操作。级实例作更新操作。UPDATE UPDATE WeaponWeapon SET Quantity=3000 SET Quantity=3000 WHERE Wname=“Gun1”/WHERE Wname=“Gun1”/U U级用户级用户WeaponWeapon关系的关系的 S S 级实例级实例44WeaponWeapon关系的关系的 S S 级实例级实例更新前更新前WeaponWeapon关系的关系的 S S 级实例级实例更新后产生多实例更新后产生多实例45 例例33密级为密级为S S的用户要求对的用户要求对WeaponWeapo

33、n关系的关系的 S S级实例执行如下更新操作。级实例执行如下更新操作。UPDATE UPDATE WeaponWeapon SET Range=2 SET Range=2 WHERE Wname=“Gun1”AND WHERE Wname=“Gun1”AND Quantity=5000 Quantity=5000WeaponWeapon关系的关系的 S S 级实例级实例46WeaponWeapon关系的关系的 S S 级实例级实例更新后更新后WeaponWeapon关系的关系的 S S 级实例级实例更新前更新前47 例例44密级为密级为S S的用户要求对的用户要求对WeaponWeapon关系

34、的关系的 S S级实例执行如下更新操作。级实例执行如下更新操作。UPDATE UPDATE WeaponWeapon SET Range=2 SET Range=2 WHERE Wname=“Gun1”/WHERE Wname=“Gun1”/S S级用户级用户 WeaponWeapon关系的关系的 S S 级实例级实例48WeaponWeapon关系的关系的 S S 级实例级实例更新后更新后WeaponWeapon关系的关系的 S S 级实例级实例更新前更新前49三、删除操作三、删除操作形式：形式：DELETE FROM RcDELETE FROM Rc WHERE p WHERE pp p是

35、谓词条件是谓词条件四、查询操作四、查询操作形式：形式：SELECT A1,A2FROM R1,R2SELECT A1,A2FROM R1,R2 WHERE pAT c1,c2,WHERE pAT c1,c2,p p是谓词条件是谓词条件50多实例：是指在多级安全数据库管理系统多实例：是指在多级安全数据库管理系统中，同时存在多个具有相同主码值的实体。中，同时存在多个具有相同主码值的实体。多实例元组：关系包含多个具有相同主码多实例元组：关系包含多个具有相同主码的元组，但的元组，但相同主码相同主码的安全等级可以的安全等级可以不不 相同，相同，这些元组的安全等级不同。这些元组的安全等级不同。多实例属性：

36、关系包含多个具有相同主码多实例属性：关系包含多个具有相同主码的元组，但的元组，但相同主码相同主码的安全等级的安全等级相同，相同，但但具有不同安全级的属性，具有不同安全级的属性，这些元组的安全这些元组的安全等级不同。等级不同。51例：两种多实例的情况。例：两种多实例的情况。多实例属性多实例属性的多级关系的多级关系多实例元组的多实例元组的多级关系多级关系52可见多实例：可见多实例：当高访问等级的用户想当高访问等级的用户想在数据库的一个域上插入数据，而在在数据库的一个域上插入数据，而在这个域上已经存在低安全等级的数据这个域上已经存在低安全等级的数据时发生。时发生。不可见多实例：不可见多实例：当低访问

37、等级的用户当低访问等级的用户想在数据库的一个已经有高安全等级想在数据库的一个已经有高安全等级的域上插入一个新数据时发生。的域上插入一个新数据时发生。53可见多实例可见多实例U U级用户将级用户将RangeRange更新为更新为1 1S S级用户将级用户将RangeRange更新为更新为2 2最初的多级关系最初的多级关系54不可见多实例不可见多实例最初的最初的S S级用户级用户实例实例上例中上例中U U级用户将级用户将RangeRange更新为更新为1 1后，后，U U级实例如下：级实例如下：U U级用户将级用户将RangeRange更新为更新为1 1后，后，S S级实例如下：级实例如下：55

38、多实例虽可防止隐蔽通道，但引起一多实例虽可防止隐蔽通道，但引起一些相关问题：些相关问题：数据机密性与完整性冲突数据机密性与完整性冲突增加了数据库的管理难度增加了数据库的管理难度增加了对同一现实世界中不同模型理增加了对同一现实世界中不同模型理解的困惑。不清楚那个实例的信息是解的困惑。不清楚那个实例的信息是正确、可信的。正确、可信的。56v使所有的主码可见，主码以关系内可见的使所有的主码可见，主码以关系内可见的最低安全等级标识最低安全等级标识v根据主码可能的各种安全等级，划分主码根据主码可能的各种安全等级，划分主码的域。的域。v限制对多级关系的插入。要求所有的插入限制对多级关系的插入。要求所有的插

39、入由系统最高安全等级的用户实施向下写完由系统最高安全等级的用户实施向下写完成。成。57隐蔽通道：隐蔽通道：是指给定一个强制安全策略模型是指给定一个强制安全策略模型M M和和它在一个操作系统中的解释它在一个操作系统中的解释I(M),I(M)I(M),I(M)中两个主中两个主体体I(Si)I(Si)和和I(Sj)I(Sj)之间的任何潜在通信都是隐蔽之间的任何潜在通信都是隐蔽的的,当且仅当模型当且仅当模型M M中的相应主体中的相应主体SiSi和和SjSj之间的之间的任何通信在任何通信在M M中都是非法的。（系统中不受安全中都是非法的。（系统中不受安全策略控制的，违反安全策略的信息泄露路径）策略控制的

40、，违反安全策略的信息泄露路径）系统实际使用中，攻击者制造一组表面上合法系统实际使用中，攻击者制造一组表面上合法的操作序列，将高级数据传送到低级用户。这的操作序列，将高级数据传送到低级用户。这种隐蔽的非法通道叫隐蔽通道。种隐蔽的非法通道叫隐蔽通道。58隐通道通过不是用于数据传递的系统设施来发隐通道通过不是用于数据传递的系统设施来发送信息送信息 ，并且这种通信方式往往不被系统的，并且这种通信方式往往不被系统的存取控制机制所检测和控制。存取控制机制所检测和控制。隐蔽通道的分类隐蔽通道的分类v存储隐蔽通道和时序隐蔽通道存储隐蔽通道和时序隐蔽通道存储隐蔽通道存储隐蔽通道:如果一个隐通道是一个主体直如果一

41、个隐通道是一个主体直接或间接地修改一存储变量，而被另一主体通接或间接地修改一存储变量，而被另一主体通过直接或间接地读取同一个变量获得信息，这过直接或间接地读取同一个变量获得信息，这个隐通道是存储隐通道。个隐通道是存储隐通道。59例例1:1:进程号隐通道进程号隐通道.进程号（进程号（PIDPID）是系统中标志进程的唯一符）是系统中标志进程的唯一符号，在许多操作系统中采用连续递增的方法号，在许多操作系统中采用连续递增的方法来管理进程号，即新建的进程的进程号在上来管理进程号，即新建的进程的进程号在上一个进程的进程号的基础上加一个进程的进程号的基础上加1 1，利用系统，利用系统的这一管理机制也可产生隐

42、通道，其操作过的这一管理机制也可产生隐通道，其操作过程如下：程如下：60操作过程：操作过程：接收方建立一个子进程并立即结束它，记接收方建立一个子进程并立即结束它，记录下它的进程号；录下它的进程号；发送方若发发送方若发“0”0”，则什么也不做，若发，则什么也不做，若发“1”1”则建一个子进程并立即结束它；则建一个子进程并立即结束它；接收方再建一个子进程并立即结束它，记接收方再建一个子进程并立即结束它，记录下它的进程号，如果新的进程号与上一次录下它的进程号，如果新的进程号与上一次得到的进程号相差得到的进程号相差1 1，则确认接收到，则确认接收到“0”0”，如果新的进程号与上一次得的进程号相差如果新

43、的进程号与上一次得的进程号相差2 2，则确认接收到则确认接收到“1”1”；做好同步工作，转入做好同步工作，转入2 2，传送下一比特，传送下一比特。例：例：收收 发发 收收 发发 收收 发发 收收 发发 p1 p2 p3 p4 p5 p6 传送信息传送信息 1 0 1 061时序隐蔽通道：时序隐蔽通道：时序隐通道的发送者通过对使用资时序隐通道的发送者通过对使用资源时间的影响来发送信息，接收者通过观察响应时源时间的影响来发送信息，接收者通过观察响应时间的变化来接收信息，这个隐通道是时序隐通道。间的变化来接收信息，这个隐通道是时序隐通道。例例2 2：时序隐蔽通道。：时序隐蔽通道。vCPUCPU是一种

44、可以利用的系统资源，可由多个用户是一种可以利用的系统资源，可由多个用户共享，假设有共享，假设有H H和和L L两个进程，两个进程，H H的安全级高于的安全级高于L L，H H企图将信息传递给企图将信息传递给L L。它们约定一系列间隔均匀。它们约定一系列间隔均匀的时间点的时间点t1t1，t1t1，t1t1，（间隔时间至少允许两（间隔时间至少允许两次次CPUCPU调度）。调度）。vL L在每个时间点都请求使用在每个时间点都请求使用CPUCPU，而，而H H在每个时间在每个时间点，若要发送点，若要发送0 0，则不请求使用，则不请求使用CPUCPU；若要发送；若要发送1 1，则请求使用则请求使用CPU

45、CPU（假设（假设H H的优先级高于的优先级高于L L）。于是，）。于是，在每个时间点，在每个时间点，L L若能立即获得若能立即获得CPUCPU的使用权，则的使用权，则确认收到确认收到0 0，若要等待，则确认收到，若要等待，则确认收到1 1，这个隐通，这个隐通道被称时序隐蔽通道道被称时序隐蔽通道。62数据库系统隐蔽通道数据库系统隐蔽通道 在数据库系统中存在大量的共享资源，导致隐蔽在数据库系统中存在大量的共享资源，导致隐蔽通通道的存在。道的存在。数据库存储资源引入的数据库存储资源引入的通通道。道。该该通通道利用数据库道利用数据库中的共享资源，如数据、数据字典等。发送者修中的共享资源，如数据、数据

46、字典等。发送者修改数据改数据/数据字典，接收者则通过完整性约束等方数据字典，接收者则通过完整性约束等方式间接感知数据式间接感知数据/数据字典的修改，以此来传输机数据字典的修改，以此来传输机密信息。密信息。数据库管理资源引入的数据库管理资源引入的通通道。道。数据库系统中的另数据库系统中的另一类共享资源包括一类共享资源包括数据库表、数据库表、系统变量、游标、系统变量、游标、临时数据区等。通过耗尽有限的共享资源，收发临时数据区等。通过耗尽有限的共享资源，收发双方传输机密信息。双方传输机密信息。事务并发控制引起的隐蔽事务并发控制引起的隐蔽通通道。道。入侵者可以利用入侵者可以利用不同安全级事务间的并发冲

47、突构造隐蔽信道，称不同安全级事务间的并发冲突构造隐蔽信道，称作数据冲突隐蔽信道。作数据冲突隐蔽信道。63数据库系统隐蔽通道举例：数据库系统隐蔽通道举例：利用并发上锁机制的隐蔽通道利用并发上锁机制的隐蔽通道 64 搜索隐通道：搜索隐通道：对系统中是否存在，存在哪些隐对系统中是否存在，存在哪些隐通道应该清楚（国内做此工作较为困难）。通道应该清楚（国内做此工作较为困难）。消除隐通道：消除隐通道：隐通道存在的一个重要原因是不隐通道存在的一个重要原因是不同安全级的用户之间共享系统资源（如磁盘、同安全级的用户之间共享系统资源（如磁盘、CPUCPU、内存、打印机、进程号等），这使得高安、内存、打印机、进程号

48、等），这使得高安全级用户对系统资源的使用能被低安全级用户观全级用户对系统资源的使用能被低安全级用户观察到。因此，消除隐通道的一个可能的方法是限察到。因此，消除隐通道的一个可能的方法是限制进程间的资源共享，特别是只在安全级相同的制进程间的资源共享，特别是只在安全级相同的实体间共享资源，但这可能带来某些资源闲置而实体间共享资源，但这可能带来某些资源闲置而大大降低使用效率的问题。大大降低使用效率的问题。65限制带宽：限制带宽：如果不能完全消除隐通道，则要想办法限制如果不能完全消除隐通道，则要想办法限制其带宽，将带宽限制在允许的范围内使其满足安全的要其带宽，将带宽限制在允许的范围内使其满足安全的要求。

49、限制带宽的方法如有意引入噪音，有意引入外部进求。限制带宽的方法如有意引入噪音，有意引入外部进程干扰收程干扰收/发进程的工作，使之延时。发进程的工作，使之延时。带宽：带宽：是指信息通过隐通道传输的速度，用比特是指信息通过隐通道传输的速度，用比特/秒来衡秒来衡量。量。因为对付隐通道的方法，首先是消除隐通道，当无因为对付隐通道的方法，首先是消除隐通道，当无法完全消除隐通道时，则必须限制隐通道的带宽，因为法完全消除隐通道时，则必须限制隐通道的带宽，因为带宽越高，单位时间内泄露的信息量就越多，对系统的带宽越高，单位时间内泄露的信息量就越多，对系统的安全性威胁就越大。一般地，通过计算隐通道的最大宽安全性威胁就越大。一般地，通过计算隐通道的最大宽度来最大限度地衡量隐通道的威胁。根据度来最大限度地衡量隐通道的威胁。根据TESECTESEC的建议，的建议，隐通道的带宽达到隐通道的带宽达到1 1比特比特/秒就要引起注意；带宽达到秒就要引起注意；带宽达到100100比特比特/秒以上，就必须采取相应的处理措施。秒以上，就必须采取相应的处理措施。