一个新的多级安全数据库模型及实现课件.pptx

一个新的多级安全数据库模型及实现刘欣沈昌祥(Email:)由于现有多级安全模型的约由于现有多级安全模型的约束条件与现实工作需求存在着矛束条件与现实工作需求存在着矛盾，本文提出了一个基于扩展安盾，本文提出了一个基于扩展安全级的安全模型，本模型实现了全级的安全模型，本模型实现了强制访问控制，可达到强制访问控制，可达到B1级安全。级安全。本文描述了其基本定义、规则和本文描述了其基本定义、规则和定理，并简单介绍了其实现。定理，并简单介绍了其实现。1、前言前言1.1现有安全模型现有安全模型1.2上述模型上述模型的不足的不足1.3新模型概述新模型概述2、新模型形式化描述、新模型形式化描述2.1定义定义2.2规则规则2.3模型的定理系统模型的定理系统3、应用本模型的、应用本模型的SDBMS实现实现4、结束语结束语1.2上述模型的不足上述模型的不足BLP作为经典强制访问控制模型，其规则过于严格，会与实际工作需求发生冲突；比如，某高安全级主体可能要求写比其安全低的数据；下面例子说明该冲突：比如，设一个表equipment中，Price是公开，purpose是秘密，则操作：UPDATEequipmentSETprice=price*1.1Wherepurpose=”missletest”是无法执行的。SeaView模模型型做做为为BLP模模型型与与Biba模模型型的的结结合合，为为维维护护数数据据库库完完整整性性和和避避免免隐隐通通道道，引引入入了了多多实实例例的的概概念念，并并将将多多级级关关系系分分解解成成单单级级关关系系存存储，这就大大降低了数据库效率。储，这就大大降低了数据库效率。同同样样上上面面的的例例子子，若若price与与purpose的的完完整整级级均均为为VI，而而主主体体的的写写级级与与读读级级分分别别为为和和，则则由由于于完完整整性性约约束束，使使主主体体仍仍不不能能执执行上述操作。行上述操作。如如何何既既解解决决上上述述模模型型与与实实际际需需求求的的冲冲突突，又又保保证证强强制制访访问问策策略略实实施施，达达到到B1级级标标准准，本本文文提提出出了一个多级数据库安全模型。了一个多级数据库安全模型。1.3新模型概述新模型概述本本模模型型通通过过给给出出一一个个安安全全级级的的新新定定义义，扩扩展展了了保保密密等等级级的的概概念念，使使一一个个主主体体具具有有最最高高保保密密等等级级和和最最低低保保密密等等级级，并并更更改改了了“写写”操操作作检检查查规规则则，使使主主体体可可以以在在一一定定范范围围内内向向下下写写，增增加加了了模模型型的的灵灵活活性和实用性。性和实用性。1.3.1安全级的定义安全级的定义本本模模型型安安全全级级由由保保密密性性等等级级、完完整整性性等等级级和和范范围围的的集集合合组组成成。一一般般说说来来，保保密密性性等等级级是是如如下下四四元元素素集集合合中中的的任任一一元元素素：绝绝密密TS，机机密密S，秘秘密密C，公公开开U，此此集集合合是是全全序序的的，即即绝绝密密TS机机密密S秘秘密密C公公开开U。完完整整性性等等级级是是如如下下集集合合中中的的一一个个元元素素：极极重重要要C，非非常常重重要要VI，重重要要I，公公开开U。此此集集合合也也是是全全序序的的，即即CVIIU。范范围围的的集集合合是是系系统统中中分分类类元元素素集集合合的的一一个个子子集集。这这些些元元素素依依赖赖于于所所考考虑虑的的环环境境和应用领域。和应用领域。安安全全级级形形成成服服从从偏偏序序关关系系的的格格，此此偏偏序序关关系系称为支配（称为支配（）关系。）关系。1.3.2主体读保密等级与写保密等级主体读保密等级与写保密等级系系统统中中每每个个主主体体的的写写保保密密等等级级是是一一个个取取值值范范围围，而而非非一一个个值值，分分别别用用Cmin,Cmax,则则主主体体的的写写保保密密等等级级为为偶偶对对，读保密等级，读保密等级Cmax。如如果果一一个个主主体体的的读读保保密密等等级级严严格格支支配配其其最最低低写写保保密密等等级级（CmaxCmin），则则称称主主体体是是可可信信的的；允允许许可可信信主主体体将将数数据据以以低低于于读读保保密密等等级级的的某某保保密密等等级级写写入入，但但必必须须证证明明主主体体没没有有向向下下传传播播信信息息（第第二二节节将将详细介绍）。详细介绍）。1.3.3安全检查规则安全检查规则写操作安全检查规则写操作安全检查规则：（1）主主体体的的当当前前保保密密等等级级被被客客体体的的保保密密等等级级支支配配；主主体体的的完完整整等等级级支支配配客客体体的的完完整整等等级级；主体的范围包含于客体的范围；或主体的范围包含于客体的范围；或（2）客客体体保保密密等等级级属属于于主主体体的的写写保保密密等等级级；主主体体的的完完整整等等级级支支配配客客体体的的完完整整等等级级；主主体体的的范范围围包包含含于于客客体体的的范范围围；符符合合保保密密性性约约束规则（第束规则（第2.22.2节规则节规则2 2）本规则扩展了安全级的概念，给主体写操作一个本规则扩展了安全级的概念，给主体写操作一个范围，但同时又进行了保密性约束。范围，但同时又进行了保密性约束。读操作安全检查规则：读操作安全检查规则：主主体体的的保保密密等等级级支支配配客客体体的的保保密密等等级级；主主体体的的完完整整等等级级被被客客体体的的完完整整等等级级支支配配；主主体体的的范围包含客体的范围范围包含客体的范围。这这条条规规则则符符合合BLPBLP模模型型不不上上读读和和BibaBiba模模型型不不下下读读的规则。的规则。读写操作安全检查规则：读写操作安全检查规则：（1 1）客客体体保保密密等等级级等等于于主主体体的的当当前前保保密密等等级级；客客体体的的完完整整等等级级等等于于主主体体的的当当前前完完整整等等级级；主体的范围等于客体的范围主体的范围等于客体的范围。或。或（2 2）客体保密等级属于主体的写保密等级；客体保密等级属于主体的写保密等级；客体的完整等级等于主体的当前完整等级；客体的完整等级等于主体的当前完整等级；主体的范围等于客体的范围。主体的范围等于客体的范围。符合保密性约符合保密性约束规则束规则2模型介绍模型介绍2.1定义定义定义定义1系系 统统 状状 态态 v：集集 合合 V中中 元元 素素，vV=(BMFICTH)V=(BMFICTH)当前存取集当前存取集B：B(SOA)(SOA)访问方式集合访问方式集合A：A=r,w,e,a定义定义2 2保保 密密 性性 规规 则则 集集 合合 CVP：保保 密密 性性 规规 则则cvpCVP是是客客体体到到Yes,No是是映映射射，其其中中Yes=1，No=0。Yes表表示示符符合合保保密密性性规规则，则，No表示不符合保密性规则。表示不符合保密性规则。函函数数k：k是是CVP和和Sec_L间间的的映映射射。，有有且仅有唯一的且仅有唯一的k(cvp)Sec_L。安全级安全级sec_lSec_L对应的保密性规则集合对应的保密性规则集合sec_l_cvp，sec_l_cvp=cvp|k(cvp)=sec_l,cvpCVP。定义定义3安全代理集合安全代理集合DS 函数函数m：m是是DS和和Sec_L间的一一映射。间的一一映射。有且仅有唯一的有且仅有唯一的k(ds)Sec_L；，有且；，有且仅有唯一的仅有唯一的m-1(sec_l)DSDS；定义定义4 4对一个写保密等级偶对（对一个写保密等级偶对（C Cminmin ，C Cmaxmax）和一）和一个保密等级个保密等级c c，若，若C Cminminc cC Cmaxmax，称，称c c属于属于该写保密等级。该写保密等级。2.2规则规则我们用rq(Si,Oj,x)表示主体Si对客体Oj的x访问请求。规则规则1对任意b=(s,o,x)B：(1)x=afc(s)fo(o),ic(s)io(o),cts(s)cto(o)；或者fmin(s)fo(o)fc(s),ic(s)io(o),cts(s)cto(o)且满足规则2；(2)x=w f(s)=fo(o),ic(s)=io(o),cts(s)=cto(o)或 者 fmin(s)fo(o)fc(s),ic(s)=io(o),cts(s)=cto(o)且满足规则2；(3)x=r fc(s)fo(o),ic(s)io(o),cts(s)cto(o)；（读规则不变）(4)x=efmax(s)fo(o),imax(s)io(o),cts(s)cto(o)规则规则2 2 在（b,M,f,i,ct,H）状态，aMijM,fmin(s)fo(o)fc(s),ic(s)io(o),cts(s)cto(o)时，对rq(Si,Oj,a)的处理：（1）Si激活客体Oj，Oj的安全级为sel_11=(fo(Oj),io(Oj),cto(Oj)且 fo(Oj)=fc(Si)，io(Oj)=ic(Si),cto(Oj)=cts(Si)。对rq(Si,Oj,a)授权，构造b1*=(Si,Oj,a)b，进入（b1*,M,f,i,ct,H）状态。（2）安全级sel_12=(fo(Oj),io(Oj),cto(Oj)对应的保密性规则集为sel_12_cvp。If,cvp(Oj)=YESThen进入步骤（3）构造f*，使得fo(Oj)=fo(Oj)。（4ElseSi删除客体Oj，拒绝rq(Si,Oj,a)。（3）安全级sel_12对应的安全代理为Si（5）对rq(Si,Oj,r)授权，构造b2*=(Si,Oj,r)b1*，进入（b2*,M,f*,i,ct,H）状态。（6）对rq(Si,Oj,a)授权，构造b3*=(Si,Oj,a)b2*，进 入（b3*,M,f*,i,ct,H）状态。Si删除Oj。2.3模型的定理系统模型的定理系统推论推论1 当客体的保密等级属于主体的写保密等级，客体的完整级被主体的完整级支配，主体的范围包含于客体的范围，且，主体写入客体的内容符合客体安全级对应的保密性规则时，主体可以间接写入客体。证明证明rq(Si,Oj,a)rq(Si,Oj,a)时时主主体体Si Si写写入入客客体体OjOj的的内内容容为为ContentWijContentWij，主主体体Si Si从从客客体体OjOj读出的内容为读出的内容为ContenRijContenRij，客体，客体OjOj的内容为的内容为ContentjContentj。在在（b,M,f,i,ct,Hb,M,f,i,ct,H）状状 态态，a aMijMijM,M,fc(Si)fc(Si)fo(Oj),fo(Oj),ic(s)ic(s)io(o),io(o),cts(s)cto(o)cts(s)cto(o)时，主体写入客体的内容为时，主体写入客体的内容为ContentWijContentWij。a)a)根根据据规规则则2 2步步骤骤（1 1），激激活活客客体体OjOj对对rq(Si,Oj,a)rq(Si,Oj,a)授授权权后，后，ContentWij=ContentWij=Contentj ContentWij=ContentWij=Contentj。b)b)根根据据规规则则2 2步步骤骤（2 2），当当Contentj Contentj 符符合合保保密密性性规规则则集集sec_l2_cvpsec_l2_cvp后后，经经规规则则（2 2）步步骤骤（5 5），对对rq(Si,Oj,r)rq(Si,Oj,r)授授权权后后ContenRij=Contentj ContenRij=Contentj。c)c)根根 据据 规规 则则 2 2步步 骤骤（6 6）对对 rq(Si,Oj,a)rq(Si,Oj,a)授授 权权 后后ContentWij=ContenRij ContentWij=ContenRij。由由a)a)、b)b)、c)c)ContentWij=ContentWijContentWij=ContentWij，即即主主体体Si Si写写入入客客体体OjOj的的内内容符合保密性规则后通过代理容符合保密性规则后通过代理SiSi写入客体写入客体OjOj。定理定理1若状态（b,M,f,i,ct,H）满足BLP公理，则由规则2得到状态（b3*,M,f,i*,H）满足BLP公理。定理定理2规则1满足BLP公理。定理定理3模型符合BLP模型。定理定理4模型符合Biba模型。3、应用本模型的、应用本模型的SDBMS实现实现从从图图中中我我们们可可看看出出，本本安安全全模模型型由由MAC模模块块与与TCB模模块块组组成成，完完成成强强制制和和自自主主访访问问控控制制。系系统统管管理理员员负负责责自自主主访访问问控控制制，安安全全管管理理员员负负责责强强制制访访问问控控制制，只只有有安安全全管管理理员员才才能能定定义义和和修修改改主主客客体体安安全全级级，DBA也也受受强强制制访访问问策策略略的的制制约约；而而SSO的的权权限限又又受受到到DBA的的限限制制，使使系系统统权力分离，增加了系统安全性。权力分离，增加了系统安全性。在在应应用用本本模模型型加加强强数数据据库库安安全全时时，应应该该考考虑虑其其安安全全标标识识的的实实现现，包包括括安安全全级级在在系系统统中中的的表表示示及及定义、多级关系的存储、数据定义、多级关系的存储、数据字典的扩充，字典的扩充，SQL语句的功能扩充，主要是增加语句的功能扩充，主要是增加安全检查规则，这些实现了模型的强制访问控安全检查规则，这些实现了模型的强制访问控制功能。制功能。4、结束语结束语由由于于现现有有多多级级安安全全模模型型规规则则过过于于严严格格，使使得得现现实实工工作作需需求求与与安安全全限限制制间间的的存存在在着着矛矛盾盾，造造成成工工作作的的不不便便。比比如如，在在一一个个办办公公系系统统中中，一一个个人人可可能能会会在在多多个个主主体体安安全全级级间间变变换换以以完完成成他他的的工工作作。这这不不仅仅加加重重安安全全管管理理员员的的负负担担，也也降降低低了了安安全全性性，使使严严格格的的安安全全模模型型失失去去了了意意义义。本本模模型型就就是是源源于于这这个个问问题题而而提提出出的的，模模型型实实现现了了强强制制访访问问控控制制，可可达达到到B1级级安安全全。其其优优点点是是：读读、写写安安全全级级分分开开，为为写写操操作作确确立立一一保保密密等等级级区区间间，增加了模型灵活性，提高了可用性增加了模型灵活性，提高了可用性；谢谢谢谢!1、有时候读书是一种巧妙地避开思考的方法。3月-233月-23Wednesday,March 29,20232、阅读一切好书如同和过去最杰出的人谈话。17:39:0117:39:0117:393/29/2023 5:39:01 PM3、越是没有本领的就越加自命不凡。3月-2317:39:0117:39Mar-2329-Mar-234、越是无能的人，越喜欢挑剔别人的错儿。17:39:0117:39:0117:39Wednesday,March 29,20235、知人者智，自知者明。胜人者有力，自胜者强。3月-233月-2317:39:0117:39:01March 29,20236、意志坚强的人能把世界放在手中像泥块一样任意揉捏。29 三月 20235:39:01 下午17:39:013月-237、最具挑战性的挑战莫过于提升自我。三月 235:39 下午3月-2317:39March 29,20238、业余生活要有意义，不要越轨。2023/3/29 17:39:0117:39:0129 March 20239、一个人即使已登上顶峰，也仍要自强不息。5:39:01 下午5:39 下午17:39:013月-2310、你要做多大的事情，就该承受多大的压力。3/29/2023 5:39:01 PM17:39:0129-3月-2311、自己要先看得起自己，别人才会看得起你。3/29/2023 5:39 PM3/29/2023 5:39 PM3月-233月-2312、这一秒不放弃，下一秒就会有希望。29-Mar-2329 March 20233月-2313、无论才能知识多么卓著，如果缺乏热情，则无异纸上画饼充饥，无补于事。Wednesday,March 29,202329-Mar-233月-2314、我只是自己不放过自己而已，现在我不会再逼自己眷恋了。3月-2317:39:0129 March 202317:39谢谢大家谢谢大家