[精选]一个新的多级安全数据库模型及实现.pptx

一个新的多级平安数据库模型及实现刘欣沈昌祥Email:jfz97sohu.由于现有多级平安模型的约由于现有多级平安模型的约束条件与现实工作需求存在着矛束条件与现实工作需求存在着矛盾，本文提出了一个基于扩展平盾，本文提出了一个基于扩展平安级的平安模型，本模型实现了安级的平安模型，本模型实现了强制访问控制，可到达强制访问控制，可到达B1级平安。级平安。本文描述了其基本定义、规则和本文描述了其基本定义、规则和定理，并简单介绍了其实现。定理，并简单介绍了其实现。1、前言前言1.1现有平安模型现有平安模型1.2上述模型上述模型的缺乏的缺乏1.3新模型概述新模型概述2、新模型形式化描述、新模型形式化描述2.1定义定义2.2规则规则2.3模型的定理系统模型的定理系统3、应用本模型的、应用本模型的SDBMS实现实现4、结束语结束语1.2上述模型的缺乏上述模型的缺乏BLP作为经典强制访问控制模型，其规则过于严格，会与实际工作需求发生冲突；比方，某高平安级主体可能要求写比其平安低的数据；下面例子说明该冲突：比方，设一个表equipment中，Price是公开，purpose是秘密，则操作：UPDATEequipmentSETprice=price*1.1Wherepurpose=missletest是无法执行的。SeaView模模型型做做为为BLP模模型型与与Biba模模型型的的结结合合，为为维维护护数数据据库库完完整整性性和和防防止止隐隐通通道道，引引入入了了多多实实例例的的概概念念，并并将将多多级级关关系系分分解解成成单单级级关关系系存存储，这就大大降低了数据库效率。储，这就大大降低了数据库效率。同同样样上上面面的的例例子子，假假设设price与与purpose的的完完整整级级均均为为VI，而而主主体体的的写写级级与与读读级级分分别别为为和和，则则由由于于完完整整性性约约束束，使使主主体体仍仍不不能能执执行上述操作。行上述操作。如如何何既既解解决决上上述述模模型型与与实实际际需需求求的的冲冲突突，又又保保证证强强制制访访问问策策略略实实施施，到到达达B1级级标标准准，本本文文提提出出了一个多级数据库平安模型。了一个多级数据库平安模型。1.3新模型概述新模型概述本本模模型型通通过过给给出出一一个个平平安安级级的的新新定定义义，扩扩展展了了保保密密等等级级的的概概念念，使使一一个个主主体体具具有有最最高高保保密密等等级级和和最最低低保保密密等等级级，并并更更改改了了“写写操操作作检检查查规规则则，使使主主体体可可以以在在一一定定范范围围内内向向下下写写，增增加加了了模模型型的的灵灵活活性和实用性。性和实用性。1.3.1平安级的定义平安级的定义本本模模型型平平安安级级由由保保密密性性等等级级、完完整整性性等等级级和和范范围围的的集集合合组组成成。一一般般说说来来，保保密密性性等等级级是是如如下下四四元元素素集集合合中中的的任任一一元元素素：绝绝密密TS，机机密密S，秘秘密密C，公公开开U，此此集集合合是是全全序序的的，即即绝绝密密TS机机密密S秘秘密密C公公开开U。完完整整性性等等级级是是如如下下集集合合中中的的一一个个元元素素：极极重重要要C，非非常常重重要要VI，重重要要I，公公开开U。此此集集合合也也是是全全序序的的，即即CVIIU。范范围围的的集集合合是是系系统统中中分分类类元元素素集集合合的的一一个个子子集集。这这些些元元素素依依赖赖于于所所考考虑虑的的环环境境和应用领域。和应用领域。平平安安级级形形成成服服从从偏偏序序关关系系的的格格，此此偏偏序序关关系系称为支配称为支配关系。关系。1.3.2主体读保密等级与写保密等级主体读保密等级与写保密等级系系统统中中每每个个主主体体的的写写保保密密等等级级是是一一个个取取值值范范围围，而而非非一一个个值值，分分别别用用Cmin,Cmax,则则主主体体的的写写保保密密等等级级为为偶偶对对，读保密等级，读保密等级Cmax。如如果果一一个个主主体体的的读读保保密密等等级级严严格格支支配配其其最最低低写写保保密密等等级级CmaxCmin，则则称称主主体体是是可可信信的的；允允许许可可信信主主体体将将数数据据以以低低于于读读保保密密等等级级的的某某保保密密等等级级写写入入，但但必必须须证证明明主主体体没没有有向向下下传传播播信信息息第第二二节节将将详细介绍。详细介绍。1.3.3平安检查规则平安检查规则写操作平安检查规则写操作平安检查规则：1主主体体的的当当前前保保密密等等级级被被客客体体的的保保密密等等级级支支配配；主主体体的的完完整整等等级级支支配配客客体体的的完完整整等等级级；主体的范围包含于客体的范围；或主体的范围包含于客体的范围；或2客客体体保保密密等等级级属属于于主主体体的的写写保保密密等等级级；主主体体的的完完整整等等级级支支配配客客体体的的完完整整等等级级；主主体体的的范范围围包包含含于于客客体体的的范范围围；符符合合保保密密性性约约束规则第束规则第2.22.2节规则节规则2 2本规则扩展了平安级的概念，给主体写操作一个本规则扩展了平安级的概念，给主体写操作一个范围，但同时又进行了保密性约束。范围，但同时又进行了保密性约束。读操作平安检查规则：读操作平安检查规则：主主体体的的保保密密等等级级支支配配客客体体的的保保密密等等级级；主主体体的的完完整整等等级级被被客客体体的的完完整整等等级级支支配配；主主体体的的范围包含客体的范围范围包含客体的范围。这这条条规规则则符符合合BLPBLP模模型型不不上上读读和和BibaBiba模模型型不不下下读读的规则。的规则。读写操作平安检查规则：读写操作平安检查规则：1 1客客体体保保密密等等级级等等于于主主体体的的当当前前保保密密等等级级；客客体体的的完完整整等等级级等等于于主主体体的的当当前前完完整整等等级级；主体的范围等于客体的范围主体的范围等于客体的范围。或。或2 2客体保密等级属于主体的写保密等级；客体保密等级属于主体的写保密等级；客体的完整等级等于主体的当前完整等级；客体的完整等级等于主体的当前完整等级；主体的范围等于客体的范围。主体的范围等于客体的范围。符合保密性约符合保密性约束规则束规则2模型介绍模型介绍2.1定义定义定义定义1系系统统状状态态v：集集合合V中中元元素素，vV=V=BMFICTHBMFICTH当前存取集当前存取集B：BSOASOA访问方式集合访问方式集合A：A=r,w,e,a定义定义2 2保保 密密 性性 规规 则则 集集 合合 CVP：保保 密密 性性 规规 则则cvpCVP是是客客体体到到Yes,No是是映映射射，其其中中Yes=1，No=0。Yes表表示示符符合合保保密密性性规规则，则，No表示不符合保密性规则。表示不符合保密性规则。函函数数k：k是是CVP和和Sec_L间间的的映映射射。，有有且仅有唯一的且仅有唯一的kcvpSec_L。平安级平安级sec_lSec_L对应的保密性规则集合对应的保密性规则集合sec_l_cvp，sec_l_cvp=cvp|kcvp=sec_l,cvpCVP。定义定义3平安代理集合平安代理集合DS 函数函数m：m是是DS和和Sec_L间的一一映射。间的一一映射。有且仅有唯一的有且仅有唯一的kds Sec_L；，有；，有且仅有唯一的且仅有唯一的m-1sec_lDSDS；定义定义4 4对一个写保密等级偶对对一个写保密等级偶对C Cminmin ，C Cmaxmax和一和一个保密等级个保密等级c c，假设，假设C Cminminc cC Cmaxmax，称，称c c属属于该写保密等级。于该写保密等级。2.2规则规则我们用rqSi,Oj,x表示主体Si对客体Oj的x访问请求。规则规则1对任意b=s,o,xB：1x=afcsfoo,icsioo,ctssctoo；或者fminsfoofcs,icsioo,ctssctoo且满足规则2；2x=wfs=foo,ics=ioo,ctss=ctoo或者fminsfoofcs,ics=ioo,ctss=ctoo且满足规则2；3x=r fcsfoo,ics ioo,ctssctoo；读规则不变4x=efmaxsfoo,imaxsioo,ctssctoo 规则规则2 2 在b,M,f,i,ct,H状态，aMijM,fminsfoofcs,icsioo,ctssctoo时，对rqSi,Oj,a的处理：1Si激活客体Oj，Oj的平安级为sel_11=foOj,ioOj,ctoOj且foOj=fcSi，ioOj=icSi,ctoOj=ctsSi。对rqSi,Oj,a授权，构造b1*=Si,Oj,ab，进入b1*,M,f,i,ct,H状态。2平安级sel_12=foOj,ioOj,ctoOj对应的保密性规则集为sel_12_cvp。If,cvpOj=YESThen进入步骤3构造f*，使得foOj=foOj。4ElseSi删除客体Oj，拒绝rqSi,Oj,a。3平安级sel_12对应的平安代理为Si5对rqSi,Oj,r授权，构造b2*=Si,Oj,rb1*，进入b2*,M,f*,i,ct,H状态。6对rqSi,Oj,a授权，构造b3*=Si,Oj,a b2*，进 入 b3*,M,f*,i,ct,H状态。Si删除Oj。2.3模型的定理系统模型的定理系统推论推论1 当客体的保密等级属于主体的写保密等级，客体的完整级被主体的完整级支配，主体的范围包含于客体的范围，且，主体写入客体的内容符合客体平安级对应的保密性规则时，主体可以间接写入客体。证明证明rqrqSi,Oj,aSi,Oj,a时时主主体体Si Si写写入入客客体体OjOj的的内内容容为为ContentWijContentWij，主主体体Si Si从从客体客体OjOj读出的内容为读出的内容为ContenRijContenRij，客体，客体OjOj的内容为的内容为ContentjContentj。在在b,M,f,i,ct,Hb,M,f,i,ct,H状状态态，a aMijMijM,M,fc fcSi SifofoOjOj,ic ics sio ioo o,ctsctss s ctoctoo o时时，主主体体写写入入客客体体的的内内容容为为ContentWijContentWij。a a根根据据规规则则2 2步步骤骤1 1，激激活活客客体体OjOj对对rqrqSi,Oj,aSi,Oj,a授权后，授权后，ContentWij=ContentWij=Contentj ContentWij=ContentWij=Contentj。b b根根据据规规则则2 2步步骤骤2 2，当当Contentj Contentj 符符合合保保密密性性规规则则集集sec_l2_cvpsec_l2_cvp后后，经经规规则则2 2步步骤骤5 5，对对rqrqSi,Oj,rSi,Oj,r授权后授权后ContenRij=Contentj ContenRij=Contentj。c c 根根 据据 规规 则则 2 2步步 骤骤 6 6 对对 rqrq Si,Oj,aSi,Oj,a 授授 权权 后后ContentWij=ContenRij ContentWij=ContenRij。由由a a、b b、c c ContentWij=ContentWijContentWij=ContentWij，即即主主体体Si Si写写入入客客体体OjOj的内容符合保密性规则后通过代理的内容符合保密性规则后通过代理SiSi写入客体写入客体OjOj。定理定理1假设状态b,M,f,i,ct,H满足BLP公理，则由规则2得到状态b3*,M,f,i*,H满足BLP公理。定理定理2规则1满足BLP公理。定理定理3模型符合BLP模型。定理定理4模型符合Biba模型。3、应用本模型的、应用本模型的SDBMS实现实现从从图图中中我我们们可可看看出出，本本平平安安模模型型由由MAC模模块块与与TCB模模块块组组成成，完完成成强强制制和和自自主主访访问问控控制制。系系统统管管理理员员负负责责自自主主访访问问控控制制，平平安安管管理理员员负负责责强强制制访访问问控控制制，只只有有平平安安管管理理员员才才能能定定义义和和修修改改主主客客体体平平安安级级，DBA也也受受强强制制访访问问策策略略的的制制约约；而而SSO的的权权限限又又受受到到DBA的的限限制制，使使系系统统权力别离，增加了系统平安性。权力别离，增加了系统平安性。在在应应用用本本模模型型加加强强数数据据库库平平安安时时，应应该该考考虑虑其其平平安安标标识识的的实实现现，包包括括平平安安级级在在系系统统中中的的表表示示及及定义、多级关系的存储、数据定义、多级关系的存储、数据字典的扩充，字典的扩充，SQL语句的功能扩充，主要是增加语句的功能扩充，主要是增加平安检查规则，这些实现了模型的强制访问控平安检查规则，这些实现了模型的强制访问控制功能。制功能。4、结束语结束语由由于于现现有有多多级级平平安安模模型型规规则则过过于于严严格格，使使得得现现实实工工作作需需求求与与平平安安限限制制间间的的存存在在着着矛矛盾盾，造造成成工工作作的的不不便便。比比方方，在在一一个个办办公公系系统统中中，一一个个人人可可能能会会在在多多个个主主体体平平安安级级间间变变换换以以完完成成他他的的工工作作。这这不不仅仅加加重重平平安安管管理理员员的的负负担担，也也降降低低了了平平安安性性，使使严严格格的的平平安安模模型型失失去去了了意意义义。本本模模型型就就是是源源于于这这个个问问题题而而提提出出的的，模模型型实实现现了了强强制制访访问问控控制制，可可到到达达B1级级平平安安。其其优优点点是是：读读、写写平平安安级级分分开开，为为写写操操作作确确立立一一保保密密等等级级区区间间，增加了模型灵活性，提高了可用性增加了模型灵活性，提高了可用性；谢谢谢谢!MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉