第六章 多级数据库安全管理系统.ppt

《第六章 多级数据库安全管理系统.ppt》由会员分享，可在线阅读，更多相关《第六章 多级数据库安全管理系统.ppt（65页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 第第 六六 章章多级安全数据库多级安全数据库管理系统管理系统1本本 章章 概概 要要 6.1 6.1 安全数据库标准安全数据库标准 6.2 6.2 多级安全数据库关键问题多级安全数据库关键问题6.3 6.3 多级安全数据库设计准则多级安全数据库设计准则6.4 6.4 多级关系数据模型多级关系数据模型6.5 6.5 多实例多实例6.6 6.6 隐蔽通道分析隐蔽通道分析26.1 6.1 安全数据安全数据库标库标准准6.1.1 6.1.1 可信可信计计算机系算机系统评测标统评测标准准为降低进而消除对系统的安全攻击，各国引为降低进而消除对系统的安全攻击，各国引用或制定了一系列安全标准用或制定了一系列

2、安全标准v TCSEC(TCSEC(桔皮书桔皮书)v TDI(TDI(紫皮书紫皮书)319851985年美国国防部（年美国国防部（DoDDoD）正式颁布）正式颁布 DoD DoD可信计算机系统评估标准可信计算机系统评估标准v简称简称TCSECTCSEC或或DoD85DoD85，TCSECTCSEC又称桔皮书又称桔皮书TCSECTCSEC标准的目的标准的目的v提供一种标准，使提供一种标准，使用户用户可以对其计算机系可以对其计算机系统内敏感信息安全操作的可信程度做评估。统内敏感信息安全操作的可信程度做评估。v给计算机行业的给计算机行业的制造商制造商提供一种可循的指提供一种可循的指导规则，使其产品能

3、够更好地满足敏感应导规则，使其产品能够更好地满足敏感应用的安全需求。用的安全需求。4TCBTCB可信计算基：可信计算基：是是Trusted Computing Trusted Computing BaseBase的简称，指的是计算机内保护装置的的简称，指的是计算机内保护装置的总体，包括硬件、固件、软件和负责执行总体，包括硬件、固件、软件和负责执行安全策略管理员的组合体。它建立了一个安全策略管理员的组合体。它建立了一个基本的保护环境并提供一个可信计算机系基本的保护环境并提供一个可信计算机系统所要求的附加用户服务。统所要求的附加用户服务。519911991年年4 4月美国月美国NCSCNCSC（国

4、家计算机安全中（国家计算机安全中心）颁布了可信计算机系统评估标准心）颁布了可信计算机系统评估标准关于可信数据库系统的解释关于可信数据库系统的解释v简称简称TDITDI，又称紫皮书，又称紫皮书v它将它将TCSECTCSEC扩展到数据库管理系统扩展到数据库管理系统v定义了数据库管理系统的设计与实现定义了数据库管理系统的设计与实现中需满足和用以进行安全性级别评估中需满足和用以进行安全性级别评估的标准的标准6TDI/TCSEC标准的基本内容标准的基本内容vTDITDI与与TCSECTCSEC一样，从一样，从四个方面四个方面来描述安来描述安全性级别划分的指标全性级别划分的指标v安全策略安全策略v责任责任

5、v保证保证v文档文档7TCSEC/TDI安全级别划分安全级别划分安安 全全 级级 别别 定定 义义A1验证设计（验证设计（Verified Design）B3安全域（安全域（Security Domains）B2结构化保护（结构化保护（Structural Protection）B1标标 记记 安安 全全 保保 护护（Labeled Security Protection）C2受受 控控 的的 存存 取取 保保 护护（Controlled Access Protection）C1自自 主主 安安 全全 保保 护护（Discretionary Security Protection）D最小保护（

6、最小保护（Minimal Protection）四组七个等级四组七个等级按系统可靠或可信程度按系统可靠或可信程度逐渐增高逐渐增高各安全级别之间具有一各安全级别之间具有一种偏序向下兼容的关系，种偏序向下兼容的关系，即较高安全性级别提供即较高安全性级别提供的安全保护要包含较低的安全保护要包含较低级别的所有保护要求，级别的所有保护要求，同时提供更多或更完善同时提供更多或更完善的保护能力。的保护能力。8等级说明：等级说明：D，C1D D级（最小保护级）级（最小保护级）v将一切不符合更高标准的系统均归于将一切不符合更高标准的系统均归于D D组组v典型例子：典型例子：DOSDOS是安全标准为是安全标准为D

7、 D的操作系的操作系统统 DOS DOS在安全性方面几乎没有什么专门的在安全性方面几乎没有什么专门的 机制来保障机制来保障无身份认证与访问控制无身份认证与访问控制。C1C1级（自主安全保护级）级（自主安全保护级）v非常初级的自主安全保护非常初级的自主安全保护v能够实现对用户和数据的分离，进行自能够实现对用户和数据的分离，进行自主存取控制（主存取控制（DACDAC），保护或限制用户权），保护或限制用户权限的传播。早期的限的传播。早期的UNIXUNIX系统属于这一类。系统属于这一类。v这类系统适合于多个协作用户在同一个这类系统适合于多个协作用户在同一个安全级上处理数据的工作环境。安全级上处理数据的

8、工作环境。9等级说明：等级说明：C2C2C2级（级（受控的存取保护级）受控的存取保护级）C2C2级达到企业级安全要求。可作为最低军用安全级别级达到企业级安全要求。可作为最低军用安全级别v提供受控的自主存取保护，将提供受控的自主存取保护，将C1C1级的级的DACDAC进一步细进一步细化，以个人身份注册负责，并化，以个人身份注册负责，并实施审计实施审计（审计粒度审计粒度要能够跟踪每个主体对每个客体的每一次访问。对要能够跟踪每个主体对每个客体的每一次访问。对审计记录应该提供保护，防止非法修改。审计记录应该提供保护，防止非法修改。）和资和资源源隔离，客体重用，记录安全性事件隔离，客体重用，记录安全性事

9、件v达到达到C2C2级的产品在其名称中往往不突出级的产品在其名称中往往不突出“安全安全”(Security)(Security)这一特色这一特色v典型例子典型例子 操作系统：操作系统：MicrosoftMicrosoft的的Windows NT 3.5Windows NT 3.5，数字设备公司，数字设备公司的的Open VMS VAX 6.0Open VMS VAX 6.0和和6.16.1，l linuxinux系统的某些执行方法符系统的某些执行方法符合合C2C2级别。级别。数据库：数据库：OracleOracle公司的公司的Oracle 7Oracle 7，SybaseSybase公司的公司

10、的 SQL SQL Server 11.0.6Server 11.0.610等级说明：等级说明：B1B1B1级（标签安全保护级）级（标签安全保护级）v标记安全保护。标记安全保护。“安全安全”(Security)(Security)或或“可可信的信的”(Trusted)(Trusted)产品。产品。v对系统的数据加以标记，对标记的主体和客对系统的数据加以标记，对标记的主体和客体实施强制存取控制（体实施强制存取控制（MACMAC）、对安全策略）、对安全策略进行非形式化描述，加强了隐通道分析，审进行非形式化描述，加强了隐通道分析，审计等安全机制计等安全机制v典型例子典型例子 操作系统：数字设备公司的

11、操作系统：数字设备公司的SEVMS VAX Version SEVMS VAX Version 6.06.0，惠普公司的，惠普公司的HP-UX BLS release 9.0.9+HP-UX BLS release 9.0.9+数据库：数据库：OracleOracle公司的公司的Trusted Oracle 7Trusted Oracle 7，SybaseSybase公司的公司的Secure SQL Server version Secure SQL Server version 11.0.611.0.6。11等级说明：等级说明：B2B2B2级（结构化保护级）级（结构化保护级）v建立形式化的安

12、全策略模型并对系统内的所有主体建立形式化的安全策略模型并对系统内的所有主体和客体实施和客体实施DACDAC和和MACMAC，从主体到客体，从主体到客体扩大到扩大到I/OI/O设设备等所有资源。要求开发者对隐蔽信道进行彻底地备等所有资源。要求开发者对隐蔽信道进行彻底地搜索。搜索。TCBTCB划分保护与非保护部分，存放于固定区划分保护与非保护部分，存放于固定区内。内。v经过认证的经过认证的B2B2级以上的安全系统非常稀少级以上的安全系统非常稀少v典型例子典型例子 操作系统：只有操作系统：只有Trusted Information SystemsTrusted Information Systems

13、公司的公司的Trusted XENIXTrusted XENIX一种产品一种产品 数据库：北京人大金仓信息技术股份有限公司数据库：北京人大金仓信息技术股份有限公司的的 KingbaseES V7KingbaseES V7产品产品12等级说明：等级说明：B3，A1B3B3级（安全区域保护级）级（安全区域保护级）v该级的该级的TCBTCB必须满足访问监控器的要求，安全必须满足访问监控器的要求，安全内核，审计跟踪能力更强，并提供系统恢复过内核，审计跟踪能力更强，并提供系统恢复过程。即使计算机崩溃程。即使计算机崩溃,也不会泄露系统信息。也不会泄露系统信息。A1A1级（验证设计级）级（验证设计级）v验证

14、设计，即提供验证设计，即提供B3B3级保护的同时给出系统的级保护的同时给出系统的形式化设计说明和验证以确信各安全保护真正形式化设计说明和验证以确信各安全保护真正实现实现。这个级别要求严格的数学证明。这个级别要求严格的数学证明。13说明说明vB2B2以上的系统以上的系统v还处于理论研究阶段还处于理论研究阶段v应用多限于一些特殊的部门如军队等应用多限于一些特殊的部门如军队等v美国正在大力发展安全产品，试图将目前仅美国正在大力发展安全产品，试图将目前仅限于少数领域应用的限于少数领域应用的B2B2安全级别下放到商业安全级别下放到商业应用中来，并逐步成为新的商业标准。应用中来，并逐步成为新的商业标准。1

15、46.2 6.2 多级安全数据库关键问题多级安全数据库关键问题多级安全数据库关键问题包括：多级安全数据库关键问题包括：v多级安全数据库体系结构多级安全数据库体系结构v多级安全数据模型多级安全数据模型v多实例多实例v元数据管理元数据管理v并发事务处理并发事务处理v推理分析和隐蔽通道分析推理分析和隐蔽通道分析156.3 6.3 多级安全数据库设计准则多级安全数据库设计准则多级安全数据库设计准则如下：多级安全数据库设计准则如下：v提供多级密级粒度提供多级密级粒度v确保一致性和完整性确保一致性和完整性v实施推理控制实施推理控制v防止敏感聚合防止敏感聚合v进行隐蔽通道分析进行隐蔽通道分析v支持多实例支持

16、多实例v执行并发控制执行并发控制166.4 6.4 多级关系数据模型多级关系数据模型6.4.1 6.4.1 安全的特征安全的特征传统关系模型两个重要的完整性：传统关系模型两个重要的完整性：v实体完整性、引用完整性（参照完整性）。实体完整性、引用完整性（参照完整性）。多级关系数据模型三要素：多级关系数据模型三要素：v多级关系、多级关系完整性约束及多级关系多级关系、多级关系完整性约束及多级关系操作。操作。多级安全模型需作的改进：多级安全模型需作的改进：v多级安全模型：多级安全模型：在传统关系模型基础上各种在传统关系模型基础上各种逻辑数据对象强制赋予安全属性标签。逻辑数据对象强制赋予安全属性标签。v

17、修改传统关系模型中关系的完整性及关系上修改传统关系模型中关系的完整性及关系上的操作。的操作。17安全标签粒度：安全标签粒度：是标识安全等级的最小逻辑对是标识安全等级的最小逻辑对象单位。象单位。安全标签粒度级别：安全标签粒度级别：关系级、元组级及属性级。关系级、元组级及属性级。安全粒度控制安全粒度控制v按照不同的安全需求和实体类型，决定安全按照不同的安全需求和实体类型，决定安全控制的程度。控制的程度。v例如，例如，对数据的存取对数据的存取，可以是关系级、元组可以是关系级、元组级及属性级级及属性级。粒度越细，控制越灵活，但所对应的操作越困粒度越细，控制越灵活，但所对应的操作越困难和复杂。难和复杂。

18、18一、多级关系一、多级关系传统的关系模式：传统的关系模式：R(AR(A1 1,A,A2 2,A,An n)多级关系模式：多级关系模式：R(A R(A1 1,C,C1 1,A,A2 2,C,C2 2,A,An n,C,Cn n,TC),TC)v元组的安全级别元组的安全级别:TC:TCv元组表示：元组表示：t(at(a1 1,c,c1 1,a,a2 2,c,c2 2,a,an n,c,cn n,tc),tc)v元组元组t t的安全标签：的安全标签：ttc.ttc.v属性属性a ai i的安全标签：的安全标签：tctci i.例例 Weapon Weapon多级关系表示。多级关系表示。6.4.2

19、多级关系多级关系19wnameC1RangeC2QuantityC3TCGun1U1U5000UUGun2U2U1000SSMissile1S100S300TSTSMissile2TS150TS50TSTS表表1 1 原始原始WeaponWeapon多级关系多级关系wnameC1RangeC2QuantityC3TCGun1U1U5000UUGun2U2UnullUU表表2 Weapon U 2 Weapon U 级实例级实例20wnameC1RangeC2QuantityC3TCGun1U1U5000UUGun2U2U1000SSMissile1S100S300TSTSMissile2TS1

20、50TS50TSTS表表1 1 原始原始WeaponWeapon多级关系多级关系表表3 3 原始原始Weapon SWeapon S级实例级实例wnameC1RangeC2QuantityC3TCGun1U1U5000UUGun2U2U1000SSMissile1S100SnullSS21wnameC1RangeC2QuantityC3TCGun1U1U5000UUGun2U2U1000SSMissile1S100S300TSTSMissile2TS150TS50TSTS表表4 Weapon TS4 Weapon TS级实例级实例22多级关系完整性：多级关系完整性：v实体完整性实体完整性v空值

21、完整性空值完整性v多级外码完整性与参照完整性多级外码完整性与参照完整性v实例间完整性实例间完整性v多实例完整性多实例完整性6.4.3 多级关系完整性多级关系完整性23一、实体完整性一、实体完整性 设设AKAK是定义在关系模式是定义在关系模式R R上的外观主码，一个上的外观主码，一个多级关系满足实体完整性，当且仅当对多级关系满足实体完整性，当且仅当对R R的所的所有实例有实例RcRc与与ttRc,Rc,有：有：vA Ai iAK=tAAK=tAi inull/null/主码属性不能主码属性不能为空为空vA Ai i,A,Aj jAK=tCAK=tCi i tCtCj j/主键各属主键各属性安全等

22、级一致性安全等级一致，保证在任何级别上主键，保证在任何级别上主键都是完整的。都是完整的。vA Ai i AK=tCAK=tCi i=tC=tCAKAK/非码属性安非码属性安全等级支配键值，全等级支配键值，保证关系可见的任何级保证关系可见的任何级别上，主键不可能为空。别上，主键不可能为空。24二、空值完整性二、空值完整性在多级关系中，空值有两种解释在多级关系中，空值有两种解释:v一种确实为空。一种确实为空。v另一种是实例的等级低于属性的等级使此属另一种是实例的等级低于属性的等级使此属性不可见，从而显示为空。性不可见，从而显示为空。空值完整性使用了归类关系，归类关系如下：空值完整性使用了归类关系，

23、归类关系如下：如果两元组如果两元组t t和和s s，如果属性，如果属性AiAi满足下列条件满足下列条件之之之之一一一一，元组，元组t t包含元组包含元组s s。v对于两元组对于两元组t t和和s,s,如果任何一个属性如果任何一个属性 tAi,Ci sAi,Ci;vtAinull且且 sAinull，则称元组则称元组t t包含元包含元组组s s 或或 t t归类于归类于s s。25一一个多级关系个多级关系R R满足空值完整性，当且仅当对满足空值完整性，当且仅当对R R的每个实例的每个实例RcRc均满足下列两个条件：均满足下列两个条件：v空值的安全级别与主键相同。空值的安全级别与主键相同。即对于所

24、有的即对于所有的tRtRc c,tA tAi i null=tcnull=tci i tCtCAKAK /空值对所有级别用户可见空值对所有级别用户可见vR Rc c不含有两个有包含关系的不同元组。不含有两个有包含关系的不同元组。/不出现因为空值而导致的冗余元组不出现因为空值而导致的冗余元组26 例例1 1 多级关系违反了空值完整性多级关系违反了空值完整性wnameC1RangeC2QuantityC3TCGun2U2UnullUUGun2U2U3000SS 多级关系违反了空值完整性多级关系违反了空值完整性27三、多级外码完整性与参照完整性三、多级外码完整性与参照完整性多级外码完整性：多级外码完

25、整性：假设假设FKFK是参照关系是参照关系R R的外码，多级关系的外码，多级关系R R的一个实例的一个实例RcRc满足外码完整性，当且仅当对所有的满足外码完整性，当且仅当对所有的tRctRc满足：满足：v 或者（所有或者（所有A Ai iFKFK）tA tAi i=null=null，或者（所有或者（所有A Ai iFKFK）tA tAi inullnull /外码属性全空或全非空外码属性全空或全非空v A Ai i,A,Aj jFK=tCFK=tCi i tCtCj j。/外码的每个属性具有相同的安全级别外码的每个属性具有相同的安全级别28多级参照完整性：多级参照完整性：假设假设参照关系参照

26、关系R R1 1具有外观主码具有外观主码AKAK1 1，外码外码FKFK1 1，被参照关系被参照关系R R2 2具有外观主具有外观主码码AKAK2 2，多级关系，多级关系R R1 1的一个实例的一个实例 r r1 1 和多级关系和多级关系R R2 2的一个实例的一个实例 r r2 2满足参满足参照完整性，当且仅当照完整性，当且仅当 所有所有t t1111rr1 1,t,t1111FKFK1 1 null null,E E t t2121rr2 2,t,t1111FKFK1 1=t=t2121AKAK2 2 t t1111TC=TC=t t2121TCTC t t1111CCFK1FK1 t t

27、2121CCAK2AK2。外键的访问等级必须支配引用元组外键的访问等级必须支配引用元组中主键的访问等级。中主键的访问等级。29四、实例间完整性四、实例间完整性多级关系多级关系RcRc满足实例间完整性，当且仅满足实例间完整性，当且仅当对所有当对所有 c ccc，Rc=Rc=(Rc(Rc，c)c)，其中过，其中过滤函数滤函数按以下方法从按以下方法从RcRc产生安全等级为产生安全等级为cc的实例的实例RcRc：v所有所有 tR tRc c,tC,tCAKAKc,c,tRctRc，满足满足tAK,CtAK,CAKAK=tAK,CtAK,CAKAK./主码保留主码保留v所有所有A Ai i AK AK有

28、有 tA tAi i,C,Ci i=tA=tAi i,C,Ci i if tC if tCi i c c tA tAi i,C,Ci i=null,tC=otherwise otherwiseE E 消除消除RcRc的的归类归类元元组组30卫卫星名星名C1任务任务C2目目标标C3TC探索者探索者U科技探科技探测测SA火山火山US表表1.1.多级关系多级关系“卫星卫星”S S级实例级实例实例间完整性举例：例实例间完整性举例：例1 1U U级用户对表级用户对表1 1过滤后得到表过滤后得到表2 2卫卫星名星名C1任务任务C2目目标标C3TC探索者探索者UNULLUA火山火山UU表表2.2.多级关系多

29、级关系“卫星卫星”过滤后过滤后U U级实例级实例31卫卫星名星名C1任务任务C2目目标标C3TC探索者探索者UNULLUA火山火山UU探索者探索者U科技探科技探测测SA火山火山US表表4.4.多级关系多级关系“卫星卫星”S S级实例级实例卫卫星名星名C1任务任务C2目目标标C3TC探索者探索者U科技探科技探测测SA火山火山US表表5.5.多级关系多级关系“卫星卫星”过滤后过滤后S S级实例级实例实例间完整性举例：例实例间完整性举例：例2 2卫卫星名星名C1任务任务C2目目标标C3TC探索者探索者UNULLUA火山火山UU表表3.3.多级关系多级关系“卫星卫星”U U级实例级实例32五、多实例完

30、整性五、多实例完整性假设多级关系假设多级关系R R的外观主码集合为的外观主码集合为AKAK，主码等级，主码等级为为C CAK AK。多实例完整性要求由。多实例完整性要求由AKAK、C CAKAK以及第以及第i i个个属性的等级属性的等级C Ci i便可确定第便可确定第i i个属性值个属性值A Ai i。一个多级关系满足多实例完整性，当且仅当一个多级关系满足多实例完整性，当且仅当R Rc c中中的每个属性的每个属性A Ai i,满足满足AK,CAK,CAKAK,C,Ci i A Ai i 即即A Ai i函数依赖于函数依赖于AK,CAK,CAKAK,C,Ci i。同一级别的元组之间不存在多实例。

31、同一级别的元组之间不存在多实例。33多级关系多级关系Weapon(Weapon(满足多实例完整性满足多实例完整性)wnameC1RangeC2QuantityC3TCGun2U2U2000SSGun2U2S3000SS 多级关系多级关系Weapon(Weapon(不满足多实例完整性不满足多实例完整性)（元组级别相同主键重复）（元组级别相同主键重复）wnameC1RangeC2QuantityC3TCGun1U1U5000UUGun2U2S2000SSGun2U2U3000UU346.4.4 6.4.4 多级关系操作多级关系操作一、一、插入操作插入操作形式：形式：INSERT INTO Rc(A

32、INSERT INTO Rc(Ai i,A,Aj j)VALUES(a VALUES(ai i,a,aj j)当插入元组当插入元组t t（新插入）（新插入）与主键值相同的元组与主键值相同的元组t t时：时：1 1）若）若tTCtTC tTC,tTC,拒绝拒绝t t的插入。的插入。/满足多满足多满足多满足多 实例完整性约束实例完整性约束实例完整性约束实例完整性约束2 2）若）若tTC tTC,tTC ttTC t TC,TC,允许或拒绝允许或拒绝t t的插入均可的插入均可 以。以。/多级关系操作尽量减少额外元组多级关系操作尽量减少额外元组多级关系操作尽量减少额外元组多级关系操作尽量减少额外元组3

33、5 例例1 S1 S级别主体插入操作级别主体插入操作 1 1）主码值不同，正常插入）主码值不同，正常插入 INSERT INTO INSERT INTO WeaponWeapon VALUES VALUES“Cannonl,10,200Cannonl,10,200”插入后插入后WeaponWeapon多级关系的多级关系的S S级插入级插入wnameC1RangeC2QuantityC3TCGun1U1U5000UUGun2U2U1000SSMissile1S100SnullSSCannonlCannonlS10S200SS362 2）主码值、级别相同，系统不允许插入。）主码值、级别相同，系统不

34、允许插入。INSERT INTO INSERT INTO WeaponWeapon VALUES VALUES“Cannonl,10,200Cannonl,10,200”/S S级插入级插入WeaponWeapon多级关系的多级关系的S S级插入级插入wnameC1RangeC2QuantityC3TCGun1U1U5000UUGun2U2U1000SSMissile1S100SnullSSCannonlCannonlS10S200SS373 3）主码值相同，但插入元组级别低，允许插入，）主码值相同，但插入元组级别低，允许插入，防止隐通道，产生多实例。防止隐通道，产生多实例。INSERT IN

35、TO INSERT INTO WeaponWeapon VALUES VALUES“Missile2,250,30,250,30”/S S级插入级插入插入前插入前WeaponWeapon多级关系的多级关系的S S级插入级插入wnameC1RangeC2QuantityC3TCGun1U1U5000UUGun2U2U1000SSMissile1S100S300SSMissile2TS100TS50TSTS38插入后产生多实例插入后产生多实例WeaponWeapon多级关系的多级关系的S S级插入级插入wnameC1RangeC2QuantityC3TCGun1U1U5000UUGun2U2U10

36、00SSMissile1S100S300SSMissile2TS150TS50TSTSMissile2S250S30SS39二、更新操作二、更新操作形式：形式：UPDATE RcUPDATE Rc SET A SET Ai iS Si i,A,Aj jS Sj j WHERE p WHERE pp p是谓词条件是谓词条件针对关系间完整性的约束，更新操作对不同等针对关系间完整性的约束，更新操作对不同等级的关系实例的影响有以下三点：级的关系实例的影响有以下三点：v对同等级关系实例的影响与传统的对同等级关系实例的影响与传统的UPDADEUPDADE语语句一样。句一样。v对更低等级关系实例无影响。对更

37、低等级关系实例无影响。v对更高等级用户，为避免隐蔽通道可能引入对更高等级用户，为避免隐蔽通道可能引入多实例。多实例。40 例例11密级为密级为U U的用户要求对的用户要求对WeaponWeapon关系的关系的 U U级实例作更新操作。级实例作更新操作。/直接修改直接修改 UPDATE UPDATE WeaponWeapon SET Quantity=3000 SET Quantity=3000 WHERE Wname=WHERE Wname=“Gun1Gun1”/U U级用户级用户WeaponWeapon关系的关系的 U U 级实例级实例wnameC1RangeC2QuantityC3TCGu

38、n1U1UnullUU41WeaponWeapon关系的关系的 U U 级实例级实例wnameC1RangeC2QuantityC3TCGun1U1UnullUU更新前更新前WeaponWeapon关系的关系的 U U 级实例级实例wnameC1RangeC2QuantityC3TCGun1U1U3000UU更新后更新后42 例例22密级为密级为U U的用户要求对的用户要求对WeaponWeapon关系的关系的 S S级实例作更新操作。级实例作更新操作。UPDATE UPDATE WeaponWeapon SET Quantity=3000 SET Quantity=3000 WHERE Wn

39、ame=WHERE Wname=“Gun1Gun1”/U U级用户级用户WeaponWeapon关系的关系的 S S 级实例级实例wnameC1RangeC2QuantityC3TCGun1U1U5000SS43WeaponWeapon关系的关系的 S S 级实例级实例wnameC1RangeC2QuantityC3TCGun1U1U5000SS更新前更新前WeaponWeapon关系的关系的 S S 级实例级实例wnameC1RangeC2QuantityC3TCGun1U1U3000UUGun1U1U5000SS更新后产生多实例更新后产生多实例44 例例33密级为密级为S S的用户要求对的

40、用户要求对WeaponWeapon关系的关系的 S S级实例执行如下更新操作。级实例执行如下更新操作。UPDATE UPDATE WeaponWeapon SET Range=2 SET Range=2 WHERE Wname=WHERE Wname=“Gun1Gun1”ANDAND Quantity=5000 Quantity=5000WeaponWeapon关系的关系的 S S 级实例级实例wnameC1RangeC2QuantityC3TCGun1U1U3000UUGun1U1U5000SS45WeaponWeapon关系的关系的 S S 级实例级实例wnameC1RangeC2Quan

41、tityC3TCGun1U1U3000UUGun1U2S5000SS更新后更新后WeaponWeapon关系的关系的 S S 级实例级实例wnameC1RangeC2QuantityC3TCGun1U1U3000UUGun1U1U5000SS更新前更新前46 例例44密级为密级为S S的用户要求对的用户要求对WeaponWeapon关系的关系的 S S级实例执行如下更新操作。级实例执行如下更新操作。UPDATE UPDATE WeaponWeapon SET Range=2 SET Range=2 WHERE Wname=WHERE Wname=“Gun1Gun1”/S S级用户级用户 Wea

42、ponWeapon关系的关系的 S S 级实例级实例wnameC1RangeC2QuantityC3TCGun1U1U3000UUGun1U1U5000SS47WeaponWeapon关系的关系的 S S 级实例级实例wnameC1RangeC2QuantityC3TCGun1U1U3000UUGun1U2S3000USGun1U2S5000SS更新后更新后WeaponWeapon关系的关系的 S S 级实例级实例wnameC1RangeC2QuantityC3TCGun1U1U3000UUGun1U1U5000SS更新前更新前48三、删除操作三、删除操作形式：形式：DELETE FROM R

43、cDELETE FROM Rc WHERE p WHERE pp p是谓词条件是谓词条件四、查询操作四、查询操作形式：形式：SELECT A1,A2SELECT A1,A2FROM R1,R2FROM R1,R2 WHERE pAT c1,c2 WHERE pAT c1,c2,p p是谓词条件是谓词条件496.5 6.5 多实例多实例多实例：是指在多级安全数据库管理系统多实例：是指在多级安全数据库管理系统中，同时存在多个具有相同主码值的实体。中，同时存在多个具有相同主码值的实体。多实例元组：关系包含多个具有相同主码多实例元组：关系包含多个具有相同主码的元组，但的元组，但相同主码相同主码的安全等

44、级可以的安全等级可以不不 相同，相同，这些元组的安全等级不同。这些元组的安全等级不同。多实例属性：关系包含多个具有相同主码多实例属性：关系包含多个具有相同主码的元组，但的元组，但相同主码相同主码的安全等级的安全等级相同，相同，但但具有不同安全级的属性，具有不同安全级的属性，这些元组的安全这些元组的安全等级不同。等级不同。50例：两种多实例的情况。例：两种多实例的情况。多实例属性多实例属性的多级关系的多级关系wnameC1RangeC2QuantityC3TCGun1UNULLU3000UUGun1U2S5000SS多实例元组的多实例元组的多级关系多级关系wnameC1RangeC2Quanti

45、tyC3TCGun1UNULLU3000UUGun1S2S5000SS516.5.1 6.5.1 多实例的发生多实例的发生可见多实例：可见多实例：当高访问等级的用户想在当高访问等级的用户想在数据库的一个域上插入数据，而在这个数据库的一个域上插入数据，而在这个域上已经存在低安全等级的数据时发生。域上已经存在低安全等级的数据时发生。不可见多实例：不可见多实例：当低访问等级的用户想当低访问等级的用户想在数据库的一个已经有高安全等级的域在数据库的一个已经有高安全等级的域上插入一个新数据时发生。上插入一个新数据时发生。52可见多实例可见多实例wnameC1RangeC2QuantityC3TCGun3U

46、nullUnullUUU U级用户将级用户将RangeRange更新为更新为1 1wnameC1RangeC2QuantityC3TCGun3U1UnullUUS S级用户将级用户将RangeRange更新为更新为2 2wnameC1RangeC2QuantityC3TCGun3U1UnullUUGun3U2SnullUS最初的多级关系最初的多级关系53不可见多实例不可见多实例最初的最初的S S级用户级用户实例实例wnameC1RangeC2QuantityC3TCGun3U2SnullUS上例中上例中U U级用户将级用户将RangeRange更新为更新为1 1后，后，U U级实例如下：级实例

47、如下：wnameC1RangeC2QuantityC3TCGun3U1UnullUUwnameC1RangeC2QuantityC3TCGun3U1UnullUUGun3U2SnullUSU U级用户将级用户将RangeRange更新为更新为1 1后，后，S S级实例如下：级实例如下：546.5.2 6.5.2 多实例引起的问题多实例引起的问题 多实例虽可防止隐蔽通道，但引起一多实例虽可防止隐蔽通道，但引起一些相关问题：些相关问题：数据机密性与完整性冲突数据机密性与完整性冲突增加了数据库的管理难度增加了数据库的管理难度增加了对同一现实世界中不同模型理解增加了对同一现实世界中不同模型理解的困惑。

48、不清楚那个实例的信息是正确、的困惑。不清楚那个实例的信息是正确、可信的。可信的。556.5.3 6.5.3 多实例问题的处理多实例问题的处理对多实例的处理采取下面的方法或其组合对多实例的处理采取下面的方法或其组合对多实例的处理采取下面的方法或其组合对多实例的处理采取下面的方法或其组合v使所有的主码可见，主码以关系内可见的使所有的主码可见，主码以关系内可见的最低安全等级标识最低安全等级标识v根据主码可能的各种安全等级，划分主码根据主码可能的各种安全等级，划分主码的域。的域。v限制对多级关系的插入。要求所有的插入限制对多级关系的插入。要求所有的插入由系统最高安全等级的用户实施向下写完由系统最高安全

49、等级的用户实施向下写完成。成。566.6 6.6 隐蔽通道分析隐蔽通道分析6.6.1 6.6.1 6.6.1 6.6.1 隐蔽通道及其分类隐蔽通道及其分类隐蔽通道及其分类隐蔽通道及其分类隐蔽通道：隐蔽通道：是指给定一个强制安全策略模型是指给定一个强制安全策略模型M M和和它在一个操作系统中的解释它在一个操作系统中的解释I(M),I(M)I(M),I(M)中两个主中两个主体体I(Si)I(Si)和和I(Sj)I(Sj)之间的任何潜在通信都是隐蔽之间的任何潜在通信都是隐蔽的的,当且仅当模型当且仅当模型M M中的相应主体中的相应主体SiSi和和SjSj之间的之间的任何通信在任何通信在M M中都是非法

50、的。（系统中不受安全中都是非法的。（系统中不受安全策略控制的，违反安全策略的信息泄露路径）策略控制的，违反安全策略的信息泄露路径）系统实际使用中，攻击者制造一组表面上合法系统实际使用中，攻击者制造一组表面上合法的操作序列，将高级数据传送到低级用户。这的操作序列，将高级数据传送到低级用户。这种隐蔽的非法通道叫隐蔽通道。种隐蔽的非法通道叫隐蔽通道。57隐通道通过不是用于数据传递的系统设施来发隐通道通过不是用于数据传递的系统设施来发送信息送信息 ，并且这种通信方式往往不被系统的，并且这种通信方式往往不被系统的存取控制机制所检测和控制。存取控制机制所检测和控制。隐蔽通道的分类隐蔽通道的分类v存储隐蔽通