分布式数据库系统及其应用.ppt

分布式数据库系统及其应用 数据库安全性概述安全数据模型与多级安全数据库计算机系统与数据库系统的安全评估标准分布式数据库的目录结构和管理分布式数据库中权限保护和用户识别 分布式数据库的安全性与目录管理 第7章 两个方面保密性 即 私有 控制属于自己的数据 包括数据的收集 存储 处理 传输和使用安全性 保护保密数据不被非法使用扩展来说保障DB数据的完整性 物理 逻辑和元素完整性 保障DB数据的保密性身份识别 访问控制 审计 隐蔽信道攻击 语义保密性等保障DB数据的可用性防止硬件系统引起的数据库破坏及时休复上述破坏拒绝和清除数据库垃圾 三个方面数据存储在各个站点上存在的不安全因素访问各个站点上数据存在的不安全因素数据在各站点之间传输时存在的不安全因素综合起来分析 不安全因素有 黑客攻击 猎取用户口令 伪装 隐蔽通道 特洛伊木马 程序蠕虫 攻击电子邮件 突破防火墙等 病毒 病毒种类10几万种 破坏性更强 互联网环境有利于传播 网络环境的脆弱性OS安全DBMS安全网络协议安全 TCP IP协议一开始没有考虑安全 DDB安全需求安全环节各站点上存储安全 本地 远程访问安全 传输安全受破坏时的表现非法用户对DB的访问 执行了不正确的修改 DB一致性 完整性被破坏 DB中垃圾堆积 使DB不可用 数据库中数据的机密被泄漏提供服务DB有保密性 数据加密DB有一致性DB有可用性 防止 及时修复错误造成的恶意破坏对DB变化做跟踪记录 安全层次物理层用户层OS层网络层数据库系统 物理层 保护数据不受侵入者的物理破坏 传统方式用锁和钥匙等保护不受洪水 电力故障等数据恢复保护磁盘不被偷窃 清除 物理损坏等 用户层 防止保密字被盗 偷看主要的管理方法 经常变换保密字使用不可猜测的保密字日志所有非法的访问数据审计仔细雇用人员 OS层次的安全 防止非法登录文件层访问保护 通常对DB安全作用不大 防止 超级用户 的不正确使用防止高级别优先权的指令的不正确使用 网络层安全 每个站点必须保证是与可信赖的站点通信链路必须保证没有被窃听和篡改方法 基于保密字的协议 password based 密码学 Cryptography 数据库系统层 假定在OS 网络 人员 物理层都是安全的数据库安全是 每个用户仅仅可以读 写部分数据用户可能对整个文件或关系有权 也可能仅仅只对文件或关系的一部分有权 用户帐户 DBA为用户创建一个帐号和口令每次用户登录都要输入帐号和口令保持数据库用户的账号和口令痕迹是必要的 可以通过建立一个加密表来实现每创建一个用户在加密表中添加一条记录每取消一个帐户 就从表中删除一个相应的记录保持用户和站点的操作痕迹也是必要的从用户登录开始 直到退出为止 这一段时间内的所有数据库交互记录都要记录下来 特别是更新操作 一旦数据库被篡改 就能知道是哪个站点的哪个用户进行的 数据审计 也可以通过对系统日志的扩充来记录用户和相关操作的信息系统日志包括对分布式数据库的实施的每一个操作的入口项 事务故障和系统故障时就需要利用这些记录对数据库进行恢复如果怀疑出现了对数据库的任意篡改 就可以执行数据库审计审计扫描一段时间内的日志 以检查所有作用于数据库的存取动作和操作当发现一个非法的或未授权的操作时 DBA就可以确定执行这个操作的帐号数据库审计对于敏感性数据库非常重要 比如银行数据用于安全性的数据库日志 也叫审计跟踪 主体 Subject 引起信息流动或改变系统状态的主动实体 如用户 程序 进程客体 Object 蕴含或接收信息的被动实体 信息的载体 如DB 表 记录 视图 属性等可信计算基实现安全保护机制的集合体 硬件 软件等 域主体有能力存取的客体集合安全级 SecurityLevel 主体和客体的访问特权 一般主体安全级表示主体对客体敏感信息的操作能力 客体安全级表示客体信息的敏感度 最小特权原理主体应该授予能够完成任务所需的最小存取权访问监控器监控主体和客体之间授权访问关系的部件信道系统内的信息传输通路隐蔽信道 CovertChannel 进程以危害系统安全的隐蔽方式传输信息的通信信道自主访问控制 DiscretionaryAccessControl 基于主体身份或主体所属组的身份或二者结合来限制对客体访问的方法 具有访问权的主体能自行决定其访问权直接或间接转授给别人强制访问控制 MandatoryAccessControl 基于主体与客体各自所具有的敏感度标记的控制关系来决定主体对客体的访问 标记是由系统安全员指派 用户不能随意修改 更不能转让 敏感度标记表示客体和主体的安全级的一条信息 可信计算基使用它确实是否进行强制访问控制数据库的安全策略根据用户需求 安装环境 建立规则和法律等方面的限制来制定的 用来描述访问规则和访问特征的关系有四类策略 安全管理策略 最小特权策略 访问控制分类策略 访问控制策略形式化安全保护策略模型安全保护策略的完整精确描述安全保护策略模型安全保护策略的非形式化描述 权限控制 当主体访问客体时 要进行访问的合法性检查 知必所需 原则 限制用户只能知道授权他知道的那些数据对象 最小特权原则 数据库部分的权的形式 读权 允许读 但是不能修改数据插入权 允许插入新数据 但不能修改已存在的数据修改权 允许修改 但不能删除数据删除权 允许删除数据 更新数据库模式权的的形式 索引权 允许创建和删除索引资源权 允许创建新关系修改权 允许增加或删除关系中的属性删除权 允许删除关系权与视图用户可以将某个权授给视图视图可以通过限制用户访问的数据而加强数据库的安全性关系层和视图层的安全组合可以精确地限制用户只对其应用需要的数据访问 权限控制 授权与收权 Grant语句GrantToWithGrantOptionRevoke语句RevokeFrom 授权方式 静态授权检查功能隔离功能 保证用户只访问已授权的数据对象控制访问 保证用户只能按他已得到的访问权的访问方式存取数据 不得越权DBMS必须要确定不同用户对不同数据对象的存取权数据对象的粒度由系统规定数据对象命名唯一DBA拥有访问全部数据对象的全权 矩阵法称作安全矩阵法或存取检查矩阵法O代表数据对象 U代表用户各种存取权限R 读 U 修改 I 添加 D 删除元组 DR 删除关系矩阵S的元素Sij S Ui Oj 表示用户Ui对数据对象Oj的存取权 与数据对象的值无关 矩阵法简便有效 OS的存取检查中广泛使用 R D R U R Un R DR R R U U2 R I R D R D U1 Om O2 O1 数据对象 用户 安全矩阵S 按行存储法按用户存储的权利表方法 用户Ui有一由偶对 Oj Sij 组成的一维表行按列存储法按数据对象存储的权利表方法 数据对象Oj有一由偶对 Uj Sij 组成的一维表列 安全矩阵法实现技术 锁钥实现法矩阵法中按行存储与按列存储方法的结合每个用户Ui设立一个钥表 O1 K1 O2 K2 Om Km 每个数据对象Oj设立一个锁表 L1 P1 L2 P2 Ls Ps Ki 保密钥 Li 保密锁 Pi 存取权集合锁钥表由数据安全子系统管理若Ui对Oj存取权Pi时 查其Kj是否能与Oj中的某一Lk配对 若存在这样的Lk 使Kj Lk 且Pi Pk 则批准存取 安全矩阵法实现技术 口令实现法将锁钥法中的钥匙直接交给用户 则称口令法面向数据对象每个数据对象有一个存取口令 用户通过出示其存取口令来访问数据对象 安全表集中管理 系统实现简单面向用户每个用户或用户组一个口令 口令表中存放该口令可以访问的对象列表简单口令表划分安全级别的口令表 安全矩阵法实现技术 面向用户的简单口令系统 O1 O2 O9 O10 PWn O5 O7 O9 PW1 能存取的数据对象 口令 划分安全级别的口令表 1 2 PWn 7 5 PW2 4 3 PW1 10 10 PW DBA Write Read 口令 关系及元组的安全级表 结论DBA所持口令的级别最高 可读写全部关系和元组 持有口令PW1的各用户可读写关系1中除元组t12之外的所有元组及整个关系3持有口令PW2的各用户可读写除元组t22之外的关系2 关系1和关系3的全部元组持有口令PWn的各用户 只能读写关系3 动态授权方式用户对自己生成的关系拥有全权 通过授权和收权语句完成对数据开放 保密的存取权授予 Grant Revoke 访问表 AT 法Userid 接受方用户 oname 授予的数据对象操作类型 R Read U Update I insert D delete DR dropType 对象类型 t是表 V是试图Grantor 授予方用户操作类型 t Time g 转让 Y 允许 N 不允许 opt 限制 all 所有属性都允许 none 所有属性都不允许 some 某些属性允许视图法 略 动态授权方式的存取表AT 发展历史D E Bell和L J LaPadula于1973年模拟军事安全策略创建的计算机系统安全模型 74年改进 76年用于Multics操作系统形式化定义状态机模型它形式化定义了模型中的概念 证明了其中的定理和结论 并表明系统可通过数学推导证明其自身的安全性系统状态状态v V V B M F H B 当前存取集 B S O A S 主体集 O 客体集 A 访问方式集合 有Read R Write W Execute E Append A 存取控制矩阵M m11 m1n mn1 mnn mij A表示Si主体对客体Oj的访问权集 F 安全级函数 有三个分量Fn 主体最大安全级函数Fc 主体当前最大安全级函数Fo 客体安全级函数H 当前客体层次结构H O 以O为根的树中客体集合 状态转换规则 R VD VR V 系统中给请求定义的请求 状态对集合D V 系统中给请求定义的判定 状态对集合R 请求集D 请求的输出集 yes no error Yes 请求被执行 No 请求未执行 应用规则时遇到意外情况 error 应用规则时遇到错误模型公理简单安全特性V b M f H 满足简单安全特性 当且仅当对任意b s o x B 有x e或者a或者x r或者w并且fn s fo o 即主体读写或访问客体 要求主体的最大安全级别 客体的安全级别 特性V b M f H 对以主体集S S满足 特性 当且仅当对任意b s o x Bx a fc s fo o S 是不可信主体该特性用以防止不可信主体引起的信息从高安全级向低安全级的非法流动 自主安全特性V b M f H 满足该特性 当且仅当对每个b si oj x B x MijSi对Oj可执行的读写访问集只能是Mij所允许的集合兼容特性客体层次结构H保持兼容特性 当且仅当对任意Oi Oj O 有Oj H Oi fo Oj fo Oi 用于保持客体的安全级别是向树叶方向增高 1991年Jajodia和Sandhu提出的一种实现强制访问控制的RDB系统DAC和DAC自主访问控制 在关系上授权和收回特权强制访问控制 在安全类别基础上 对数据和用户进行分类基础主体集S 客体集O每个主体s 存在固定的安全类class S 每个客体o 存在固定的安全类class O 简单安全特性 ifclass O class S 时 S可以读O 下读 特性 ifclass S class O 时 S才可以写O 上写 基本概念安全标记基于标记的安全DB中 信息流动策略定义为一个格阵 SC SC 安全类的有限集 定义在SC上的二元偏序关系每个安全类定义为 level Scope level 密级 分为绝密 TS 秘密 S 机密 C 普通 U Scope 领域当A B时 允许A类信息流向B类 客体安全标记为实现强制访问控制 对数据进行标记 按粒度分为三级基于元组的标记 A1 A2 An TC Ai 关系的每个属性TC 元组分类属性基于主键的标记 A1 C1 A2 An TC Ci 与每个属性Ai相关联的分类级别属性基于每个属性的标记 A1 C1 A2 C2 An Cn TC 主体安全标记由系统安全员指派给用户 也是用户向系统登录时使用的安全标记 一个用户可以申请不同的许可证 读写策略当且仅当Level o Level s 并且Scope o Scope s时 主体才能读客体当且仅当Level o Level s 并且Scope o Scope s时 主体才能写客体 基于标记的多级安全关系对关系的扩展将关系R A1 A2 An 扩展为R A1 C1 A2 C2 An Cn TC Ci是Ai的定义域 由区间 Li Hi 表示从Li到Hi的访问类子格 TC是整个元组的安全标记 由区间 lub Li i 1 n lub Hi i 1 n 表示 关系实例r A1 C1 A2 C2 An Cn TC 关系实例中元组t a1 c1 a2 c2 an cn tc ci Li Hi tc lub ci i 1 2 n 不同级别的主体对关系实例有不同的视图 多级安全的读写规则主体与客体都被标记 并遵循Bell LaPadula模型主体只能读其级别等于或小于其登录标记 许可证 的元组下读主体写时 其登录标记也随之记录到所写元组中 成为该元组的安全级别 并且只能写入级别等于或大于其登录标记的元组上写 计算机系统的安全标准1983年美国防部桔皮书TCSEC1990年欧洲白皮书ITSEC美国 加拿大和欧洲四国联合研制的CC1994年我国1999年我国GB17859 1999TCSEC将安全分为四类7个级别D类 最低安全级别 只有一个级别D级 C类 自主保护类 基于主体身份来限制对客体访问 主体可自主地决定其权限的授与C1级 自主安全 自主存取控制 审计 C2级 可控存取 比C1更强 B类 强制保护类 基于主体与客体各自所具有的敏感度标记的控制关系来决定主体对客体的访问B1级 标记安全 强制存取控制 敏感标记 B2级 结构化保护 形式化模型 隐蔽通道约束 B3级 安全域保护 安全内核 高抗渗透 A类 验证保护类A1级 可验证保护 形式化安全验证 隐蔽通道分析 TCSCE的安全等级与主要特征表 DBMS的安全评估标准应与OS有相同的安全级别1991年美国国家计算机安全中心根据TCSEC制订紫皮书DBMS的安全也分四类 7级 25条评估标准D级 低级安全保护C1级 自主安全保护C2级 受控存取保护B1级 标记安全保护B2级 结构化保护B3级 安全域保护A1级 可验证保护 24252627 安全性能用户指南保安设施手册考核文件设计文件 文件 151617181920212223 体系结构系统的完整性完全考核设计规范与验证隐蔽通道分析可信设施管理配置管理恢复可信分配 保证 121314 标示与鉴别审计可信路径 责任 1234567891011 自主访问控制客体重用标记标记的完整性标记信息输出多级设备输出单级设备输出标记的硬拷贝输出强制访问控制主体安全表示设备标记 安全策略 DC1C2B1B2B3A1 序号 安全评估指标 类别 不同安全级别对安全评估指标的支持 当前流行的几种RDBMS安全机制的共性权限 Privilege 和授权 Authorization Grant和Revoke角色 Role 系统角色 系统预先定义用户定义角色 命令方式或过程调用方式定义身份认证 Authorization 为确认某人是他自称的那个人 检查他的合法性身份认证一般有三个级别系统登录认证 OS检查数据库连接 DBMS验证数据库对象使用 DBMS核实其对数据对象的存取权限 身份认证的三个级别 自主访问控制采用存取矩阵模型实现自主访问控制描述用户对DB级其对象的访问权限通过Grant语句建立审计 Auditing 固定方式 系统自动对其进行审计选择方式 审计内容由用户 包括DBA 设置用作安全的视图 存储过程和触发器视图 过滤掉需要保密的列存储过程 为实现某一功能的一组SQL语句触发器 有事件触发执行的一种特殊的存储过程 流行RDBMS在安全机制方面的努力与改进目前系统符合TCSEC的C1或C2级要求ORACLE公司的TrustedOracle是多级安全服务器强制访问控制 任意用户访问DB前 对其进行强制访问控制使用标签 DB中每一行都有一个安全标签 表示该行数据的敏感度用户可写数据标签 用户当前任务的敏感度标签 同级写 用户可读数据标签 或 用户当前任务的敏感度标签 下读 Sybase和TRM合作开发的符合TCSEC的B类标准安全SQL服务器B1版本 B1级安全的UNIX上运行B2版本 据称可在裸机上运行DB2对用户身份验证的改进Client类型 验证在激活应用的服务器上进行Server类型 在数据库所驻留的服务器上进行分布式数据库服务器 在安装了DDCS 数据库管理和分布数据库连接服务 的网关上进行 若验证为DCS类型 验证被传递到主机DBMS 若数据访问不涉及DDCS 则在数据库驻留的服务器上对身份验证 国内外较著名的MLSDBMS 数据库目录 DatabaseCatalog 也称数据字典或者原数据它是一个 微小DB 描述DB中数据的数据数据库目录的作用外部对数据库的操作定义数据对象 查询 添加 删除 更新数据等内部数据库的运作事务管理 授权检查 并发控制 故障恢复 命令翻译等分布式数据库目录数据分布的透明性 各站点的自制性 分布式事务运行和管理都与目录有关分布式数据库的目录也构成一个分布式数据库 比集中式数据库更加复杂 分布式数据库目录的内容全局模式描述分片模式描述分布模式描述局部名称映射存取方式描述数据库统计信息一致性约束状态信息数据表示系统描述 目录的用途设计应用翻译应用优化处理运行监督系统维护 组织方式独立式 利用OS提供的文件管理功能建立和维护目录信息分离式 利用DBMS建立和维护目录信息 但其用户界面和功能均独立于DBMS嵌入式 DBMS与目录信息一体化 即数据目录系统作为DBMS的子集 DBMS通常应用该方式 DDBS目录系统的逻辑结构 逻辑结构网络目录含有运行 优化DDB的信息 包括通信线路的有关参数 各站点CPU的工作负载 磁盘空间占有状态 语言配置 处理功能等全局外模式目录数据结构 存储位置 划分准则 完整性 安全性控制 数据映像及存取路径 各站点软硬件特征全局概念模式目录全局关系 公共过程等 以反映DDB的整体观念 提供唯一的系统映象 局部外模式目录与局部概念模式目录与全局外模式和全局模式目录类似 但包含的信息仅涉及各自站点的处理对象 与其它站点无关内模式目录DDBS的局部存储描述 与集中式系统完全相同 目的是合理地组织物理数据库 以提高运行效率 目录管理系统在网络OS和DDBMS的支持下实现对DB目录进行自动管理 并保持其在动态变化过程中数据目录的一致性和有效性功能模块目录定义目录装入目录查询 更新目录维护报告生成 目录的分布方式集中式单一主目录方式分组主目录全复制式目录每个站点存放一个全局目录局部式目录每个站点只存放局部目录混合方式集中与局部混合全复制与局部式混合混合的关键是目录的划分 站点自治允许每个局部用户在与全局无关的前提下建立和命名其自己的局部数据 并允许若干用户共享这些数据的权利允许用户在各自站点独立定义数据允许不同用户在自己站点对同一数据命名以不同的名字允许不同站点上的不同用户使用相同名字访问不同数据 命名机制 SystemR为例 有两种命名机制 系统范围名4部分组成 创建对象的用户标识符用户所在站点名对象名对象的源站点名User 1 shanghai EMP beijing 是站点名的前置分隔符 是对象名的前置分隔符该例表示上海站点的用户User 1在北京站点上