第七章分布式数据库的安全与管理

1、精选ppt1一、数据库安全概述二、安全数据模型与多级安全数据库三、计算机系统与DBMS的安全评估标准四、分布式数据库的目录管理五、分布式数据库总权限保护和用户识别|Internet的高速发展推动着分布式数据库的发展，但同时也增加了分布式数据库安全问题的复杂性，如何才能保证开发网络环境中分布式数据库的安全？|一般情况：数据库安全问题包含以下几个方面：（1）保障数据库数据的完整性： 1）物理完整性：保障数据物理存贮介质及物理运行环境的正确与不受侵害； 2）逻辑完整性：实体、域、引用； 3）元素完整性：客体数据元素的合法性、有效性、正确性、一致性、可维护性及防止非授权修改破坏。（2）保障数据库数据的

2、保密性：身份验证、访问控制等。（3）保障数据库数据的可用性：防止和减少恶性破坏，及时修复，拒绝和清除数据库垃圾。分布式数据库面临着两大类安全问题：一类是由单站点故障，网络故障等自然因素引起的： 1）OS安全的脆弱性 2）DBMS安全的脆弱性 3）网络协议的脆弱性 这类故障通常可利用网络提供的安全性来实现安全防护，所以说网络安全是分布式数据库安全的基础。另一类是由来自本机或网络上的人为攻击：黑客的攻击、病毒的攻击。 主要方式：窃听、重发攻击、假冒攻击、越权攻击、破译密文等。 针对这类安全隐患，分别介绍分布式数据库的安全关键技术：身份验证、保密通信、访问控制、库文加密、密码体制与密码管理|安全性受

3、到破坏的三种情形： （1）非法用户对数据库的访问 （2）对数据库执行不正确的修改操作（插入、删除、更新等） （3）数据库的一致性、完整性破坏，数据库内的垃圾堆积，使数据库不可用。分布式数据库的数据安全性包括： （1）数据存储安全； （2）数据访问安全（本地和远程）； （3）数据传输安全由各站点上的DBMS负责由分布式DBMS及其基于网络操作系统和相应的网络协议负责分布式数据库和DBMS作为信息数据的存储地和处理访问地，应对信息数据的安全存储和安全访问提供服务，并具有安全防范能力。主要包括：（1）要求数据库具有保密性:数据库中的数据以加密形式存放和能防止非法用户（本地和远程）的访问，保护数据的机

4、密不被泄露；（2）要求数据库具有完整性和一致性，能够防止不正确的数据操作或非法用户的恶意攻击；（3）要求数据库具有可用性，能够防止和及时修复因故障所造成的数据库恶性破坏，并拒绝和清除数据库垃圾；（4）要求数据库具有可控性，使系统能够控制和调整各类用户对数据库的访问权限；（5）要求能对数据库变化作跟踪记录，以保证实现行为的不可否认性。|传输信息的安全在分布式数据库系统中显得更加重要，主要由网络操作系统及其有关传输协议保证。|对于高度敏感的数据在传输中采用以密码学为理论基础的各种数据加密 /解密的技术和措施。|数据加密：加密密钥控制算法 明文(Plain Text) 密文(Cipher Text)

5、数据加密标准DES(Data Encryption Standard)1、数据库安全术语与基本概念2、权限控制与授权方式3、多级安全BLP模型4、基于标记的多级安全数据库 |主体（subject）：引起信息流动或改变系统状态的主动实体。数据库系统中指各类用户、代表用户的进程。客体（object）：蕴涵或接收信息的被动实体，信息的载体。数据库系统中指数据库，表，记录，属性，视图可信计算基TCB（Trusted Computing Base）：DBMS中，实现安全保护策略的机制的一个集合体（包含硬件、固件、软件）域（Domain):主体有能力存取的客体集合。安全级(Security Level)：

6、主体和客体的访问特权。 一般，主体的安全级表示主体对客体敏感信息进行操作的能力；客体的安全级表示客体信息的敏感度。敏感度标记（Sensitivity Lable) ：表示客体和主体的安全级的一条信息，用来确定是否进行强制访问。最小特权原理（Least Privilege Theorem)：系统中的每个主体执行授权任务时，应被授予完成任务所需的最小存取权。访问监控器（Reference Monitor Concept):监视主体和客体之间授权访问关系的部件。信道（Channel):系统内的信息传输通路。隐蔽信道（Covert Channel):进程以危害系统安全的隐蔽方式传输信息的通信信道。 固

7、件（Firm-ware）: 被写入设备硬件中的只读内存上的软件数据库安全的实现涉及法律、社会、政府行为、管理等诸多方面的问题，现在大多数国家有数据保护法案，记录私人信息的数据库拥有者应确保其数据不被未授权的用户访问，实际上大多数这样的问题与DBMS本身无关而且完全超越了DBMS的控制范围，DBMS提供的基本安全机制是对数据对象的访问权进行控制。建立安全机制首先需要确定安全的基本单位（即:最小数据对象粒度：从属性、元组、关系直到整个数据库。)系统支持的数据粒度划分越细，访问控制就越精确。 一个粒度划分较细的系统比划分粗糙的系统能更好的管理数据。 若粒度为整个数据库，安全系统的基本工作是维护一个授

8、权用户表，记录每个用户所拥有的访问权（读、更新、插入、删除）; 若粒度为属性，则须为每个属性存储安全性信息。访问粒度的划分有： 1）与值相关方法：如允许存取学生关系S中分数在60分以下的元组；相应的存取检查叫与值相关存取检查； 2）与值无关方法：如允许某用户存取学生关系S；相应的存取检查叫与值无关存取检查。|访问检查主要完成两项功能： 隔离功能：保证用户只能访问他已授权的数据对象； 控制访问：保证用户只能按他已得到的访问权的访问方式存取数据，不得越权。|用户对数据对象访问权的分配方式： 1）静态授权方式； 2）动态授权方式。 |静态授权方式：DBMS的数据安全系统确定不同用户对不同数据对象的存

9、取权，数据对象的粒度由系统规定（数据库设计时确定），各数据对象由系统唯一命名，规定DBA拥有访问全部数据对象的全权（All Privileges)。|实现方法：安全矩阵法或存取检查矩阵法用 户数 据 对 象O1O2OmU1U2:UnR,DR,U:RR,DR:R,UR,IR,DR:R,D 安全矩阵S的元素Sij=S(Ui,Oj)表示用户Ui对数据对象Oj所拥有的存取权|安全矩阵法是一直简便有效的方法，在OS的存取检查中广泛应用。|安全矩阵法一般是一个很大的稀疏矩阵，不可能全部存放在主存，则其实现一般不能直接用二维矩阵，而使用以下几种实用技术： （1）按行存储法：对每个用户Ui有一由偶对(Oj ,

10、 SiJ)组成的一维表列。偶对(Oj , SiJ)称为权力，组成的一维表称为权力表。 （2）按列存储法：对每个数据对象Oj有一由偶对(Ui , SiJ)组成的一维表列,称为 存取检查表。 （3）锁钥法：以上两种方法结合起来，产生锁钥法。 系统为每个用户设立一个钥表(O1，K1)， (O2，K2)， (Om，Km)为每个数据对象设立一个锁表(L1，P1)， (L2，P2)， (LS，PS),其中K1 Km 为保密钥，L1 Lm 为保密锁， P1 Pm 为不同的存取权集合。 当用户Ui欲对某数据对象Oj行使存取权P1时，数据安全子系统就检查K1是否能和Oj 锁表中的某一Lk匹配。若存在某一Lk,

11、使Kj=Lk且PPi,则批准有关存取。 若要解除某用户Ui对某数据对象Oj的存取权， 若要解除所有用户Ui对某数据对象Oj的存取权， (4)口令法：如果将锁钥法中的钥匙直接交给用户，称之为口令，即得保护数据安全得口令法。 分为两种形式： 一种面向数据对象：对每一数据对象标以存取口令 一种面向用户：每个用户或每个组用户一个口令 只须清除相应的Kj只须更改保密锁Lj|动态授权方式：用户对自己生成的关系拥有全权。若要将这种数据对象开放出来共享，则可通过授权语句对外转授，通过回收语句回收存取权。 (1) 授权语句（SQL): GRANT privilege_list ON object TO user

12、_list WITH GRANT OPTION REVOKE privilege_list ON object FROM user_list (2) 存取表法 为了实现动态授权方式，可以采用存取表示法。 P173表7.5 (3）视图法 利用视图可以对数据进行保护。如不授予用户基本表的访问权但可授予他视图的访问权。 DEFINE VIEW SEMP AS SELECT ENO,NAME,DNO,SALARY FROM EMP WHERE SALARY500AND DNO=C01 - 只给某用户授予视图SEMP的访问权，而未授予他表EMP的访问权。 |主要有4种：（1）Need-to-know需要

13、知道（知必所需） 需要知道才让你知道若一个用户需要对一组特定的数据进行读（写）操作则该用户才被授予对那组数据的且仅对那组数据的读（写）权。适用于军事和其他高安全需求的应用领域（2）最大共享尽可能实现数据共享，被保护的数据只是数据库中那些真正需要保护的数据。对于商业信息数据库，数据共享是主要目的。（3）开发策略：用户缺省地具有对所有数据的访问权，除非显示说明某数据的访问是被禁止的。 促进共享 缺点是当访问控制规则遗漏或意外被删，导致保密数据公开。（4）封闭策略：除非某用户显示地授予对某数据库地访问权。 默认：所有数据都是不可访问的。 安全但不利于数据共享。|构造一个形式化的安全模型并证明其正确，

14、并特定用于一个系统的设计中，可以使得一个系统的安全性得到最大限度的保证。(是数据库管理系统的安全保护策略的完整精确的陈述）|目前存在各种各样的安全模型，重点介绍 三种：（1）有穷状态机模型（finite-state machine model）当前大多数安全模型的基础将系统描述成一个抽象的数学状态机，其中状态变量（state variables）表征机器状态，转移函数（Transition Function）描述状态变量如何变化。只要该模型的初始状态是安全的，并且所有的转移函数也是安全的，则数学推理的必然结果是：系统只要从某个安全状态启动，无论按何种顺序调用系统，系统总是在安全状态。|一个简单

15、的有穷状态机安全模型：状态变量： S：当前状态所有主体的集合 O：当前状态所有客体的集合 Subj_sec_lev(s)：主体S的安全级 Obj_sec_lev(o)：客体O的安全级Access_mode(s,o)：主体S对客体O的访问模式值域为r, w, r, w, ，即集合r, w的幂集，其中为空集。|系统是处于安全状态，需满足： 在该状态对所有s S, o O, 如果 r access_mode (s, o), 则subj_sec_lev(s)obj_sec_lev(o) (主体安全级高于客体安全级） 如果w access_mode(s, o), 则subj_sec_lev(s) obj

16、_sec_lev(o) (主体安全级低于客体安全级） 系统初态：S ，O 显然是安全的|系统转移函数Creat_object(o, olev): if o O， then O=O o, 并且obj_sec_lev(o)=Olev 对s S，access_mode(S, O)= if subj_sec_lev(s)olev, then access_mode(s,o)=r if subj_sec_lev(s) olev, then access_mode(s,o) =access_mode(s,o) wCreat_subject(s, slev): if s S, then S=S s, sub

17、j_sec_lev(s)=slev, 对 o O，access_mode(s, o)= if slevobj_sec_lev(o) then access_mode(s, o)=r if slev obj_sec_lev(o) then access_mode(s, o) =access_mode(s,o) w一个极其简单的有穷状态机模型，表示一个系统从没有一个主体和客体开始启动，通过且只通过创建一个主体或客体来表达到下一个状态不难证明，当系统由一个安全状态，执行Create_object(o, olev) 或Create_Subject(s,slev)后，系统仍然处于安全状态（2）存取矩阵模

18、型(access matrix model)用户客体（数据对象）O1O2O3U1R,DR,DU2R,UR按行存放，权限表Capabilitylist按列存放，存取控制表（accessControllist).ACL:将主体对客体的存取权限交给客体的拥有者去制定强制型存取控制：对于系统中客体的安全，由系统确定一个主体能否访问一个客体常与自主存取控制策略联系在一起，对于系统中客体的安全，由客体的用户或具有特定特权的用户来制定，主要是规定别的用户能以怎样的方式访问该客体|BLP安全模型（Bell_La Padula模型的简称）-一个形式化安全数据模型的典型实例 每个模型都是将现实中的某些方面加以抽象

19、而得到的。BLP安全模型就是以军事部门的安全控制作为其现实基础，恰当地体现了军事部门的安全策略，然后用到计算机的安全设计中，BLP模型在操作系统Multies中得到成功应用。Multies是安全OS的最早尝试，1965年由AT&T和MIT联合开发，从商业角度看，Multies并不成功，从安全性角度看，Multies迈出了安全OS设计的第一步。|军事部门中两种最重要的安全控制方法是： （1）强制存取控制（Mandatory Access Control) （2）自主存取控制（Discretionary Access Control)通过“安全级”来进行，安全级含“密级”和“部门集”。 密

20、级：无密，秘密，机密，绝密 主体和客体均被赋予“安全级”主体：人作为安全主体，其部门集表示他可以涉及哪些范围内的信息。客体：一个信息的部门集则表示该信息涉及的范围。规则：a. 主体的安全级高于客体，当且仅当主体的密级高于客体的密级且主体的部门集包含客体的部门集；b. 主体可以读客体，当且仅当主体安全级高于或等于客体；c. 主体可以写客体，当且仅当主体安全级低于或等于客体。（2）自主存取控制：主体对其拥有的客体，有权决定自己和他人对该客体应具有怎样的访问权限。最终结果是：主体要获取对客体的访问，必须通过每一种安全控制设施(即引用监控器）。引用监控器（Reference Monitor）：对信息存

21、取进行合法性检查。其机制就是采用BLP模型，实质上就是对强制性存取控制等安全策略进行形式化定义。 BLP安全模型是多级安全策略最著名的形式，采用有穷状态机来作为构造基础模型形式化： 首先，定义对于一个给定的状态，怎样就是安全的： 定义：（1）系统状态V v V=(BMFH） S主体集合 O客体集合 A访问方式集合A=r,w,e,aM为存取控制矩阵 M11 M1n M21.M2nM= . Mn1.MnnMij：表示主体Si可对客体Oj的访问权限的集合F为安全级函数，每个主体有最大安全级和当前安全级，每个客体有一个安全级H为当前客体层次结构：oO，H(O)为以O为根的树中客体的集合，任一客体不具有

22、多个父客体且不存在循环（2）状态转换：由一组操作规则定义：RV DVR：请求等； D：请求的输出集，D=yes, no, ?, errorRV：请求一状态对集合；DV：判定一状态对模型公理模型规定一个安全的状态必须满足的特性：（1）简单安全特性（Simple Security Property）一系统状态V=(b, M, f, H)满足简单安全特性，当且仅当对任意b=(s, o, x) B：xe或a，或xr或w且fn(s)fo(o) 主体读写或访问客体，主体的最大安全级须大于或等于客体的安全级（一个主体可以读一个客体，则客体的安全级不能比较主体的最大安全级等）（2）特性（ Property）

23、系统状态V=(b,M,f,H)对以主体集 满足 特性，当且仅当b=(s,o,x)B ：|主体对客体有“只写”（append）权限，则客体安全级至少和主体的当前安全级一样高 X=a fc(s)fo(o)|主体对客体有“读”（read）权限，则客体安全级不会比主体的当前安全级高 X=r fc(s)fo(o)|主体对客体有“写”（readwrite）权限，则客体安全级等于主体的当前安全级采用MAC（Mandatory Access Control）安全策略的BLP，由简单特性和特性组成，通过安全级来强制约束主体对客体的存取。（3）自主安全性（Discretionary Access Control）

24、z系统状态V=(b,M,f,H)满足自主安全特性，当且仅当，对每个b=(si,oj,x)B，xMij采用DAC（Discretionary Access Control），通过存取控制矩阵按用户的意愿限制主体对客体的存取。（4）兼容特性（Compatibility Property） 客体层次结构H保持兼容特性，iff Oi,OjO，且OjH(fo(oi) fo(oj) fo(oi) 在对客体树型结构中保持客体的安全级是向树叶方向增高。SS 敏感度标记（Sensitivity Label）：表示客体和主体的安全级的一条信 息，可按计算其使用敏感标记确定是否进行强制访问控制。信道（Channel

25、）：系统内的信息传递通路。隐蔽信道（Covert Channel）：进程以危害系统安全的隐蔽方式传输信 息的通信信道基于标记的多级安全数据库 一种实现了强制访问控制的关系数据库系统 1991年，Jajodia, Sandha提出，基于BLP模型，在一般关系模型的基础上增加了安全类别1.BLP模型的安全特性 BLP模型从形式化的角度描述了安全系统中所允许的信息流动路径。 一个安全数据库系统，包括主体安全集合S，客体集合O 对S中的每个主体s和O中的每个客体o，存在固定的安全类SC(s),SC(o) 具有一下两个特性： （1）简单安全特性：当且仅当SC(o)SC(s)时，主体s才可以读客体o（下读

26、） （2）特性：当且仅当SC(s) SC(o)时主体s才可以写客体o（上写）2.基于标记的多级安全数据库的基本概念（1）安全标记：在基于标记的多级安全数据库中，信息流动策略定义为一个格阵(SC,) SC：安全类的有限集 ：定义在SC上的二元偏续关系 安全类（level, Scope） level密级：绝密（3）；机密（2）；秘密（1）；普通（0） Scope领域 AB：A类信息的安全级等于或低于B类安全级，允许A类信息流向B类信息。安全评估标准一、计算机系统的安全评估标准|1983，米国国防部（DOD）于1983年推出了“可信计算机系统评估标准”TCSEC（Trusted Computer S

27、ystem Evaluation Criteria）或称“桔皮书”（Orange Book）|1990，欧洲四国推出欧洲：信息技术安全评估标准ITSEC|1998年，美、加和欧洲四国联合研制信息技术安全评测公共标准CC（Common Criteria for IT Security Evaluation）TCSEC将安全保护分成四等，每等又包含一个或多个级别，公8级：最低保护等级D：不满足任何较高级别安全可信性条件的系统归为D类。自主型保护等级 C1：具有一定的自主型存取控制（DAC）机制。 C2：具有更细粒度（到每个单独用户）的自主型存取控制机制，而且引入了审计机制。强制型保护等级 B1：满

28、足C2级所有要求，且需要具有所用安全策略模型的非形式化描述，实施了强制型存取控制(MAC)。 B2：系统的TCB是基于明确定义的形式化模型，并对系统中所有的主体和客体实施了自主型存取控制(DAC)和强制型存取控制(MAC)。另具有可信通路机制，系统结构化设计，最小得数管理以及及时隐通道的分析和处理等。 B3：系统的TCB设计要满足能对系统中所有的主体和客体的访问进行控制。TCB不会被非法窜改。且TCB设计要非常的小巧和结构化以便于分析和测试其正确性。支持安全管理者的实现。审计机制能实时报告系统的安全性事件，支持系统恢复。验证型保护等级 A1：从实现的功能上看，他等同于B3级。其特色在于形式化的

29、顶层设计规则。形式化验证FTDS与形式化模型的一致性和由此带来的更高的可信度。 A1以上：比A1级可信度更高的系统归入该级。 美国政府认为达到C2评估标准的计算机系统配置的安全协议已足够严格，可以放心用于非机密但敏感的数据。 Microsoft Windows NT 3.5和Windows NT 4.0已成功通过了TCSEC和ITSEC的C2评估。而Windows 2000及其后续版本，将接受“通用标准”的评估。 “通用标准”是一项国际性标准。因此一个国家的评估机构在“通用标准”下发布的评估结果受到国际承认。在“通用标准”下，各类产品（e.g. OS）根据“保护配置文件”的要求接受评估，保护配

30、置文件规定了对产品的功能要求。可以判定各种“保护配置文件”以应用与期望满足安全需求的OS、防火墙、密码卡或其他产品。二.数据库管理系统的安全评估标准 1991年，美国国家计算机安全中心根据TCSEC（桔皮书），制定了“可信计算机系统评估标准的可信数据库管理系统说明（TDI）”（紫皮书），给数据库管理系统的安全评估制定了标准，共四类，七个等级，25条评估标准。三.当前流行的集中RDBMS安全机制 当前流行的数据库管理系统ORACLE、IMB DB2、syBASE、INFORMIX、Microsoft SQL Server等，支持客户机/服务器模式和分布式数据库，在实现数据库安全的技术和效果方面有

31、其共性（虽具体做法或命令格式有区别） （1）权限（Privilege）和授权（Authorization） 大都支持标准SQL中的权限授予语句GRANT(REVOKE) （2）角色（Roles） 角色用户的一种特殊身份，是为特定的用户或用户组通过GRANT语句定义的一组标准权限 系统角色：系统预先定义的，并授予它们管理和控制系统所必须 的各种权限 用户定义角色：通过命令或过程调用方式来定义的。 Create role或SP-role （syBASE） 系统角色在各个RDBMS中的名称和职责有所不同。 e.g. |IBM DB2中，DBA的任务由三种系统角色：系统管理员（具有系统管理权和DB管理

32、权）、系统维护员（系统维护权）、系统控制员（系统控制权）共同完成。|syBASE中，DBA的任务由系统管理员（SA），系统安全员（SSO），系统操作员（OPEB）共同完成。|INFORMIX中，DBA具有最高权限，甚至可以删除任何数据库对象而考虑对象的拥有者。|ORACLE中，DBA具有对数据库的系统权，强大的系统权可在系统范围内执行各种操作。（3）身份认证（Authentication）z确认某人是他自称的人，并检查其合法性。 三级：系统登录、数据库连接、数据库对象使用用户名/口令登录OS/NOS登录DBMS访问DBOS或NOS验证身份DBMS验证身份DBMS验证权限（4）自主访问控制（Di

33、scretionary Access ControlDAC）z根据用户的身份或角色来控制对数据库及数据库对象的访问。是对数据库访问的一种限制。z访问控制是自主的。z采用著名的存取矩阵模型来实现自主访问控制一张二维表，描述用户对数据库及其对象的访问权限，通过GRANT来建立。（5）审计（Auditing）z审计是通过跟踪并记录用户对数据库和/或数据库对象的创建、修改、删除，特定角色激活的用户的所有活动，权限的授予、回收，数据库数据的装入、卸载，用户注册或推出。（6）用作安全的视图、存储过程和触发器z当前RDBMS的安全机制，大都符合DOD颁发的TCSEC的C类的C1级或C2级要求。|但是，当前信

34、息系统所基于的网络化的开放环境，提高了数据集成的优越性，却降低了分离系统所固有的安全性。|为适应开发信息系统的网络化新环境，产品版本的升级其重要改进是： 安全机制的改经，目标是实现多级安全机制，并努力达到TCSEC的B类标准B1或B2ORACLE：（Trusted ORACLE）是一个多级安全数据库服务器。作为多级安全标志的两个特征：强制访问控制、使用标签。z在任何一个用户访问数据库之前，首先对它进行强制访问控制。z数据库中的每一行都有安全标签，用以表示该行数据的敏感度。 上等（同级等）：每一用户可以写的数据的敏感度标签，须与当前任务的敏感度标签相同。 下等：每一用户可以读的数据的敏感度标签必须小于或等于他当前任务的敏感度标签syBASE：与TRM合作开发符合TCSEC的B类标准 的syBase安全服务器l是网络数据库服务器。INFORMIX：联机/安全动态服务器。IBM DB2：对用户的身份验证作改进。 当一个数据库实例载服务器上被创建或 被编目时，就为该实例指定一个认证类 型，决定对其访问时，对用户进行验证 的位置和方式。 认证类型：CLIENT SERVER DCS分布式DBMS的安全z在分布式数据库中，