分布式数据库的安全性与目录管理.ppt
《分布式数据库的安全性与目录管理.ppt》由会员分享,可在线阅读,更多相关《分布式数据库的安全性与目录管理.ppt(72页珍藏版)》请在咨信网上搜索。
1、徐俊刚()2007年2月2007年6月1.数据库安全性概述2.安全数据模型与多级安全数据库3.计算机系统与数据库系统的安全评估标准4.分布式数据库的目录结构和管理5.分布式数据库中权限保护和用户识别分布式数据库的安全性与目录管理 第7章两个方面保密性:即“私有”,控制属于自己的数据,包括数据的收集、存储、处理、传输和使用安全性:保护保密数据不被非法使用扩展来说保障DB数据的完整性(物理、逻辑和元素完整性)保障DB数据的保密性身份识别,访问控制,审计,隐蔽信道攻击、语义保密性等保障DB数据的可用性防止硬件系统引起的数据库破坏及时休复上述破坏拒绝和清除数据库垃圾1.1 数据库安全性的概念1 数据库
2、安全性概述三个方面数据存储在各个站点上存在的不安全因素访问各个站点上数据存在的不安全因素数据在各站点之间传输时存在的不安全因素综合起来分析,不安全因素有:黑客攻击(猎取用户口令、伪装、隐蔽通道、特洛伊木马、程序蠕虫、攻击电子邮件、突破防火墙等)病毒(病毒种类10几万种、破坏性更强、互联网环境有利于传播)网络环境的脆弱性OS安全DBMS安全网络协议安全(TCP/IP协议一开始没有考虑安全)1.2 分布式数据库的不安全因素1 数据库安全性概述DDB安全需求安全环节 各站点上存储安全、本地/远程访问安全、传输安全受破坏时的表现 非法用户对DB的访问;执行了不正确的修改;DB一致性,完整性被破坏,DB
3、中垃圾堆积,使DB不可用;数据库中数据的机密被泄漏提供服务DB有保密性,数据加密DB有一致性DB有可用性,防止/及时修复错误造成的恶意破坏对DB变化做跟踪记录1.3 分布式数据库安全需求和安全措施分析1 数据库安全性概述安全层次安全层次物理层用户层OS层网络层数据库系统1.3 分布式数据库安全需求和安全措施分析1 数据库安全性概述物理层物理层保护数据不受侵入者的物理破坏,传统方式用锁和钥匙等保护不受洪水,电力故障等数据恢复保护磁盘不被偷窃,清除,物理损坏等1.3 分布式数据库安全需求和安全措施分析1 数据库安全性概述用户层用户层防止保密字被盗,偷看主要的管理方法:经常变换保密字使用不可猜测的保
4、密字日志所有非法的访问数据审计仔细雇用人员1.3 分布式数据库安全需求和安全措施分析1 数据库安全性概述OS层次的安全层次的安全防止非法登录文件层访问保护(通常对DB安全作用不大)防止“超级用户”的不正确使用防止高级别优先权的指令的不正确使用1.3 分布式数据库安全需求和安全措施分析1 数据库安全性概述网络层安全网络层安全每个站点必须保证是与可信赖的站点通信链路必须保证没有被窃听和篡改方法:基于保密字的协议(password-based),密码学(Cryptography)1.3 分布式数据库安全需求和安全措施分析1 数据库安全性概述数据库系统层数据库系统层假定在OS,网络,人员,物理层都是安
5、全的数据库安全是:每个用户仅仅可以读/写部分数据用户可能对整个文件或关系有权,也可能仅仅只对文件或关系的一部分有权1.3 分布式数据库安全需求和安全措施分析1 数据库安全性概述用户帐户用户帐户DBA为用户创建一个帐号和口令每次用户登录都要输入帐号和口令保持数据库用户的账号和口令痕迹是必要的,可以通过建立一个加密表来实现每创建一个用户在加密表中添加一条记录每取消一个帐户,就从表中删除一个相应的记录保持用户和站点的操作痕迹也是必要的从用户登录开始,直到退出为止,这一段时间内的所有数据库交互记录都要记录下来,特别是更新操作,一旦数据库被篡改,就能知道是哪个站点的哪个用户进行的。1.4 分布式数据库的
6、用户帐户和数据审计1 数据库安全性概述数据审计数据审计也可以通过对系统日志的扩充来记录用户和相关操作的信息系统日志包括对分布式数据库的实施的每一个操作的入口项,事务故障和系统故障时就需要利用这些记录对数据库进行恢复如果怀疑出现了对数据库的任意篡改,就可以执行数据库审计审计扫描一段时间内的日志,以检查所有作用于数据库的存取动作和操作当发现一个非法的或未授权的操作时,DBA就可以确定执行这个操作的帐号数据库审计对于敏感性数据库非常重要,比如银行数据用于安全性的数据库日志,也叫审计跟踪1.4 分布式数据库的用户帐户和数据审计1 数据库安全性概述主体(Subject)引起信息流动或改变系统状态的主动实
7、体,如用户,程序,进程客体(Object)蕴含或接收信息的被动实体,信息的载体,如DB,表,记录,视图,属性等可信计算基实现安全保护机制的集合体(硬件、软件等)域主体有能力存取的客体集合安全级(Security Level)主体和客体的访问特权,一般主体安全级表示主体对客体敏感信息的操作能力,客体安全级表示客体信息的敏感度2.1 数据库安全术语和基本概念2 安全数据模型与多级安全数据库最小特权原理主体应该授予能够完成任务所需的最小存取权访问监控器监控主体和客体之间授权访问关系的部件信道系统内的信息传输通路隐蔽信道(Covert Channel)进程以危害系统安全的隐蔽方式传输信息的通信信道自主
8、访问控制(Discretionary Access Control)基于主体身份或主体所属组的身份或二者结合来限制对客体访问的方法.具有访问权的主体能自行决定其访问权直接或间接转授给别人强制访问控制(Mandatory Access Control)基于主体与客体各自所具有的敏感度标记的控制关系来决定主体对客体的访问,标记是由系统安全员指派,用户不能随意修改,更不能转让 2.1 数据库安全术语和基本概念2 安全数据模型与多级安全数据库敏感度标记表示客体和主体的安全级的一条信息。可信计算基使用它确实是否进行强制访问控制数据库的安全策略根据用户需求、安装环境、建立规则和法律等方面的限制来制定的,用
9、来描述访问规则和访问特征的关系有四类策略:安全管理策略、最小特权策略、访问控制分类策略、访问控制策略形式化安全保护策略模型安全保护策略的完整精确描述安全保护策略模型安全保护策略的非形式化描述2.1 数据库安全术语和基本概念2 安全数据模型与多级安全数据库权限控制权限控制当主体访问客体时,要进行访问的合法性检查.“知必所需”原则:限制用户只能知道授权他知道的那些数据对象(最小特权原则)数据库部分的权的形式:读权读权 -允许读,但是不能修改数据插入权插入权 -允许插入新数据,但不能修改已存在的数据修改权修改权 -允许修改,但不能删除数据删除权删除权 -允许删除数据2.2 基于授予/收回权限的自主访
10、问控制2 安全数据模型与多级安全数据库更新数据库模式权的的形式:索引权索引权 -允许创建和删除索引资源权资源权-允许创建新关系修改权修改权-允许增加或删除关系中的属性删除权删除权-允许删除关系权与视图用户可以将某个权授给视图视图可以通过限制用户访问的数据而加强数据库的安全性关系层和视图层的安全组合可以精确地限制用户只对其应用需要的数据访问2.2 基于授予/收回权限的自主访问控制2 安全数据模型与多级安全数据库权限控制权限控制授权与收权授权与收权Grant 语句Grant To With Grant OptionRevoke 语句Revoke From 2.2 基于授予/收回权限的自主访问控制2
11、 安全数据模型与多级安全数据库授权方式授权方式静态授权检查功能隔离功能:保证用户只访问已授权的数据对象控制访问:保证用户只能按他已得到的访问权的访问方式存取数据,不得越权DBMS必须要确定不同用户对不同数据对象的存取权数据对象的粒度由系统规定数据对象命名唯一DBA拥有访问全部数据对象的全权2.2 基于授予/收回权限的自主访问控制2 安全数据模型与多级安全数据库矩阵法称作安全矩阵法或存取检查矩阵法O代表数据对象,U代表用户各种存取权限R:读;U:修改;I:添加;D:删除元组;DR:删除关系矩阵S的元素 Sij=S(Ui,Oj)表示用户Ui对数据对象Oj的存取权,与数据对象的值无关.矩阵法简便有效
12、,OS的存取检查中广泛使用2.2 基于授予/收回权限的自主访问控制2 安全数据模型与多级安全数据库R,DR,URUn.R,DRRR,UU2R,IR,DR,DU1OmO2O1数据对象用户安全矩阵S2.2 基于授予/收回权限的自主访问控制2 安全数据模型与多级安全数据库按行存储法 按用户存储的权利表方法。用户Ui有一由偶对(Oj,Sij)组成的一维表行按列存储法按数据对象存储的权利表方法。数据对象Oj有一由偶对(Uj,Sij)组成的一维表列 2.2 基于授予/收回权限的自主访问控制2 安全数据模型与多级安全数据库安全矩阵法实现技术锁钥实现法矩阵法中按行存储与按列存储方法的结合每个用户Ui设立一个钥
13、表(O1,K1),(O2,K2),.(Om,Km),每个数据对象Oj设立一个锁表(L1,P1),(L2,P2),.(Ls,Ps),Ki:保密钥;Li:保密锁;Pi:存取权集合锁钥表由数据安全子系统管理若Ui对Oj存取权Pi时,查其Kj是否能与Oj中的某一Lk配对,若存在这样的Lk,使Kj=Lk,且Pi Pk,则批准存取.2.2 基于授予/收回权限的自主访问控制2 安全数据模型与多级安全数据库安全矩阵法实现技术口令实现法将锁钥法中的钥匙直接交给用户,则称口令法面向数据对象 每个数据对象有一个存取口令,用户通过出示其存取口令来访问数据对象.安全表集中管理,系统实现简单面向用户 每个用户或用户组一个
14、口令,口令表中存放该口令可以访问的对象列表简单口令表划分安全级别的口令表2.2 基于授予/收回权限的自主访问控制2 安全数据模型与多级安全数据库安全矩阵法实现技术面向用户的简单口令系统O1,O2,O9,O10PWnO5,O7,O9PW1能存取的数据对象口令2.2 基于授予/收回权限的自主访问控制2 安全数据模型与多级安全数据库划分安全级别的口令表12PWn75PW243PW11010PW-DBAWriteRead口令2.2 基于授予/收回权限的自主访问控制2 安全数据模型与多级安全数据库t1374t12t1143关系1WriteReadT231010T22T2174关系2WriteRead12
15、关系3WriteRead关系及元组的安全级表2.2 基于授予/收回权限的自主访问控制2 安全数据模型与多级安全数据库2.2 基于授予/收回权限的自主访问控制2 安全数据模型与多级安全数据库结论DBA所持口令的级别最高,可读写全部关系和元组。持有口令PW1的各用户可读写关系1中除元组t12之外的所有元组及整个关系3持有口令PW2的各用户可读写除元组t22之外的关系2、关系1和关系3的全部元组持有口令PWn的各用户,只能读写关系3动态授权方式用户对自己生成的关系拥有全权,通过授权和收权语句完成对数据开放,保密的存取权授予(Grant,Revoke)访问表(AT)法Userid:接受方用户;onam
16、e:授予的数据对象操作类型:R:Read;U:Update;I:insert;D:delete;DR:dropType:对象类型,t是表,V是试图Grantor:授予方用户操作类型:t:Time;g:转让,Y:允许;N:不允许;opt:限制,all:所有属性都允许,none:所有属性都不允许,some:某些属性允许视图法(略)2.2 基于授予/收回权限的自主访问控制2 安全数据模型与多级安全数据库N-N-N-NoneN-AllY40CrempXN30N30N30AllN30AllY30BrempXY20Y20Y20AllY20AllY20ArempCN-Y10Y10NoneN-AllY10Ar
17、empBY0Y0Y0AllY0AllY0-rempAgtgtgtoptgtoptgtdrdiurgrantortypeonameuserid动态授权方式的存取表AT2.2 基于授予/收回权限的自主访问控制2 安全数据模型与多级安全数据库发展历史D.E.Bell和 L.J.La Padula 于1973年模拟军事安全策略创建的计算机系统安全模型,74年改进,76年用于Multics操作系统形式化定义状态机模型它形式化定义了模型中的概念,证明了其中的定理和结论,并表明系统可通过数学推导证明其自身的安全性系统状态状态v V,V=(B M F H)B:当前存取集,B (S O A),S:主体集;O:客
18、体集;A:访问方式集合,有Read(R),Write(W),Execute(E),Append(A)2.3 多级安全BLP模型2 安全数据模型与多级安全数据库存取控制矩阵 M=m11 m1nmn1 mnn.mij A 表示Si主体对客体Oj的访问权集 F:安全级函数,有三个分量Fn:主体最大安全级函数Fc:主体当前最大安全级函数Fo:客体安全级函数 H:当前客体层次结构 H(O):以O为根的树中客体集合2.3 多级安全BLP模型2 安全数据模型与多级安全数据库状态转换规则:R V D VR V :系统中给请求定义的请求-状态对集合D V :系统中给请求定义的判定-状态对集合R:请求集 D:请求
19、的输出集 yes,no,?,errorYes:请求被执行;No:请求未执行;?:应用规则时遇到意外情况;error:应用规则时遇到错误模型公理简单安全特性V=(b,M,f,H)满足简单安全特性,当且仅当对任意 b=(s,o,x)B,有 x=e或者a 或者 x=r或者w 并且 fn(s)=fo(o)即主体读写或访问客体,要求主体的最大安全级别=客体的安全级别2.3 多级安全BLP模型2 安全数据模型与多级安全数据库*特性V=(b,M,f,H)对以主体集S S 满足*特性,当且仅当对任意b=(s,o,x)Bx=a fc(s)=fo(o)S是不可信主体该特性用以防止不可信主体引起的信息从高安全级向低
20、安全级的非法流动2.3 多级安全BLP模型2 安全数据模型与多级安全数据库自主安全特性V=(b,M,f,H)满足该特性,当且仅当对每个b=(si,oj,x)B,x MijSi对Oj可执行的读写访问集只能是Mij所允许的集合兼容特性客体层次结构H保持兼容特性,当且仅当对任意Oi,Oj O,有Oj H(Oi),fo(Oj)=fo(Oi),用于保持客体的安全级别是向树叶方向增高2.3 多级安全BLP模型2 安全数据模型与多级安全数据库1991年Jajodia和Sandhu提出的一种实现强制访问控制的RDB系统DAC和DAC自主访问控制,在关系上授权和收回特权强制访问控制,在安全类别基础上,对数据和用
21、户进行分类基础主体集S,客体集O每个主体s,存在固定的安全类class(S)每个客体o,存在固定的安全类class(O)简单安全特性:if class(O)=class(S)时,S可以读O(下读)*特性:if class(S)=class(O)时,S才可以写O(上写)2.4 基于安全性分类级别标记的强制访问控制2 安全数据模型与多级安全数据库基本概念安全标记基于标记的安全DB中,信息流动策略定义为一个格阵(SC,)SC:安全类的有限集 :定义在SC上的二元偏序关系每个安全类定义为(level,Scope)level:密级,分为绝密(TS),秘密(S),机密(C),普通(U)Scope:领域当A
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 分布式 数据库 安全性 目录 管理
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【胜****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【胜****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。