Nghiên cứu về đa an toàn
Hệ thống quản lý cơ sở dữ liệu quan hệ
Yong-jae Ma, Jong-bok Ji, Eun-hae Kim, Yoon Sung-min và Lee Seung-
chan
{Neverbass, rdrstby, ekim, smyoon, chanyi} @ emerald.yonsei.ac.kr
Tóm tắt
Chúng tôi đầu tiên khảo sát các khái niệm cơ bản liên quan nhất các
khái niệm bảo mật cơ sở dữ liệu và tóm tắt các kỹ thuật nổi tiếng nhất.
Chúng tôi tập trung vào hệ thống kiểm soát truy cập, trên đó có các nghiên
cứu lớn đã được dành và mô tả các mô hình kiểm soát truy cập chính, cụ thể
là các mô hình điều khiển truy cập tùy ý và bắt buộc kiểm soát models. Sau
đó chúng tôi sẽ trình bày một khảo sát của Cơ sở dữ liệu đa quan hệ quản lý
an toàn. Các RDBMS an toàn đa cấp (hệ thống quản lý cơ sở dữ liệu quan
hệ) sẽ được trình bày và so sánh. Nghiên cứu này giới thiệu MLS, và vạch ra
những thách thức và phức tạp của việc xây dựng một RDBMS an toàn đa
cấp.
1.Giới thiệu
An ninh máy tính là có liên quan với khả năng của một hệ thống máy
tính để thực thi một chính sách an ninh Chính phủ về công bố thông tin, sửa
đổi, hoặc phá hủy các thông tin. Các chính sách an ninh có thể được tổ chức
cụ thể, hoặc có thể chung chung. Ví dụ, Bộ Quốc phòng an ninh bắt buộc
(hoặc nhiều mức bảo mật) hạn chế truy cập đến thông tin mật cho nhân
viên. Tùy ý các chính sách an ninh, mặt khác, xác định các hạn chế truy cập
dựa trên danh tính của người dùng (hoặc nhóm), các kiểu truy cập (ví dụ, lựa
chọn, cập nhật, chèn, xóa), đối tượng cụ thể được truy cập, và có lẽ các yếu
tố khác ( thời gian trong ngày, có chương trình ứng dụng đang được sử
dụng, vv.) các loại khác nhau của người sử dụng (quản lý hệ thống, quản trị
cơ sở dữ liệu, và người dùng thông thường) có thể có quyền truy cập khác
nhau với dữ liệu trong hệ thống. Truy cập điều khiển thường được tìm thấy
trong các hệ thống cơ sở dữ liệu nhất là những ví dụ của các điều khiển truy
cập tùy ý. Đa bảo mật (MLS) là một khả năng cho phép thông tin với nhau

độ bảo mật thấp nhưng có cùng một phím chính là hàng dữ liệu ở cấp độ bảo
mật cao hơn.
Xây dựng một RDBMS đa an toàn do đó đặt ra những thách thức đáng
kể cho cộng đồng nghiên cứu cơ sở dữ liệu. Ví dụ, an toàn cơ sở dữ liệu giao
thức giao dịch đã được phát triển, và một giải pháp hoà giải các yêu cầu trái
ngược nhau giữa dữ liệu toàn vẹn và bảo mật đã được tìm thấy. MLS cũng
đặt ra những thách thức đáng kể cho các nhà cung cấp cơ sở dữ liệu như xây
dựng một RDBMS an toàn đa cấp thường đòi hỏi xây dựng lại các phần của
một RDBMS thương mại hiện có.
Hiện đã có nhiều nghiên cứu trong vòng hai thập kỷ qua, như vậy trong
RDBMS đa diện tích an toàn. Như nghiên cứu đã đề cập khía cạnh cụ thể
của xây dựng một RDBMS đa an toàn như các giao thức giao dịch an toàn,
hệ thống kiến trúc, hoặc polyinstantiation, và có một tập phong phú của các
ấn phẩm về những khía cạnh cụ thể. Tuy nhiên, đa an toàn RDBMS nghiên
cứu văn học đáng ngạc nhiên thiếu các loại ấn phẩm này sẽ cho phép một
người nào đó để có được một sự hiểu biết tốt về những gì nó cần để xây
dựng một RDBMS an toàn đa cấp như một toàn thể, cũng như là để phục vụ
hướng dẫn nhanh cho những người có thể suy nghĩ về xây dựng RDBMS.
Hơn nữa, thời hạn bảo mật nặng nề quá tải trên các thông tin Công nghệ
(CNTT) và thường có nghĩa là ngành công nghiệp khác nhau đối với mọi
người từ khác nhau nguồn gốc là không chỉ có RDBMS đa an toàn, nhưng
cũng có nhiều mức an toàn điều hành hệ thống, mạng lưới an toàn đa cấp, đa
cấp máy chủ web an toàn, vv.
Ngoài việc là nặng nề quá tải, MLS thường không chính xác được sử
dụng thay thế cho nhau với các thuật ngữ tiếp thị mới nổi như Label-Based
Access Control (LBAC), Row-Level Security, và những người khác. Tất cả
điều này làm cho nó vô cùng khó khăn cho những người không được trực
tiếp tham gia thiết kế hoặc xây dựng một RDBMS đa an toàn để có được
một sự hiểu biết tốt về những gì nó thực sự cần để xây dựng một RDBMS an
toàn đa cấp.

phép phân loại thông tin với nhau có sẵn trong hệ thống thông tin, với người
sử dụng có khác nhau giải phóng mặt bằng an ninh, trao quyền, trong khi
ngăn chặn người dùng truy cập thông tin mà họ không được xóa hoặc uỷ
quyền. Ví dụ, một hệ thống MLS có thể xử lý cả dữ liệu tài sản thế chấp mật
và tối mật và có một số người dùng giải phóng mặt bằng tối đa là bí mật.
Một hệ thống MLS có thể có tất cả các người dùng ở cấp độ mật, tối mật,
nhưng có khả năng phát hành thông tin thuộc bí mật để một mạng lưới bao
gồm các chỉ thị bí mật của người dùng và hệ thống. Trong mỗi trường hợp
này, hệ thống phải thực hiện cơ chế để cung cấp sự đảm bảo rằng chính sách
bảo mật của hệ thống được thực hiện nghiêm túc.
MLS đã dẫn đến một sự thay đổi từ cung cấp bảo mật thông qua điều
khiển vật lý, thủ tục hành chính, và an ninh để cung cấp bảo mật bằng cách
sử dụng máy tính và giao tiếp an ninh.
2.1 Các đa an ninh Model Bell-LaPadula
Mô hình cơ bản của MLS lần đầu tiên được giới thiệu bởi Bell và
LaPadula. Mô hình này quy định về đối tượng. Một đối tượng là một thực
thể thụ động như một tập tin dữ liệu, một bản ghi, hoặc một lĩnh vực trong
đĩa hát. Đề A là một quá trình hoạt động đó có thể yêu cầu truy cập tới các
đối tượng. Mỗi đối tượng được chỉ định một phân loại, và mỗi một chủ đề
giải phóng mặt bằng. Phân loại và giải phóng mặt bằng được gọi chung là
nhãn. Nhãn A là một phần của thông tin mà bao gồm hai thành phần: A phân
cấp thành phần và một bộ các khoảng không có thứ tự. Việc phân cấp xác
định thành phần nhạy cảm của dữ liệu. Ví dụ, một tổ chức quân sự có thể
xác định mức độ tối mật, bí mật và Unclassified. Các ngăn thành phần là
nonhierarchical. Ngăn được sử dụng để xác định khu vực nhạy cảm hoặc mô
tả các loại dữ liệu có nhãn. Ví dụ, một tổ chức quân sự NATO có thể xác
định khoang, hạt nhân và quân đội. Nhãn là một phần đặt hàng trong một
mạng như sau: Với hai nhãn L1 và L2, L1> = L2 nếu và chỉ nếu các thành
phần phân cấp của L1 lớn hơn hoặc bằng L2, và thành phần các ngăn của L1
bao gồm các thành phần ngăn của L2. L1 được cho là chiếm ưu thế L2. MLS

sản bảo đảm đơn giản và tài sản của *-Bell-LaPadula MLS mô hình để bảo
vệ dữ liệu của các cấp bảo mật khác nhau. Phòng A cũng cung cấp các tính
năng MAC.
Hệ thống đại diện của các lớp cao hơn trong phòng B và Phòng A có
nguồn gốc an ninh thuộc tính nhiều hơn từ thiết kế của họ và cơ cấu thực
hiện chỉ đơn thuần bảo đảm tính năng hoặc chức năng. Tăng cường bảo đảm
rằng các tính năng cần thiết là chính xác, và tamperproof trong mọi trường
hợp là đã đạt được thông qua từng bước thiết kế nghiêm ngặt hơn, thực hiện
và phân tích trong quá trình phát triển. Bộ phận Một yêu cầu thiết kế chính
thức (ví dụ, toán học) và các kỹ thuật xác minh để cung cấp sự đảm bảo về
Phòng tăng B. Hệ thống đa an toàn có liên quan với TCSEC sư đoàn B và A.
3. Kiến trúc đa RDBMS An toàn
An toàn các kiến trúc đa RDBMS có thể được chia thành hai loại nói
chung, tuỳ thuộc vào việc bắt buộc kiểm soát truy cập được thực thi bởi các
RDBMS tự mình hoặc giao cho một hệ điều hành đáng tin cậy. Hai loại nói
chung là Woods Hole Kiến trúc và Kiến trúc Đối tượng Trusted.
3.1. Kiến trúc Woods Hole
Các Woods Hole kiến trúc là kết quả của nghiên cứu ba tuần trên dữ liệu
đáng tin cậy quản lý tài trợ của không quân Mỹ tại Woods Hole,
Massachusetts, Hoa Kỳ trong năm 1982. Các chủ đề của nghiên cứu này là
như sau: Chúng ta có thể xây dựng một đa an toàn RDBMS sử dụng hiện tại
không đáng tin cậy lập sẵn-RDBMS, với thay đổi tối thiểu?
Các Woods Hole kiến trúc giả định rằng không đáng tin cậy lập sẵn-
RDBMS là được sử dụng để truy cập dữ liệu và mã đáng tin cậy được phát
triển xung quanh đó RDBMS để cung cấp một tổng thể an toàn RDBMS.
Chúng có thể được chia thành hai loại chính: Các kernelized kiến trúc và các
kiến trúc phân phối.
3.1.1. Kiến trúc Kernelized.
Các kiến trúc Kernelized sử dụng một hệ điều hành đáng tin cậy và
nhiều bản sao của một RDBMS off-the-shelf, trước hết mỗi bản sao liên kết

RDBMS cao
RDBMS thấp
Hệ điều hành đáng tin cậy
Dữ liệu
cao
Dữ liệu
thấp
Hình 1: Đa an toàn kernelized RDBMS kiến trúc.
3.1.2 Kiến trúc phân phối.
Các kiến trúc phân phối (hoặc tái tạo) là một biến thể của kiến trúc
kernelized. Nó sử dụng nhiều bản sao của tin cậy cuối trước và RDBMS, kết
hợp lưu trữ với mỗi cơ sở dữ liệu riêng của mình. Trong sơ đồ này, kiến trúc
một RDBMS ở 1 mức độ bảo mật có chứa một bản sao của mỗi mục dữ liệu
mà một đối tượng ở cấp 1 có thể truy cập. Do đó, khi dữ liệu được lấy ra,
RDBMS của nó chỉ lấy từ cơ sở dữ liệu riêng của mình. Một lợi ích của kiến
trúc này là dữ liệu được tách biệt vật lý vào cơ sở dữ liệu phần cứng riêng
biệt. Tuy nhiên, kết quả đề án này trong một chi phí bổ sung khi dữ liệu
được cập nhật khi các bản sao khác nhau cần phải được giữ trong sync.
3.2 Trusted đối tượng kiến trúc.
Các kiến trúc chủ đề đáng tin cậy là một chương trình có chứa một
RDBMS tin cậy và vận hành một hệ thống đáng tin cậy. Theo kiến trúc này,
các chính sách kiểm soát truy cập bắt buộc được thực thi bởi các RDBMS
chính nó. Các đối tượng cơ sở dữ liệu (ví dụ, một bảng) được lưu trữ trong
đối tượng điều hành hệ thống (ví dụ, một tập tin) có nhãn ở cấp độ bảo mật
cao nhất. Một bảng cơ sở dữ liệu có thể chứa hàng với mức độ bảo mật khác
nhau. Hàng này được phân biệt dựa trên mức độ bảo mật của họ đó là lưu trữ
một cách rõ ràng với mỗi hàng.
Kiến trúc này được gọi là "đáng tin cậy chủ đề" vì RDBMS là đặc
quyền để vi phạm chính sách MAC của hệ điều hành khi truy cập vào các
đối tượng cơ sở dữ liệu. Ví dụ, khi một người sử dụng với một truy vấn an

cũng cần thiết để bảo vệ chống lại các mối đe dọa bảo mật có thể phát sinh
từ việc thực thi cơ sở dữ liệu ràng buộc toàn vẹn trên dữ liệu từ cấp độ bảo
mật. Để minh họa điều này mối đe dọa cho bảo mật, xem xét các bảng cơ sở
dữ liệu sau đây thuộc tính "Tàu vũ trụ" là khóa chính, và thuộc tính "nhãn"
đại diện cho hàng dữ liệu cấp độ bảo mật.
Tàu vũ trụ Điểm đến Nhãn
Doanh nghiệp Hỏa tinh Cao
Giả sử một người dùng với một mức độ bảo mật thấp muốn chèn tuple
(Doanh nghiệp, Hỏa tinh, thấp). Từ một quan điểm hoàn toàn là cơ sở dữ
liệu, nạp này phải bị từ chối vì nó vi phạm các ràng buộc khoá chính. Tuy
nhiên, từ chối này có thể được chèn đủ để thỏa hiệp bảo mật như là người
dùng với mức độ bảo mật thấp. Doanh nghiệp là một nhiệm vụ với một mức
độ bảo mật cao hơn. Polyinstantiation là một giải pháp cho vấn đề này. Nó
mở rộng khái niệm về khóa chính bao gồm mức độ bảo mật để có nhiều hơn
một tuple có thể có cùng một rõ ràng khóa chính nếu họ đang ở cấp độ bảo
mật khác nhau.
Ví dụ, một hàng mới với cùng phím chính rõ ràng (ví dụ, doanh nghiệp)
được thêm vào bảng.
Tàu vũ trụ Điểm đến Nhãn
Doanh nghiệp Hỏa tinh Cao
Doanh nghiệp Hỏa tinh Thấp
Từ quan điểm an ninh, hàng mới được thêm vào một việc đơn giản chỉ là vỏ
bọc cho các sản phẩm trong nhiệm vụ của các doanh nghiệp tàu vũ trụ.
Ngoài ra để bảo vệ chống lại suy luận, polyinstantiation cũng hữu ích để
ngăn chặn từ chối dịch vụ cho người sử dụng hợp pháp cũng như để bảo vệ
chống lại lưu trữ bí mật kênh. Chuyển đổi kênh sử dụng các biến hệ thống
và thuộc tính vào tín hiệu thông tin. Để minh họa kiểu này đe dọa đến bảo
mật, xem xét các bảng cơ sở dữ liệu sau đây nơi mà "tàu vũ trụ" thuộc tính là
khóa chính, và "nhãn" thuộc tính đại diện hàng cấp độ bảo mật dữ liệu.
Tàu vũ trụ Điểm đến Nhãn

hoàn tất một nhiệm vụ thông tin tín hiệu. Để minh họa điều này đe dọa đến
bảo mật, hãy xem xét ví dụ sau:
Hãy Ti biểu thị một giao dịch bảo đảm mức độ cao, được đọc một mức
độ bảo mật thấp mục dữ liệu A. Hãy Tj biểu thị một giao dịch bảo đảm mức
độ thấp, đó là cố gắng để viết thư cho A. Nếu mục dữ liệu giao thức giao
dịch 2PL được sử dụng, sau đó Tj phải chờ đợi để có được một X-lock trên
dữ liệu mục A (tức là, chờ đợi cho đến khi phiên bản S Ti khóa của nó trên
dữ liệu mục A). Giả sử rằng Tj có thể đo lượng tử thời gian q nó phải chờ
đợi để có được khóa trên mục dữ liệu A: Một lượng tử của thời gian chờ đợi
lớn hơn một số tiền nhất định thể hiện "1", và một lượng tử của thời gian
chờ đợi ít hơn so với một số tiền nhất định thể hiện "0". Giao dịch Ti có thể
khai thác kiến thức này để gửi một chút mức độ bảo mật cao thông tin cho
Tj, và bằng cách lặp lại giao thức này, thông tin bất kỳ có thể được gửi, tạo
một kênh bí mật 2PL, và trong các giao thức giao dịch nói chung thông
thường trong RDBMS, không an toàn chống lại các kênh bí mật.
6.Thương mại và nghiên cứu đa An toàn RDBMS
Các nỗ lực nghiên cứu và phát triển trong lĩnh vực an toàn có RDBMS
đa
kết quả trong một số hệ thống thương mại và nghiên cứu. Đáng chú ý nhất
trong số này là hệ thống như sau: Trusted Oracle, Informix OnLine / an toàn,
bảo mật SQL Sybase Server, DB2 cho z / OS, Trusted Rubix, Seaview, và
Unisys An toàn phân DBMS. Trusted Oracle có thể có được cấu hình để
chạy theo một trong hai chế độ: DBMS MAC và hệ điều hành MAC. Điều
thứ nhất là một kiến trúc hợp bắt buộc kiểm soát truy cập được thi hành
DBMS chính nó, và do đó là một kiến trúc chủ đề đáng tin cậy. Sau đó là
một kernelized kiến trúc (tức là, bắt buộc kiểm soát truy cập được giao cho
hệ điều hành). Informix nLine / an toàn, bảo mật Sybase SQL Server, DB2
cho z / OS, và Trusted Rubix là những ví dụ của một kiến trúc chủ đề đáng
tin cậy. Hệ thống nghiên cứu Seaview là một ví dụ của một kiến trúc
kernelized trong khi nghiên cứu phân An toàn Unisys RDBMS là một ví dụ

bảo mật cao. Các giao dịch tại mức độ bảo mật cao, chỉ cần nhận được một
cảnh báo rằng một khóa trên một thấp mục dữ liệu đã được "chia". Trusted
Oracle sử dụng một sự kết hợp của khóa và multiversioning kỹ thuật.
7. Kết luận
Nghiên cứu này đã đưa ra một tổng quan về bảo mật đa, đánh giá và
MLS quá trình chứng nhận, và RDBMS đa an toàn. Xây dựng một đa an
toàn RDBMS có thể là một nhiệm vụ đầy thử thách. Tùy thuộc vào kiến trúc
tiếp theo, điều này có thể cần xây dựng lại các phần chính của một RDBMS
thương mại hiện có. Nó cũng đòi hỏi nỗ lực quan trọng để đánh giá và xác
nhận, đặc biệt nếu một trình độ cao về bảo đảm tìm kiếm. Chúng tôi không
biết về bất kỳ RDBMS thương mại đã được đánh giá cao hơn B1 theo
Trusted Tiêu chí đánh giá bảo mật máy tính. Kiểm soát truy cập bắt buộc,
polyinstantiation, và xử lý giao dịch bảo đảm là phím khía cạnh của một
RDBMS an toàn đa cấp. Tuy nhiên, đây không phải là đủ để đảm bảo an
ninh không thể bị ảnh hưởng. Tùy thuộc vào cách nghiêm ngặt các yêu cầu
của tổ chức có nhu cầu triển khai một RDBMS an toàn đa cấp, các RDBMS
có thể phải thực hiện bảo vệ an ninh bổ sung. Ví dụ, SQL trình biên dịch có
truyền thống được hướng dẫn bởi lý do thực hiện trong việc lựa chọn thứ tự
trong đó các vị có trong một truy vấn được đánh giá (tức là, thêm nhiều lựa
chọn các vị thường được đánh giá đầu tiên để thu hẹp đặt hàng sẽ được
chuyển sau đó tham gia, vì tham gia hoạt động rất tốn kém). Nếu các
phương pháp được lựa chọn để thực thi MAC khi truy cập vào một bảng dựa
trên truy vấn sửa đổi để kết hợp các MLS hai tài sản bảo đảm dưới hình thức
các vị thường xuyên, chăm sóc sau đó đặc biệt phải được thực hiện tại lựa
chọn thứ tự mà các vị trên bàn được đánh giá để tránh trái phép rò rỉ của các
hàng dữ liệu. Để minh họa cho sự rò rỉ có thể xảy ra, giả sử truy vấn có một
vị trên bàn có liên quan đến một chức năng User-Defined (UDF).
Hơn nữa giả sử rằng UDF này có toàn bộ dữ liệu hàng như là một tham
số đầu vào và mã nguồn UDF tạo ra một bản sao của các dòng dữ liệu bên
ngoài cơ sở dữ liệu (hoặc gửi nó như là e-mail đến đích một số). Bây giờ, giả

chung DBMS sản phẩm đáng tin cậy. Ngoài ra, Chúng tôi sẽ trình bày
phương pháp nghiên cứu đề xuất cho DBMS mới đáng kiến trúc tin cậy.
Tài liệu tham khảo
[1] Teresa F. Lunt, Eduardo B. Fernandez. Cơ sở dữ liệu an. SIGMOD
RECORD, Vol.19, số 4, tháng 12 năm 1990
[2] Elisa Bertino, Ravi vey. Bảo mật cơ sở dữ liệu - Khái niệm, phương pháp
tiếp cận, và những thách thức. IEEE GIAO DỊCH VỀ cậy và AN TOÀN
COMPUTING, Vol.2, số 1, tháng Giêng-Tháng Ba 2005
[3] Walid Rjaibi. An Giới thiệu để quản lý đa an toàn cơ sở dữ liệu quan hệ
hệ thống. IBM Canada Ltd 2004
[4] Essay19. Kiến trúc cho MLS hệ thống quản lý cơ sở dữ liệu. Hàng năm
Hội nghị bảo mật máy tính ứng dụng. Bảo mật thông tin: An tích hợp bộ sưu
tập của tiểu luận.
[5] Essay21. Giải pháp cho các vấn đề Polyinstantiation. Bảo mật máy tính
hàng năm Hội nghị ứng dụng. Bảo mật thông tin: An Bộ sưu tập tổng hợp
của tiểu luận.
[6] Bộ Quốc phòng. Đa an ninh trong Sở Quốc phòng: Các Basics.http: / /
nsi.org/Library/Compsec/sec0.html.
[7] V. Atluri, S. Jajodia, TF Keefe, C. MaCollum, R. Mukkamal. Đa An toàn
Xử lý giao dịch: Hiện trạng và triển vọng. Cơ sở dữ liệu bảo mật, X: Hiện
trạng và triển vọng, Chapman & Hall năm 1997, biên soạn. Pierangela
Samarati và vey Ravi.
[8] LouAnna Notargiacomo. Kiến trúc cho MLS hệ thống quản lý cơ sở dữ
liệu. Bảo mật thông tin: An Bộ sưu tập tổng hợp của tiểu luận, IEEE
Computer Society Báo chí, Los Alamitos, California, Mỹ.
[9] S. Jajodia, R. vey, và B. Blaustein, "Các giải pháp để Polyinstantiation
các vấn đề, "Thông tin An ninh: An Bộ sưu tập tổng hợp của tiểu luận, tập 1,
MA. Abrams et al. biên soạn., IEEE CS Báo chí, trang 493-529, năm 1994.