第四章_數(shù)據(jù)庫的訪問控制

1、1 第第 四四 章章數(shù)據(jù)庫的訪問控制數(shù)據(jù)庫的訪問控制2 訪問控制策略概述訪問控制策略概述 自主訪問控制自主訪問控制 4.4 4.4 多級(jí)安全訪問控制模型多級(jí)安全訪問控制模型34.1 4.1 訪問控制策略概述訪問控制策略概述4 安全訪問控制的三要素安全訪問控制的三要素5在數(shù)據(jù)庫中，訪問控制在數(shù)據(jù)庫中，訪問控制可以分為兩大類：可以分為兩大類：（1 1）基于能力的訪問控制：基于能力的訪問控制：以訪問主體為判斷對(duì)以訪問主體為判斷對(duì)象實(shí)現(xiàn)訪問控制。訪問象實(shí)現(xiàn)訪問控制。訪問主體能力列表主體能力列表中的一個(gè)元中的一個(gè)元素表示為一個(gè)二元組（素表示為一個(gè)二元組（o,ao,a）, ,其中其中o o表示資源客體，表

2、示資源客體，a a表示一種訪問控制方式。表示一種訪問控制方式。（2 2）基于訪問控制列表的訪問控制：基于訪問控制列表的訪問控制：以資源客體以資源客體為判斷對(duì)象實(shí)現(xiàn)訪問控制。資源客體為判斷對(duì)象實(shí)現(xiàn)訪問控制。資源客體訪問控制列訪問控制列表表中的一個(gè)元素表示為一個(gè)二元組（中的一個(gè)元素表示為一個(gè)二元組（s,as,a）, ,其中其中s s表示訪問主體，表示訪問主體，a a表示一種訪問控制方式。表示一種訪問控制方式。64.1 4.1 訪問控制策略概述訪問控制策略概述用戶可以按自己的意愿對(duì)系統(tǒng)的參數(shù)做適當(dāng)修改以用戶可以按自己的意愿對(duì)系統(tǒng)的參數(shù)做適當(dāng)修改以決定哪些用戶可以訪問他們的資源，亦即一個(gè)用戶決定哪些用

3、戶可以訪問他們的資源，亦即一個(gè)用戶可以有選擇地與其它用戶共享他的資源。用戶有自可以有選擇地與其它用戶共享他的資源。用戶有自主的決定權(quán)。主的決定權(quán)。用戶對(duì)于不同的數(shù)據(jù)對(duì)象有不同的存取權(quán)限用戶對(duì)于不同的數(shù)據(jù)對(duì)象有不同的存取權(quán)限，不同，不同的用戶對(duì)同一對(duì)象也有不同的權(quán)限，而且用戶還可的用戶對(duì)同一對(duì)象也有不同的權(quán)限，而且用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶。將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶。 7自主訪問控制模型中，用戶對(duì)信息的控自主訪問控制模型中，用戶對(duì)信息的控制基于對(duì)制基于對(duì)用戶的鑒別用戶的鑒別和和訪問規(guī)則訪問規(guī)則的確定。它的確定。它基于對(duì)主體及主體所屬的主體組的識(shí)別，來基于對(duì)主體及主體所屬的主

4、體組的識(shí)別，來限制對(duì)客體的訪問，還要校驗(yàn)主體對(duì)客體的限制對(duì)客體的訪問，還要校驗(yàn)主體對(duì)客體的訪問請(qǐng)求是否符合存取控制規(guī)定來決定對(duì)客訪問請(qǐng)求是否符合存取控制規(guī)定來決定對(duì)客體訪問的執(zhí)行與否。這里所謂的自主訪問控體訪問的執(zhí)行與否。這里所謂的自主訪問控制是指主體可以自主地將訪問權(quán)，或訪問權(quán)制是指主體可以自主地將訪問權(quán)，或訪問權(quán)的某個(gè)子集授予其它主體。的某個(gè)子集授予其它主體。 8 強(qiáng)制訪問控制是指主體與客體都有一個(gè)固定的強(qiáng)制訪問控制是指主體與客體都有一個(gè)固定的安安全屬性全屬性。系統(tǒng)通過檢查主體和客體的安全屬性匹。系統(tǒng)通過檢查主體和客體的安全屬性匹配與否來決定一個(gè)主體是否可以訪問某個(gè)客體資配與否來決定一個(gè)主

5、體是否可以訪問某個(gè)客體資源。安全屬性是強(qiáng)制性的規(guī)定，它是由安全管理源。安全屬性是強(qiáng)制性的規(guī)定，它是由安全管理員，或者是操作系統(tǒng)根據(jù)限定的規(guī)則確定的，用員，或者是操作系統(tǒng)根據(jù)限定的規(guī)則確定的，用戶或用戶的程序不能加以修改。戶或用戶的程序不能加以修改。9如果系統(tǒng)認(rèn)為具有某一個(gè)安全屬性的如果系統(tǒng)認(rèn)為具有某一個(gè)安全屬性的主體不適于訪問某個(gè)資源，那么任何人（包主體不適于訪問某個(gè)資源，那么任何人（包括資源的擁有者）都無法使該主體具有訪問括資源的擁有者）都無法使該主體具有訪問該文件的權(quán)力。該文件的權(quán)力。 強(qiáng)制安全訪問控制可以避免和防止大多強(qiáng)制安全訪問控制可以避免和防止大多數(shù)數(shù)據(jù)庫有意或無意的侵害，因此在數(shù)據(jù)

6、庫數(shù)數(shù)據(jù)庫有意或無意的侵害，因此在數(shù)據(jù)庫管理系統(tǒng)中有很大的應(yīng)用價(jià)值。管理系統(tǒng)中有很大的應(yīng)用價(jià)值。 10基于角色訪問控制（基于角色訪問控制（RBACRBAC）模型是目前國際上流行的）模型是目前國際上流行的先進(jìn)的安全訪問控制方法。它通過分配和取消角色來先進(jìn)的安全訪問控制方法。它通過分配和取消角色來完成用戶權(quán)限的授予和取消，并且提供角色分配規(guī)則。完成用戶權(quán)限的授予和取消，并且提供角色分配規(guī)則。安全管理人員根據(jù)需要定義各種角色，并設(shè)置合適的安全管理人員根據(jù)需要定義各種角色，并設(shè)置合適的訪問權(quán)限，而用戶根據(jù)其責(zé)任和資歷再被指派為不同訪問權(quán)限，而用戶根據(jù)其責(zé)任和資歷再被指派為不同的角色。這樣，整個(gè)訪問控制

7、過程就分成兩個(gè)部分，的角色。這樣，整個(gè)訪問控制過程就分成兩個(gè)部分，即即訪問權(quán)限與角色相關(guān)聯(lián)訪問權(quán)限與角色相關(guān)聯(lián)，角色再與用戶關(guān)聯(lián)角色再與用戶關(guān)聯(lián)，從而，從而實(shí)現(xiàn)了用戶與訪問權(quán)限的邏輯分離。實(shí)現(xiàn)了用戶與訪問權(quán)限的邏輯分離。 11RBAC模型中的基本概念模型中的基本概念用戶（用戶（UserUser）：）：訪問系統(tǒng)中的資源的主體訪問系統(tǒng)中的資源的主體權(quán)限（權(quán)限（PermissionPermission）：）：對(duì)計(jì)算機(jī)中某些受保護(hù)的資源的訪問對(duì)計(jì)算機(jī)中某些受保護(hù)的資源的訪問許可許可角色（角色（RoleRole）：）：應(yīng)用領(lǐng)域內(nèi)一種權(quán)力和責(zé)任的語義綜合體應(yīng)用領(lǐng)域內(nèi)一種權(quán)力和責(zé)任的語義綜合體v可以是一個(gè)抽

8、象概念，也可以是對(duì)應(yīng)于實(shí)際系統(tǒng)中的特定語義體，比如組織內(nèi)部的職務(wù)等v針對(duì)角色屬性的不同，某些模型中將角色進(jìn)一步細(xì)分為普通角色（Regular Role）和管理員角色（Administrative Role） 角色與組的區(qū)別角色與組的區(qū)別v組：一組用戶的集合v角色：一組用戶的集合 + 一組操作權(quán)限的集合12用戶指派（用戶指派（User AssignmentUser Assignment）：）：用戶集到角用戶集到角色集的多對(duì)多的關(guān)系色集的多對(duì)多的關(guān)系權(quán)限指派（權(quán)限指派（Permission AssignmentPermission Assignment）：）：權(quán)限權(quán)限集到角色集的多對(duì)多的關(guān)系集到角

9、色集的多對(duì)多的關(guān)系會(huì)話會(huì)話（SessionSession）：）：對(duì)應(yīng)于一個(gè)用戶以及一組對(duì)應(yīng)于一個(gè)用戶以及一組激活的角色。用戶每次必須通過建立會(huì)話來激激活的角色。用戶每次必須通過建立會(huì)話來激活角色，得到相應(yīng)的訪問權(quán)限活角色，得到相應(yīng)的訪問權(quán)限13RBAC核心模型核心模型14通過創(chuàng)建角色可以一次性對(duì)一類用戶指定其共同通過創(chuàng)建角色可以一次性對(duì)一類用戶指定其共同的權(quán)限的權(quán)限象對(duì)用戶一樣象對(duì)用戶一樣, 可以對(duì)角色授予或收回權(quán)限可以對(duì)角色授予或收回權(quán)限角色可被賦予給用戶角色可被賦予給用戶, 甚至給其他角色甚至給其他角色SQL:1999 支持角色支持角色 create role tellercreate r

10、ole managergrant select on branch to tellergrant update (balance) on account to tellergrant all privileges on account to managergrant teller to managergrant teller to alice, bob在銀行環(huán)境中，用戶角色可定義為出納員、分行管理者、在銀行環(huán)境中，用戶角色可定義為出納員、分行管理者、顧客、系統(tǒng)管理員和審計(jì)員，訪問控制策略的一個(gè)例子如下：顧客、系統(tǒng)管理員和審計(jì)員，訪問控制策略的一個(gè)例子如下：（1 1）允許出納員修改顧客的帳號(hào)記錄

11、（包括存款和?。┰试S出納員修改顧客的帳號(hào)記錄（包括存款和取款、轉(zhuǎn)帳等信息），并允許查詢所有帳號(hào)的注冊(cè)項(xiàng)；款、轉(zhuǎn)帳等信息），并允許查詢所有帳號(hào)的注冊(cè)項(xiàng)；（2 2）允許分行管理者修改顧客的帳號(hào)記錄并允許查詢）允許分行管理者修改顧客的帳號(hào)記錄并允許查詢所有帳號(hào)的注冊(cè)項(xiàng)，也允許創(chuàng)建和終止帳號(hào)；所有帳號(hào)的注冊(cè)項(xiàng)，也允許創(chuàng)建和終止帳號(hào)；（3 3）允許顧客只詢問他自己的帳號(hào)的注冊(cè)項(xiàng)；）允許顧客只詢問他自己的帳號(hào)的注冊(cè)項(xiàng)；（4 4）允許系統(tǒng)管理員詢問系統(tǒng)的注冊(cè)項(xiàng)和開關(guān)系統(tǒng)，）允許系統(tǒng)管理員詢問系統(tǒng)的注冊(cè)項(xiàng)和開關(guān)系統(tǒng)，但不允許讀或修改用戶的帳號(hào)信息；但不允許讀或修改用戶的帳號(hào)信息；（5 5）允許審計(jì)員讀系統(tǒng)中的

12、任何數(shù)據(jù)，但不允許修改）允許審計(jì)員讀系統(tǒng)中的任何數(shù)據(jù)，但不允許修改任何事情。任何事情。16 便于授權(quán)管理，如系統(tǒng)管理員需要修改系統(tǒng)設(shè)置等內(nèi)便于授權(quán)管理，如系統(tǒng)管理員需要修改系統(tǒng)設(shè)置等內(nèi)容時(shí)，必須有幾個(gè)不同角色的用戶到場方能操作，從容時(shí)，必須有幾個(gè)不同角色的用戶到場方能操作，從而保證了安全性。而保證了安全性。 便于根據(jù)工作需要分級(jí)，如企業(yè)財(cái)務(wù)部門與非財(cái)力部便于根據(jù)工作需要分級(jí)，如企業(yè)財(cái)務(wù)部門與非財(cái)力部門的員工對(duì)企業(yè)財(cái)務(wù)的訪問權(quán)就可由財(cái)務(wù)人員這個(gè)角門的員工對(duì)企業(yè)財(cái)務(wù)的訪問權(quán)就可由財(cái)務(wù)人員這個(gè)角色來區(qū)分。色來區(qū)分。 便于賦于最小特權(quán)，如即使用戶被賦于高級(jí)身份時(shí)也便于賦于最小特權(quán)，如即使用戶被賦于高級(jí)

13、身份時(shí)也未必一定要使用，以便減少損失。只有必要時(shí)方能擁未必一定要使用，以便減少損失。只有必要時(shí)方能擁有特權(quán)。有特權(quán)。 便于任務(wù)分擔(dān)，不同的角色完成不同的任務(wù)。便于任務(wù)分擔(dān)，不同的角色完成不同的任務(wù)。 便于文件分級(jí)管理，文件本身也可分為不同的角色，便于文件分級(jí)管理，文件本身也可分為不同的角色，如信件、賬單等，由不同角色的用戶擁有。如信件、賬單等，由不同角色的用戶擁有。174.2 4.2 自主自主訪問控制訪問控制自主訪問控制自主訪問控制基于自主策略管理主體對(duì)數(shù)據(jù)的基于自主策略管理主體對(duì)數(shù)據(jù)的訪問，主要機(jī)制包括訪問，主要機(jī)制包括基于主體的標(biāo)識(shí)基于主體的標(biāo)識(shí)和和授權(quán)規(guī)授權(quán)規(guī)則則。這些規(guī)則是自主的，即它

14、們?cè)试S主體將數(shù)。這些規(guī)則是自主的，即它們?cè)试S主體將數(shù)據(jù)權(quán)限授予其他主體。據(jù)權(quán)限授予其他主體。自主訪問控制的一個(gè)重要方面是與自主訪問控制的一個(gè)重要方面是與授權(quán)管理策授權(quán)管理策略略密切相關(guān)。所謂授權(quán)管理，是指授權(quán)和撤消密切相關(guān)。所謂授權(quán)管理，是指授權(quán)和撤消授權(quán)的功能。授權(quán)的功能。 18訪問控制矩陣模型訪問控制矩陣模型利用矩陣?yán)镁仃嘇 A表示系統(tǒng)中主體、表示系統(tǒng)中主體、客體和每個(gè)主體對(duì)每個(gè)客體所擁有權(quán)限之間的客體和每個(gè)主體對(duì)每個(gè)客體所擁有權(quán)限之間的關(guān)系。任何訪問控制策略最終均可被模型化為關(guān)系。任何訪問控制策略最終均可被模型化為訪問矩陣形式：訪問矩陣形式：一行表示一個(gè)主體的能力列表，一行表示一個(gè)主體

15、的能力列表，一列表示一個(gè)客體的訪問控制列表。一列表示一個(gè)客體的訪問控制列表。每個(gè)矩陣每個(gè)矩陣元素規(guī)定了相應(yīng)的主體對(duì)應(yīng)于相應(yīng)的客體被準(zhǔn)元素規(guī)定了相應(yīng)的主體對(duì)應(yīng)于相應(yīng)的客體被準(zhǔn)予的訪問許可、實(shí)施行為。予的訪問許可、實(shí)施行為。19授權(quán)狀態(tài)：授權(quán)狀態(tài)：用一個(gè)三元組用一個(gè)三元組Q=(S,O,A)Q=(S,O,A)來表示。來表示。vS：是主體的集合vO：是客體的集合/安全保護(hù)的對(duì)象vA中元素A(si,oj)：表示主體i對(duì)客體j的操作授權(quán)訪問模式：訪問模式：包括讀、寫、執(zhí)行、附加和擁有。包括讀、寫、執(zhí)行、附加和擁有。20訪問控制矩陣訪問控制矩陣 A A S1 , , O2=“R”=“R”，表示主體，表示主體

16、S1對(duì)客體對(duì)客體O1有讀的權(quán)限。其余類推。有讀的權(quán)限。其余類推。O1O2O3S1S2S3S4S1ORWRRWCS2RRWCS3RWRWXCS4RRWX21在在DACDAC策略下，訪問許可權(quán)和訪問操作權(quán)是兩策略下，訪問許可權(quán)和訪問操作權(quán)是兩個(gè)有區(qū)別的概念。個(gè)有區(qū)別的概念。訪問操作訪問操作表示有權(quán)對(duì)客體進(jìn)行的一些具體操作，表示有權(quán)對(duì)客體進(jìn)行的一些具體操作，如讀、寫、執(zhí)行等；如讀、寫、執(zhí)行等；訪問許可訪問許可則表示可以改變?cè)L問權(quán)限的能力或把則表示可以改變?cè)L問權(quán)限的能力或把這種能力轉(zhuǎn)授給其他主體的能力。這種能力轉(zhuǎn)授給其他主體的能力。22S1S1的權(quán)力表（訪問能力表的權(quán)力表（訪問能力表CLCL）訪問控制

17、矩陣的實(shí)現(xiàn)機(jī)制訪問控制矩陣的實(shí)現(xiàn)機(jī)制23 O1O1的授權(quán)表的授權(quán)表( (訪問控制表訪問控制表ACL)ACL)訪問控制矩陣的實(shí)現(xiàn)機(jī)制訪問控制矩陣的實(shí)現(xiàn)機(jī)制24授授 權(quán)權(quán) 表表訪問控制矩陣的實(shí)現(xiàn)機(jī)制訪問控制矩陣的實(shí)現(xiàn)機(jī)制主體主體訪問模式訪問模式客體客體S1OwnO1S1RO1S1WO1S1RO2S1RO3S1WO3S2RO1S2R O3S2WO3主體主體訪問模式訪問模式客體客體S3RO1S3WO1S3RO2S3WO2S3XO2S4RO2S4RO3S4WO3S4XO325訪問控制矩陣原語訪問控制矩陣原語是對(duì)訪問控制矩陣執(zhí)行的、是對(duì)訪問控制矩陣執(zhí)行的、不使之中斷或處于不完整狀態(tài)的操作。不使之中斷或處于

18、不完整狀態(tài)的操作。當(dāng)一個(gè)矩陣建立好之后，就意味看建立了一個(gè)當(dāng)一個(gè)矩陣建立好之后，就意味看建立了一個(gè)具體的安全控制機(jī)制或安全控制系統(tǒng)。因此對(duì)訪具體的安全控制機(jī)制或安全控制系統(tǒng)。因此對(duì)訪問控制矩陣的操作就意味著改變?cè)撓到y(tǒng)的安全策問控制矩陣的操作就意味著改變?cè)撓到y(tǒng)的安全策略或授權(quán)情況。略或授權(quán)情況。在訪問控制矩陣中，有六種命令操作能改變矩在訪問控制矩陣中，有六種命令操作能改變矩陣的狀態(tài)，每種命令由一個(gè)陣的狀態(tài)，每種命令由一個(gè)可選的條件語句可選的條件語句和一和一個(gè)個(gè)命令體命令體構(gòu)成。構(gòu)成。26訪問控制操作集合訪問控制操作集合原語原語操作操作含義含義條件條件1 授予權(quán)限授予權(quán)限Enter rinto A

19、si,oj賦予主體賦予主體si對(duì)客對(duì)客體體oj的訪問模式的訪問模式rSi Soj o2 撤銷權(quán)限撤銷權(quán)限D(zhuǎn)elete rfrom Asi,oj將主體將主體si對(duì)客體對(duì)客體oj的訪問模式的訪問模式r撤銷撤銷Si Soj o A si,oj= Asi,oj r A sh,ok= Ash,ok(hi, kj) A si,oj= Asi,oj - r A sh,ok= Ash,ok(hi, kj)27訪問控制操作集合訪問控制操作集合原語原語操作操作含義含義條件條件3添加主體添加主體CreatSubject Si 添加新主體添加新主體siSi S4刪除主體刪除主體Destroy subject Si刪除

20、主體刪除主體siSi S3 結(jié)果狀態(tài)結(jié)果狀態(tài):S= S si ， O= O si As, o= As,o （s S， o O） Asi,o= (o O） As, si= （s S）4 結(jié)果狀態(tài)結(jié)果狀態(tài):S= S - si ， O= O - si As, o= As,o （s S， o O） O O28訪問控制操作集合訪問控制操作集合原語原語操作操作含義含義條件條件5 添加客體添加客體CreatObject Oj 添加新客體添加新客體OjOj 6 刪除客體刪除客體Destroy Object Oj 刪除客體刪除客體OjOj 5 結(jié)果狀態(tài)結(jié)果狀態(tài):S= S ， O= O oj As, o= As,

21、o （s S， o O） As, oj= （ o O）6 結(jié)果狀態(tài)結(jié)果狀態(tài): S= S ， O= O - oj As, o= As,o （s S， o O） O29約束條件約束條件 每種命令的可選的條件語句中，可以包含對(duì)該命令執(zhí)每種命令的可選的條件語句中，可以包含對(duì)該命令執(zhí)行時(shí)的時(shí)間或數(shù)據(jù)約束。行時(shí)的時(shí)間或數(shù)據(jù)約束。v數(shù)據(jù)約束：可規(guī)定所訪問的數(shù)據(jù)的值的限制。例：只準(zhǔn)讀月工資小于3500.0元的職員的信息資料。v時(shí)間約束：規(guī)定允許讀寫發(fā)生的時(shí)間條件。如：銀行規(guī)定職員在早8：00至下午5：00.下班后不許訪問數(shù)據(jù)庫。v上下文約束：例如只讀取姓名字段或工資字段是允許的，但把它們組合起來讀取就需要限制

22、。v歷史記錄約束：依賴于主體先前執(zhí)行的存取操作，如限定只有當(dāng)主體在未曾讀取過員工姓名的條件下，才具有讀員工工資的權(quán)利。30 自主訪問控制特點(diǎn)：自主訪問控制特點(diǎn)：v根據(jù)主體的身份及允許訪問的權(quán)限進(jìn)行決策。v自主是指具有某種訪問能力的主體能夠自主地將訪問權(quán)的某個(gè)子集授予其它主體。v靈活性高，被大量采用。自主訪問控制缺點(diǎn)：自主訪問控制缺點(diǎn)：v信息在移動(dòng)過程中其訪問權(quán)限關(guān)系會(huì)被改變，權(quán)限控制某些情況下不夠嚴(yán)格。如用戶A可將其對(duì)目標(biāo)O的訪問權(quán)限傳遞給用戶B,從而使不具備對(duì)O訪問權(quán)限的B可訪問O。314.3 4.3 強(qiáng)制強(qiáng)制訪問控制訪問控制為系統(tǒng)中每個(gè)主體和客體標(biāo)出不同為系統(tǒng)中每個(gè)主體和客體標(biāo)出不同安全等

23、級(jí)安全等級(jí)，這，這些安全等級(jí)由系統(tǒng)控制，不能隨意更改。些安全等級(jí)由系統(tǒng)控制，不能隨意更改。根據(jù)主體根據(jù)主體和客體的級(jí)別標(biāo)記來決定訪問模式。和客體的級(jí)別標(biāo)記來決定訪問模式。若系統(tǒng)認(rèn)為某一等級(jí)安全屬性的主體不能訪問一若系統(tǒng)認(rèn)為某一等級(jí)安全屬性的主體不能訪問一定安全等級(jí)屬性的客體，那么任何人都無法使該主定安全等級(jí)屬性的客體，那么任何人都無法使該主體訪問到客體。代表用戶的應(yīng)用程序不能改變自身體訪問到客體。代表用戶的應(yīng)用程序不能改變自身或任意客體的安全屬性?；蛉我饪腕w的安全屬性。強(qiáng)制訪問控制可以防止一個(gè)進(jìn)程生成共享文件，強(qiáng)制訪問控制可以防止一個(gè)進(jìn)程生成共享文件，從而防止一個(gè)進(jìn)程通過共享文件把信息從一個(gè)進(jìn)

24、程從而防止一個(gè)進(jìn)程通過共享文件把信息從一個(gè)進(jìn)程傳送給另一個(gè)進(jìn)程。傳送給另一個(gè)進(jìn)程。在軍隊(duì)中經(jīng)常應(yīng)用，支持多級(jí)安全在軍隊(duì)中經(jīng)常應(yīng)用，支持多級(jí)安全32主體對(duì)客體的訪問主要有四種方式：主體對(duì)客體的訪問主要有四種方式：（1 1）向下讀（）向下讀（rdrd，read downread down）：）：主體安全級(jí)別高于主體安全級(jí)別高于客體信息資源的安全級(jí)別時(shí)允許的讀操作；客體信息資源的安全級(jí)別時(shí)允許的讀操作；（2 2）向上讀（）向上讀（ruru，read upread up）：）：主體安全級(jí)別低于客主體安全級(jí)別低于客體信息資源的安全級(jí)別時(shí)允許的讀操作；體信息資源的安全級(jí)別時(shí)允許的讀操作；（3 3）向下寫（

25、）向下寫（wdwd，write downwrite down）：）：主體安全級(jí)別高主體安全級(jí)別高于客體信息資源的安全級(jí)別時(shí)允許執(zhí)行的動(dòng)作或是寫操作；于客體信息資源的安全級(jí)別時(shí)允許執(zhí)行的動(dòng)作或是寫操作；（4 4）向上寫（）向上寫（wuwu，write upwrite up）：）：主體安全級(jí)別低于主體安全級(jí)別低于客體信息資源的安全級(jí)別時(shí)允許執(zhí)行的動(dòng)作或是寫操作。客體信息資源的安全級(jí)別時(shí)允許執(zhí)行的動(dòng)作或是寫操作。其訪問控制關(guān)系可分為：下讀其訪問控制關(guān)系可分為：下讀/ /上寫和上讀上寫和上讀/ /下寫，分下寫，分別進(jìn)行機(jī)密性控制和完整性控制別進(jìn)行機(jī)密性控制和完整性控制通過安全標(biāo)簽實(shí)現(xiàn)單向信息流通模式。

26、通過安全標(biāo)簽實(shí)現(xiàn)單向信息流通模式。33安全模型：安全模型：是一種抽象且獨(dú)立于軟件實(shí)現(xiàn)的是一種抽象且獨(dú)立于軟件實(shí)現(xiàn)的概念模型，數(shù)據(jù)庫系統(tǒng)的安全模型是用于精確概念模型，數(shù)據(jù)庫系統(tǒng)的安全模型是用于精確描述數(shù)據(jù)庫系統(tǒng)的安全需求和安全策略的有效描述數(shù)據(jù)庫系統(tǒng)的安全需求和安全策略的有效方式。它為安全系統(tǒng)的設(shè)計(jì)提供指導(dǎo)。方式。它為安全系統(tǒng)的設(shè)計(jì)提供指導(dǎo)。安全模型應(yīng)具有如下一些特點(diǎn)：安全模型應(yīng)具有如下一些特點(diǎn)：它是精確的、無二義性的；它是簡單、抽象的，也是易于理解的；它僅涉及安全性，不過分限制系統(tǒng)的功能及實(shí)現(xiàn)；它是安全策略的一個(gè)清晰的表達(dá)方式。34安全模型的表達(dá)形式：v非形式化的安全模型：用自然語言對(duì)系統(tǒng)的安

27、全性進(jìn)行描述。其優(yōu)點(diǎn)是直觀、易于理解但不嚴(yán)謹(jǐn)，往往有二義性，表達(dá)不簡潔。v形式化的安全模型：使用數(shù)學(xué)語言精確地描述系統(tǒng)的安全性質(zhì)或規(guī)則。優(yōu)點(diǎn)是簡潔、準(zhǔn)確、嚴(yán)謹(jǐn)，可以從理論上進(jìn)行嚴(yán)格的證明其安全性；缺點(diǎn)是抽象、難于理解。 351 1模型為系統(tǒng)中所有主體和客體分配一定模型為系統(tǒng)中所有主體和客體分配一定的安全級(jí)別。的安全級(jí)別。v客體的安全級(jí)：表示該客體所包含的信息的敏感程度或機(jī)密程度；v主體的安全級(jí)：表示該主體被信任的程度或訪問信息的能力。362 2每個(gè)安全等級(jí)是一個(gè)每個(gè)安全等級(jí)是一個(gè)二元組二元組 ，記作記作L=L=。v 密級(jí)一般定義為四個(gè)級(jí)別：公開(Unclassified)、秘密(Confide

28、ntial)、機(jī)密(Secret)、絕密(Topsecret)四個(gè)等級(jí)，這些等級(jí)構(gòu)成一個(gè)全序關(guān)系，即TopsecretSecretConfidentialUnclassified。v簡寫：絕密（TS）機(jī)密（S）秘密（C） 公開（U）。37v 范圍：根據(jù)主體和客體所涉及的信息類別將主體和客體分為一系列不同的屬類，這些屬類稱為范圍。類別之間是彼此獨(dú)立，并且是無序的。一個(gè)安全類僅包含一個(gè)安全等級(jí)，而它包括的類別可以任意多。系統(tǒng)中主、客體的安全級(jí)由這些二元組來定義。系統(tǒng)中主、客體的安全級(jí)由這些二元組來定義。 例：設(shè)某單位的部門范圍對(duì)應(yīng)的劃分如下：例：設(shè)某單位的部門范圍對(duì)應(yīng)的劃分如下：“科技處科技處”，

29、“干部處干部處”，“生產(chǎn)處生產(chǎn)處”，“情報(bào)處情報(bào)處”,范范圍是其子集。圍是其子集。（C C， 科技處科技處 ） = class(o1)= class(o1)（S S， 科技處，干部處科技處，干部處 ）=class(u) =class(u) (TS, (TS, 科技處，情報(bào)處，干部處科技處，情報(bào)處，干部處)=class(o2)=class(o2)（C C， 情報(bào)處情報(bào)處 ）=class(o3)=class(o3)38模型規(guī)定當(dāng)信息能從一個(gè)實(shí)體流向另一個(gè)實(shí)體模型規(guī)定當(dāng)信息能從一個(gè)實(shí)體流向另一個(gè)實(shí)體時(shí)，必須滿足后者的安全等級(jí)和實(shí)體所屬類別都支時(shí)，必須滿足后者的安全等級(jí)和實(shí)體所屬類別都支配前者。對(duì)這種

30、配前者。對(duì)這種支配定義支配定義如下：如下：給定兩個(gè)安全等級(jí)給定兩個(gè)安全等級(jí)L1=, L2=,L1=, L2=,稱：稱：vL1L1支配支配L2L2成立，當(dāng)且僅當(dāng)成立，當(dāng)且僅當(dāng)C1C2C1C2且且S1 S2S1 S2。記記L1L2L1L2。vL1L1嚴(yán)格支配嚴(yán)格支配L2L2成立，當(dāng)且僅當(dāng)成立，當(dāng)且僅當(dāng)C1C2C1C2且且S1 S2S1 S2。記記L1L2L1L2。v對(duì)給定的兩個(gè)安全等級(jí)對(duì)給定的兩個(gè)安全等級(jí)L1,L2L1,L2，如果，如果L1L2L1L2和和L2L1L2L1均不成立，則均不成立，則L1L1和和L2L2是不可比的。是不可比的。39 例如：例如：v（C，科技處）（S，科技處，干部處）；

31、v（S，科技處，干部處）（TS，科技處，情報(bào)處，干部處）； v（C,情報(bào)處）與（C,科技處）； v（C，情報(bào)處）與（S，科技處，干部處）； 40顯然對(duì)于安全類集合中的任意元素顯然對(duì)于安全類集合中的任意元素A A、B B、C C都有：都有：（1 1）自反性：）自反性：AAAA；（2 2）傳遞性：如果）傳遞性：如果ABAB且且BCBC，則，則ACAC；（3 3）反對(duì)稱性：如果）反對(duì)稱性：如果ABAB且且BABA，則，則A=BA=B。支配關(guān)系是一種明顯的偏序關(guān)系。支配關(guān)系是一種明顯的偏序關(guān)系。系統(tǒng)中主體對(duì)客體的訪問方式有系統(tǒng)中主體對(duì)客體的訪問方式有4 4種：種：v只讀：指讀取客體中的信息；v追加：將

32、信息寫入客體，而不讀客體的信息；v執(zhí)行：執(zhí)行一個(gè)客體（程序）；v讀寫：將信息寫入客體，可以讀客體的內(nèi)容。41 BLPBLP模型提供了八種操作模型提供了八種操作：操作操作含義含義Get access按要求的方式初始化對(duì)一按要求的方式初始化對(duì)一個(gè)客體的訪問個(gè)客體的訪問Release access終止由以前終止由以前“Get”開始的開始的訪問方式訪問方式Give access授予一個(gè)主體對(duì)客體的某授予一個(gè)主體對(duì)客體的某種訪問種訪問42操作操作含義含義Rescind access回收由回收由“Give”操作授予的操作授予的訪問方式訪問方式Create Object激活一個(gè)客體，使其成為可激活一個(gè)客體，

33、使其成為可訪問的訪問的Delete Object將客體從激活狀態(tài)轉(zhuǎn)化為未將客體從激活狀態(tài)轉(zhuǎn)化為未激活狀態(tài)激活狀態(tài)Change subjectsecurity level改變主體的當(dāng)前安全等級(jí)改變主體的當(dāng)前安全等級(jí)Change objectsecurity level修改客體的安全等級(jí)修改客體的安全等級(jí)43BLPBLP模型主要用來控制主體和客體之間的信模型主要用來控制主體和客體之間的信息流動(dòng)。該模型設(shè)計(jì)了一種信息流動(dòng)的策略來息流動(dòng)。該模型設(shè)計(jì)了一種信息流動(dòng)的策略來保證信息安全性。保證信息安全性。BLPBLP模型信息流動(dòng)的一般原則：模型信息流動(dòng)的一般原則：v簡單安全性。主體s對(duì)客體o具有讀訪問權(quán)，

34、當(dāng)且僅當(dāng)(Ao,Co)(As,Cs)。簡單安全性確定了讀操作的原則。對(duì)讀操作來說，主體必須對(duì)客體有支配權(quán)，這一原則也稱為。44星星( (* *) )特性。特性。主體主體s s對(duì)客體對(duì)客體o o具有寫訪問權(quán)，具有寫訪問權(quán)，并且僅當(dāng)并且僅當(dāng)(As,Cs)(Ao,Co).(As,Cs)(Ao,Co).星特性確定了寫星特性確定了寫的操作原則。對(duì)于寫操作來說，客體必須對(duì)主的操作原則。對(duì)于寫操作來說，客體必須對(duì)主體有支配權(quán)。這一原則也叫做體有支配權(quán)。這一原則也叫做。信息流通模式：信息流通模式：v下讀（read down）：用戶級(jí)別大于文件級(jí)別的讀操作；v上寫（Write up）：用戶級(jí)別小于文件級(jí)別的寫操

35、作；這樣保證信息從低安全級(jí)向高安全級(jí)流動(dòng)這樣保證信息從低安全級(jí)向高安全級(jí)流動(dòng)45對(duì)于上述控制原則具體化：對(duì)于上述控制原則具體化：若主體若主體u u和客體和客體o o的安全級(jí)滿足的安全級(jí)滿足v若class(u)class(o),則u可“寫”o,v若class(o)class(u),則u可“讀”o.如上述定義：如上述定義：（C C， 科技處科技處 ） = class(o1)= class(o1)（S S， 科技處，干部處科技處，干部處 ）=class(u) =class(u) (TS, (TS, 科技處，情報(bào)處，干部處科技處，情報(bào)處，干部處)=class(o2)=class(o2)（C C， 情報(bào)

36、處情報(bào)處 ）=class(o3=class(o3）于是：于是：u u可讀可讀o1,o1, u u可寫可寫o2,o2, u對(duì)o3不能讀，也不能寫，又如，若class(o4)=(TS,科技處)， 則u不能讀，也不能寫。46 Bell-Lapadula安全模型安全模型4748 Bell-Lapadula安全模型安全模型49 BLPBLP模型的優(yōu)點(diǎn)：模型的優(yōu)點(diǎn)： 1.1.是一個(gè)最早地對(duì)多級(jí)安全策略進(jìn)行描述的是一個(gè)最早地對(duì)多級(jí)安全策略進(jìn)行描述的模型；模型；2.2.是一個(gè)嚴(yán)格形式化的模型，并給出了形式是一個(gè)嚴(yán)格形式化的模型，并給出了形式化的證明；化的證明；3.3.是一個(gè)很安全的模型，既有自主訪問控制，是一

37、個(gè)很安全的模型，既有自主訪問控制，又有強(qiáng)制訪問控制。又有強(qiáng)制訪問控制。4.4.控制信息只能由低向高流動(dòng)，能滿足軍事控制信息只能由低向高流動(dòng)，能滿足軍事部門等一類對(duì)數(shù)據(jù)保密性要求特別高的機(jī)構(gòu)的需部門等一類對(duì)數(shù)據(jù)保密性要求特別高的機(jī)構(gòu)的需求。求。50 BLPBLP模型實(shí)現(xiàn)模型實(shí)現(xiàn) 當(dāng)客戶與服務(wù)器相連后，客戶每發(fā)送一個(gè)當(dāng)客戶與服務(wù)器相連后，客戶每發(fā)送一個(gè)SQLSQL語句給服務(wù)器，服務(wù)器首先分析、解釋該語語句給服務(wù)器，服務(wù)器首先分析、解釋該語句，然后將消息發(fā)送給站點(diǎn)。當(dāng)在某個(gè)站點(diǎn)上的句，然后將消息發(fā)送給站點(diǎn)。當(dāng)在某個(gè)站點(diǎn)上的用戶要訪問某個(gè)數(shù)據(jù)庫對(duì)象時(shí)，首先經(jīng)過強(qiáng)制訪用戶要訪問某個(gè)數(shù)據(jù)庫對(duì)象時(shí)，首先經(jīng)過

38、強(qiáng)制訪問控制安全檢查，同時(shí)記錄審計(jì)信息問控制安全檢查，同時(shí)記錄審計(jì)信息: :再經(jīng)過自再經(jīng)過自主訪問控制檢查，確認(rèn)是否有訪問權(quán)限，同時(shí)也主訪問控制檢查，確認(rèn)是否有訪問權(quán)限，同時(shí)也記錄審計(jì)信息記錄審計(jì)信息; ;然后經(jīng)資源分配，進(jìn)入訪問具體然后經(jīng)資源分配，進(jìn)入訪問具體的元組對(duì)象時(shí)，再做的元組對(duì)象時(shí)，再做“向下讀向下讀”、“同級(jí)寫同級(jí)寫”強(qiáng)強(qiáng)制訪問控制檢查，通過后面作具體的數(shù)據(jù)操作，制訪問控制檢查，通過后面作具體的數(shù)據(jù)操作，并記錄審計(jì)信息。并記錄審計(jì)信息。 現(xiàn)有的現(xiàn)有的DBMSDBMS產(chǎn)品實(shí)現(xiàn)的客體標(biāo)記粒度基本都產(chǎn)品實(shí)現(xiàn)的客體標(biāo)記粒度基本都為元組級(jí)。為元組級(jí)。51 BLPBLP模型限制包括如下幾個(gè)方面

39、：模型限制包括如下幾個(gè)方面：1 1低安全級(jí)的信息向高安全級(jí)流動(dòng)，可能低安全級(jí)的信息向高安全級(jí)流動(dòng)，可能破壞高安全客體中破壞高安全客體中機(jī)密性和數(shù)據(jù)完整性機(jī)密性和數(shù)據(jù)完整性，被病，被病毒和黑客利用。例如下級(jí)企業(yè)向上級(jí)企業(yè)匯總毒和黑客利用。例如下級(jí)企業(yè)向上級(jí)企業(yè)匯總財(cái)務(wù)數(shù)據(jù)時(shí)，就有可能出現(xiàn)這種情況。財(cái)務(wù)數(shù)據(jù)時(shí)，就有可能出現(xiàn)這種情況。2 2只要信息由低向高流動(dòng)即合法（高讀只要信息由低向高流動(dòng)即合法（高讀低），不管工作是否有需求，低），不管工作是否有需求，防問權(quán)限太大防問權(quán)限太大，這不符合最小特權(quán)原則。這不符合最小特權(quán)原則。523 3可用性差?？捎眯圆?。同時(shí)也限制了高密級(jí)用戶同時(shí)也限制了高密級(jí)用戶向非

40、敏感客體寫數(shù)據(jù)的合理要求，降低了系向非敏感客體寫數(shù)據(jù)的合理要求，降低了系統(tǒng)的可用性統(tǒng)的可用性。例如在企業(yè)的財(cái)務(wù)管理系統(tǒng)中，例如在企業(yè)的財(cái)務(wù)管理系統(tǒng)中，上級(jí)企業(yè)的密級(jí)比其下屬企業(yè)的密級(jí)高，按上級(jí)企業(yè)的密級(jí)比其下屬企業(yè)的密級(jí)高，按照實(shí)際應(yīng)用的上級(jí)企業(yè)的人員應(yīng)該可以修改照實(shí)際應(yīng)用的上級(jí)企業(yè)的人員應(yīng)該可以修改下級(jí)企業(yè)的數(shù)據(jù)；下級(jí)企業(yè)的數(shù)據(jù)；4 4部門之間信息的橫向流動(dòng)被禁止；部門之間信息的橫向流動(dòng)被禁止；例例如在企業(yè)的財(cái)務(wù)管理系統(tǒng)中，相同密級(jí)的企如在企業(yè)的財(cái)務(wù)管理系統(tǒng)中，相同密級(jí)的企業(yè)主體之間的信息流動(dòng)將不能進(jìn)行；業(yè)主體之間的信息流動(dòng)將不能進(jìn)行；53BIBABIBA模型是為保護(hù)信息的完整性而設(shè)計(jì)的。模

41、型是為保護(hù)信息的完整性而設(shè)計(jì)的。BIBABIBA模型同樣基于主體、客體和安全等級(jí)這些模型同樣基于主體、客體和安全等級(jí)這些概念?；?，主體和客體的概念與概念?；?，主體和客體的概念與BLPBLP模型是一致模型是一致的，系統(tǒng)中每個(gè)主體和客體都打上了標(biāo)簽，這個(gè)標(biāo)的，系統(tǒng)中每個(gè)主體和客體都打上了標(biāo)簽，這個(gè)標(biāo)簽主要功能是記載完整性等級(jí)和實(shí)體所屬的類別。簽主要功能是記載完整性等級(jí)和實(shí)體所屬的類別。BIBABIBA模型的完整性等級(jí)由模型的完整性等級(jí)由安全等級(jí)安全等級(jí)和和范圍集合范圍集合兩個(gè)部分組成。其中，安全等級(jí)主要的類型是兩個(gè)部分組成。其中，安全等級(jí)主要的類型是極重極重要要(crucial,C)(cruc

42、ial,C)、非常重要非常重要(Very Important,VI)(Very Important,VI)和和重要重要(Important,I)(Important,I)，三者之間是全序關(guān)系，即，三者之間是全序關(guān)系，即CVIICVII。范圍的定義與。范圍的定義與BLPBLP模型類似。模型類似。簡寫：簡寫：極重要（極重要（C C） 非常重要非常重要(VI)(VI)重要重要(I)(I)54 BIBABIBA模型的基本思想是低完整性的信息不能向模型的基本思想是低完整性的信息不能向高完整性的實(shí)體流動(dòng)。反之可以。即如果信息能高完整性的實(shí)體流動(dòng)。反之可以。即如果信息能從一個(gè)實(shí)體流向另一個(gè)實(shí)體時(shí)，必須滿足從

43、一個(gè)實(shí)體流向另一個(gè)實(shí)體時(shí)，必須滿足前者的前者的完整性等級(jí)和實(shí)體所屬類別都支配后者完整性等級(jí)和實(shí)體所屬類別都支配后者。 支配關(guān)系定義如下：支配關(guān)系定義如下：給定兩個(gè)安全等級(jí)給定兩個(gè)安全等級(jí)I1=, I2=,I1=, I2=,稱稱1)I11)I1支配支配I2I2成立，當(dāng)且僅當(dāng)成立，當(dāng)且僅當(dāng)C1C2C1C2且且 S1 S2S1 S2。 記記I1I2I1I2。2)I12)I1嚴(yán)格支配嚴(yán)格支配I2I2成立，當(dāng)且僅當(dāng)成立，當(dāng)且僅當(dāng)C1C2C1C2且且 S1 S2S1 S2。 記記I1I2I1I2。對(duì)給定的兩個(gè)安全等級(jí)對(duì)給定的兩個(gè)安全等級(jí)I1I1，I2I2，如果，如果I1I2I1I2和和I2I1I2I1均不

44、成立，則均不成立，則I1I1和和I2I2是不可比的。是不可比的。55 顯然對(duì)于完整性集合中的任意元素顯然對(duì)于完整性集合中的任意元素A A、B B、C C有：有：（1 1）自反性：）自反性：AAAA；（2 2）傳遞性：如果）傳遞性：如果ABAB且且BCBC，則，則ACAC；（3 3）反對(duì)稱性：如果）反對(duì)稱性：如果ABAB且且BABA，則，則A=BA=B。 BIBABIBA模型定義了四種訪問方式：模型定義了四種訪問方式：訪問訪問方式方式含義含義Modify向客體寫信息向客體寫信息Invoke只能用于主體，若兩個(gè)主只能用于主體，若兩個(gè)主體間有體間有Invoke權(quán)限，則允權(quán)限，則允許這兩個(gè)主體相互通信

45、許這兩個(gè)主體相互通信Observe從客體中讀信息從客體中讀信息Execute執(zhí)行一個(gè)客體（程序）執(zhí)行一個(gè)客體（程序）56 一種廣泛使用非自主安全策略是嚴(yán)格完整性策一種廣泛使用非自主安全策略是嚴(yán)格完整性策略，包括以下規(guī)則：略，包括以下規(guī)則：（1 1）完整性星規(guī)則：）完整性星規(guī)則：一個(gè)主體能夠?qū)σ粋€(gè)客一個(gè)主體能夠?qū)σ粋€(gè)客體持有體持有ModifyModify的訪問方式，僅當(dāng)主體的完整性等的訪問方式，僅當(dāng)主體的完整性等級(jí)支配客體的完整性等級(jí)。級(jí)支配客體的完整性等級(jí)。（2 2）援引規(guī)則：）援引規(guī)則：一個(gè)主體能夠?qū)α硪粋€(gè)主體一個(gè)主體能夠?qū)α硪粋€(gè)主體持有持有InvokeInvoke的訪問方式，僅當(dāng)?shù)谝粋€(gè)主體

46、的完整的訪問方式，僅當(dāng)?shù)谝粋€(gè)主體的完整性等級(jí)支配第二個(gè)主體的完整性等級(jí)。性等級(jí)支配第二個(gè)主體的完整性等級(jí)。（3 3）簡單完整性條件：）簡單完整性條件：一個(gè)主體能夠?qū)σ粋€(gè)一個(gè)主體能夠?qū)σ粋€(gè)客體持有客體持有ObserveObserve的訪問方式，僅當(dāng)客體的完整性的訪問方式，僅當(dāng)客體的完整性等級(jí)支配主體的完整性等級(jí)。等級(jí)支配主體的完整性等級(jí)。57BibaBiba安全模型安全模型58 Bell-LaPadulaBell-LaPadula模型：保證保密性模型：保證保密性v簡單安全特性（下讀）：一個(gè)主體只能讀一個(gè)低級(jí)別或相同安全級(jí)別的對(duì)象v*-特性（上寫）：一個(gè)主體只能寫一個(gè)高級(jí)別的或相同安全級(jí)別的對(duì)象B

47、LPBLP模型信息在系統(tǒng)中只能模型信息在系統(tǒng)中只能進(jìn)行流動(dòng)進(jìn)行流動(dòng). .BibaBiba模型：保證完整性模型：保證完整性vBiba模型與BLP模型正好完全相反： 上讀、下寫 BibaBiba模型信息在系統(tǒng)中只能模型信息在系統(tǒng)中只能進(jìn)行流動(dòng)進(jìn)行流動(dòng). . 594.4 4.4 多級(jí)安全訪多級(jí)安全訪問控制模型問控制模型在關(guān)系型數(shù)據(jù)庫中應(yīng)用在關(guān)系型數(shù)據(jù)庫中應(yīng)用MACMAC策略首先需要擴(kuò)展關(guān)策略首先需要擴(kuò)展關(guān)系模型自身的定義。因此提出了多級(jí)關(guān)系模型系模型自身的定義。因此提出了多級(jí)關(guān)系模型（Multilevel Relational ModelMultilevel Relational Model）。）。

48、多級(jí)關(guān)系的本質(zhì)特性是多級(jí)關(guān)系的本質(zhì)特性是不同的元組具有不同的不同的元組具有不同的訪問等級(jí)訪問等級(jí)。關(guān)系被分割成不同的安全區(qū)，關(guān)系被分割成不同的安全區(qū)，每個(gè)安全區(qū)對(duì)應(yīng)每個(gè)安全區(qū)對(duì)應(yīng)一個(gè)訪問等級(jí)一個(gè)訪問等級(jí)。一個(gè)訪問等級(jí)為。一個(gè)訪問等級(jí)為c c的安全區(qū)包含所有的安全區(qū)包含所有訪問等級(jí)為訪問等級(jí)為c c的元組。一個(gè)訪問等級(jí)為的元組。一個(gè)訪問等級(jí)為c c的主體能讀的主體能讀取所有訪問等級(jí)小于等于取所有訪問等級(jí)小于等于c c的安全區(qū)中的所有元組，的安全區(qū)中的所有元組，這樣的元組集合構(gòu)成訪問等級(jí)這樣的元組集合構(gòu)成訪問等級(jí)c c的多級(jí)關(guān)系視圖。類的多級(jí)關(guān)系視圖。類似地，一個(gè)訪問等級(jí)為似地，一個(gè)訪問等級(jí)為c

49、c的主體能寫所有訪問等級(jí)大的主體能寫所有訪問等級(jí)大于或等于于或等于c c的安全區(qū)中的元組。的安全區(qū)中的元組。60 在關(guān)系數(shù)據(jù)庫管理系統(tǒng)中，表、行、列、元素都是在關(guān)系數(shù)據(jù)庫管理系統(tǒng)中，表、行、列、元素都是包含并接收信息的單位，都可以由主體對(duì)其進(jìn)行操作，包含并接收信息的單位，都可以由主體對(duì)其進(jìn)行操作，都可能作為安全客體而進(jìn)行標(biāo)記。當(dāng)然，不同粒度的都可能作為安全客體而進(jìn)行標(biāo)記。當(dāng)然，不同粒度的標(biāo)記方法帶來不同的安全性，標(biāo)記方法帶來不同的安全性，越高的安全等級(jí)要求具越高的安全等級(jí)要求具有越細(xì)的粒度有越細(xì)的粒度。 每個(gè)元組中的屬性有一個(gè)屬性標(biāo)簽每個(gè)元組中的屬性有一個(gè)屬性標(biāo)簽(Attribute Labe

50、l)(Attribute Label)，用于標(biāo)記元組中屬性的訪問等級(jí)，同時(shí)還有一個(gè)元組用于標(biāo)記元組中屬性的訪問等級(jí)，同時(shí)還有一個(gè)元組標(biāo)簽標(biāo)簽(Tuple Iabel)(Tuple Iabel)，是與元組中的屬性相關(guān)的訪問等，是與元組中的屬性相關(guān)的訪問等級(jí)中的最小元素。級(jí)中的最小元素。 如果最細(xì)粒度是元素級(jí)標(biāo)簽，可以提供相當(dāng)?shù)撵`活性，如果最細(xì)粒度是元素級(jí)標(biāo)簽，可以提供相當(dāng)?shù)撵`活性，使數(shù)據(jù)庫系統(tǒng)達(dá)到較高的安全評(píng)測等級(jí)。但元素級(jí)標(biāo)使數(shù)據(jù)庫系統(tǒng)達(dá)到較高的安全評(píng)測等級(jí)。但元素級(jí)標(biāo)簽明顯增加了系統(tǒng)的復(fù)雜性，有可能大大降低系統(tǒng)的簽明顯增加了系統(tǒng)的復(fù)雜性，有可能大大降低系統(tǒng)的工作性能。工作性能。61員工員工編

51、號(hào)編號(hào)編號(hào)編號(hào)等級(jí)等級(jí)姓名姓名姓名姓名等級(jí)等級(jí)工資工資工資工資等級(jí)等級(jí)元組元組等級(jí)等級(jí)1001S小美小美S3000TSTS1002S如花如花S1000SS1003S小剛小剛S800SS1004S小偉小偉TS4300TSTS1005TS老黃老黃S5000STS1006S阿宗阿宗S900SS多級(jí)關(guān)系多級(jí)關(guān)系R R62多安全等級(jí)產(chǎn)生多實(shí)例的三個(gè)方面：多安全等級(jí)產(chǎn)生多實(shí)例的三個(gè)方面：v多實(shí)例關(guān)系：具有相同關(guān)系名和模式，但安全等級(jí)不同的多個(gè)關(guān)系；v多實(shí)例元組：具有相同主碼，但其主碼的安全等級(jí)不同的多個(gè)元組；v多實(shí)例元素：各個(gè)屬性具有不同的安全等級(jí)。兩個(gè)具有相同主碼值的安全等級(jí)是一致的。 63例：兩種多實(shí)

52、例的情況。例：兩種多實(shí)例的情況。多實(shí)例屬性多實(shí)例屬性的多級(jí)關(guān)系的多級(jí)關(guān)系wnameC1RangeC2QuantityC3TCGun1UNULLU3000UUGun1U2S5000SS多實(shí)例元組的多實(shí)例元組的多級(jí)關(guān)系多級(jí)關(guān)系wnameC1RangeC2QuantityC3TCGun1UNULLU3000UUGun1S2S5000SS644.5 4.5 安全數(shù)據(jù)視圖模型安全數(shù)據(jù)視圖模型安全數(shù)據(jù)視圖模型（安全數(shù)據(jù)視圖模型（Secure Sea ViewSecure Sea View）是）是DenningDenning等人在等人在19861986年前后于斯坦福研究所開發(fā)的一年前后于斯坦福研究所開發(fā)的一

53、個(gè)保護(hù)關(guān)系數(shù)據(jù)庫系統(tǒng)的安全模型。模型采用強(qiáng)制個(gè)保護(hù)關(guān)系數(shù)據(jù)庫系統(tǒng)的安全模型。模型采用強(qiáng)制訪問控制策略和自主訪問控制策略控制數(shù)據(jù)訪問。訪問控制策略和自主訪問控制策略控制數(shù)據(jù)訪問。定位目標(biāo)是定位目標(biāo)是A1A1級(jí)。級(jí)。安全數(shù)據(jù)視圖模型分為兩個(gè)層次：下層是強(qiáng)制安全數(shù)據(jù)視圖模型分為兩個(gè)層次：下層是強(qiáng)制訪問控制模型，上層是可信計(jì)算基（訪問控制模型，上層是可信計(jì)算基（Trusted Trusted Computing Base,TCBComputing Base,TCB）模型。）模型。其中其中MACMAC模型是實(shí)施了模型是實(shí)施了BLPBLP模型的訪問監(jiān)控器。模型的訪問監(jiān)控器。TCBTCB則定義了多級(jí)關(guān)系的概

54、念，支持對(duì)于多級(jí)關(guān)系和則定義了多級(jí)關(guān)系的概念，支持對(duì)于多級(jí)關(guān)系和視圖的自主訪問控制。由于視圖的自主訪問控制。由于TCBTCB模型位于模型位于MACMAC模型的模型的上層，其所有信息均存儲(chǔ)在上層，其所有信息均存儲(chǔ)在MACMAC訪問監(jiān)控器控制的客訪問監(jiān)控器控制的客體中。體中。65MACMAC模型概況了模型概況了BLPBLP模型與模型與BIBABIBA模型的規(guī)則，基于模型的規(guī)則，基于信息的安全等級(jí)構(gòu)造，所有需要訪問敏感信息的用戶信息的安全等級(jí)構(gòu)造，所有需要訪問敏感信息的用戶必須提供訪問這些信息所要求的機(jī)密性、完整性授權(quán)。必須提供訪問這些信息所要求的機(jī)密性、完整性授權(quán)。訪問等級(jí)：訪問等級(jí)：由一個(gè)由一個(gè)

55、保密等級(jí)保密等級(jí)部分和一個(gè)部分和一個(gè)完整性等完整性等級(jí)級(jí)部分組成，記為部分組成，記為。其中保密等級(jí)對(duì)應(yīng)于。其中保密等級(jí)對(duì)應(yīng)于BLPBLP模模型中的安全等級(jí)，完整性等級(jí)對(duì)應(yīng)于型中的安全等級(jí)，完整性等級(jí)對(duì)應(yīng)于BIBABIBA模型中的完模型中的完整性等級(jí)。整性等級(jí)。66支配關(guān)系的形式化定義：支配關(guān)系的形式化定義：給定兩個(gè)訪問等級(jí)給定兩個(gè)訪問等級(jí)C1=, C2=,C1=, C2=,C1C1支配支配C2C2，即，即C1C2C1C2當(dāng)且僅當(dāng)當(dāng)且僅當(dāng)X1X2X1X2，Y1Y1Y2Y2。如果上述兩個(gè)不等式中任意一個(gè)是嚴(yán)格成立的（即如果上述兩個(gè)不等式中任意一個(gè)是嚴(yán)格成立的（即 或或 ），則稱），則稱C1C1嚴(yán)格

56、支配嚴(yán)格支配C2C2。如果如果C1C2C1C2和和C2C1C2C1均不成立，則稱均不成立，則稱C1C1和和C2C2是不可比是不可比的。的?？腕w：客體：定義為必須對(duì)其進(jìn)行訪問的信息容器（如文定義為必須對(duì)其進(jìn)行訪問的信息容器（如文件）。每個(gè)客體指派一個(gè)惟一的標(biāo)識(shí)符和一個(gè)惟一的訪問件）。每個(gè)客體指派一個(gè)惟一的標(biāo)識(shí)符和一個(gè)惟一的訪問等級(jí)。此標(biāo)識(shí)符和訪問等級(jí)在客體的整個(gè)生命周期固定不等級(jí)。此標(biāo)識(shí)符和訪問等級(jí)在客體的整個(gè)生命周期固定不變。變。由由MACMAC模型保護(hù)的客體不是數(shù)據(jù)庫的抽象結(jié)構(gòu)，而是模型保護(hù)的客體不是數(shù)據(jù)庫的抽象結(jié)構(gòu)，而是底層操作系統(tǒng)中的單級(jí)文件，數(shù)據(jù)庫信息映射到這些文件底層操作系統(tǒng)中的單級(jí)

57、文件，數(shù)據(jù)庫信息映射到這些文件中。這允許模型用訪問單級(jí)客體的方式說明并實(shí)現(xiàn)強(qiáng)制訪中。這允許模型用訪問單級(jí)客體的方式說明并實(shí)現(xiàn)強(qiáng)制訪問控制策略。問控制策略。67 主體：主體：MACMAC模型中的主體是用戶進(jìn)程。用戶模型中的主體是用戶進(jìn)程。用戶進(jìn)程的訪問等級(jí)等價(jià)于用戶的訪問關(guān)系。進(jìn)程的訪問等級(jí)等價(jià)于用戶的訪問關(guān)系。系統(tǒng)為每個(gè)用戶指定一個(gè)允許執(zhí)行的保密等系統(tǒng)為每個(gè)用戶指定一個(gè)允許執(zhí)行的保密等級(jí)和完整性等級(jí)范圍：級(jí)和完整性等級(jí)范圍：最小保密等級(jí)(minsecrecy)最小完整性等級(jí)(minintegrity)最大保密等級(jí)(maxsecrecy)最大完整性等級(jí)(maxintegrity)v偶對(duì)稱為主體的

58、寫等級(jí)；v偶對(duì)稱為主體的讀等級(jí)。顯然，讀等級(jí)必須支配寫等級(jí)。68 訪問方式：訪問方式：模型的強(qiáng)制訪問控制策略限定了模型的強(qiáng)制訪問控制策略限定了在數(shù)據(jù)庫底層操作系統(tǒng)客體上可以執(zhí)行的基本在數(shù)據(jù)庫底層操作系統(tǒng)客體上可以執(zhí)行的基本訪問方式，主要是：訪問方式，主要是：讀：讀存儲(chǔ)在客體中的信息。讀：讀存儲(chǔ)在客體中的信息。寫：向客體中寫信息。寫：向客體中寫信息。執(zhí)行：執(zhí)行一個(gè)客體。執(zhí)行：執(zhí)行一個(gè)客體。69 規(guī)則：規(guī)則：MACMAC模型通過一組規(guī)則集控制訪問方模型通過一組規(guī)則集控制訪問方式的執(zhí)行，這些規(guī)則是：式的執(zhí)行，這些規(guī)則是：v讀規(guī)則：讀規(guī)則：僅當(dāng)主體的讀等級(jí)支配客體的訪僅當(dāng)主體的讀等級(jí)支配客體的訪問等級(jí)

59、時(shí)，主體能夠讀客體的信息。問等級(jí)時(shí)，主體能夠讀客體的信息。形式化表示為：主體形式化表示為：主體s s能夠讀客體能夠讀客體o o，僅當(dāng)，僅當(dāng) readclass(s)accessclass(o)readclass(s)accessclass(o)。 例：例： readclass(s) readclass(s)（高，低）（高，低） accessclass(o) accessclass(o)（低，高）。（低，高）。/該規(guī)則是該規(guī)則是BLPBLP模型中不上讀保密規(guī)則和模型中不上讀保密規(guī)則和BIBABIBA模型中嚴(yán)格完整性策略的不下讀完整性規(guī)則的模型中嚴(yán)格完整性策略的不下讀完整性規(guī)則的綜合。綜合。70v

60、寫規(guī)則寫規(guī)則：僅當(dāng)主體的寫等級(jí)受客體的訪問等級(jí)：僅當(dāng)主體的寫等級(jí)受客體的訪問等級(jí)支配時(shí)，主體能夠向客體寫信息。支配時(shí)，主體能夠向客體寫信息。形式化表示為：主體形式化表示為：主體s s能夠?qū)懣腕w能夠?qū)懣腕wo o，僅當(dāng)，僅當(dāng)writeclass(s)accessclass(o)writeclass(s)accessclass(o)。例：例： writeclass(s) writeclass(s)（低，高）（低，高） accessclass(o) accessclass(o)（高，低）。（高，低）。 /該規(guī)則是該規(guī)則是BLPBLP模型中不下寫保密規(guī)則和模型中不下寫保密規(guī)則和BIBABIBA模模型中嚴(yán)