分布式数据库的安全与管理.ppt

1,第八章 分布式数据库的安全与管理,2,概念(1),保密 即“私有”, 控制属于自己的数据 安全 保护保密数据不被非法使用 安全的两个方面 数据保护和授权控制 进一步 保障DB数据完整性 保障DB数据的保密性 身份识别, 访问控制, 审计, 隐通道等 保障DB数据的可用性,3,概念(2),不安全因素 黑客攻击 病毒 网络环境的脆弱 OS安全 DBMS安全 网络协议安全,4,概念(3),DDB安全需求 受破坏时的表现 非法用户对DB的访问, 执行了不正确的修改, DB一致性, 完整性被破坏, DB中垃圾堆积, 使DB不可用 安全环节 各站点上存储安全, 本地/远程访问安全, 传输安全 提供服务 DB有保密性 DB有一致性 有可用性 防止/及时修复错误造成的恶意破坏 有可控性 对DB变化做跟踪记录,5,分布式授权控制问题,远程用户身份认证 分布式授权规则管理 分布式授权规则表达与集中式时相同 视图以及用户组的管理,6,完整性(1),一致性, 正确性, 有效性和准确性 数据库状态是否遵从它所描述的机构的规则 关系定义时的约束 局部完整性与全局完整性的约束 局部完整性约束是通过局部数据库系统实现 站点自治要求DDBS上的完整性约束不应该改变其原有约束,7,完整性(2),局部完整性约束不一致 站点1要求EMP有birthdate属性, 站点2不要求 站点1要求学生每学期学习5门课, 站点2要求学习6门课 (使全局用户计算学生平均分数时困惑) 站点1的Salary有上/下限要求, 站点2没有要求 难以规定全局的完整性 EMP的工作总时数20, 若EMP可以在两个站点上的部门工作, 如何分配工作时数(全局完整性约束保留在全局目录系统中) 全局与局部完整性的不一致 同时允许局部与全局完整性, 不一致性不可避免 假定全局要求EMP.hour20, 站点1要求EMP.hour15, 站点2要求EMP.hour10,8,安全层次,安全 - 防止人恶意地破坏和偷窃数据 数据库系统层次 OS层次 网络层次 物理层次 人员层次,9,OS层次的安全,防止非法登录 文件层访问保护(通常对DB安全作用不大) 防止“超级用户”的不正确使用 防止高级别优先权的指令的不正确使用,10,网络层安全,每个站点必须保证是与可信赖的站点通信 链路必须保证没有没窃听和篡改 方法: 基于保密字的协议 (password-based), 密码学(Cryptography),11,物理层,保护数据不受侵入者的物理破坏, 传统方式用锁和钥匙等 保护不受洪水, 电力故障等 数据恢复 保护磁盘不被偷窃, 清除, 物理损坏等,12,人员层,防止保密字被盗, 偷看 主要的管理方法: 经常变换保密字 使用不可猜测的保密字 日志所有非法的访问 数据审计 仔细雇用人员,13,数据库层,假定在OS, 网络, 人员, 物理层都是安全的 数据库安全是: 每个用户仅仅可以读/写部分数据 用户可能对整个文件或关系有权, 也可能仅仅只对文件或关系的一部分有权,14,安全术语(1),主体(Subject) 引起信息流动或改变系统状态的主动实体, 如用户, 程序, 进程 客体(Object) 蕴含或接收信息的被动实体, 信息的载体, 如DB, 表, 记录, 视图, 属性等 安全级(Security Level) 主体和客体的访问特权, 一般主体安全级表示主体对客体敏感信息的操作能力, 客体安全级表示客体信息的敏感度,15,安全术语(2),隐蔽信道(Covert Channel) 进程以危害系统安全的隐蔽方式传输信息的通信信道 统计数据库(推论)安全, 信息漏洞, 特洛伊木马等 自主访问控制(Discretionary Access Control) 基于主体身份或主体所属组的身份或二者结合来限制对客体访问的方法。具有访问权的主体能自行决定其访问权直接或间接转授给别人 强制访问控制(Mandatory Access Control) 基于主体与客体各自所具有的敏感度标记的控制关系来决定主体对客体的访问, 标记是由系统安全员指派, 用户不能随意修改, 更不能转让,16,权限控制,当主体访问客体时, 要进行访问的合法性检查。 “知必所需” 原则 限制用户只能知道授权他知道的那些数据对象(最小特权原则),17,权,数据库部分的权的形式: 读权 - 允许读, 但是不能修改数据 插入权 - 允许插入新数据, 但不能修改以存在的数据 修改权 - 允许修改, 但不能删除数据 删除权 - 允许删除数据,18,权 续.,更新数据库模式权的的形式: 索引权 - 允许创建和删除索引 资源权 - 允许创建新关系 修改权 - 允许增加或删除关系中的属性 删除权 - 允许删除关系,19,权与视图,用户可以将某个权授给视图, 但是没有给定义视图的关系 视图可以通过限制用户访问的数据而加强数据库的安全性 关系层和视图层的安全组合可以精确地限制用户只对其应用需要的数据访问,20,授权与收权,Grant 语句 Grant To With Grant Option Revoke 语句 Revoke From ,21,授权方式(1),静态授权 DBMS必须要确定不同用户对不同数据对象的存取权 数据对象的粒度由系统规定 数据对象命名唯一 DBA拥有访问全部数据对象的全权 检查功能 隔离功能 保证用户只访问已授权的数据对象 控制访问 保证用户只能按他已得到的访问权的访问方式存取数据,22,授权方式(2),矩阵法实现 安全矩阵法或存取检查矩阵法 矩阵S的元素 Sij=S(Ui, Oj) 用户Ui对数据对象Oj的存取权. 矩阵法简便有效, OS的存取检查中广泛被应用 按行存储法 按用户存储的权利表方法 按列存储法 按数据对象存储的权利表方法,23,R, D,R, U,R,Un,R, DR,R,R, U,U2,R, I,R, D,R, D,U1,Om,O2,O1,数据对象,用户,安全矩阵S,24,授权方式(3),锁钥实现法 矩阵法中按行存储与按列存储方法的结合 每个用户Ui设立一个钥表(O1, K1), (O2, K2),. (Om, Km), 每个数据对象Oj设立一个锁表(L1, P1), (L2, P2),. (Ls, Ps), Ki 保密钥 Li 保密锁 Pi 存取权集 钥匙表由数据安全子系统管理 若Ui对Oj存取权Pi时, 查其Kj是否能与Oj中的某一Lk配对, 若存在这样的Lk, 使Kj=Lk, 且Pi Pk,则批准存取.,25,授权方式(4),口令实现法 将锁钥法中的钥匙直接交给用户, 则称口令法 面向数据对象 每个数据对象有一个存取口令, 用户通过出示其存取口令来访问数据对象. 安全表集中管理, 系统实现简单 面向用户 每个用户或用户组一个口令, 口令表中存放该口令可以访问的对象列表 简单口令表 划分安全级别的口令表,26,面向用户的简单口令系统,27,划分安全级别的口令表,28,关系及元组的安全级表,29,授权方式(5),动态授权方式 用户对自己生成的关系拥有全权, 通过授权和收权语句完成对数据开放, 保密的存取权授予(Grant, Revoke) 存取表(AT)实现法 t: Time g: 转让 y: 允许 N: 不允许 opt: 限制 all 所有属性都允许 none 所有属性都不允许 some 某些属性允许 视图法,30,动态授权方式的存取表AT,31,多级安全的BLP模型(1),D.E.Bell和 L.J.La Padula 于1973年模拟军事安全策略创建的计算机系统安全模型, 74年改进, 76年用于Multics操作系统 形式化定义 状态机模型 系统状态 状态v V V=(B M F H) B 当前存取集, B (S O A) S 主体集 O 客体集 A 访问方式集, 有Read(R), Write(W), Execute(E) Append(A),32,多级安全的BLP模型(2),存取控制矩阵 M=,m11 m1n,mn1 mnn,.,mij A 表示Si主体对客体Oj的访问权集,F: 安全级函数. 三个分量 fn 主体最大安全级函数 fc 主体当前最大安全级 fo 客体安全级 H: 当前客体层次结构 H(O): 以O为根的树中客体集合 H的限制: 在当前客体结构中, 任意客体不具有多个父客 体且不存在循环,33,多级安全的BLP模型(3),状态转换 规则 : R V D V R V 系统中给请求定义的请求-状态对集合 D V 系统中给请求定义的判定-状态对集合 R: 请求集 D: 请求的输出集 yes, no, ?, error 模型公理 简单安全特性 V=(b, M, f, H) 满足简单安全特性, 当且仅当对任意 b=(s, o, x) B , 有 x=e/a 或者 x=r/w 并且 fn(s) = fo(o) 即主体读写或访问客体, 要求 主体的最大安全级别 = 客体的安全级别,34,多级安全的BLP模型(4),*特性 V=(b, M, f, H) 对以主体集S S 满足*特性, 当且仅当对任意b=(s, o, x) B x=a fc (s) = fo (o) S是不可信主体 该特性用以防止不可信主体引起的信息从高安全级向低安全级的非法流动,35,多级安全的BLP模型(5),自主安全特性 V=(b, M, f, H)满足该特性, 当且仅当对每个b=(si, oj, x) B, x Mij Si对Oj可执行的读写访问集只能是Mij所允许的集合 兼容特性 客体层次结构H保持兼容特性, 当且仅当对任意Oi, Oj O 并且Oj H(fo(Oi), fo(Oj) = fo(Oi), 用于保持客体的安全级别是向树叶方向增高,36,多级安全的BLP模型(5),BLP模型策略分两部分 MAC部分 包括简单安全特性和*特性, 是通过安全级别来强制约束主体对客体的存取 DAC部分 通过存取控制矩阵按用户意愿限制主体对客体的存取,37,基于标记的多级安全(1),一种实现强制访问控制的RDB系统 基于BLP模型 1991年 Jajodia和Sandhu提出 基础 主体集S, 客体集O 每个主体s, 存在固定的安全类SC(s) 每个客体o, 存在固定的安全类SC(o) 简单安全特性 iff SC(o) = SC(s) 时, s可以读o (下读) *特性 iff SC(s) = SC(o)时, s才可以写o ( 上写),38,基于标记的多级安全(2),基本概念 安全标记 基于标记的安全DB中, 信息流动策略定义为一个格阵(SC, ) SC: 安全类的有限集 :定义在SC上的二元偏序关系 当A B时, 允许A类信息流向B类. 每个安全类定义为 (level, Scope) level: 密级, 分为绝密, 秘密, 机密, 普通 Scope: 领域,39,基于标记的多级安全(3),客体安全标记 为实现强制访问控制, 对数据进行标记, 按粒度分 为三级 基于元组的标记 (A1, A2, ., An, TC) 基于主键的标记 (A1, C1, A2, ., An, TC) 基于每个属性的标记 (A1, C1, A2, C2, ., An, Cn, TC),40,基于标记的多级安全(4),主体安全标记 由系统安全员指派给用户, 也是用户向系统登录时使用的安全标记. 一个用户可以申请不同的许可证. 读写策略 当且仅当 Level_o = Level_s, 并且Scope_o Scope_s 时, 主体才能读客体 当且仅当 Level_o = Level_s, 并且Scope_o = Scope_s 时, 主体才能写客体,41,基于标记的多级安全(5),基于标记的多级安全关系 对关系的扩展 将关系R(A1, A2, ., An)扩展为 R(A1, C1, A2, C2,., An, Cn, TC), Ci是Ai的定义域, 由区间 Li, Hi 表示从Li到Hi的访问类子格, TC是整个元组的安全标记, 由区间 lubLi:i=1,n, lubHi:i=1,n 表示.,42,基于标记的多级安全(6),关系实例 r (A1, C1, A2, C2,., An, Cn, TC) 关系实例中元组 t (a1, c1, a2, c2,., an, cn, tc) ciLi, Hi, tc=lub(ci) 不同级别的主体对关系实例有不同的视图,43,基于标记的多级安全(7),多级安全的读写规则 主体与客体都被标记, 并遵循Bell-La Padula模型 主体只能读其级别等于或小于其登录标记(许可证)的元组 下读 主体写时, 其登录标记也随之记录到所写元组中, 成为该元组的安全级别, 并且只能写入级别等于或大于其登录标记的元组 上写,44,MLS 关系举例(1),Ename Sal Job performance TC Smith U 4000 U Fair U U Brown U 5000 U Good U U Jack C 2000 C Excellent C C Jack C 2000 C Fair S S,45,MLS 关系举例(2),Level U 读到前 2 元组 Level C 读到前 3 元组 Level S 读到所有元组,46,安全评估标准(1),计算机系统的安全标准 1983年美国防部桔皮书 TCSEC 1990年欧洲白皮书 CC 1994年中国 TCSEC将安全分为四类7个级别 D类 D级 最低,47,安全评估标准(2),C类 自主保护类 , 基于主体身份来限制对客体访问, 主体可自主地决定其权限的授与 C1级 自主安全 (自主存取控制, 审计) C2级 可控存取 (比C1更强) B类 强制保护类, 基于主体与客体各自所具有的敏感度标记的控制关系来决定主体对客体的访问 B1级 标记安全(强制存取控制, 敏感标记) B2级 结构化保护(形式化模型, 隐蔽通道约束) B3级 安全域保护(安全内核, 高抗渗透) A类 验证保护类 A1级 可验证保护,形式化安全验证,隐蔽通道分析,48,TCSCE的安全等级与主要特征表,49,安全评估标准(3),DBMS的安全评估标准 应与OS有相同的安全级别 1991年美国家计算机安全中心根据TCSEC制订紫皮书 DBMS的安全也分四类,7级, 25条评估标准 D级 低级安全保护 C1级 自主安全保护 C2级 受控存取保护 B1级 标记安全保护 B2级 结构化保护 B3级 安全域保护 A1级 可验证保护,50,* - - - - - * * * * * - * - - - - - * - * * * * *,24 25 26 27,安全性能用户指南 保安设施手册 考核文件 设计文件,文 件,* * * - - - * - - - - - * * * * * * * * * * * * * * * - * - * * - *,15 16 17 18 19 20 21 22 23,体系结构 系统的完整性 完全考核 设计规范与验证 隐蔽通道分析 可信设施管理 配置管理 恢复 可信分配,保 证,* * * - - - * * * * - * * -,12 13 14,标示与鉴别 审计 可信路径,责 任,* * - - * - - * - - - - * * - - * - - - * - - - * - - - * - - - * - - - * * - - * - - * - -,1 2 3 4 5 6 7 8 9 10 11,自主访问控制 客体重用 标记 标记的完整性 标记信息输出 多级设备输出 单级设备输出 标记的硬拷贝输出 强制访问控制 主体安全表示 设备标记,安 全 策 略,D C1 C2 B1 B2 B3 A1,序号,安全评估指标,类别,不同安全级别对安全评估指标的支持,51,当前流行RDBMS安全机制(1),共性 权限(Privilege)和授权(Authorization) 角色(Role) 系统角色 系统预先定义 用户定义角色 命令方式定义 身份认证(Authorization) 为确认某人是他自称的那个人, 检查他的合法性 系统登录认证 OS检查 数据库连接 DBMS验证 数据库对象使用 DBMS核实其对数据对象的存取权限,52,OS或NOS 验证身份,DBMS 验证身份,DBMS 验证权限,用户名 /口令,登陆OS 或NOS,登陆 DBMS,访问 DB,身份认证的三个级别,53,当前流行RDBMS安全机制(2),自主访问控制 采用存取矩阵模型实现自主访问控制 描述用户对DB级其对象的访问权限通过Grant语句建立 审计(Auditing) 固定方式 系统自动对其进行 选择方式 审计内容由用户(包括DBA)设置 视图, 存储过程和触发器 存储过程 为实现某一功能的一组SQL语句,54,当前流行RDBMS安全机制(3),努力与改进 目前系统符合TCSEC的C1或C2级要求 ORACLE公司的Trusted Oracle7是多级安全服务器 强制访问控制 任意用户访问DB前, 对其进行强制访问控制 使用标签 DB中每一行都有一个安全标签, 表示该行数据的敏感度 用户可写数据标签 = 用户当前任务的敏感度标签 (同级写) 用户可读数据标签 或= 用户当前任务的敏感度标签 (下读),55,当前流行RDBMS安全机制(4),Sybase和RTM合作开发的符合TCSEC的B类标准安全SQL服务器 B1版本 B1级安全的UNIX上运行 B2版本 可在裸机上运行 DB2对用户身份验证的改进 Client类型 验证在激活应用的服务器上进行 Server类型 在数据库所驻留的服务器上进行 分布式数据库服务器, 在安装了DDCS的网关上进行, 若验证为DCS类型, 验证被传递到主机DBMS, 若数据访问不涉及DDCS, 则在数据库驻留的服务器上对身份验证,56,DDB的目录系统(1),目录(System Catalog) 一个“微小DB”, 描述DB的元数据 字典(Dictionary) 比目录更一般的软件, 存储的信息可为用户和DBA使用, 但更重要的是为DBMS本省的软件模块所有 以表的形式存放在DB中, 表由系统建立, 用户只可读, 不可写,57,DDB的目录系统(2),目录的内容 全局模式描述 分片模式描述 分布模式描述 局部映射 存取方式描述 数据库统计信息 一致性约束 状态信息 数据表示 系统描述,58,DDB的目录系统(3),目录的用途 设计应用 翻译应用 优化处理 运行监督 系统维护,59,DDB的目录系统(4),组织方式 独立式 利用OS提供的文件管理功能建立和维护目录信息 分离式 利用DBMS建立和维护目录信息, 但其用户界面和功能均独立于DBMS 嵌入式 DBMS与目录信息一体化, 即数据目录系统作为DBMS的子集, DBMS通常应用该方式,60,DDB的目录系统(5),逻辑结构 网络目录 含有运行,优化DDB的信息, 包括通信线路的有关参数, 各站点CPU的工作负载, 磁盘空间占有状态,语言配置,处理功能等 全局外模式目录 数据结构, 存储位置, 划分准则, 完整性, 安全性控制, 数据映像及存取路径, 各站点软硬件特征 全局概念模式目录 全局关系, 公共过程等, 以反映DDB的整体观念, 提供唯一的系统映象,61,DDB的目录系统(6),局部外模式目录与局部概念模式目录 与全局外模式和全局模式目录类似, 但包含的信息仅涉及各自站点的处理对象, 与其它站点无关 内模式目录 DDBS的局部存储描述, 与集中式系统完全相同. 目的是合理地组织物理数据库, 以提高运行效率,62,网络目录,全局外模式 目录,局部外模式 目录,全局概念模式 目录,局部概念模式 目录,内模式 目录,局部数据库,DDBS目录系统的逻辑结构,63,DDB的目录系统(7),目录管理系统 在网络OS和DDBMS的支持下实现对DB目录进行自动管理, 并保持其在动态变化过程中数据目录的一致性和有效性 功能模块 目录定义 目录装入 目录查询, 更新 目录维护 报告生成,64,DDB的目录系统(8),目录的分布方式 集中式 单一主目录方式 分组主目录 全复制式目录 局部式目录 混合方式 集中与局部混合 全复制与局部式混合 混合的关键是目录的划分,65,具有站点自治的命名与管理(1),站点自治 允许每个局部用户在与全局无关的前提下建立和命名其自己的局部数据, 并允许若干用户共享这些数据的权利 允许用户在各自站点独立定义数据 允许不同用户在自己站点对同一数据命以不同的名字 允许不同站点上的不同用户使用相同名字访问不同数据,66,具有站点自治的命名与管理(2),命名机制(System R为例) 系统范围名 4部分组成 创建对象的用户标识符, 用户所在站点名, 对象名, 对象的源站点名 User-1shanghai.EMP beijing “”是站点名的前置分隔符 “.” 是对象名的前置分隔符 该例表示上海站点的用户User-1在北京站点上创建了一个EMP的全局对象名 打印名 系统范围名的速记名,67,具有站点自治的命名与管理(3),目录分布策略 在每一对象的源站点存放一个描述该对象的目录项 在对象副本所在的每一个站点设置该对象相应的目录项 目录分布特点 避免了目录的全复制, 各站点可以自主定义对象 站点不需维护不是其创建或不存储对象的描述,68,分布式DB中权限保护(1),DDB中给予每个站点自治性的程度 没有任何自治性 全局DBA的功能与集中式DBA没有多少差别 完全站点自治 全局DBA功能有限, 站点间共享数据是其协商的结果 激活与保护站点之间的通信, 重要的事要保证 通信线路另一侧是所要的站点 识别协议 没有入侵者能读取或操纵两个站点之间交换的报文,69,分布式DB中权限保护(2),权限规则的分布 全局复制 此法允许在编译时, 或者执行开始时检验权限, 能较早发现用户是否是合法访问 将权限规则分配在对象所属的站点 此法与站点自治一致, 但是用户权限检验只能在编译或执行的某个中间阶段通过访问数据实现 DDB中要增加“移动”对象的权 移动对象的权 插入和删除的权,70,DDBS中的用户识别,原则上说用户可以在DDBS内的任一站点被识别 全复制口令 口令可以在DDB的所有站点中复制, 缺点是危害口令的保密性 家乡站点 每个用户可以有一个“家乡”站点, 在那儿对其识别 穿越 限制每个用户只在家乡站点登录并识别 优点 用穿越功能使在远程登录的用户能把它们的终端连到其家乡站点识别 认为用户识别比Data和Program更为“静止”, 即用户常常在同一个站点访问DDB,71,DDBS中用户分类,自然分类 根据数据库数据在不同站点中的分布考虑 例: 站点1的全部用户 用户组中包含来自多个站点用户 与“纯粹”站点自治相对立 要考虑“该组访问权信息存放何处”类问题,72,Oracle 8 的安全管理(1),用户验证 数据库验证 创建用户和指定口令时使用 口令管理 创建用户