（计算机软件与理论专业论文）b1级强制访问控制数据模型的研究和应用.pdf

摘要 数据模型是数据库系统的核心和基础，建立一个安全数据模型，对设计、 开发高安全级系统而言是至关重要的。其中强制访问控制是安全数据模型中最重 要的部分，是系统安全等级能否达到b l 级的重要决定因素。 本文提出了一种具有强制访问控制的多级安全关系数据模型。该模型参照了 许多经典多级安全数据模型的“数据借用( d a t a b o r r o w ) ”和“基于数据的语义 ( d a t a b a s e ds e m a n t i c s ) ”的思想，并在此基础上重新定义了数据完整性，有效 地解决了多级安全数据库中由多实例产生的语义模糊问题。按照“下读上写”的 安全策略重新定义了s o l 的四种标准数据操作语句，并根据上写的要求新定义了 u p l e v e l 语句，并证明了其正确性。最后，采用视图法实现多级关系与单级关系 之间的映射，通过将多级关系分解为传统的单级关系，使得对多级关系的操作分 鳃为传统的单级关系操作，简化了安全控制的实现。 在具体实现方面，依照上述模型的具体实现算法，不仅实现了单级关系与 多级关系之间的转换，而且实现了数据库数据项级的强制访问控制。通过身份认 证、角色访问控制、强制访问控制和审计四个模块实现了具有数据项级的强制访 问控制安全数据库的安全子系统，从而实现了b 1 级安全数据库的安全功能。 关键词：安全数据模型b l 级强制访问控制数据完整性数据正确性数据 操作 第1 i i 页 a b s i r a c t d a t am o d e l1 st h ec o r ea n df o u n d a t i o no ft h ed a t a b a s es y s t e m e s t 曲l i s h i n ga s e c u r ed a t a m o d e li s v e r yi m p o r t a n tf o rd e s i g n i n g a n de x p l o i t i n ga h i g h s e c u r e l e v e ls y s t e m m a n d a t o r y a c c e s sc o n t r o lf 凇c 1i st h em o s ti m p o r t a n tp a r to ft h es e c u r ed a t am o d e la n di saf a t a lf a c t o r w h i c hd e t e r m i n e sw h e t h e ras e c u r el e v e lo ft h ed a t a b a s es y s t e mc a nr e a c hb 1l e v e l i nt h i sp a p e r , t h ea u t h o rp r o v i d e sam u l t i l e v e ls e c u r i t yd a t am o d e lw i t hm a ct h i sm o d e l c o n s u l t e dt h et w oc o n e e d t so f “d a t a - b 0 1 t o w ”a n d “d a t a - b a s e ds e m a n t i c s ”t h a ta r eu s e di nm a n y c l a s s i c a lm u l t i l e v e ls e c u r i t yd a t am o d e l ss oa st oe l i m i n a t ea m b i g u i t yo fs e m a n t i c se f f e c t i v e l y o n t h i sb a s i s ，t h ed a t ai n t e g r i t yi s r e d e f i n e d t h e n ，a c c o r d i n gt ot h ea c c e s sr u l e so f “d o w n w a r dr e a d a n du p w a r dw r i t e ”，t h ea u t h o rr e d e f i n e st h ef o u rd a t am a n i p u l a t i o no p e r a t i o ns e n t e n c e s t h e a u t h o rr e d e f i n e st h eu p l e v e ls e n t e n c ea c c o r d i n gt ot h eu p w a r d w r i t i n gr e q u i r e m e n ta n dp r o v e s i t sc o r r e c t n e s s a t1 a s t ，t h em a pb e t w e e nt h em u l t i l e v e lr e l a t i o na n dt h es i n g l el e v e lr e l a t i o n si s r e a l i z e db yv i e w m e t h o d b yd i s a s s e m b l i n gt h e m u l t i l e v e lr e l a t i o ni n t ot h et r a d i t i o n a ls i n g l el e v e l r e l a t i o n ，t h em u l f i l e v e lr e l a t i o no p e r a t i o n1 sd i s a s s e m b l e di n t os i n g l e1 e v e lr e l a t i o no p e r a t i o na n d t h er e a l i z a t i o no f s e c u r ec o n t r o li ss i m p l i f i e d a c c o r d i n gt ot h em o d e lm e n t i o n e da b o v e t h ec o n v e r s i o no ft h es i n g l e 1 e v e lr e l a t i o n sb e t w e e n m u l t i l e v e lr e l a t i o n sa sw e l la st h em a n d a t o r y a c c e s sc o n t r 0 1o f t h ed a t a b a s ei si m p l e m e n t e d w i t h f o u rm o d e l s ( i d e n t i t ya u t h e n t i c a t i o n ，r o l e - b a s e da c c e s sc o n t r o l ( r b a c l ，m a n d a t o r ya c c e s s c o n t r o l ( m a c ) a n da u d i t ) t h es e c u r es u b s y s t e mo fs e c u r ed a t a b a s ew i t hm a n d a t o r ya c c e s s c o n t r o li sr e a l i z e da n db l1 e v e ls e c u r ed a t a b a s ei sr e a l i z e d k e yw o r d s ：s e c u r i t yd a t am o d e l ，b il e v e l ，m a n d a t o r ya c c e s sc o n t r o l ，d a t a i n t e r g r i t y , d a t a c o r r e c t n e s s ，d a t ao p e r a t i o n 第1 v 页 b 1 级强制访问控制数据模型的研究和麻用 第一章引言 1 1 数据库安全需求 目前信息己成为推动社会进步和发展的重大资源，而大量的信息存储在计算机系统 的数据库中，其中有大量的内容涉及到军事、政治、文化、经济部门的机密情报和资 料，如果没有可信可靠的安全数据库管理系统对这些信息的存取、加工进行有效而安全 的管理，则机密信息的泄露或被破坏所造成的损失是难以估量的。因此研究安全数据库 系统具有重大的现实意义，安全数据库近年来已成为计算机安全领域的一个热点。美国 国防部于1 9 8 3 年颁布了t c s e c ( 可信计算机系统评估准则) ，使用户可以对其计算机 系统内敏感信息安全操作的可信程度做评估。1 9 9 1 年美国n c s c ( 国家计算机安全中 心) 又颁布了t d i ( 可信计算机系统评估标准关于数据库系统的解释) ，定义了数据库 管理系统的设计和实现中需满足和用以进行安全评估的标准，在t d i 中对强制存取控制 作出了全面的定义和描述，并定义了d 、c 、b 、a 四组七个等级，依次是：d ；c ( c i ， c 2 ) ；b ( b i ，b 2 ，b 3 ) ；a ( a i ) ，按系统可靠或可信程度逐渐增高。其中d 级为最低 级别，c 级能提供自主保护，b 级能提供强制保护，a 级最高。目前国内流行的d b m s 有 o r a c l e 、s q ls e r v e r 、i n f o r m i x 等，它们都不同程度地提供了基本的安全功能，这些 功能可归为三类安全控制机制：身份鉴别、访问控制( 自主访问控制) 和审计。按照 t c s e c t d i 的标准，这类安全控制最多使系统的可信度达到c 2 级，可满足普通的民用 系统的安全性要求。但对于一些特殊部门( 如军队和政府) ，依赖这些系统是不能满足 其应用的高安全性要求。这些部门的数据信息通常要求具有很高的机密性和敏感性，并 且其数据具有严格的分层结构，要求不同级别的用户所看的内容是不同，即系统应提供 强制访问控制功能，使系统的可信度达到b l 级以上，因此这些部门不能使用安全级低 于b 1 的数据库系统。一般把具有强制存取控制的数据库系统称为多级安全数据库系 统，这类系统可满足军队、政府等特殊部门的安全要求，国外已有现成的多级数据库管 理系统。但由于一些国家对安全产品的出口是严格限制的，高安全级的系统禁止向外销 售，因此一些具有强制访问控制的安全数据库系统目前都未进入我国市场，而且对于一 些涉及国家安全和重大利益的系统如果直接从国外购买，也难以保证其安全性。因此， 研究开发我们自己的提供强制访问控制的安全数据库系统势在必行。 1 2 国内外研究现状 国外对安全数据库系统的研制开始的较早，而且非常活跃，从评估标准、安全数据 库模型到商用多级数据库管理系统都有。与国外相比，国内在安全计算机系统、安全数 据库系统上的研究从八十年代才开始。在安全数据库方面，国内少数单位进行了初步的 第1 页 b 1 级强制访问控制数据模型的研究和应用 研究，如华中理工大计算机系在o r a c l e 基础上实现的“多级安全加密数据库管理系 统”等，为我国研制具有独立版权的安全数据库系统做出了有益的尝试。 1 3 课题的目的及意义 虽然西方发达国家在安全数据库技术上处于先进水平，且有一批成功的安全数据 库产品，但因为如下两个原因，我国不可能直接从国外引入： ( 1 ) 西方发达国家安全计算机技术上，对我国采取输入禁运的政策，因此，我国无 法引入高安全级的系统。 ( 2 ) 安全数据库系统所处理的敏感信息，很大部分涉及到国家的军事、政治机密， 如果直接从国外购买，难以保证其安全性。 因此，通过本课题的研究，我们探索了多级安全数据库系统中的安全问题及解决 模型和技术，并利用多级安全技术和现有的成熟商品化数据库系统，探索开发出比较实 用的多级安全系统。 1 4 课题的研究内容 本课题首先分析了数据库系统的安全需求以及安全数据模型在实现数据库系统安 全的重要作用，而后提出了一种改进的多级安全数据模型，并给出实现该模型的具体算 法。最后，设计实现了具有强制访问控制的安全数据库的安全子系统。通过身份认证、 角色访问控制、强制访问控制和审计四个模块实现多级安全数据库的主要安全功能，增 强了现有单级数据库的安全性。 第2 页 b 1 级强制访问控制数据模型的研究和应用 型 第二章数据库系统安全简介 2 1 数据库安全性控制 在一般计算机系统中，安全措施是一级一级层层设置的，例如可以有下面的模 用户标识和鉴别存取控制操作系统安全保护数据密码保护 图2 - 1 计算机系统的安全模型 用户要求进入计算机系统时，系统首先根据输入的用户标识进行用户身份鉴定， 只有合法的用户才准许进入计算机系统。对已进入系统的用户，d b m s 还要进行存取控 制，只允许用户进行合法操作。操作系统一级也会有自己的保护措施。数据最后还可以 以密码形式存储到数据库中。 ( 1 ) 用户标识和鉴别 数据库首先必须能够正确标识并鉴别用户的身份，防止非法用户进入系统。此过 程称为用户身份鉴别。身份鉴别的方法有多种，目前多用的方法是用户向系统出示其账 号和口令，系统对之进行验证，判断用户是否为合法用户，只有合法用户才允许进入系 统。身份鉴别是系统安全的第一道安全屏障。 ( 2 ) 存取控制 是指根据用户的权限来限制用户可以进行的数据库操作，并控制操作结果。访问 控制是数据库系统的核心安全机制，用以保证数据不被非法泄漏和篡改。一般有两类访 问控制，即自主访问控制d a c 和强制访问控制m a c 。目前国内常见的d b m s 产品只提供 d a c 。 d a c 是一种基于客体一用户的所属关系的访问控制，它规定用户必须获取了某种权 限才能进行相应的数据库操作，并允许用户把他对客体的访问权授予其他用户或从其他 用户那里回收他所授予的访问权。当完成系统登录和身份验证后，合法用户成功进入数 据库系统，此时，安全保护机制便负责对用户的每一个操作请求进行检查并作出裁决， 控制用户的操作，确保合法的用户执行合法的操作。利用访问控制矩阵来实现用户对系 第3 页 b l 级强制访问控制数据模型的研究和应用 统功能访问的限制，是信息系统最常用的手段。访问控制矩阵是访问控制的一般模型， 访问控制矩阵中的每行表示一个主体，每列则表示一个受保护的客体。矩阵中的元素表 示主体可对客体进行的访问模式。 m a c 是种基于安全级标记的访问控制方法，它是多级安全的标志。它规定系统中 所有主体和客体都必须有安全标记，用户。能访问什么样的数据取决于二者安全级的大小 关系，即强制访问控制是通过主体与客体的安全级来控制主体对客体的访问。目前国内 流行的d b m s 均未提供m a c 。在后面将详细讨论多级安全数据库的m a c 机制。 ( 3 ) 审计 是指对用户实施的与安全相关的操作进行记录，作为事后责任追踪、安全分析的 依据：同时，它包含一定程度的报警、惩罚等功能以遏制某些违法操作的发生。审计系 统的基本功能包括：审计事件的收集与过滤，事件的分析与控制，审计目志的维护与查 询，审计系统自身的安全性及完整性保护等。目前大多数d b m s 产品都提供了基本的审 计功能，但在功能上尚不完善，尤其是缺乏高效的审计数据分析工具和系统的保护机 制。 数据库加密也是数据库安全的重要组成部分，数据加密存储可防止非法用户绕过安 全子系统直接访问数据库中的安全数据。目前有些数据库产品提供了数据加密例行程 序，可根据用户的要求自动对存储和传输的数据进行加密处理。另一些数据库产品虽然 本身未提供加密程序，但提供了接口，允许用户用其他厂商的加密程序对数据加密。由 于本课题主要是研究存取控制，因此本课题对加密技术未作详细的阐述。 2 2 1 多级安全策略 2 2 多级安全策略和多级安全模型 安全策略是安全体系结构中的重要部分，根据美国国防部的t c s e c 定义，安全策 略是规定一组如何管理、保护和分配敏感信息的法律以及规则和实践经验的集合 d o d 8 3 。安全策略是对如何访问系统所作的一系列规定，它反映了系统的安全需求。 在军事上，所有信息都具有密级，而且每个用户都有许可证，只有许可证级别高于密级 时，才能读取信息。多级安全策略是军事安全策略的体现，它要求一个系统中的主体和 客体都要按其作用、所处部门和等级等特征分级，低安全级的主体不能直接或间接地获 取高安全级客体的信息。多级安全的概念与强制访问控制紧密联系在一起，其核心是实 施强制访问控制。在强制访问控制中，给每一数据对象定义安全级，表示它所包含信 息的敏感性，同时给每一用户定义一安全级，表示他能对什么样的数据进行访问。安全 第4 页 b i 级强制访问控制数据模型的研究和应用 级由一个分层密级和一个非分层范围组成，当且仅当安全级c 1 的密级大于等于安全级 c 2 的密级，并且c l 的范围包含c 2 的范围时，则称安全级c 1 优于( ) 安全级c 2 ，如 果既没有c 1 c 2 ，也没有c 2 c 1 ，则称c 1 、c 2 为不可比的。多级安全策略执行“上写 下读”的策略，即用户只能写比他密级高( 包括相等) 的数据，只能读比他密级低( 包 括相等) 的数据。这样既防止了密级低的用户读到高敏感信息，又能防止高密级数据泄 漏给低密级用户。 2 2 2 多级安全模型 模型化方法是科学研究中常用的方法。利用模型、可以清晰地描述系统的安全性定 义，更准确、更严密、更全面地表述问题、从而在构造系统的初始阶段就发现安全上的 缺陷和漏洞，以免对后来的开发和使用造成更大的危害。 建立安全模型，对设计、开发高安全级系统而言是至关重要的。安全模型是计算机 系统安全特性的描述，之所以需要安全模型，是因为它在描述系统安全特性和实际开发 可信系统等方面发挥着不可替代的重要作用，具体有： ( 1 ) 具有较强的系统安全特性描述能力，能准确、简洁地反映出问题的本质； ( 2 ) 是实现系统安全策略的重要机制； ( 3 ) 是系统安全思想、安全机制的本质抽象； ( 4 ) 形式化安全模型基于公理体系，以数学描述语言通过逻辑推理，证明系统安 全性： ( 5 ) 通过安全模型化的验证可增加系统的可信度。 ( 6 ) 通过形式化描述，形式化推理与运算，可发现系统的安全漏洞； ( 7 ) 安全模型可帮助我们尽可能精确地描述系统功能，通过证明可以保证安全模 型中的安全性质能够遵守安全策略。 由于安全问题是一个复杂的问题，所以决定了安全模型也多种多样。没有一个安全 模型能解决所有的安全问题。从安全模型的描述语言、作用机理来分，可分为非形式化 模型与形式化模型两大类。非形式化模型大致可分为自然语言模型、程序语言模型、计 算机仿真模型和程序模型等；形式化模型则基于数据语言，依据其所基于的数据理论的 不同，可分为统计模型、图论模型、网络模型、逻辑模型、集论模型、代数模型、函数 模型、完整性模型、数据交换模型、分布认证模型、分布授权模型、安全评价模型和并 发控制模型等类型。 第5 页 b 1 级强制访问控制数据模型的研究和应用 2 3多级安全数据库实现方案 研制实现多级安全数据库的方法，t d i 标准中提出了三种策略： ( 1 ) 可信过滤器( t f ：t r u s t e df i i t e r ) ：这种方式下d b m s 本身无安全保证，只 是在d b m s 与用户应用程序之间设置一个可信过滤器，即在原有系统的基础上通过增加 安全外壳来实现多级数据库的安全功能。显然，这种方式下数据库系统的安全性完全依 赖于o s 。 ( 2 ) 平衡保障( b a ：b a l a n c e da s s u r a n c e ) ：在一个安全0 s 的基础上建立一个 安全d b m s ，由o s 和d b m s 来分担安全功能。这种方式下，d b m s 的安全在很大程度上依 赖于0 s 。 ( 3 ) 一致保障( u a ：u n i f o r m e d a s s u r a n c e ) ：实现一个安全d b m s 来提供所有的 安全功能。从d b m s 的开发起步，将多级安全模型的安全机制和数据库加密在其内核中 实现，与d b m s 紧密结合在一起，其安全性较高。这种方式对0 s 的依赖少，d b m s 可以 单独评估。 上述三种方法中在实现难度上和所提供的安全性能上均依次增强，具体采用哪种实 现方法，则应根据应用环境的需要，在对多种因素如：安全性、性能、成本等进行权衡 考虑后来确定。 第6 页 b 1 级强制访问控制数据模型的研究和应用 第三章多级安全数据模型 在多级安全数据模型中，数据和主体各自有自己的安全级，例如：t s ( 绝密) 、s ( 机密) 、c ( 秘密) 、u ( 非密) 等。数据的安全级表示它所包含信息的敏感性，主体 的安全级表示他能对什么样的数据进行访问。主体对客体的访问被强制存取控制限制， 多级安全数据库数据分级的级别( 粒度) 有四种：在数据项级对数据划分安全级，即每 一数据项对应有安全级；在属性级( 列级) 对数据分级，即每一列都对应有安全级；在 记录级分级，即每一记录对应有安全级；在关系级分级，即每一关系对应一安全级。数 据分级的粒度是强制访问控制的最小粒度。对数据分级以后，一个关系可能包含多种安 全级的数据，称这种关系为多级关系。对数据的分级，导致了对传统的关系数据模型、 关系完整性规则和关系运算的重新定义，产生了多级关系数据模型、多级关系完整性规 则和多级关系运算。开发一个新的多级关系数据模型，从人力和时间来说，都不现实。 多级关系数据模型( m l r ) 在许多经典多级数据模型的基础上引入新的“基于数据语义 ( d a t a b a s e ds e m a n t i c s ) ”和“数据借用( d a t a - b o r r o w ) ”概念，将高安全级元组中 的数据看作由属于其本身的数据和从较低安全级元组所借用的数据两部分组成，解决了 多级安全数据库中“下读上写”安全策略所造成的语义模糊性问题。本文以多级关系数 据模型( m l r ) 为基础对其改进，按着“下读上写”的安全策略定义了数据完整性和 s q l 的四种标准操作语句，而且新定义了u p l e v e l 语句，实现了上写功能，增强了数据 模型的实用性。在介绍和证明多级安全关系数据模型之前，首先介绍多级关系中的多实 例概念。 3 1多实例问题 在多级安全数据库中允许具有不同安全级的主体对同关系进行操作。当安全级较 低的主体向关系中插入数据时，如果在安全级较高的元组中已经存有该数据，为了避免 安全级较低的主体推理安全级较高的数据，不能拒绝该插入操作；同时为了保持数据的 完整性，也不能删除安全级较高的数据。同理，当安全级较高的用户要求插入一个主码 属性值与低安全级主码属性值相同的元组时，如果拒绝该操作将隐含着拒绝服务问题， 如果用该元组替换低安全级的元组意味着删除低安全级的元组，可导致信息的推理问 题，因此只能插入新的高安全级元组而不修改低安全级的元组。因此，产生了造成语义 模糊的多实例问题。多实例问题虽然可用于防止信息推理问题，但同时也容易造成语义 的模糊性。例如表3 j ，其中t c 表示元组的安全级：( 定义安全级：u 非密，c 秘 密，s 机密，t s 绝密，u c s t s ) 第7 页 b 1 级强胄4 访问控制数据模型的研究和应用 表3 _ 1 关系e s e m p l o y e e s a l a r y t c j a c k u2 0 0 0ss j a c k s1 5 0 0us j a c k u1 5 0 0uu 在表1 关系e s 中，对于安全级为s 的用户而言，无法确认关系e s 中( j a c k ，s ) 和( j a c k ，u ) 哪个为正确实体，且其薪水是1 5 0 0 还是2 0 0 0 。同样当表3 2 关系d e 对 其进行参照时，也造成了参照语义模糊问题。 表3 _ 2 关系d e d e p a r t m e n te m p l o y e e t c d e p t i s j a c k ss d e p t 2 sa n nc s d e p t l sj a c kus 3 2 改进的多级安全数据模型 多实例问题严重影响了数据的一致性和完整性。因此，下面提出一种改进的多级 安全数据模型，解决该类问题。 3 2 1 多级关系 多级关系包含两个部分：关系模式( r e l a t i o ns c h e m e ) 和关系实例( r e l m i o n i n s t a n c e s ) 。 ( 1 ) 关系模式定义 定义r ( a 。，c 1 ，a 2 ，c ：，a 。，e ，t c ) a f d ，；c f l f 日f ( l f h f ) ；t c u ：l ( l f h ) ) 其中，a ，表示数据属性，d 。表示爿，的值域，c ，n n n 性a ；的安全级，l ，表示低 安全级，日i 表示高安全级，z c 表示元组的安全级，h 为系统中的最高安全级。 ( 2 ) 关系实例定义 定义关系实例的表示形式： r ( a 1 ，c 】，a 2 ，c 2 ，a 。，c 。，t c ) 一个关系实例是一组形为( d 。，c ，：，c ：一。，c 。，t c ) ，且互不相同的记录。 第8 页 b 1 级强制访问控制数据模型的研究和应用 7 其中 “，d ，c f 三，h f ) 或a f = n u l l ，c ， l ，h f un u l l ；t c l u b o fi c 。n u l l ，i = 1 胛) 我们假设每个关系有一个用户指定的明显的主键a k ( a p p a r e n tp r i m a r yk e y ) ， a k 由若干属性a i 构成。在后面讨论实体完整性约束时要求构成a k 的所有属性的安全级 必须相同，因此在不引起混淆的情况下，为了简化描述，我们用4 ，代表a k ，也就是 说，a ，和a k 都代表主键，主键的安全级为c 1 。一个安全级为c 的元组被称为c t u p l e 一个安全级为c 的主体被称为c s u b j e c t 。 在m l r 中，每一个关系在任意时刻只有一个关系实例，不同安全级的主体有关系实 例的不同的视图。 3 2 2 数据语义定义 3 2 2 1 基于数据的语义 基于数据的语义包括以下两个方面： ( 1 ) 被一个主体所接受的数据包括两个部分：属于其自身的数据和从低安全级主体 借来的数据。后者可以被拥有该数据的低级主体所改变； ( z ) 一个主体可看到所有等于或小于它的安全级的主体所接受的数据。 这里数据由给定安全级的主体所共有。为简单起见，我们忽略了其它的访问控 制，如任意的或基于规则的。 侈i i 如： 表33 关系e d s e m p l o y e ed e p ts a l a r y t c b o bs d e p t 2 s2 0 0 0ss b o bu d e p t l un u l lsi s b o bu d e p t l u1 0 0 0uu 假设e m p l o y e e 是a k ，这里共有两个实体：( b o b ，u ) 和( b o b ，s ) ，分别由u s u b j e c t 和s - s u b j e c t 创建，而且只能分别被他们删除。t s t u p l e ( t c = t s 的元组) 由 t s s u b j e c t 添加，该元组中的数据都被t s s u b j e c t s 接受。考察实体( b o b ，u ) ，u t u p l e 是一个基元组，只有当整个实体( 包括t s t u p l e ) 被删除的时候，该元组才能被 删除。t s s u b j e c t s 能看到t s t u p e 和u - t u p l e ，而u - s u b j e c t s 只能看到u - t u p l e 。 t s t u p e 中的d e p t 的值d e p t l 是从u - s u b j e c t 借来的，当那个u - t u p l e 被修改或删除 时，t s t u p l e 中的对应值也随着变化。t s t u p l e 中的n u l l 值表示t s s u b j e c t s 想从 s - s u b j e c t s 借s a l a r y 数据，但s - s u b j e c t s 当前没有关于( b o b ，u ) 实体的s a l a r y 数 据，即( b o b ，u ) 这个实体不被s - s u b j e c t s 接受。 第9 页 b 1 级强制访问控制数据模型的研究和应用 这里有两种多实例：实体多实例和元素多实例。实体多实例表示一个关系包含多 个具有相同主键但主键安全属性值不同的元组。元素多实例表示一个关系中包含两个以 上具有相同主键值和主键安全属性值，但其它属性值不同的元组。如：对于相同的a k 值b o b ，有两个c k 值：s 和u ；而对于相同的( b o b ，u ) ，有两个s a l a r y 值：n u l l 和 1 0 0 0 。前者为实体多实例，后者为元素多实例。 3 2 2 2 基于数据的语义的正式描述： 对于所有的实例r ( a 。，c l ，如，c 2 ，a 。，c 。，t c ) ，所有的元组t r ： ( 1 ) 明显的主键a 。和它的安全属性c ，： 一t a ，c ，】表示r 中的一个实体，并且给出了实体的安全级。 一t c 。 _ c 。表示由安全级为c 。的主体所创建的实体，且只能由安全级为c 的主体所 删除。这个实体称为a 实体。 ( 2 ) 元组安全级属性t c ： 一t t c _ t c 并且t 【c 1 = c 】表示： t 由安全级为t c 的主体添加，t 中的所有数据都被安全级为t c 的主体所接受。缺 少t 意味着c ，实体不被安全级为t c 的主体所接受。 只有安全级大于等于t c 的主体才能看到该元组t 。也就是说，一个特定级别的主 体只能看到那些安全级等于或低于它的元组的数据。 t 可以被安全级为t c 的主体删除，或者当全部实体被删除时，也可被安全级为c ， 的主体所删除。 一当t t c 】= t c 。】时，t 是该实体的基元组，r 中的所有和t 具有相同的4 。c 。的其它 元组都是基于t 的元组，只有在这些元组全部被删除时，t 才能删除。 ( 3 ) 数据属性a ，和安全属性c ；( 2 i n ) ： 一t a ，c ； 中虻c j - c ，并且t t c = l c ( c i t c ) 表示： 被安全级为t c 的主体所接受的数据f 4 1 当前属于安全级为c i 的主体。 t a ，c ； 既可被安全级为c f 的主体修改，也可被安全级为t c 的主体修改。 一当t c f t t c ，t a f n u l l 是从另一个元组t 中借来的数据，而且 f 一，c j = f 4 ，q ，t t c _ f c i - f c ，那么当f 【4 ，c i 被修改或t 。被删除时， t a ，c ， 也随着变化。也就是说，当基元组被删除或被修改时，则其它借用该元组数据 的元组中对应项也应随着变化。 ( 4 ) n u l l 值： 一t a f ，c ，】_ n u l l ，c 小c f c ，则从，中删除该元组； ( 2 ) 若被删除元组t 的f c 1 c a f c i 】= e ( 2 茎i h ) ，则将t a ， 的值置为n u l l ； 从上述两条可以看到，删除安全级较低的数据可能导致删除安全级较高的元组或某 些数据属性值被设置为空。 例如，安全级为m 1 的主体对表3 _ 1 2 执行下列操作： d e l e t e f r o me d s w h e r e m p l o y e e = b o b 表31 2 关系e d s e m p l o y e ed e p a r t m e n ts a l a r y t c b o bu d e p t 2 m i2 5 0 0m 2s b o bu d e o t 2 m i1 5 0 0um 1 b o bu d e p t l u2 5 0 0m 2m 2 b o bu d e p t l u1 5 0 0uu 第1 8 页 b l 级强制访问控制数据模型的研究和应用 删除操作后的结果如下表3 j 3 所示 表3 _ 1 3 关系e d s ， e m p l o y e ed e p a r t m e n ts a l a r y t c b o buk u l l m 12 5 0 0m 2s b o bud e b t lu2 5 0 0 m 2m 2 b o bu d e p t l u1 5 0 0uu 注意，安全级为s 的元组，在m 1 主体删除其元组之后，从m 1 继承的d e p t 数据属 性值为n u l l ，因为无安全级为m 1 的元组提供数据源。