（计算机应用技术专业论文）安全嵌入式数据库中若干问题的研究与设计.pdf

江苏大学硕士学位论文 摘要 随着数字信息技术和网络技术的高速发展，计算机的发展走入了“后p c 时代，嵌入式数据库技术作为未来最有影响的技术方向之一，已经成为当今数据 库领域的发展焦点。同时嵌入式i n t e r n e t 技术的飞速发展和广泛应用以及大量数 据的处理需求，给应用于电力控制领域的软件系统提出了新的挑战数据处理 的实时性和安全性。本文针对传统的嵌入式数据库安全实时性方面的不足，对应 用于电力系统的安全嵌入式数据库管理系统s e d b m s ( s e c u r ee m b e d d e d d a t a b a s em a n a g e m e n ts y s t e m ) 的总体框架进行设计，并对事务调度进行研究从 而提高嵌入式数据库关键性事务的实时响应，同时，为进一步提高系统的安全性， 设计实现了审计子系统，有效保证了数据库的安全。 在s e d b m s 的总体框架设计中，本论文首先对嵌入式数据库的特点及其设 计的原则进行了描述，然后针对电力系统进行需求分析，着重从安全性和实时性 两个方面对s e d b m s 进行了总体框架的设计。 在实时性方面，根据电力控制系统中嵌入式数据库实时事务所具有的定时特 性，针对传统的事务调度方法无法动态调度不同类型实时事务，不能及时灵活地 处理实时事务，以满足电力控制系统中关键性实时事务按时完成的要求。因此， 文中提出一种新的动态优先级事务调度算法以满足电力控制系统的需求，仿真实 验验证了在保证关键性事务方面的有效性。 在安全性方面，针对电力控制系统的特点，选择合适的安全策略，对传统的 审计机制进行了有效的裁减，设计实现了适用于嵌入式数据库的审计子系统。系 统在实现时，尽量保证不影响其实时性的前提下，作为安全的重要防线，有效地 防止了来自系统内外的攻击，提高了系统的安全。 最后，针对实现的审计子系统，设计测试方案，并根据得到的测试结果，对 其性能作出量化分析。 关键词：嵌入式数据库，安全数据库，事务调度，审计跟踪，入侵检测 江苏大学硕士学位论文 a b s t r a c t 舡t h eh i g h s p e e dd e v e l o p m e n to fd i g i t a li n f o r m a t i o na n di n t e m e tt e c h n o l o g y , w e h a v ee n t e r e dt h ep e r i o do f “p e r v a s i v ec o m p u t i n g e m b e d d e dd a t a b a s et e c h n o l o g ya s o n eo ft h em o s ti n f l u e n t i a lt e c h n o l o g yi nt h ef u t u r eh a sb e c o m et h ef o c u so ft h e d a t a b a s e m e a n w h i l e ，w i t ht h ed e v e l o p m e n to fe m b e d d e di n t e r n e ta n dt h ed e m a n do f d e a l i n gw i t hag r e a td e a lo fd a t a ，t h es o f t w a r es y s t e mi n e l e c t r i cp o w e rm e e t sn e w p r o b l e m s ，t h es e c u r i t y 、r e a l - t i m i n go fd a t ap r o c e s s i n g i nt h i sp a p e r ，a st h ed e f i c i e n c i e s o fs e c u r i t yi nt h et r a d i t i o n a le m b e d d e dr e a l t i m ed a t a b a s e ，w ed e s i g nag e n e r a l f r a m e w o r ko ft h es e c u r ee m b e d d e dd a t a b a s em a n a g e m e n ts y s t e ms e d b m s ，i ti s s u i t a b l ef o r t h ee l e c t r i cp o w e rs y s t e m ，a n da l s or e a l i z et h ea u d i ts u b s y s t e m i nt h ed e s i g no ft h eg e n e r a lf r a m e w o r ko fs e d b m s ，w ef i r s ti n t r o d u c et h e c h a r a c t e r i s t i c so ft h ee m b e d d e dd a t a b a s ea n dt h ep r i n c i p l e so fd e s i g n ，t h e na n a l y z et h e d e m a n df o rt h ee l e c t r i cp o w e rs y s t e m ，f i n a l l yt h eo v e r a l lf r a m e w o r ks e d b m si st ob e d e s i g n e d f o c u s i n go ns e c u r i t ya n dr e a l - t i m i n g f r o mt h ea s p e c to fr e a l - t i m i n g ，a c c o r d i n gt ot h ee m b e d d e dd a t a b a s e sr e a l t i m i n g c h a r a c t e r i s t i c ，t h ec o n v e n t i o n a lt r a n s a c t i o ns c h e d u l i n gm e t h o d sc a nn o tr e a l t i m e d y n a m i c a l l ys c h e d u l et h ed i f f e r e n tt y p e so ft r a n s a c t i o n s ，w h i c hc a nn o td e a lw i t h r e a l - t i m et r a n s a c t i o n st i m e l ya n dc o m p l e t ec r i t i c a lr e a l - - t i m et r a n s a c t i o no nt i m et om e e t t h ee l e c t r i cp o w e rs y s t e m w ep r o p o s ean e wd y n a m i cp r i o r i t ys c h e d u l i n ga l g o r i t h mt o m e e tt r a n s a c t i o nd e m a n df o re l e c t r i cp o w e rs y s t e m ，a n ds i m u l a t i o nr e s u l t ss h o wt h e e f f e c t i v e n e s si ne n s u r i n gt h ek e yt r a n s a c t i o n s f r o mt h ea s p e c to fs e c u r i t y , w es e l e c tt h es u i t a b l es e c u r i t yp o l i c ya c c o r d i n gt ot h e e l e c t r i cp o w e rs y s t e m ，r e d a c tt h et r a d i t i o n a le f f e c t i v ea u d i tm e c h a n i s m ，d e s i g na n d r e a l i z ean e wl i t t l ea u d i ts u b s y s t e mf o re m b e d d e dd a t a b a s es y s t e m ，w h i c hi st h el a s t s e c u r i t yl i n eo fd e f e n s eb u ta l s oe n s u r et h er e a l - t i m i n go f d a t a b a s es y s t e m i te f f e c t i v e l y p r e v e n t st h ea t t a c k sf r o mi n s i d ea n d o u t s i d eo fs y s t e m ，a n di m p r o v e st h es e c u r i t yo ft h e s y s t e m f i n a l l y , w ed e s i g nt e s tp r o g r a mt ot e s tt h ea u d i t - b a s e di n t r u s i o nd e t e c t i o ns u b s y s t e m ， v 江苏大学硕士学位论文 a n da c c o r d i n gt ot e s tr e s u l t st oa n a l y z et h ep e r f o r m a n c eo ft h es y s t e m k e yw o r d s ：e m b e d d e dd a t a b a s e ，s e c u r ed a t a b a s e ，t r a n s a c t i o ns c h e d u l i n g ，a u d i t ， i n t r u s i o nd e t e c t i o n 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定， 同意学校保留并向国家有关部门或机构送交论文的复印件和电子版， 允许论文被查阅和借阅。本人授权江苏大学可以将本学位论文的全部 内容或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫 描等复制手段保存和汇编本学位论文。 本学位论文属于 保密口，在年解密后适用本授权书。 不保密口。 学位论文作者躲印 训细年多月7 7 日 指导教师 仍( q 年 独创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独 立进行研究工作所取得的成果。除文中已注明引用的内容以外，本论 文不包含任何其他个人或集体己经发表或撰写过的作品成果。对本文 的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本 人完全意识到本声明的法律结果由本人承担。 学位论文作者签名五千晶 日期：0 力d 年多月 7 日 江苏大学硕士学位论文 第一章绪论帚一早三百t 匕 1 1 论文的研究背景及意义 嵌入式系统在电力控制系统中的应用有着相当悠久的历史，它广泛地应用于 数据采集、自动装置、仪表检测、集散控制( d c s ) 等领域。其中较为典型的是 应用在数据采集和监控、微机保护、暂稳控制、能量计费等方面。 在电力控制网络中，嵌入式系统一般位于中底层，如图1 1 所示。上位的调 度主站通过i n t e m e t 或专用网络连接下一级的调度中心，或者直接连接电力控制 厂站中的现场总线式或l a n 式的计算机监控系统，而这些监控系统再通过某种 工业控制网络控制下位的数据采集、自动装置等嵌入式底层控制终端，从而组成 以调度中心为中心、向底层控制终端层层扩展的控制网络。 络 中心 嵌入式底层终端r 站 图1 1 电力系统调度图 随着我国政府加大电力方面的投入，一批批发电站应运而生，接踵而至的是 各种电力控制设备也呈几何级数地增加，这样要求处理的数据也必然急剧增长。 如果只是依靠调度中心大型数据库管理系统进行处理，必然加重调度中心的任 务，而且随着电力控制设备的增加，其层次也越来越多，每个底层终端如果都将 1 江苏大学硕士学位论文 数据传送给主站，然后等候主站的命令，必然大大降低电力系统的实时性。因此， 迫不及待地需要数据库管理系统的支持。 目前，我国电力系统大都采用底层数据库+ 上层应用程序的软件构架，常用 的数据库管理系统，如m y s q l 、s q ls e r v e r 和o r a c l e 等都是基于c s 结构的关 系型数据库系统，这些数据库产品大都采用数据库引擎方式响应应用程序的数据 事务，查询速度较慢，并且占用大量的磁盘和内存资源，适用于桌面p c 等硬件 资源较为丰富的系统。 然而，由于嵌入式系统没有充足的内存和磁盘资源，如果采用文件系统或大 型关系数据库管理系统，都不可避免地产生大量的冗余数据、数据管理效率低下 等问题。所以，它们不能应用于基于嵌入式系统的电力控制设备终端中的数据管 理，需要设计合适的嵌入式数据库。 由于电力系统中i n t e m e t 或者专用网络的使用，要求嵌入式数据库也要具有 更高的安全性和实时性。这是本文要解决的关键问题。电力控制设备中嵌入式数 据库是嵌入式系统的一部分，嵌入式数据库的安全性和实时性要求与嵌入式系统 的安全性和实时性要求密不可分。 1 2 嵌入式数据库管理系统的国内外发展现状 纵观目前国际、国内嵌入式数据库的应用情况，嵌入式数据库的应用处于“百 花齐放、百家争鸣的状态。也就是说，目前基于嵌入式数据库应用的市场需求 已经进入加速发展的阶段。但应用需求多种多样，计算平台也是各有特色，对于 嵌入式数据库来说，并没有统一的技术平台，因此还没有任何_ 家厂商能够做到 一统天下。 典型的嵌入式数据库管理系统产品如下【1 】： p e r v a s i v es o f t w a r ei n c 的p e r v a s i v e s q l 它有三个不同的版本分别适用于智能卡，移动电话和嵌入式系统。其最主要 的特点是运行所需内存非常小。 p o l y h e d r ap l c 的p o l y h e d r a 它是主动内存数据库系统。 2 江苏大学硕士学位论文 m b r a n el t d 的r d m 它是非c l i e n t s e r v e r 模式的数据库。 s l e e p ys o f t w a r e 的b e r k e l e yd b 它是一个开源的，非c l i e n t s e r v e r 模式的嵌入式数据库。 t i m e s t e np e r f o r m a n c es o f t w a r e 的t i m e s t e n 它是关系型数据库。 s q l i t e 它是开源数据库，非c l i e n t s e r v e r 模式的嵌入式数据库。 几个典型数据库管理系统比较见表1 1 。 表1 1 典型数据库管理系统比较 p e r v a s i v e s p o l y h e d r a r d m b e r k e l e yd b t i m e s l n e i i s q l i t e 数据库c l i e n tc l i e n te m b e d d e de m b e d d e dc l i e n te m b e d d e d 结构s e r v e rs e r v e r l i b r a r yl i b r a r y s e r v e r l i b e r a y 关系对象 数据模型关系犁关系型 k e y d a t a 对 关系型关系型 型 b + 树 b + 树 索引结构b + 树 散列表b + 树t 树 b 树 散列表 散列表 并发控钡 机制 p c co c cp c cp c cp c cp c c 内存需求8 k b 一4 0 0 k b1 5 2 m b4 0 0 5 0 0 k b1 7 5 k b5 m b1 5 0 l 凼 数据库 o d b c c e + + a p i j d b c o d b cm + a p i c c + + j a v a c ，c + + 接口 j d b c a p i巾b c a d oo d b c j a v a a d o 从表中可以看出，这些嵌入式数据库系统所采用的技术手段，应用目的都不 一样。有的采用了关系模型，比如p e r v a s i v e s o l ，t i m e s t e n op o l y h e d r a 则采用 了对象关系模型，有的则是非关系模型数据库，比如b e r k e l e yd b 。有的数据 库强调内存空间的节约，因而非常适用于低内存的嵌入式系统，比如 p e r v a s i v e s o l ，而有的数据库则强调大容量的数据处理能力和跨平台的移植性， 比如b e r k e l e yd b 。这些数据库所采用的体系结构也不一样，有服务器客户端结 构的，也有以函数库的形式提供数据库功能的。它们各自的索引结构，并发控制， 提供给外部的数据库接口也各不一样。从这些例子可以看出，嵌入式数据库没有 统一的技术平台，而是依据不同的应用特点，采用不同的实现技术来满足特定的 3 江苏大学硕士学位论文 需求。因此对嵌入式数据库技术的研究最好将其放在特定的应用背景中，本文设 计的安全嵌入式数据库管理系统总体框架就是适用于电力自动化系统的一种嵌 入式数据库管理系统。 1 3 嵌入式数据库安全现状分析 信息是当今人类社会的重要战略资源，它必然要面对各种各样的安全威胁。 在我们越来越依赖于信息技术的同时，信息安全的问题也日益突出，而我们绝大 多数的信息存储和大量的信息处理都依赖于数据库系统，因此，数据库的安全也 变得越来越重要。对数据的破坏和误用，已不仅仅只影响到独立的用户或者其它 应用程序，甚至可能会造成整个组织机构灾难性的后果。随着各种网络应用程序 和信息系统的大量出现，数据库系统所面临的安全问题也在日益加剧，这就使得 对数据库中各种数据的保护比以往任何时候都更为重要和迫切；需要数据库采取 各种预防和处理措施来解决来自数据库内部和外部的入侵和威胁【2 】。 近年来，数据库管理系统方面的学者和专家一直在计算机安全领域不懈地努 力，取得了显著的成绩。然而作为嵌入式数据库系统，由于早期只应用于个体产 品，对安全性等级要求很低，而且其硬件环境对软件功能的实现有很大的限制， 较低的处理能力和较小的内存容量都不允许进行复杂的安全分析。所以，一般嵌 入式数据库系统最多提供用户标识与鉴别措施来简单保护数据信剧3 1 ，针对嵌入 式数据库的安全研究非常少。 然而，近些年来，随着工业智能化和移动计算技术的快速发展，嵌入式数据 库开始广泛应用于工业控制、移动通信、手持设备等。在当今电子政务、电子商 务等发展背景下，嵌入式数据库系统管理的信息越来越重要，对其安全性研究逐 渐提上了讨论日程【3 1 。以往大量出现在个人p c 、服务器等的信息安全问题开始 兴起于嵌入式终端上。 嵌入式数据库是数据库学科研究和发展的一个方向，因此数据库学科面临的 信息安全问题以及提供的解决方案大多同样适用于嵌入式数据库系统。但由于嵌 入式数据库的应用环境与传统的数据库系统有着极大的不同，复杂的安全分析会 消耗本身就稀缺的硬件资源。如何提高嵌入式数据库的易用性和执行效率，而又 4 江苏大学硕士学位论文 不丧失其安全性，成为嵌入式数据库的广泛应用和进一步发展所要解决的关键问 题。 一般而言，数据库的安全问题主要可分为三类【4 】：第一类是未授权的数据获 取：第二类是错误的数据修改；第三类是数据不可用。其中，未授权的数据获取 是指用户在未获得访问某些数据的访问权限时，通过其它途径获得该数据，这就 使得某些保密的数据可能被窃取；错误的数据修改是指通过有意或无意的数据修 改使得数据库的状态发生错误，从而导致数据信息的不完整或不可用；而数据的 不可用势必将造成重要数据在需要时却无法使用或识别，从而导致依赖于数据库 数据的应用瘫痪。任何存在这些问题的数据库都可能会给使用该数据库的组织机 构带来不可估量的损失。 另外，系统内部某些“特权用户”滥用职权已经成为威胁数据库使用安全的 最大问题。c a r t e r 等学者已明确说明【5 】，现今大部分的安全攻击都是内部人员所 为，而非来自外部。因此，作为数据库安全的有效屏障，通过审计日志信息以检 测用户误用行为就显得极为必要。另一方面，对于部分外部入侵事件，入侵检测 工具不能作出正确的响应。在这些情况下，作为安全事件追踪分析和责任追究的 审计机制有着不可替代的作用。这正是本文研究的重点之一。 本文对应用于电力控制领域的嵌入式数据库安全性进行设计时，须对以下关 键因素进行考虑： 实时性和安全性的矛盾。应用于控制领域的嵌入式数据库系统一般都有 实时性的要求，而且在某些应用场合要求是十分严格，但是安全性的引 入无疑会增加系统运行的时间和空间复杂度，这就与嵌入式数据库的实 、时性要求相抵触。因此，在设计过程中，我们必须根据应用场合的需要， 找到实时性与安全性的最佳平衡点。 1 4 论文的主要工作及其组织结构 本文在对嵌入式数据库技术进行深入研究的基础上，以电力系统控制领域中 对嵌入式数据库的需求为依据，在安全性和实时性方面，做了部分工作，进一步 提升系统的安全性和实时性。 5 江苏大学硕士学位论文 本论文的结构安排如下： 第一章为绪论，介绍了嵌入式数据库的国内外发展现状，对嵌入式数据库的 安全研究现状进行了概述，并对本论文的研究背景和意义进行了论述，最后介绍 了本论文的主要工作及论文的结构安排。 第二章对安全嵌入式数据库设计的原则进行了介绍，针对电力控制系统进行 了需求分析，针对s e d b m s 在安全性和实时性方面的需求进行了设计，最后对 s e d b m s 的总体结构进行了设计和模块的划分。 第三章从实时性出发，对嵌入式数据库的事务调度进行研究，根据实时事务 的定时特性，为保证关键性硬实时事务的实时响应和顺利执行，设计了一种新型 动态优先级事务调度算法，并对其进行了仿真实现。 第四章从安全性出发，首先分析了电力系统面临的主要威胁，然后对应用于 电力系统的嵌入式数据库的安全审计子系统的总体框架进行了设计，最后对组成 审计子系统的各个模块进行了设计。 第五章首先对b e r k e l e yd b 数据库功能进行扩展，实现了安全访问控制机制， 从而为审计子系统的实现提供保证。然后在第四章安全审计子系统设计的基础 上，实现了该子系统，有效保障了系统的安全。最后，对实现的审计子系统进行 了测试分析。 最后，作者在第六章中对论文内容进行了总结，并根据自己的研究成果和体 会，提出了未来进一步研究的方向。 6 江苏大学硕士学位论文 第二章安全嵌入式数据库管理系统的总体框架设计 本章首先对嵌入式数据库管理系统和安全数据库管理系统的设计原则进行 了介绍，并对电力控制系统的需求进行了分析，安全嵌入式数据库管理系统对 前面两种数据库设计原则进行了借鉴，从安全性和实时性两方面出发，对安全 性和实时性具体的需求和策略进行了分析与设计，并在此基础上设计了安全嵌 入式数据库总体框架，进而对各模块进行了分析。 2 1 设计原则 由于安全嵌入式数据库管理系统的研究还处于探索阶段，没有自己的设计原 则，故只能在分析嵌入式数据库管理系统和安全数据库管理系统设计原则的基础 上，对s e d b m s 进行有探索性的研究。 2 1 1 嵌入式数据库管理系统的设计原则 嵌入式数据库管理系统作为一类系统软件，在设计时除了应遵循通用数据库 管理系统软件一般应遵循的实用性、可靠性、先进性和易用性原则外，还必须考 虑到以下的一些设计原i o 1 、专用性原则 2 、轻量型原则 3 、可裁剪性原则 上述三个原则是息息相关的。“专用性”是一个相对的概念，作为一个数据库 管理系统，它不可能只是支持一个操作系统，一种应用环境，它必须能支持类似 的一系列操作系统及应用环境【6 1 。但是，不同的操作系统和应用环境又有差距。 所以，嵌入式数据库管理系统设计时应该把握好“专用性 的度，以便于在实际 应用时能根据具体的情况进行裁剪。而“专用性 是实现“轻量型 的基础。 对于有实时要求的嵌入式数据库管理系统，设计时还要考虑到实时性要求。 7 江苏大学硕士学位论文 2 1 2 安全数据库管理系统的设计原则 在安全数据库管理系统的设计方面，作为保存数据和信息记录的数据库管理 系统，应当提供对信息和数据的安全存取的服务，即在向授权用户提供可靠的信 息数据服务的同时，又要拒绝非授权用户对数据的存取访问请求，保证数据库 管理下的数据的可用性、完整性和一致性，进而保护数据库所有者和使用者的合 法权益。其基本安全要求为： 1 、保密性，这是指其中的数据信息不被直接或间接的泄露，即防止非授权 访问，这是安全最重要的要求。保密性定义了哪些信息不能被窥探，哪些系统资 源不能被未授权的用户访问。 2 、完整性，包含物理、逻辑乃至数据元素的完整正确。信息在存储或传输 过程中保持不被修改、不被破坏和不丢失，是信息安全的基本要求。破坏信息的 完整性则是对信息安全发动攻击的目的之一。 3 、可用性，这是实施所有安全措施的最终目的。对可用性的攻击则是阻断 信息的可用性。 上述的嵌入式数据库管理系统与通用安全数据库管理系统的设计原则是设 计安全嵌入式数据库管理系统的指导方针，在安全嵌入式数据库管理系统的设计 过程中结合电力控制系统的具体情况执行。 2 2 面向电力控制系统的需求分析 电力调度自动化子站软件系统存在的大量数据，可以分为实时数据和非实时 数据两类。实时数据是从站实时接收的各种现场的模拟量和数字量，它们反映了 当前电网运行状况，当电力系统受到突发事件的干扰时，短时间内要接收、记录、 处理和报告大量的事故事件。因此，要求系统能实时对数据进行处理和响应。 非实时数据包括各类静态配置数据，其特点是实时性要求不高、数据的存储量大、 保存的时间长。 主站对子站的访问主要是控制，子站对主站的操作主要是写。首先对应用于 电力系统子站的数据库的整体性能要求进行介绍。 子站对数据库管理系统的整体性能要求 r 江苏大学硕士学位论文 嵌入式系统本身就具有实时性强、可靠性高、可扩展性好等特点。电力系统 是一个复杂的非线性、高维、互联大系统。基于嵌入式系统特有的优点，其在电 力系统中的应用主要用于底层来实现数据采集、监视控制与仪表计量等功能。而 上层应用，由于对数据处理与存储能力、人机交互( m m i ) 、网络通信等方面要 求甚高，一般都是由p c 系统或局域网( l a n ) 的形式来实现。总的来说，嵌入 式系统在电力系统中的应用有以下几个方面的要求： ( 1 ) 实时性强 以电力系统的稳定观测与控制为例，实时性就是其首先要解决的问题。这是 因为电网的安全稳定性通常在事故后几十到几百毫秒内就有可能受到严重威胁， 并且过迟的稳定控制措施不仅起不到预想的作用，造成经济上的损失，甚至可能 引起其他的安全问题。这里的实时性不仅指获得数据的实时性，而且还包括数据 处理、分析、决策的实时性。因此这对嵌入式系统的硬件与软件都是一种较为苛 刻的要求。 ( 2 ) 可靠性高 现代化大生产与居民生活中电能的使用是最普遍的，因此在利用嵌入式系统 实现对电力系统的控制时，硬件与软件的可靠性也就成为人们极为关注的问题。 通常，人们不仅希望嵌入式系统能按照预先设计好的流程正常工作，而且也对嵌 入式系统的抗干扰能力与智能性提出了一定的要求。 ( 3 ) 可扩展性好 目前大多数的嵌入式系统的开发语言都采用c c + + ( 也包括少量的汇编语 言) ，因此灵活性好，可移植性强，可适用于各种类型的运用。另外尽量采用模 块化设计与工业组态软件，这不仅可以方便生产厂家调试，而且可以解放用户。 当需要增减某项功能时，只需要增减相应的模块即可。 ( 4 ) 安全性高 当电网的各个工作站之间的联网、整个电网的整体控制成为一种发展趋势 时，安全问题就是一个不得不面对的问题。这里的安全包括对一些重要和敏感数 据的保护以及对整个电网控制的保护。这些安全性问题的实现也离不开嵌入式数 据库的支持，所以设计嵌入式数据库时，也必须提供安全性方面的设计。 通过以上分析可知，对嵌入式数据库管理系统的具体要求可总结为以下三大 9 江苏大学硕士学位论文 方面： 1 、子站对数据库管理系统的功能性要求 ( 1 ) 数据存取 提供用户对数据的操作功能，实现对数据库数据的检索，插入，修改和删除。 一个好的数据库管理系统应该能够提供功能强大，易学易用的数据操纵语言，方 便的操作方式和较高的数据存取效率。 ( 2 ) 数据库运行管理 包括事务的管理和自动恢复，并发检测和死锁防止，运行日志的组织管理等， 这些功能保证了数据库系统的正常运行。 ( 3 ) 数据组织，存储和管理 数据库管理系统要分类组织，存储和管理各种数据。要确定以何种文件结构 和存取方式在存取级别上组织这些数据，如何实现数据之间的关系。数据组织和 存储的基本目标是提高存储空间的利用率和方便存取，提供快捷的存取方式以提 高存取效率【刀。 2 、子站对数据库管理系统的安全性要求 根据一般数据库管理系统的基本安全要求，在电力控制系统子站中，数据库 管理系统遇到的安全威胁主要包括： ( 1 ) 假冒攻击 这种类型也称为身份攻击，指用户身份被非法窃取，也就是攻击者伪装成另 一合法用户，利用安全体制所允许的操作，去破坏数据库安全。为防止假冒，用 户在对数据进行操作之前，必须对其身份进行认证和访问控制检查阎。 ( 2 ) 窃取重要信息 在电力控制系统中，通常都保存有大量的机密信息，攻击者可以通过多种访 问的方式来窃取系统中所存储的机密文件和数据。因此，当前在大多数系统中都 采取多种措施，来防止信息的外泄，比如用户身份验证，访问控制以及入侵检测 技术来保证系统的安全。另外对关键数据进行加密的措施也被广泛采用，使攻击 者即使窃取到了重要数据，也无法理解其含义【9 】【1 0 1 。 3 、子站对数据库管理系统的实时性要求 在电力控制系统中应用的嵌入式数据库要同时满足嵌入式和实时性两方面 1 0 江苏大学硕士学位论文 的要求，即数据库所处理地数据和事务都有显式的定时限制，系统的正确性不仅 依赖于事务的逻辑结果，而且依赖于该逻辑结果所产生的时间。 嵌入式数据库事务在两方面与时间相关： 1 ) 数据与时间相关 如图2 1 所示，数据库中的数据是对其所服务的“现实世界”中对象状态的 描述，对象状态会随时间而发生变化，则数据库中相应数据值也随时间而变化。 因而与数据值变化相联的时间可以是现实对象状态的实际时间，称为“真实”或 “事件 时间，也可以是将现实对象变化的状态记录到数据库，即数据库中相应 数据值变化的时间，称为“事务时间 。实时数据的导出数据也是实时数据，与 之相联的时间自然是事务时间。 e ：外部数据 i ：内部数据 图2 1 嵌入式数据库与外部环境的关系 2 ) 实时事务有定时限制 实时事务的定时限制最典型的就是其“截止时间( d e a d l i n e ) 。对于实时数据 库，其结果产生的时间与结果本身一样重要，一般只允许事务存取当前有效 的数据，事务必须维护数据库中数据的”事件一致性。另外，外部环境吼实世 界) 的反应时间要求也给事务施以定时限制。所以，实时数据库系统要提供维护 有效性和事务及时性的措施【1 1 】。 2 3s e d b m s 安全性需求分析 安全策略( s e c l l r i t yp o l i c y ) 就是指有关管理、保护和发布敏感信息的法律，规 定和实施细则。简单地说，就是用户对安全需求的描述【1 2 1 。 1 1 江苏大学硕士学位论文 基于安全策略的内涵，可以把安全策略分为访问控制策略( a c c e s sc o n t r o l p o l i c y ) 乘l 访问支持策i l i a ( a c c e s s s u p p o r t i n g p o l i c y ) 两大类。下面我们根据电力系统 安全需求，从访问控制策略和访问支持策略两个方面制定出s e d b m s 的安全策 略。 2 3 1 安全访问控制策略的分析与制定 访问控制策略反映系统的机密性和完整性要求，它确立相应的访问规则以控 制对系统资源的访问。访问控制策略主要有自主访问控制策略和强制访问控制策 略两种。 ( 1 ) 自主访问控制 自主访问控制是最常见的一类存取控制机制，之所以称为“自主 是因为： 一方面，客体的拥有者可以按照自己的意愿精确指定系统中的其它主体对其拥有 客体的访问权；另一方面，对其它具有授予某种访问权力的主体能够“自主地” 将访问权或访问权的某个子集授予另外的客体。自主访问控制能够提供一种很精 细的访问控制粒度，具有很强的灵活性。 ( 2 ) 强制访问控制 强制访问控制是一种用于将系统中的信息分密级和范畴进行管理，保证每个 用户只能够访问那些被标明能够由其访问的信息的访问约束机制，它可以用来防 止对信息的非授权篡改( 即保证信息的完整性) ，又可以防止未授权的信息泄露 ( 即保证信息的机密性) 。 虽然强制访问控制的控制力度比自主访问控制大，但是由于应用在子站系 统，子站系统没有主站繁多且杂的用户。并且强制访问控制由于控制过于严格， 必然在时间上的开销过多，这对实时性要求特别严格的嵌入式数据库管理系统而 言是不合适的，故选择自主访问控制。 2 3 2 安全访问支持策略的分析与制定 访问支持策略反映系统的可审计性要求和可用性要求，它为访问控制策略的 实施提供了保障和支持。访问支持策略包含了很多方面，t c s e c 把系统的访问 1 2 江苏大学硕士学位论文 支持策略分为六类： 标识与鉴另l j ( i d e n t i f i c a t i o n & a u t h e n t i c a t i o n ) 确切保i 正( a s s u r a n c e ) 连续保护( c o n t i n u o u sp r o t e c t i o n ) 客体重用( o b j e c tr e u s e ) 隐蔽信道处理( c o v e nc h a n n e l s ) 可记帐性( a c c o u n t a b i l i t y ) 由上一节电力系统安全需求分析可得，只在设计中实现这六类访问支持策略 的二种_ 标识与鉴别、可记账性，就可以达到系统的要求。下面分别介绍： 1 、标识与鉴别 标识与鉴别是用于保证只有合法用户才能进入系统，进而访问系统中资源的 一种安全机制。其中，标识用来表明用户的身份，确保用户在系统中的唯一性、 可辨认性，它由用户名和标识符d 来标明，属于公开的明码信息【1 3 】；鉴别是将 用户标识符与用户联系以识别用户真实身份的过程，鉴别操作要求用户提供能够 证明其身份的特殊信息，并且此信息是独一无二的、保密的、难以伪造的。 2 、可记账性 可记帐性，又叫审计( a u d i t ) ，是对系统中有关安全的活动进行记录、检查 及其审核的过程。t c s e c 的可记帐性策略要求任何影响系统安全性的行为都要跟 踪并记录下来，系统可信计算基( t r u s t e dc o m p u t i n gb a s e ，t c b ) 必须拥有将用 户i d 号与它被跟踪、审计下来的行为联系起来的能力。一般来讲，t c s e c 标准 规定审计系统应该能够记录以下的事件： ( 1 ) 与标识和鉴别机制相关的事件。 ( 2 ) 将客体导入用户地址空间的操作，如文件的打开操作，程序的启动等。 ( 3 ) 对客体的删除。 ( 4 ) 由系统管理员( s y s t e ma d m i n i s t r a t o r ) 和或系统安全管理员( s y s t e m s e c u r i t yo f f i c e r ) 所执行的操作以及其它与安全相关的事件等。 由以上访问控制策略和访问支持的策略的分析和选择可知，t c s e c 中c 2 级 别的安全定位基本上满足电力系统子站嵌入式数据库管理系统的要求。 1 3 江苏大学硕士学位论文 2 4s e d b m s 实时性需求分析 对于应用于工业控制领域的嵌入式系统，都是有实时性的要求。实时性主要 考察其是否能在满足要求的时间内完成一些规定的动作。因此，系统所执行的任 务都有显式的定时限制，尤其是硬实时任务的截止期必须确保，否则会给系统带 来灾难性后果，或者说对系统有很大的副作用。而对嵌入式实时系统应能对这种 任务的最坏执行时间及数据与资源的要求进行有效地预测，以保证该类事务的完 成率；在这种情况下，若在任务调度已知它不可能在其截止期内完成，则系统不 如放弃该任务，这样可以省去在它身上花的无用代价而让其他任务收益。 对于应用到电力控制系统的嵌入式数据库而言，实时性和及时性是最重要 的，在各种活动事务有定时限制的情况下，有一句名言：“宁愿要一个及时的部 分结果，而不愿要过时的完整结果 。因此在设计s e d b m s 时，需要充分考虑系 统的实时响应，在安全性和实时性之间找到最佳平衡点。 2 5s e d b m s 总体框架设计及各模块分析 通过前面几节对电力控制系统的需求进行分析，以及安全嵌入式数据库管理 系统的分析与设计，本文将s e d b m s 总体框架设计如图2 2 所示，s e d b m s 主 要由安全前端模块，安全事务管理模块，安全存储管理模块，安全访问控制模块 以及安全审计子系统组成。 图2 2s e d b m s 总体框架设计 1 4 江苏大学硕士学位论文 s e d b m s 各部分模块的功能和设计思路如下： 1 、安全前端模块 安全前端模块包括标识与鉴别，用户程序接口a p i ，s q l 编译解释器。该部 分模块主要负责保证合法用户的访问，以及对s q l 语句的解析。它的主要流程 是：用户提交用户名和密码，确定是合法用户后，就获得授权数据库文件的使用 权限，然后向系统提交含有s q l 语言的a p i 函数，s o l 编译器进行处理。 2 、安全事务管理模块 事务是一系列的数据库操作，是数据库应用程序的基本逻辑单元。数据库恢 复机制和锁管理机制是安全事务管理模块最重要的两个功能，它保证数据库的正 常、稳定地运行。数据库恢复机制主要依靠日志来保证，利用检查点技术，备份 技术来实现数据的有效恢复。 3 、安全存储管理模块 安全存储管理模块是整个数据库的核心，主要负责数据的存取、操作及同步， 对数据库的整体性能有着重要的影响。缓存管理的功能是将用户所需要元组或者 记录所在的页，调入或者调出内存，进行读，写，替换操作，并选取合适的方式 来组织缓存中的页面。 4 、安全访问控制模块 s e d b m s 在设计时，将安全访问控制设计成一个单独的模块，可以通过加 载该模块来增加系统的安全性，通过对前面安全策略的分析，在安全访问控制模 块中，我们选择利用自主访问控制，避免强制访问控制过于严格的控制，对系统 的实时性产生严重影响。d a c 权限检查模块检查用户级和表级的访问权限，同 时对系统中表级敏感数据提供安全维护，并发送相关即时检查消息到审计子系 统。 5 、安全审计入侵子系统 s e d b m s 在设计的时候将审计设计成相对独立的子系统，并设置独立的审 计管理员，管理员可以根据应用的具体环境对安全需求的高低来决定是否打开该 子系统。因此，安全审计入侵子系统的设计更加灵活，能够更好地适应电力系统 的需求。安全审计子系统由日志模块，安全审计分析模块以及响应模块所组成， 实现日志采集和审计分析两大功能模块。考虑到资源的有限性，在设计时，只记 1 5 江苏大学硕士学位论文 录与安全密切相关的信息，尽量节省时间和空间的同时，最大化有效信息量。并 且系统采用入侵检测技术，弥补传统审计机制的不足，有效保证系统的安全。其 中，审计日志一记录用户标识和鉴别的情况，审计日志二记录s q l 提交的语句， 审计日志三记录授权情况，系统将采集到的日志信息提交给审计子系统，通过分 析检测入侵行为，进行实时响应，以保护数据库的安全。 由上述的s e d b m s 整体结构设计图可知，系统中安全机制主要有安全身份 认证机制、安全审计机制、安全事务管理机制、自主访问控制机制，这四种安全 机制共同构成了s e d b m s 安全子系统。 通过以上对各模块的分析设计，s e d b m s 的详细设计框架如图2 3 所示。 图2 3s e d b m s 模块设计框架 1 6 江苏大学硕士学位论文 2 6 本章小结 本章通过对嵌入式数据库管理系统和安全数据库管理系统设计原则的借鉴， 分析了安全嵌入式数据库管理系统的设计原则，本文设计的s e d b m s 是面向电 力控制系统的，因此在分析了电力系统对s e d b m s 需求之后，从安全性和实时 性两方面出发，对s e d b m s 进行总体框架的设计，对各个模块的功能及其设计 思想进行了分析设计，并给出s e d b m s 的模块设计框架。 1 7 江苏大学硕士学位论文 第三章安全嵌入式数据库事务调度研究 实时性是s e d b m s 所要解决的重要问题，针对实时事务的定时特性，在电 力系统中，保证关键性硬实时事务的实时响应和顺利执行是关键。因此，本章对 事务调度进行了分析研究，并设计了一种新型动态优先级事务调度算法，最后对 其进行了仿真研究。 3 1 嵌入式数据库事务 3 1 1 事务特性及其分类 1 事务的a c i d 特性 所谓事务是用户定义的一个数据库操作序列，这些操作要么全做要么全不 做，是一个不可分割的工作单位【1 4 】【1 5 】。 事务具有四个特性，原子性( a t o m i c i t y ) 、一致性( c o n s i s