（计算机软件与理论专业论文）基于推理的访问控制与审计技术研究.pdf

摘要 摘要 摘要 随着计算机在社会各个领域的广泛应用，人们对信息系统的依赖程度越来越 高。在享受计算机技术带来便捷服务的同时，信息系统的安全问题已经引起人们 的极大关注。数据库作为信息系统的重要组成部分，存储着大量重要的数据，在 整个系统的构建和应用中承担着核心角色，因而也必然在信息系统的安全保障方 面占据重要地位。现在，许多企业具有一定的安全意识，常常使用一些传统措施， 例如访问控制、防火墙和入侵检测等来保护系统的安全。这些措施是非常重要的， 但还存在一些安全隐患。特别地，在当前分布式和基于网络的应用环境下，用户 访问系统的途径多样化，数据库系统面临着形形色色的安全威胁。包括某些非授 权用户可能绕过系统的访问控制机制入侵数据库，非法地、以间接的方式获取数 据；内部管理人员利用其自身权限从事不当行为等。 造成不安全的一个主要原因是因为安全数据库中存在非法用户能够以间接 方式访问敏感信息的推理通道，即使对数据库中的数据进行加密处理，也很难解 决这类安全隐患。如果能在数据库的设计阶段或查询阶段检测和清除推理通道， 会使数据的安全性得到提高。但这些推理访问控制措施在防止敏感信息泄露的同 时，也不同程度地降低了信息的可用度，使得某些原来对用户可用的数据变得不 可用，并且使得查询的效率有所下降，为弥补这种在设计和查询阶段实现推理访 问控制方面的不足，将部分推理控制措施放在审计阶段的设想不仅能提高数据的 可用性，同时能完善整个系统的安全机制。推理审计是按照审计员或用户制定的 审计策略，对以直接或间接方式访问特定数据的查询进行审计。推理控制和强有 力的审计对高安全级的数据库而言，显得尤为重要。 本论文在收集和分析大量近年来国内外安全数据库文献，特别是数据库访问 控制和审计领域文献的基础上，对高安全级的数据库推理访问控制和推理审计的 一些关键技术进行了研究，包括在查询阶段检测和清除推理通道，扩展的审计技 术、推理审计框架等。并在开放源码的数据库管理系统中，实现了多级关系数据 库的推理访问控制及一般数据库的推理审计。上述研究工作是安全数据库管理平 台项目的重要组成部分和基础工作。论文的研究工作主要包括以下的几个方面。 论文通过对安全数据库的一些背景知识介绍，指出了数据库访问控制，推理 访问控制和审计的重要性：然后描述了一般的推理访问控制和审计所存在的一些 问题，如合谋所导致的敏感信息泄露等：接着介绍与安全数据库相关的一些研究 工作，推理和审计技术等，以及国内外的一些安全标准。本论文的研究工作是建 摘要 摘要 立在此基础之上的。 论文阐述了对多级安全数据库的推理控制技术的研究。文章对查询阶段检测 和清除推理通道的推理控制算法进行了讨论，将信息推理访问控制的粒度提高到 元素级。基于数据中最常规的数据约束一函数依赖和多值依赖，给出了这种最细 粒度的推理控制方法、算法、并对算法的安全性进行了分析。为进一步防范多用 户合谋给安全数据库所带来的安全隐患，提出了一种基于视图的等价类划分算 法，从理论上证明了这种方法的正确性。并用实例表明了这种方法的安全性和可 行性、有效性。这些推理访问控制措施有效提高了数据的可用性。 论文阐述了对基于推理的安全数据库审计框架的研究。文章对已有的审计方 法进行了讨论，指出了常规的审计方法中所存在的不足，即不能对以间接方式访 问数据库的查询进行审计。给出了具有推理能力的审计框架，该审计框架具有 m v d 推理审计能力、f f d 推理审计能力、f d 推理审计能力。并给出了与之相对 应的推理审计算法和查询图模型( q g m ) ，文中的实例说明了该审计框架的可行 性。这种将部分推理访问控制的措施放在审计系统的做法能有效地提高数据的可 用性，事后审计措施减轻了系统查询改写的负担，提高了系统的实时处理查询的 能力。 论文阐述了对半结构化数据查询进行审计和推理审计的研究工作。文章对已 有的审计方法进行了讨论，指出了常规的审计方法中所存在的不足，即不能对半 结构化的查询进行审计和推理审计。由于半结构化的数据在存储和查询方面与以 往的关系型数据的存储和查询有较大的不同，因此有必要对已有的审计方法进行 研究，使之具有对新型数据查询进行审计的能力。文章给出了与x m l 查询相对 应的审计模型、审计算法和查询图模型，并给合容易导致敏感信息泄露的几种典 型x m l 约束，给出了推理审计的审计算法和查询图模型，并用实验证实了审计 和推理审计模型的可行性和有效性。 论文给出了安全数据库推理控制和审计、推理审计的系统实现部分的研究工 作。文章介绍了安全数据库管理平台项目的一些基本情况，提出了安全数据库总 体结构，对数据库系统的数据存储、传输，推理访问控制、审计和推理审计等的 全过程进行改造，实现全方位的安全控制。然后，在开放源码的数据库管理系统 中实现了审计和推理审计的功能，解决了审计日志和备份数据库安全等问题。 关键词：安全数据库，多级数据库，访问控制，推理控制，审计，审计查询， x m l 文档，x q u e r y 中图分类号：t p 3 1 1 a b s t r a c t a b s t r a c t w i t ht h ew i d e l ya p p l i c a t i o no fc o m p u t e rt e c h n o l o g yi ns o c i e t y , p e o p l ea r e b e c o m i n gm o r ea n dm o r ed e p e n d e n to ni n f o r m a t i o ns y s t e m s w h i l ew e a r ee n j o y i n g t h ec o n v e n i e n ts e r v i c e sb r o u g h tf o r w a r d ，t h e i rs e c u r i t yp r o b l e mh a sd r a w no u r a t t e n t i o n a sa l li m p o r t a n tp a r to fi n f o r m a t i o ns y s t e m s ，d a t a b a s es t o r e sl a r g eq u a n t i t y o fd a t aa n du n d e r t a k e st h ec r u c i a lr o l ei ni t sc o n s t r u c t i o na n da p p l i c a t i o n ； c o n s e q u e n t l y ，i tw i l lp l a ya ni m p o r t a n tp a r tt os a f e g u a r ds e c u r i t yo ft h ew h o l es y s t e m n o w a d a y s ，m a n ye n t e r p r i s e s w i t h s e c u r i t y c o n s i d e r a t i o n sh a v ea d o p t e ds o m e t r a d i t i o n a lm e c h a n i s m s ，s u c ha st h ef i r e w a l l ，a c c e s sc o n t r o la n di n t r u s i o nd e t e c t i o nt o e n s u r et h es y s t e ms e c u r i t y t h e s em e c h a n i s m sa r ev e r yi m p o r t a n t ，b u tt h e yc a n n o t s o l v ea l lo fo u rs e c u r i t yc o n c e r n s d u et ot h ed i v e r s i f i c a t i o n so fu s e ra c c e s s ， e s p e c i a l l yu n d e rt h ec u r r e n td i s t r i b u t e da n dn e t w o r k - b a s e da p p l i c a t i o ne n v i r o n m e n t , t h ed a t a b a s es y s t e mf a c e sd i f f e r e n tk i n d so fs e c u r i t yt h r e a t s ，i n c l u d i n gi l l e g a ld a t a a c c e s sb yu n a u t h o r i z e du s e rt h r o u g hb y p a s s i n gt h es y s t e ma c c e s sc o n t r o lm e c h a n i s m ， t h em i s h a n d l i n go fp r i v i l e g e sb yt h ei n t e r n a la d m i n i s t r a t i v es t a f f , e t c o n eo ft h em a i nr e a s o n st oi n d u c et h es e c u r i t yt h r e a ti st h ee x i s t e n c eo fi n f e r e n c e c h a n n e lt h r o u g hw h i c ht h eu n a u t h o r i z e du s e r 锄a c c e s st h es e n s i t i v ed a t ai n d i r e c t l y e v e ni ft h ed a t aw e r ee n c r y p t e di nd a t a b a s e t l l e s ek i n d so ft h r e a t ss t i l lc o u l dn o tb e s o l v e d b u ti ft h ei n f e r e n c ec h a n n e li sd e t e c t e da n dr e m o v e di nt h ed a t a b a s ed e s i g n a n dq u e r y ，t h ed a t as e c u r i t yw i l lb eg r e a t l yi m p r o v e d a l t e r n a t i v e l y , t h ea u d i tp o l i c y c o u l da l s ob ea p p l i e dt oa u d i ta n da n a l y z et h eu s e r s h i s t o r yd a t a w h i l ei t sd a t a u s a b i l i t yi si m p r o v e df u r t h e r ，t h ep e r f o r m a n c ew i l la l s ob ei m p r o v e da tt h es a m et i m e t h e s em e c h a n i s m sa r ev e r yi m p o r t a n tt oe n s u r et h ed a t as e c u r i t y b a s e do nt h ec o l l e c t i o na n da n a l y s i so fr e c e n ts e c u r i t yd a t a b a s el i t e r a t u r e sf r o m d o m e s t i ca n da b r o a de s p e c i a l l yi nt h ef i e l do fd a t a b a s ea c c e s sc o n t r o la n da u d i t , k e y t e c h n o l o g i e so nd a t a b a s ei n f e r e n c ea c c e s sc o n t r o la n da u d i tw e r es t u d i e d , i n c l u d i n g t h ed e t e c t i o na n dr e m o v i n go fq u e r yi n f e r e n c ec h a n n e l ，e x t e n d i n ga u d i t , i n f e r e n c e a u d i tf r a m e w o r k , c t c m o r e o v e r ，t h em u l t i 1 e v e lr e l a t i o n a ld a t a b a s ei n f e r e n c ea c c e s s c o n t r o la n di n f e r e n c ea u d i tw e r ea l s oi m p l e m e n t e di nt h eo p e n s o u r c ed a t a b a s es y s t e m p o s t g r e s q lt h ea f o r e m e n t i o n e dr e s e a r c hi st h ei m p o r t a n tp a r ta n db a s i so ft h e s e c u r i t yd a t a b a s em a n a g e m e n tp l a t f o r m t h i sr e s e a r c h i sf o c u s e dm a i n l yo nt h e f o l l o w i n gf i e l d s 1 a b s t r a c t t h r o u g hi n t r o d u c t i o no fd a t a b a s es e c u r i t yb a c k g r o u n d ，t h i sd i s s e r t a t i o np o i n t s o u tt h ei m p o r t a n c eo fd a t a b a s ea c c e s sc o n t r o l ，i n f e r e n c ea c c e s sc o n t r o la n da u d i t ；t h e n d e s c r i b e ss o m e p r o b l e m se x i s t i n gi nt h ei n f e r e n c ea c c e s sc o n t r o la n da u d i ts u c ha st h e l e a ko fs e n s i t i v ed a t ac a u s e d b yc o l l u s i o n ；a n df i n a l l y i n t r o d u c e ss o m e s e c u r i t y d a t a b a s er e l a t e dr e s e a r c hw o r k ，i n f e r e n c ea n da u d i tt e c h n o l o g i e s , s o m e s e c u r i t ys t a n d a r d sa n ds of o r t h t h i sd i s s e r t a t i o nr e s e a r c h e s t h em u l t i l e v e l d a t a b a s ei n f e r e n c ea c c e s sc o n t r 0 1 f i r s t l yt h ea l g o r i t h m st od e t e c ta n dr e m o v et h ei n f e r e n c ec h a n n e l sd u r i n gq u e r yt i m e a r eg i v e n w h i c ha r ei m p l e m e n t e da tt h eg r a n u l a r i t yo f e l e m e n t sa n db a s e do nt h ed a t a c o n s t r a i n t s ，f u n c t i o n a ld e p e n d e n c ea n dm u l t i - v a l u e dd e p e n d e n c e ，a n dt h ea n a l y s i so f t h ea l g o r i t h m ss h o w e dt h es e c u r i t y t of u r t h e rp r o t e c tt h eh i d d e nd a n g e r o u so f q 沱c u r e d a t a b a s eb r o u g h tb ym u l t i - u s e rc o l l u s i o n ，t h ed i s s e r t a t i o np r o v i d e st h er u l eo fs p l i t t i n g v i e w si n t ot h es e c u r ca n di n s e c u r ev i e wd e p e n d e n c yb a s i s t h e o r e t i c a l l yp r o v e st h e c o r r e c t n e s so ft h er u l e t h e s ei n f e r e n c ea c c e s sc o n t r o lm e a s u r e si m p r o v et h ed a t a s a v a i l a b i l i t yg r e a t l y t h i sd i s s e r t a t i o nr e s e a r c h e s t h ei n f e r e n c e b a s e d s e c u r i t y d a t a b a s ea u d i t f r a m e w o r k f i r s t , t h ee x i s t i n ga u d i tm o d e l sa r ed i s c u s s e da n di t sd i s a d v a n t a g e sa r e p o i n t c do u tn o tt ob ea b l et oa u d i tt h o s eq u e r i e st h a ta c c e s sd a t a b a s ei n d i r e c t l y a n d t h e n , t h ea u d i tf r a m e w o r kw i t hm v d ，f f da n df di n f e r e n c ec a p a b i l i t i e si sp r o v i d e d l a s t ，t h er e s p e c t i v ei n f e r e n c ea u d i ta l g o r i t h ma n dq u e r yg r a p hm o d e l ( q g m ) a r ea l s o p r o v i d e dw i t he x a m p l e st op r o v et h ef e a s i b i l i t yo ft h i sa u d i tf r a m e w o r k t h ew a y o f p a r t l ye m b e d d i n gi n f e r e n c ea c c e s sc o n t r o li n t ot h ea u d i ts y s t e m c a l l e f f e c t i v e l y i m p r o v et h ed a t aa v a i l a b i l i t ya n dr e a l t i m ep r o c e s s i n gp e r f o r m a n c e t h i sd i s s e r t a t i o nr e s e a r c h e s t h ea u d i ta n di n f e r e n c ea u d i to nt h eq u e r yo f s e m i s t r u c t u r e dd a t a f i r s t , t h ee x i s t i n ga u d i tm o d e l sa r ed i s c u s s e da n dt h e i r d i s a d v a n t a g e sa l ep o i n t e do u tn o tt ob ea b l et oa u d i ta n di n f e r e n t i a l l ya u d i tt h e s e m i s t r u c t u r e dq u e r y s i n c et h e r eh a v ed i f f e r e n c e sb e t w e e nt h es e m i - s t r u c t u r e dd a t a a n dr e l a t i o n a ld a t ao ns t o r a g ea n dq u e r y , i ti sn e c e s s a r yt os t u d yt h o s ee x i s t i n ga u d i t m o d e l sa n di m p r o v et h e mt ob ea b l et oa u d i tt h eq u e r yo nd a t ao fn e wd a t a - t y p e s t h e r e f o r e ，t h ea u d i tm o d e l ，a u d i ta l g o r i t h ma n dq u e r yg r a p hm o d e l ( q g m ) a r e p r o v i d e df o rx m lq u e r y ；f u r t h e r m o r e ，c o m b i n i n gs e v e r a lt y p i c a lx m lc o n s t r a i n t s t h a tm i g h tl e a dt ot h el e a ko fs e n s i t i v ei n f o r m a t i o n ，t h ea u d i ta l g o r i t h ma n dq u e r y g r a p hm o d e lo ni n f e r e n c ea u d i ta r ep r o v i d e dw i t he x e c u t e de x p e r i m e n t a t i o n st op r o v e i t sa v a i l a b i l i t ya n de f f e c t i v e n e s s i v a b s t r a c t t h i sd j s s e r t a t i o nr e s e a r c h e st h ei m p l e m e n t a t i o n so fs e c u r i t yd a t a b a s ei n f e r e n c e c o n t r o l ，a u d i ta n di n f e r e n c ea u d i ts y s t e m a tf i r s t ，t h ec u r r e n ts t a t u so ns e c u r i t y d a t a b a s em a n a g e m e n tp l a t f o r mi si n t r o d u c e d a n dt h e nt h ei d e ao fs e c u r i t yd a t a b a s e i n f r a s t r u c t u r ei sp u tf o r w a r dt oi m p r o v et h ew h o l ep r o c e s so fd a t as t o r a g e ，t r a n s f e r , i n f e r e n c ea c c e s sc o n t r 0 1 a u d i ta n di n f e r e n c ea u d i ts oa st oe n s u r et h eo n m i - d i r e c t i o n a l s e c u r i t yc o n t f o ll a s t ，t h ea u d i ta n di n f e r e n c ea u d i tf u n c t i o n sa r ei m p l e m e n t e di nt h e o p e n s o u r c ed a t a b a s es y s t e mt os o l v et h ea u d i tl o gp r o b l e m ，s e c u r i t yp r o b l e mo f d a t a b a s eb a c k u pa n ds of o n l l g e y w o r d s ：s e c u r i t yd a t a b a s e ，m u l t i l e v e l - d a t a b a s e ，a c c e s s c o n t r o l ，i n f e r e n c ec o n t r o l ，a u d i t ，a u d i tq u e r y ，x m ld o c u m e n t ， x o u e r y v - 第一章引言 第一章引言 本章一方面对论文的研究背景进行了简单的阐述，主要包括与安全数据库相关的技术 及其发展历程，在此基础上引出了论文相关研究的几个方面问题：推理通道的检测与清除问 题、基于w e b 的推理控制技术问题、细粒度审计和推理审计问题；另一方面，本章还介绍 了论文的主要研究内容以厦论文的组织结构 1 1 立题背景 在当今的信息社会，信息的查询和访问越来越便捷，这使得敏感信息的安全 问题变得越来越重要。作为现代信息系统重要组成部分的信息安全，同时也是近 年来计算机领域的研究热点【s t a 0 3 ，n w j 0 4 ，a b f + 0 4 ，x c 0 4 ，a s t 0 5 ，z w b 0 5 】。 计算机系统的核心软件，数据库管理系统( d b m s ) 担负着集中存储和处理大量信 息的任务，因此，数据库系统容易成为黑客攻击的重要目标。据世界新闻报报道， 2 0 0 5 年8 月2 4 日，美国得吉克萨斯州安东尼奥兰道夫空军基地人事中心的数 据库被电脑黑客侵入，约3 3 万名军官的社会保险号码、出生日期和其他私人资 料被盗窃。据悉，私人资料被盗的军官人数约占该基地军官人数的一半。据调查， 2 0 0 4 年专门针对美国政府网站的非法入侵事件发生了5 4 万件，2 0 0 5 年上长 升至7 9 万件。被入侵的政府网站包括国防部、国务院、能源部、国土安全部 等重要政府职能部门，其中以国防部最为严重，在2 0 0 4 年达1 3 0 0 次。传统地， 物理安全和操作系统安全机制为数据库提供了一定的安全措施和技术，但这些方 法仍不能满足数据库安全的需求，特别是无法保证一些重要部门( 如政府、金融、 国防) 和一些敏感数据( 如信用卡、身份证、个人的医疗信息) 的安全 d j r 7 9 ， j m 0 1 ，a k s y 0 2 ，a k 0 2 ，a s 0 0 ，t x 0 6 】。数据库系统提供的访问控制机制作为 一种安全手段能加强对敏感信息的保护。在这种保护机制下，敏感信息的访问是 通过访问预先制定的数据库接口来实现的。但这种重要而且必不可少的访问控制 机制对信息的安全保护通常是不够的，因为非法用户或内部人员可以绕过访问控 制机制达到颠覆敏感信息安全的目的 g l 0 4 】，这也就是我们通常所说的推理访 问，以问接方式导致敏感信息泄露的推理访问是安全数据库中所存在的重大安全 隐患，有关推理问题的研究不仅只局限于多级安全数据库，其它例如统计数据库 【d e n 8 2 ，d f 9 8 ，k l s + 0 1 ，l u n 9 1 ，o s 9 0 】、一般数据库【h s 9 7 ，h d w 9 6 ，y l 9 8 ， s t a 0 3 ，m s 0 3 ，h d c 0 5 】、数据挖掘 a a 0 1 ，a s 0 0 ，n s z 0 5 ，z z c 0 4 ，c l l 0 0 】、 w e bs e r v l c e s 【a n d 9 7 ，b r a 9 6 ，x c 0 4 ，d v 0 0 ，k h h v 0 0 】等都不同程度地 存在推理导致敏感信息泄露的问题，具有高安全级的d b m s 明确规定，在其强制 第1 页 第一章引言 访问控制措施中应包含检测和消除推理通道的功能。由此可知，推理访问控制对 于保证数据的安全具有非常重要的意义。同时由于入侵检查和访问控制对防范非 法用户和内部人员攻击的能力非常有限，对安全事件进行追踪分析和责任追究的 审计有着不可替代的作用。 1 2 问题阐述 推理访问控制技术和审计在很大程度上能够提高多级安全数据库管理系统 的安全性，但在推理访问控制实现的过程中，我们必须对数据库中所存储的数据 信息安全级进行调整，以检测和消除推理通道。而在审计过程中，必须使审计具 有快速、准确、细粒度等特点，这样在实现的过程中，必然会产生一些新的问题。 ( 1 ) 数据的可用性问题。关系数据库中大多数的推理通道都是由于元数据中 所存在的数据约束所引起的，清除推理通道的一种方法就是在数据库设计期间检 测推理通道，通过修改数据库设计或调整某些数据项的安全级来达到消除推理通 道的目的 b u c 9 0 ，g m 8 4 ，h i n 8 8 ，m o r 8 8 】，但这些技术很容易导致给数据分 配过高的安全性，很大程度上降低了数据的可用性。 ( 2 ) 性能问题。实现推理控制的另一种方法就是在查询期间判断【s t 9 0 ， d e n 8 5 ，t h u 8 7 】查询输出结果是否安全，在此过程中，须维持有关用户查询的 历史记录，在授予查询结果时，先检查用户的历史查询记录和已知潜在的推理通 道，如果存在安全隐患，则拒绝查询或实现查询改写，由于用户的历史查询记录 可能很长，可能会导致查询效率急骤下降的问题。 ( 3 ) 推理访问控制的粒度问题。最典型的访问控制粒度有基于属性的粒度和 基于元组的粒度，关于这两种粒度的访问控制已有大量的研究【h s 7 5 ，h g j + 8 8 ， o s t 8 8 】。在计算机硬件功能取得飞速发展之后，使得细粒度访问控制变得现实 可能，与此同时，当前信息技术的发展也要求更细粒度的访问控制来提高数据的 可用性，这给已有推理访问控制带来了新的挑战，细粒度的推理访问控制会与数 据库实例密切相关，并且多用户利用背景知识合谋来颠覆敏感信息的安全将成为 推理访问控制的难点。 ( 4 ) 审计的粒度问题。已往的审计系统能够根据审计日志审计用户的各种活 动，但不能具体到用户活动的每个细节。尤其是针对d m l 语句的审计，例如虽 然我们审计到用户执行了s e l e c t 动作，但我们却不能审计出他s e c l e c t 了什 么样的数据，而这种操作的审计工作也不能像其它的d m l 语句可以通过触发器 来实现。这就要求我们的审计系统具有更细粒度的审计能力。 ( 5 ) 审计策略的灵活性问题。审计系统在实现审计的过程中，审计数据的存 储和查询会严重影响审计性能，由于以往的审计记录是按时间顺序记录用户的各 第2 页 第一章引言 种活动，审计日志可能会非常庞大，这其中可能包含大量无用的审计信息，并且 这其中的审计信息又可能并不完全包含所需的审计信息。这就需要灵活的审计策 略来支持审计日志的存储和查询，而当前的主流数据库产品大多却并不具备灵活 的审计策略。 ( 6 ) 审计能力的可扩展性问题。当前信息技术的发展使得信息的表现形式出 现了多样化的趋势，信息处理能力日益强大的数据库同时也不同程度地适应了这 些新技术的发展，这些新形式的数据信息在存储和查询的方式上与以往传统的关 系型数据的存储和查询相比有了很大的变化【c h a 0 3 ，c o h 0 3 ，h r i 0 3 】，而已有 的审计系统是针对关系型数据库的，没有扩展到这类数据的审计上来。 ( 7 ) 推理审计问题。再好的推理访问控制也是无法完全杜绝由于推理导致敏 感信息泄露问题的，因为我们无法知道所有用户的背景知识及所有的数据约束。 并且许多攻击可能来自内部人员，他们利用数据库中可能存在的隐通道，绕过强 制访问控制进行非法通信【y l 9 8 ，f s 9 5 】。这让我们产生了将部分推理控制措施 放在审计子系统的构想，在用户执行完查询之后的任何时刻，按照我们所能发现 的推理通道定义审计策略，进行推理审计，从而达到事件分析或责任追踪的目的。 1 3 相关研究 对安全数据库推理控制技术的研究，主要集中在对问题的定义以及产生推理 通道的模型建立上，导致推理产生的各种用户背景知识如数据库约束的确定和表 示是我们必须面临的问题。而清除已存在的推理通道需要我们对客体的安全级进 行调整，在调整过程中会不同程度地导致信息可用性程度下降，同时也会导致系 统性能的下降。这些具有争议性的问题重新又成为了广大研究者们关注的对象。 为了使信息的安全性进一步地得到提高，很多国家颁布了保护敏感信息的法律条 文，如何验证数据库是否遵守了这些安全策略呢? 数据库审计就显得尤为重要。 所以，本节中就重点介绍在保障信息方面已取得的一些成果，然后给出与之相近 一些研究成果以及新的研究进展动态。 为了定义、检测和消除推理通道，研究人员采用了不同的方法，提出了一些 有效的措施。而为了使审计有效抵御和防范各种形式的攻击，科研工作者们定义 了多种形式的措施，有效提高了审计效率。概括起来，大致可以分为以下几类： ( 1 ) 概括出各种不同的推理通道，提供与之相对应的推理检测技术 【j m 9 5 】。大多数的研究工作集中在特定类型推理通道的定义以及框架的建立上， 研究工作者们证明了多数推理通道是由于数据库自身的数据约束所产生的。他们 将检测和清除推理通道的技术分为两类。一类是在数据库设计期间检测推理通 道，通过修改数据库设计和提高某些数据项的安全级来清除推理通道【b u c 9 0 ， 第3 页 第一章引言 g m 8 4 ，h i n 8 8 ，h d c 9 5 ，s t i 9 4 ，s 0 9 1 】。另一类是在查询期间清除推理通道 【d e n 8 5 ，m s s 8 8 s t 9 0 ，t h u 8 7 】，如果在查询结果中检测出推理通道，则通过 拒绝查询或查询改写的方法来保证敏感信息的安全。这类技术允许推理通道的检 测在数据级或模式级，具有较好的灵活性。 ( 2 ) 通用、自动的推理检测技术。这类技术可用于大多数的数据库和语义 模型，一定程度上解决了各种外部知识和域知识的表示问题。当然，这是一种非 常理想的方法，可以大大地简化推理控制防范措施。目前的主要研究成果有基于 概念图的方法来检测非法推理通道 d h 9 6 ，h d w 9 7 】，该方法为了结合各种形式 的外部知识来提高检测处理能力，系统可以借助于人的帮助进行宏观分析，在图 中添加语义知识【b f j 0 0 ，d c s 9 9 】。 ( 3 ) 基于网络的推理控制技术。网络技术的发展给安全带来了新的问题 【b b 8 9 ，c o u 9 7 ，d 0 9 8 ，o f f 9 9 】，而作为传达网络信息的x m l 文档就成了黑 客攻击的目标，科研工作者们定义了多种x m l 文档的访问控制模型，来保护隐 私信息不被直接访问。与此同时，在可能存在推理通道的情况下，也提出了加强 安全的各种技术措施，如基于视图的x m l 访问控制模型，模型基于已有的敏感 数据对数据语义信息实现了保护，能清除泄露隐私信息的推理通道 w c g 0 4 ， c f m s 9 5 】 ( 4 ) 细粒度、快速、准确的审计技术。这类审计技术能及时地检测各种非法 攻击，灵活的审计策略能有效提升审计控制能力【s k 9 9 】，同时审计作为一种事 后追究非法访问的安全措施能提升系统实时处理查询的性能( 将部分审计功能放 在查询完成之后，减轻了系统的负担) ，提高数据的可用性，目前的研究成果有 细粒度审计技术 n b 0 3 】，验证访问策略一致性的审计技术 a b f + 0 4 】。 1 3 1 通用、自动的推理检测技术 b f j 0 0 】对数据库的表示和域知识的通用模型进行了研究，提出了可靠的 推理检测技术，他们的模型主要集中在对精确推理和模糊推理以及使用一种基于 逻辑的技术来导出推理通道，并证明了检测推理通道算法的正确性和可靠性。他 们给出了称之为d i m o n ( 推理通道监视器) 的安全架构体系，这是一种基于格的 访问控制模型，d i m o n 能够实现基于访问内容、上下文信息，以及基于用户的 历史访问信息来阻塞非法的推理通道。d i m o n 可以工作在与数据相关的模式和 与数据无关的两种模式。在与数据相关的工作模式下，推理控制算法是正确而完 备的，而对于与数据无关的工作模式，检测推理通道的控制算法是完备的但却不 完全正确。 d c s 9 9 ，d v l s 9 9 】对已有数据库的分类约束问题进行了研究，将其明确地 第4 页 第一章引言 划分为分级约束、关联约束以及推理约束。他们的访问控制模型同时解决了精确 推理和模糊推理的问题。研究结果表明，如果一个集合的某个元素能从另外一个 集合的元素推出，或者第二个集合中元素可能的取值范围能够通过第一个集合中 的元素来缩小，那么就存在从第一个集合的一个元素到另一个集合某个元素的推 理通道。研究工作者们提出了清除推理通道的控制算法，并使数据安全级的调整 最小化。 1 3 2 基于w e b 的推理控制技术 有关基于w e b 的推理控制技术研究，大多数工作都集中在与w e b 文档访问 控制相关的x m l 文档上，主要解决通过利用非法推理通道的间接访问。 x a c m l 【h k 】和x a c l o a s 】提出了定义访问控制策略的标准，通过对查询请求授 权或拒绝的决策过程来强制实现安全策略，方法过于粗略，提交查询的用户希望 查询结果能够返回部份授权的信息而不是简单地拒绝。为此， m t k h 0 3 】对查询 结果中的每一个元素进行检查，返回用户允许访问的查询信息，但这是一种静态 的优化查询算法，不适合于实时查询的安全检查。另外，【b f 0 2 ，d v p s 0 0 ， d v p s 0 2 】对x m l 的访问控制粒度、访问控制继承和重载以及冲突解决办法进行 了研究，【d v p s 0 0 ，d v p s 0 2 】还给出了用x p a t h 查询来表达访问策略的方法， 用户的访问控制语义是x p a t h 规则所决的特定x m l 文档视图，计算特定用户数 据视图的算法是基于树标签的，但这种基于物化和维持视图策略代价过高且过于 复杂。 c a l s 0 2 】提出了一种假定访问标识包含在实际数据元素的访问控制模 型，但这种机制不支持模式的可用性。 w c g 0 4 】提出了安全视图的概念，一个遵照d t d 视图的x m l 视图仅包含 了用户授权访问信息，安全视图能有效保护敏感信息不会被非授权用户以直接方 式或以潜在推理方式访问，算法能有效地从定义在d t d 文档上的安全策略导出 安全视图信息，在不必对视图物化的情况下，x p a t h 查询改写和优化算法能高 效地输出查询结果。该工作是首次对基于d t d 的x m l 访问控制模型进行的研究。 通过安全视图查询x m l 文档的框架 w c g 0 4 】如下图1 1 所示。 另外，亟待解决的一些非法推理通道问题有基于重复数据的推理通道、基于 r d f 的推理通道和基于本体的推理通道。有必要对数据安全分级不一致的重复数 据检测技术进行研究，而且支持本体、基于语义的数据关联也是具有研究价值的 问题。不应该存在从已发布的非敏感信息推理出敏感信息的推理通道，在w e b 环境下，已有的推理控制技术是不足以解决以上推理控制问题的。而且，由于支 持对信息资源的匿名访问，如何追踪多用户合谋所导致的信息安全问题将给安全 数据库带来新的挑战。 第5 页 第一章引言 “r 日，m 疆- d ，忘耐 哟嘲玎j 甜：荫p ，口2 銎 l ”m 啤”一h 】 d 二，鼬l 啊_ - t - - ，、1 、i i o 一- i “掣目枷n 甜 l 嗍枷臻i- “t “孕嘞日蕊 ：颤“捌嘲喃肾l i 翱_ 棚五强量 l 柙岫孵￥删群商l 口l扫棚豺豫瓣，血悖 _ 糯f d z 五口! 。俨叩l! 幽 s 习 图1 1x m l 查询框架 1 3 3 细粒度、快速、准确的审计技术 o r a