一个新的多级安全数据库模型及实现

1、一个新的多级安全数据库模型及实现刘欣 沈昌祥(Email: ),由于现有多级安全模型的约束条件与现实工作需求存在着矛盾，本文提出了一个基于扩展安全级的安全模型，本模型实现了强制访问控制，可达到B1级安全。本文描述了其基本定义、规则和定理，并简单介绍了其实现。,1、 前言 1.1现有安全模型 1.2 上述模型的不足 1.3新模型概述 2、新模型形式化描述 2.1定义 2.2规则 2.3模型的定理系统 3、应用本模型的SDBMS实现 4、 结束语,1.2 上述模型的不足,BLP作为经典强制访问控制模型，其规则过于严格，会与实际工作需求发生冲突；比如，某高安全级主体可能要求写比其安全低的数据；下面例

2、子说明该冲突： 比如，设一个表equipment中，Price是公开，purpose是秘密，则操作： UPDATE equipment SET price=price*1.1 Where purpose =”missle test” 是无法执行的。,SeaView模型做为BLP模型与Biba模型的结合，为维护数据库完整性和避免隐通道，引入了多实例的概念，并将多级关系分解成单级关系存储，这就大大降低了数据库效率。 同样上面的例子，若price 与purpose的完整级均为VI，而主体的写级与读级分别为和，则由于完整性约束，使主体仍不能执行上述操作。 如何既解决上述模型与实际需求的冲突，又保证强制

3、访问策略实施，达到B1级标准，本文提出了一个多级数据库安全模型。,1.3 新模型概述,本模型通过给出一个安全级的新定义，扩展了保密等级的概念，使一个主体具有最高保密等级和最低保密等级，并更改了“写”操作检查规则，使主体可以在一定范围内向下写，增加了模型的灵活性和实用性。,1.3.1安全级的定义,本模型安全级由保密性等级、完整性等级和范围的集合组成。一般说来，保密性等级是如下四元素集合中的任一元素：绝密TS，机密S，秘密C，公开U，此集合是全序的，即绝密TS机密S秘密C公开U。完整性等级是如下集合中的一个元素：极重要C，非常重要VI，重要I，公开U。此集合也是全序的，即CVIIU。范围的集合是系

4、统中分类元素集合的一个子集。这些元素依赖于所考虑的环境和应用领域。 安全级形成服从偏序关系的格，此偏序关系称为支配（）关系。,1.3.2主体读保密等级与写保密等级,系统中每个主体的写保密等级是一个取值范围，而非一个值，分别用Cmin, Cmax,则主体的写保密等级为偶对，读保密等级Cmax。 如果一个主体的读保密等级严格支配其最低写保密等级（Cmax Cmin），则称主体是可信的；允许可信主体将数据以低于读保密等级的某保密等级写入，但必须证明主体没有向下传播信息（第二节将详细介绍）。,1.3.3安全检查规则,写操作安全检查规则： （1）主体的当前保密等级被客体的保密等级支配；主体的完整等级支配

5、客体的完整等级；主体的范围包含于客体的范围；或 （2）客体保密等级属于主体的写保密等级；主体的完整等级支配客体的完整等级；主体的范围包含于客体的范围；符合保密性约束规则（第2.2节规则2） 本规则扩展了安全级的概念，给主体写操作一个范围，但同时又进行了保密性约束。,读操作安全检查规则： 主体的保密等级支配客体的保密等级；主体的完整等级被客体的完整等级支配；主体的范围包含客体的范围。 这条规则符合BLP模型不上读和Biba模型不下读的规则。 读写操作安全检查规则： （1）客体保密等级等于主体的当前保密等级；客体的完整等级等于主体的当前完整等级；主体的范围等于客体的范围。或 （2）客体保密等级属于

6、主体的写保密等级；客体的完整等级等于主体的当前完整等级；主体的范围等于客体的范围。符合保密性约束规则,2模型介绍,2.1定义 定义1 系统状态v：集合V中元素， vV=(BMFICTH) 当前存取集B：B(SOA) 访问方式集合A：A=r,w,e,a,定义2 保密性规则集合CVP：保密性规则cvpCVP是客体到Yes,No是映射，其中Yes=1，No=0。Yes表示符合保密性规则，No表示不符合保密性规则。 函数k：k是CVP和Sec_L间的映射。，有且仅有唯一的k(cvp)Sec_L。 安全级sec_lSec_L对应的保密性规则集合sec_l_cvp，sec_l_cvp=cvp|k(cvp)

7、= sec_l, cvpCVP。,定义3 安全代理集合DS 函数m：m是DS和Sec_L间的一一映射。有且仅有唯一的k(ds) Sec_L；，有且仅有唯一的m-1(sec_l)DS； 定义4 对一个写保密等级偶对（Cmin ，Cmax）和一个保密等级c，若CmincCmax，称c属于该写保密等级。,2.2规则 我们用rq(Si,Oj,x)表示主体Si对客体Oj的x访问请求。 规则1 对任意b=(s,o,x) B： (1) x=a fc(s)fo(o), ic(s)io(o), cts(s) cto(o)； 或者fmin(s)fo(o)fc(s), ic(s)io(o), cts(s) cto(

8、o) 且满足规则2； (2) x=w f(s) =fo(o), ic(s) = io(o) , cts(s)=cto(o) 或者fmin(s)fo(o)fc(s), ic(s) = io(o) , cts(s)=cto(o)且满足规则2； (3) x=r fc(s)fo(o), ic(s) io(o) , cts(s) cto(o)；（读规则不变） (4) x=e fmax(s)fo(o), imax(s)io(o) , cts(s) cto(o),规则2 在（b,M,f,i,ct,H）状态，aMijM, fmin(s)fo(o)fc(s), ic(s)io(o), cts(s) cto(o)

9、时，对rq(Si,Oj,a)的处理： （1） Si激活客体Oj， Oj的安全级为sel_11= (fo(Oj), io(Oj), cto(Oj)且fo(Oj)= fc(Si)，io(Oj)= ic(Si),cto(Oj)=cts(Si)。对rq(Si,Oj,a)授权，构造b1*=(Si,Oj,a)b，进入（b1*,M,f,i,ct,H）状态。 （2） 安全级sel_12=( fo(Oj), io(Oj), cto(Oj)对应的保密性规则集为sel_12_cvp。 If , cvp(Oj)=YES Then 进入步骤（3） ） 构造f*，使得fo(Oj)= fo(Oj)。,（4 Else Si删

10、除客体Oj，拒绝rq(Si,Oj,a)。 （3） 安全级sel_12对应的安全代理为Si （5） 对rq(Si,Oj,r)授权，构造b2*=(Si,Oj,r)b1*，进入（b2*,M,f*,i,ct, H）状态。 （6） 对rq(Si,Oj,a)授权，构造b3*=(Si,Oj,a)b2*，进入（b3*,M,f*, i,ct, H）状态。 Si删除Oj 。,2.3模型的定理系统,推论1 当客体的保密等级属于主体的写保密等级，客体的完整级被主体的完整级支配，主体的范围包含于客体的范围，且，主体写入客体的内容符合客体安全级对应的保密性规则时，主体可以间接写入客体。,证明 rq(Si,Oj,a)时主体

11、Si写入客体Oj的内容为ContentWij，主体Si从客体Oj读出的内容为ContenRij，客体Oj的内容为Contentj。 在（b,M,f,i,ct,H）状态，aMijM, fc(Si)fo(Oj), ic(s)io(o), cts(s) cto(o)时，主体写入客体的内容为ContentWij。 a) 根据规则2步骤（1），激活客体Oj对rq(Si,Oj,a)授权后，ContentWij= ContentWij = Contentj 。 b) 根据规则2步骤（2），当Contentj 符合保密性规则集sec_l2_cvp后，经规则（2）步骤（5），对rq(Si,Oj,r)授权后Con

12、tenRij= Contentj 。 c) 根据规则2步骤（6）对rq(Si,Oj,a) 授权后ContentWij= ContenRij 。 由a)、b)、c) ContentWij=ContentWij，即主体Si写入客体Oj的内容符合保密性规则后通过代理Si写入客体Oj。,定理1 若状态（b,M,f,i,ct,H）满足BLP公理，则由规则2得到状态（b3*,M,f,i*,H）满足BLP公理。 定理2 规则1满足BLP公理。 定理3 模型符合BLP模型。 定理4 模型符合Biba模型。,3、应用本模型的SDBMS实现,从图中我们可看出，本安全模型由MAC模块与TCB模块组成，完成强制和自主访问控制。系统管理员负责自主访问控制，安全管理员负责强制访问控制，只有安全管理员才能定义和修改主客体安全级，DBA也受强制访问策略的制约；而SSO的权限又受到DBA的限制，使系统权力分离，增加了系统安全性。 在应用本模型加强数据库安全时，应该考虑其安全标识的实现，包括安全级在系统中的表示及定义、多级关系的存储、数据 字典的扩充，SQL语句的功能扩充，主要是增加安全检查规则，这些实现了模型的强制访问控制功能。,4、 结束语 由于现有多级