多级安全数据库管理系统的体系结构汇编.ppt

第三章多级安全数据库管理系统 体系结构 华中科技大学计算机学院  多级安全数据库管理系统体系结构 体系结构设计的重要性:DBMS与OS的结合方式 目标为某个安全等级的多级DBMS,需要有同安全等级或更高 安全等级的OS的支持,否则多级DBMS自身的运行将失去保 障 多级DBMS通过某种特殊体系结构的选择和OS所提供的安全 功能密切结合,尽管自身无法达到某个安全等级,但通过有效 地利用底层OS的安全特性,仍可以达到OS的安全等级  多级安全数据库管理系统体系结构 1体系结构的分类: 高级运行结构 按运行的DBMS实例(进程)数目分类 可信主体结构 单DBMS进程 完整性锁结构 核心化结构 多DBMS进程:每个实例是不可信进 复制式结构 程,安全级各不同  多级安全数据库管理系统体系结构 1.体系结构的分类:按照TCB的范围来划分 具有自身独立的TCB,独立实现自主与强制访问控制 可信主体DBMS DBMS TCB与外部TCB(安全OS或安全网络的TCB共同构成完 整的TCB:两者之间存在依赖关系,强制访问控制依赖外部 TCB TCB子集结构,核心化和复制式结构 完全依赖DBMS外封装的安全过滤层为TCB—完整性锁结构 依赖操作系统的TCB:完全依赖OS实现访问控制  多级安全数据库管理系统体系结构 1体系结构的分类—不同多级安全数据库体系结构对比 体系结构名称是否为可DBMS实例TCB位置 原型系统/ 信主体 商业产品 高级运行 否 单操作系统 可信主体 ASD/O 完整性锁 集中/核心 是否否 数单单单多多 DBMS Sybase, DM 过滤层Mire/ Trudata 多操作系统 Sea view/ Oracle 分布/复制 否 OS/网络 NRI  多级安全数据库管理系统的体系结构 2.高级运行结构:DBMS进程运行在多级安全OS的最高 安全级进程上 所有的数据库用户都工作在最高安全级,与数据的安全级相同, 数据库中的数据信息作为整体或多个实体存在于OS最高安全级对 象中 所有流出系统最高安全级的数据都必须经人工检查之后再发布 总结:完全依赖 OS TCB,实际上数据库中的数据内容不分级的  多级安全数据库管理系统的体系结构 2.高级运行结构:DBMS进程运行在多级安全OS系统 的最高安全级的进程上 优点:简单,易于实现;已有的C2级DBMS不必经过任 何修改 存在的问题: 费用开销大 更多的人指定为系统最高安全级导致信息泄露的危险 手工发布信息的低效  DBMS体系结构 有三种 核心化的方法 完整性锁方法 复制数据的方法  3.1可信DBMS的抽象体系结构 1TCB子集DBMS体系结构:TCB处在DBMS的外部,利用 安全操作系统的强制访问控制机制对数据库对象进行强制访 问控制 (1)特点 多级DBMS实际上是由多个运行在安全OS不同安全级上的 单级DBMS的进程(实例组成 多级数据库被分解为多个单级的数据库,每一个数据库都 是一个概念上的多级数据库片段 用户不是工作于多级别状态,而是 OS TCB中的一个会话 级别,每个用户只与和他同级别的DBMS交互 多级DBM有一定的访问控制权,但是OS对于DBMS访问 数据的操作实行完全的访问控制  31可信DBMS的抽象体系结构 TCB子集DBMS方法 2.两种变形 (1)集中式TCB子集DBM体系结构 (2)复制数据的体系结构