第6章多级数据库安全管理系统.ppt

第 六 章 多级安全数据库 管理系统;本 章 概 要 ;6.1 安全数据库标准6.1.1 可信计算机系统评测标准;1985年美国国防部（DoD）正式颁布《 DoD可信计算机系统评估标准》 简称TCSEC或DoD85，TCSEC又称桔皮书 TCSEC标准的目的 提供一种标准，使用户可以对其计算机系统内敏感信息安全操作的可信程度做评估。 给计算机行业的制造商提供一种可循的指导规则，使其产品能够更好地满足敏感应用的安全需求。;　TCB可信计算基：是Trusted Computing Base的简称，指的是计算机内保护装置的总体，包括硬件、固件、软件和负责执行安全策略管理员的组合体。它建立了一个基本的保护环境并提供一个可信计算机系统所要求的附加用户服务。 ;1991年4月美国NCSC（国家计算机安全中心）颁布了《可信计算机系统评估标准关于可信数据库系统的解释》 简称TDI，又称紫皮书 它将TCSEC扩展到数据库管理系统 定义了数据库管理系统的设计与实现中需满足和用以进行安全性级别评估的标准;TDI/TCSEC标准的基本内容;TCSEC/TDI安全级别划分;等级说明：D，C1;等级说明：C2;等级说明：B1;等级说明：B2;等级说明：B3，A1;说明;6.2 多级安全数据库关键问题;6.3 多级安全数据库设计准则;6.4 多级关系数据模型 6.4.1 安全的特征 传统关系模型两个重要的完整性： 实体完整性、引用完整性（参照完整性）。 多级关系数据模型三要素： 多级关系、多级关系完整性约束及多级关系操作。 多级安全模型需作的改进： 多级安全模型：在传统关系模型基础上各种逻辑数据对象强制赋予安全属性标签。 修改传统关系模型中关系的完整性及关系上的操作。;安全标签粒度：是标识安全等级的最小逻辑对象单位。 安全标签粒度级别：关系级、元组级及属性级。 安全粒度控制 按照不同的安全需求和实体类型，决定安全控制的程度。 例如，对数据的存取，可以是关系级、元组级及属性级。 粒度越细，控制越灵活，但所对应的操作越困难和复杂。 ;一、多级关系 传统的关系模式：R(A1,A2,……, An) 多级关系模式： R(A1,C1,A2,C2,……,An,Cn,TC) 元组的安全级别:TC 元组表示：t(a1,c1,a2,c2,……,an,cn,tc) 元组t的安全标签：t[tc]. 属性ai的安全标签：t[ci]. [例] Weapon多级关系表示。;;;;多级关系完整性： 实体完整性 空值完整性 多级外码完整性与参照完整性 实例间完整性 多实例完整性;一、实体完整性 设AK是定义在关系模式R上的外观主码，一个多级关系满足实体完整性，当且仅当对R的所有实例Rc与t∈Rc,有： Ai∈AK = t[Ai]≠null// 主码属性不能为空 Ai , Aj∈AK = t[Ci]＝t[Cj]//主键各属性安全等级一致，保证在任何级别上主键都是完整的。 Ai AK = t[Ci] = t[CAK]//非码属性安全等级支配键值，保证关系可见的任何级别上，主键不可能为空。 ;二、空值完整性 在多级关系中，空值有两种解释: 一种确实为空。 另一种是实例的等级低于属性的等级使此属性不可见，从而显示为空。 空值完整性使用了归类关系，归类关系如下：如果两元组t和s，如果属性Ai满足下列条件之一，元组t包含元组s。 对于两元组t和s, 如果任何一个属性 t[Ai ,Ci] ＝ s[Ai ,Ci]; t[Ai]≠null且 s[Ai]＝null，则称元组t包含元组s 或 t归类于s。 ; 一个多级关系R满足空值完整性，当且仅当对R的每个实例Rc均满足下列两个条件： 空值的安全级别与主键相同。 即对于所有的t∈Rc, t[Ai]＝null = t[ci]＝t[CAK] //空值对所有级别用户可见 Rc不含有两个有包含关系的不同元组。 //不出现因为空值而导致的冗余元组; [例1] 多级关系违反了空值完整性;三、多级外码完整性与参照完整性 多级外码完整性： 假设FK是参照关系R的外码，多级关系R的一个实例Rc满足外码完整性，当且仅当对所有的t∈Rc满足： 或者（所有Ai∈FK） t[Ai] = null， 或者（所有Ai∈FK） t[Ai]≠null //外码属性全空或全非空 Ai , Aj∈FK = t[Ci]＝t[Cj]。 //外码的每个属性具有相同的安全级别;多级参照完整性： 假设参照关系R1具有外观主码AK1，外码FK1，被参照关系R2具有外观主码AK2，多级关系R1的一个实例 r1