Nghiên cứu về đa an toàn
Hệ thống quản lý cơ sở dữ liệu quan hệ
Yong-jae Ma, Jong-bok Ji, Eun-hae Kim, Yoon Sung-min và Lee Seung-
chan
{Neverbass, rdrstby, ekim, smyoon, chanyi} @ emerald.yonsei.ac.kr
Tóm tắt
Chúng tôi đầu tiên khảo sát các khái niệm cơ bản liên quan nhất các
khái niệm bảo mật cơ sở dữ liệu và tóm tắt các kỹ thuật nổi tiếng nhất.
Chúng tôi tập trung vào hệ thống kiểm soát truy cập, trên đó có các nghiên
cứu lớn đã được dành và mô tả các mô hình kiểm soát truy cập chính, cụ thể
là các mô hình điều khiển truy cập tùy ý và bắt buộc kiểm soát models. Sau
đó chúng tôi sẽ trình bày một khảo sát của Cơ sở dữ liệu đa quan hệ quản lý
an toàn. Các RDBMS an toàn đa cấp (hệ thống quản lý cơ sở dữ liệu quan
hệ) sẽ được trình bày và so sánh. Nghiên cứu này giới thiệu MLS, và vạch ra
những thách thức và phức tạp của việc xây dựng một RDBMS an toàn đa
cấp.
1.Giới thiệu
An ninh máy tính là có liên quan với khả năng của một hệ thống máy
tính để thực thi một chính sách an ninh Chính phủ về công bố thông tin, sửa
đổi, hoặc phá hủy các thông tin. Các chính sách an ninh có thể được tổ chức
cụ thể, hoặc có thể chung chung. Ví dụ, Bộ Quốc phòng an ninh bắt buộc
(hoặc nhiều mức bảo mật) hạn chế truy cập đến thông tin mật cho nhân
viên. Tùy ý các chính sách an ninh, mặt khác, xác định các hạn chế truy cập
dựa trên danh tính của người dùng (hoặc nhóm), các kiểu truy cập (ví dụ, lựa
chọn, cập nhật, chèn, xóa), đối tượng cụ thể được truy cập, và có lẽ các yếu
tố khác ( thời gian trong ngày, có chương trình ứng dụng đang được sử
dụng, vv.) các loại khác nhau của người sử dụng (quản lý hệ thống, quản trị
cơ sở dữ liệu, và người dùng thông thường) có thể có quyền truy cập khác
nhau với dữ liệu trong hệ thống. Truy cập điều khiển thường được tìm thấy
trong các hệ thống cơ sở dữ liệu nhất là những ví dụ của các điều khiển truy
cập tùy ý. Đa bảo mật (MLS) là một khả năng cho phép thông tin với nhau
phân loại có sẵn trong hệ thống thông tin, với những người dùng có khoảng
trống an ninh khác nhau và trao quyền, trong khi ngăn chặn người dùng truy
cập thông tin mà họ không được xóa hoặc uỷ quyền. Đây là một chính sách
an ninh đã được phát triển chủ yếu cho quân đội Mỹ và cộng đồng tình báo,
nhưng cũng đã được thông qua bởi một số tổ chức dân sự mà lưu trữ, xử lý
và phân phối thông tin được phân loại (ví dụ, các nhà sản xuất máy bay lớn)
cũng như một số các nghành quốc phòng trên thế giới.
Với giá trị rất cao của các thông tin có thể được lưu trữ trong một cơ sở dữ
liệu quân sự hoặc tình báo, và thiệt hại tiềm năng mà có thể là kết quả của sự
thay đổi trái phép, tiết lộ hoặc mất thông tin như vậy, ngăn chặn người dùng
truy cập thông tin mà họ không được xóa hoặc quyền đòi hỏi nhiều hơn chỉ
cần thực hiện một chính sách kiểm soát truy cập. Đặc biệt, nhân viên bảo vệ
phải được đưa ra để ngăn chặn người dùng tiếp cận với thông tin mà họ
không được xóa hoặc uỷ quyền thông qua các phương tiện trực tiếp.
Kênh bí mật là những ví dụ của các phương tiện trực tiếp. Một kênh bí
mật có thể dễ dàng được thiết lập với các thuật toán điều khiển cơ sở dữ liệu
thông thường như hai pha khóa (2PL) và dấu thời gian đặt hàng (TO). Trong
cả hai 2PL và TO thuật toán, bất cứ khi nào có tranh cho các mặt hàng cùng
một dữ liệu từ các giao dịch thực hiện ở các cấp độ bảo mật khác nhau, một
giao dịch mức thấp hơn có thể là bị trì hoãn hoặc tạm đình chỉ để đảm bảo
thực hiện đúng. Trong kịch bản này, hai thông đồng giao dịch thực hiện ở
các cấp độ bảo mật cao và thấp có thể thiết lập một kênh lưu chuyển thông
tin từ một mức độ bảo mật cao cho một mức độ bảo mật thấp bằng cách truy
cập dữ liệu đã chọn các mục theo một số mã nào đó. Suy luận là một phương
tiện gián tiếp mà người dùng có thể có được kiến thức về thông tin mà họ
không được xóa hoặc uỷ quyền. Ví dụ, việc thực thi một ràng buộc khoá
chính trên dữ liệu từ cấp độ bảo mật khác nhau có thể cho phép một người
dùng đầy đủ thông không gian kiến thức về sự tồn tại của một dòng dữ liệu ở
một mức độ bảo mật cao hơn từ các thông báo lỗi trùng lặp quan trọng mà là trả lại cho
người dùng biết khi người đó cố gắng để chèn một hàng dữ liệu ở một mức
độ bảo mật thấp nhưng có cùng một phím chính là hàng dữ liệu ở cấp độ bảo
mật cao hơn.
Xây dựng một RDBMS đa an toàn do đó đặt ra những thách thức đáng
kể cho cộng đồng nghiên cứu cơ sở dữ liệu. Ví dụ, an toàn cơ sở dữ liệu giao
thức giao dịch đã được phát triển, và một giải pháp hoà giải các yêu cầu trái
ngược nhau giữa dữ liệu toàn vẹn và bảo mật đã được tìm thấy. MLS cũng
đặt ra những thách thức đáng kể cho các nhà cung cấp cơ sở dữ liệu như xây
dựng một RDBMS an toàn đa cấp thường đòi hỏi xây dựng lại các phần của
một RDBMS thương mại hiện có.
Hiện đã có nhiều nghiên cứu trong vòng hai thập kỷ qua, như vậy trong
RDBMS đa diện tích an toàn. Như nghiên cứu đã đề cập khía cạnh cụ thể
của xây dựng một RDBMS đa an toàn như các giao thức giao dịch an toàn,
hệ thống kiến trúc, hoặc polyinstantiation, và có một tập phong phú của các
ấn phẩm về những khía cạnh cụ thể. Tuy nhiên, đa an toàn RDBMS nghiên
cứu văn học đáng ngạc nhiên thiếu các loại ấn phẩm này sẽ cho phép một
người nào đó để có được một sự hiểu biết tốt về những gì nó cần để xây
dựng một RDBMS an toàn đa cấp như một toàn thể, cũng như là để phục vụ
hướng dẫn nhanh cho những người có thể suy nghĩ về xây dựng RDBMS.
Hơn nữa, thời hạn bảo mật nặng nề quá tải trên các thông tin Công nghệ
(CNTT) và thường có nghĩa là ngành công nghiệp khác nhau đối với mọi
người từ khác nhau nguồn gốc là không chỉ có RDBMS đa an toàn, nhưng
cũng có nhiều mức an toàn điều hành hệ thống, mạng lưới an toàn đa cấp, đa
cấp máy chủ web an toàn, vv.
Ngoài việc là nặng nề quá tải, MLS thường không chính xác được sử
dụng thay thế cho nhau với các thuật ngữ tiếp thị mới nổi như Label-Based
Access Control (LBAC), Row-Level Security, và những người khác. Tất cả
điều này làm cho nó vô cùng khó khăn cho những người không được trực
tiếp tham gia thiết kế hoặc xây dựng một RDBMS đa an toàn để có được
một sự hiểu biết tốt về những gì nó thực sự cần để xây dựng một RDBMS an
toàn đa cấp.
Trong nghiên cứu này, tác giả muốn chia sẻ giám định của mình trong
bảo mật cơ sở dữ liệu và bảo mật để cố gắng làm sáng tỏ những bí ẩn của
bảo mật đa, cũng như phác thảo những thách thức và phức tạp của việc xây
dựng một RDBMS an toàn đa cấp.
2.Đa an ninh là gì?
Sự hiểu biết của MLS sẽ không được hoàn thành mà không có sự hiểu
biết về nguồn gốc, và những vấn đề có nghĩa cần giải quyết. Quân đội Mỹ và
tình báo cộng đồng có lịch sử phân biệt chủng tộc dựa trên dữ liệu phân loại
bảo mật của nó.
Phân loại dữ liệu phải cư trú và được xử lý vào hệ thống chuyên dụng không
cung cấp truy cập cho người dùng bên ngoài của cộng đồng, ngay lập tức
quan tâm và được thường được phân cách bởi một khoảng cách không khí
và kết nối chỉ bởi một mạng lưới sneaker. Các chính sách hạn chế của
chương trình hoạt động như vậy có thể được tóm tắt như sau: Dự phòng cơ
sở dữ liệu: Để lưu trữ dữ liệu với mức bảo mật khác nhau (ví dụ, * Top dữ
liệu bí mật và Unclassified dữ liệu), một cơ sở dữ liệu riêng biệt phải được
tạo ra và duy trì đối với từng mức độ bảo mật.
Dự phòng các máy trạm: Một người dùng nào là cần thiết để truy cập dữ
liệu với mức độ bảo mật khác nhau (ví dụ, Tối mật dữ liệu và Unclassified
dữ liệu) sẽ được yêu cầu sử dụng một máy trạm khác nhau để truy cập vào
từng loại dữ liệu.
Chi phí cao cho cơ sở hạ tầng: Đó là không thể chia sẻ máy tính và hệ
thống cơ sở hạ tầng thông tin liên lạc, chẳng hạn như dây cáp, các thành
phần mạng, máy in, và máy trạm mà không mạo hiểm để thỏa hiệp bảo mật.
Kém hiệu quả: Nhân viên cần truy cập vào một số hệ thống thực hiện nhiệm
vụ của họ.
Bộ Quốc phòng Mỹ đã tài trợ nghiên cứu quan trọng do đó, dự án phát
triển giữa các tổ chức khác nhau để tìm ra một giải pháp mà sẽ cho phép
phân loại thông tin được lưu trữ, chế biến và phân phối một cách an toàn,
nhưng mà không hạn chế được liệt kê ở trên. MLS là giải pháp. MLS cho
phép phân loại thông tin với nhau có sẵn trong hệ thống thông tin, với người
sử dụng có khác nhau giải phóng mặt bằng an ninh, trao quyền, trong khi
ngăn chặn người dùng truy cập thông tin mà họ không được xóa hoặc uỷ
quyền. Ví dụ, một hệ thống MLS có thể xử lý cả dữ liệu tài sản thế chấp mật
và tối mật và có một số người dùng giải phóng mặt bằng tối đa là bí mật.
Một hệ thống MLS có thể có tất cả các người dùng ở cấp độ mật, tối mật,
nhưng có khả năng phát hành thông tin thuộc bí mật để một mạng lưới bao
gồm các chỉ thị bí mật của người dùng và hệ thống. Trong mỗi trường hợp
này, hệ thống phải thực hiện cơ chế để cung cấp sự đảm bảo rằng chính sách
bảo mật của hệ thống được thực hiện nghiêm túc.
MLS đã dẫn đến một sự thay đổi từ cung cấp bảo mật thông qua điều
khiển vật lý, thủ tục hành chính, và an ninh để cung cấp bảo mật bằng cách
sử dụng máy tính và giao tiếp an ninh.
2.1 Các đa an ninh Model Bell-LaPadula
Mô hình cơ bản của MLS lần đầu tiên được giới thiệu bởi Bell và
LaPadula. Mô hình này quy định về đối tượng. Một đối tượng là một thực
thể thụ động như một tập tin dữ liệu, một bản ghi, hoặc một lĩnh vực trong
đĩa hát. Đề A là một quá trình hoạt động đó có thể yêu cầu truy cập tới các
đối tượng. Mỗi đối tượng được chỉ định một phân loại, và mỗi một chủ đề
giải phóng mặt bằng. Phân loại và giải phóng mặt bằng được gọi chung là
nhãn. Nhãn A là một phần của thông tin mà bao gồm hai thành phần: A phân
cấp thành phần và một bộ các khoảng không có thứ tự. Việc phân cấp xác
định thành phần nhạy cảm của dữ liệu. Ví dụ, một tổ chức quân sự có thể
xác định mức độ tối mật, bí mật và Unclassified. Các ngăn thành phần là
nonhierarchical. Ngăn được sử dụng để xác định khu vực nhạy cảm hoặc mô
tả các loại dữ liệu có nhãn. Ví dụ, một tổ chức quân sự NATO có thể xác
định khoang, hạt nhân và quân đội. Nhãn là một phần đặt hàng trong một
mạng như sau: Với hai nhãn L1 và L2, L1> = L2 nếu và chỉ nếu các thành
phần phân cấp của L1 lớn hơn hoặc bằng L2, và thành phần các ngăn của L1
bao gồm các thành phần ngăn của L2. L1 được cho là chiếm ưu thế L2. MLS
áp đặt hai hạn chế sau đây trên tất cả các dữ liệu truy cập:
Các đơn giản Security hữu hoặc "Không hiểu Up": Một đối tượng được phép
đọc, truy cập vào một đối tượng nếu và chỉ nếu là chủ đề thống trị nhãn của
đối tượng nhãn.
Các tài sản *- (phát âm là tài sản sao) hoặc "Không Viết Down": Một chủ đề
được cho phép ghi vào một đối tượng khi và chỉ khi đối tượng của nhãn
thống trị của đối tượng nhãn.
2.2 Đánh giá và chứng nhận
Hệ thống đa an toàn phải hoàn thành đánh giá đầy đủ và chứng nhận
quá trình trước khi chúng có thể được sử dụng trong các ứng dụng quân sự.
Việc thẩm định và xác nhận của hệ thống an toàn đa cấp thường được tiến
hành độc lập xét nghiệm và được dựa trên một định nghĩa rõ ràng tập hợp
các tiêu chí. Một bộ tiêu chuẩn được gọi là tiêu chuẩn chung, mà gần đây đã
được thông qua như là một tiêu chuẩn ISO. Một tập hợp các tiêu chuẩn đánh
giá được sử dụng bởi Bộ Quốc phòng Mỹ là đáng tin cậy. Tiêu chí đánh giá
hệ thống máy tính (TCSEC). Hầu hết các RDBMS có nhiều mức an toàn
được phát triển trước khi các tiêu chí chung được thông qua. TCSEC đã
được các chỉ tiêu cho phép đánh giá RDBMS như vậy.
TCSEC được chia thành bốn bộ phận: D, C, B, và A đã ra lệnh một cách
có thứ bậc với sự phân chia cao nhất (A) dành cho các hệ thống cung cấp an
ninh toàn diện nhất. Mỗi bộ phận đại diện cho một sự gia tăng lớn trong sự
tự tin tổng thể, hoặc tin tưởng, mà có thể diễn ra trong hệ thống. Mức độ tiếp
nối của niềm tin dựa trên và kết hợp các tiêu chuẩn cấp dưới trước đó của
niềm tin. Trong phòng C và B có một số phân khu được gọi là các lớp học.
Các lớp học cũng đã ra lệnh một cách có thứ bậc với các hệ thống đại diện
Phòng C và B được đặc trưng bởi các thiết lập cơ chế bảo mật máy tính mà
họ có. Đối với Phòng C, tùy ý Access Control (DAC) được cung cấp, theo
đó người dùng có thể cấp hoặc từ chối truy cập của người dùng khác và các
nhóm người dùng cho hệ thống nguồn lực kiểm soát người sử dụng. Đối với
Phòng B, kiểm soát truy cập bắt buộc (MAC) là cung cấp. MAC sử dụng tài
sản bảo đảm đơn giản và tài sản của *-Bell-LaPadula MLS mô hình để bảo
vệ dữ liệu của các cấp bảo mật khác nhau. Phòng A cũng cung cấp các tính
năng MAC.
Hệ thống đại diện của các lớp cao hơn trong phòng B và Phòng A có
nguồn gốc an ninh thuộc tính nhiều hơn từ thiết kế của họ và cơ cấu thực
hiện chỉ đơn thuần bảo đảm tính năng hoặc chức năng. Tăng cường bảo đảm
rằng các tính năng cần thiết là chính xác, và tamperproof trong mọi trường
hợp là đã đạt được thông qua từng bước thiết kế nghiêm ngặt hơn, thực hiện
và phân tích trong quá trình phát triển. Bộ phận Một yêu cầu thiết kế chính
thức (ví dụ, toán học) và các kỹ thuật xác minh để cung cấp sự đảm bảo về
Phòng tăng B. Hệ thống đa an toàn có liên quan với TCSEC sư đoàn B và A.
3. Kiến trúc đa RDBMS An toàn
An toàn các kiến trúc đa RDBMS có thể được chia thành hai loại nói
chung, tuỳ thuộc vào việc bắt buộc kiểm soát truy cập được thực thi bởi các
RDBMS tự mình hoặc giao cho một hệ điều hành đáng tin cậy. Hai loại nói
chung là Woods Hole Kiến trúc và Kiến trúc Đối tượng Trusted.
3.1. Kiến trúc Woods Hole
Các Woods Hole kiến trúc là kết quả của nghiên cứu ba tuần trên dữ liệu
đáng tin cậy quản lý tài trợ của không quân Mỹ tại Woods Hole,
Massachusetts, Hoa Kỳ trong năm 1982. Các chủ đề của nghiên cứu này là
như sau: Chúng ta có thể xây dựng một đa an toàn RDBMS sử dụng hiện tại
không đáng tin cậy lập sẵn-RDBMS, với thay đổi tối thiểu?
Các Woods Hole kiến trúc giả định rằng không đáng tin cậy lập sẵn-
RDBMS là được sử dụng để truy cập dữ liệu và mã đáng tin cậy được phát
triển xung quanh đó RDBMS để cung cấp một tổng thể an toàn RDBMS.
Chúng có thể được chia thành hai loại chính: Các kernelized kiến trúc và các
kiến trúc phân phối.
3.1.1. Kiến trúc Kernelized.
Các kiến trúc Kernelized sử dụng một hệ điều hành đáng tin cậy và
nhiều bản sao của một RDBMS off-the-shelf, trước hết mỗi bản sao liên kết
với một số tin cậy. Mỗi cặp (front-end đáng tin cậy, RDBMS) liên kết với
một đòn bẩy an ninh đặc biệt. Hệ điều hành đáng tin cậy thi hành đủ chính
sách kiểm soát truy cập của RDBMS với các đối tượng RDBMS. Sau đó có
thể bởi vì các đa cơ sở dữ liệu bị phân hủy thành nhiều đơn cấp cơ sở dữ
liệu, trong đó mỗi khái niệm thể hiện một đoạn của nhiều cơ sở dữ liệu. Mỗi
mảnh được lưu trữ trong một đối tượng hệ thống hát-đòn bẩy hoạt động (ví
dụ, một tập tin) được dán nhãn bởi hệ điều hành ở cấp độ bảo mật tương
ứng, và do đó chỉ có thể được truy cập truy cập theo chính sách MAC của hệ
điều hành.
Hình 1 mô tả một kiến trúc Kernelized nơi mà một RDBMS có liên
quan với mức độ bảo mật "cao" và RDBMS khác có liên quan với mức độ
bảo mật "thấp". Các RDBMS liên kết với các mức độ bảo mật "cao" đã tiếp
cận với những mảnh vỡ của các cơ sở dữ liệu ở cấp độ bảo mật cao và cả
mảnh vỡ của các cơ sở dữ liệu tại các đòn bẩy an ninh thấp. Nhưng RDBMS
liên kết với các mức độ bảo mật "thấp" có quyền truy cập chỉ trong đoạn của
cơ sở dữ liệu ở cấp độ bảo mật thấp.
Một lợi ích của kiến trúc này là dữ liệu ở mức độ bảo mật khác nhau
và bị cô lập trong các cơ sở dữ liệu, cho phép mức độ cao hơn giả định. Một
lợi ích khác là, giả sử một hệ điều hành đã đánh giá, kiến trúc này sẽ giảm
thiểu lượng thời gian và công sức để đánh giá các RDBMS. Tuy nhiên, kết
quả kiến trúc tại một chi phí bổ sung như hệ thống hoạt động tin cậy cần dữ
liệu riêng biệt ở các cấp độ bảo mật khác nhau khi nó được thêm vào cơ sở
dữ liệu và cũng có thể cần phải kết hợp dữ liệu từ cấp độ bảo mật khác nhau
khi dữ liệu được lấy ra bởi một bản sao RDBMS đó là liên kết với một mức
độ bảo mật cao.
Nhiều người dùng Ít người dùng
Người dùng
tin cậy cao
Người dùng
Tin cậy cao
RDBMS cao
RDBMS thấp
Hệ điều hành đáng tin cậy
Dữ liệu
cao
Dữ liệu
thấp
Hình 1: Đa an toàn kernelized RDBMS kiến trúc.
3.1.2 Kiến trúc phân phối.
Các kiến trúc phân phối (hoặc tái tạo) là một biến thể của kiến trúc
kernelized. Nó sử dụng nhiều bản sao của tin cậy cuối trước và RDBMS, kết
hợp lưu trữ với mỗi cơ sở dữ liệu riêng của mình. Trong sơ đồ này, kiến trúc
một RDBMS ở 1 mức độ bảo mật có chứa một bản sao của mỗi mục dữ liệu
mà một đối tượng ở cấp 1 có thể truy cập. Do đó, khi dữ liệu được lấy ra,
RDBMS của nó chỉ lấy từ cơ sở dữ liệu riêng của mình. Một lợi ích của kiến
trúc này là dữ liệu được tách biệt vật lý vào cơ sở dữ liệu phần cứng riêng
biệt. Tuy nhiên, kết quả đề án này trong một chi phí bổ sung khi dữ liệu
được cập nhật khi các bản sao khác nhau cần phải được giữ trong sync.
3.2 Trusted đối tượng kiến trúc.
Các kiến trúc chủ đề đáng tin cậy là một chương trình có chứa một
RDBMS tin cậy và vận hành một hệ thống đáng tin cậy. Theo kiến trúc này,
các chính sách kiểm soát truy cập bắt buộc được thực thi bởi các RDBMS
chính nó. Các đối tượng cơ sở dữ liệu (ví dụ, một bảng) được lưu trữ trong
đối tượng điều hành hệ thống (ví dụ, một tập tin) có nhãn ở cấp độ bảo mật
cao nhất. Một bảng cơ sở dữ liệu có thể chứa hàng với mức độ bảo mật khác
nhau. Hàng này được phân biệt dựa trên mức độ bảo mật của họ đó là lưu trữ
một cách rõ ràng với mỗi hàng.
Kiến trúc này được gọi là "đáng tin cậy chủ đề" vì RDBMS là đặc
quyền để vi phạm chính sách MAC của hệ điều hành khi truy cập vào các
đối tượng cơ sở dữ liệu. Ví dụ, khi một người sử dụng với một truy vấn an
ninh cấp độ thấp một bảng cơ sở dữ liệu, hệ điều hành của đối tượng mà
bảng đã được lưu giữ kết thúc lên được truy cập, đó là một vi phạm chính
sách MAC của hệ điều hành. Nhưng RDBMS là đáng tin cậy để trả lại cho
người sử dụng chỉ những hàng mà người đó được phép theo chính sách
MAC. Hình 2 minh họa một kiến trúc đa an toàn đáng tin cậy RDBMS chủ
đề.
Người sử dụng cao Người sử dụng thấp
Người dùng
không tin cậy
Người dùng
không tin cậy
Cơ sở dữ liệu
Hình 2: Đa an toàn đáng tin cậy đối tượng kiến trúc RDBMS.
Một lợi ích của kiến trúc này là RDBMS có quyền truy cập vào tất cả
các cấp dữ liệu cùng một lúc, mà giảm thiểu phục hồi và cập nhật chế biến.
Tuy nhiên, kết quả kiến trúc trong một RDBMS mục đích đặc biệt, đòi hỏi
một lượng lớn mã tin cậy để được phát triển và xác minh cùng với các tính
năng RDBMS bình thường. Nó cũng thiếu khả năng được đánh giá để các
RDBMS đáng tin cậy
Hệ điều hành đáng tin cậy
lớp học đánh giá cao TCSEC bởi vì cuộc họp cấp cao hơn của yêu cầu đảm
bảo khả năng cung cấp tách các đối tượng bắt buộc bởi một số hình thức cô
lập phần cứng. Đây cũng là khó khăn để chứng minh rằng các phần mềm
đáng tin cậy được sử dụng để cô lập các đối tượng bắt buộc (ví dụ, các hàng
dữ liệu với mức bảo mật khác nhau) là hoạt động chính xác mà không cho
phép cho lưu lượng dữ liệu với mức độ bảo mật cao cho người dùng với
mức độ bảo mật thấp.
4. Các ví dụ
RDBMS đa an toàn sử dụng điều khiển truy cập bắt buộc để ngăn chặn
không được phép tiết lộ các d liệu cao cấp cho người dùng cấp thấp. Nó
cũng cần thiết để bảo vệ chống lại các mối đe dọa bảo mật có thể phát sinh
từ việc thực thi cơ sở dữ liệu ràng buộc toàn vẹn trên dữ liệu từ cấp độ bảo
mật. Để minh họa điều này mối đe dọa cho bảo mật, xem xét các bảng cơ sở
dữ liệu sau đây thuộc tính "Tàu vũ trụ" là khóa chính, và thuộc tính "nhãn"
đại diện cho hàng dữ liệu cấp độ bảo mật.
Tàu vũ trụ Điểm đến Nhãn
Doanh nghiệp Hỏa tinh Cao
Giả sử một người dùng với một mức độ bảo mật thấp muốn chèn tuple
(Doanh nghiệp, Hỏa tinh, thấp). Từ một quan điểm hoàn toàn là cơ sở dữ
liệu, nạp này phải bị từ chối vì nó vi phạm các ràng buộc khoá chính. Tuy
nhiên, từ chối này có thể được chèn đủ để thỏa hiệp bảo mật như là người
dùng với mức độ bảo mật thấp. Doanh nghiệp là một nhiệm vụ với một mức
độ bảo mật cao hơn. Polyinstantiation là một giải pháp cho vấn đề này. Nó
mở rộng khái niệm về khóa chính bao gồm mức độ bảo mật để có nhiều hơn
một tuple có thể có cùng một rõ ràng khóa chính nếu họ đang ở cấp độ bảo
mật khác nhau.
Ví dụ, một hàng mới với cùng phím chính rõ ràng (ví dụ, doanh nghiệp)
được thêm vào bảng.
Tàu vũ trụ Điểm đến Nhãn
Doanh nghiệp Hỏa tinh Cao
Doanh nghiệp Hỏa tinh Thấp
Từ quan điểm an ninh, hàng mới được thêm vào một việc đơn giản chỉ là vỏ
bọc cho các sản phẩm trong nhiệm vụ của các doanh nghiệp tàu vũ trụ.
Ngoài ra để bảo vệ chống lại suy luận, polyinstantiation cũng hữu ích để
ngăn chặn từ chối dịch vụ cho người sử dụng hợp pháp cũng như để bảo vệ
chống lại lưu trữ bí mật kênh. Chuyển đổi kênh sử dụng các biến hệ thống
và thuộc tính vào tín hiệu thông tin. Để minh họa kiểu này đe dọa đến bảo
mật, xem xét các bảng cơ sở dữ liệu sau đây nơi mà "tàu vũ trụ" thuộc tính là
khóa chính, và "nhãn" thuộc tính đại diện hàng cấp độ bảo mật dữ liệu.
Tàu vũ trụ Điểm đến Nhãn
Doanh nghiệp Hỏa tinh Thấp
Bây giờ, giả sử một người dùng với một mức độ bảo mật cao, mong
muốn để cập nhật các điểm đến là "sao Hỏa". Nếu RDBMS từ chối cập nhật
này, sau đó người dùng có thể đã bị từ chối quyền hợp pháp. Nếu bản cập
nhật được cho phép bằng cách thay đổi mức độ bảo mật của hàng để "Cao",
sau đó một người dùng với một mức độ bảo mật thấp sẽ nhận thấy rằng các
dòng dữ liệu có thể biến mất và sẽ suy luận rằng mức độ bảo mật của nó đã
được tăng lên. Nếu bản cập nhật cho phép mà không thay đổi mức độ bảo
mật của hàng, sau đó một kênh lưu trữ bí mật sẽ được tạo ra. Đó là, các hàng
dữ liệu bản thân có thể được sử dụng như một đối tượng lưu trữ cho qua cao
cấp thông tin cho người dùng với mức độ bảo mật thấp. Polyinstantiation
cho phép RDBMS để chèn một hàng dữ liệu mới với cùng phím chính rõ
ràng (ví dụ, doanh nghiệp), nhưng với một mức độ bảo mật cao là kết quả
của bản cập nhật đó.
Tàu vũ trụ Điểm đến Nhãn
Doanh nghiệp Hỏa tinh Cao
Doanh nghiệp Hỏa tinh Thấp
Từ quan điểm an ninh, hàng dữ liệu cũ chỉ đơn giản là một việc bao gồm
cho các sản phẩm nhiệm vụ của các doanh nghiệp tàu vũ trụ.
5. An toàn đa xử lý giao dịch
RDBMS đa an toàn sử dụng điều khiển truy cập bắt buộc để ngăn chặn
trái phép công bố dữ liệu cao cấp cho người dùng cấp thấp. Nó cũng là cần
thiết để bảo vệ chống lại các mối đe dọa đến bảo mật có thể phát sinh từ giao
dịch sử dụng thông thường các giao thức như hai pha khóa (2PL). Các giao
dịch chậm giao thức 2PL thực hiện các hoạt động xung đột bằng cách thiết
lập ổ khóa trên các dữ liệu để đọc và viết hoạt động. Một giao dịch phải có
một chia sẻ-lock (S-lock) trên một mục dữ liệu trước khi đọc nó và khóa một
độc quyền (X-lock) trước khi viết nó. Giao thức giao dịch 2PL vốn đã dễ bị
tổn thương đến các kênh thèm muốn thời gian có thể được thành lập để rò rỉ
thông tin bí mật. Một kênh thời gian bí mật thay đổi số lượng thời gian để
hoàn tất một nhiệm vụ thông tin tín hiệu. Để minh họa điều này đe dọa đến
bảo mật, hãy xem xét ví dụ sau:
Hãy Ti biểu thị một giao dịch bảo đảm mức độ cao, được đọc một mức
độ bảo mật thấp mục dữ liệu A. Hãy Tj biểu thị một giao dịch bảo đảm mức
độ thấp, đó là cố gắng để viết thư cho A. Nếu mục dữ liệu giao thức giao
dịch 2PL được sử dụng, sau đó Tj phải chờ đợi để có được một X-lock trên
dữ liệu mục A (tức là, chờ đợi cho đến khi phiên bản S Ti khóa của nó trên
dữ liệu mục A). Giả sử rằng Tj có thể đo lượng tử thời gian q nó phải chờ
đợi để có được khóa trên mục dữ liệu A: Một lượng tử của thời gian chờ đợi
lớn hơn một số tiền nhất định thể hiện "1", và một lượng tử của thời gian
chờ đợi ít hơn so với một số tiền nhất định thể hiện "0". Giao dịch Ti có thể
khai thác kiến thức này để gửi một chút mức độ bảo mật cao thông tin cho
Tj, và bằng cách lặp lại giao thức này, thông tin bất kỳ có thể được gửi, tạo
một kênh bí mật 2PL, và trong các giao thức giao dịch nói chung thông
thường trong RDBMS, không an toàn chống lại các kênh bí mật.
6.Thương mại và nghiên cứu đa An toàn RDBMS
Các nỗ lực nghiên cứu và phát triển trong lĩnh vực an toàn có RDBMS
đa
kết quả trong một số hệ thống thương mại và nghiên cứu. Đáng chú ý nhất
trong số này là hệ thống như sau: Trusted Oracle, Informix OnLine / an toàn,
bảo mật SQL Sybase Server, DB2 cho z / OS, Trusted Rubix, Seaview, và
Unisys An toàn phân DBMS. Trusted Oracle có thể có được cấu hình để
chạy theo một trong hai chế độ: DBMS MAC và hệ điều hành MAC. Điều
thứ nhất là một kiến trúc hợp bắt buộc kiểm soát truy cập được thi hành
DBMS chính nó, và do đó là một kiến trúc chủ đề đáng tin cậy. Sau đó là
một kernelized kiến trúc (tức là, bắt buộc kiểm soát truy cập được giao cho
hệ điều hành). Informix nLine / an toàn, bảo mật Sybase SQL Server, DB2
cho z / OS, và Trusted Rubix là những ví dụ của một kiến trúc chủ đề đáng
tin cậy. Hệ thống nghiên cứu Seaview là một ví dụ của một kiến trúc
kernelized trong khi nghiên cứu phân An toàn Unisys RDBMS là một ví dụ
của một kiến trúc phân tán.
Informix OnLine / an toàn, bảo mật Sybase SQL Server, Trusted Oracle,
và đáng tin cậy Rubix tất cả polyinstantiation hỗ trợ. Chìa khóa cho một
tuple trong Informix OnLine / An toàn tự động bao gồm các nhãn an ninh
tuple. Vì vậy, luôn luôn là polyinstantiation có thể và không thể bị dập tắt
bởi các RDBMS. Các nhãn an ninh tuple trong An toàn Sybase SQL Server
là một phần của tất cả các phím. Vì vậy, polyinstantiation luôn luôn có thể
và không thể bị dập tắt bởi các RDBMS. Trusted Oracle có thể được cấu
hình để chạy theo một trong hai chế độ. Khi chạy trong DBMS chế độ
MAC, một cơ sở dữ liệu Oracle tin cậy duy nhất có thể lưu trữ thông tin bảo
mật
cấp. Trong chế độ này, Trusted Oracle có thể bật và tắt polyinstantiation bàn
cấp bằng cách yêu cầu quan trọng toàn vẹn mà không bao gồm các nhãn an
ninh tuple. Khi trên các khóa chính bao gồm các nhãn tuple, cho phép
polyinstantiation xảy ra. Khi tắt, phím này không bao gồm các nhãn an ninh
tuple, do đó ngăn ngừa polyinstantiation. Khi chạy trong chế độ hệ điều
hành MAC, Trusted Oracle có khả năng lưu trữ dữ liệu tại chỉ có một đơn
nhãn an ninh, và các RDBMS bị hạn chế bởi hệ điều hành MAC cơ bản
chính sách. Nếu không có bất kỳ đặc quyền MAC, các RDBMS không thể
ngăn chặn polyinstantiation bởi vì một RDBMS thấp sẽ không được nhận
thức của bất kỳ tuple với các khóa chính cùng với một cấp độ bảo mật cao
hơn, và một RDBMS cao không thể được tin cậy để sửa đổi dữ liệu ở mức
thấp cấp độ bảo mật. Như vậy, polyinstantiation không thể được ngăn chặn
khi Trusted Oracle chạy trong chế độ hệ điều hành MAC.
Informix OnLine / Bảo mật và tin cậy Oracle cung cấp xử lý giao dịch
các giao thức an toàn. Informix OnLine / An toàn sử dụng một cách tiếp cận
mà một giao dịch cấp độ bảo mật ở mức thấp có thể có được một khóa viết
trên một mục dữ liệu thấp ngay cả khi một giao dịch cấp độ bảo mật ở mức
cao chứa một khóa đọc trên rằng mục dữ liệu. Như vậy, một giao dịch tại
một bảo mật thấp cấp không bao giờ bị trì hoãn bởi một giao dịch ở mức độ
bảo mật cao. Các giao dịch tại mức độ bảo mật cao, chỉ cần nhận được một
cảnh báo rằng một khóa trên một thấp mục dữ liệu đã được "chia". Trusted
Oracle sử dụng một sự kết hợp của khóa và multiversioning kỹ thuật.
7. Kết luận
Nghiên cứu này đã đưa ra một tổng quan về bảo mật đa, đánh giá và
MLS quá trình chứng nhận, và RDBMS đa an toàn. Xây dựng một đa an
toàn RDBMS có thể là một nhiệm vụ đầy thử thách. Tùy thuộc vào kiến trúc
tiếp theo, điều này có thể cần xây dựng lại các phần chính của một RDBMS
thương mại hiện có. Nó cũng đòi hỏi nỗ lực quan trọng để đánh giá và xác
nhận, đặc biệt nếu một trình độ cao về bảo đảm tìm kiếm. Chúng tôi không
biết về bất kỳ RDBMS thương mại đã được đánh giá cao hơn B1 theo
Trusted Tiêu chí đánh giá bảo mật máy tính. Kiểm soát truy cập bắt buộc,
polyinstantiation, và xử lý giao dịch bảo đảm là phím khía cạnh của một
RDBMS an toàn đa cấp. Tuy nhiên, đây không phải là đủ để đảm bảo an
ninh không thể bị ảnh hưởng. Tùy thuộc vào cách nghiêm ngặt các yêu cầu
của tổ chức có nhu cầu triển khai một RDBMS an toàn đa cấp, các RDBMS
có thể phải thực hiện bảo vệ an ninh bổ sung. Ví dụ, SQL trình biên dịch có
truyền thống được hướng dẫn bởi lý do thực hiện trong việc lựa chọn thứ tự
trong đó các vị có trong một truy vấn được đánh giá (tức là, thêm nhiều lựa
chọn các vị thường được đánh giá đầu tiên để thu hẹp đặt hàng sẽ được
chuyển sau đó tham gia, vì tham gia hoạt động rất tốn kém). Nếu các
phương pháp được lựa chọn để thực thi MAC khi truy cập vào một bảng dựa
trên truy vấn sửa đổi để kết hợp các MLS hai tài sản bảo đảm dưới hình thức
các vị thường xuyên, chăm sóc sau đó đặc biệt phải được thực hiện tại lựa
chọn thứ tự mà các vị trên bàn được đánh giá để tránh trái phép rò rỉ của các
hàng dữ liệu. Để minh họa cho sự rò rỉ có thể xảy ra, giả sử truy vấn có một
vị trên bàn có liên quan đến một chức năng User-Defined (UDF).
Hơn nữa giả sử rằng UDF này có toàn bộ dữ liệu hàng như là một tham
số đầu vào và mã nguồn UDF tạo ra một bản sao của các dòng dữ liệu bên
ngoài cơ sở dữ liệu (hoặc gửi nó như là e-mail đến đích một số). Bây giờ, giả
định rằng một số hàng dữ liệu R không thể được trả lại cho người sử dụng
đã ban hành các truy vấn bởi vì điều này sẽ vi phạm an ninh MLS
tài sản. Nếu các vị có liên quan đến các UDF được đánh giá trước khi đánh
giá các vị đó thực hiện các tài sản bảo đảm MLS sau đó dữ liệu sẽ được
hàng R tiêu thụ bởi các UDF và do đó bị rò rỉ vào một người sử dụng trái
phép. Cơ sở dữ liệu gây nên là một ví dụ khác, nơi nhân viên bảo vệ có thể
được bổ sung cần thiết. Một trigger có thể gây ra có nhãn hàng dữ liệu đến
dòng chảy từ một bảng trên đó bắt buộc kiểm soát truy cập được thi hành để
bàn khác có truy cập bắt buộc kiểm soát không có hiệu lực. Nếu không có
biện pháp kiểm soát hợp lý dòng chảy, gây nên có thể gây ra rò rỉ thông tin
trái phép xảy ra.
8. Công việc trong tương lai
Chúng tôi sẽ vạch ra những trạng thái hiện tại của nghiên cứu về bảo mật
cơ sở dữ liệu và thảo luận ngắn gọn một số nghiên cứu vấn đề mở. Chúng tôi
sẽ thảo luận về an ninh tùy nghi, an ninh bắt buộc đối với hệ thống cơ sở dữ
liệu tùy ý bảo mật: tùy ý Access Control (DAC) có thể được mô hình đại
diện bởi các mô hình tiếp cận ma trận phát triển bởi Lampson vào năm 1971
và hơn nữa tinh chế bởi Graham và Denning. Bắt buộc bảo mật: Một hệ
thống cơ sở dữ liệu hỗ trợ đa dữ liệu có differen phân loại hoặc các lớp truy
cập và người dùng có học thức khác nhau. Trong hầu hết các tổng hợp, khả
năng phân loại dữ kiện cá nhân nguyên tử trong cơ sở dữ liệu là một yêu
cầu. Trong mô hình quan hệ, điều này có nghĩa là dữ liệu được phân loại ở
cấp độ dữ liệu cá nhân yếu tố. Trường hợp đặc biệt của quan hệ đa có thể
được phân loại tại cấp thuộc tính (tức là, tất cả các dữ liệu liên kết với một
thuộc tính đặc biệt có cùng phân loại); ở cấp độ hàng (tức là tuple đều có
một phân loại duy nhất); hoặc ở cấp liên quan (tức là, tất cả các dữ liệu liên
quan đã có sự phân loại giống nhau).
Chúng tôi sẽ trình bày một khảo sát của các kiến trúc cơ bản đã được sử
dụng trong nghiên cứu và phát triển hệ thống quản lý cơ sở dữ liệu quan hệ
tin cậy (DBMSs). Chúng tôi sẽ bao gồm kiến trúc phát triển cho mục đích
chung DBMS sản phẩm đáng tin cậy. Ngoài ra, Chúng tôi sẽ trình bày
phương pháp nghiên cứu đề xuất cho DBMS mới đáng kiến trúc tin cậy.
Tài liệu tham khảo
[1] Teresa F. Lunt, Eduardo B. Fernandez. Cơ sở dữ liệu an. SIGMOD
RECORD, Vol.19, số 4, tháng 12 năm 1990
[2] Elisa Bertino, Ravi vey. Bảo mật cơ sở dữ liệu - Khái niệm, phương pháp
tiếp cận, và những thách thức. IEEE GIAO DỊCH VỀ cậy và AN TOÀN
COMPUTING, Vol.2, số 1, tháng Giêng-Tháng Ba 2005
[3] Walid Rjaibi. An Giới thiệu để quản lý đa an toàn cơ sở dữ liệu quan hệ
hệ thống. IBM Canada Ltd 2004
[4] Essay19. Kiến trúc cho MLS hệ thống quản lý cơ sở dữ liệu. Hàng năm
Hội nghị bảo mật máy tính ứng dụng. Bảo mật thông tin: An tích hợp bộ sưu
tập của tiểu luận.
[5] Essay21. Giải pháp cho các vấn đề Polyinstantiation. Bảo mật máy tính
hàng năm Hội nghị ứng dụng. Bảo mật thông tin: An Bộ sưu tập tổng hợp
của tiểu luận.
[6] Bộ Quốc phòng. Đa an ninh trong Sở Quốc phòng: Các Basics.http: / /
nsi.org/Library/Compsec/sec0.html.
[7] V. Atluri, S. Jajodia, TF Keefe, C. MaCollum, R. Mukkamal. Đa An toàn
Xử lý giao dịch: Hiện trạng và triển vọng. Cơ sở dữ liệu bảo mật, X: Hiện
trạng và triển vọng, Chapman & Hall năm 1997, biên soạn. Pierangela
Samarati và vey Ravi.
[8] LouAnna Notargiacomo. Kiến trúc cho MLS hệ thống quản lý cơ sở dữ
liệu. Bảo mật thông tin: An Bộ sưu tập tổng hợp của tiểu luận, IEEE
Computer Society Báo chí, Los Alamitos, California, Mỹ.
[9] S. Jajodia, R. vey, và B. Blaustein, "Các giải pháp để Polyinstantiation
các vấn đề, "Thông tin An ninh: An Bộ sưu tập tổng hợp của tiểu luận, tập 1,
MA. Abrams et al. biên soạn., IEEE CS Báo chí, trang 493-529, năm 1994.