多级安全数据库原型系统-优化方案

1.Hinke-Schaefer

Hinke-Schaefer是最早设计的多级安全数据库管理系统（MLS/DBMS）原型系统之一，是一种由操作系统提供所有强制访问控制的单内核（Single-Kernel）方式，宿主环境是MULTICS操作系统，存储对象分为不同区段。关系的列（属性）被标识，根据安全等级垂直划分并分段存储，也就是说，一个在L等级的分段保存为L等级。

这种垂直分段方式存在一个问题，用户为了插入一个元组，需要登录不同的安全层。另外一种解决的办法是采用可信机制来插入一个元组，这就意味着一个数据库管理系统有一部分应该是可信的。然而，这与原先认为数据库管理系统不可信相互矛盾。近年来一些基于单内核方法的结构采取以行（或元组）标识安全等级，从而避免上述插入问题。这种方法被人们称为Hinke-Schaefer方法。虽然这种方法在当前主流的数据库中已经很少使用，但它为后来的模型研究提供了借鉴和启示。

2.IntegrityLock原型系统

Integrity Lock模型有两种，都是在20世纪80年代中期开发出来的，一个是由Graubart和Duffy采用MISTRESS关系数据库系统设计，另一个是由Burns采用INGRES关系数据库系统设计。由于数据库管理系统不可信，Integrity Lock方式中存在推理威胁，并可能包含特洛伊木马。然而，这种方式的优点在于仅要求过滤器必须是可信的。

MISTRESS原型系统由4部分组成：解析器（Parser）、不可信前端（Untrusted Front End，UTFE）、可信前端（Trusted Front End，TFE）和不可信后端（Untrusted Back End，UBE）。MISTRESS数据库是一个存在于数据库底层的UNIX目录（存在于数据库支持的最低等级）。关系在数据库高层维持（存在于数据库支持的最高等级）并且控制目录的安全等级进行维护。

TFE和UBE运行在系统高端，但仅有UBE能访问数据库。解析器和UTFE按照用户安全等级实例化，TFE负责创建其余3个部分并确保它们被创建在适当的安全等级上。对于给定查询，解释程序首先解析这个查询并把它派发给TFE。TFE再派发给UTFE和UBE，由UBE完成选择和连接的工作并把结果返回给TFE。TFE随后执行过滤操作，包括计算校验和，与存放在数据库中的数据进行比较。最后，TFE把结果传递给UTFE，由UTFE执行投影和聚合操作。

由此看来，Integrity Lock原型系统主要是利用一个可信前端、一个单一的不可信后端数据库和加密技术来保护数据安全。其中，加密技术由可信前端采用校验和方式处理存储在不可信后端数据库系统中的数据。不管是插入还是撤销数据，都必须计算校验和。另外，通常为Integrity Lock的可信前端实现用户鉴别、访问控制、验证和引用监控器4个功能。

INGRES原型系统使用了UC Berkeley版本的系统，除首先获取元组、过滤器检查在选择和连接运算之前由TFE执行之外，它的方式与MISTRESS原型系统的方式基本相似。新方式虽然使性能受到了影响，但可以控制特洛伊木马。

Integrity Lock原型系统存在以下两个问题：

1）效率不高。主要是由于数据扩展，即产生、修改和确认过程需要花费一定的时间。

2）安全性不能得到保证。主要是不可信DBMS可以看见经过它的所有数据。

3.SeaView原型系统

SeaView原型系统是所有MLS/DBMS设计中最为突出的一个。

SeaView定位的目标是A1级，由操作系统提供强制访问控制，并采用基于TDI方法中称作可信计算基的子集结构。也就是说，TCB是分层的，TCB在每层执行不同等级的访问仲裁。操作系统TCB提供MAC且处于最低层，数据库系统TCB执行DAC并处于紧接其后的一层。MAC模型实施如下的策略：在用户所在或更低的等级读并在用户所在的等级写（也就是下读上写）。TCB模型可以对多层关系、视图和约束定义自主安全支持策略。概括起来，SeaView原型系统的主要特性包括：

1）定义了一组安全策略及对策略的解释，用于保护数据库安全，其中着重考虑了一致性和完整性需求。

2）将标准关系数据库模型扩展为支持元素级标签的多级关系数据库模型，可以在多级安全上下文中实现完整性规则和关系运算。安全等级为L的关系存储于安全等级为L的文件中。在每个安全等级都有一个数据库管理系统实例，每个数据库操作由一个单级主体执行。(www.xing528.com)

3）提供了一个形式化安全策略模型，通过安全属性定义安全的状态，借助转移属性限制进一步的转移，使用与数据一致性、事务完整性相关的属性，支持基于值和分级的约束。形式化模型不仅具有传统的访问控制属性，还具有支持模型层次化的TCB子集属性。形式化安全策略模型还支持完整性、多实例。

4）采取有效的聚合方式避免信息泄露。实现的主要方法是将聚合结果包含的数据存储在高等级的聚合级中。

5）定义了多级SQL（MSQL）语言操作。MSQL是基于SQL语句的一种多级安全的查询语言，可以处理元素一级的分级。MSQL引进了多实例，多级（虚拟）关系被分解成单级关系组合，随后，单级关系组合又重新组成多级关系。

6）原型系统的应用扩展到实时数据库和分布式数据库。

SeaView原型系统最有意义的贡献是允许在单级关系基础上定义多级关系，并采用一个逻辑层将多级关系运算与操作分解为单级关系运算与操作加以执行。这种设计首先非常直观实用，其次可以继续使用传统的数据库管理系统，最后可以采用商业化的TCB执行MAC。

SeaView原型系统采用的结构是在商业化可用TCB之上实现整个数据库管理系统，具体使用的是专用的硬件平台Gemsos TCB。Gemsos TCB提供用户身份标识和认证，维护包含影响范围（Clearance）的表，同时为具有权限的安全管理员提供可信接口、可信路径。多级关系可以认为是建立在单级关系上的视图，而单级关系本身对用户是透明的，由Oracle DBMS引擎中的存储管理器负责存储。从Gemsos的角度来看，每个单级关系是一个具有特定访问等级的Gemsos对象，采用BLP安全范式执行强制访问控制安全策略。当一个主体试图在地址空间引进一个存储对象时需要比较安全标签，Gemsos通过硬件控制方式阻止主体访问不在自己地址空间范围的存储对象。

除强制访问控制以外，SeaView原型系统的安全性策略要求没有用户对数据直接进行访问，除非该用户被授予对数据的自主性权限。DAC保护在Gemsos外部予以实行；允许用户声明哪些用户和组被授权以规定方式访问指定的数据库对象，或者明确哪些用户和组被拒绝授权访问指定的数据库对象。

实现SeaView原型系统的组件包括6部分，分别是强制安全内核、非强制可信计算基、DBMS内核、资源管理器、MSQL预处理器和工具包子系统。其中，强制安全内核、非强制可信计算基与DBMS内核可以使用商业化产品，资源管理器需要改造或者扩展商业化产品，MSQL预处理器与工具包子系统需要专门研发。

强制安全内核（Mandatory Security Kernel）实现执行基于MAC安全策略的各种抽象事物，包括主体、段、设备、用于进程间同步的对象。Gemsos强制安全内核提供8级保护环，分别标以0～7，数字越小，安全等级就越高。每个存储对象在创建时均被赋予一个环属性，每个运行中的主体也拥有一个环码。只有当环码与环属性一致时，主体才允许访问客体。主体不能修改较低环属性的对象。强制安全内核在0～2环内实现，5～7环实现Gemsos TCB以外的功能。另外，保护环可以防止外部主体篡改Gemsos TCB。

非强制可信计算基（Non-Mandator TCB）就是商业版Gemsos TCB，实现数据库DAC。非强制可信计算基在3～4环实现，与强制安全内核一起通过A1级评估，其主要功能是实现数据库的自主访问控制，为安全审计和用户组管理提供人机接口与支持，提供访问强制安全内核功能的接口。

资源管理器（Resource Manager）将DBMS内核高级抽象的资源影射为Gemsos TCB中的资源，A1级Gemsos TCB的设计最为精简，接口只需提供较低等级的抽象，仅涉及与安全相关的功能。资源管理器可以看作是为DBMS内核设计的专用操作系统，包括Oracle设计的与操作系统无关的功能模块，如文件系统、Shell、高层设备驱动等，

DBMS内核是Oracle运行环境，包括所有无需重写就可以使用的支持Oracle的工具，如预处理器、事务、死锁消除、并发处理等功能。

MSQL预处理器允许将嵌入程序中的MSQL转变成等价的嵌入程序中的SQL，然后按照普通Oracle应用程序进行处理。MSQL是基于SQL的多级关系查询处理语言，通过在底层单级关系的主码上创立单独的索引，确保多级实体完整性，其分解、恢复过程自动保证多实例完整性。

工具包子系统（Utility Subsystems）包括管理、维护数据库的许多功能，这些功能通常与安全策略无关。

资源管理器、DBMS内核、MSQL预处理器、工具包子系统可以在不同环内实现，以满足同评估等级的不同要求，体现了SeaView结构与组件的可选择性。