多级安全数据库系统的关键技术与发展趋势

# 多级安全数据库系统的关键技术与发展趋势 ## 1. 多级实体建模方法 Bertino等人提出了一种使用复合对象和委托来建模多级实体的方法。该方法基于数据库模式未受保护的假设，即所有属性定义对每个主体可见（即使主体无法查看属性值）。其基本思路是将每个多级实体类型映射到一组对应的单级类，这些类存储在底层对象数据库管理系统（DBMS）中，并且通过适当的复合引用相互关联。每个类都配备了一组访问器方法，用于从组件对象中检索信息。 这种方法的一个重要特性是，多级实体类型的属性可以在不同安全级别上取值。应用程序设计人员可以针对多实例化的属性值指定所需的策略，例如指定低级别值为掩护故事，在更高级别不应考虑该值；或者只有在该级别没有指定其他值时，才在更高级别考虑该值。 为了实现这一映射，提出了类模式生成（CSG）方法，该方法包括四个顺序执行的步骤： 1. **模式完成阶段**：修改输入的实体类型模式，以便后续阶段更易于执行。 2. **类生成阶段**：生成与输入的多级实体类型对应的单级类，此阶段仅定义类名和继承关系。 3. **属性生成阶段**：定义类的属性。 4. **方法生成阶段**：定义类的方法，用于读写其实例的属性。 生成的单级对象对用户是透明的，因为它们提供的接口与直接支持多级对象时相同。 下面是CSG方法的流程图： ```mermaid graph LR A[实体模式] --> B(模式完成) B --> C[完成的实体模式] C --> D(类生成) D --> E[部分类模式] E --> F(属性生成) F --> G[部分类模式] G --> H(方法生成) H --> I[类模式] ``` ## 2. 安全并发控制 ### 2.1 并发控制的主要问题 在多级安全数据库管理系统（MLS/DBMS）中，并发控制需要解决两个主要问题： 1. 确保并发事务的正确执行。 2. 确保多级安全性。 仅确保事务执行不违反Bell和LaPadula原则是不足以防止所有可能的信息泄露的，特别是这些原则无法防止信号通道的出现。当两个事务访问相同数据时，可能会出现信号通道。例如，高级别事务读取低级别数据时，可能会因尝试写入这些数据而导致低级别事务执行延迟，从而将敏感信息传输给低级别主体。因此，MLS/DBMS的并发控制协议除了要验证Bell和LaPadula原则外，还必须无信号通道。 ### 2.2 安全并发控制的架构 安全事务处理的研究主要分为基于内核化架构和基于复制架构两类，这两种架构都依赖于不可绕过的可信前端（TFE）。 - **内核化架构**：将多级数据库划分为一组单级数据库，每个单级数据库存储特定级别的数据。TFE组件确保主体提交的查询被发送到与主体安全级别相同的DBMS，而可信后端确保Bell和LaPadula