具有可生存能力的安全DBMS關(guān)鍵技術(shù)研究.pdf

1、作為信息系統(tǒng)重要數(shù)據(jù)存儲中心，數(shù)據(jù)庫往往成為最吸引攻擊的目標。傳統(tǒng)的以預(yù)防和保護為中心的數(shù)據(jù)庫安全機制，如：密碼學、身份認證、訪問控制、防火墻以及多級安全機制等，主要著眼于外部用戶的身份和權(quán)限約束檢查，無法防止內(nèi)部合法用戶的權(quán)限濫用和所有非法攻擊。此外，針對已滲透的外部攻擊和內(nèi)部合法用戶的權(quán)限濫用，已有的基于事務(wù)的入侵檢測、隔離和恢復(fù)機制也顯得無能為力。本文在已有的網(wǎng)絡(luò)和操作系統(tǒng)可生存性技術(shù)以及傳統(tǒng)數(shù)據(jù)庫安全機制研究基礎(chǔ)上，從事務(wù)層次、

2、DBMS層次以及操作系統(tǒng)層次分析數(shù)據(jù)庫系統(tǒng)的可生存能力，主要有以下研究成果： ⑴在可生存環(huán)境下和傳統(tǒng)并發(fā)控制協(xié)議分析的基礎(chǔ)上，提出了可生存MLS/DBMS中利用必然存在的隱蔽通道檢測惡意用戶行為的原理。在可生存環(huán)境和多級事務(wù)處理中，隱蔽通道的存在無法避免；高低安全級別的同謀事務(wù)以及第三方惡意事務(wù)導(dǎo)致機密信息泄漏。通過對相關(guān)事件的概率假設(shè)，提出實現(xiàn)多級事務(wù)模型中同謀事務(wù)和惡意噪聲事務(wù)的檢測機制。利用MLS/DBMS中的隱蔽通道檢測

3、惡意事務(wù)行為，可以增強DBMS的安全性，也為MLS/DBMS中的惡意事務(wù)進一步隔離以及受感染事務(wù)的恢復(fù)提供理論基礎(chǔ)和分析依據(jù)。 ⑵在傳統(tǒng)的數(shù)據(jù)庫惡意事務(wù)恢復(fù)方案的基礎(chǔ)上，提出了可生存性DBMS中基于SPN理論的惡意事務(wù)隔離和恢復(fù)模型及其相關(guān)恢復(fù)算法。通過將SPN理論和惡意事務(wù)多階段隔離技術(shù)相結(jié)合，通過定義相關(guān)數(shù)據(jù)結(jié)構(gòu)，動態(tài)定位受惡意事務(wù)感染的事務(wù)并進行撤銷操作，分別提出靜態(tài)惡意事務(wù)恢復(fù)算法SMRA和on-the-fly惡意事務(wù)恢

4、復(fù)算法DMRA。通過實驗分析，DMRA算法相比SMRA算法，具有實時性和需要較少的磁盤操作，加快了惡意事務(wù)的恢復(fù)速度和流程。 ⑶在已有的基于事務(wù)依賴的恢復(fù)算法基礎(chǔ)上，提出了基于數(shù)據(jù)依賴的惡意事務(wù)恢復(fù)算法DDMRA和盲寫事務(wù)條件下BDDMRA算法。DDMRA算法通過僅僅將惡意事務(wù)篡改的數(shù)據(jù)恢復(fù)到正常版本而無需全部“撤銷-重做”事務(wù)中的所有操作從而避免了無辜操作的重復(fù)執(zhí)行；BDDMRA算法分析了存在盲寫事務(wù)條件下基于數(shù)據(jù)依賴的惡意事

5、務(wù)恢復(fù)方案，善意的盲寫事務(wù)可以將已破壞的數(shù)據(jù)恢復(fù)到正常狀態(tài)，無需“撤銷-重做”相關(guān)惡意操作，從而加快了恢復(fù)過程。模擬實驗表明，DDMRA和BDDMRA算法在效率上優(yōu)于基于事務(wù)依賴的恢復(fù)算法。 ⑷在關(guān)系數(shù)據(jù)庫水印技術(shù)和DBMS角色訪問控制的基礎(chǔ)上，提出了關(guān)系數(shù)據(jù)庫水印的數(shù)據(jù)庫角色訪問控制模型WRBAC。該模型通過對數(shù)據(jù)庫對象的數(shù)字水印的嵌入和檢測，將RBAC中的授權(quán)以隱式和動態(tài)的方式進行表達。和已有的訪問控制模型相比較，WRBAC