摘要：安全关系数据库是目前广泛应用的数据库之一。本文基于安全管理的角度对安全关系数据库进行了分级管理。通过设计新系统SECBase用来集约的解决数据库内部的响应模块的设计与应用问题，希望为今后的数据库开发提供理论支持。

关键词：多级安全；数据库；管理

引言

国内外对于多级安全数据库管理系统研究领域已经开展了很多研究，而且设计了许多的多级安全数据库体系架构。这些体系架构主要分成TCB子集结构（TCB Subset DBMS）、可信主体结构（Trusted Subject DBMS）、外部封装体系结构等三类。

一、访问控制模型概述

安全模型是概念模型的一种，其具有独立于软件实现以及高层抽象等特点，亦称作策略表达模型。在各种安全系统中（数据库系统也包括在内），安全模型能够有效的将该系统的安全策略和安全需求精确地描述出来。自上世纪70年代起，很多安全模型相继出现，而最重要的安全策略则是实施访问控制。仅有被授权的用户、程序或进程才能对系统资源进行访问，即访问控制，其对系统谁能访问，系统的哪些资源能够被访问，怎样对这些资源加以使用等做出决定。对于未经允许的用户采取适当的访问控制可防止数据被他们无意或有意获取。

安全模式以不同的访问控制策略类型为依据，可分成强制访问控制（MAC, Mandatory Access Control）以及自主访问控制（DAC, Discretionary Access Control）两种类型。

对于用户或用户组，即系统中的主体以自身的身份以及安全策略为依据，允许访问系统中的信息对象的模式，例如通过读、写等手段对用户访问信息对象进行控制，这就是DAC即自主访问控制的基本思想。对象由单个用户生成，单个用户拥有对象；对象的拥有者可完全支配对象，对其它用户能否访问该对象做出决定。DAC这种访问控制策略允许主体施加特定限制给访问控制。主体被允许设置访问控制权限给访问资源的用户，系统在用户访问资源时会对用户访问该资源的权限进行检查，用户能够访问资源的前提是通过验证，反之该用户则无权对系统继续访问。访问矩阵是自主型安全模型的典型代表。在数据库管理系统以及操作系统中该模型均可使用，访问矩阵的基本思想是，在全局矩阵A中存储全部的访问控制信息，主体表示为A中的行，客体表示为A中的列，A中的每一个元素代表i（主体）有权访问j（客体）。如：在某系统中，有User1、User2以及User3三个主体，有Object1、Object2、Object3以及Object4四个客体。

简单易行、直观明了是该方法的优点，不过每有一个主体或客体增加，都要将其与其它全部客体或主体比较，所以更新等操作相当麻烦，需要付出很高的代价。怎样对特洛伊木马的攻击进行有效抵御是DAC普遍难以解决的问题。在拥有对象者不知情的情况下，为了将访问控制机制绕过，破坏、篡改或者修改系统信息，木马能够以属主的身份授权攻击者，或者以某种方式表示信息，使攻击者能够访问信息。利用无法逃避的访问控制，强制访问控制能够对各种攻击，包括直接的和间接的加以防止。系统在强制访问控制下会指派不同的安全属性给主体和客体，在没有改变系统安全策略的情况下无法轻易改变这些安全属性。系统对主体和客体的安全属性是否匹配进行检查，以此对允许继续访问与否进行判断。包括用户自己的数据资源在内的所有数据资源用户都无权赋予其它用户访问权限，所以数据的访问控制不能简单指派，这是强制访问控制与自主访问控制的不同之处。BIBA模型以及BLP模型等是强制访问控制模型的典型代表。

如果系统对安全性的要求不高，其安全性需要自主访问控制即可满足。而在一些有较高安全性要求的系统中，如国防、军事等的应用中，强制访问控制必须实现。不过如果系统中只有强制访问控制，则会出现无法正常使用很多资源的现象。所以，以MAC为主，辅以DAC的访问控制策略适合在有较高安全性要求的系统中使用。

二、完整性锁体系结构

完整性锁体系结构（Integrity Lock Architecture）是一个可信主体DBMS体系结构的重要的变种。

在锁体系统的构成中有三个重要的组成部分，一部分为不可信前端进程，另一部分可信的筛选器进程，最后一部分为不可信的数据管理器进程。

不可信前端进程和用户进行交流，任务是进行查询语法分析，并返回给用户处理器所查询结果。可信的筛选器进程就是把数据数据库对象及其安全标签进行加密与解密。可信前端把每个元组进行校验和后必须将有关这些操作都完成，有效提高了了TCB的复杂性。除此之外，验证校验和通过修改后产生后察修改，但无法有效修改以及删除组织数据。

三、改进的MLS/DBMS体系结构

本文前文讨论了安全管理体系常见的系统结构。在本部分的讨论过程中提出以本人工作经验为基础的MLS-DBMS体系结构，对此结构进行系统的分析以及其对数据库管理系统的作用机理，并集合代码对其安全内核以及相关安全模块进行分析。

本文可信的操作系统使用的是Seclinux，如图1展示体系结构：

本系统构成由四个安全等级组成，分别为：系统公开级别（Unclassified），系统秘密级别（Confidential），系统机密级别（Secret）、系统绝密级别（TopSecret）等四个等级。具有安全内核的安全数据库管理系统SECBase，各个安全等级的DBMS实例，可信操作系统Seclinux,以及各级数据片段是这个体系结构主要包括的四个部分。这个体系结构中，用户端被SECBase安装了相关安全机制，它可以对来自不同安全等级用户端的操作进程对DBMS来讲是否可信进行了保证。

在上诉的四个安全级别中每个安全能级均存在级DBMS分支，并且利用每一级数据库的不同而创造具体实例。其中包括本级层次的数据以及通过本级别数据调配的子集单级数据库，系统受到了由单级DBMS传输而产生的用户请求后，由能够确保DBMS和数据的完整性，将采用可信操作系统SecLinux对各级数据文件进行访问，这样不仅充分使可信操作系统的安全功能被充分利用，同时还利用可信操作系统达到MAC。

多级安全数据库根据其安全级别被分解为多个分别存储的单级数据库，每个单级数据库对应一个安全级别，数据库的数据被分别存储在各级数据磁盘中，根据安全级别进行成严格的区域分割，而且可以利用相应的访问控制规则对各个区域之间的访问进行控制。自主访问控制模块（DACM）、强制访问控制模块（MACM）、推理控制模块（ICM）、安全约束处理模块（SCM）和审计模块（AM）就是SECBase安全内核主要的模块。只要用户登陆成功，就可以提出访问请求。

四、SECBase安全内核相关模块

（1）自主访问控制模块

自主访问控制做表一级的权限检查。用户的访问请求经分析解释以后传递给自主访问控制模块，自主访问控制模块检查该用户是否对该表进行诸如插入之类操作的权限。当自主访问通过控制检查，强制访问控制模块就会接收到用户的访问请求，否则就拒绝用户的访问请求。在DBMS启动时自动加载了用户权限，一个用户对一个表具有的权限都被这个表中每条元组进行一一记载。

系统管理员（DBA）进行负责自主访问控制，利用GRANT和REVOKE连个操作对用户进行授权和撤销权限。

（2）强制访问控制模块

强制访问控制是通过用户无法回避的存取限制来防止各种直接和间接的攻击。通过了自主访问控制检查的用户请求被送到强制访问控制模块进行强制访问控制检查。当通过了强制访问控制检查，推理控制模块也接受了用户的强求，否则就拒绝请求。半元组级标记在SECBase中达到，对实体多实例和元组多实例也支持。普通用户对不大于自身安全等级的数据实体进行创建。

（3）安全约束处理模块

根据递给推理控制模块接受了释放的安全约束并进行处理，其他类型的安全约束采取来计算密级模板。安全约束定义我们可以从下面得出：

structSecurity_Constraints{intNum//约束编号LabelTypeleft//“”的左边的变量LabelTyperight//密级常量或变量charselection_control//选择条件，就是这个安全约束采用的范围}

本文建立的是一个以安全约束图为基本安全框架的密级分配算法并且以基础构建的安全算法为基本对安全约束图进行二次约定。进而通过二者的相互制约达到安全系统相互牵制的作用。建立安全约束图仅仅是为了保证约束的执行顺序能够安全合理，所以建图时对于选择条件可以不用考虑。

参考文献

[1]Bell D.E.,LaPadula.L.J.Secure Computer Systems:Mathematical Foundations. ESD-TR-73-278,Vol.I,AD 770 768,Electronic Systems Division,Air Force Systems Command,Hanscom Air Force Base,Bedford,MA,USA,Nov 1973.

[2]Bell D.E.,LaPadula.L.J.Secure Computer Systems:A Mathematical Model. ESD-TR-73-278,Vol.II,AD 771 543,Electronic Systems Division,Air Force Systems Command,Hanscom Air Force Base,Bedford,MA,USA,Nov 1973. [14]Landwehr,Carl E.,Connie L.Heitmeyer,and John McLean,A Security Model for Military Message Systems,ACM Trans.Computer Systems,Vol.2,No.3,Aug. 1984,pp.198-222.

[3]Graubart,Richard D.and John P.L.Woodward,“A Preliminary Naval Surveillance DBMS Security Model,”Proc.IEEE Symp.Security and Privacy,Oakland,Calif., Apr.1982,pp.21-37.

[4]Denning D.E.,Lunt T.F.and R.R.Schell et al.A multilevel relational data model. Proceedings of 1987 IEEE Symp.Security and Privacy.Oakland,CA.IEEE Computer Society Press.Apr.1987.

[5]Denning D.E.,Lunt T.F.,R.R.Schell et al.The SeaView security model. Proceedings of 1988 IEEE Symp.Security and Privacy.Oakland,CA.IEEE Computer Society Press.Apr.1988.

[6]Thuraisingham B M.A nonmonotonic typed multilevel logic for multilevel secure database&knowledge-base management systems.Proceedings of the 4th IEEE Workshop on Computer Security Foundations,1991.pp.127-138.

[7]Alexandr S.Basan,Lyudmila K.Babenko,Oleg B.Makarevich.A Model of Mandatory Access for Current Database Management Systems.Proceedings of the 2nd international conference on Security of information and networks.2009. pp.67-70