具有可生存能力的安全DBMS關鍵技術研究.pdf

1、作為信息系統(tǒng)重要數(shù)據(jù)存儲中心，數(shù)據(jù)庫往往成為最吸引攻擊的目標。傳統(tǒng)的以預防和保護為中心的數(shù)據(jù)庫安全機制，如：密碼學、身份認證、訪問控制、防火墻以及多級安全機制等，主要著眼于外部用戶的身份和權限約束檢查，無法防止內(nèi)部合法用戶的權限濫用和所有非法攻擊。此外，針對已滲透的外部攻擊和內(nèi)部合法用戶的權限濫用，已有的基于事務的入侵檢測、隔離和恢復機制也顯得無能為力。本文在已有的網(wǎng)絡和操作系統(tǒng)可生存性技術以及傳統(tǒng)數(shù)據(jù)庫安全機制研究基礎上，從事務層次、

2、DBMS層次以及操作系統(tǒng)層次分析數(shù)據(jù)庫系統(tǒng)的可生存能力，主要有以下研究成果： ⑴在可生存環(huán)境下和傳統(tǒng)并發(fā)控制協(xié)議分析的基礎上，提出了可生存MLS/DBMS中利用必然存在的隱蔽通道檢測惡意用戶行為的原理。在可生存環(huán)境和多級事務處理中，隱蔽通道的存在無法避免；高低安全級別的同謀事務以及第三方惡意事務導致機密信息泄漏。通過對相關事件的概率假設，提出實現(xiàn)多級事務模型中同謀事務和惡意噪聲事務的檢測機制。利用MLS/DBMS中的隱蔽通道檢測

3、惡意事務行為，可以增強DBMS的安全性，也為MLS/DBMS中的惡意事務進一步隔離以及受感染事務的恢復提供理論基礎和分析依據(jù)。 ⑵在傳統(tǒng)的數(shù)據(jù)庫惡意事務恢復方案的基礎上，提出了可生存性DBMS中基于SPN理論的惡意事務隔離和恢復模型及其相關恢復算法。通過將SPN理論和惡意事務多階段隔離技術相結合，通過定義相關數(shù)據(jù)結構，動態(tài)定位受惡意事務感染的事務并進行撤銷操作，分別提出靜態(tài)惡意事務恢復算法SMRA和on-the-fly惡意事務恢

4、復算法DMRA。通過實驗分析，DMRA算法相比SMRA算法，具有實時性和需要較少的磁盤操作，加快了惡意事務的恢復速度和流程。 ⑶在已有的基于事務依賴的恢復算法基礎上，提出了基于數(shù)據(jù)依賴的惡意事務恢復算法DDMRA和盲寫事務條件下BDDMRA算法。DDMRA算法通過僅僅將惡意事務篡改的數(shù)據(jù)恢復到正常版本而無需全部“撤銷-重做”事務中的所有操作從而避免了無辜操作的重復執(zhí)行；BDDMRA算法分析了存在盲寫事務條件下基于數(shù)據(jù)依賴的惡意事

5、務恢復方案，善意的盲寫事務可以將已破壞的數(shù)據(jù)恢復到正常狀態(tài)，無需“撤銷-重做”相關惡意操作，從而加快了恢復過程。模擬實驗表明，DDMRA和BDDMRA算法在效率上優(yōu)于基于事務依賴的恢復算法。 ⑷在關系數(shù)據(jù)庫水印技術和DBMS角色訪問控制的基礎上，提出了關系數(shù)據(jù)庫水印的數(shù)據(jù)庫角色訪問控制模型WRBAC。該模型通過對數(shù)據(jù)庫對象的數(shù)字水印的嵌入和檢測，將RBAC中的授權以隱式和動態(tài)的方式進行表達。和已有的訪問控制模型相比較，WRBAC