安全數(shù)據(jù)庫關鍵技術的研究與實現(xiàn).pdf

1、隨著計算機技術的飛速發(fā)展，計算機已經(jīng)在社會的各個方面，包括政治、經(jīng)濟、軍事、科技等領域，得到了廣泛應用，整個社會對計算機系統(tǒng)的依賴程度越來越高。高安全性的數(shù)據(jù)庫系統(tǒng)，是重要的基礎軟件和信息安全產品，我國正在進行大規(guī)模的信息化建設，對高安全性的數(shù)據(jù)庫系統(tǒng)的要求也更加迫切。但包括數(shù)據(jù)庫產品在內的大量基礎軟件依賴于國外的產品，無法確保對其進行安全利用和有效的監(jiān)控，嚴重制約信息化的進程，受到國家的高度重視。因此，進行數(shù)據(jù)庫安全方面的理論和應用研

2、究，具有較高的現(xiàn)實意義和理論意義。 本文在收集和分析大量近年來國內外數(shù)據(jù)庫安全方面的研究報告、學術論文等專業(yè)資料的基礎上，對數(shù)據(jù)庫安全涉及的若干關鍵技術問題，包括訪問控制機制、隱蔽信道分析以及推理控制問題進行了探討。結合國內的應用實際，在安全數(shù)據(jù)庫的實際應用方面，對增強國產安全數(shù)據(jù)庫OscarSec的安全性進行了研究。 本文研究了OscarSec訪問控制機制的擴展與實現(xiàn)，在研究現(xiàn)有訪問控制模型的基礎上，分析了其存在的不足

3、之處。針對這些不足以及國家標準中對訪問控制技術的要求，對現(xiàn)有的OscarSec訪問控制機制進行了擴展，包括對數(shù)據(jù)庫用戶進行重新分類、增加新的屬性、記錄元素等多級粒度控制。針對多策略應用問題，提出并實現(xiàn)了基于標記的動態(tài)安全策略管理方法。通過這些研究及關鍵技術的實現(xiàn)，充分擴展了OscarSec訪問控制的可用性和靈活性。 針對訪問控制機制不能解決的兩個典型問題，隱蔽信道通信和推理通道，本文接下來進行了詳細的研究。隱蔽信道以違反系統(tǒng)安全

4、策略的方式泄漏秘密信息，對于安全系統(tǒng)造成很大威脅。國家安全標準對安全等級在第三級以上的安全數(shù)據(jù)庫都要求進行隱蔽信道分析。本文通過對多種隱蔽信道搜索方法的分析，最終選擇隱蔽流樹法進行隱蔽信道分析。通過一般性的隱蔽信道分析，初步解決了OscarSec中隱蔽信道引起的安全性問題。 雖然OscarSec中提供了嚴格的強制訪問控制策略，但是低級用戶仍然可能通過對其可以訪問的信息的推理，從而得到其不能訪問的機密信息，造成機密信息的外泄，對系

5、統(tǒng)安全造成很大威脅。針對這種威脅，本文通過對現(xiàn)有推理控制方法的研究，初步提出了推理控制框架，從推理的各個階段對推理問題進行嚴格控制。其后，詳細介紹了本文在推理控制中的幾個關鍵技術—規(guī)則發(fā)現(xiàn)、密級分配檢查和動態(tài)推理控制所取得的研究進展。 強制訪問控制的實現(xiàn)、隱蔽信道分析以及推理控制標志著OscarSec達到了TCSEC/TDI中B2級和中華人民共和國公共安全行業(yè)標準《計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術要求》中第四級的要求