数据库安全 信息安全概论课件与复习提纲.pptVIP

主密钥的产生过程如图5.5所示。 其中Ф必须满足输入不同的用户密钥能产生出同一Ke，实现方法有模2加等；Ke是生成数据加密密钥的主密钥； K满足：K=Ф（K1’, K2’, …, Km’）。 子密钥可利用主密钥加数据库记录的标识符和字段标识符的方法来产生，不同记录或字段有不同的子密钥。 φ 用户 密钥 文件 变换 变换主密钥 Ki′ K Ke 图5.5 主密钥的产生过程 可以利用某种加密算法如数据加密标准（DES）产生不同的子密钥，当然也还有其它产生子密钥的方法。 当用户进行访问时，首先由系统产生主密钥Ke，并对该用户的合法性进行检验，若为非法用户则拒绝访问。若为合法用户，则对产生出的Ke，利用子密钥的产生方法产生出相应记录（或数据项）的子密钥，去解出相应的明文。 这种方法同样存在一个问题，即不能防止系统管理员去访问数据库，也不能防止他去生成一个新的用户密钥Ki。 为了解决这个问题，可采用公开密钥密码（如RSA）算法对存储的用户密钥文件加密。其公开密钥由专门负责安全的人员产生，并将公开密钥交由安全管理员管理，由他使用公开密钥对用户密钥文件加密；而秘密密钥则交由用户掌握。在用户进行访问时，将用户密钥和秘密密钥一同输入系统，由系统利用秘密密钥将用户密钥文件解密后去生成主密钥。 5.3 数据库安全访问控制 数据库安全策略 数据库安全模型 授权 5.3.1 数据库安全策略 数据库的安全策略包括安全管理策略、访问控制策略和信息控制策略。 访问控制策略分类： ⑴ 最小特权策略 ⑵ 最大共享 ⑶ 开放和封闭系统 ⑷ 访问控制 ① 与名字有关的访问控制 ② 与内容有关的访问控制 ③ 与上下文有关的访问控制 ④ 与历史有关的访问控制 5.3.2 数据库安全模型 ⑴ 基本的数据库存取控制模型 用矩阵Am×n来表示存取控制模型，其中的行表示主体S1，S2，…，Sm ；列表示客体O1，O2，…，On；矩阵元素aij∈A，而aij=P（Si,Oj），即用A[Si,Oj]表示主体Si允许对客体Oj所作的存取操作类型： - a10 a11 … a1n - - S1 - a20 a21 … a2n S2 A = … … … … = … [O1,O2,…,On] - am0 am1 … amn - - Sm -  矩阵的第i 行表示主体Si对所有客体的操作权限，矩阵的第j 列表示客体Oj允许主体可进行的操作权限。 在某个主体Si对客体Oj进行访问之前，访问控制机制需要检查aij，以决定Si对Oj是否可以进行访问以及可进行什么样的访问。 表5.1描述控制访问雇员关系的访问规则的存取矩阵 表5.1 存取访问矩阵 emp-name pers-no address tel-no salary 计账管理员 all all all all all 一般管理员 read read read read read ⑵扩展的数据库存取控制模型 用四元组表示一个访问规则（S，O，T，P），只有当谓词P是真时，客体S才能对有关联的O进行T操作。 扩展的数据库存取控制模型能有效地控制主体对客体的存取，但并不能控制主体如何使用该客体。例如，授了权的程序读出客体后，会被客体泄漏给无权读取该客体的程序，这样的问题称为信息流控制问题。为了防止信息的非授权泄漏，一些处理涉及国家安全的敏感信息的部门都使用了多级安全模型。 ⑶多级安全模型 多级安全模型引入级和分类的概念，每个主体指定一个许可级（clearance level）；每个客体有密级，对于军事部门，这些密级也许是绝密、机密、秘密和无密级。代表一个用户的执行进程（主体）具有用户同样的许可级。 客体可以是存储区域、程序变量、文件、I/O设备、用户或其他可保存的信息。每个主体和每个客体也有一个分类集合。一个安全级是密级和分类集合的组合。 一个安全级只有在下述情况下才可以控制另一个安全级：①它的密级或许可级大