基于可信计算环境的数据库系统安全体系结构设计
龚 昕
(92493部队88分队,辽宁 葫芦岛 125000)
摘 要:分析了可信计算环境下数据库应用系统的安全范围,研究设计了基于可信计算环境的数据库系统安全体系结构,给出了具体实现方法。
关键词:可信计算;数据库系统安全;DBMS
Design of Database System Security Architecture
based on Trusted Computing Environment
GONG Xin
(92493 Unit of PLA, Huludao, Liaoning 125000,China)
Abstract:On the basis of analyzing of the security problems of database system in trusted environment, this paper designs a security architecture of database system and proposes the implementation.
Key words: trusted computing ; database system security; DBMS
1 引言
数据库的安全性是指保护数据库避免被不合法的使用造成数据泄露、更改或破坏。随着网络应用规模的扩大,数据库的应用已触及到社会的各个角落,数据库系统种类日益繁多、规模不断扩大。信息安全问题在数据库领域的表现也越来越突出,在利用数据库实现数据共享,使信息交流更加方便、快捷的同时,数据库系统的安全问题也日趋复杂和重要。国外数据库系统安全研究主要集中在DBMS 体系结构、适用于各种数据库的访问控制机制、数据库系统特有的各种安全问题,如:多实例、并发控制、推理攻击及相关模型等。国内数据库系统安全的防护能力还处在初级阶段,许多应用系统处于不设防的状态,同信息安全研究一样,其防护手段还处于“堵漏洞、作高墙、防外攻”这老三样的传统阶段和被动状态。由于分布式系统、并行数据库系统的广泛应用,近年来,异构数据库系统的安全集成受到广泛关注,在多访问控制策略集成方面取得了不少成果,包括保密性与完整性结合、一个数据库系统内的多访问控制策略管理、异构数据库访问控制机制在应用系统上的集成等。新时期的军事对抗已成为以计算机网络为核心的“信息战”,谁掌握了“制信息权”,谁就拥有了主动权,从而控制了信息战场。数据库安全是信息安全的重要组成部分,研究可信计算环境下的数据库系统安全体系结构和数据库系统安全外壳原型系统,探索可信计算环境下,数据库系统的安全需求、安全服务功能,对军队信息系统整体安全保障有着重要的理论价值和实际意义。
2 可信计算研究和应用概况
从国际上来看,可信计算技术的研究及其相关产业正在成为一个热门的研究领域。2003年9月17日,Intel正式推出了支持Palladium的LT技术,用于保护敏感信息的硬件架构。其核心机制是在原来硬件的基础上增加一层可信机制,用来保护计算机可能遭受的基于软硬件的攻击。L T是一组强化的硬件部件,包括微处理器、芯片组、I/O设备及相应软件等。
微软在2002年提出Palladium计划,提出了今
后十年可信计算战略的目标、措施和策略。2003年,微软将Palladium 改为NGSCB(Next Generation Secure Computing Base),目的是构造基于硬件的新一代安全计算平台。N G S C B 技术框架的基本结构可以划分为三层,具有四个安全特性:(1)进程隔离;(2)封装存储;(3)安全通路;(4)远程证明。
笔者认为,一个可信的系统应该是系统的行为及其结果是可以预期的,能够做到行为状态可监测,行为结果可评估,异常行为可控制。具体而言,系统的可信性应该包括一组属性,从用户的角度需要保障服务的安全性和可生存性,从设计的角度则需要提供系统的可控性,在环境可信的目标下融合这三个基本属性,围绕系统的维护和行为控制形成一个有机整体。
3 可信计算机环境下数据库系统安全范围
数据库系统安全是信息系统安全的子问题,信息系统的安全通过数据库安全功能与环境安全相互作用与配合而得到保障。数据库系统安全或属于本地计算环境中的应用程序范畴,或跨越不同的网络空间,需要区域边界、网络与基础设施和支持性基础设施的安全保障。数据库系统安全范围与上述环境相关,可信计算环境下的数据库系统安全包括操作系统安全、DBMS 安全、中间件安全、应用系统安全(其中包含与应用区域边界安全的接口)四个方面,如图1所示。
图1 数据库系统安全范围
4 基于可信计算环境的数据库系统安全体系结构设计
4.1数据库系统安全管理三维模型
目前数据库安全面临的威胁有几种划分方法,根据威胁结果可分为:不适当的信息泄露、不适当的数据修改、拒绝服务;根据威胁方式可分为非欺骗性和欺骗性的威胁;其中非欺骗性的包括:自然或偶然灾害、硬件或软件上的错误或b u g s、人为错误;欺骗性的有:授权用户滥用权限和恶意代理。数据和数据交换存在的地方,攻击就可以存在。大体说来,攻击发生的环节可分为:传输环节、存储环节和访问环节。传输攻击发生在有网络通信的地方,存储攻击发生在服务器的数据库物理文件存储上,访问攻击发生在各子模块间的通信界面中或利用各子模块本身的缺陷。根据上述分析,建立数据库系统安全管理模型—THM 模型如图2所示。
图2 数据库系统安全管理THM 模型
该模型表示了整个信息系统中数据库系统安全管理的三方面问题及安全措施。由于数据库安全存在于信息系统整个生命周期的全过程,因此模型利用T 轴代表时间轴,说明以时间为主线,一个数据库系统的安全实现与管理需要做的工作,包括安全需求分析、安全策略制定、安全策略形式化或数学抽象、安全策略实现、系统安全管理等方面的工作。时间维的安全是动态的安全时间维上:前面三项工作对应计划阶段,安全实现对应实施阶段,安全管理涵盖检查与措施阶段,安全管理上面的横线代表
下一个P A D C 循环的开始。层次维为安全管理的
对象,描述按层次划分的数据库系统中可以受到攻击的环节,包括数据库物理文件的存储环节、数据传输过程中的安全和数据查询、处理时的安全即访问的安全;访问安全又可通过流控制、推理控制和访问控制来保证。机制维上描述一个安全数据库系统所采用的或可能采用的安全机制,机制维是一个开放的维,可以随着技术的发展随时添加新的安全机制。通过这三维上各部分的有机结合、相互作用,数据库系统应能提供数据保密性、完整性、可用性、可追究性等安全功能。
4.2基于可信计算环境的数据库系统安全体系结构设计
作为信息系统的组成部分,数据库系统需要对数据库安全提供保密性、完整性、可用性、可控性和可追究性五个方面的保障服务。这五方面的服务与本地计算环境、应用区域边界、网络与基础设施和支持性基础设施的安全服务相互作用、相互配合,最终对数据库信息提供安全保障。在可信计算环境下,数据库系统安全体系结构可分为数据库系统安全实现划分为三个层次,即安全数据库管理系统(D B M S)、数据库安全组件(中间件)和数据库安全应用系统。图3说明了各层的安全防护任务及安全机制,其中,中间件提供的安全机制与D B M S 能提供的安全机制是相同的,可根据具体系统的实现需求定义安全机制的实现方式。由D B M S实现的安全机制只能由D B M S开发者提供,而安全外壳机制可由中间件生产者开发。各层均建立在密码技术基础之上,各层间通过安全规则约束信息交换,从而保证了在认证信息交换、数据库加密密钥管理、备份与恢复等重要环节管理信息的安全。由体系结构可知,层次越高,可实现的访问控制粒度越细。各层均建立在密码技术基础之上,各层间通过安全规则约束信息交换,从而保证在认证信息交换、数据库加密密钥管理、备份与恢复等重要环节管理信
息的安全。上述体系结构如图3所示。
图3 基于可信计算环境的数据库系统安全体系结构
5 系统安全体系结构的实现方法
在理想情况下,三个层次可提供的数据库系统安全服务略有不同,但考虑实现难易程度、对其他系统的依赖性等原因,其实现却大不相同。安全DBMS已经有了成熟的通用产品,安全中间件尚在探索阶段,安全应用系统目前有一些应用,但安全等级较低,安全服务偏少。
5.1 安全DBMS
对于数据库系统安全来说,选择安全的D B M S 可以说是最简捷、最易实现的一种方法。因为在其内部就实现诸如用户管理、权限管理、访问控制、审计等功能,无疑减少了外部接口和数据交换,从而减少了安全控制,即简化了安全功能的实现。但是,安全D B M S方法也不是万能的,对于有些利用D B M S安全漏洞的攻击,如字符注入攻击,仅凭D B M S就不能抵御。另外,即使是安全的DBMS,也存在着安全漏洞,这方面的报告屡见不鲜。因此,对于特殊领域的数据库系统安全,只有自主产权的安全DBMS才能谈“安全”。
5.2 数据库安全中间件
针对上述问题,给一个现有的D B M S加一个“安全外壳”,增加安全功能和安全服务,实现数据库系统安全是一个折衷的办法。这里所选用的基础DBMS应该是公开源码的自由软件,这样可保证软件的可控性。
“安全外壳”的安全机制需要根据要达到的安全等级或保障强度进行“定制”,如审计机制的强弱、粒度、管理;采用自主、强制、基于角色还是其他的访问控制机制;用户认证与鉴别机制、密码强度等各方面。其实现需要与D B M S相互配合,有的需要利用D B M S现有结构,如数据字典、其本身用户管理机制等功能,对其进行加强,达到安全目的。可想而知,安全等级越高,所需的安全功能要求越多、强度越大,“安全外壳”对D B M S底层结构的渗透越深越宽,专门性就越强。
如果针对各种DBMS平台,研究、开发一个通用的安全外壳,就是“安全中间件”的概念。 然而,由于众多D B M S源码不公开,无法直接进行“外壳”加装,只能通过“服务调用”等手段与之作用,势必增加了系统运行时的数据传递环节,从而增加了安全威胁的可能性,在这些环节上必须有相应强度的安全措施,从而增大了“中间件”的设计开发难度。如果利用某些现有的数据访问平台如ODBC、J D B C,可以解决一部分的工作量,但又出现了软件不可控问题,且不能实现所有的安全功能。
5.3 应用系统安全
这是在系统最外层实现数据库系统安全的方法。对于某一特定的应用,可以实现一定的安全需求,特别是对某些攻击,如“字符注入”攻击,在应用层进行分析、检测是有效的。但是,如果不能与DBMS密切结合,其与DBMS交换数据的环节就有可能是攻击发生的环节。另外,攻击者有可能绕过应用系统直接攻击数据库,因此,应用系统安全功能必须与操作系统、网络环境的安全机制相互作用,才能保证数据库系统安全。
无论何种实现方法,均存在系统漏洞,需要在使用过程中不断维护、完善。每种方法均有其弱点,在一个数据库应用系统安全设计与开发工作中,需要综合防御,才能防止或检测、阻止各类攻击的发生。
6 结束语
计算机安全是当前信息社会非常关注的突出问题,如何保证和加强数据库的安全性和保密性,已成为当前迫切需要解决的热门话题。笔者认为,我国现有条件下数据库系统安全研究的重点应是具有自主知识产权的数据库系统安全中间件的研究。
参考文献:
[1] 熊光泽等.可信计算发展综述[J].计算机应用,2009(4),915-917.
[2] 李超等.基于可信计算的计算机安全防护体系设计[J].
计算机安全,2009(1),41-43
作者简介:龚 昕(1971-),辽宁葫芦岛92493部队高级工
程师,现从事信息技术应用研究专业。
收稿日期:2011-02-27
《黑客攻防实战入门(第3版)》
作译者: 邓吉
ISBN号: 9787121127021
出版日期:2011-4-1
出版社:电子工业出版社
内容简介:
本书从“攻”、“防”两个不同的角度,通过现实中的入侵实例,并结合作者的心得体会,图文并茂地再现了网络入侵与防御的全过程。本书共分为8章,系统地介绍了入侵的全部过程,以及相应的防御措施和方法。其中包括信息的搜集与扫描、本地入侵、木马圈套、远程控制、W e b攻击、路由器盗用、穿透防火墙、Q Q 攻防技术。本书用图解的方式对每一个入侵步骤都进行了详细的分析,以推测入侵者的入侵目的;对入侵过程中常见的问题进行了必要的说明与解答;并对一些常见的入侵手段进行了比较与分析,以方便读者了解入侵者常用的方式、方法,保卫网络安全。
读者对象:本书适合于网络技术爱好者、网络系统管理员阅读,也可作为相关专业学生的学习资料和参考资料。