基于可信操作環境的DBMS可信研究＊

曾 浩 牟亞莉 徐 妍

(中科院聲學研究所1) 北京 100190)(海軍后勤部信息辦2) 北京 100841)(海司第四部3) 北京 100841)

1 引言

數據庫是信息資源存儲與處理的核心載體,其安全性是信息安全保障的重要組成部分,安全數據庫是信息系統安全研究的重要領域之一。安全數據庫系統的設計與研究更多關注安全而忽略可信這個基礎條件,可信計算思想是基于終端安全從源頭解決信息安全問題的思想[1～3],為構筑可信環境,研究DBMS可信性提供了有力的借鑒。目前對于可信計算的關注點多集中于可信計算環境、可信平臺體系架構以及安全操作系統等研究[4～7],而對DBMS可信研究涉及較少。相比傳統安全數據庫系統,結合可信計算理論是對當前數據庫系統安全研究的新要求,對于系統整體安全目標而言,可信和安全相輔相成,缺一不可。這使得基于可信操作環境的DBMS可信研究成為數據庫系統安全研究的重要內容。

2 支持DBMS的可信操作環境

定義1 可信操作環境。是基于可信計算平臺,它能夠為本地用戶或者遠程實體提供認證和授權服務,本地用戶或者遠程實體按照一組可預料的符合規定的行為模式進行操作并達到預期目的,則稱這種操作環境是可信的,可信操作環境包括可信應用操作平臺、應用區域邊界安全以及網絡通信安全。

數據庫系統作為信息系統的組成部分,承擔著管理、維護和存儲系統數據的重要任務,它與網絡及基礎設施、操作系統和系統中間件共同構筑了信息系統的基礎架構,為應用系統和其它系統組件提供了通用的數據管理平臺[8～9]。支持數據庫系統的可信操作環境體系結構可以描述為一個多層次與多區域相結合的模型,安全控制機制分布于相應的層次與區域之中。如圖1所示為可信操作環境體系結構示意圖。

圖1 可信操作環境體系結構示意圖

安全操作系統對現代計算環境中的安全支持必不可少[6]。安全操作系統層是可信操作環境信息系統安全的核心,為數據庫系統提供用戶認證、多進程管理和同步等安全服務,為數據庫文件提供文件級保護,同時為應用于網絡環境的DBMS提供網絡服務的安全性和接口。

可信操作平臺以可信硬件為基礎,以密碼技術為支撐、安全操作系統為核心,其安全功能包括：確保用戶身份的唯一性,且用戶操作是經過鑒別和授權的;確保合法用戶不能向服務器發出攻擊行為;確保信息存儲、處理、傳輸的機密性和完整性;確保硬件環境配置、安全操作系統內核、服務及應用程序的完整性;確保系統具有免疫能力,防止非授權的訪問和越權訪問,從根本上防止病毒和黑客。

DBMS層提供元組級或字段級較細粒度的安全控制,DBMS安全通過內部安全機制實現,包括：授權與認證、訪問控制、推理分析與抗推理攻擊、隱通道分析、角色管理、數據加密、備份與恢復、多級安全事務管理、審計等。

安全中間件層,為DBMS的外層增加安全保護層以保證敏感數據的保密性,根據不同的應用環境,通過中間件技術設計身份認證、訪問控制、數據加密等安全機制,滿足系統的安全需求。

應用層是用戶需要執行的完成特定功能的程序,在可信操作環境中負責與區域應用邊界的接口,保障應用數據安全。

3 DBMS可信機制

DBMS利用可信操作平臺提供的可信機制增強可信性與安全性,體現了可信計算平臺為上層應用提供可信支撐的思想,可信計算相關文獻[5,7]為我們研究可信操作環境下DBMS可信機制提供了借鑒。以下討論DBMS的可信需求及可信機制實施問題。

3.1 DBMS可信需求

可信操作環境中,DBMS運行于可信操作平臺之上,而操作平臺的可信是建立在安全操作系統之上[10]。如果沒有安全操作系統的可信支撐,單純地依賴DBMS自身的安全功能實施防護,無法保證安全數據庫系統正確、安全地引導并啟動,攻擊者可以在DBMS尚未完全啟動,安全功能尚不能發揮作用時進入系統,其次,DBMS運行時系統進程、共享內存、數據文件等系統資源可能會被非法訪問或篡改。

出于上述討論,我們在安全數據庫系統體系結構設計中引入了DBMS可信機制,DBMS可信機制的實現依賴于安全增強的操作系統的可信支撐。DBMS可信與安全操作系統的關系密不可分,從靜態角度來看,DBMS以文件形式保存的在操作系統中,從動態角度來看,DBMS作為一個或多個進程運行于操作系統之上,操作系統的可信是數據庫系統安全與可信的基礎,結合安全增強操作系統的可信支撐與DBMS可信的契合點,DBMS的可信需求主要包括以下幾項：

1)DBA的可信身份認證。DBA(Database Administrator,DBA)是DBMS的最高權限的用戶,同時也是操作系統的一個合法用戶。需要利用安全操作系統對DBMS的DBA實施可信身份認證,首先由可信平臺模塊對DBA的帳號等相關認證信息生成其完整性度量值,并把度量值記入相應的平臺配置寄存器中,當DBA需要登錄DBMS,將DBA輸入的帳號等相關認證信息傳遞給可信平臺模塊,計算其完整性度量值,與可信報告提供的DBA認證信息的完整性度量值進行比較,判斷DBA身份的可信性,只有通過可信驗證的DBA才被允許啟動DBMS。

2)DBMS的可信啟動。DBMS的啟動實際上是DBMS實例的啟動,DBMS實例啟動有兩種方式：第一種是隨操作系統啟動后依據啟動配置自動啟動,第二種是DBA手工啟動。要保證DBMS實例的可信啟動,需要以操作系統的可信啟動和DBA可信身份認證為基礎,在DBMS實例啟動前必須對實例啟動相關文件(服務進程的可執行文件,數據庫系統配置文件,系統安全策略文件)進行可信驗證,以保證這些文件的完整性。

3)DBMS核心數據、敏感數據、關鍵數據的可信驗證。DBMS是管理數據庫的軟件系統,是數據庫系統的核心,加強DBMS的核心數據、敏感數據、關鍵數據的可信性與安全防護,是保障DBMS可信的關鍵。

3.2 DBMS可信機制實施

DBMS可信機制在安全操作系統上正確實施,需要數據庫系統在安全操作系統上部署安裝時,由DBMS安全設計者依據數據庫系統的數據資源、可信需求等信息對其制定可信機制實施策略,將數據庫系統的可信需求映射到安全操作系統可支撐的可信機制,為其定制基于可信操作環境的可信機制實施策略。圖2為DBMS可信機制實施流程。

可信機制實施策略被描述轉化為操作系統能夠識別的數據形式保存在可信機制實施策略庫中。在DBMS可信實施過程中首先從可信機制實施策略庫中抽取DBMS配置信息并進行可信策略預處理階段。

對可信機制實施策略(以下簡稱為可信策略)的管理主要包括以下幾類：

圖2 DBMS可信機制實施流程

1)用戶配置管理：實現系統用戶配置管理功能,在這里關鍵是為DBMS建立DBA的安全屬性,將DBA的帳戶信息與PIN碼存儲在可信硬件模塊中,保證只有合法的DBA才被允許啟動DBMS;

2)資源配置管理：實現對應用環境內所有軟件資源訪問控制策略的制定和維護,根據DBMS實際需求,為DBMS核心數據、敏感數據、關鍵數據設計加解密屬性、校驗屬性等,保障資源的保密性和完整性;

3)密碼密鑰管理：實現可信應用環境密碼的配置,密鑰的管理,使得DBMS有效利用硬件提供的密碼支持和有保護的存儲能力,增強其對敏感信息的保護,在密碼處理上的安全性有極大提高。

可信策略預處理階段實現可信策略的部署,為可信機制實施做前期初始化工作,主要包括：1)導入安全策略是從對可信機制實施策略庫導入DBMS可信策略配置信息;2)資源可信初始化是根據資源安全屬性對資源進行預處理,如對設置加密屬性文件進行加密處理,對設置校驗屬性文件生成其完整性值;3)生成DBA的安全屬性指的是由可信平臺模塊對DBA的身份認證信息計算其完整性值,該完整性值存儲在可信平臺模塊中。

可信策略實施階段包括：1)DBA實施身份認證,確保登錄DBA身份信息能夠正確的映射到可信機制實施策略中;2)DBMS可信啟動,對服務進程的可執行文件、數據庫系統配置文件、用戶安全策略文件進行可信驗證,確保DBMS啟動的可信;3)核心數據、敏感數據、關鍵數據的可信驗證,包括驗證預期摘要值、實施策略配置中的密碼密鑰配用策略、提供數據加解密存儲等功能。

3.3 DBMS可信機制中間件

DBMS可信機制的實現需要將DBMS的可信需求映射到安全操作系統可支撐的可信機制中。為了更好的滿足DBMS對安全操作系統可信機制的調用,支持DBMS可信機制實施策略,同時也保持DBMS的獨立性,有必要設計一個DBMS可信機制中間件(以下簡稱可信中間件),來獲得安全操作系統提供的可信服務,實現可信操作環境下DBMS與安全操作系統基于可信的交互。圖3為可信中間件模塊結構。

可信中間件包含了三個主要的功能模塊：DBMS可信策略管理模塊、DBMS可信預處理模塊和DBMS可信調用模塊。

DBMS可信策略管理模塊是一個擁有圖形用戶界面的管理軟件,并包含一個可信策略庫文件,是可信中間件的管理中心,為用戶實現可信策略的可視化管理。圖4為DBMS可信策略管理模塊組成結構。用戶配置策略、資源配置策略和密碼密鑰配用策略集中存放在可信機制實施策略庫文件中,分別由三個可信策略管理功能模塊實現對策略庫文件的管理。用戶配置管理實現系統用戶配置管理功能;資源配置管理實現對應用環境內所有軟件資源訪問控制策略的制定和維護;密碼密鑰管理實現可信應用環境密碼的配置,密鑰的管理。在制定DBMS可信策略前,該軟件首先從DBMS讀取相關配置信息,為用戶制定可信策略做好準備。當可信策略制定完成并經用戶認可后,該軟件將調用可信預處理模塊對可信策略實施初始化,最后在DBMS實例啟動前啟用DBMS可信服務模塊,為DBMS運行時提供可信機制服務。

DBMS可信預處理模塊為后臺應用程序或DLL,由DBMS可信策略管理模塊調用,為可信機制的實施做初始化工作,主要包括：從可信機制實施策略庫導入DBMS可信策略配置信息;根據資源安全屬性對資源進行預處理,由可信平臺模塊對DBA身份認證信息計算其完整性值,該完整性值存儲在可信平臺模塊中。DBMS可信預處理模塊通過安全操作系統提供的可信策略訪問接口將DBMS在操作系統層實施的可信策略轉化為安全操作系統可識別的數據表示形式,完成這部分可信策略在操作系統的注冊。DBA可信身份認證、可信中間件的可信啟動、DBMS可信啟動需要在安全操作系統層面完成。

DBMS可信服務模塊為后臺應用程序,通過調用底層安全操作系統的可信機制為DBMS層面可信機制的實施提供服務。

4 結語

本文給出支持數據庫系統的可信操作環境體系結構,在此基礎上分析DBMS可信需求,討論DBMS可信機制的實施方法,設計DBMS可信機制中間件,利用可信操作平臺提供的可信機制實現DBMS可信,確保數據庫系統基礎可信和總體安全目標的實現。

[1]馮登國.可信計算理論與實踐—TCTP'2009[M].北京：清華大學出版社,2009

[2]Shen ChangXiang,Zhang HuangGuo,Feng DengGuo,et al.Survey of information security[J].Science in China Series：E(Information Security),2007,37(2)：129～150

[3]沈昌祥.基于積極防御的安全保障框架[J].中國信息導報,2003(10)：50～51

[4]池亞平,李兆斌,方勇.基于Java智能卡的可信計算環境研究[J].計算機工程,2011(4)：140～144

[5]馮登國,秦宇.可信計算環境證明方法研究[J].計算機學報,2008,31(9)：1640～1652

[6]卿斯漢,沈昌祥.高等級安全操作系統的設計[J].中國科學F輯：信息科學,2007,37(1)：238～253

[7]趙波,張煥國,李晶.可信PDA計算平臺系統結構與安全機制[J].計算機學報,2010(1)：82～92

[8]Bertino E,Sandhu R.Database Security-Concepts,Approaches,and Challenges[J].IEEE T ransactions on Dependable Secure Computing,2005,2(1)：2～19

[9]M arlene T,Aaron N.Oracle安全手冊[M].潘德宏譯.北京：機械工業出版社,2002

[10]Trusted Computing Group.TCG trusted network connect TNC architecture for interoperability specification version 1.3[EB/OL].https：//www.trustedcomputinggroup.org/specs/TNC/,2008-09.