基于事務級容侵的數據庫安全研究

劉婷

摘要：以數據庫為基礎的信息系統在政治、經濟、軍事及科研等各個領域得到廣泛應用。數據庫系統是信息系統中數據存儲和處理的核心，一旦失效可能導致無法彌補的損失。事務級入侵容忍要解決的問題是在惡意事務被發現之前，保證由惡意事務造成的數據庫損壞不會擴散，并在惡意事務被定位后及時修復損壞的數據，使系統在遭受攻擊的情況下仍可正常運行，實現數據庫的可用性、可生存性以及關鍵數據的機密性和完整性。

關鍵詞：數據庫安全；入侵檢測；入侵容忍技術

DOIDOI：10.11907/rjdk.161013

中圖分類號：TP309

文獻標識碼：A 文章編號：1672-7800（2016）005-0182-03

0 引言

數據庫安全研究的基本目標是如何利用信息安全及密碼學技術，實現數據庫內容的機密性、完整性與可用性，防止非授權的信息泄露、 內容篡改以及拒絕服務[1]。傳統的數據庫安全技術，重點在于防御攻擊或入侵，主要采用防火墻、訪問控制、入侵檢測、認證、加密等技術手段，將非法用戶隔絕在外，這些防御措施并不能解決所有的入侵問題，特別是來自組織內部的攻擊和入侵。因此，在防御失敗的情況下，如何保障數據庫系統的可生存性及抗毀能力，使系統在受攻擊后仍然可以為合法用戶提供不間斷的服務，成為數據庫安全的一個關鍵問題。入侵容忍系統的出現，使數據庫系統具有彈性，能承受一定限度的攻擊，且具備自診斷、修復和重構的能力，能夠利用不可信的數據庫管理系統構建可信的數據庫應用系統，為上述問題提供了很好的解決方案。

據統計，在以往的數據庫入侵事件中，事務級入侵發生頻率最高，至少50%的入侵來自系統內部[2]。這些入侵者往往擁有（或盜用了）合法的用戶身份和權限，通過運行包含惡意操作的數據庫事務來實施攻擊，而且攻擊操作一般不會嚴重地偏離預期行為，也不會遵循某種固定的攻擊模式，因此隱蔽性很強，難以防范。此外，還有一部分來自網絡的攻擊者，往往利用密碼嗅探或會話騎劫等手段竊取或偽裝成合法的身份及權限欺騙服務器，從事惡意活動。針對這一現狀，本文主要探討基于事務級入侵容忍的數據庫安全解決方案。必須關注的一點是，該系統必須由硬件層、操作系統層、DBMS層和事務層的各個層面全方位地抵御入侵，唯有在其它各個層面均獲得有效安全保證的大背景下，事務級入侵容忍方可真正實現。

1 入侵容忍

入侵容忍概念最早由J.Fraga等人于1985年提出。近年來，在入侵容忍技術領域，對于構建方法、實現原理、體系結構、入侵容忍協議及分析方法等研究越來越多，國外比較有代表性的項目或原型系統主要有：SITAR、MAFTIA、ITUA、ITTC、ITDB 、Phoenix、Blastema。國內入侵容忍研究主要有：系統建模方面的基于表決的分布式入侵容忍系統模型[3]、一種具有自律特征的入侵容忍系統模型[4]等，性能評估方面的自律入侵容忍系統模型構建與量化分析[5]、入侵容忍實時數據庫的半馬爾可夫生存能力評價[6]、基于表決的分布式入侵容忍系統模型及量化分析[7]等，實現技術方面的基于概率的入侵容忍系統表決機制設計[8]、可證安全的入侵容忍簽名方案[9]、一種面向虛擬計算環境的入侵容忍方法[10]等。

入侵容忍技術是一種結合了密碼和容錯兩大技術的全新網絡安全技術。在所保護系統的一系列組件出現錯誤的情況下，盡可能地保障系統重要信息和服務的全面性和可使用性[11]，從而有效處理入侵檢測系統誤報警高、延時長、自適應性差及有效跟蹤分析缺乏的問題。常用技術包括冗余技術、門限方案技術、間接訪問技術和系統重構技術。作為網絡信安保護之中的最終防線，其設計目的重點在4個方面：①保障系統的安全穩定運作；②確保系統服務的有效性；③確保服務器之中有關數據的保密性；④確保相關數據信息的完整性。這必須有對應的安全機制作為保障，具體包括：安全通信機制、入侵檢測機制、入侵遏制機制和錯誤處理機制。根據解決思路的不同，入侵容忍可分為基于攻擊屏蔽的入侵容忍和基于攻擊響應的入侵容忍[12]。基于攻擊屏蔽的入侵容忍，需要依靠系統設計時所預先采取的安全措施，基本思維是基于資源冗余措施并加強設計的多樣性，從而提升入侵所需付出的代價，提高復雜度，增強系統彈性。通過可疑事務隔離、增加間接層、結構重配等一系列方式來加以隔離、更換受損組件，從而制約入侵，避免入侵問題再度擴大。后者需要通過對入侵的檢測和響應來實現入侵容忍，總體思維是在系統中創建反應式響應、前瞻式響應及適應式響應等一系列響應機制，當發現系統遭受入侵時，入侵檢測機制會立即實施相應措施，從而協助系統有效地處理入侵所產生的問題，保證系統正確工作。較之于入侵檢測有一定差異的是，該系統不僅可以檢測當前已經了解的、已經明確定義的入侵活動，還能在系統傳播之前及時發現錯誤，避免高誤報率、漏檢以及時間延遲等問題。

2 基于事務級容侵的數據庫安全模型

通常對數據的訪問，需要依次經過用戶層、操作系統層、數據庫管理系統層和事務層。而入侵者獲取合法用戶權限后所進行的操作，一般發生在事務層。事務級入侵首先直接破壞數據信息，導致有關的實物查詢和之后的一系列運行遭受干擾，修復遭到破壞的數據勢必影響服務，而影響程度會伴隨破壞水平的增大而加深，進而間接對服務產生破壞。所以，系統需要綜合考慮自我診斷、受損評估、故障隔離以及自我修復能力，在盡可能短的時間內修復受損數據，避免對服務造成破壞。

2.1 基于事務級容侵的數據庫安全模型體系結構

國內數據庫軟件市場長期為國外產品占領，如Oracle、Mircosoft 、SQLServer等，這些產品不提供源代碼，無法進行代碼分析、評審以及可信計算基分析，安全性很難保證。因此，本文將以國產數據庫產品為基礎開展基于事務級容侵的數據庫安全研究。現階段容侵數據庫系統的運行均是基于當前的DBMS拓展相應的容侵職能，整個體系最大的共同點在于無需對服務器實施調整，僅通過使用中間件（或代理）就可實現，通用性和可移植性極佳，缺點是性能開銷大，存在安全隱患。為克服上述缺點，我們采用高安全性、低系統開銷、通用性的設計原則，提出另一種設計思路，將容侵功能作為DBMS服務器的一個內部機制來實現，同時杜絕容侵組件本身遭受攻擊的可能，其體系結構如圖1所示。

基于事務級容侵的數據庫安全模型由以下7部分構成：入侵檢測器、策略執行管理器、依賴追蹤器、受損評估器、受損修復器、受損限制管理器以及隔離管理器。下面分別介紹各模塊的功能。

（1）入侵檢測器。入侵檢測器負責檢測并報告用戶事務中的惡意事務及可疑事務，如檢測到異常則發出入侵警報。考慮到入侵檢測功能的系統開銷較大，未將此模塊納入DBMS服務器。

（2）策略執行管理器。 策略執行管理器負責根據入侵檢測器的報告和當前的系統環境來制定相應的系統安全策略，如收到入侵警報時，啟用受損限制管理器。

（3）依賴追蹤器。 依賴追蹤器負責分析用戶提交的事務與其它事務之間的依賴關系，并將這些依賴信息記載在事務依賴表中。事務間的依賴關系主要有3種：①由于讀取另一個事務修改的數據對象而產生的顯式依賴關系；②由于漏讀或錯讀另一個事務修改的數據對象而產生的隱式依賴關系；③事務由于與另一個事務在應用程序中共享變量而產生的依賴關系。事務間的依賴關系可用于解決惡意事務提交后的污染擴散問題。

（4）受損評估器。受損評估器負責定位遭受破壞的位置并評估惡意事務對數據庫造成的破壞程度。對于入侵檢測器報告的惡意事務及隔離管理器確認的惡意事務，受損評估模塊按照系統記錄的依存關系辨析事務是否遭受了惡意事物的影響，并籍此明確要修正的數據，從而便于修復器修復。

（5）受損修復器。其主要工作是將受損數據庫還原至健康水平。針對此前已經明確的數據對象，按照日志內的前像信息，將對象的數值還原為受損之前本應有的正確狀態。

（6）受損限制管理器。其作用主要是在修復的過程中控制事務對有關受損數據信息的訪問，同時將可疑事務送入隔離管理器，避免造成更大面積的污染。受損限制管理器按照評估結果，對所有可能的數據信息實施相應限制，事務針對這部分數據所提出的一系列操作要求均無法獲得系統支持。伴隨修復的深入開展，已經獲得修復的信息將逐漸獲得開放，直到最終各數據對象都被修復。

（7） 隔離管理器。隔離管理器負責隔離可疑事務操作，若用戶事務的后續操作未發現惡意攻擊，則保留該用戶事務的操作結果并解除隔離，若用戶事務被證明是惡意操作，則撤銷該用戶事務并啟用受損評估器。

2.2 系統工作過程

在用戶執行有關事務時，其活動的審計信息即被存儲在數據庫中，入侵檢測器通過一系列的審計信息來研究活動有無異常現象，若存在異常，則發布對應的入侵警報。如果明確這部分異常對當前的數據庫產生了損失，則必須對這部分數據加以修復。

（1）日常的依賴信息維護工作。這方面的工作滲透至系統運行的全過程之中，通過依賴追蹤器來實現。訪問數據庫時，其會研究有關事務和其它一系列事務彼此間的依存關系，將這一系列信息存放在事務依賴表內。事務將基表實施刪改等一系列操作的前像信息置于對應的前像表內。

（2）對受損數據的修復工作。入侵檢測器發出惡意事務入侵警報作為起點，各部分均獲得修復以后作為終點，通過策略執行管理器、受損限制管理器、隔離管理器和受損修復器共同實現。前者主要是按照對應的報告和當前的系統環境來制定相應的系統安全策略。受損評估器根據惡意事務號以及事務依賴表中的信息判斷需要撤銷的事務集合；隔離管理器負責隔離可疑事務操作；受損修復器根據前像表中的前像信息回滾必須撤出的一系列事務，修復有關數據；受損限制管理器驗證在此過程中事務有無訪問，防止這一系列事務由于受損數據影響出現錯誤，從而出現更大規模的損失。

2.3 關鍵技術分析

系統中的日志由前像表日志、基表、事務依賴日志、日志以及審計信息構成，其中前像表日志與事務依賴日志的更新方式與數據庫相同，相關頁面的讀寫在數據緩沖區中進行，對這3類文件的更新均在數據緩沖區完成。

前像表日志的作用主要在于回滾事務，通過數個前像表形成，與基表具有明確的對應關系。針對各個基表R，前像表日志中均有且僅有一個相應的前像表Rbi。Rbi用來存儲由R中去除的數據信息，相應的元組結構和R基本一致，從而確保由R中刪除的元組完全不必格式變更即能實現插入。

事務依賴日志用于確定回滾事務集，是在系統處理讀操作的過程中即時確定事務依賴關系，并將依賴關系信息顯式地保存在日志中。事務依賴日志由若干條記錄構成，共有3類：開始記錄、夭折記錄及提交記錄。每個新事務開始時，系統在日志中寫入一條相應的開始記錄；如果事務夭折，則在日志中寫入一條相應的夭折記錄；如果事務正常提交，則根據所依賴的全部事務集合構造一條事務提交記錄寫入日志中。

系統采取NO—FORCE數據緩沖區、寫日志優先協議、提交時強制寫日志規則以及UNDO/REDO日志方式策略，具體包括：事務結束時對臟頁是否寫入磁盤不作要求，減少寫數據庫次數；在將數據緩沖區中的內容寫盤之前，將REDO日志緩沖區中的相應日志記錄寫盤，保證所有己經寫盤的數據庫修改在REDO日志中都有記載，確保系統恢復時所有REDO日志記錄都可用；當事務提交時必須將該事務對應的REDO日志信息刷新到磁盤上，保證已提交事務的日志信息完整；將事務修改前后的信息分別記錄到UNDO日志和REDO日志中；應用REDO日志重復歷史，為各類故障后的恢復提供充足信息。

3 結語

入侵容忍數據庫技術的研究，對于保證網絡系統和服務的安全性及生存性具有重要的現實意義。將入侵容忍技術與信息安全技術、數據挖掘技術相結合，解決系統的自適應性問題，可有效預防或阻止入侵，降低系統癱瘓帶來的損失，發展前景非常廣闊。

參考文獻：

[1]張敏. 數據庫安全研究現狀與展望[J].中國科學院院刊， 2011，26（3）：303-309.

[2]謝美意. 入侵容忍數據庫技術研究[D].武漢： 華中科技大學，2009.

[3]秦華旺， 戴躍偉， 王執銓. 一種基于改進神經網絡的入侵容忍系統模型[J]. 南京理工大學學報：自然科學版，2008（5）： 20-22.

[4]劉彬， 吳慶濤， 鄭瑞娟. 一種具有自律特征的入侵容忍系統模型[J].微電子學與計算機，2012，29（7）：167-170.

[5]李冰洋， 王慧強， 馮光升. 自律入侵容忍系統的模型構建與量化分析[J].計算機應用研究，2009，26（5）：156-159.

[6]陳長清， 裴小兵， 周恒， 等. 入侵容忍實時數據庫的半馬爾可夫生存能力評價模型[J].計算機學報，2011，34（10）：1907-1916.

[7]戴月明， 王金鑫， 李彥偉. 基于表決的分布式入侵容忍系統模型及量化分析[J].計算機應用研究， 2011，28（6）：358-362.

[8]費洪曉， 李欽秀， 李文興， 等. 基于概率的入侵容忍系統表決機制設計[J].計算機技術與發展， 2010（3）：36-39.

[9]于佳， 孔凡玉， 程相國， 等. 可證安全的入侵容忍簽名方案[J].軟件學報， 2010， 21（9）：2352-2366.

[10]趙峰， 金海， 金莉， 等. VFRS：一種面向虛擬計算環境的入侵容忍方法[J].計算機研究與發展， 2010，47（3）：19-23.

[11]張云英， 王程明， 姜千， 等. 入侵容忍綜述[J].吉林大學學報： 信息科學版，2009（4）：389-395.

[12]秦華旺. 網絡入侵容忍的理論及應用技術研究[D].南京：南京理工大學，2009.

（責任編輯：杜能鋼）