多層數(shù)據(jù)庫損害控制系統(tǒng)設計研究論文
摘要:傳統(tǒng)的數(shù)據(jù)庫損害控制是一階段的,在損害評估期間損害會擴散。本文我們給出名為一種多階段數(shù)據(jù)庫損害控制系統(tǒng)的設計與實現(xiàn)。通過這種方法,系統(tǒng)保證在損害評估期間不會發(fā)生損害擴散。
關鍵詞:多層數(shù)據(jù)庫損害控制;系統(tǒng)設計
最近,越來越多的人發(fā)現(xiàn)現(xiàn)有的安全的系統(tǒng)對于多種攻擊來說依舊易于攻擊,現(xiàn)有安全機制缺乏阻止攻擊能力。入侵容忍系統(tǒng)不同于傳統(tǒng)的安全系統(tǒng),擴展傳統(tǒng)安全系統(tǒng)經(jīng)歷攻擊后能夠生存或可操作。入侵容忍系統(tǒng)的焦點在于面臨攻擊時有能力提供持續(xù)的基本服務。本文中,我們給出一個多階段數(shù)據(jù)庫損害控制的完整模型,并且設計和實現(xiàn)一個多階段數(shù)據(jù)庫損害控制系統(tǒng)。本系統(tǒng)的關鍵特性是實現(xiàn)多階段損害控制,因此能夠確保修復期間不會存在損害漏出。同時能立即控制多個惡意事務造成的損害,沒有損害漏出,而且對于最終用戶是透明的,因此數(shù)據(jù)庫應用開發(fā)人員感覺不到損害控制的復雜。
1多級數(shù)據(jù)庫控制元素
1.1一階段損害控制
可生存數(shù)據(jù)庫系統(tǒng)執(zhí)行一階段損害控制,只對修復管理鑒別出被破壞的數(shù)據(jù)項進行控制,直到它們被修復。一個被控制的數(shù)據(jù)項不能被新的事務讀取或更新。
1.2多階段損害控制
可生存數(shù)據(jù)庫系統(tǒng)實行多階段損害控制:(1)一旦惡意事務B被發(fā)現(xiàn),一組特殊的數(shù)據(jù)項,記做SE,將被立即控制。SE的定義是被B破壞的數(shù)據(jù)集,記做SD,是SE的子集。這個階段叫做最初控制。最初控制應該迅速完成。被控制的數(shù)據(jù)集被稱作控制集。為確保最初控制之后沒有損害擴散,每一個活動事務應該被回滾到SE被控制之前。(2)整個多階段損害控制過程是一系列控制集,即SE,S1,S2,...,Sk,...,這些集合匯聚到一個空集合¥,SE是最初控制的結果,而且可能包括很多錯誤控制的未被損害的數(shù)據(jù)項。Si(i>=1)是解除錯誤控制數(shù)據(jù)項或已經(jīng)被修復的數(shù)據(jù)項的解除控制操作集合的結果。作為結果,當i<j時Sj包含于Si。當這個集合為空集時,所有被控制的損害都被修復,沒有對象需要被控制了。解除控制操作通常非為幾個解除階段,盡管這些解除階段能夠同時存在。多階段控制的優(yōu)點在于修復期間沒有損害漏出以及修復非常簡便。
2應對多個惡意事務的算法設計
我們針對多個惡意事務提出一種多階段控制算法,能夠保證被控制的數(shù)據(jù)庫部分不會有損害泄漏。處理多個惡意事務的具體算法如下:When系統(tǒng)只有一個惡意事務Bi正在被修復,且惡意事務Bj被發(fā)現(xiàn):控制操作:(a)回滾所有當前活動事務(b)設置t2為當前時間(c)設置t1的值為min(tBis,tBjs)。這里tBis和tBjs分別是Bi及Bj開始時間。注意Bj可能早于Bi開始。(d)在U_SET被隨后解除控制操作調(diào)整之后,允許新事務進入。解除控制操作:(1)Case1Bj早于Bi提交(a)從U_SET中移除所有數(shù)據(jù)(b)停止當前所有解除控制階段(c)通過掃描Bj開始時間的日志來重啟解除控制階段A、B和C。被重啟的階段現(xiàn)在應該處理Bj和Bi,而不是僅僅處理Bi。例如,階段A應該只把Bi和Bj都沒破壞的數(shù)據(jù)項放入U_SET。(d)通過掃描Bj開始時間的日志來重啟修復進程(連同解除控制階段D)。被重啟的修復進程現(xiàn)在應該處理Bi和Bj。(e)隨時將解除控制的數(shù)據(jù)項放入U_SET。(2)Case2Bj晚于Bi提交If沒有解除控制階段完成這部分包含Bj提交之后執(zhí)行操作的日志的掃描繼續(xù)每一個解除階段,方法是每一個控制階段調(diào)整為不僅僅處理Bi,而是處理Bi和Bj。Else對于每個已經(jīng)掃描到某些Bj提交之后執(zhí)行的操作的解除控制階段(包括修復進程)(a)停止解除控制階段(或修復進程)(b)移除Bj提交之后被更新而且被這個階段(或進程)從U_SET中解除控制的數(shù)據(jù)項(c)通過重新掃描Bj開始以后的日志重啟這個解除控制階段(或修復進程)。重啟的階段(或修復進程)現(xiàn)在應該處理Bj和Bi上述算法確保所有被惡意事務引起的損害將在惡意事務被檢測到的時候立刻被控制,并且在如何時間點,不會有損害從被控制的數(shù)據(jù)庫部分泄漏出去。
3系統(tǒng)組成
本系統(tǒng)的`主要組成包括:控制執(zhí)行器、解除控制執(zhí)行器。系統(tǒng)的關鍵操作是通過三個主要事件觸發(fā)的。
3.1控制執(zhí)行器
當控制執(zhí)行器從它的消息隊列里取回一個惡意事務,它將執(zhí)行算法1中的控制操作。特別的,它將(1)停止執(zhí)行新事務,(2)中止所有活動事務,(3)調(diào)整控制時間窗口,(4)在從解除控制器和修復管理報告U_SET已經(jīng)調(diào)整的“準備好”消息后,允許新事務執(zhí)行。由于TRANS_LIST表包括活動事務的標識,控制執(zhí)行器能夠要求DBMS中止這些事務。因為事務的開始時間也保持在TRANS_LIST表,調(diào)整控制時間窗口將會很容易。當一個新的用戶事務在上述控制操作完成后到達時,控制執(zhí)行器需要這樣實現(xiàn)損害控制:在控制時間窗口內(nèi)更新的任何數(shù)據(jù)項都不允許訪問,除非是U_SET中的對象。控制管理算法如下所示。注意損害控制管理的實現(xiàn)以SQL語句為單位而不是事務,因為:(1)讀提取也是以SQL語句為單位;(2)在某些事務里某些稍晚的SQL語句執(zhí)行可能依賴于先前的語句;(3)這中方法能夠?qū)崿F(xiàn)更快的控制檢查。對于有多個SQL語句的事務,我們不檢查任何其他SQL語句的讀操作,就能夠拒絕或延遲這個事務的訪問。
3.2解除控制執(zhí)行器
解除控制執(zhí)行器負責解除控制階段。為了實現(xiàn)控制,系統(tǒng)需要保持事務類型間的依賴關系。特別的,利用“類型圖”表保持類型依賴。
參考文獻:
[1]孫玉海,孟麗榮.基于多級入侵容忍的數(shù)據(jù)庫安全解決方案[J].計算機工程與設計,2005(03).
【多層數(shù)據(jù)庫損害控制系統(tǒng)設計研究論文】相關文章:
多層住宅建筑給排水設計研究論文范文06-03
商場消防聯(lián)動控制系統(tǒng)設計研究論文10-24
CPAC控制系統(tǒng)設計論文11-21
多層框架結構優(yōu)化設計論文11-21
智能照明控制系統(tǒng)的設計論文11-15
數(shù)據(jù)庫與課程設計結合教學模式研究論文11-29
項目管理中控制系統(tǒng)研究的論文01-07