53、密码分析与数据库联邦访问控制探讨

最新推荐文章于 2025-11-28 11:28:29 发布

原创最新推荐文章于 2025-11-28 11:28:29 发布 · 33 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#密码分析 # 黄-饶秘密纠错码 # SECC方案

信息与通信安全：ICICS 2001精华专栏收录该内容

59 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

密码分析与数据库联邦访问控制探讨

1. 黄 - 饶秘密纠错码方案的密码分析

在密码学领域，对黄 - 饶秘密纠错码（SECC）方案的研究具有重要意义。当找到 EL 后，我们可以通过比较特定矩阵的列来确定相关值。具体来说：
- 确定 (P(n + i) \in T)（(1 \leq i \leq n)）的值，需比较矩阵 (\begin{bmatrix}D(1)\D(2)\\cdots\D(N)\end{bmatrix}) 和 (\begin{bmatrix}\Phi(1)(T)\\Phi(2)(T)\\cdots\\Phi(N)(T)\end{bmatrix}) 的列。
- 确定 (P(i) \in S) 的值，要比较矩阵 (\begin{bmatrix}W1\W2\\cdots\Ws\end{bmatrix}) 和 (\begin{bmatrix}C1(S)\C2(S)\\cdots\Cs(S)\end{bmatrix}) 的列。
- 最后，在矩阵 (R_i = C_i \cdot P^{-1} + (0(n), EL(A_i)))（(1 \leq i \leq s)）中，通过比较前 (n) 列和后 (n) 列，能轻松确定置换 (Q)。

在有足够的明文 - 密文对的情况下，SECC 方案 I 和方案 II 都可以通过对密钥 (K1) 进行穷举搜索来攻击。不过，这并不意味着这些方案在密码学上不安全，而是表明在已知明文攻击下，方案中引入的额外机制对其密码强度的提升作用不大。为了应对这种攻击，可以使用密钥扩展方法，将短密钥扩展为长密钥。此外，SECC 方案存在协同效应，即使用非线性码（包含三个变换 (\Psi)、(E) 和 (P)）的 SECC 安全性比单个变换的安全性要强得多。

2. 数据库联邦中基于角色的访问控制模型

2.1 引言

在信息系统合作领域，存在从基于全局模式构建的紧密集成到涉及动态中介过程的互操作性等多种方法。全局集成虽然能得到一致的全局数据模式，但不尊重本地自治性，在众多信息源合作时不太现实。而松散耦合为可扩展的联邦系统提供了良好框架，但需要知识密集型过程来动态适应不同的数据模型和上下文。

数据库联邦中的安全问题非常复杂，因为大量不同的用户会使用包含不同敏感数据和安全要求的组件数据库。联邦数据库有两个主要假设：自治性和异构性。自治性指本地数据库系统对联邦系统各方面保持高度控制的能力，而异构性中最高层次的是联邦本地实体之间的语义异构性，另一个问题是本地组织安全方法的差异。

联邦安全系统必须支持开放和/或封闭的安全公理以及逻辑访问模式。为了在联邦环境中解决语义异构性和安全问题，我们提出使用面向对象模型作为规范描述模型，基于角色的访问模型作为规范安全模型。

2.2 相关工作

目前有多种定义联邦安全模型的方法：
- 使用视图并授予视图授权 ：通过访问规则来允许或阻止全局用户访问联邦内的信息，如 Goyal 的方法。
- 扩展现有访问控制模型 ：如扩展 DAC 或 MAC 模型来处理自治性和异构性问题。

CHASSIS 项目是一个紧密耦合的系统，具有自主访问控制和权限授予系统。在紧密耦合系统中，存在联邦权威，联邦数据库系统有自己的访问模型，冲突时禁止优先于允许。访问权限可以授予单个用户和角色，多个角色激活由激活冲突关系控制。

一些提案使用多级访问控制，但在相对兼容和同质的数据库系统中。还有一些使用基于角色的访问控制模型来模拟非联邦系统中的 DAC 和 MAC，但它们对访问模型异构性的处理方法与数据库联邦安全相关。AMAC 模型在联邦级别同时使用 MAC 和 DAC 模型，支持自动标记对象系统来计算联邦系统中的大数据查询，但存在联邦管理器对本地安全可见性差和子事务可能影响性能等问题。

分布式对象内核（DOK）项目致力于开发联邦访问控制和安全逻辑架构，支持从本地安全策略推导全局访问控制，确保不违反本地策略。还有一些提案专注于安全对象相似度评估，使用基于角色的模型和亲和性标准来计算角色之间的授权亲和性，但主要处理数据语义异构性，而非访问模型异构性。

2.3 我们的方法

我们提出一个基于丰富描述性面向对象层的全局框架，用于自治的现有数据源合作，并提供可接受的安全级别。

为了构建描述层，我们定义元数据，以确保对每个本地可用信息源进行统一表示。该层通过数据描述对象（DDO）和语义链接（SemL）支持全局查询处理。DDO 和 SemL 用于抽象描述本地数据实体的结构和它们之间的语义链接。对于给定的数据模型，定义一组 DDO 类，以便在联邦级别对模型进行精确描述。同时，创建一组 SemL 类来表达数据之间的语义链接，这些链接可以是本地内部链接或数据库间链接，如同义、上位和下位关系等，形成的语义网络可用于全局不精确查询处理。

我们使用基于角色的访问模型来描述每个本地安全策略在全局合作层面的情况。该模型通过描述数据操作权限的特定元数据得到增强。在松散合作的假设下，全局系统不使用数据定义权限和权限管理概念，这些访问权限仅由本地数据所有者或“安全官员”管理。RBAC 模型能有效模拟其他访问策略，并且符合松散耦合的合作假设。

本地安全项通过安全对象（被动数据实体）和安全主体（如用户等主动实体）来建模，使用安全描述对象（SDO），这些对象从 SDO 类（如数据、用户等）实例化。应用 SDO 类描述本地系统的一般安全策略。本地安全授权单元（如 DAC 策略中的组、RBAC 策略中的角色或 MAC 中的“容器”）由访问策略描述对象（APDO）描述。每个 SDO 引用相关的语义描述对象（DDO）。本地信息源的整体安全适应过程如下：
1. 词汇和数据语义描述。
2. 使用相应的安全描述类描述每个本地安全导出模式。
3. 在全局级别分配到安全域。安全域是从对象安全描述层提取的子图，提供安全的功能框架。

3. 联邦规范模型

我们的目标是：
- 表示尊重不同访问策略（DAC、MAC、RBAC）的本地访问模式。
- 建立所描述模式之间的访问等价性。
- 控制联邦信息流，同时尊重本地用户配置文件和本地导出策略。

3.1 本地访问策略描述类

访问策略描述对象（APDO） ：由元组 (\lt FID; LD; LAP; LAMT; LMT; {role} \gt) 定义。其中，(FID) 是本地系统的联邦标识符，(LD) 是本地名称，(LAP) 是本地访问策略（可选值为 DAC、RBAC、MACS、MACL），(LAMT) 是本地访问模式表，定义本地访问模式与联邦访问模式的对应关系，(LMT) 是本地强制表，定义本地保密等级与联邦保密等级的对应关系（在 DAC 或 RBAC 系统描述中该属性为空），({role}) 是描述用户组、角色和强制类别的角色集合。
本地访问模式表（LAMT） ：在联邦级别使用五种逻辑访问模式：只读（(r)）、执行（(x)）、追加（(a)）、升级（(u)）和删除（(d)），且 (r \perp x \perp a \perp u \perp d)。每个本地访问模式由联邦访问模式组合描述，例如 Unix 系统中的“写”访问模式由 (a + u + d) 描述，所有本地访问模式的描述都在本地访问模式表中定义。
本地强制表（LMT） ：定义强制系统中的本地保密等级，每个敏感度级别与层次结构中的索引相关联，主导级别始终是第一个。例如，本地系统的敏感度层次结构为“非机密 < 机密 < 秘密 < 绝密”，则由 (LMT {(非机密,1); (机密;2); (秘密;3); (绝密;4)}) 描述。

3.2 本地访问模式描述类

安全对象类（SOC） ：表示本地访问模式中的安全实体，由元组 (\lt FID; LD; ML; DDO \gt) 定义。其中，(FID) 是本地资源的联邦标识符，(LD) 是本地名称，(FSL) 是联邦敏感度级别（在 DAC 或 RBAC 模型描述中该属性为空），(DDO) 是引用的数据描述对象。每个本地安全数据由一个或多个安全对象和一个数据描述对象描述。
用户：描述本地访问模式中的物理用户，由元组 (\lt FID; LD; FSL \gt) 定义，(FID) 是本地用户的联邦标识符，(LD) 是本地名称，(FSL) 是联邦敏感度级别（在 DAC 或 RBAC 模型描述中该属性为空）。
权限：定义给定角色的主体描述对象对一个安全对象允许执行的访问模式组合。访问规则由元组 (\lt so; m \gt) 定义，其中 (so) 是安全对象引用，(m) 是联邦访问模式组合。我们的访问模型是封闭安全系统，所有未授权的访问都被禁止。
角色：用于表示本地自主用户组或提取本地强制类别的每个敏感度级别。由元组 (\lt FID; LD; FSL; {Permission}; {User}; {AHL}; {CLO}; {AELO} \gt) 描述，(FID) 是描述元素的联邦标识符，(LD) 是描述元素的本地名称，(FSL) 是联邦敏感度级别（在 DAC 或 RBAC 模型描述中该属性为空），({Permission}) 是定义主体描述对象对安全对象允许的访问模式的权限集合，({AHL}) 是访问继承链接集合，({CLO}) 是约束链接对象集合，({AELO}) 是访问等效链接对象集合。

3.3 链接类

访问继承链接（AHL） ：通过元组 (\lt “father”; “son”; Mode \gt) 定义从“父”角色到“子”角色的访问模式组合，其中“father”是“父”角色引用，“son”是“子”角色引用，(Mode) 是“父”角色的主体描述对象对“子”角色的所有安全对象允许执行的联邦访问模式组合。(Mode) 为空表示“父”角色的所有 SDO 可以执行“子”角色的访问规则（完全访问）。
约束链接类（CLC） ：系统中有两种约束：
- 排除约束链接对象（ECLO） ：引用两个或多个角色，一个用户只能在引用同一 ECLO 的一组角色中被引用到一个角色。
- 激活约束链接对象（ACLO） ：引用两个或多个角色，在给定用户会话中，一个用户即使被引用到同一 ACLO 的其他角色中，也只能在一个角色中处于活动状态。

3.4 本地访问策略描述

安全规范模型用于描述自主访问策略（组模型和角色模型）和强制访问策略（单级、多级或多实例化）。

3.4.1 自主模型描述

自主安全模型根据用户身份和规则来管理用户对信息的访问。在联邦描述系统中，我们考虑自主模型的以下概念：用户、安全资源、访问模式、正访问规则（授权）、负访问规则（禁止）和用户组（用户组之间存在包含关系）。

描述本地自主访问系统需要以下五个步骤：
1. 访问模型描述角色实例化 ：创建本地访问模式表，包含与每个本地访问模式等效的联邦访问模式组合。
2. 创建用户和安全对象 ：为每个本地用户和本地安全资源分别创建一个用户和一个安全对象，每个安全对象连接到其数据描述对象。
3. 创建角色 ：对于每个安全对象，根据本地安全资源的访问控制列表中不同的本地访问规则（即不同的访问模式组合）创建相应数量的角色。为每个角色创建一个具有适当访问模式组合的权限。

通过以上方法，我们可以在数据库联邦中实现有效的访问控制，解决语义异构性和安全问题，同时尊重本地自治性。

3.4.2 强制模型描述

强制访问模型基于敏感度标签来控制用户对资源的访问。在我们的系统中，使用本地强制表（LMT）来定义本地敏感度层次结构与联邦敏感度层次结构之间的对应关系。

描述本地强制访问系统的步骤如下：
1. 定义本地敏感度层次结构 ：通过 LMT 确定本地系统中各个敏感度级别的顺序和索引，例如“非机密 < 机密 < 秘密 < 绝密”，并将其映射到联邦敏感度级别。
2. 创建角色和权限 ：为每个敏感度级别创建一个角色，每个角色对应一个特定的敏感度。根据角色的敏感度，定义其对安全对象的访问权限，只有具有足够敏感度的角色才能访问相应的安全对象。
3. 设置约束 ：使用约束链接类来确保用户只能在符合其敏感度的角色中活动。例如，使用排除约束链接对象（ECLO）防止用户同时属于多个具有不同敏感度的角色，使用激活约束链接对象（ACLO）确保用户在一次会话中只能激活一个符合其敏感度的角色。

4. 联邦信息流控制策略

联邦信息流控制策略用于管理信息在联邦和本地系统之间的流动，确保信息的安全性和合规性。我们的策略主要考虑两个方面：信息导入（从联邦到本地系统）和信息导出（从本地系统到联邦）。

4.1 信息导入策略

信息导入时，需要确保导入的信息符合本地系统的安全要求。具体步骤如下：
1. 检查敏感度 ：根据本地系统的敏感度层次结构，检查导入信息的敏感度是否在本地系统允许的范围内。如果导入信息的敏感度高于本地系统的最高敏感度，则拒绝导入。
2. 验证权限 ：检查本地用户是否具有足够的权限来接收导入的信息。只有具有相应权限的用户才能接收信息。
3. 处理冲突 ：如果导入信息与本地系统的安全策略发生冲突，例如导入信息的访问模式与本地系统的访问规则不匹配，则根据冲突处理规则进行处理，通常是拒绝导入或进行必要的调整。

4.2 信息导出策略

信息导出时，需要确保导出的信息不会泄露本地系统的敏感信息。具体步骤如下：
1. 检查本地策略 ：根据本地系统的导出策略，检查要导出的信息是否允许导出。本地策略可能会限制某些敏感信息的导出。
2. 验证联邦权限 ：检查联邦系统是否具有足够的权限来接收导出的信息。只有联邦系统具有相应权限时，才能进行导出操作。
3. 脱敏处理 ：如果导出的信息包含敏感信息，需要进行脱敏处理，例如替换敏感数据为掩码或进行加密处理，以确保信息的安全性。

5. 总结

本文介绍了黄 - 饶秘密纠错码方案的密码分析以及数据库联邦中基于角色的访问控制模型。在密码分析方面，通过对 SECC 方案的研究，我们发现了其在已知明文攻击下的一些弱点，并提出了密钥扩展的应对方法。同时，SECC 方案中的协同效应也为密码学研究提供了新的思路。

在数据库联邦访问控制方面，我们提出了一种基于角色的访问模型，结合面向对象的描述层，解决了联邦环境中的语义异构性和安全问题。通过定义规范模型和信息流控制策略，我们能够有效地管理信息在联邦和本地系统之间的流动，确保数据的安全性和合规性。

以下是本文涉及的主要概念和步骤的总结表格：
| 类别 | 主要内容 |
| ---- | ---- |
| 黄 - 饶 SECC 方案 | 找到 EL 后通过比较矩阵列确定相关值；可通过穷举搜索攻击 SECC 方案 I 和 II；可使用密钥扩展应对攻击；SECC 方案存在协同效应 |
| 数据库联邦访问控制 | 提出基于角色的访问模型和面向对象的描述层；相关工作包括使用视图授权和扩展现有访问控制模型；本地安全适应过程包括词汇和数据语义描述、本地安全导出模式描述和安全域分配 |
| 联邦规范模型 | 包括本地访问策略描述类、本地访问模式描述类和链接类；用于描述自主和强制访问策略 |
| 本地访问策略描述 | 自主模型描述需五个步骤；强制模型描述需定义敏感度层次结构、创建角色和权限、设置约束 |
| 联邦信息流控制策略 | 信息导入需检查敏感度、验证权限和处理冲突；信息导出需检查本地策略、验证联邦权限和进行脱敏处理 |

mermaid 格式流程图展示本地自主访问系统描述步骤：

graph LR
    A[访问模型描述角色实例化] --> B[创建用户和安全对象]
    B --> C[创建角色]
    C --> D[创建权限]

通过这些方法和策略，我们能够在复杂的数据库联邦环境中实现有效的访问控制，保障数据的安全和可用性。