多層數據庫損害控制系統設計研究論文

　　摘要：傳統的數據庫損害控制是一階段的，在損害評估期間損害會(huì )擴散。本文我們給出名為一種多階段數據庫損害控制系統的設計與實(shí)現。通過(guò)這種方法，系統保證在損害評估期間不會(huì )發(fā)生損害擴散。

　　關(guān)鍵詞：多層數據庫損害控制；系統設計

　　最近，越來(lái)越多的人發(fā)現現有的安全的系統對于多種攻擊來(lái)說(shuō)依舊易于攻擊，現有安全機制缺乏阻止攻擊能力。入侵容忍系統不同于傳統的安全系統，擴展傳統安全系統經(jīng)歷攻擊后能夠生存或可操作。入侵容忍系統的焦點(diǎn)在于面臨攻擊時(shí)有能力提供持續的基本服務(wù)。本文中，我們給出一個(gè)多階段數據庫損害控制的完整模型，并且設計和實(shí)現一個(gè)多階段數據庫損害控制系統。本系統的關(guān)鍵特性是實(shí)現多階段損害控制，因此能夠確保修復期間不會(huì )存在損害漏出。同時(shí)能立即控制多個(gè)惡意事務(wù)造成的損害，沒(méi)有損害漏出，而且對于最終用戶(hù)是透明的，因此數據庫應用開(kāi)發(fā)人員感覺(jué)不到損害控制的復雜。

　　1多級數據庫控制元素

　　1.1一階段損害控制

　　可生存數據庫系統執行一階段損害控制，只對修復管理鑒別出被破壞的數據項進(jìn)行控制，直到它們被修復。一個(gè)被控制的數據項不能被新的事務(wù)讀取或更新。

　　1.2多階段損害控制

　　可生存數據庫系統實(shí)行多階段損害控制：（1）一旦惡意事務(wù)B被發(fā)現，一組特殊的數據項，記做SE，將被立即控制。SE的定義是被B破壞的數據集，記做SD，是SE的子集。這個(gè)階段叫做最初控制。最初控制應該迅速完成。被控制的數據集被稱(chēng)作控制集。為確保最初控制之后沒(méi)有損害擴散，每一個(gè)活動(dòng)事務(wù)應該被回滾到SE被控制之前。（2）整個(gè)多階段損害控制過(guò)程是一系列控制集，即SE，S1，S2，...，Sk，...,這些集合匯聚到一個(gè)空集合￥，SE是最初控制的結果，而且可能包括很多錯誤控制的未被損害的數據項。Si（i>=1）是解除錯誤控制數據項或已經(jīng)被修復的數據項的解除控制操作集合的結果。作為結果，當i<j時(shí)Sj包含于Si。當這個(gè)集合為空集時(shí)，所有被控制的損害都被修復，沒(méi)有對象需要被控制了。解除控制操作通常非為幾個(gè)解除階段，盡管這些解除階段能夠同時(shí)存在。多階段控制的優(yōu)點(diǎn)在于修復期間沒(méi)有損害漏出以及修復非常簡(jiǎn)便。

　　2應對多個(gè)惡意事務(wù)的算法設計

　　我們針對多個(gè)惡意事務(wù)提出一種多階段控制算法，能夠保證被控制的數據庫部分不會(huì )有損害泄漏。處理多個(gè)惡意事務(wù)的具體算法如下：When系統只有一個(gè)惡意事務(wù)Bi正在被修復，且惡意事務(wù)Bj被發(fā)現：控制操作：（a）回滾所有當前活動(dòng)事務(wù)（b）設置t2為當前時(shí)間（c）設置t1的值為min（tBis，tBjs）。這里tBis和tBjs分別是Bi及Bj開(kāi)始時(shí)間。注意Bj可能早于Bi開(kāi)始。（d）在U_SET被隨后解除控制操作調整之后，允許新事務(wù)進(jìn)入。解除控制操作：（1）Case1Bj早于Bi提交（a）從U_SET中移除所有數據（b）停止當前所有解除控制階段（c）通過(guò)掃描Bj開(kāi)始時(shí)間的日志來(lái)重啟解除控制階段A、B和C。被重啟的階段現在應該處理Bj和Bi，而不是僅僅處理Bi。例如，階段A應該只把Bi和Bj都沒(méi)破壞的數據項放入U_SET。（d）通過(guò)掃描Bj開(kāi)始時(shí)間的日志來(lái)重啟修復進(jìn)程（連同解除控制階段D）。被重啟的修復進(jìn)程現在應該處理Bi和Bj。（e）隨時(shí)將解除控制的數據項放入U_SET。（2）Case2Bj晚于Bi提交If沒(méi)有解除控制階段完成這部分包含Bj提交之后執行操作的日志的掃描繼續每一個(gè)解除階段，方法是每一個(gè)控制階段調整為不僅僅處理Bi，而是處理Bi和Bj。Else對于每個(gè)已經(jīng)掃描到某些Bj提交之后執行的操作的解除控制階段（包括修復進(jìn)程）（a）停止解除控制階段（或修復進(jìn)程）（b）移除Bj提交之后被更新而且被這個(gè)階段（或進(jìn)程）從U_SET中解除控制的數據項（c）通過(guò)重新掃描Bj開(kāi)始以后的日志重啟這個(gè)解除控制階段（或修復進(jìn)程）。重啟的階段（或修復進(jìn)程）現在應該處理Bj和Bi上述算法確保所有被惡意事務(wù)引起的損害將在惡意事務(wù)被檢測到的時(shí)候立刻被控制，并且在如何時(shí)間點(diǎn)，不會(huì )有損害從被控制的數據庫部分泄漏出去。

　　3系統組成

　　本系統的`主要組成包括：控制執行器、解除控制執行器。系統的關(guān)鍵操作是通過(guò)三個(gè)主要事件觸發(fā)的。

　　3.1控制執行器

　　當控制執行器從它的消息隊列里取回一個(gè)惡意事務(wù)，它將執行算法1中的控制操作。特別的，它將（1）停止執行新事務(wù)，（2）中止所有活動(dòng)事務(wù)，（3）調整控制時(shí)間窗口，（4）在從解除控制器和修復管理報告U_SET已經(jīng)調整的“準備好”消息后，允許新事務(wù)執行。由于TRANS_LIST表包括活動(dòng)事務(wù)的標識，控制執行器能夠要求DBMS中止這些事務(wù)。因為事務(wù)的開(kāi)始時(shí)間也保持在TRANS_LIST表,調整控制時(shí)間窗口將會(huì )很容易。當一個(gè)新的用戶(hù)事務(wù)在上述控制操作完成后到達時(shí)，控制執行器需要這樣實(shí)現損害控制：在控制時(shí)間窗口內更新的任何數據項都不允許訪(fǎng)問(wèn)，除非是U_SET中的對象�？刂乒芾硭惴ㄈ缦滤�示。注意損害控制管理的實(shí)現以SQL語(yǔ)句為單位而不是事務(wù)，因為：（1）讀提取也是以SQL語(yǔ)句為單位；（2）在某些事務(wù)里某些稍晚的SQL語(yǔ)句執行可能依賴(lài)于先前的語(yǔ)句；（3）這中方法能夠實(shí)現更快的控制檢查。對于有多個(gè)SQL語(yǔ)句的事務(wù)，我們不檢查任何其他SQL語(yǔ)句的讀操作，就能夠拒絕或延遲這個(gè)事務(wù)的訪(fǎng)問(wèn)。

　　3.2解除控制執行器

　　解除控制執行器負責解除控制階段。為了實(shí)現控制，系統需要保持事務(wù)類(lèi)型間的依賴(lài)關(guān)系。特別的，利用“類(lèi)型圖”表保持類(lèi)型依賴(lài)。

　　參考文獻：

　　[1]孫玉海,孟麗榮.基于多級入侵容忍的數據庫安全解決方案[J].計算機工程與設計，2005（03）.

【多層數據庫損害控制系統設計研究論文】相關(guān)文章：

多層住宅建筑給排水設計研究論文范文06-03

商場(chǎng)消防聯(lián)動(dòng)控制系統設計研究論文10-24

攤鋪機自動(dòng)找平控制系統設計研究論文11-02

全自動(dòng)浸錫機控制系統設計研究論文10-29

CPAC控制系統設計論文11-21

多層框架結構優(yōu)化設計論文11-21

智能照明控制系統的設計論文11-15

數據庫與課程設計結合教學(xué)模式研究論文11-29

項目管理中控制系統研究的論文01-07