[实时数据库并发控制安全扩展策略]实时并发用什么数据库

　　摘要：为了解决实时数据库系统中实时性和安全性的冲突，本文对事务的实时性和安全特征进行分析，而后基于高优先级二阶段锁（2PL-HP）协议，针对隐蔽通道和优先级倒置，结合动态隐蔽通道因子和系统安全因子给出了扩展的安全并发控制算法，使其既满足实时性又满足安全需求。
　　关键词：实时数据库；并发控制；隐蔽通道；HP-2PL
　　中图分类号：TP311 文献标识码：A文章编号：1009-3044(2007)18-31515-01
　　Strategy of Security Extension of RTDB Concurrency Control
　　XU Zhi-gao,SHEN Ming-yu
　　(Hefei University of Technology,Hefei 230009,China)
　　Abstract:In order to avoid the conflict between real-time feature and security requirement this paper is designed to analysis the tow Contradictions. Then based on HP-2PL, we propose, aim at convert channel and priority inversion, the calculation method of Security extension of concurrency control with the aid of dynamic convert channel and system security factor. This method will satisfy the requirement of both real-time and security.
　　Key words:Real-time database;concurrency control;convert channel;HP-2PL
　　
　　1 引言
　　
　　实时数据库系统随着计算机应用不断迅速推广而扩展到各行业的应用中。实时数据库系统（RTDBS）是数据库于实时系统相结合的一种新型数据库，是事务和数据都有定时特性或显式的定时限制的数据库系统。典型的实时数据库系统应用于航空航天、国防科技、自动控制、交通、电信及证券业，在这些领域中，安全性是必要的。由于系统中保存着大量的敏感信息被不同安全级别的用户所共享，需要把事务和数据分为不同的优先级和安全等级。因此，对实时数据库系统来说，一方面,需要维护大量共享数据和控制数据;另一方面,其事务有很强的时间性,要求在规定的时间内完成处理,同时,所处理的数据有很强的安全性。如何能在事务截止时间内完成并同时满足系统的安全性就成为一个关键问题。
　　
　　2 实时性和安全性分析
　　
　　为保证实时系统中事务的正确性，必须满足时间约束，用截止时间表示。在实时数据库系统中，为了满足实时性，事务被分配给优先权。实时数据库系统的实时性主要体现在事务的优先权上，通常优先权的分配直接与截止时间有关，事务的优先权与他们的截止时间成正比，具有最近截止时间的事务得到最高优先权，稍后达到截止时间的事务得到低一级别的优先权。实时数据库系统中事务服从优先级调度，处在就绪态的优先级最高的事务回最先运行,以保证高优先级事务不被低优先级事务阻塞。但由于事务间关系的复杂性,这种调度有可能发生异常,出现优先权倒置状态,即在发生冲突的时候,如果不是采取高优先级二阶段锁（2PL-HP）协议对低优先级的事务重启,为了保证数据的一致性,操作必须是可串行化的,此时可能出现高优先级事务被低优先级事务阻塞的现象,称为优先级倒置。
　　在保证事务实时性的同时，还要保护那些被多个具有不同安全级别用户所共享的敏感数据，所以事务和数据被分为不同的安全级别。大多数多级安全数据库系统基于Bell-Lapadula模型。Bell-Lapadula模型针对于安全数据库系统中特定的访问规则，在此模型中,分配给事务的安全级别代表权限级别（密级）,给数据的代表分类级别（安全级）,在禁止事务对高安全级别数据进行读操作的同时也禁止对低安全级别数据进行写操作。据此规则,一个事务主体不能直接访问高安全级别的任何数据。然而,当数据库中的某个资源被两个不同访问级别的主体共享时就会产生隐蔽通道,其允许信息间接地从高访问级别主体流向低访问级别主体,这样，当两个不同安全级别的事务共享某数据资源时，信息被间接泄露。
　　为了达到期望的实时性及安全性, 同时满足系统实时性与安全性需求。在满足系统实时性的情况下允许潜在的冲突违背而采用部分安全策略，使用折中的办法，牺牲一定程度的安全性以确保实时性，从而解决实时性与安全性的冲突问题。
　　
　　3 2PL-HP协议及其实时性和安全性冲突分析
　　
　　数据库事务之间的相互影响可能导致数据库状态的不一致,要做到既使各个事务能保持并发运行状态的正确性,那么不同事务中各个步骤的执行顺序必须以某种方式进行控制,保证并发执行的事务能保持一致性的整个过程称为并发控制。并发执行的事务要保持数据库状态的正确性,需要满足可串行性的要求.
　　2PL-HP是一个典型的用于实时数据库的并发控制,这个协议根据事务的优先级，当一个事务向一个数据项发出锁请求,Deadline(T1)和Deadline(T2)分别为锁请求事务T1和锁持有事务T2的截止期,我们可以对2PL-HP作如下描述:
　　If Deadline(T1) Peq> Plow；ALhigh> ALeq> ALlow)。当锁请求者T1有低优先级和高访问级时，取消或阻塞锁请求事务T1不会造成优先级倒置和隐蔽通道的产生；当锁请求者T1有高优先级和低访问级时，则中断T2使T1获得锁，这样既能保证优先级又避免了隐蔽通道；在两事务有相同的访问级别情况下，如果T1的优先级高，则中断T2,让T1获得锁，如果T2的优先级更高，就阻塞T1,这样就避免了优先级倒置的问题；但当锁请求者T1有低优先级和低访问级时,如果阻塞T1的,将会造成隐蔽通道;若锁持有事务T2释放锁,锁请求事务T1获得锁的话,则会优先倒置;而当锁请求事务T1有高优先级和高访问级别时,如果T2被中断,T1获得锁,则会产生隐蔽通道;若阻塞T1,又存在优先权倒置。
　　
　　4 带有安全因素的S2PL-HP协议
　　
　　在安全实时数据库系统中，如果最高安全级事务和最低安全级事务存在着隐蔽通道，这种情况下隐蔽通道所造成的后果比两个相近的安全级事物间存在隐蔽通道所造成的后果更大。即冲突事物之间的安全级别差异越大，隐蔽通道对系统的危害性也越严重，也就是说，冲突事务间的安全级别相差越大，维持系统的安全性也越重要。为解决2PL-HP存在的问题，本文考虑增加了安全因素的S2PL-HP协议,并设置了动态隐蔽通道因子和系统安全因子。
　　4.1 动态隐蔽通道因子
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文 　　采用covert_channel-history(T)存储记录事务以前卷入隐蔽通道的历史记录，所有事务的初始化covert_channel_history(T)为0，随着事务间产生隐蔽通道，不同级别的事务的covert_channel_history(T)值才被改变并记录。设TL、TH为低、高安全级别事务，如果他们之间发生隐蔽通道，则covert_channel_history(TL)= covert_channel_history(TL)+ covert_channel_history(TH)+SL(TH)- SL(TL),因为TL是从隐蔽通道间接获取数据的一端，所以只有TL的值发生改变，而TH值不变。
　　如果在隐蔽通道存在于事务T1,T2间，并且SL(T1)>SL(T2),则动态隐蔽通道因子(Dynamic Convert Channel factor)定义为:
　　4.2 系统安全因子
　　根据系统需求,发生隐蔽通道的情况有可能被允许或被禁止。设(T1,T2)为一对冲突事务，事务T1和T2的安全级别差异值为DSL(T1,T2)=|Accesslevel(T1)-Accesslevel(T2)|，而MAXSL、MINSL分别为安全系统的最大和最小安全级别，则定义系统安全因子SSF=DSL(T1,T2)/(MAXSL-MINSL)。由此看出，当2个事务中数据的安全级别分处于两个极端时，SSF有最大值，当2个事务的安全级别相邻时，SSF最小，当他们处于同一安全级别时，SSF为0，无隐蔽通道产生。
　　4.2 安全性分析
　　根据以上两个因子，对基于S2PL-HP协议，给出下列冲突解决算法描述，T1和T2仍分别为锁请求事务和锁持有事务。
　　Case1：若Deadline(T1)>Deadline(T2)且SL(T1)>SL(T2),则阻塞T1。由于锁请求事务处于较低的优先级和较高的安全级上，不会产生优先级倒置和隐蔽通道。
　　Case2：在Deadline(T1)>Deadline(T2)且SL(T1)SSF，则终止T2保持系统安全性，否则阻塞T1不会产生优先级倒置。
　　Case3：在Deadline(T1)SL(T2)状态下，若DCCF>SSF，则终止T1不产生隐蔽通道，否则终止T2不发生优先级倒置。
　　Case4：若Deadline(T1)Deadline(T2)则阻塞T1，否则终止T2。
　　在S2PL-HP协议中，SSF值越小，维持系统的安全性就越重要。事务的冲突发生在低安全级别时，通过为SSF选择一个合适的值，就可以避免隐蔽通道的产生。使用S2PL-HP协议可以防止死锁的发生，但在安全冲突中对事务的截止时间有延误。
　　
　　5 结束语
　　
　　实时数据库系统的重要内容之一，是解决系统实时性与安全性冲突,也可以看成是优先级与访问级之间的矛盾.为了解决该冲突,达到期望的实时性和安全性，本文结合安全因素给出了一种折中的解决办法,即牺牲一定程度的安全性以满足更多实时性需求,而后基于S2PLHP协议,描述出一段解决冲突的算法.该算法尽可能地避免隐蔽通道的产生,同时满足实时性需求。
　　
　　参考文献：
　　[1]刘云生.实时数据库系统[J].计算机科学.1994.(3)：42-46.
　　[2]韩启龙，郝忠孝.支持实时数据库的局部安全性策略[J].哈尔滨理工大学学报.2002.7(4):29-31.
　　[3]牟亚莉，曾浩.多级安全实时数据库系统安全性与实时性需求的冲突分析[J].海军工程大学学报.2004.(9):65-67.
　　[4]Sang H，Son .Partial Security Policies to Support Timeliness in Secure Real-Time Databases．Department ofComputer Science．University of Virginia，Charlottesville，VA 22903.
　　[5]Quazi N. Ahmed，Vrbsky S V．Maintaining Security and Timeliness in Rea l-Time Database Systems ．Lucent Technologies 2139 Highway 35 Holmdel，NJ 07733.
　　注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文