作为信息系统重要数据存储中心,数据库往往成为最吸引攻击的目标。传统的以预防和保护为中心的数据库安全机制,如:密码学、身份认证、访问控制、防火墙以及多级安全机制等,主要着眼于外部用户的身份和权限约束检查,无法防止内部合法用户的权限滥用和所有非法攻击。此外,针对已渗透的外部攻击和内部合法用户的权限滥用,已有的基于事务的入侵检测、隔离和恢复机制也显得无能为力。本文在已有的网络和操作系统可生存性技术以及传统数据库安全机制研究基础上,从事务层次、DBMS层次以及操作系统层次分析数据库系统的可生存能力,主要有以下研究成果:⑴在可生存环境下和传统并发控制协议分析的基础上,提出了可生存MLS/DBMS中利用必然存在的隐蔽通道检测恶意用户行为的原理。在可生存环境和多级事务处理中,隐蔽通道的存在无法避免;高低安全级别的同谋事务以及第三方恶意事务导致机密信息泄漏。通过对相关事件的概率假设,提出实现多级事务模型中同谋事务和恶意噪声事务的检测机制。利用MLS/DBMS中的隐蔽通道检测恶意事务行为,可以增强DBMS的安全性,也为MLS/DBMS中的恶意事务进一步隔离以及受感染事务的恢复提供理论基础和分析依据。⑵在传统的数据库恶意事务恢复方案的基础上,提出了可生存性DBMS中基于SPN理论的恶意事务隔离和恢复模型及其相关恢复算法。通过将SPN理论和恶意事务多阶段隔离技术相结合,通过定义相关数据结构,动态定位受恶意事务感染的事务并进行撤销操作,分别提出静态恶意事务恢复算法SMRA和on-the-fly恶意事务恢复算法DMRA。通过实验分析,DMRA算法相比SMRA算法,具有实时性和需要较少的磁盘操作,加快了恶意事务的恢复速度和流程。⑶在已有的基于事务依赖的恢复算法基础上,提出了基于数据依赖的恶意事务恢复算法DDMRA和盲写事务条件下BDDMRA算法。DDMRA算法通过仅仅将恶意事务篡改的数据恢复到正常版本而无需全部“撤销-重做”事务中的所有操作从而避免了无辜操作的重复执行;BDDMRA算法分析了存在盲写事务条件下基于数据依赖的恶意事务恢复方案,善意的盲写事务可以将已破坏的数据恢复到正常状态,无需“撤销-重做”相关恶意操作,从而加快了恢复过程。模拟实验表明,DDMRA和BDDMRA算法在效率上优于基于事务依赖的恢复算法。⑷在关系数据库水印技术和DBMS角色访问控制的基础上,提出了关系数据库水印的数据库角色访问控制模型WRBAC。该模型通过对数据库对象的数字水印的嵌入和检测,将RBAC中的授权以隐式和动态的方式进行表达。和已有的访问控制模型相比较,WRBAC模型具有更高的安全性,并且能够解决多个用户的同谋现象。⑸在二值逻辑的基础上,提出了基于多值逻辑(MVL)的多组件可生存性系统模型。该模型在DBMS组件具有多种状态的情况下,描述了系统的状态和可生存性。实验表明,相比于二值逻辑条件下的系统状态和可生存性描述,MVL条件下的可生存性模型具有更好的表达能力,更加符合实际系统的状态和可生存性变化。