一种适合移动分布式实时数据库的安全实时并发控制协议制造技术

一种适合移动分布式实时数据库的安全实时并发控制协议（ＳＨＯＲＴＣＣ协议）。本发明专利技术将移动分布式实时事务的执行分为乐观执行阶段和基于高优先级夭折两段锁的验证提交阶段；通过相似性概念，给出了相似可串行化标准，对传统的冲突可串行化标准进行了放松，以提高事务的并发度；在验证提交阶段除确保并发事务调度的相似可串行化以外，引入了安全性检查：当存在对安全性违背的可能性，则通过比较安全违背因子和实时影响因子，以决定是阻塞还是夭折验证事务；用户可以通过对安全违背因子和实时影响因子权值的调整来更好的适应不同应用的需求。本发明专利技术适用于电子商务、无线股票交易、电网调度、军事指挥系统等领域。

【技术实现步骤摘要】

本专利技术属于数据库安全
通过在并发控制协议中整合安全约束来阻止不同安全许可级事务间利用并发控制机制合谋进行隐秘的非法信息传输，确保数据库系统的安全。
技术介绍
移动分布式实时数据库系统(MDRTDBSMobile Distributed Real-Time DatabaseSystem)通常被认为是支持移动计算环境的分布式实时数据库系统。分布式实时数据库系统是事务和数据都可以有定时限制的分布式数据库系统，系统的正确性不仅依赖于事务执行的逻辑结果，而依赖于逻辑结果产生的时间。MDRTDBS中事务的定时限制典型地表现为事务的截止期。对于软实时事务，若未能在规定的截止期完成(超截止期)将导致结果失去应有的价值；对固实时事务，超截止期将使结果变得毫无意义；对硬实时事务而言，超截止期将可能导致灾难性的后果。根据截止期的紧迫程度，实时事务被分派相应的优先级，截止期越近的事务被分配越高的优先级。在MDRTDBS中，优先级被用来作为事务调度和解决数据冲突的主要依据，调度策略和并发控制机制都要优先确保高优先级事务。MDRTDBS通常应用在一些安全关键类应用中，如电子商务、无线股票交易、电网调度、军事指挥系统等。对这类应用而言，除了确保实时性能，阻止不同事务间非法的信息流也是至关重要的。大多数实现了强制访问控制的安全数据库系统都基于贝尔-拉帕丢拉(Bell-LaPadula)安全模型。在Bell-LaPadula模型中，元素按其特性分为主体(Subject)和客体(Object)。主体是系统的主动元素，能执行一系列的动作，如进程、事务。客体是系统中包含信息的被动元素。在数据库系统中，客体可以是关系、元组等。系统中的每一个客体按照其存储信息的敏感度分配一个密级(Classification level)。同样的，每一个主体基于其置信度(被系统相信的程度)被分配一个许可级(Clearance level)。按照Bell-LaPadula模型，事务仅能读取密级小于或等于其许可级的数据对象(向下读规则)；事务仅能写密级大于或等于其许可级的数据对象(向上写规则)。Bell-LaPadula模型的访问限制可以阻止不同许可级事务间直接的非法信息流，但不足以阻止不同许可级事务间的间接非法信息流，即隐通道。传统的(非安全的)实时并发控制协议，如高优先级夭折两段锁协议(HPA-2PL)等在解决并发事务数据冲突时充分考虑到了事务的优先级，确保高优先级事务被优先执行。HPA-2PL解决并发事务数据冲突的策略是当一个低优先级事务申请某个被高优先级事务持有的锁时发生冲突，低优先级事务被阻塞；当一个高优先级事务申请某个被低优先级事务持有的锁时发生冲突，低优先级事务被夭折，高优先级事务获得相应锁资源。HPA-2PL协议很好地解决了优先级颠倒问题，但并没有解决隐通道问题，并发的不同许可级事务间可以借助于并发控制的封锁机制绕过系统安全策略，进行隐蔽通信。例如一个高优先级、高许可级事务T2持有某一数据对象上的排它锁，另一与它合谋的低优先级、低许可级事务T1同时申请该数据对象的锁，从而发生数据冲突，根据HPA-2PL协议T1被阻塞，于是T1可以根据被阻塞时间，从T2获取信息。这样在T1和T2间就形成了隐通道。为了解决上述隐通道问题可以对传统的(非安全的)并发控制策略进行改进，如增加如下规则当不同许可级事务间发生数据冲突，并发控制策略确保低许可级事务优先执行。在上例中，依据本规则，T1将获得所需锁资源，继续执行。T2将被阻塞。这样，就避免了在T1和T2间形成隐通道的可能，但却产生了优先级颠倒，即高优先级事务因为数据冲突而等待低优先级事务执行，这显然不符合MDRTDBS中高优先级事务在资源使用上优先于低优先级事务地原则，不利于实时事务截止期的满足。一个安全实时并发性制协议必须同时考虑到两方面的需求1)保证数据安全；2)确保实时事务错过截止期的比率最小。然而，上述两方面通常是相互冲突的，实现一方面通常以牺牲另一方面为代价。现有的实时并发控制协议，如2PL-HP、PC(Priority Ceiling)、OPT-WAIT、OPT-SACRIFICE等，都着重在如何更好地确保实时事务截止期的满足，却无法阻止不同许可级事务间非法的隐秘通信，也没有考虑到移动环境的固有特征。而现存的安全并发控制协议则没有考虑到实时事务的定时限制，因而无法满足实时应用的需求。对安全实时并发控制协议的研究主要包括佛吉尼亚大学的Son和印度科学学院的George等人提出相关协议。Son的主要研究思路是设计出一种自适应的(adaptive)的安全并发控制机制，其不足在于不能提供彻底的安全性，George已证明其并发控制策略中存在安全漏洞；另外其安全并发控制策略的某些前提，如事务启动前一次性获得全部资源在许多情况下是不合理、不科学和低效率的。George研究的出发点是保证实时数据库系统的完全安全性，其思路为利用现有的并发控制策略，并对其进行合理组合，针对安全性和实时性分别应用不同的并发控制机制。其不足首先在于为保证安全性使系统性能损失过大，另外其硬实时事务假设也忽略了大量软实时事务的应用需求，其过于复杂的安全并发控制机制在实现上仍有不少困难，同时他们也没有考虑到移动环境固有的特征。
技术实现思路
本专利技术的目的是解决现有安全实时并发控制协议在保证数据安全与确保实时事务错过截止期的比率最小两方面通常存在相互冲突的问题，提供一种既能满足应用安全性需求又能确保实时性能的适合移动分布式实时数据库的安全实时并发控制协议。本专利技术提供的适合移动分布式实时数据库的安全实时并发控制协议，该协议内容包括1)本专利技术提供的安全实时并发控制协议结合了乐观并发控制策略和高优先级夭折两段锁(HPA-2PL)协议——称作安全混合乐观实时并发控制协议(SHORTCC)，该协议将移动分布式实时事务的执行分为乐观执行阶段和基于高优先级夭折两段锁的验证提交阶段；2)通过相似性概念，给出了相似可串行化标准，对传统的冲突可串行化标准进行了放松，以提高事务的并发度；3)在验证提交阶段，除了确保并发事务调度的相似可串行化以外，引入了安全性检查即，当存在对安全性违背的可能性，则通过比较安全违背因子——阻塞验证事务导致的对安全性违背的严重程度，和实时影响因子——夭折验证事务导致的对实时性影响的严重程度，以决定是阻塞还是夭折验证事务；其中，用户根据不同应用对安全性和实时性需求的不同，通过对安全违背因子和实时影响因子权值的调整来更好的适应不同应用的需求。上述的安全混合乐观实时并发控制协议(SHORTCC)的具体操作内容如下1)首先给出读集冲突的定义——定义15，假定OPSTi是一乐观子事务，其对应基事务为BTi；ROS为OPSTi和BTi的读操作的集合；RDSo和RDSb分别表示OPSTi和BTi所读数据对象的集合；RDo(r)和RDb(r)分别表示OPSTi和BTi的读操作r所读的数据对象；若下列条件之一成立，则称检测到读集冲突(1)RDSo≠RDSb(2)(r∈ROS)∧(Vo(RDo(r))≈Vb(RDb(r)))这里，Vo(RDo(r))表示OPSTi中读操作r所读到的数据对象RDo(r)的值；Vb(RDb(r))表示BTi中读本文档来自技高网...

【技术保护点】
一种适合移动分布式实时数据库的安全实时并发控制协议，其特征是该协议内容包括：１）本专利技术提供的安全实时并发控制协议结合了乐观并发控制策略和高优先级夭折两段锁（ＨＰＡ－２ＰＬ）协议－－称作安全混合乐观实时并发控制协议（ＳＨＯＲＴＣＣ）， 该协议将移动分布式实时事务的执行分为乐观执行阶段和基于高优先级夭折两段锁的验证提交阶段；２）通过相似性概念，给出了相似可串行化标准，对传统的冲突可串行化标准进行了放松，以提高事务的并发度；３）在验证提交阶段除确保并发事务调度 的相似可串行化以外，引入了安全性检查：即，当存在对安全性违背的可能性，则通过比较安全违背因子－阻塞验证事务导致的对安全性违背的严重程度，和实时影响因子－夭折验证事务导致的对实时性影响的严重程度，以决定是阻塞还是夭折验证事务；其中，用户根据不同应用对安全性和实时性需求的不同，通过对安全违背因子和实时影响因子权值的调整来更好的适应不同应用的需求。

【技术特征摘要】
1.一种适合移动分布式实时数据库的安全实时并发控制协议，其特征是该协议内容包括1)本发明提供的安全实时并发控制协议结合了乐观并发控制策略和高优先级夭折两段锁(HPA-2PL)协议——称作安全混合乐观实时并发控制协议(SHORTCC)，该协议将移动分布式实时事务的执行分为乐观执行阶段和基于高优先级夭折两段锁的验证提交阶段；2)通过相似性概念，给出了相似可串行化标准，对传统的冲突可串行化标准进行了放松，以提高事务的并发度；3)在验证提交阶段除确保并发事务调度的相似可串行化以外，引入了安全性检查即，当存在对安全性违背的可能性，则通过比较安全违背因子——阻塞验证事务导致的对安全性违背的严重程度，和实时影响因子——夭折验证事务导致的对实时性影响的严重程度，以决定是阻塞还是夭折验证事务；其中，用户根据不同应用对安全性和实时性需求的不同，通过对安全违背因子和实时影响因子权值的调整来更好的适应不同应用的需求。2.根据权利要求1所述的适合移动分布式实时数据库的安全实时并发控制协议——方法，其特征是3)中所述的安全违背因子和实时影响因子的定义如下其中，以下定义涉及的符号含义为，CL(T)表示事务T的许可级；P(T)表示事务T的优先级；Opi表示事务的读、写操作；OpnCF Opm表示Opn和Opm是一对冲突操作；ST表示进入系统的事务集合；——定义1，假定Ti，Tj∈ST，若下面条件成立(Opn∈Ti)∧(Opm∈Tj)∧(OpnCF Opm)则称Ti和Tj是一对冲突事务，记为TiCF Tj；——定义2，假定Ti∈ST，ST1ST，如果下面条件满足Tj∈ST1(TiCF Tj)则称ST1为事务Ti的冲突集，记为CS(Ti)；——定义3，假定Ti∈ST，ST2ST，如果下面条件成立(Tj∈ST2(TiCF Tj))∧( Tj∈(ST-ST2)(﹁(TiCF Tj)))则称ST2为事务Ti的最大冲突集，记为MCS(Ti)；——定义4，定义|f(CL(Ti))-f(CL(Tj))|为事务Ti和Tj的许可级差异度，记为CDD(Ti，Tj)；这里，f表示不同许可级的集合到自然数集的映射；——定义5，定义|P(Ti)-P(Tj)|为事务Ti和Tj的优先级差异度，记为PDD(TI，Tj)；——定义6，假定Ti∈ST，MCS1(Ti)MCS(Ti)，如果有下面条件成立(Tj∈MCS1(Ti)(CL(Tj)＞CL(Ti)))∧(Tj∈(MCS(Ti)-MCS1(Ti))(CL(Tj)≤CL(Ti)))则称MCS1(Ti)为事务Ti的高许可级最大冲突集，记为HCMCS(Ti)；——定义7，假定Ti∈ST，MCS2(Ti)MCS(Ti)，如果有下面条件成立(Tj∈MCS2(Ti)(P(Tj)＜P(Ti)))∧(Tj∈(MCS(Ti)-MCS2(Ti))(P(Tj)≥P(Ti)))则称MCS2(Ti)为事务Ti的低优先级最大冲突集，记为LPMCS(Ti)。——定义8，定义ΣTj∈HCMCS(Ti)(|f(CL(Ti))-f(CL(Tj))|)]]>为事务Ti相对于HCMCS(Ti)的安全违背因子，记为SVF(Ti，HCMCS(Ti))；SVF(Ti，HCMCS(Ti))反映了阻塞Ti可能导致的隐通道(违背安全性)严重程度；——定义9，定义ΣTj∈LPMCS(Ti)(|P(Ti)-P(Tj)|)]]>为事务Ti相对于LPMCS(Ti)的实时影响因子，记为RTIF(Ti，LPMCS(Ti))；RTIF(Ti，LPMCS(Ti))反映了夭折Ti可能导致的对实时性能影响的严重程度。3.根据权利要求1所述的适合移动分布式实时数据库的安全实时并发控制协议——方法，其特征是2)中所述的相似性定义如下——定义10，对于数据库中数据对象D的两个取值V1(D)和V2(D)，若下面条件满足|g(V1(D))-g(V2(D))|≤σ则称数据对象D的两个取值V1(D)和V2(D)是数据相似的，记为V1(D)≈V2(D)；上面定义中，g表示从D的范围域到实数集的映射；σ为预先确定的阈值，其值依应用语义而定；——定义11，假定Ti，Tj∈ST，Opi∈Ti，Opj∈Tj并且Opi和Opj作用在同一数据对象D上，若下面条件满足V(Opi，D)≈...

【专利技术属性】
技术研发人员：肖迎元，张桦，
申请(专利权)人：天津理工大学，
类型：发明
国别省市：12[中国|天津]