1.對象代理特征數(shù)據(jù)庫的MAC防護(hù)增強(qiáng)系統(tǒng)，其特征在于，基于對象代理特征提出適用于對象代理數(shù)據(jù)庫的MAC模型，并在此模型的基礎(chǔ)上設(shè)計(jì)主體對數(shù)據(jù)庫對象的訪問控制規(guī)則和代理關(guān)系數(shù)據(jù)庫對象安全級別限制規(guī)則；同時(shí)，給數(shù)據(jù)庫對象提供融合統(tǒng)一的安全級別管理，提出基于多層代理關(guān)系的數(shù)據(jù)庫對象安全級別管理模型和一套安全級別管理方法；

本發(fā)明提出基于數(shù)據(jù)源的多數(shù)據(jù)源代理類虛屬性安全級別細(xì)分方法，使繼承自不同數(shù)據(jù)源的屬性內(nèi)容擁有各自的安全級別，并在此基礎(chǔ)上提出多數(shù)據(jù)源代理類的細(xì)粒度訪問控制方法，利用虛屬性的多安全級別對繼承自不同數(shù)據(jù)源的屬性內(nèi)容進(jìn)行彼此獨(dú)立的訪問權(quán)限檢驗(yàn)，提高對象代理中多數(shù)據(jù)源代理類MAC的靈活性；

本發(fā)明設(shè)計(jì)實(shí)現(xiàn)在對象代理數(shù)據(jù)庫中提供MAC功能的防護(hù)增強(qiáng)系統(tǒng)，防護(hù)增強(qiáng)系統(tǒng)為對象代理中的數(shù)據(jù)庫對象提供融合統(tǒng)一的安全級別管理，并為各類數(shù)據(jù)庫對象提供嚴(yán)格的MAC；提出的基于對象代理特征的MAC方法在對象代理中得到了很好的應(yīng)用，實(shí)現(xiàn)的防護(hù)增強(qiáng)系統(tǒng)為對象代理中的數(shù)據(jù)庫對象提供正確的MAC，提高對象代理數(shù)據(jù)庫的安全性能；

對象代理數(shù)據(jù)庫中提供MAC功能的防護(hù)增強(qiáng)系統(tǒng)在支持對象代理特征的同時(shí)為對象代理中的數(shù)據(jù)庫對象提供原有自主訪問控制之外的MAC，防護(hù)增強(qiáng)系統(tǒng)架構(gòu)中Linux內(nèi)核中的SELinux模塊作為給對象代理數(shù)據(jù)庫中部分對象分配默認(rèn)安全上下文和提供基于安全策略的訪問控制決策的安全服務(wù)器，防護(hù)增強(qiáng)系統(tǒng)看作SELinux安全服務(wù)器的一個(gè)客戶端，采用SELinux作為對象代理數(shù)據(jù)庫防護(hù)增強(qiáng)系統(tǒng)的安全服務(wù)器基于SELinux的MLS模型是基于Bell-La-Padulla模型的MAC方法的實(shí)現(xiàn)，并且該模型中還提供支持?jǐn)?shù)據(jù)庫對象的安全上下文分配和一套用于生成訪問控制決策的mls安全策略；對象代理數(shù)據(jù)庫中大部分對象在創(chuàng)建時(shí)通過對象代理數(shù)據(jù)庫防護(hù)增強(qiáng)系統(tǒng)和SELinux安全服務(wù)器的交互被分配代表其安全級別的初始安全上下文，數(shù)據(jù)庫對象的安全上下文存儲(chǔ)在對象代理的系統(tǒng)表中，由對象代理數(shù)據(jù)庫防護(hù)增強(qiáng)系統(tǒng)進(jìn)行全面維護(hù)，當(dāng)用戶創(chuàng)建某些特殊的數(shù)據(jù)庫對象或修改代理關(guān)系數(shù)據(jù)庫對象的安全上下文時(shí)，對象代理數(shù)據(jù)庫防護(hù)增強(qiáng)系統(tǒng)根據(jù)基于對象代理特征的安全級別管理規(guī)則對這些對象安全上下文的生成和修改進(jìn)行融合統(tǒng)一的管理；

當(dāng)對象代理數(shù)據(jù)庫系統(tǒng)對用戶輸入的SQL語句進(jìn)行分析執(zhí)行時(shí)，調(diào)用對象代理數(shù)據(jù)庫防護(hù)增強(qiáng)系統(tǒng)的邏輯模塊進(jìn)行訪問權(quán)限檢驗(yàn)，對象代理數(shù)據(jù)庫防護(hù)增強(qiáng)系統(tǒng)的邏輯模塊在對用戶請求訪問的數(shù)據(jù)庫對象信息進(jìn)行處理后，獲取數(shù)據(jù)庫對象和用戶的安全上下文，將其作為參數(shù)發(fā)送給SELinux安全服務(wù)器，SELinux安全服務(wù)器根據(jù)數(shù)據(jù)庫對象類型、數(shù)據(jù)庫對象和用戶的安全上下文查找安全策略做出訪問控制決策并返回給對象代理數(shù)據(jù)庫防護(hù)增強(qiáng)系統(tǒng)，對象代理數(shù)據(jù)庫防護(hù)增強(qiáng)系統(tǒng)根據(jù)SELinux安全服務(wù)器提供的訪問控制決策判斷用戶在數(shù)據(jù)庫對象上的操作是否滿足安全策略，若對象操作請求不符合SELinux中的安全策略，對象代理數(shù)據(jù)庫防護(hù)增強(qiáng)系統(tǒng)阻止數(shù)據(jù)庫用戶對數(shù)據(jù)庫對象進(jìn)行相關(guān)操作；

在對象代理數(shù)據(jù)庫防護(hù)增強(qiáng)系統(tǒng)執(zhí)行訪問權(quán)限檢驗(yàn)的過程中，盡可能少的和SELinux安全服務(wù)器進(jìn)行交互；將用戶最近訪問數(shù)據(jù)庫獲得的訪問控制決策中的用戶訪問向量存儲(chǔ)在用戶訪問權(quán)限向量緩存uAVC中，只有當(dāng)對象代理數(shù)據(jù)庫防護(hù)增強(qiáng)系統(tǒng)邏輯模塊在uAVC中查找不到相同訪問請求的訪問權(quán)限向量時(shí)，才和SELinux安全服務(wù)器進(jìn)行交互獲得訪問控制決策。