In multilevel-secure relational data models, objects and subjects have their own access classifications and clearances from a security lattice, respectively. Accesses by subjects are restricted by Bell-LaPadula's two properties. These two properties, i.e. the simple property and the *-property, are considered to be sufficient to prevent subjects from directly passing information downward through a security lattice. Notwithstanding, it could still be possible for a higher-level subject to pass information downward via indirect means. To avoid the possibility of leaking higher-level information, called covert channel, multilevel-secure relational data models should have the ability to contain multiple tuples with the same primary key value, which is known as polyinstantiation. To provide polyinstantiation, belief-based (BB) model proposed the concept of entity identifier, and integrity-controlled (IC) model introduced ownership-based integrity properties. However, BB model produces the dangling references, since there is no mechanism to reflect the change of original copy to referenced copies. Also, IC model has the shortcoming of expressing user information, since polyinstantiation within a level is prohibited. To remedy these problems, this thesis presents a new multilevel-secure relational data model, called secure entity-based (SEB) model. Intuitive idea of SEB model is that BB model's dangling references could be fixed by integrity properties of IC model, and the concept of entity identifier in BB model could repair the operational incompleteness of IC model. Thus, SEB model is a hybrid approach of two models, and fixes each disadvantage by the other's advantage. Furthermore, we give five integrity properties for system side and four data manipulation operations for user side for our model. Finally, the comparisons between old models and our new model are given in this thesis.

다단계 보안 관계형 자료 모형에서는 모든 자료 객체들과 사용자들은 각자 자신의 보안등급을 가지게 된다. 또한, 사용자의 자료에 대한 접근은 Bell-LaPadula 모형에 의해 강제적으로 제어를 받는다. Bell-LaPadula 모형은 상위 등급의 자료가 직접적으로 하위 등급으로 유출되는 것은 방지할 수 있지만, 비밀 경로라고 부르는 간접적인 통로를 통한 금지된 정보의 흐름을 막지는 못한다. 이러한 비밀 경로을 막기 위해서 다단계 보안 관계형 자료 모형은 같은 주키값에 대해 복수의 튜플들을 가지고 있을 수 있어야 하며, 이들을 서로 구별할 수 있는 능력이 있어야 한다. 이러한 능력을 polyinstantiation이라고 부른다. Polyinstantiation을 제공하기 위해, belief-based(BB) 모형은 객체구분자(entity identifier)의 개념을 도입했으며, integrity-controlled(IC) 모형은 소유권에 의한 무결성 제약 조건들(ownership-based integrity properties)을 제시하였다. 하지만, BB 모형에서는 원본에 대한 변경이 참조본에게 적용되지 않기 때문에, 이미 원본이 없어졌는데도 참조본이 존재할 수 있다. 또한, IC 모형에서는 한 등급내에서는 polyinstantiation이 금지되어 있으므로 사용자의 정보를 표현하는데 한계가 있다. 이러한 문제점들을 해결하기 위해 이 논문에서는 secure entity-based(SEB) 모형을 제안하였다. BB 모형의 객체구분자로 해결할 수 있다는 상호보완적인 관계가 SEB 모형의 기본적인 출발점이 되었다. 그러므로, SEB 모형은 BB 모형과 IC 모형을 병합한 것이 되며, 한 모형의 단점을 다른 모형의 장점으로 보완한 모양을 가지게 되었다. 또한, 이 논문에서는 다섯개의 무결성 제약 조건과 네개의 연산이 SEB 모형에 맞게 정의되었고, 기존의 모형들과 새로 제안된 모형간의 비교가 이루어졌다.