1 第三講安全策略與安全模型 一數(shù)學(xué)基礎(chǔ)1 集合元素子集a AH S2 集合的冪集2A P A H A 3 笛卡爾積A B a b a A b B 4 集合A上的關(guān)系的性質(zhì)設(shè) 是A上的關(guān)系 a A均a a 自反設(shè) 是A上的關(guān)系 a b A若a b 則a b與b a不能同時(shí)出現(xiàn) 反對(duì)稱設(shè) 是A上的關(guān)系 a b c A若a b b c則一定有a c 可傳遞的 2 偏序關(guān)系 集合A上的關(guān)系 如果它是自反 反對(duì)稱且可傳遞的 則稱 為A上的一個(gè)偏序關(guān)系 偏序關(guān)系 也叫做 偏序 用 符號(hào)表示 可比 設(shè) 是集合A上的偏序 對(duì)于a b A 若有a b或b a 則稱a和b是可比的 否則稱a和b是不可比的 5 集合上的偏序關(guān)系 3 全序 一個(gè)集合A上的任意兩個(gè)元素之間都滿足偏序關(guān)系 則稱該偏序?yàn)锳上的一個(gè)全序 良序 一個(gè)集合A上的偏序 若對(duì)于A的每一個(gè)非空子集S A 在S中存在一個(gè)元素as 稱為S的最小元素 使得對(duì)于所有的s S 有as s 則稱它為A上的一個(gè)良序 5 集合上的偏序關(guān)系 4 7 一個(gè)有用的結(jié)論命題 若和是兩個(gè)偏序集 在笛卡爾積A B上定義關(guān)系 對(duì)任意 a1 b1 a2 b2 A B當(dāng)且僅當(dāng)a1 1a2 b1 2b2時(shí) 有 a1 b1 a2 b2 可以證明 也是一個(gè)偏序集 5 因?yàn)?為偏序關(guān)系 所以 a1 A有a1 1a1 b1 B有b1 1b1所以 a1 b1 a1 b1 自反由 a1 b1 a2 b2 a2 b2 a1 b1 可得a1 1a2 a2 1a1可得a1 a2 同理有b1 b2 此即 a2 b2 a1 b1 反對(duì)稱又由 a1 b1 a2 b2 a2 b2 a3 b3 此即a1 1a2 a2 1a3可得a1 1a3同理 b1 2b2 b2 2b3可得b1 2b3最后有 a1 b1 a3 b3 傳遞性 6 亦即 i a b A B 均有 a b a b ii a1 b1 a2 b2 A B 若 a1 b1 a2 b2 則 a1 b1 a2 b2 與 a2 b2 a1 b1 不能同時(shí)出現(xiàn) iii a1 b1 a2 b2 a3 b3 A B 若 a1 b1 a2 b2 a2 b2 a3 b3 則一定有 a1 b1 a3 b3 設(shè) 是A上的關(guān)系 a A均a a 自反設(shè) 是A上的關(guān)系 a b A若a b 則a b與b a不能同時(shí)出現(xiàn) 反對(duì)稱設(shè) 是A上的關(guān)系 a b c A若a b b c則一定有a c 可傳遞的 7 二安全策略 1 安全策略的概念計(jì)算機(jī)系統(tǒng)的安全策略是為了描述系統(tǒng)的安全需求而制定的對(duì)用戶行為進(jìn)行約束的一整套嚴(yán)謹(jǐn)?shù)囊?guī)則 這些規(guī)則規(guī)定系統(tǒng)中所有授權(quán)的訪問 是實(shí)施訪問控制的依據(jù) 8 2 安全策略舉例 軍事安全策略中的強(qiáng)制訪問控制策略 系統(tǒng)中每個(gè)主體和客體都分配一個(gè)安全標(biāo)準(zhǔn) 安全級(jí) 客體的安全級(jí)表示客體所包含的信息的敏感程度主體的安全級(jí)表示主體在系統(tǒng)中受信任的程度 9 安全標(biāo)準(zhǔn)由兩部分組成 密級(jí) 部門 或類別 集 eg 密級(jí)分為4個(gè)級(jí)別 一般 秘密 機(jī)密 絕密 U C S TS 令A(yù) U C S TS 則是A上的全序 構(gòu)成偏序集例 令B 科技處 干部處 生產(chǎn)處 情報(bào)處 PB 2B H H B 顯然構(gòu)成一個(gè)偏序集class O1 C 科技處 class u S 科技處 干部處 class O2 TS 科技處 情報(bào)處 干部處 class O3 C 情報(bào)處 10 在實(shí)施多級(jí)安全策略的系統(tǒng)中 系統(tǒng)為每一個(gè)主體和每一個(gè)客體分配一個(gè)安全級(jí) 密級(jí) 部門 或類別 集 或 密級(jí) 部門或類別 若某主體具有訪問密級(jí)a的能力 則對(duì)任意b a 該主體也具有訪問b的能力若某主體具有訪問密級(jí)a的能力 則對(duì)任意b a 該主體不具有訪問b的能力 11 密級(jí) 部門或類別或范疇 理解 對(duì)于客體來說 部門或類別或范疇 可定義為該客體所包含的信息所涉及的范圍部門或所具有的類別屬性對(duì)于主體來說 部門或類別或范疇 可定義為該主體能訪問的信息所涉及的范圍或部門例 2011年財(cái)務(wù)報(bào)表 S 財(cái)務(wù)處 總裁辦公室 黨辦 財(cái)經(jīng)小組 12 例 2011年財(cái)務(wù)報(bào)表 S 財(cái)務(wù)處 總裁辦公室 黨辦 財(cái)經(jīng)小組 肯定不會(huì)寫成 S 財(cái)務(wù)處 三車間 大門 例 車間主任 C 三車間 倉(cāng)庫(kù) 肯定不會(huì)寫成 S 財(cái)務(wù)處 黨辦 財(cái)經(jīng)小組 13 主體 客體安全級(jí)定義以后 就可以通過比較主客體安全級(jí) 來決定主體對(duì)客體的訪問以及什么樣的訪問 前面講過 在實(shí)施多級(jí)安全策略的系統(tǒng)中 系統(tǒng)為每一個(gè)主體和每一個(gè)客體分配一個(gè)安全級(jí) 若某主體具有訪問密級(jí)a的能力 則對(duì)任意b a 該主體也具有訪問b的能力 若某主體具有訪問密級(jí)a的能力 則對(duì)任意b a 該主體不具有訪問b的能力 那么 b a或b a如何進(jìn)行比較呢 14 定義A U C S TS B 部門或類別或范疇 例 B 科技處 干部處 生產(chǎn)處 情報(bào)處 PB 2B H H B 在A PB上定義一個(gè)二元關(guān)系 A PB a H a A且H PB a1 H1 a2 H2 A PB 當(dāng)且僅當(dāng)a1 a2 H1 H2時(shí) 有 a1 H1 a2 H2 可以證明 是A PB上的一個(gè)偏序關(guān)系即構(gòu)成一個(gè)偏序集 15 可利用命題 若和是兩個(gè)偏序集 在笛卡爾積A B上定義關(guān)系 對(duì)任意 a1 b1 a2 b2 A B當(dāng)且僅當(dāng)a1 1a2 b1 2b2時(shí) 有 a1 b1 a2 b2 可以證明 也是一個(gè)偏序集 證明 是A PB上的一個(gè)偏序關(guān)系即構(gòu)成一個(gè)偏序集 16 在A U C S TS 上定義 由于U C S TS 所以 是一個(gè)全序 顯然構(gòu)成一個(gè)偏序集在PB上定義 容易看出 它也是一個(gè)偏序B 科技處 干部處 生產(chǎn)處 情報(bào)處 再在A PB上定義一個(gè)二元關(guān)系 A PB a H a A且H PB a1 H1 a2 H2 A PB 當(dāng)且僅當(dāng)a1 a2 H1 H2時(shí) 有 a1 H1 a2 H2 根據(jù)上述命題 構(gòu)成一個(gè)偏序集 17 例 class O1 C 科技處 class u S 科技處 干部處 class O2 TS 科技處 情報(bào)處 干部處 class O3 C 情報(bào)處 O1uO2O3其安全級(jí)如何 可以看出 class O1 C 科技處 S 科技處 干部處 class u class u S 科技處 干部處 class O2 TS 科技處 情報(bào)處 干部處 class u 與class O3 不可比 18 在一偏序集中 l1 12 L 若l1 12 則稱12支配l1 class O1 class u 主體u的安全級(jí)支配客體O1的安全級(jí)class u class O2 客體O2的安全級(jí)支配主體u的安全級(jí)class u 與class O3 不可比 主體u與客體O3的安全級(jí)相互不可支配 19 訪問控制策略一個(gè)主體僅能讀安全級(jí)比自已安全級(jí)低或相等的客體一個(gè)主體僅能寫安全級(jí)比自己高或相等的客體即 向下讀向上寫 安全級(jí)如何比較高低 a1 H1 a2 H2 當(dāng)且僅當(dāng)a1 a2 H1 H2所以u(píng)對(duì)O1可讀 對(duì)O2可寫 對(duì)O3既不可讀也不可寫 20 向下讀向上寫 安全策略執(zhí)行的結(jié)果是信息只能由低安全級(jí)的客體流向高安全級(jí)的客體 高安全級(jí)的客體的信息不允許流向低安全級(jí)的客體 若要使一個(gè)主體既能讀訪問客體 又能寫訪問這個(gè)客體 兩者的安全級(jí)必須相同 21 多級(jí)安全策略適合 保護(hù)信息的機(jī)密性 軍事系統(tǒng)政府及企業(yè)的辦公自動(dòng)化系統(tǒng)具有層次結(jié)構(gòu)的組織機(jī)構(gòu) 22 2商業(yè)安全策略 良性事務(wù)用戶對(duì)數(shù)據(jù)的操縱不能任意進(jìn)行 而應(yīng)該按照可保證數(shù)據(jù)完整性的受控方式進(jìn)行 即數(shù)據(jù)應(yīng)該用規(guī)定的程序 按照定義好的約束進(jìn)行處理 例 保存記錄 包括修改數(shù)據(jù)之前修改數(shù)據(jù)之后的記錄 事后被審計(jì)雙入口規(guī)則 數(shù)據(jù)修改部分之間保持平衡內(nèi)部數(shù)據(jù)的一致性特別地 簽發(fā)一張支票與銀行帳號(hào)戶頭上的金額變動(dòng)必須平衡 可由一個(gè)獨(dú)立測(cè)試帳簿是否平衡的程序來檢查 23 職責(zé)分散把一個(gè)操作分成幾個(gè)子操作 不同的子操作由不同的用戶執(zhí)行 使得任何一個(gè)職員都不具有完成該任務(wù)的所有權(quán)限 盡量減少出現(xiàn)欺詐和錯(cuò)誤的機(jī)會(huì) eg 購(gòu)買訂單 記錄到貨 記錄貨發(fā)票 付款美入境簽證 24 職責(zé)分散的最基本規(guī)則是 被允許創(chuàng)建或驗(yàn)證良性事務(wù)的人 不能允許他去執(zhí)行該良性事務(wù) 至少需要兩個(gè)人的參與才能進(jìn)行 職員不暗中勾結(jié) 職責(zé)分散有效 隨機(jī)選取一組職員來執(zhí)行一組操作 減少合謀機(jī)會(huì) 25 良性事務(wù)與職責(zé)分散是商業(yè)數(shù)據(jù)完整性保護(hù)的基本原則專門機(jī)制被商業(yè)數(shù)據(jù)處理計(jì)算機(jī)系統(tǒng)用來實(shí)施良性事務(wù)與職責(zé)分散規(guī)則 a 保證數(shù)據(jù)被良性事務(wù)處理數(shù)據(jù)只能由一組指定的程序來操縱程序被證明構(gòu)造正確 能對(duì)這些程序的安裝能力 修改能力進(jìn)行控制 保證其合法性 b 保證職責(zé)分散每一個(gè)用戶必須僅被允許使用指定的程序組 用戶執(zhí)行程序的權(quán)限受控 26 商業(yè)數(shù)據(jù)完整性控制與軍事中的數(shù)據(jù)機(jī)密性差別 a 數(shù)據(jù)客體不與特定的安全級(jí)別相關(guān)只與一組允許操縱它的程序相聯(lián)系 b 用戶直接讀寫數(shù)據(jù)被禁止被授權(quán)去執(zhí)行與某一數(shù)據(jù)相關(guān)的程序 一個(gè)用戶即便被授權(quán)去寫一個(gè)數(shù)據(jù)客體 他也只能通過針對(duì)那個(gè)數(shù)據(jù)客體定義的一些事務(wù)去做 27 商業(yè)安全策略也是一種強(qiáng)制訪問控制但它與軍事安全策略的安全目標(biāo) 控制機(jī)制不相同商業(yè)安全策略強(qiáng)制性體現(xiàn)在 a 用戶必須通過指定的程序來訪問數(shù)據(jù) b 允許操縱某一數(shù)據(jù)客體的程序列表和允許執(zhí)行某一程序的用戶列表不能被系統(tǒng)的一般用戶所更改 軍事與商業(yè)安全相同點(diǎn) 1 一種機(jī)制被計(jì)算機(jī)系統(tǒng)用來保證系統(tǒng)實(shí)施了安全策略中的安全需求 2 系統(tǒng)中的這種機(jī)制必須防止竄改和非授權(quán)的修改 28 3 軍事安全策略與商業(yè)安全策略的比較 軍事安全策略 數(shù)據(jù)的機(jī)密性商業(yè)安全策略 數(shù)據(jù)的完整性 軍事安全策略 將數(shù)據(jù)與一個(gè)安全級(jí)相聯(lián)系 通過數(shù)據(jù)的安全級(jí)來控制用戶對(duì)數(shù)據(jù)的訪問商業(yè)安全策略 將數(shù)據(jù)與一組允許對(duì)其進(jìn)行操作的程序相聯(lián)系 通過這組程序來控制用戶對(duì)數(shù)據(jù)的訪問 軍事安全策略 用戶對(duì)數(shù)據(jù)的操縱是任意的商業(yè)安全策略 用戶對(duì)數(shù)據(jù)的操縱是受限的 29 三安全模型 安全模型是對(duì)安全策略所表達(dá)的安全需求簡(jiǎn)單 抽象和無歧義的描述分為 1 非形式化的安全模型2 形式化的安全模型 30 2 形式化的安全模型 安全系統(tǒng)的開發(fā)過程 安全需求分析 制定安全策略 建立形式化的安全模型 安全性證明 安全功能 31 四Bell LaPadula模型 簡(jiǎn)稱BLP模型應(yīng)用最早也最廣泛的一個(gè)安全模型DavidBell和LeonardLaPadula模型目標(biāo) 計(jì)算機(jī)多級(jí)操作規(guī)則安全策略 多級(jí)安全策略常把多級(jí)安全的概念與BLP相聯(lián)系其它模型都嘗試用不同的方法來表達(dá)多級(jí)安全策略 32 四Bell LaPadula模型 BLP模型是一個(gè)形式化模型使用數(shù)學(xué)語言對(duì)系統(tǒng)的安全性質(zhì)進(jìn)行描述BLP模型也是一個(gè)狀態(tài)機(jī)模型它反映了多級(jí)安全策略的安全特性和狀態(tài)轉(zhuǎn)換規(guī)則BLP模型定義了系統(tǒng) 系統(tǒng)狀態(tài) 狀態(tài)間的轉(zhuǎn)換規(guī)則安全概念 制定了一組安全特性對(duì)系統(tǒng)狀態(tài) 狀態(tài)轉(zhuǎn)換規(guī)則進(jìn)行約束如果它的初始狀態(tài)是安全的 經(jīng)過一系列規(guī)則都是保持安全的 那么可以證明該系統(tǒng)是安全的 33 狀態(tài)機(jī)模型例 34 四Bell LaPadula模型 一 模型的基本元素S s1 s2 sn 主體集O o1 o2 om 客體集C c1 c2 cq 密級(jí)的集合c1 c2 cqK k1 k2 kr 部門或類別的集合A r w e a c 訪問屬性集r 只讀 w 讀寫 e 執(zhí)行 a 添加 c 控制RA g r c d 請(qǐng)求元素集g get give r release rescindc change create d deleteD yes no error yes 請(qǐng)求被執(zhí)行 no 請(qǐng)求被拒絕error 系統(tǒng)出錯(cuò) 請(qǐng)求出錯(cuò) 35 M1 M2 Mp 訪問矩陣集BA f f A B F Cs Co Pk s Pk oCs f1 f1 S C f1給出每個(gè)主體的密級(jí)Co f2 f2 O C f2給出每個(gè)客體的密級(jí) Pk s f3 f3 S Pk f3給出每個(gè)主體的部門集 Pk o f4 f4 O Pk f4給出每個(gè)客體的部門集f Ff f1 f2 f3 f4 f1 si f3 si 主體si的安全級(jí) f2 oj f4 oj 客體oj的安全級(jí) 36 二 系統(tǒng)狀態(tài) V P S O A F狀態(tài)集對(duì)v Vv b M f 表示某一狀態(tài)b S O A表示在當(dāng)前時(shí)刻 哪些主體獲得了對(duì)哪些客體的權(quán)限b s1 o1 r s1 o2 w s2 o2 a M 當(dāng)前狀態(tài)訪問控制矩陣f 當(dāng)前時(shí)刻所有主體和客體的密級(jí)和部門集 37 系統(tǒng)在任何一個(gè)時(shí)刻都處于某一種狀態(tài)v 即對(duì)任何時(shí)刻t 必有狀態(tài)vt與之對(duì)應(yīng)隨著用戶對(duì)系統(tǒng)的操作 系統(tǒng)的狀態(tài)不斷地發(fā)生變化關(guān)心的問題系統(tǒng)在各個(gè)時(shí)刻的狀態(tài) 與狀態(tài)相對(duì)應(yīng)的訪問集b是否能保證系統(tǒng)的安全性顯然只有每一個(gè)時(shí)刻狀態(tài)是安全的 系統(tǒng)才可能安全 BLP模型對(duì)狀態(tài)的安全性進(jìn)行了定義 38 三 安全特性 BLP模型的安全特性定義了系統(tǒng)狀態(tài)的安全性 體現(xiàn)了BLP模型的安全策略 1 自主安全性狀態(tài)v b M f 滿足自主安全性iff對(duì)所有的 si oj x b 有x Mij此條性質(zhì)是說 若 si oj x b 即如果在狀態(tài)v 主體si獲得了對(duì)客體oj的x訪問權(quán) 那么si必定得到了相應(yīng)的自主授權(quán) 39 三 安全特性 如果存在 si oj x b 但主體si并未獲得對(duì)客體oj的x訪問權(quán)的授權(quán) 則v被認(rèn)為不符合自主安全性 2 簡(jiǎn)單安全性狀態(tài)v b M f 滿足簡(jiǎn)單安全性iff對(duì)所有的 s o x b 有 i x e或x a或x c或 ii x r或x w 且 f1 s f2 o f3 s f4 o 在BLP模型中 w權(quán)表示可讀 可寫 即主體對(duì)客體的修改權(quán) 40 3 性質(zhì)狀態(tài)v b M f 滿足 性質(zhì) 當(dāng)且僅當(dāng)對(duì)所有的s S 若o1 b s w a o2 b s r w 則f2 o1 f2 o2 f4 o1 f4 o2 其中符號(hào)b s x1 x2 表示b中主體s對(duì)其具有訪問特權(quán)x1或x2的所有客體的集合 理解如下4個(gè)圖所示 41 流向 42 例 b s1 o1 r s2 o2 a s1 o2 w s2 o2 r s1 o3 a 考慮b s x1 x2 b s1 r w b s1 w a b s3 r w b s1 r w o1 o2 b s1 w a o2 o3 b s3 r w 43 性質(zhì)重要安全特性o1 b s w a 意味著s對(duì)o1有w權(quán)或a權(quán) 此時(shí)信息經(jīng)由s流向o1o2 b s r w 意味著s對(duì)o1有r權(quán)或w權(quán) 此時(shí)信息可由o2流向s因此 在訪問集b中以s為媒介 信息就有可能由o2流向o1 所以要求o1的安全級(jí)必須支配o2安全級(jí)當(dāng)s對(duì)o1 o2均具有w權(quán)時(shí) 兩次運(yùn)用該特性 f2 o1 f2 o2 f4 o1 f4 o2 及 f2 o2 f2 o1 f4 o2 f4 o1 則要求o1的安全級(jí)必須等于o2安全級(jí)顯然它放反映了BLP模型中信息只能由低安全級(jí)向高安全級(jí)流動(dòng)的安全策略 44 四 請(qǐng)求集R S RA S O X請(qǐng)求集 它的元素是一個(gè)完整的請(qǐng)求 不是請(qǐng)求元素集其中S S X A FS s1 s2 sn 主體集RA g r c d A r w e a c F Cs Co Pk s Pk o 45 R S RA S O X 1 2 Oj x 1 2 Oj x 是一個(gè)五元組 表示 1 2 Oj x R S RA S O X 1 2 S 分別是主體1 主體2 RA表示某一請(qǐng)求元素oj O表示某一客體x X是訪問權(quán)限or是空or是主客體的安全級(jí) 46 五 狀態(tài)轉(zhuǎn)換規(guī)則P R V D V其中R是請(qǐng)求集 S RA S O X D是判斷集 V是狀態(tài)集D yes no error V P S O A F狀態(tài)集對(duì)v Vv b M f 表示某一狀態(tài)b S O A表示在當(dāng)前時(shí)刻 哪些主體獲得了對(duì)哪些客體的權(quán)限b s1 o1 r s1 o2 w s2 o2 a M 當(dāng)前狀態(tài)訪問控制矩陣f 當(dāng)前時(shí)刻所有主體和客體的密級(jí)和部門集 47 P R V D V對(duì)請(qǐng)求 Rk vn R V 在函數(shù) 的作用下 Rk v Dm v 系統(tǒng)對(duì)請(qǐng)求Rk的反應(yīng)是Dm 狀態(tài)由v轉(zhuǎn)換成v 48 十條規(guī)則 規(guī)則1 規(guī)則4用于主體請(qǐng)求對(duì)某客體的訪問權(quán)形式 g Si Oj r 規(guī)則5用于主體釋放它對(duì)某客體的訪問權(quán)規(guī)則6 7分別用于主體授予和撤消另一主體對(duì)客體的訪問權(quán)規(guī)則8用于改變靜止客體的密級(jí)和部門集規(guī)則9 10分別用于創(chuàng)建和刪除一個(gè)客體 49 規(guī)則1 主體si請(qǐng)求得到對(duì)客體oj的r訪問權(quán)get read 1 Rk v if 1 or gorx ror 2 then 1 Rk v v ifr Mijor f1 si f2 o orf4 oj f4 o then 1 Rk v yes v b si oj r M f else 1 Rk v no v end g Si Oj r 1 2 Oj x 50 規(guī)則1對(duì)主體si的請(qǐng)求作了如下檢查 1 主體的請(qǐng)求是否適用于規(guī)則1的請(qǐng)求格式 主體請(qǐng)求對(duì)某客體的訪問權(quán)形式 g Si Oj r 1 2 Oj x if 1 or gorx ror 2 then 1 Rk v v 51 2 oj的擁有者或控制者是否授予了si對(duì)oj的讀訪問權(quán)r Mij之檢查 3 si的安全級(jí)是否支配oj的安全級(jí)f1 si f2 oj orf3 si f4 oj 52 4 在訪問集b中 若si對(duì)另一客體o有w a訪問權(quán) 是否一定有o的安全級(jí)支配oj的安全級(jí) o o b si w a and f2 oj f2 o orf4 oj f4 o NOT f2 oj f2 o orf4 oj f4 o f2 oj f2 o andf4 oj f4 o 53 流向 54 若上述4項(xiàng)檢查有一項(xiàng)通不過 則系統(tǒng)拒絕執(zhí)行si的請(qǐng)求 系統(tǒng)狀態(tài)保持不變通過檢查 則請(qǐng)求被執(zhí)行 si oj r 添加到系統(tǒng)的訪問集b中 系統(tǒng)狀態(tài)v轉(zhuǎn)換成v b si oj r M f 看得出來 檢查 2 是系統(tǒng)在實(shí)施自主訪問控制 檢查 3 4 是系統(tǒng)在實(shí)施強(qiáng)制訪問控制只有檢查 2 4 通過了 才能保證狀態(tài)轉(zhuǎn)換時(shí) 仍然保持其安全性 55 規(guī)則2 主體si請(qǐng)求得到對(duì)客體oj的a訪問權(quán)get append 2 Rk v if 1 or gorx aor 2 then 2 Rk v v ifa Mijthen 2 Rk v no v ifU 2 o o b si r w and f2 oj f2 o orf4 oj f4 o then 2 Rk v yes b si oj a M f else 2 Rk v no v end 56 規(guī)則2對(duì)主體si的請(qǐng)求所作的檢查類似規(guī)則1不同的是 當(dāng)si請(qǐng)求以Append方式訪問oj時(shí) 無需做簡(jiǎn)單安全性檢查 狀態(tài)v b M f 滿足簡(jiǎn)單安全性iff對(duì)所有的 s o x b 有 i x e或x a或x c或 ii x r或x w 且 f1 s f2 o f3 s f4 o 57 規(guī)則3 主體si請(qǐng)求得到對(duì)客體oj的e訪問權(quán)get execute 3 Rk v if 1 or gorx eor 2 then 3 Rk v v ife Mijthen 3 Rk v no v else 3 Rk v yes b si oj e M f end 58 規(guī)則3對(duì)si的請(qǐng)求只作類似與規(guī)則1中的 1 2 兩項(xiàng)檢查 1 主體請(qǐng)求對(duì)某客體的訪問權(quán)形式 g Si Oj e 2 oj的擁有者或控制者是否授予了si對(duì)oj的讀訪問權(quán)r Mij之檢查Si對(duì)請(qǐng)求對(duì)Oj的執(zhí)行權(quán)時(shí)不需作簡(jiǎn)單安全性和 性質(zhì)的安全檢查 59 規(guī)則4 主體si請(qǐng)求得到對(duì)客體oj的w訪問權(quán)get write 4 Rk v if 1 or gorx wor 2 then 4 Rk v v ifw Mijor f1 si f2 o orf4 oj f4 o o o b si w and f2 oj f2 o orf4 oj f4 o then 4 Rk v yes v yes b si oj w M f else 4 Rk v no v end 60 規(guī)則4的安全性檢查類似于規(guī)則1 1 請(qǐng)求對(duì)某客體的訪問權(quán)形式 g Si Oj w 2 oj的擁有者或控制者是否授予了si對(duì)oj的讀訪問權(quán)r Mij之檢查 3 si的安全級(jí)是否支配oj的安全級(jí)f1 si f2 o orf4 oj f4 o 61 62 規(guī)則4的 性質(zhì)檢查較為復(fù)雜 U 4 o o b si r and f2 oj f2 o orf4 oj f4 o o o b si w and f2 oj f2 o orf4 oj f4 o 63 規(guī)則5 主體si請(qǐng)求釋放對(duì)客體oj的r或w或e或a訪問權(quán)release read write append execute 5 Rk v if 1 or ror x r w aande or 2 then 5 Rk v v else 5 Rk v yes v yes b si oj x M f end 64 規(guī)則5用于主體si請(qǐng)求釋放對(duì)客體oj的訪問權(quán) 包括r w e和a等權(quán)因?yàn)樵L問權(quán)的釋放不會(huì)對(duì)系統(tǒng)造成安全威脅 所以不需要作安全性檢查 并可將四種情形Rk r si oj r 或 r si oj w 或 r si oj a 或 r si oj e 用同一條規(guī)則來處理 65 規(guī)則6 主體s 請(qǐng)求授予主體si對(duì)客體oj的r或w或e或a訪問權(quán)請(qǐng)求的五元組Rk s g si oj r 或 s g si oj w 或 s g si oj a 或 s g si oj e 系統(tǒng)的當(dāng)前狀態(tài)v b M f give read write append execute 6 Rk v if 1 s S or g or x r w aande or 2 then 6 Rk v v ifx M jorc M jM j x c then 6 Rk v no v else 6 Rk v yes b M x ij f end 66 規(guī)則6中M x ij表示將x加入到訪問矩陣M的第i行第j列元素Mij中去 即用集合Mij x 替換M中Mij由于s 的請(qǐng)求只涉及自主訪問控制中的授權(quán) 因此規(guī)則6除了作請(qǐng)求是否適用于規(guī)則6的檢查外 僅作自主安全性有關(guān)的檢查 即s 自身必須同時(shí)具有對(duì)客體oj的x權(quán)和控制c權(quán) 方能對(duì)si進(jìn)行相應(yīng)的授權(quán) 67 規(guī)則6授權(quán)成功后 并不意味著si已獲得對(duì)oj的x訪問權(quán)之后si請(qǐng)求對(duì)oj的x訪問時(shí) 系統(tǒng)還要對(duì)其進(jìn)行簡(jiǎn)單安全性和 性質(zhì)的檢查 68 規(guī)則7 主體s 請(qǐng)求撤銷主體si對(duì)客體oj的r或w或e或a訪問權(quán)rescind read write append execute 7 Rk v if 1 s S or r or x r w aande or 2 then 7 Rk v v ifx M jorc M jthen 7 Rk v no v else 7 Rk v yes b si oj x M x ij f end 69 系統(tǒng)執(zhí)行規(guī)則7時(shí) 不僅從訪問矩陣M的i行j列的元素Mij中將x刪除掉 而且訪問集b中也必須刪去三元組 si oj x 這意味著主體si將喪失對(duì)oj的x訪問權(quán) 70 規(guī)則8 改變靜止客體的安全級(jí)Rk c oj f change f 8 Rk v if 1 or c or 2 orx Fthen 8 Rk v v iff1 f1orf3 f3or f2 oj f2 oj orf4 oj f4 oj forsomej A m 注 A m 表示活動(dòng)客體的下標(biāo)集A m j 1 j m且存在i 使Mij then 8 Rk v no v else 8 Rk v yes b M f end 71 iff1 f1orf3 f3or f2 oj f2 oj orf4 oj f4 oj forsomej A m A m j 1 j m且存在i 使Mij 注意 NOT f1 f1orf3 f3or f2 oj f2 oj orf4 oj f4 oj f1 f1andf3 f3 AND f2 oj f2 oj andf4 oj f4 oj 72 A m j 1 j m且存在i 使Mij M32 r w a 73 A m j 1 j m且存在i 使Mij A 4 1 4 存在1 3 使M11 M34 74 所謂靜止客體是指被刪除了的客體 該客體名可以被系統(tǒng)中的主體重新使用例如某存儲(chǔ)器段或某個(gè)文件名 當(dāng)該客體被重新使用來存放數(shù)據(jù)時(shí) 客體的安全級(jí)不能被定義為創(chuàng)建這一客體的主體的安全級(jí) 顯然主體可以創(chuàng)建客體 但該客體的安全級(jí)必須由系統(tǒng)來定義 因此規(guī)則8中沒有主體 75 A m 是活動(dòng)客體的下標(biāo)集 即A m j 1 j m且存在i 使Mij非空 規(guī)則8的安全性要求是 新定義的安全級(jí)f f1 f2 f3 f4 不能改變系統(tǒng)中主體的安全級(jí) 也不能改變活動(dòng)客體的安全級(jí) 只能改變靜止客體的安全級(jí) 在這種情形下 新狀態(tài)v 用f 代替原狀態(tài)v中的f 76 規(guī)則9 主體si請(qǐng)求創(chuàng)建客體ojRk c si oj e 或Rk c si oj create object 9 Rk v if 1 or cor 2 or x eand then 9 Rk v v ifj A m then 9 Rk v no v ifx then 9 Rk v yes b M r w a c ij f else 9 Rk v yes b M r w a c e ij f end 77 規(guī)則9要求主體si所創(chuàng)建的客體不能是活動(dòng)著的客體當(dāng)客體創(chuàng)建成功后 系統(tǒng)便將對(duì)oj的所有訪問權(quán)賦予si 需要區(qū)分的是 當(dāng)oj不是可執(zhí)行程序時(shí) e權(quán)不賦予si 78 規(guī)則10 主體si請(qǐng)求刪除客體ojRk d si oj delete object 10 Rk v if 1 or dor 2 orx then 10 Rk v v ifc Mijthen 10 Rk v no v else 10 Rk v yes b M r w a c e ij 1 i n f end 79 si必須對(duì)oj具有控制權(quán)才能刪除oj 在這里 擁有權(quán)和控制權(quán)是一致的 oj被刪除后 oj成為靜止客體 此時(shí) 訪問矩陣的第j列 即oj所對(duì)應(yīng)的列中各元素必須全部清空 不包含任何權(quán)限 80 規(guī)則1 主體si請(qǐng)求得到對(duì)客體oj的r訪問權(quán)規(guī)則2 主體si請(qǐng)求得到對(duì)客體oj的a訪問權(quán)規(guī)則3 主體si請(qǐng)求得到對(duì)客體oj的e訪問權(quán)規(guī)則4 主體si請(qǐng)求得到對(duì)客體oj的w訪問權(quán)規(guī)則5 主體si請(qǐng)求釋放對(duì)客體oj的r或w或e或a訪問權(quán) 81 規(guī)則6 主體s 請(qǐng)求授予主體si對(duì)客體oj的r或w或e或a訪問權(quán)規(guī)則7 主體s 請(qǐng)求撤銷主體si對(duì)客體oj的r或w或e或a訪問權(quán)規(guī)則8 改變靜止客體的安全級(jí)Rk c oj f 規(guī)則9 主體s請(qǐng)求創(chuàng)建客體ojRk c si oj e 或Rk c si oj 規(guī)則10 主體s請(qǐng)求刪除客體ojRk d si oj 82 六系統(tǒng)的定義 1 R D V V Rk Dm v v Rk R Dm D v v V R是請(qǐng)求集 D是判定集 V是狀態(tài)集即 任意一個(gè)請(qǐng)求 任意一個(gè)結(jié)果 判斷 和任意兩個(gè)狀態(tài)都可組成一個(gè)上述的有序四元組 這些有序四元組便構(gòu)成集合R D V V 83 提示 狀態(tài)轉(zhuǎn)換規(guī)則 R V D V其中R是請(qǐng)求集 D是判斷集 V是狀態(tài)集對(duì)請(qǐng)求 Rk vn R V 在函數(shù) 的作用下 Rk v Dm v 系統(tǒng)對(duì)請(qǐng)求Rk的反應(yīng)是Dm 狀態(tài)由v轉(zhuǎn)換成v D yes no error yes 請(qǐng)求被執(zhí)行 no 請(qǐng)求被拒絕error 系統(tǒng)出錯(cuò) 請(qǐng)求出錯(cuò) 84 提示 V P S O A F狀態(tài)集對(duì)v Vv b M f 表示某一狀態(tài)b S O A表示在當(dāng)前時(shí)刻 哪些主體獲得了對(duì)哪些客體的權(quán)限b s1 o1 r s1 o2 w s2 o2 a M 當(dāng)前狀態(tài)訪問控制矩陣f 當(dāng)前時(shí)刻所有主體和客體的密級(jí)和部門集 85 2 設(shè) 1 2 s 是一組規(guī)則的集合 定義關(guān)系 四元組的集合 W R D V V Rk v v W iff對(duì)每個(gè)i 1 i s i Rk v v Rk error v v W iff存在i1 i2 1 i1 i2 s 使得對(duì)任意的v v V有 i1 Rk v v 且 i2 Rk v v Rk Dm v v W Dm Dm error iff存在唯一的i 使得對(duì)某個(gè)v 和任意的v V i Rk v v i Rk v Dm v 86 Rk error v v 解釋設(shè) 1 2 s 是一組規(guī)則的集合error 系統(tǒng)出錯(cuò) 亦即對(duì)請(qǐng)求Rk 存在有多條規(guī)則適合它則可設(shè)存在i1和i2 1 i1 i2 s v1 和v2 i1 Rk v Dm v1 i2 Rk v Dm v2 上面可寫法 對(duì)任意v 和v i1 Rk v v 且 i2 Rk v v 此即存在i1 i2 1 i1 i2 s 使得對(duì)任意的v v V i1 Rk v v 且 i2 Rk v v 注 W Rk v v Rk error v v Rk Dm v v k m非負(fù)自然數(shù) 87 1 請(qǐng)求Rk出錯(cuò) 沒有一條規(guī)則適合于它 2 系統(tǒng)出錯(cuò) 有多條規(guī)則適合于請(qǐng)求Rk 3 存在唯一一條規(guī)則適合于請(qǐng)求Rk任一四元組 Rk Dm v v W 必須滿足上述定義中某一條在狀態(tài)v下 若發(fā)出某請(qǐng)求Rk 必存在一判定Dm error yes no 根據(jù) 中的規(guī)則 將狀態(tài)v轉(zhuǎn)換為狀態(tài)v 或保持狀態(tài)不變 88 3 T t1 t2 是離散時(shí)刻集 用作請(qǐng)求序列 結(jié)果序列 狀態(tài)序列的下標(biāo)X RT x x T R x可表示為x x1x2 xt 是請(qǐng)求序列X是請(qǐng)求序列集 時(shí)刻t時(shí)發(fā)出的請(qǐng)求用xt表示Y DT y y T D y可表示為y y1y2 yt 是結(jié)果序列Y是結(jié)果序列集 時(shí)刻t時(shí)作出的判定用yt表示Z VT z z T V z可表示為z z1z2 zt 是狀態(tài)序列Z是狀態(tài)序列集 時(shí)刻t的狀態(tài)用zt表示X Y Z x y z x X y Y z Z 其中 x x1x2 xt y y1y2 yt z z1z2 zt 89 4 系統(tǒng)記作 R D W z0 其定義為 R D W z0 X Y Z x y z R D W z0 iff對(duì)每一個(gè)t T xt yt zt zt 1 W z0是系統(tǒng)初始狀態(tài) 記z0 M f 此即BLP模型定義的系統(tǒng) 90 七 系統(tǒng)安全的定義 BLP模型定義了安全狀態(tài) 安全狀態(tài)序列以及系統(tǒng)的安全出現(xiàn) 最后說明了什么樣的系統(tǒng)是安全系統(tǒng)1 安全狀態(tài)一個(gè)狀態(tài)v b M f 若它滿足自主安全性 簡(jiǎn)單安全性和 性質(zhì) 那么這個(gè)狀態(tài)就是安全的 2 安全狀態(tài)序列設(shè)z z1z2 zt 是一狀態(tài)序列 若對(duì)于每一個(gè)t T zt都是安全狀態(tài) 則z是安全狀態(tài)序列 91 3 系統(tǒng)的一次安全出現(xiàn) x y z R D W z0 稱為系統(tǒng)的一次出現(xiàn) 若 x y z 是系統(tǒng)的一次出現(xiàn) 且z是一安全狀態(tài)序列 則稱 x y z 是系統(tǒng) R D W z0 的一次安全出現(xiàn) 4 安全系統(tǒng)若系統(tǒng) R D W z0 的每次出現(xiàn)都是安全的 則稱該系統(tǒng)是一安全系統(tǒng) 92 八 模型中的有關(guān)安全結(jié)論 1 這十條規(guī)則都是安全性保持的即 若v是安全狀態(tài) 則經(jīng)過這十條規(guī)則轉(zhuǎn)換后的狀態(tài)v 也一定是安全狀態(tài)2 若z0是安全狀態(tài) 是一組安全性保持的規(guī)則 則系統(tǒng) R D W z0 是安全的 93 九 對(duì)BLP安全模型的評(píng)價(jià) 1 BLP模型的優(yōu)缺點(diǎn) 優(yōu)點(diǎn) 是一種嚴(yán)格的形式化描述 控制信息只能由低向高流動(dòng) 能滿足軍事部門等一類對(duì)數(shù)據(jù)保密性要求特別高的機(jī)構(gòu)的需求缺點(diǎn) BLP 過于安全 上級(jí)對(duì)下級(jí)發(fā)文受到限制 部門之間信息的橫向流動(dòng)被禁止 缺乏靈活 安全的授權(quán)機(jī)制 94 2 BLP中不安全的地方 低安全級(jí)的信息向高安全級(jí)流動(dòng) 可能破壞高安全客體中數(shù)據(jù)完整性 被病毒和黑客利用 只要信息由低向高流動(dòng)即合法 高讀低 不管工作是否有需求 這不符合最小特權(quán)原則 高級(jí)別的信息大多是由低級(jí)別的信息通過組裝而成的 要解決推理控制的問題 95 例如 設(shè)o1 o2 o3 o4 主體S的安全級(jí)同o1 96 九 對(duì)BLP安全模型的評(píng)價(jià) 在BLP模型中 通過比較主體安全級(jí)和客體安全級(jí)來確定主體是否對(duì)客體具有訪問權(quán)限 安全檢查執(zhí)行向上寫向下讀的策略 即主體只能寫安全級(jí)高 包括相等 的數(shù)據(jù) 只能讀安全級(jí)低 包括相等 的數(shù)據(jù)在實(shí)際系統(tǒng)設(shè)計(jì)過程中 發(fā)現(xiàn)傳統(tǒng)的BLP模型過于嚴(yán)格和簡(jiǎn)單 不能滿足實(shí)際應(yīng)用的需求 需要進(jìn)行以下改進(jìn) 97 九 對(duì)BLP安全模型的評(píng)價(jià) 1 按照BLP模型 向上寫 的規(guī)則 任何主體都可以寫最高安全級(jí)的數(shù)據(jù) 沒有限制主體的最高寫安全級(jí) 從而降低了高安全級(jí)數(shù)據(jù)的完整性 必須限制低安全級(jí)主體向高安全級(jí)別數(shù)據(jù)寫的能力 2 某些高安全級(jí)別的主體不應(yīng)該總是有能力看到所有低安全級(jí)別的數(shù)據(jù) 必須將主體的讀能力限定在一個(gè)范圍內(nèi) 而不是允許讀所有低安全級(jí)別的客體 3 有些低安全級(jí)別的數(shù)據(jù)允許低安全級(jí)別主體讀 但不意味著允許低級(jí)別的主體改寫 只有規(guī)定的安全級(jí)別范圍內(nèi)的主體才能改寫 98 九 對(duì)BLP安全模型的評(píng)價(jià) 4 對(duì)于安全級(jí)高的主體而言 不僅要寫安全級(jí)高的數(shù)據(jù) 也會(huì)有寫安全級(jí)低的數(shù)據(jù)的合理需求 靜態(tài)的主體安全級(jí)別限制了主體的這種合理請(qǐng)求 影響了系統(tǒng)的可用性 必須允許主體可以根據(jù)數(shù)據(jù)的情況 在不違反BLP安全公理的條件下 動(dòng)態(tài)調(diào)節(jié)自己的安全級(jí) 5 按照BLP模型 對(duì)于某一安全范疇之內(nèi)的客體 同一安全范疇之內(nèi)的主體必然至少可以有讀寫權(quán)限中的一種 實(shí)踐中有時(shí)候需要有能力屏蔽主體對(duì)特定敏感區(qū)域內(nèi)數(shù)據(jù)的任何操作 99 九 對(duì)BLP安全模型的評(píng)價(jià) 可以設(shè)計(jì)一個(gè)增強(qiáng)的多級(jí)安全模型 對(duì)主體的敏感標(biāo)記進(jìn)行擴(kuò)充 將主體讀寫敏感度標(biāo)記分離 讀寫敏感標(biāo)記都是由最低安全級(jí)和最高安全級(jí)組成的區(qū)間組成 從而可將主體的讀寫權(quán)限分別限制在一個(gè)區(qū)間之內(nèi) 即限制主體的最低寫安全級(jí) 最低讀安全級(jí) 最高讀安全級(jí)和最高寫安全級(jí)采用讀寫分離的區(qū)間權(quán)限 可以提供豐富的安全管理方案 提高數(shù)據(jù)完整性和系統(tǒng)的可用性 使系統(tǒng)的安全控制更加靈活方便 要不破壞安全性質(zhì) 必須將區(qū)間敏感度標(biāo)記與動(dòng)態(tài)調(diào)整策略相結(jié)合 即主體當(dāng)前敏感標(biāo)記必須根據(jù)客體敏感標(biāo)記和主體訪問權(quán)限的歷史過程進(jìn)行動(dòng)態(tài)調(diào)整 100 九 對(duì)BLP安全模型的評(píng)價(jià) 調(diào)整說明讀了一個(gè)級(jí)別的客體后 調(diào)整環(huán)境限制參數(shù)防止信息泄漏 以后就不能寫比該客體的安全級(jí)別更低級(jí)別的客體寫了一個(gè)級(jí)別的客體后 調(diào)整環(huán)境限制參數(shù)防止信息泄漏 以后就不能讀比該客體的安全級(jí)別更高級(jí)別的客體讀寫了一個(gè)級(jí)別的客體 調(diào)整環(huán)境限制參數(shù)防止信息泄漏 以后就不能讀比這個(gè)客體的安全級(jí)別更高級(jí)別的客體 不能寫比這個(gè)客體的安全級(jí)別更低級(jí)別的客體 101 九 對(duì)BLP安全模型的評(píng)價(jià) 缺點(diǎn)增加了強(qiáng)制存取控制的復(fù)雜性優(yōu)點(diǎn)增加了應(yīng)用中的靈活性 使得多級(jí)安全策略更具有實(shí)用性 102 五其它幾種安全模型 1 安全信息流的格模型1976年D Deming與BLP模型一致系統(tǒng)中任意操作序列的執(zhí)行所產(chǎn)生的信息流動(dòng) 只能沿著格結(jié)構(gòu)所定義的流關(guān)系的方向進(jìn)行流動(dòng) 103 交和并 在格 L 中 由于每一對(duì)元素l1 l2 L都存在唯一的上 下確界 因此可以把l1 l2和l1 l2看作是集合L上的二元運(yùn)算 也把 和 分別稱為 交 和 并 界 如果一個(gè)格存在有最小元素和最大元素 則稱它們?yōu)樵摳竦慕?格 設(shè) L 是一個(gè)偏序集 若L中每一對(duì)元素都存在下確界和上確界 則稱 L 是格 格 是一個(gè)代數(shù)系統(tǒng) 和 是L上的兩個(gè)二元運(yùn)算 如果這兩個(gè)運(yùn)算滿足交換率 結(jié)合律和吸收律 則稱是一個(gè)格 104 吸收律P P Q P P 1 P Q P P 1 Q P 1 P同理P P Q P 105 例1 證明偏序集 2U 是一個(gè)格 證 對(duì)于全集U的冪集2U的任意兩個(gè)元素S1 S2 U 而對(duì)于任意S 2U 若有S1 S且S2 S 必有S1 S2 S S1 S2是S1和S2的上確界 即 2U的任意元素對(duì)S1 S2都有最小上界 同理可得 2U的任意元素對(duì)S1 S2都有最大下界S1 S2 2U 是一個(gè)格 注 2U 是一個(gè)典型的格 其中集合的交與并同格的交與并是完全統(tǒng)一的 必有S1 S1 S2 S2 S1 S2 S1 S2是S1和S2的上界 106 例2 正整數(shù)集N上的整除關(guān)系 是一個(gè)偏序關(guān)系 N上任意兩個(gè)元素n1 n2的最小公倍數(shù)是n1 n2的上確界 N上任意兩個(gè)元素n1 n2的最大公約數(shù)是n1 n2的下確界 N 是一個(gè)格 證明格 107 2 無干擾模型1982年Goguen與Meseguer設(shè)有使用某一命令集的一組用戶和另一組戶 如果第一組用戶使用這些命令所得到的結(jié)果 對(duì)于第二組用戶能訪問的數(shù)據(jù)沒有影響 則稱第一組用戶沒有干擾第二組用戶 108 一組 二組 3 Biba模型1977年Biba K J 它是數(shù)據(jù)完整性保護(hù)模型 109 Biba模型 Biba 1977 在研究BLP模型的特性時(shí)發(fā)現(xiàn) BLP模型只解決了信息的保密問題 其在完整性定義存在方面有一定缺陷Biba模型模仿BLP模型的信息保密性級(jí)別 定義了信息完整性級(jí)別 在信息流向的定義方面不允許從級(jí)別低的進(jìn)程到級(jí)別高的進(jìn)程 也就是說用戶只能向比自己安全級(jí)別低的客體寫入信息 從而防止非法用戶創(chuàng)建安全級(jí)別高的客體信息 避免越權(quán) 篡改等行為的產(chǎn)生Biba模型可同時(shí)針對(duì)有層次的安全級(jí)別和無層次的安全種類 110 Biba模型的兩個(gè)主要特征 1 禁止向上回滾 這樣使得完整性級(jí)別高的文件是一定由完整性高的進(jìn)程所產(chǎn)生的 從而保證了完整性級(jí)別高的文件不會(huì)被完整性低的文件或完整性低的進(jìn)程中的信息所覆蓋 2 Biba模型沒有下 讀 111 Biba模型用偏序關(guān)系可以表示為 1 r 當(dāng)且僅當(dāng)SC s SC o 允許讀操作 2 w 當(dāng)且僅當(dāng)SC s SC o 允許寫操作 Biba模型是和BLP模型相對(duì)立的模型 Biba模型重視信息完整性問題 但在一定程度上卻忽視了保密性 112 4 Clark Wilson模型1987年Clark和Wilson它是基于良性事務(wù)和職責(zé)分散兩個(gè)基本概念提出的保護(hù)數(shù)據(jù)完整性的模型 用來實(shí)現(xiàn)商業(yè)安全策略 113 信息的完整性在商業(yè)應(yīng)用中則有重要意義適用于商業(yè)計(jì)算機(jī)安全的形式化模型與BLP模型在方法上有很大的不同 114 Clark Wilson模型采用了兩個(gè)基本的方法 以保證信息的安全合式交易 well formedtransition 責(zé)任分離 segregationofduties 合式交易的目的是不讓一個(gè)用戶隨意地修改數(shù)據(jù) 猶如手工記帳系統(tǒng) 要完成一個(gè)帳目記錄的修改 必須在支出與轉(zhuǎn)入兩個(gè)項(xiàng)目上都有變化 這種交易才是 合式 的 而當(dāng)帳目無法平衡時(shí) 就有錯(cuò)誤發(fā)生 合式交易是Clark Wilson模型中保證應(yīng)用完整性的一個(gè)機(jī)制 115 Clark Wilson模型中控制差錯(cuò)的第二個(gè)機(jī)制就是責(zé)任分離此機(jī)制的目的是保證數(shù)據(jù)對(duì)象與它所代表的現(xiàn)實(shí)世界對(duì)象的對(duì)應(yīng) 而計(jì)算機(jī)本身并不能直接保證這種外部的一致性最基本的責(zé)任分離規(guī)則就是不允許任何創(chuàng)造或檢查某一個(gè)合式交易的人再來執(zhí)行它 那么 在一次合式交易中 至少要有兩個(gè)人參與 才能改變數(shù)據(jù) 116 在上述的兩種基本機(jī)制中 數(shù)據(jù)完整性Clark Wilson模型有兩類規(guī)則 強(qiáng)迫性規(guī)則確認(rèn)規(guī)則強(qiáng)迫性規(guī)則是與應(yīng)用無關(guān)的安全功能 而確認(rèn)性規(guī)則是與具體應(yīng)用相關(guān)的安全功能 117 在在介紹這兩種規(guī)則之前 先引入一些術(shù)語 有約束數(shù)據(jù)項(xiàng) CDI 它們是系統(tǒng)完整性模型要應(yīng)用到的數(shù)據(jù)項(xiàng) 即可信數(shù)據(jù) 無約束數(shù)據(jù)項(xiàng) UDI 與CDI相反 UDI是不可信數(shù)據(jù) 模型的完整性過程不保護(hù)UDI 事務(wù)過程 TP 也稱為轉(zhuǎn)換過程 它們的作用是把UDI從一種合法狀態(tài)轉(zhuǎn)換到另一種合法狀態(tài) 完整性驗(yàn)證過程 IVP 這是一個(gè)保證所有系統(tǒng)中的CDI都服從完整性規(guī)定的過程 Clark Wilson模型把它用在與審計(jì)相關(guān)的過程中 118 Clark Wilson模型的規(guī)則 強(qiáng)迫性規(guī)則E1 用戶只能間接通過操作TP才能操作可信數(shù)據(jù) CDI E2 用戶只有被明確地授權(quán) 才能執(zhí)行操作E3 用戶的確認(rèn)必須通過驗(yàn)證E4 只有安全官員才能改變授權(quán) 119 確認(rèn)性規(guī)則C1 可信數(shù)據(jù)必須經(jīng)過與真實(shí)世界一致性表達(dá)的檢驗(yàn)C2 程序以合式交易的形式執(zhí)行操作C3 系統(tǒng)必須支持責(zé)任分離C4 由操作檢驗(yàn)輸入 或接收或拒絕Clark Wilson模型用這八條規(guī)則定義了一個(gè)實(shí)行完整性策略的系統(tǒng)這些規(guī)則說明了在商業(yè)數(shù)據(jù)處理系統(tǒng)中完整性是如何實(shí)施的 Clark Wilson模型在計(jì)算機(jī)安全領(lǐng)域中引起了人們很大的興趣 也表明了商業(yè)上對(duì)計(jì)算機(jī)安全有一些獨(dú)特的要求 120 Seaview模型是一個(gè)多級(jí)安全關(guān)系數(shù)據(jù)庫(kù)系統(tǒng)的形式化安全模型 它的目標(biāo)是設(shè)計(jì)一個(gè)達(dá)到DoD 美國(guó)國(guó)防部 可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則 TCSEC A1級(jí)的多級(jí)安全數(shù)據(jù)庫(kù)系統(tǒng) 5 Seaview模型 121 可信計(jì)算機(jī)評(píng)估標(biāo)準(zhǔn) D級(jí) 最低安全形式 無系統(tǒng)訪問 數(shù)據(jù)訪問限制屬于這個(gè)級(jí)別的OS有 DOS WINDOWS MACINTOSHSYSTEN7 1C1級(jí)注冊(cè)帳號(hào) 口令 用戶識(shí)別 規(guī)定程序及信息訪問權(quán)C2級(jí)除C1外包括訪問控制環(huán)境如身份驗(yàn)證級(jí)別 審計(jì)日志C2級(jí)的常見OS有UNIX XENIX NOVELL3 X WINDOWSNTB1級(jí)第一個(gè)多級(jí)安全級(jí)別 強(qiáng)制訪問控制 系統(tǒng)不允許文件的擁有者改變其許可權(quán)限B2級(jí)又稱結(jié)構(gòu)保護(hù) 系統(tǒng)中所有對(duì)象均加標(biāo)簽 設(shè)備分配多個(gè)級(jí)別B3級(jí)安全域級(jí)別 使用安裝硬件的方式來加強(qiáng)域 要求用戶通過一條可信任途徑鏈接到系統(tǒng)上A級(jí)包括了一個(gè)嚴(yán)格的設(shè)計(jì) 控制和驗(yàn)證過程 設(shè)計(jì)須驗(yàn)證 數(shù)學(xué) 并通過秘密和可信任分布 硬件 軟件在傳輸過程中已受到保護(hù) 的分析 122 一 多級(jí)關(guān)系模式和客體的安全標(biāo)記 Seaview模型將訪問控制粒度定為數(shù)據(jù)項(xiàng) 即對(duì)每一數(shù)項(xiàng)都有安全級(jí)標(biāo)記 它將標(biāo)準(zhǔn)的關(guān)系模式R A1 A2 An 擴(kuò)展為R A1 C1 A2 C2 An Cn 例 如下表一設(shè)di 密級(jí) 部門級(jí) 假定如下關(guān)系 123 Seaview模型對(duì)庫(kù) 表 記錄定義了安全級(jí)且要求這些數(shù)據(jù)客體的安全級(jí)呈以下關(guān)系 令D表示數(shù)據(jù)庫(kù) R表示某張表的關(guān)系模式 r表示記錄 K表示記錄r中的主關(guān)鍵字 d表示r中不是主關(guān)鍵字的任一數(shù)據(jù)項(xiàng) class D class R class K class d class r 124 在SeaView中 class r class d1 class d2 class dn lub class di di rclass R glb class di di Rclass D glb class Ri Ri D理解如下 1 若class D 高于class R 則安全級(jí)低于class D 的用戶無法知道該庫(kù)的存在 便不能訪問庫(kù)中與自己安全級(jí)相匹配的數(shù)據(jù) 125 2 類似地 若class R class r 則安全級(jí)低于class R 用戶不知道該關(guān)系存在 因此無法去訪問R中與自己安全級(jí)相匹配的數(shù)據(jù) 3 主關(guān)鍵字是用來唯一地標(biāo)記該記錄的 常作為查詢的條件 它的安全級(jí)應(yīng)低于其它屬性值的安全級(jí) 4 整條記錄的安全級(jí)class r 高于記錄中所有數(shù)據(jù)項(xiàng)的安全級(jí) 常取各class d 的最小上界 它使得用戶的安全級(jí)只有當(dāng)其支配class r 時(shí) 才能看到該記錄中所有的數(shù)據(jù)項(xiàng) 否則只能看到部分?jǐn)?shù)據(jù)項(xiàng) 126 因此 對(duì)于表一有 class r1 d5class r2 d8class r3 d8class R glb d2 d3 d5 d7 d8 d1 若class u d8 則可以看到全部數(shù)據(jù)項(xiàng) 即整張表 若class u d7 則看到的是過濾后的如下關(guān)系 表二 127 128 若class u d5 則看到的是過濾后的如下表三 若class u d1 則u知道表R存在 可訪問表R的模式 可向R插入數(shù)據(jù) 129 二 Seaview模型的安全性質(zhì)1 若class u class R class u class R 或兩者不可比 則u看不到R的存在 2 若class u class R 則u可以訪問R 但不一定能訪問到R中所有的數(shù)據(jù) 具體規(guī)則如下 對(duì)每條紀(jì)錄r 若class u class r 則u能查詢到r 并能看到r中所有的數(shù)據(jù) 130 若class u class r 小于class r 或不可比 則u可以看到記錄r中的部分?jǐn)?shù)據(jù) i class u class kr 則u能看到主關(guān)鍵字kr和r中安全級(jí) class u 的數(shù)據(jù) 而其它的數(shù)據(jù) u看起來全為空值 ii class u class kr 小于class kr 或不可比 則u不能看到r中任何數(shù)據(jù) 131 u可以對(duì)R進(jìn)行插入和修改操作如d1 d8均可對(duì)表進(jìn)行插入 對(duì)其能看見的數(shù)據(jù)作修改 修改策略是 低不能改高 數(shù)據(jù)完整性保護(hù) 高不能改低 防止信息泄漏 只有同級(jí)才能改 132 三 多事例 在數(shù)據(jù)庫(kù)中可能出現(xiàn)這樣的現(xiàn)象 相同名字 同時(shí)存在多個(gè)數(shù)據(jù)實(shí)體 Seaview模型用不同的安全級(jí)來區(qū)別這些實(shí)體 這種現(xiàn)象稱為多事例1 多事例關(guān)系 由 查詢 引起的 在任一狀態(tài)下 不同安全級(jí)的主體檢索同一多級(jí)關(guān)系時(shí) 將得到的是不同的關(guān)系 這些不同的關(guān)系 稱為是多事例關(guān)系 133 2 多事例記錄 由 插入 引起的 具有相同的主關(guān)鍵字 但主關(guān)鍵字的安全級(jí)不同的記錄稱為是多事例記錄例如 安全級(jí)為d7的主體用主關(guān)鍵字005添加一條記錄到表一得到如下表四 134 3 多事例數(shù)據(jù)項(xiàng) 由 修改 引起的 在相同的記錄中 某數(shù)據(jù)項(xiàng)的值和其安全級(jí)呈現(xiàn)多種不同的取值 這樣的數(shù)據(jù)項(xiàng)稱為是多事例數(shù)據(jù)項(xiàng) 例如 d8要修改表一中的第二條記錄的A2此時(shí)不能用修改值覆蓋舊值 以免造成信息泄露 因此必須再創(chuàng)建相同的記錄 但相應(yīng)數(shù)據(jù)項(xiàng)是多事例的 135 四 多級(jí)安全存儲(chǔ) 多事例使得多級(jí)關(guān)系中出現(xiàn)了大量的數(shù)據(jù)冗余 Seaview模型將多級(jí)關(guān)系分解成關(guān)系模型的標(biāo)準(zhǔn)關(guān)系 將多級(jí)數(shù)據(jù)按照不同的級(jí)別分開存儲(chǔ) 這樣做消除了冗余且較大程度地減少了信息的泄露