安全策略與安全模型.ppt
《安全策略與安全模型.ppt》由會員分享,可在線閱讀,更多相關(guān)《安全策略與安全模型.ppt(135頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1 第三講安全策略與安全模型 一數(shù)學基礎(chǔ)1 集合元素子集a AH S2 集合的冪集2A P A H A 3 笛卡爾積A B a b a A b B 4 集合A上的關(guān)系的性質(zhì)設(shè) 是A上的關(guān)系 a A均a a 自反設(shè) 是A上的關(guān)系 a b A若a b 則a b與b a不能同時出現(xiàn) 反對稱設(shè) 是A上的關(guān)系 a b c A若a b b c則一定有a c 可傳遞的 2 偏序關(guān)系 集合A上的關(guān)系 如果它是自反 反對稱且可傳遞的 則稱 為A上的一個偏序關(guān)系 偏序關(guān)系 也叫做 偏序 用 符號表示 可比 設(shè) 是集合A上的偏序 對于a b A 若有a b或b a 則稱a和b是可比的 否則稱a和b是不可比的 5 集合上的偏序關(guān)系 3 全序 一個集合A上的任意兩個元素之間都滿足偏序關(guān)系 則稱該偏序為A上的一個全序 良序 一個集合A上的偏序 若對于A的每一個非空子集S A 在S中存在一個元素as 稱為S的最小元素 使得對于所有的s S 有as s 則稱它為A上的一個良序 5 集合上的偏序關(guān)系 4 7 一個有用的結(jié)論命題 若和是兩個偏序集 在笛卡爾積A B上定義關(guān)系 對任意 a1 b1 a2 b2 A B當且僅當a1 1a2 b1 2b2時 有 a1 b1 a2 b2 可以證明 也是一個偏序集 5 因為 為偏序關(guān)系 所以 a1 A有a1 1a1 b1 B有b1 1b1所以 a1 b1 a1 b1 自反由 a1 b1 a2 b2 a2 b2 a1 b1 可得a1 1a2 a2 1a1可得a1 a2 同理有b1 b2 此即 a2 b2 a1 b1 反對稱又由 a1 b1 a2 b2 a2 b2 a3 b3 此即a1 1a2 a2 1a3可得a1 1a3同理 b1 2b2 b2 2b3可得b1 2b3最后有 a1 b1 a3 b3 傳遞性 6 亦即 i a b A B 均有 a b a b ii a1 b1 a2 b2 A B 若 a1 b1 a2 b2 則 a1 b1 a2 b2 與 a2 b2 a1 b1 不能同時出現(xiàn) iii a1 b1 a2 b2 a3 b3 A B 若 a1 b1 a2 b2 a2 b2 a3 b3 則一定有 a1 b1 a3 b3 設(shè) 是A上的關(guān)系 a A均a a 自反設(shè) 是A上的關(guān)系 a b A若a b 則a b與b a不能同時出現(xiàn) 反對稱設(shè) 是A上的關(guān)系 a b c A若a b b c則一定有a c 可傳遞的 7 二安全策略 1 安全策略的概念計算機系統(tǒng)的安全策略是為了描述系統(tǒng)的安全需求而制定的對用戶行為進行約束的一整套嚴謹?shù)囊?guī)則 這些規(guī)則規(guī)定系統(tǒng)中所有授權(quán)的訪問 是實施訪問控制的依據(jù) 8 2 安全策略舉例 軍事安全策略中的強制訪問控制策略 系統(tǒng)中每個主體和客體都分配一個安全標準 安全級 客體的安全級表示客體所包含的信息的敏感程度主體的安全級表示主體在系統(tǒng)中受信任的程度 9 安全標準由兩部分組成 密級 部門 或類別 集 eg 密級分為4個級別 一般 秘密 機密 絕密 U C S TS 令A(yù) U C S TS 則是A上的全序 構(gòu)成偏序集例 令B 科技處 干部處 生產(chǎn)處 情報處 PB 2B H H B 顯然構(gòu)成一個偏序集class O1 C 科技處 class u S 科技處 干部處 class O2 TS 科技處 情報處 干部處 class O3 C 情報處 10 在實施多級安全策略的系統(tǒng)中 系統(tǒng)為每一個主體和每一個客體分配一個安全級 密級 部門 或類別 集 或 密級 部門或類別 若某主體具有訪問密級a的能力 則對任意b a 該主體也具有訪問b的能力若某主體具有訪問密級a的能力 則對任意b a 該主體不具有訪問b的能力 11 密級 部門或類別或范疇 理解 對于客體來說 部門或類別或范疇 可定義為該客體所包含的信息所涉及的范圍部門或所具有的類別屬性對于主體來說 部門或類別或范疇 可定義為該主體能訪問的信息所涉及的范圍或部門例 2011年財務(wù)報表 S 財務(wù)處 總裁辦公室 黨辦 財經(jīng)小組 12 例 2011年財務(wù)報表 S 財務(wù)處 總裁辦公室 黨辦 財經(jīng)小組 肯定不會寫成 S 財務(wù)處 三車間 大門 例 車間主任 C 三車間 倉庫 肯定不會寫成 S 財務(wù)處 黨辦 財經(jīng)小組 13 主體 客體安全級定義以后 就可以通過比較主客體安全級 來決定主體對客體的訪問以及什么樣的訪問 前面講過 在實施多級安全策略的系統(tǒng)中 系統(tǒng)為每一個主體和每一個客體分配一個安全級 若某主體具有訪問密級a的能力 則對任意b a 該主體也具有訪問b的能力 若某主體具有訪問密級a的能力 則對任意b a 該主體不具有訪問b的能力 那么 b a或b a如何進行比較呢 14 定義A U C S TS B 部門或類別或范疇 例 B 科技處 干部處 生產(chǎn)處 情報處 PB 2B H H B 在A PB上定義一個二元關(guān)系 A PB a H a A且H PB a1 H1 a2 H2 A PB 當且僅當a1 a2 H1 H2時 有 a1 H1 a2 H2 可以證明 是A PB上的一個偏序關(guān)系即構(gòu)成一個偏序集 15 可利用命題 若和是兩個偏序集 在笛卡爾積A B上定義關(guān)系 對任意 a1 b1 a2 b2 A B當且僅當a1 1a2 b1 2b2時 有 a1 b1 a2 b2 可以證明 也是一個偏序集 證明 是A PB上的一個偏序關(guān)系即構(gòu)成一個偏序集 16 在A U C S TS 上定義 由于U C S TS 所以 是一個全序 顯然構(gòu)成一個偏序集在PB上定義 容易看出 它也是一個偏序B 科技處 干部處 生產(chǎn)處 情報處 再在A PB上定義一個二元關(guān)系 A PB a H a A且H PB a1 H1 a2 H2 A PB 當且僅當a1 a2 H1 H2時 有 a1 H1 a2 H2 根據(jù)上述命題 構(gòu)成一個偏序集 17 例 class O1 C 科技處 class u S 科技處 干部處 class O2 TS 科技處 情報處 干部處 class O3 C 情報處 O1uO2O3其安全級如何 可以看出 class O1 C 科技處 S 科技處 干部處 class u class u S 科技處 干部處 class O2 TS 科技處 情報處 干部處 class u 與class O3 不可比 18 在一偏序集中 l1 12 L 若l1 12 則稱12支配l1 class O1 class u 主體u的安全級支配客體O1的安全級class u class O2 客體O2的安全級支配主體u的安全級class u 與class O3 不可比 主體u與客體O3的安全級相互不可支配 19 訪問控制策略一個主體僅能讀安全級比自已安全級低或相等的客體一個主體僅能寫安全級比自己高或相等的客體即 向下讀向上寫 安全級如何比較高低 a1 H1 a2 H2 當且僅當a1 a2 H1 H2所以u對O1可讀 對O2可寫 對O3既不可讀也不可寫 20 向下讀向上寫 安全策略執(zhí)行的結(jié)果是信息只能由低安全級的客體流向高安全級的客體 高安全級的客體的信息不允許流向低安全級的客體 若要使一個主體既能讀訪問客體 又能寫訪問這個客體 兩者的安全級必須相同 21 多級安全策略適合 保護信息的機密性 軍事系統(tǒng)政府及企業(yè)的辦公自動化系統(tǒng)具有層次結(jié)構(gòu)的組織機構(gòu) 22 2商業(yè)安全策略 良性事務(wù)用戶對數(shù)據(jù)的操縱不能任意進行 而應(yīng)該按照可保證數(shù)據(jù)完整性的受控方式進行 即數(shù)據(jù)應(yīng)該用規(guī)定的程序 按照定義好的約束進行處理 例 保存記錄 包括修改數(shù)據(jù)之前修改數(shù)據(jù)之后的記錄 事后被審計雙入口規(guī)則 數(shù)據(jù)修改部分之間保持平衡內(nèi)部數(shù)據(jù)的一致性特別地 簽發(fā)一張支票與銀行帳號戶頭上的金額變動必須平衡 可由一個獨立測試帳簿是否平衡的程序來檢查 23 職責分散把一個操作分成幾個子操作 不同的子操作由不同的用戶執(zhí)行 使得任何一個職員都不具有完成該任務(wù)的所有權(quán)限 盡量減少出現(xiàn)欺詐和錯誤的機會 eg 購買訂單 記錄到貨 記錄貨發(fā)票 付款美入境簽證 24 職責分散的最基本規(guī)則是 被允許創(chuàng)建或驗證良性事務(wù)的人 不能允許他去執(zhí)行該良性事務(wù) 至少需要兩個人的參與才能進行 職員不暗中勾結(jié) 職責分散有效 隨機選取一組職員來執(zhí)行一組操作 減少合謀機會 25 良性事務(wù)與職責分散是商業(yè)數(shù)據(jù)完整性保護的基本原則專門機制被商業(yè)數(shù)據(jù)處理計算機系統(tǒng)用來實施良性事務(wù)與職責分散規(guī)則 a 保證數(shù)據(jù)被良性事務(wù)處理數(shù)據(jù)只能由一組指定的程序來操縱程序被證明構(gòu)造正確 能對這些程序的安裝能力 修改能力進行控制 保證其合法性 b 保證職責分散每一個用戶必須僅被允許使用指定的程序組 用戶執(zhí)行程序的權(quán)限受控 26 商業(yè)數(shù)據(jù)完整性控制與軍事中的數(shù)據(jù)機密性差別 a 數(shù)據(jù)客體不與特定的安全級別相關(guān)只與一組允許操縱它的程序相聯(lián)系 b 用戶直接讀寫數(shù)據(jù)被禁止被授權(quán)去執(zhí)行與某一數(shù)據(jù)相關(guān)的程序 一個用戶即便被授權(quán)去寫一個數(shù)據(jù)客體 他也只能通過針對那個數(shù)據(jù)客體定義的一些事務(wù)去做 27 商業(yè)安全策略也是一種強制訪問控制但它與軍事安全策略的安全目標 控制機制不相同商業(yè)安全策略強制性體現(xiàn)在 a 用戶必須通過指定的程序來訪問數(shù)據(jù) b 允許操縱某一數(shù)據(jù)客體的程序列表和允許執(zhí)行某一程序的用戶列表不能被系統(tǒng)的一般用戶所更改 軍事與商業(yè)安全相同點 1 一種機制被計算機系統(tǒng)用來保證系統(tǒng)實施了安全策略中的安全需求 2 系統(tǒng)中的這種機制必須防止竄改和非授權(quán)的修改 28 3 軍事安全策略與商業(yè)安全策略的比較 軍事安全策略 數(shù)據(jù)的機密性商業(yè)安全策略 數(shù)據(jù)的完整性 軍事安全策略 將數(shù)據(jù)與一個安全級相聯(lián)系 通過數(shù)據(jù)的安全級來控制用戶對數(shù)據(jù)的訪問商業(yè)安全策略 將數(shù)據(jù)與一組允許對其進行操作的程序相聯(lián)系 通過這組程序來控制用戶對數(shù)據(jù)的訪問 軍事安全策略 用戶對數(shù)據(jù)的操縱是任意的商業(yè)安全策略 用戶對數(shù)據(jù)的操縱是受限的 29 三安全模型 安全模型是對安全策略所表達的安全需求簡單 抽象和無歧義的描述分為 1 非形式化的安全模型2 形式化的安全模型 30 2 形式化的安全模型 安全系統(tǒng)的開發(fā)過程 安全需求分析 制定安全策略 建立形式化的安全模型 安全性證明 安全功能 31 四Bell LaPadula模型 簡稱BLP模型應(yīng)用最早也最廣泛的一個安全模型DavidBell和LeonardLaPadula模型目標 計算機多級操作規(guī)則安全策略 多級安全策略常把多級安全的概念與BLP相聯(lián)系其它模型都嘗試用不同的方法來表達多級安全策略 32 四Bell LaPadula模型 BLP模型是一個形式化模型使用數(shù)學語言對系統(tǒng)的安全性質(zhì)進行描述BLP模型也是一個狀態(tài)機模型它反映了多級安全策略的安全特性和狀態(tài)轉(zhuǎn)換規(guī)則BLP模型定義了系統(tǒng) 系統(tǒng)狀態(tài) 狀態(tài)間的轉(zhuǎn)換規(guī)則安全概念 制定了一組安全特性對系統(tǒng)狀態(tài) 狀態(tài)轉(zhuǎn)換規(guī)則進行約束如果它的初始狀態(tài)是安全的 經(jīng)過一系列規(guī)則都是保持安全的 那么可以證明該系統(tǒng)是安全的 33 狀態(tài)機模型例 34 四Bell LaPadula模型 一 模型的基本元素S s1 s2 sn 主體集O o1 o2 om 客體集C c1 c2 cq 密級的集合c1 c2 cqK k1 k2 kr 部門或類別的集合A r w e a c 訪問屬性集r 只讀 w 讀寫 e 執(zhí)行 a 添加 c 控制RA g r c d 請求元素集g get give r release rescindc change create d deleteD yes no error yes 請求被執(zhí)行 no 請求被拒絕error 系統(tǒng)出錯 請求出錯 35 M1 M2 Mp 訪問矩陣集BA f f A B F Cs Co Pk s Pk oCs f1 f1 S C f1給出每個主體的密級Co f2 f2 O C f2給出每個客體的密級 Pk s f3 f3 S Pk f3給出每個主體的部門集 Pk o f4 f4 O Pk f4給出每個客體的部門集f Ff f1 f2 f3 f4 f1 si f3 si 主體si的安全級 f2 oj f4 oj 客體oj的安全級 36 二 系統(tǒng)狀態(tài) V P S O A F狀態(tài)集對v Vv b M f 表示某一狀態(tài)b S O A表示在當前時刻 哪些主體獲得了對哪些客體的權(quán)限b s1 o1 r s1 o2 w s2 o2 a M 當前狀態(tài)訪問控制矩陣f 當前時刻所有主體和客體的密級和部門集 37 系統(tǒng)在任何一個時刻都處于某一種狀態(tài)v 即對任何時刻t 必有狀態(tài)vt與之對應(yīng)隨著用戶對系統(tǒng)的操作 系統(tǒng)的狀態(tài)不斷地發(fā)生變化關(guān)心的問題系統(tǒng)在各個時刻的狀態(tài) 與狀態(tài)相對應(yīng)的訪問集b是否能保證系統(tǒng)的安全性顯然只有每一個時刻狀態(tài)是安全的 系統(tǒng)才可能安全 BLP模型對狀態(tài)的安全性進行了定義 38 三 安全特性 BLP模型的安全特性定義了系統(tǒng)狀態(tài)的安全性 體現(xiàn)了BLP模型的安全策略 1 自主安全性狀態(tài)v b M f 滿足自主安全性iff對所有的 si oj x b 有x Mij此條性質(zhì)是說 若 si oj x b 即如果在狀態(tài)v 主體si獲得了對客體oj的x訪問權(quán) 那么si必定得到了相應(yīng)的自主授權(quán) 39 三 安全特性 如果存在 si oj x b 但主體si并未獲得對客體oj的x訪問權(quán)的授權(quán) 則v被認為不符合自主安全性 2 簡單安全性狀態(tài)v b M f 滿足簡單安全性iff對所有的 s o x b 有 i x e或x a或x c或 ii x r或x w 且 f1 s f2 o f3 s f4 o 在BLP模型中 w權(quán)表示可讀 可寫 即主體對客體的修改權(quán) 40 3 性質(zhì)狀態(tài)v b M f 滿足 性質(zhì) 當且僅當對所有的s S 若o1 b s w a o2 b s r w 則f2 o1 f2 o2 f4 o1 f4 o2 其中符號b s x1 x2 表示b中主體s對其具有訪問特權(quán)x1或x2的所有客體的集合 理解如下4個圖所示 41 流向 42 例 b s1 o1 r s2 o2 a s1 o2 w s2 o2 r s1 o3 a 考慮b s x1 x2 b s1 r w b s1 w a b s3 r w b s1 r w o1 o2 b s1 w a o2 o3 b s3 r w 43 性質(zhì)重要安全特性o1 b s w a 意味著s對o1有w權(quán)或a權(quán) 此時信息經(jīng)由s流向o1o2 b s r w 意味著s對o1有r權(quán)或w權(quán) 此時信息可由o2流向s因此 在訪問集b中以s為媒介 信息就有可能由o2流向o1 所以要求o1的安全級必須支配o2安全級當s對o1 o2均具有w權(quán)時 兩次運用該特性 f2 o1 f2 o2 f4 o1 f4 o2 及 f2 o2 f2 o1 f4 o2 f4 o1 則要求o1的安全級必須等于o2安全級顯然它放反映了BLP模型中信息只能由低安全級向高安全級流動的安全策略 44 四 請求集R S RA S O X請求集 它的元素是一個完整的請求 不是請求元素集其中S S X A FS s1 s2 sn 主體集RA g r c d A r w e a c F Cs Co Pk s Pk o 45 R S RA S O X 1 2 Oj x 1 2 Oj x 是一個五元組 表示 1 2 Oj x R S RA S O X 1 2 S 分別是主體1 主體2 RA表示某一請求元素oj O表示某一客體x X是訪問權(quán)限or是空or是主客體的安全級 46 五 狀態(tài)轉(zhuǎn)換規(guī)則P R V D V其中R是請求集 S RA S O X D是判斷集 V是狀態(tài)集D yes no error V P S O A F狀態(tài)集對v Vv b M f 表示某一狀態(tài)b S O A表示在當前時刻 哪些主體獲得了對哪些客體的權(quán)限b s1 o1 r s1 o2 w s2 o2 a M 當前狀態(tài)訪問控制矩陣f 當前時刻所有主體和客體的密級和部門集 47 P R V D V對請求 Rk vn R V 在函數(shù) 的作用下 Rk v Dm v 系統(tǒng)對請求Rk的反應(yīng)是Dm 狀態(tài)由v轉(zhuǎn)換成v 48 十條規(guī)則 規(guī)則1 規(guī)則4用于主體請求對某客體的訪問權(quán)形式 g Si Oj r 規(guī)則5用于主體釋放它對某客體的訪問權(quán)規(guī)則6 7分別用于主體授予和撤消另一主體對客體的訪問權(quán)規(guī)則8用于改變靜止客體的密級和部門集規(guī)則9 10分別用于創(chuàng)建和刪除一個客體 49 規(guī)則1 主體si請求得到對客體oj的r訪問權(quán)get read 1 Rk v if 1 or gorx ror 2 then 1 Rk v v ifr Mijor f1 si f2 o orf4 oj f4 o then 1 Rk v yes v b si oj r M f else 1 Rk v no v end g Si Oj r 1 2 Oj x 50 規(guī)則1對主體si的請求作了如下檢查 1 主體的請求是否適用于規(guī)則1的請求格式 主體請求對某客體的訪問權(quán)形式 g Si Oj r 1 2 Oj x if 1 or gorx ror 2 then 1 Rk v v 51 2 oj的擁有者或控制者是否授予了si對oj的讀訪問權(quán)r Mij之檢查 3 si的安全級是否支配oj的安全級f1 si f2 oj orf3 si f4 oj 52 4 在訪問集b中 若si對另一客體o有w a訪問權(quán) 是否一定有o的安全級支配oj的安全級 o o b si w a and f2 oj f2 o orf4 oj f4 o NOT f2 oj f2 o orf4 oj f4 o f2 oj f2 o andf4 oj f4 o 53 流向 54 若上述4項檢查有一項通不過 則系統(tǒng)拒絕執(zhí)行si的請求 系統(tǒng)狀態(tài)保持不變通過檢查 則請求被執(zhí)行 si oj r 添加到系統(tǒng)的訪問集b中 系統(tǒng)狀態(tài)v轉(zhuǎn)換成v b si oj r M f 看得出來 檢查 2 是系統(tǒng)在實施自主訪問控制 檢查 3 4 是系統(tǒng)在實施強制訪問控制只有檢查 2 4 通過了 才能保證狀態(tài)轉(zhuǎn)換時 仍然保持其安全性 55 規(guī)則2 主體si請求得到對客體oj的a訪問權(quán)get append 2 Rk v if 1 or gorx aor 2 then 2 Rk v v ifa Mijthen 2 Rk v no v ifU 2 o o b si r w and f2 oj f2 o orf4 oj f4 o then 2 Rk v yes b si oj a M f else 2 Rk v no v end 56 規(guī)則2對主體si的請求所作的檢查類似規(guī)則1不同的是 當si請求以Append方式訪問oj時 無需做簡單安全性檢查 狀態(tài)v b M f 滿足簡單安全性iff對所有的 s o x b 有 i x e或x a或x c或 ii x r或x w 且 f1 s f2 o f3 s f4 o 57 規(guī)則3 主體si請求得到對客體oj的e訪問權(quán)get execute 3 Rk v if 1 or gorx eor 2 then 3 Rk v v ife Mijthen 3 Rk v no v else 3 Rk v yes b si oj e M f end 58 規(guī)則3對si的請求只作類似與規(guī)則1中的 1 2 兩項檢查 1 主體請求對某客體的訪問權(quán)形式 g Si Oj e 2 oj的擁有者或控制者是否授予了si對oj的讀訪問權(quán)r Mij之檢查Si對請求對Oj的執(zhí)行權(quán)時不需作簡單安全性和 性質(zhì)的安全檢查 59 規(guī)則4 主體si請求得到對客體oj的w訪問權(quán)get write 4 Rk v if 1 or gorx wor 2 then 4 Rk v v ifw Mijor f1 si f2 o orf4 oj f4 o o o b si w and f2 oj f2 o orf4 oj f4 o then 4 Rk v yes v yes b si oj w M f else 4 Rk v no v end 60 規(guī)則4的安全性檢查類似于規(guī)則1 1 請求對某客體的訪問權(quán)形式 g Si Oj w 2 oj的擁有者或控制者是否授予了si對oj的讀訪問權(quán)r Mij之檢查 3 si的安全級是否支配oj的安全級f1 si f2 o orf4 oj f4 o 61 62 規(guī)則4的 性質(zhì)檢查較為復(fù)雜 U 4 o o b si r and f2 oj f2 o orf4 oj f4 o o o b si w and f2 oj f2 o orf4 oj f4 o 63 規(guī)則5 主體si請求釋放對客體oj的r或w或e或a訪問權(quán)release read write append execute 5 Rk v if 1 or ror x r w aande or 2 then 5 Rk v v else 5 Rk v yes v yes b si oj x M f end 64 規(guī)則5用于主體si請求釋放對客體oj的訪問權(quán) 包括r w e和a等權(quán)因為訪問權(quán)的釋放不會對系統(tǒng)造成安全威脅 所以不需要作安全性檢查 并可將四種情形Rk r si oj r 或 r si oj w 或 r si oj a 或 r si oj e 用同一條規(guī)則來處理 65 規(guī)則6 主體s 請求授予主體si對客體oj的r或w或e或a訪問權(quán)請求的五元組Rk s g si oj r 或 s g si oj w 或 s g si oj a 或 s g si oj e 系統(tǒng)的當前狀態(tài)v b M f give read write append execute 6 Rk v if 1 s S or g or x r w aande or 2 then 6 Rk v v ifx M jorc M jM j x c then 6 Rk v no v else 6 Rk v yes b M x ij f end 66 規(guī)則6中M x ij表示將x加入到訪問矩陣M的第i行第j列元素Mij中去 即用集合Mij x 替換M中Mij由于s 的請求只涉及自主訪問控制中的授權(quán) 因此規(guī)則6除了作請求是否適用于規(guī)則6的檢查外 僅作自主安全性有關(guān)的檢查 即s 自身必須同時具有對客體oj的x權(quán)和控制c權(quán) 方能對si進行相應(yīng)的授權(quán) 67 規(guī)則6授權(quán)成功后 并不意味著si已獲得對oj的x訪問權(quán)之后si請求對oj的x訪問時 系統(tǒng)還要對其進行簡單安全性和 性質(zhì)的檢查 68 規(guī)則7 主體s 請求撤銷主體si對客體oj的r或w或e或a訪問權(quán)rescind read write append execute 7 Rk v if 1 s S or r or x r w aande or 2 then 7 Rk v v ifx M jorc M jthen 7 Rk v no v else 7 Rk v yes b si oj x M x ij f end 69 系統(tǒng)執(zhí)行規(guī)則7時 不僅從訪問矩陣M的i行j列的元素Mij中將x刪除掉 而且訪問集b中也必須刪去三元組 si oj x 這意味著主體si將喪失對oj的x訪問權(quán) 70 規(guī)則8 改變靜止客體的安全級Rk c oj f change f 8 Rk v if 1 or c or 2 orx Fthen 8 Rk v v iff1 f1orf3 f3or f2 oj f2 oj orf4 oj f4 oj forsomej A m 注 A m 表示活動客體的下標集A m j 1 j m且存在i 使Mij then 8 Rk v no v else 8 Rk v yes b M f end 71 iff1 f1orf3 f3or f2 oj f2 oj orf4 oj f4 oj forsomej A m A m j 1 j m且存在i 使Mij 注意 NOT f1 f1orf3 f3or f2 oj f2 oj orf4 oj f4 oj f1 f1andf3 f3 AND f2 oj f2 oj andf4 oj f4 oj 72 A m j 1 j m且存在i 使Mij M32 r w a 73 A m j 1 j m且存在i 使Mij A 4 1 4 存在1 3 使M11 M34 74 所謂靜止客體是指被刪除了的客體 該客體名可以被系統(tǒng)中的主體重新使用例如某存儲器段或某個文件名 當該客體被重新使用來存放數(shù)據(jù)時 客體的安全級不能被定義為創(chuàng)建這一客體的主體的安全級 顯然主體可以創(chuàng)建客體 但該客體的安全級必須由系統(tǒng)來定義 因此規(guī)則8中沒有主體 75 A m 是活動客體的下標集 即A m j 1 j m且存在i 使Mij非空 規(guī)則8的安全性要求是 新定義的安全級f f1 f2 f3 f4 不能改變系統(tǒng)中主體的安全級 也不能改變活動客體的安全級 只能改變靜止客體的安全級 在這種情形下 新狀態(tài)v 用f 代替原狀態(tài)v中的f 76 規(guī)則9 主體si請求創(chuàng)建客體ojRk c si oj e 或Rk c si oj create object 9 Rk v if 1 or cor 2 or x eand then 9 Rk v v ifj A m then 9 Rk v no v ifx then 9 Rk v yes b M r w a c ij f else 9 Rk v yes b M r w a c e ij f end 77 規(guī)則9要求主體si所創(chuàng)建的客體不能是活動著的客體當客體創(chuàng)建成功后 系統(tǒng)便將對oj的所有訪問權(quán)賦予si 需要區(qū)分的是 當oj不是可執(zhí)行程序時 e權(quán)不賦予si 78 規(guī)則10 主體si請求刪除客體ojRk d si oj delete object 10 Rk v if 1 or dor 2 orx then 10 Rk v v ifc Mijthen 10 Rk v no v else 10 Rk v yes b M r w a c e ij 1 i n f end 79 si必須對oj具有控制權(quán)才能刪除oj 在這里 擁有權(quán)和控制權(quán)是一致的 oj被刪除后 oj成為靜止客體 此時 訪問矩陣的第j列 即oj所對應(yīng)的列中各元素必須全部清空 不包含任何權(quán)限 80 規(guī)則1 主體si請求得到對客體oj的r訪問權(quán)規(guī)則2 主體si請求得到對客體oj的a訪問權(quán)規(guī)則3 主體si請求得到對客體oj的e訪問權(quán)規(guī)則4 主體si請求得到對客體oj的w訪問權(quán)規(guī)則5 主體si請求釋放對客體oj的r或w或e或a訪問權(quán) 81 規(guī)則6 主體s 請求授予主體si對客體oj的r或w或e或a訪問權(quán)規(guī)則7 主體s 請求撤銷主體si對客體oj的r或w或e或a訪問權(quán)規(guī)則8 改變靜止客體的安全級Rk c oj f 規(guī)則9 主體s請求創(chuàng)建客體ojRk c si oj e 或Rk c si oj 規(guī)則10 主體s請求刪除客體ojRk d si oj 82 六系統(tǒng)的定義 1 R D V V Rk Dm v v Rk R Dm D v v V R是請求集 D是判定集 V是狀態(tài)集即 任意一個請求 任意一個結(jié)果 判斷 和任意兩個狀態(tài)都可組成一個上述的有序四元組 這些有序四元組便構(gòu)成集合R D V V 83 提示 狀態(tài)轉(zhuǎn)換規(guī)則 R V D V其中R是請求集 D是判斷集 V是狀態(tài)集對請求 Rk vn R V 在函數(shù) 的作用下 Rk v Dm v 系統(tǒng)對請求Rk的反應(yīng)是Dm 狀態(tài)由v轉(zhuǎn)換成v D yes no error yes 請求被執(zhí)行 no 請求被拒絕error 系統(tǒng)出錯 請求出錯 84 提示 V P S O A F狀態(tài)集對v Vv b M f 表示某一狀態(tài)b S O A表示在當前時刻 哪些主體獲得了對哪些客體的權(quán)限b s1 o1 r s1 o2 w s2 o2 a M 當前狀態(tài)訪問控制矩陣f 當前時刻所有主體和客體的密級和部門集 85 2 設(shè) 1 2 s 是一組規(guī)則的集合 定義關(guān)系 四元組的集合 W R D V V Rk v v W iff對每個i 1 i s i Rk v v Rk error v v W iff存在i1 i2 1 i1 i2 s 使得對任意的v v V有 i1 Rk v v 且 i2 Rk v v Rk Dm v v W Dm Dm error iff存在唯一的i 使得對某個v 和任意的v V i Rk v v i Rk v Dm v 86 Rk error v v 解釋設(shè) 1 2 s 是一組規(guī)則的集合error 系統(tǒng)出錯 亦即對請求Rk 存在有多條規(guī)則適合它則可設(shè)存在i1和i2 1 i1 i2 s v1 和v2 i1 Rk v Dm v1 i2 Rk v Dm v2 上面可寫法 對任意v 和v i1 Rk v v 且 i2 Rk v v 此即存在i1 i2 1 i1 i2 s 使得對任意的v v V i1 Rk v v 且 i2 Rk v v 注 W Rk v v Rk error v v Rk Dm v v k m非負自然數(shù) 87 1 請求Rk出錯 沒有一條規(guī)則適合于它 2 系統(tǒng)出錯 有多條規(guī)則適合于請求Rk 3 存在唯一一條規(guī)則適合于請求Rk任一四元組 Rk Dm v v W 必須滿足上述定義中某一條在狀態(tài)v下 若發(fā)出某請求Rk 必存在一判定Dm error yes no 根據(jù) 中的規(guī)則 將狀態(tài)v轉(zhuǎn)換為狀態(tài)v 或保持狀態(tài)不變 88 3 T t1 t2 是離散時刻集 用作請求序列 結(jié)果序列 狀態(tài)序列的下標X RT x x T R x可表示為x x1x2 xt 是請求序列X是請求序列集 時刻t時發(fā)出的請求用xt表示Y DT y y T D y可表示為y y1y2 yt 是結(jié)果序列Y是結(jié)果序列集 時刻t時作出的判定用yt表示Z VT z z T V z可表示為z z1z2 zt 是狀態(tài)序列Z是狀態(tài)序列集 時刻t的狀態(tài)用zt表示X Y Z x y z x X y Y z Z 其中 x x1x2 xt y y1y2 yt z z1z2 zt 89 4 系統(tǒng)記作 R D W z0 其定義為 R D W z0 X Y Z x y z R D W z0 iff對每一個t T xt yt zt zt 1 W z0是系統(tǒng)初始狀態(tài) 記z0 M f 此即BLP模型定義的系統(tǒng) 90 七 系統(tǒng)安全的定義 BLP模型定義了安全狀態(tài) 安全狀態(tài)序列以及系統(tǒng)的安全出現(xiàn) 最后說明了什么樣的系統(tǒng)是安全系統(tǒng)1 安全狀態(tài)一個狀態(tài)v b M f 若它滿足自主安全性 簡單安全性和 性質(zhì) 那么這個狀態(tài)就是安全的 2 安全狀態(tài)序列設(shè)z z1z2 zt 是一狀態(tài)序列 若對于每一個t T zt都是安全狀態(tài) 則z是安全狀態(tài)序列 91 3 系統(tǒng)的一次安全出現(xiàn) x y z R D W z0 稱為系統(tǒng)的一次出現(xiàn) 若 x y z 是系統(tǒng)的一次出現(xiàn) 且z是一安全狀態(tài)序列 則稱 x y z 是系統(tǒng) R D W z0 的一次安全出現(xiàn) 4 安全系統(tǒng)若系統(tǒng) R D W z0 的每次出現(xiàn)都是安全的 則稱該系統(tǒng)是一安全系統(tǒng) 92 八 模型中的有關(guān)安全結(jié)論 1 這十條規(guī)則都是安全性保持的即 若v是安全狀態(tài) 則經(jīng)過這十條規(guī)則轉(zhuǎn)換后的狀態(tài)v 也一定是安全狀態(tài)2 若z0是安全狀態(tài) 是一組安全性保持的規(guī)則 則系統(tǒng) R D W z0 是安全的 93 九 對BLP安全模型的評價 1 BLP模型的優(yōu)缺點 優(yōu)點 是一種嚴格的形式化描述 控制信息只能由低向高流動 能滿足軍事部門等一類對數(shù)據(jù)保密性要求特別高的機構(gòu)的需求缺點 BLP 過于安全 上級對下級發(fā)文受到限制 部門之間信息的橫向流動被禁止 缺乏靈活 安全的授權(quán)機制 94 2 BLP中不安全的地方 低安全級的信息向高安全級流動 可能破壞高安全客體中數(shù)據(jù)完整性 被病毒和黑客利用 只要信息由低向高流動即合法 高讀低 不管工作是否有需求 這不符合最小特權(quán)原則 高級別的信息大多是由低級別的信息通過組裝而成的 要解決推理控制的問題 95 例如 設(shè)o1 o2 o3 o4 主體S的安全級同o1 96 九 對BLP安全模型的評價 在BLP模型中 通過比較主體安全級和客體安全級來確定主體是否對客體具有訪問權(quán)限 安全檢查執(zhí)行向上寫向下讀的策略 即主體只能寫安全級高 包括相等 的數(shù)據(jù) 只能讀安全級低 包括相等 的數(shù)據(jù)在實際系統(tǒng)設(shè)計過程中 發(fā)現(xiàn)傳統(tǒng)的BLP模型過于嚴格和簡單 不能滿足實際應(yīng)用的需求 需要進行以下改進 97 九 對BLP安全模型的評價 1 按照BLP模型 向上寫 的規(guī)則 任何主體都可以寫最高安全級的數(shù)據(jù) 沒有限制主體的最高寫安全級 從而降低了高安全級數(shù)據(jù)的完整性 必須限制低安全級主體向高安全級別數(shù)據(jù)寫的能力 2 某些高安全級別的主體不應(yīng)該總是有能力看到所有低安全級別的數(shù)據(jù) 必須將主體的讀能力限定在一個范圍內(nèi) 而不是允許讀所有低安全級別的客體 3 有些低安全級別的數(shù)據(jù)允許低安全級別主體讀 但不意味著允許低級別的主體改寫 只有規(guī)定的安全級別范圍內(nèi)的主體才能改寫 98 九 對BLP安全模型的評價 4 對于安全級高的主體而言 不僅要寫安全級高的數(shù)據(jù) 也會有寫安全級低的數(shù)據(jù)的合理需求 靜態(tài)的主體安全級別限制了主體的這種合理請求 影響了系統(tǒng)的可用性 必須允許主體可以根據(jù)數(shù)據(jù)的情況 在不違反BLP安全公理的條件下 動態(tài)調(diào)節(jié)自己的安全級 5 按照BLP模型 對于某一安全范疇之內(nèi)的客體 同一安全范疇之內(nèi)的主體必然至少可以有讀寫權(quán)限中的一種 實踐中有時候需要有能力屏蔽主體對特定敏感區(qū)域內(nèi)數(shù)據(jù)的任何操作 99 九 對BLP安全模型的評價 可以設(shè)計一個增強的多級安全模型 對主體的敏感標記進行擴充 將主體讀寫敏感度標記分離 讀寫敏感標記都是由最低安全級和最高安全級組成的區(qū)間組成 從而可將主體的讀寫權(quán)限分別限制在一個區(qū)間之內(nèi) 即限制主體的最低寫安全級 最低讀安全級 最高讀安全級和最高寫安全級采用讀寫分離的區(qū)間權(quán)限 可以提供豐富的安全管理方案 提高數(shù)據(jù)完整性和系統(tǒng)的可用性 使系統(tǒng)的安全控制更加靈活方便 要不破壞安全性質(zhì) 必須將區(qū)間敏感度標記與動態(tài)調(diào)整策略相結(jié)合 即主體當前敏感標記必須根據(jù)客體敏感標記和主體訪問權(quán)限的歷史過程進行動態(tài)調(diào)整 100 九 對BLP安全模型的評價 調(diào)整說明讀了一個級別的客體后 調(diào)整環(huán)境限制參數(shù)防止信息泄漏 以后就不能寫比該客體的安全級別更低級別的客體寫了一個級別的客體后 調(diào)整環(huán)境限制參數(shù)防止信息泄漏 以后就不能讀比該客體的安全級別更高級別的客體讀寫了一個級別的客體 調(diào)整環(huán)境限制參數(shù)防止信息泄漏 以后就不能讀比這個客體的安全級別更高級別的客體 不能寫比這個客體的安全級別更低級別的客體 101 九 對BLP安全模型的評價 缺點增加了強制存取控制的復(fù)雜性優(yōu)點增加了應(yīng)用中的靈活性 使得多級安全策略更具有實用性 102 五其它幾種安全模型 1 安全信息流的格模型1976年D Deming與BLP模型一致系統(tǒng)中任意操作序列的執(zhí)行所產(chǎn)生的信息流動 只能沿著格結(jié)構(gòu)所定義的流關(guān)系的方向進行流動 103 交和并 在格 L 中 由于每一對元素l1 l2 L都存在唯一的上 下確界 因此可以把l1 l2和l1 l2看作是集合L上的二元運算 也把 和 分別稱為 交 和 并 界 如果一個格存在有最小元素和最大元素 則稱它們?yōu)樵摳竦慕?格 設(shè) L 是一個偏序集 若L中每一對元素都存在下確界和上確界 則稱 L 是格 格 是一個代數(shù)系統(tǒng) 和 是L上的兩個二元運算 如果這兩個運算滿足交換率 結(jié)合律和吸收律 則稱是一個格 104 吸收律P P Q P P 1 P Q P P 1 Q P 1 P同理P P Q P 105 例1 證明偏序集 2U 是一個格 證 對于全集U的冪集2U的任意兩個元素S1 S2 U 而對于任意S 2U 若有S1 S且S2 S 必有S1 S2 S S1 S2是S1和S2的上確界 即 2U的任意元素對S1 S2都有最小上界 同理可得 2U的任意元素對S1 S2都有最大下界S1 S2 2U 是一個格 注 2U 是一個典型的格 其中集合的交與并同格的交與并是完全統(tǒng)一的 必有S1 S1 S2 S2 S1 S2 S1 S2是S1和S2的上界 106 例2 正整數(shù)集N上的整除關(guān)系 是一個偏序關(guān)系 N上任意兩個元素n1 n2的最小公倍數(shù)是n1 n2的上確界 N上任意兩個元素n1 n2的最大公約數(shù)是n1 n2的下確界 N 是一個格 證明格 107 2 無干擾模型1982年Goguen與Meseguer設(shè)有使用某一命令集的一組用戶和另一組戶 如果第一組用戶使用這些命令所得到的結(jié)果 對于第二組用戶能訪問的數(shù)據(jù)沒有影響 則稱第一組用戶沒有干擾第二組用戶 108 一組 二組 3 Biba模型1977年Biba K J 它是數(shù)據(jù)完整性保護模型 109 Biba模型 Biba 1977 在研究BLP模型的特性時發(fā)現(xiàn) BLP模型只解決了信息的保密問題 其在完整性定義存在方面有一定缺陷Biba模型模仿BLP模型的信息保密性級別 定義了信息完整性級別 在信息流向的定義方面不允許從級別低的進程到級別高的進程 也就是說用戶只能向比自己安全級別低的客體寫入信息 從而防止非法用戶創(chuàng)建安全級別高的客體信息 避免越權(quán) 篡改等行為的產(chǎn)生Biba模型可同時針對有層次的安全級別和無層次的安全種類 110 Biba模型的兩個主要特征 1 禁止向上回滾 這樣使得完整性級別高的文件是一定由完整性高的進程所產(chǎn)生的 從而保證了完整性級別高的文件不會被完整性低的文件或完整性低的進程中的信息所覆蓋 2 Biba模型沒有下 讀 111 Biba模型用偏序關(guān)系可以表示為 1 r 當且僅當SC s SC o 允許讀操作 2 w 當且僅當SC s SC o 允許寫操作 Biba模型是和BLP模型相對立的模型 Biba模型重視信息完整性問題 但在一定程度上卻忽視了保密性 112 4 Clark Wilson模型1987年Clark和Wilson它是基于良性事務(wù)和職責分散兩個基本概念提出的保護數(shù)據(jù)完整性的模型 用來實現(xiàn)商業(yè)安全策略 113 信息的完整性在商業(yè)應(yīng)用中則有重要意義適用于商業(yè)計算機安全的形式化模型與BLP模型在方法上有很大的不同 114 Clark Wilson模型采用了兩個基本的方法 以保證信息的安全合式交易 well formedtransition 責任分離 segregationofduties 合式交易的目的是不讓一個用戶隨意地修改數(shù)據(jù) 猶如手工記帳系統(tǒng) 要完成一個帳目記錄的修改 必須在支出與轉(zhuǎn)入兩個項目上都有變化 這種交易才是 合式 的 而當帳目無法平衡時 就有錯誤發(fā)生 合式交易是Clark Wilson模型中保證應(yīng)用完整性的一個機制 115 Clark Wilson模型中控制差錯的第二個機制就是責任分離此機制的目的是保證數(shù)據(jù)對象與它所代表的現(xiàn)實世界對象的對應(yīng) 而計算機本身并不能直接保證這種外部的一致性最基本的責任分離規(guī)則就是不允許任何創(chuàng)造或檢查某一個合式交易的人再來執(zhí)行它 那么 在一次合式交易中 至少要有兩個人參與 才能改變數(shù)據(jù) 116 在上述的兩種基本機制中 數(shù)據(jù)完整性Clark Wilson模型有兩類規(guī)則 強迫性規(guī)則確認規(guī)則強迫性規(guī)則是與應(yīng)用無關(guān)的安全功能 而確認性規(guī)則是與具體應(yīng)用相關(guān)的安全功能 117 在在介紹這兩種規(guī)則之前 先引入一些術(shù)語 有約束數(shù)據(jù)項 CDI 它們是系統(tǒng)完整性模型要應(yīng)用到的數(shù)據(jù)項 即可信數(shù)據(jù) 無約束數(shù)據(jù)項 UDI 與CDI相反 UDI是不可信數(shù)據(jù) 模型的完整性過程不保護UDI 事務(wù)過程 TP 也稱為轉(zhuǎn)換過程 它們的作用是把UDI從一種合法狀態(tài)轉(zhuǎn)換到另一種合法狀態(tài) 完整性驗證過程 IVP 這是一個保證所有系統(tǒng)中的CDI都服從完整性規(guī)定的過程 Clark Wilson模型把它用在與審計相關(guān)的過程中 118 Clark Wilson模型的規(guī)則 強迫性規(guī)則E1 用戶只能間接通過操作TP才能操作可信數(shù)據(jù) CDI E2 用戶只有被明確地授權(quán) 才能執(zhí)行操作E3 用戶的確認必須通過驗證E4 只有安全官員才能改變授權(quán) 119 確認性規(guī)則C1 可信數(shù)據(jù)必須經(jīng)過與真實世界一致性表達的檢驗C2 程序以合式交易的形式執(zhí)行操作C3 系統(tǒng)必須支持責任分離C4 由操作檢驗輸入 或接收或拒絕Clark Wilson模型用這八條規(guī)則定義了一個實行完整性策略的系統(tǒng)這些規(guī)則說明了在商業(yè)數(shù)據(jù)處理系統(tǒng)中完整性是如何實施的 Clark Wilson模型在計算機安全領(lǐng)域中引起了人們很大的興趣 也表明了商業(yè)上對計算機安全有一些獨特的要求 120 Seaview模型是一個多級安全關(guān)系數(shù)據(jù)庫系統(tǒng)的形式化安全模型 它的目標是設(shè)計一個達到DoD 美國國防部 可信計算機系統(tǒng)評估準則 TCSEC A1級的多級安全數(shù)據(jù)庫系統(tǒng) 5 Seaview模型 121 可信計算機評估標準 D級 最低安全形式 無系統(tǒng)訪問 數(shù)據(jù)訪問限制屬于這個級別的OS有 DOS WINDOWS MACINTOSHSYSTEN7 1C1級注冊帳號 口令 用戶識別 規(guī)定程序及信息訪問權(quán)C2級除C1外包括訪問控制環(huán)境如身份驗證級別 審計日志C2級的常見OS有UNIX XENIX NOVELL3 X WINDOWSNTB1級第一個多級安全級別 強制訪問控制 系統(tǒng)不允許文件的擁有者改變其許可權(quán)限B2級又稱結(jié)構(gòu)保護 系統(tǒng)中所有對象均加標簽 設(shè)備分配多個級別B3級安全域級別 使用安裝硬件的方式來加強域 要求用戶通過一條可信任途徑鏈接到系統(tǒng)上A級包括了一個嚴格的設(shè)計 控制和驗證過程 設(shè)計須驗證 數(shù)學 并通過秘密和可信任分布 硬件 軟件在傳輸過程中已受到保護 的分析 122 一 多級關(guān)系模式和客體的安全標記 Seaview模型將訪問控制粒度定為數(shù)據(jù)項 即對每一數(shù)項都有安全級標記 它將標準的關(guān)系模式R A1 A2 An 擴展為R A1 C1 A2 C2 An Cn 例 如下表一設(shè)di 密級 部門級 假定如下關(guān)系 123 Seaview模型對庫 表 記錄定義了安全級且要求這些數(shù)據(jù)客體的安全級呈以下關(guān)系 令D表示數(shù)據(jù)庫 R表示某張表的關(guān)系模式 r表示記錄 K表示記錄r中的主關(guān)鍵字 d表示r中不是主關(guān)鍵字的任一數(shù)據(jù)項 class D class R class K class d class r 124 在SeaView中 class r class d1 class d2 class dn lub class di di rclass R glb class di di Rclass D glb class Ri Ri D理解如下 1 若class D 高于class R 則安全級低于class D 的用戶無法知道該庫的存在 便不能訪問庫中與自己安全級相匹配的數(shù)據(jù) 125 2 類似地 若class R class r 則安全級低于class R 用戶不知道該關(guān)系存在 因此無法去訪問R中與自己安全級相匹配的數(shù)據(jù) 3 主關(guān)鍵字是用來唯一地標記該記錄的 常作為查詢的條件 它的安全級應(yīng)低于其它屬性值的安全級 4 整條記錄的安全級class r 高于記錄中所有數(shù)據(jù)項的安全級 常取各class d 的最小上界 它使得用戶的安全級只有當其支配class r 時 才能看到該記錄中所有的數(shù)據(jù)項 否則只能看到部分數(shù)據(jù)項 126 因此 對于表一有 class r1 d5class r2 d8class r3 d8class R glb d2 d3 d5 d7 d8 d1 若class u d8 則可以看到全部數(shù)據(jù)項 即整張表 若class u d7 則看到的是過濾后的如下關(guān)系 表二 127 128 若class u d5 則看到的是過濾后的如下表三 若class u d1 則u知道表R存在 可訪問表R的模式 可向R插入數(shù)據(jù) 129 二 Seaview模型的安全性質(zhì)1 若class u class R class u class R 或兩者不可比 則u看不到R的存在 2 若class u class R 則u可以訪問R 但不一定能訪問到R中所有的數(shù)據(jù) 具體規(guī)則如下 對每條紀錄r 若class u class r 則u能查詢到r 并能看到r中所有的數(shù)據(jù) 130 若class u class r 小于class r 或不可比 則u可以看到記錄r中的部分數(shù)據(jù) i class u class kr 則u能看到主關(guān)鍵字kr和r中安全級 class u 的數(shù)據(jù) 而其它的數(shù)據(jù) u看起來全為空值 ii class u class kr 小于class kr 或不可比 則u不能看到r中任何數(shù)據(jù) 131 u可以對R進行插入和修改操作如d1 d8均可對表進行插入 對其能看見的數(shù)據(jù)作修改 修改策略是 低不能改高 數(shù)據(jù)完整性保護 高不能改低 防止信息泄漏 只有同級才能改 132 三 多事例 在數(shù)據(jù)庫中可能出現(xiàn)這樣的現(xiàn)象 相同名字 同時存在多個數(shù)據(jù)實體 Seaview模型用不同的安全級來區(qū)別這些實體 這種現(xiàn)象稱為多事例1 多事例關(guān)系 由 查詢 引起的 在任一狀態(tài)下 不同安全級的主體檢索同一多級關(guān)系時 將得到的是不同的關(guān)系 這些不同的關(guān)系 稱為是多事例關(guān)系 133 2 多事例記錄 由 插入 引起的 具有相同的主關(guān)鍵字 但主關(guān)鍵字的安全級不同的記錄稱為是多事例記錄例如 安全級為d7的主體用主關(guān)鍵字005添加一條記錄到表一得到如下表四 134 3 多事例數(shù)據(jù)項 由 修改 引起的 在相同的記錄中 某數(shù)據(jù)項的值和其安全級呈現(xiàn)多種不同的取值 這樣的數(shù)據(jù)項稱為是多事例數(shù)據(jù)項 例如 d8要修改表一中的第二條記錄的A2此時不能用修改值覆蓋舊值 以免造成信息泄露 因此必須再創(chuàng)建相同的記錄 但相應(yīng)數(shù)據(jù)項是多事例的 135 四 多級安全存儲 多事例使得多級關(guān)系中出現(xiàn)了大量的數(shù)據(jù)冗余 Seaview模型將多級關(guān)系分解成關(guān)系模型的標準關(guān)系 將多級數(shù)據(jù)按照不同的級別分開存儲 這樣做消除了冗余且較大程度地減少了信息的泄露- 1.請仔細閱讀文檔,確保文檔完整性,對于不預(yù)覽、不比對內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請點此認領(lǐng)!既往收益都歸您。
下載文檔到電腦,查找使用更方便
14.9 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標,表示該PPT已包含配套word講稿。雙擊word圖標可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計者僅對作品中獨創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 安全策略 安全 模型
鏈接地址:http://www.szxfmmzy.com/p-10221066.html