安全策略与安全模型

《安全策略与安全模型》由会员分享，可在线阅读，更多相关《安全策略与安全模型（135页珍藏版）》请在装配图网上搜索。

1、精选ppt1 1.2.3.4.设是A上的关系,a A 均aa-设是A上的关系,a,b A若ab,则ab与ba不能同时出现 -设是A上的关系,a,b,c A若ab,bc则一定有ac -精选ppt2偏序关系偏序关系：集合 A 上的关系，如果它是自反、反对称且 可传递的，则称为 A 上的一个偏序关系偏序关系。“偏序关系”也叫做“偏序偏序”，用“”符号表示。可比可比：设是集合 A 上的偏序，对于 a、bA，若有 a b 或 b a，则称 a 和 b 是可比的可比的，否则称 a 和 b 是不可比的不可比的精选ppt3全序全序：一个集合 A 上的任意两个元素之间都满足偏序关系，则称该偏序为 A 上的一个全

2、序全序 良序良序：一个集合 A 上的偏序，若对于 A 的每一个非空子集 S A，在 S 中存在一个元素 as（称为 S 的最小元素），使得对于 所有的 s S，有as s，则称它为 A上的一个良序良序精选ppt4 若和是两个偏序集,在笛卡尔积AB上定义关系,对任意(a1,b1),(a2,b2)AB 当且仅当 a11a2,b12b2时,有(a1,b1)(a2,b2)可以证明:也是一个偏序集 精选ppt5因为、为偏序关系，所以a1 A 有a 11 a1，b1 B 有b 11 b1所以（a1,b1)(a1,b1)自反由（a1,b1)(a2,b2)（a2,b2)(a1,b1)，可得a11a2,a21a

3、1 可得 a1a2；同理有b1b2，此即（a2,b2)=(a1,b1)反对称又由（a1,b1)(a2,b2)（a2,b2)(a3,b3)，此即 a11a2,a21a3 可得 a11a3 同理：b12b2,b22b3 可得 b12b3 最后有（a1,b1)(a3,b3)传递性 精选ppt6 亦即(i)(a,b)AB,均有(a,b)(a,b)(ii)(a1,b1),(a2,b2),AB,若(a1,b1)(a2,b2),则(a1,b1)(a2,b2)与(a2,b2)(a1,b1)不能同时出现(iii)(a1,b1),(a2,b2),(a3,b3)AB,若(a1,b1)(a2,b2),(a2,b2)(

4、a3,b3)则一定有(a1,b1)(a3,b3)设是A上的关系,a A 均aa -设是A上的关系,a,b A若ab,则ab与ba不能同时出现 -设是A上的关系,a,b,c A若ab,bc则一定有ac -精选ppt71.安全策略的概念安全策略的概念计算机系统的安全策略是为了描述系统的安全需求而制定的对用户行为进行约束的一整套严谨的规则。这些规则规定系统中所有授权的访问,是实施访问控制的依据。精选ppt82.安全策略举例安全策略举例 系统中每个主体和客体都分配一个安全标准系统中每个主体和客体都分配一个安全标准 (安全级安全级)客体的安全级表示客体所包含的信息的敏感程度 主体的安全级表示主体在系统中

5、受信任的程度 精选ppt9 eg:密级分为4个级别:一般秘密机密绝密 (UC S TS)令A=U,C,S,TS,则是A上的全序,构成偏序集偏序集精选ppt10精选ppt11精选ppt12精选ppt13l主体、客体安全级定义以后，就可以通过比较主客体安全级，来决定主体对客体的访问以及什么样的访问。精选ppt14定义 A=U,C,S,TS在A AA 且 H (a1,H1),(a2,H2)AP ,当且仅当 a a,H (a,H)(a,H)是 APAP 构成一个偏序集。精选ppt15若和是两个偏序集,在笛卡尔积AB上定义关系,对任意(a1,b1),(a2,b2)AB 当且仅当 a11a2,b12b2时

6、,有(a1,b1)(a2,b2)可以证明:也是一个偏序集。是 APAP 构成一个偏序集。精选ppt16l在A=U,C,S,TS上定义,由于 UC S TS,所以l在l再在Al AA 且 H l(a,H),(a,H)AP ,当且仅当l a a,H (a,H)(a,H)l根据上述命题,AP 构成一个偏序集。精选ppt17精选ppt18l在一偏序集中,l l1,12L,若l112,则称12 支配l1。：主体 的安全级支配客体客体的安全级支配主体体u与客体的安全级相互不可支配。精选ppt19 一个主体仅能读安全级比自已安全级低或相等的客体 一个主体仅能写安全级比自己高或相等的客体“”(a1,H1)(a

7、2,H2)当且仅当a1 a2,H1 H2 u u对对OO1 1可读可读,对对OO2 2可写可写,对对OO3 3既不可读也不可写既不可读也不可写 精选ppt20”安全策略执行的结果是信息只能由低安全级的客体流向高安全级的客体，高安全级的客体的信息不允许流向低安全级的客体。l若要使一个主体既能读访问客体，又能写访问这个客体，两者的安全级必须相同。精选ppt21保护信息的机密性）l军事系统l政府及企业的办公自动化系统l具有层次结构的组织机构精选ppt222商业安全策略商业安全策略 用户对数据的操纵不能任意进行,而应该按照可保证数据完整性的受控方式进行,即数据应该用规定的程序,按照定义好的约束进行处理

8、。保存记录保存记录(包括修改数据之前修改数据之后的记录包括修改数据之前修改数据之后的记录)，事后被审计事后被审计 双入口规则：数据修改部分之间保持平衡双入口规则：数据修改部分之间保持平衡 内部数据的一致性内部数据的一致性 特别地，签发一张支票与银行帐号户头上的金额特别地，签发一张支票与银行帐号户头上的金额变动必须平衡变动必须平衡 可由一个独立测试帐簿是否平衡的程序来检查可由一个独立测试帐簿是否平衡的程序来检查精选ppt23 把一个操作分成几个子操作,不同的子操作由不同的用户执行,使得任何一个职员都不具有完成该任务的所有权限,尽量减少出现欺诈和错误的机会。购买订单购买订单记录到货记录到货记录货发

9、票记录货发票付款付款美入境签证精选ppt24l职责分散的最基本规则是，被允许创建或验证良性事务的人，不能允许他去执行该良性事务。l【至少需要两个人的参与才能进行】【职员不暗中勾结，职责分散有效】【随机选取一组职员来执行一组操作，减少合谋机会】精选ppt25l良性事务与职责分散是商业数据完整性保护的基本原则l专门机制被商业数据处理计算机系统用来实施良性事务与职责分散规则。l（a）保证数据被良性事务处理l 数据只能由一组指定的程序来操纵l 程序被证明构造正确、能对这些程序的安装能力、修改能力进行控制、保证其合法性l（b）保证职责分散l每一个用户必须仅被允许使用指定的程序组、用户执行程序的权限受控精

10、选ppt26l商业数据完整性控制与军事中的数据机密性差别：l（a）数据客体不与特定的安全级别相关l 只与一组允许操纵它的程序相联系l（b）用户直接读写数据被禁止l 被授权去执行与某一数据相关的程序l【一个用户即便被授权去写一个数据客体，他也只能通过针对那个数据客体定义的一些事务去做。】精选ppt27l商业安全策略也是一种强制访问控制l但它与军事安全策略的安全目标、控制机制不相同l商业安全策略强制性体现在：l（a）用户必须通过指定的程序来访问数据l（b）允许操纵某一数据客体的程序列表和允许执行某一程序的用户列表不能被系统的一般用户所更改军事与商业安全相同点：（1）一种机制被计算机系统用来保证系统

11、实施了安全策略中的安全需求（2）系统中的这种机制必须防止窜改和非授权的修改精选ppt28数据的机密性 数据的完整性 将数据与一个安全级相联系,通 过数据的安全级来控制用户对数据的访问 将数据与一组允许对其进行操 作的程序相联系,通过这组程序来控制用户 对数据的访问 用户对数据的操纵是任意的 用户对数据的操纵是受限的 精选ppt291.1.非形式化的安全模型非形式化的安全模型 2.2.形式化的安全模型形式化的安全模型 精选ppt30l安全系统的开发过程安全需求分析制定安全策略建立形式化的安全模型安全性证明安全功能精选ppt31l简称BLP模型l应用最早也最广泛的一个安全模型lDavid Bell

12、和Leonard La Padulal模型目标：计算机多级操作规则l安全策略：多级安全策略l常把多级安全的概念与BLP相联系l其它模型都尝试用不同的方法来表达多级安全策略精选ppt32lBLP模型是一个形式化模型l使用数学语言对系统的安全性质进行描述lBLP模型也是一个状态机模型l它反映了多级安全策略的安全特性和状态转换规则lBLP模型定义了l 系统、系统状态、状态间的转换规则l 安全概念、制定了一组安全特性l 对系统状态、状态转换规则进行约束l如果它的初始状态是安全的，经过一系列规则都是保持安全的，那么可以证明该系统是安全的精选ppt33ABCDEaaaaabbbbb状态机模型例精选ppt3

13、4(一一)模型的基本元素模型的基本元素 S=s1,s2,sn 主体集O=o1,o2,om客体集C=c1,c2,cq密级的集合 c1c2cq K=k1,k2,kr 部门或类别的集合 A=r,w,e,a,c 访问属性集 r:只读只读;w:读写读写;e:执行执行;a:添加添加;c:控制控制RA=g,r,c,d请求元素集 g:get,give;r:release,rescind c:change,create;d:delete D=yes,no,error,?yes请求被执行;no请求被拒绝 error系统出错;?请求出错 精选ppt35=M1,M2,Mp 访问矩阵集BA=f|f:ABF=Cs Co(

14、Pk)s(Pk)o Cs=f1|f1:S C f1给出每个主体的密级Co=f2|f2:OC f2给出每个客体的密级(Pk)s=f3|f3:S Pk f3给出每个主体的部门集(Pk)o=f4|f4:O Pk f4给出每个客体的部门集 f F f=(f1,f2,f3,f4)12345679108 f：A B(f1(si),f3(si)主体si的安全级(f2(oj),f4(oj)客体oj的安全级精选ppt36V=P(SOA)F 状态集对vV v=(b,M,f)表示某一状态 b SOA 表示在当前时刻,哪些主体获 得了对哪些客体的权限b=(s1,o1,r),(s1,o2,w),(s2,o2,a).M当

15、前状态访问控制矩阵 f当前时刻所有主体和客体的密级和部门集精选ppt37l系统在任何一个时刻都处于某一种状态v，即对任何时刻t，必有状态vt与之对应l随着用户对系统的操作，系统的状态不断地发生变化关心的问题l系统在各个时刻的状态，l 与状态相对应的访问集b是否能保证系统的安全性l显然只有每一个时刻状态是安全的，系统才可能安全。lBLP模型对状态的安全性进行了定义精选ppt38BLP模型的安全特性定义了系统状态的安全性，模型的安全特性定义了系统状态的安全性，体现了体现了BLP模型的安全策略。模型的安全策略。(1)自主安全性自主安全性 状态v=(b,M,f)满足自主安全性iff 对所有的(si,o

16、j,x)b,有xMij 此条性质是说，若(si,oj,x)b，即如果在状态v，主体si获得了对客体oj的x访问权，那么si必定得到了相应的自主授权。精选ppt39如果存在如果存在(si,oj,x)b,但主体si并未获得对客体oj的x访问权的授权，则v被认为不符合自主安全性。(2)简单安全性简单安全性 状态v=(b,M,f)满足简单安全性iff对所有的(s,o,x)b,有（i）x=e或x=a或x=c 或(ii)(x=r或x=w)且(f1(s)f2(o),f3(s)f4(o)SOe,c,a S(高)O(低)r w在BLP模型中,w权表示可读、可写，即主体对客体的修改权精选ppt40(3)*性质性质

17、 状态v=(b,M,f)满足*性质,当且仅当对所有的sS,若o1b(s:w,a),o2b(s:r,w),则f2(o1)f2(o2),f4(o1)f4(o2),其中符号b(s:x1,x2)表示b中主体s对其具有访问特权x1或x2的所有客体的集合。精选ppt41 o1(高高)O2(低低)rO1(高高)O2(低低)wO1(高高)O2(低低)wrO1O2ww (级别级别)(级别级别)相等相等流向精选ppt42l例：lb(s1,o1,r),(s2,o2,a),(s1,o2,w),(s2,o2,r),(s1,o3,a)l考虑b(s:x1,x2):b(s1:r,w)b(s1:w,a)b(s3:r,w)lb(

18、s1:r,w)=o1,o2lb(s1:w,a)=o2,o3lb(s3:r,w)=精选ppt43l*性质 重要安全特性lo1b(s:w,a),意味着s对o1有w权或a权,此时信息经由s流向o1lo2b(s:r,w),意味着s对o1有r权或w权,此时信息可由o2流向sl因此,在访问集b中以s为媒介,信息就有可能由o2流向o1。l所以要求o1的安全级必须支配o2安全级l当s对o1，o2均具有w权时，两次运用该特性，f2(o1)f2(o2),f4(o1)f4(o2)及,f2(o2)f2(o1),f4(o2)f4(o1)，l则要求o1的安全级必须等于o2安全级l显然它放反映了BLP模型中信息只能由低安全

19、级向高安全级流动的安全策略精选ppt44(四四)请求集请求集 请求集,它的元素是一 个完整的请求,不是请求元素集 其中 S=s1,s2,sn 主体集 RA=g,r,c,d A=r,w,e,a,c F=Cs Co(Pk)s(Pk)o 精选ppt45 是一个五元组,表示 1,2 S+分别是主体1,主体2 RA 表示某一请求元素 o j O表示某一客体 x x X 是访问权限or是空or是主客体的安全级精选ppt46 P:RVDV 其中 R是请求集(,D是判断集,V是状态集 D=yes,no,error,?V=P(SOA)F 状态集对vV v=(b,M,f)表示某一状态 b SOA 表示在当前时刻,

20、哪些主体获 得了对哪些客体的权限b=(s1,o1,r),(s1,o2,w),(s2,o2,a).M当前状态访问控制矩阵 f当前时刻所有主体和客体的密级和部门集精选ppt47 P:RVDV对请求(Rk,vn)RV,在函数的作用下 (Rk,v)=(Dm,v*)系统对请求Rk的反应是Dm,状态由v转换成v*精选ppt48十条规则十条规则:规则规则1规则规则4用于主体请求对某客体的访问权 形式 规则规则5 用于主体释放它对某客体的访问权规则规则6-7 分别用于主体授予和撤消另一主体对 客体的访问权规则规则8 用于改变静止客体的密级和部门集规则规则9-10 分别用于创建和删除一个客体精选ppt49规则规

21、则1：主体si请求得到对客体oj的r访问权get-read：1(Rk,v)if 1 or g or x r or 2=then 1(Rk,v)=(?,v)if r Mij or(f1(si)f2(o)or f4(oj)f4(o)=then 1(Rk,v)=(yes,v*=(b(si,oj,r),M,f)else 1(Rk,v)=(no,v)end 精选ppt50l规则1对主体si的请求作了如下检查:(1)主体的请求是否适用于规则1的请求格式;主体请求对某客体的访问权形式 if 1 or g or x r or 2=then 1(Rk,v)=(?,v)精选ppt51l(2)oj的拥有者或控制者是

22、否授予了si对oj的读访问权l r Mij之检查之检查l(3)si的安全级是否支配的安全级是否支配oj的安全级的安全级l f1(si)f2(o)or f4(oj)f4(o)=NOT f2(oj)f2(o)or f4(oj)f4(o)f2(oj)=f2(o)and f4(oj)f4(o)精选ppt53 o1(高高)O2(低低)rO1(高高)O2(低低)wO1(高高)O2(低低)wrO1O2ww (级别级别)(级别级别)相等相等流向精选ppt54l若上述4项检查有一项通不过,则系统拒绝执行si的请求,系统状态保持不变l通过检查,则请求被执行，（si，oj，r）添加到系统的访问集b中，系统状态v转换

23、成 v*=(b(si,oj,r),M,f)l看得出来，检查（看得出来，检查（2）是系统在实施自主访问）是系统在实施自主访问控制，检查（控制，检查（3）（）（4）是系统在实施强制访问）是系统在实施强制访问控制控制l只有检查（只有检查（2）（）（4）通过了，才能保证状态）通过了，才能保证状态转换时，仍然保持其安全性转换时，仍然保持其安全性精选ppt55规则规则2：主体si请求得到对客体oj的a访问权 get-append：2(Rk,v)if 1 or g or x a or 2=then 2(Rk,v)=(?,v)if a Mij then 2(Rk,v)=(no,v)if U 2=o|o b(s

24、i:r,w)and f2(oj)f2(o)or f4(oj)f4(o)=then 2(Rk,v)=(yes,(b (si,oj,a),M,f)else 2(Rk,v)=(no,v)end精选ppt56l规则2对主体si的请求所作的检查类似规则1l不同的是，当si请求以Append方式访问oj时，无需做简单安全性检查。状态v=(b,M,f)满足简单安全性iff对所有的(s,o,x)b,有 （i）x=e或x=a或x=c或(ii)(x=r或x=w)且(f1(s)f2(o),f3(s)f4(o)精选ppt57规则规则3：主体si请求得到对客体oj的e访问权get-execute：3(Rk,v)if 1

25、 or g or x e or 2=then 3(Rk,v)=(?,v)if e Mij then 3(Rk,v)=(no,v)else 3(Rk,v)=(yes,(b (si,oj,e),M,f)end精选ppt58l规则3对si的请求只作类似与规则1中的(1)(2)两项检查l(1)主体请求对某客体的访问权形式 ijl(2)oj的拥有者或控制者是否授予了si对oj的读访问权l r Mij之检查之检查i对请求对j的执行权时l不需作简单安全性和*性质的安全检查精选ppt59规则规则4：主体si请求得到对客体oj的w访问权get-write：4(Rk,v)if 1 or g or x w or 2

26、=then 4(Rk,v)=(?,v)if w Mij or f1(si)f2(oj)or f3(si)f4(oj)then 4(Rk,v)=(no,v)if U4=o|ob(si:r)and f2(oj)f2(o)or f4(oj)f4(o)o|ob(si:w)and f2(oj)f2(o)or f4(oj)f4(o)=then 4(Rk,v)=(yes,v*）=（yes，(b(si,oj,w),M,f)else 4(Rk,v)=(no,v)end精选ppt60l规则4的安全性检查类似于规则1l(1)请求对某客体的访问权形式 ijl(2)oj的拥有者或控制者是否授予了si对oj的读访问权l

27、r Mij之检查之检查l(3)si的安全级是否支配的安全级是否支配oj的安全级的安全级l f1(si)f2(o)or f4(oj)f4(o)=精选ppt61精选ppt62l规则4的性质检查较为复杂：U4=o|ob(si:r)and f2(oj)f2(o)or f4(oj)f4(o)o|ob(si:w)and f2(oj)f2(o)or f4(oj)f4(o)=精选ppt63规则规则5：主体si请求释放对客体oj的r或w或e 或a访问权release-read/write/append/execute：5(Rk,v)if 1 or r or(x r,w,a and e)or (2=)then 5

28、(Rk,v)=(?,v)else 5(Rk,v)=(yes,v*）=（yes，(b-(si,oj,x),M,f)end精选ppt64l规则5用于主体si请求释放对客体oj的访问权，包括r、w、e和a等权 因为访问权的释放不会对系统造成安全威胁，所以不需要作安全性检查，并可将四种情形Rk=(,r,si,oj,r)或(,r,si,oj,w)或(,r,si,oj,a)或(,r,si,oj,e)，用同一条规则来处理精选ppt65规则规则6：主体s请求授予主体si对客体oj的r或 w或e或a访问权请求的五元组Rk=(s,g,si,oj,r)或(s,g,si,oj,w)或(s,g,si,oj,a)或(s,

29、g,si,oj,e)，系统的当前状态v=(b,M,f)give-read/write/append/execute：6(Rk,v)if (1 s S)or(g)or(x r,w,a and e)or (2=)then 6(Rk,v)=(?,v)if x Mj or c Mj Mj=x,c,then 6(Rk,v)=(no,v)else 6(Rk,v)=(yes,(b,M xij,f)end 精选ppt66l规则6中lM xij表示将x加入到访问矩阵M的第i行第j列元素Mij中去。即用集合Mij x替换M中Mijl由于s的请求只涉及自主访问控制中的授权，因此规则6除了作请求是否适用于规则6的检查

30、外，仅作自主安全性有关的检查。即s自身必须同时具有对客体oj的x权和控制 c权，方能对si进行相应的授权l精选ppt67l规则6授权成功后，并不意味着si已获得对oj的x 访问权l之后si请求对oj的x 访问时，系统还要对其进行简单安全性和*性质的检查精选ppt68规则规则7：主体s请求撤销主体si对客体oj的r或 w或e或a访问权rescind-read/write/append/execute：7(Rk,v)if(1 s S)or(r)or(x r,w,a and e)or (2=)then 7(Rk,v)=(?,v)if x Mj or c Mj then 7(Rk,v)=(no,v)e

31、lse 7(Rk,v)=(yes,(b-(si,oj,x),M xij,f)end 精选ppt69l系统执行规则7时，不仅从访问矩阵M的i行j列的元素Mij中将x删除掉，而且访问集b中也必须删去三元组(si,oj,x)，这意味着主体si将丧失对oj的x访问权 精选ppt70改变静止客体的安全级 Rk=（,c,oj,f*)change-f：8(Rk,v)if (1 )or(c)or(2 )or x F then 8(Rk,v)=(?,v)if f1*f1 or f3*f3 or f2*(oj)f2(oj)or f4*(oj)f4(oj)for some j A(m)注：注：A(m)表示活动客体的

32、下标集表示活动客体的下标集A(m)j|1=j=m且存在且存在i,使使Mij then 8(Rk,v)=(no,v)else 8(Rk,v)=(yes,(b,M,f*)end精选ppt71if f1*f1 or f3*f3 or f2*(oj)f2(oj)or f4*(oj)f4(oj)for some j A(m)A(m)j|1=j=m且存在且存在i,使使Mij 注意：NOT（f1*f1 or f3*f3 or f2*(oj)f2(oj)or f4*(oj)f4(oj)）=（f1*=f1 and f3*=f3）AND f2*(oj)=f2(oj)and f4*(oj)=f4(oj)精选ppt7

33、2 A(m)j|1=j=m且存在且存在i,使使Mij M32=r,w,am1m2f1f2s1r,wra,es2rr,w,as3m1m2f1f2s1r,wra,es2rr,w,as3r,w,a精选ppt73 A(m)j|1=j=m且存在且存在i,使使Mij A(4)1，4|存在存在1、3,使使M11 M34 o1o2o3o4s1r,ws2rs3r,w,a精选ppt74l所谓静止客体是指被删除了的客体，该客体名可以被系统中的主体重新使用l例如某存储器段或某个文件名。当该客体被重新使用来存放数据时，客体的安全级不能被定义为创建这一客体的主体的安全级。显然主体可以创建客体，但该客体的安全级必须由系统来

34、定义，因此规则8中没有主体 精选ppt75lA(m)是活动客体的下标集，即A(m)=j|1jm 且存在i，使Mij非空l规则8的安全性要求是，新定义的安全级f*=(f1*,f2*,f3*,f4*)，不能改变系统中主体的安全级，也不能改变活动客体的安全级，只能改变静止客体的安全级，在这种情形下，新状态v*用f*代替原状态v中的f 精选ppt76规则规则9：主体si请求创建客体oj Rk=(,c,si,oj,e)或Rk=(,c,si,oj,)create-object：9(Rk,v)if 1 or c or 2=or(x e and)then 9(Rk,v)=(?,v)if jA(m)then 9

35、(Rk,v)=(no,v)if x=then 9(Rk,v)=(yes,(b,Mr,w,a,cij,f)else 9(Rk,v)=(yes,(b,Mr,w,a,c,eij,f)end精选ppt77l规则9要求主体si所创建的客体不能是活动着的客体l当客体创建成功后，系统便将对oj的所有访问权赋予si，需要区分的是，当oj不是可执行程序时，e权不赋予si精选ppt78规则规则10：主体si请求删除客体oj Rk=(,d,si,oj,)delete-object：10(Rk,v)if 1 or d or 2=or x then 10(Rk,v)=(?,v)if c Mij then 10(Rk,v

36、)=(no,v)else 10(Rk,v)=(yes,(b,M r,w,a,c,eij,1in,f)end精选ppt79lsi必须对oj具有控制权才能删除oj（在这里，拥有权和控制权是一致的）loj被删除后，oj成为静止客体。此时，访问矩阵的第j列，即oj所对应的列中各元素必须全部清空，不包含任何权限 精选ppt80l规则规则1：主体si请求得到对客体oj的r访问权l规则规则2：主体si请求得到对客体oj的a访问权l规则规则3：主体si请求得到对客体oj的e访问权l规则规则4：主体si请求得到对客体oj的w访问权l规则规则5：主体si请求释放对客体oj的r或w或e l 或a访问权精选ppt81

37、l规则规则6：主体s请求授予主体si对客体oj的r或l w或e或a访问权l规则规则7：主体s请求撤销主体si对客体oj的r或l w或e或a访问权改变静止客体的安全级 Rk=（,c,oj,f*)l规则规则9：主体s请求创建客体ojl Rk=(,c,si,oj,e)或Rk=(,c,si,oj,)l规则规则10：主体s请求删除客体ojl Rk=(,d,si,oj,)精选ppt82 =(Rk,Dm,v*,v)|Rk R,Dm D,v*,v V R是请求集,D是判定集,V是状态集即即:任意一个请求,任意一个结果（判断）和任意两个状态都可组成一个上述的有序四元组,这些有序四元组便构成集合RDVV 精选pp

38、t83提示提示:RVDV 其中 R是请求集,D是判断集,V是状态集 对请求(Rk,vn)RV,在函数的作用下 (Rk,v)=(Dm,v*)系统对请求Rk的反应是Dm,状态由v转换成v*D=yes,no,error,?yes请求被执行;no请求被拒绝 error系统出错;?请求出错精选ppt84V=P(SOA)F 状态集对vV v=(b,M,f)表示某一状态 b SOA 表示在当前时刻,哪些主体获 得了对哪些客体的权限b=(s1,o1,r),(s1,o2,w),(s2,o2,a).M当前状态访问控制矩阵 f当前时刻所有主体和客体的密级和部门集精选ppt852.设=1 1,2 2,s s 是一组规

39、则的集合,定义 关系(四元组的集合)W()RDVV(R(Rk k,?,v,v),?,v,v)W()W()iffiff 对每个i,1is,i i(R Rk k,v)=(?,v),v)=(?,v)(R(Rk k,error,v,v),error,v,v)W()W()iffiff 存在i1,i2,1i1i2s,使得对任意的v*,v*V有 i i1 1(R Rk k,v),v)(?,v(?,v*)且 i i2 2(R Rk k,v),v)(?,v(?,v*)(R(Rk k,D,Dm m,v,v*,v),v)W(),DW(),Dm m?,D?,Dm m error,error,iffiff 存在唯一的i

40、,使得对某个v*和任意的v*V,i i(R Rk k,v),v)(?,v(?,v*)精选ppt86(R(Rk k,error,v,v),error,v,v)解释解释设=1 1,2 2,s s 是一组规则的集合error系统出错系统出错,亦即对请求亦即对请求Rk，存在有多条规则适合它存在有多条规则适合它则可设存在则可设存在i1和和i2，1=i1i2s，v v1 1*和和v v2 2*，i1i1(R Rk k,v)=(D,v)=(Dm m,v,v1 1*)i2i2(R Rk k,v)=(D,v)=(Dm m,v,v2 2*)上面可写法：对任意v v*和和v v*,i1i1(R Rk k,v),v)

41、(?,v(?,v*)且且 i2i2(R Rk k,v),v)(?,v(?,v*)此即 存在i1,i2,1i1 o2 o3 o4，主体S的安全级同o1 低低时刻时刻t2释放对释放对o2的的访问权访问权o3高高低低o4时刻时刻t3S已含有o2和o3的信息此时S可将o2的信息传送到o3(无记忆)精选ppt96l在BLP模型中，通过比较主体安全级和客体安全级来确定主体是否对客体具有访问权限。安全检查执行向上写向下读的策略，即主体只能写安全级高(包括相等)的数据，只能读安全级低(包括相等)的数据l在实际系统设计过程中，发现传统的BLP模型过于严格和简单，不能满足实际应用的需求，需要进行以下改进：精选pp

42、t97l(1)按照BLP模型“向上写”的规则，任何主体都可以写最高安全级的数据，没有限制主体的最高写安全级，从而降低了高安全级数据的完整性。必须限制低安全级主体向高安全级别数据写的能力l(2)某些高安全级别的主体不应该总是有能力看到所有低安全级别的数据，必须将主体的读能力限定在一个范围内，而不是允许读所有低安全级别的客体l(3)有些低安全级别的数据允许低安全级别主体读，但不意味着允许低级别的主体改写，只有规定的安全级别范围内的主体才能改写精选ppt98l(4)对于安全级高的主体而言，不仅要写安全级高的数据，也会有写安全级低的数据的合理需求。静态的主体安全级别限制了主体的这种合理请求，影响了系统

43、的可用性。必须允许主体可以根据数据的情况，在不违反BLP安全公理的条件下，动态调节自己的安全级l(5)按照BLP模型，对于某一安全范畴之内的客体，同一安全范畴之内的主体必然至少可以有读写权限中的一种，实践中有时候需要有能力屏蔽主体对特定敏感区域内数据的任何操作精选ppt99 可以设计一个增强的多级安全模型，对主体的敏感标记进行扩充，将主体读写敏感度标记分离。读写敏感标记都是由最低安全级和最高安全级组成的区间组成，从而可将主体的读写权限分别限制在一个区间之内，即限制主体的最低写安全级、最低读安全级、最高读安全级和最高写安全级 采用读写分离的区间权限，可以提供丰富的安全管理方案，提高数据完整性和系

44、统的可用性，使系统的安全控制更加灵活方便。要不破坏安全性质，必须将区间敏感度标记与动态调整策略相结合，即主体当前敏感标记必须根据客体敏感标记和主体访问权限的历史过程进行动态调整精选ppt100l调整说明l读了一个级别的客体后，调整环境限制参数防止信息泄漏，以后就不能写比该客体的安全级别更低级别的客体l写了一个级别的客体后，调整环境限制参数防止信息泄漏，以后就不能读比该客体的安全级别更高级别的客体l读写了一个级别的客体，调整环境限制参数防止信息泄漏，以后就不能读比这个客体的安全级别更高级别的客体，不能写比这个客体的安全级别更低级别的客体精选ppt101l缺点l增加了强制存取控制的复杂性l优点l增

45、加了应用中的灵活性，使得多级安全策略更具有实用性精选ppt1021、安全信息流的格模型、安全信息流的格模型1976年年 D.Deming 与与BLP模型一致模型一致系统中任意操作序列的执行所产生的系统中任意操作序列的执行所产生的信息流动，只能沿着格结构所定义信息流动，只能沿着格结构所定义的流关系的方向进行流动。的流关系的方向进行流动。eabdcfgh31265101530dacb精选ppt103 交和并：交和并：在格 L；中，由于每一对元素 l 1，l 2 L 都存在唯一的上、下确界，因此可以把 l 1 l 2 和 l 1 l 2 看作是 集合 L 上的二元运算，也把 和 分 别称为“交交”和

46、“并并”界：界：如果一个格存在有最小元素和最大元素，则称它们为该格的界界 格格：设 L；是一个偏序集，若 L 中 每一对元素都存在下确界和上确界，则称 L；是格格。格格：是一个代数系统，和是 L 上的两个二元运算，如果这两个运算满足交换率、结合律和吸收律，则称 是一个格格 精选ppt104吸收律 P(PQ)=P(P1)(PQ)=PP(1Q)=P1=P同理P(PQ)=P精选ppt105例 1：证明偏序集 2U；是一个格。证：对于全集 U 的幂集 2U 的任意两个元素 S1，S2 U 而对于任意 S 2U，若有 S1 S 且 S2 S，必有 S1S2 S S1S2 是 S1 和 S2 的上确界 即

47、，2U 的任意元素对 S1，S2 都有最小上界 同理可得，2U 的任意元素对 S1，S2 都有最大下界 S1S2 2U；是一个格注：2U；是一个典型的格，其中集合的交与并同格的 交与并是完全统一的必有 S1 S1S2 ，S2 S1S2 S1S2 是 S1 和 S2 的上界精选ppt106例 2：正整数集 N 上的整除关系是一个偏序关系。N 上任意两个元素 n1，n2 的最小公倍数是 n1，n2 的上确界 N 上任意两个元素 n1，n2 的最大公约数是 n1，n2 的下确界 N；是一个格精选ppt1072、无干扰模型、无干扰模型1982年年 Goguen与与Meseguer 设有使用某一命令集的

48、一组用户和另设有使用某一命令集的一组用户和另一组户，如果第一组用户使用这些一组户，如果第一组用户使用这些命令所得到的结果，对于第二组用命令所得到的结果，对于第二组用户能访问的数据没有影响，则称第户能访问的数据没有影响，则称第一组用户没有干扰第二组用户。一组用户没有干扰第二组用户。精选ppt108一组二组3、Biba模型1977年 Biba.K.J.它是数据完整性保护模型精选ppt109Biba模型Biba,1977在研究BLP模型的特性时发现，BLP模型只解决了信息的保密问题，其在完整性定义存在方面有一定缺陷Biba模型模仿BLP模型的信息保密性级别，定义了信息完整性级别，在信息流向的定义方面

49、不允许从级别低的进程到级别高的进程，也就是说用户只能向比自己安全级别低的客体写入信息，从而防止非法用户创建安全级别高的客体信息，避免越权、篡改等行为的产生Biba模型可同时针对有层次的安全级别和无层次的安全种类精选ppt110Biba模型的两个主要特征（1）禁止向上回滚，这样使得完整性级别高的文件是一定由完整性高的进程所产生的，从而保证了完整性级别高的文件不会被完整性低的文件或完整性低的进程中的信息所覆盖（2）Biba模型没有下读精选ppt111Biba模型用偏序关系可以表示为：（1）r，当且仅当SC(s)SC(o)，允许读操作（2）w，当且仅当SC(s)SC(o)，允许写操作。Biba模型是

50、和BLP模型相对立的模型，Biba模型重视信息完整性问题，但在一定程度上却忽视了保密性精选ppt1124、Clark-Wilson模型1987年 Clark和Wilson它是基于良性事务和职责分散两个基本概念提出的保护数据完整性的模型,用来实现商业安全策略精选ppt113信息的完整性在商业应用中则有重要意义适用于商业计算机安全的形式化模型与BLP模型在方法上有很大的不同精选ppt114Clark-Wilson模型采用了两个基本的方法,以保证信息的安全 合式交易(well-formed transition)责任分离(segregation of duties)合式交易的目的是不让一个用户随意地

51、修改数据,犹如手工记帐系统,要完成一个帐目记录的修改,必须在支出与转入两个项目上都有变化，这种交易才是“合式”的，而当帐目无法平衡时，就有错误发生。合式交易是Clark-Wilson模型中保证应用完整性的一个机制精选ppt115Clark-Wilson模型中控制差错的第二个机制就是责任分离此机制的目的是保证数据对象与它所代表的现实世界对象的对应，而计算机本身并不能直接保证这种外部的一致性最基本的责任分离规则就是不允许任何创造或检查某一个合式交易的人再来执行它。那么,在一次合式交易中，至少要有两个人参与，才能改变数据精选ppt116在上述的两种基本机制中，数据完整性Clark-Wilson模型有

52、两类规则:强迫性规则确认规则强迫性规则是与应用无关的安全功能，而确认性规则是与具体应用相关的安全功能精选ppt117在在介绍这两种规则之前,先引入一些术语有约束数据项(CDI)它们是系统完整性模型要应用到的数据项，即可信数据无约束数据项(UDI)与CDI相反，UDI是不可信数据，模型的完整性过程不保护UDI事务过程(TP)也称为转换过程，它们的作用是把UDI从一种合法状态转换到另一种合法状态完整性验证过程(IVP)这是一个保证所有系统中的CDI都服从完整性规定的过程，Clark-Wilson模型把它用在与审计相关的过程中精选ppt118Clark-Wilson模型的规则强迫性规则E1:用户只能

53、间接通过操作TP才能操作可信数据(CDI)E2:用户只有被明确地授权，才能执行操作E3:用户的确认必须通过验证E4:只有安全官员才能改变授权精选ppt119确认性规则C1:可信数据必须经过与真实世界一致性表达的检验C2:程序以合式交易的形式执行操作C3:系统必须支持责任分离C4:由操作检验输入，或接收或拒绝Clark-Wilson模型用这八条规则定义了一个实行完整性策略的系统这些规则说明了在商业数据处理系统中完整性是如何实施的。Clark-Wilson模型在计算机安全领域中引起了人们很大的兴趣，也表明了商业上对计算机安全有一些独特的要求精选ppt120Seaview模型是一个多级安全关系数据库

54、系统的形式化安全模型。它的目标是设计一个达到DoD（美国国防部）可信计算机系统评估准则（TCSEC）A1级的多级安全数据库系统 精选ppt121lD级(最低安全形式)无系统访问、数据访问限制属于这个级别的OS有：DOS/WINDOWS/MACINTOSH SYSTEN 7.1lC1级注册帐号、口令/用户识别、规定程序及信息访问权lC2级除C1外包括访问控制环境如身份验证级别、审计日志 C2级的常见OS 有UNIX/XENIX/NOVELL 3.X/WINDOWS NTlB1级第一个多级安全级别/强制访问控制/系统不允许文件的拥有者改变其许可权限lB2级又称结构保护/系统中所有对象均加标签，设备

55、分配多个级别lB3级安全域级别/使用安装硬件的方式来加强域/要求用户通过一条可信任途径链接到系统上lA级包括了一个严格的设计、控制和验证过程。设计须验证（数学），并通过秘密和可信任分布（硬件、软件在传输过程中已受到保护）的分析精选ppt122Seaview模型将访问控制粒度定为数据项,即对每一数项都有安全级标记,它将标准的关系模式R(A1,A2,An)扩展为 R(A1,C1,A2,C2,An,Cn)一 设di=(密级,部门级)假定如下关系d8zd835d8005d8yd715d3013d5xd524d2001C3A3C2A2C1A1d8d7d6d5d2d3d4d1精选ppt123Seaview

56、模型对库、表、记录定义了安全级且要求这些数据客体的安全级呈以下关系（令D表示数据库,R表示某张表的关系模式,r表示记录,K表示记录r中的主关键字,d表示r中不是主关键字的任一数据项）：class(D)class(R)class(K)class(d)class(r)DRkdr精选ppt124在SeaView中:class(r)=class(d1)class(d2)class(dn)=lub(class(di)dirclass(R)=glb(class(di)diRclass(D)=glb(class(Ri)RiD 1.若class(D)高于class(R),则安全级低于class(D)的用户无法

57、知道该库的存在,便不能访问库中与自己安全级相匹配的数据;精选ppt1252.类似地,若class(R)class(r),则安全级低于class(R)用户不知道该关系存在,因此无法去访问R中与自己安全级相匹配的数据;3.主关键字是用来唯一地标记该记录的,常作为查询的条件,它的安全级应低于其它属性值的安全级;4.整条记录的安全级class(r)高于记录中所有数据项的安全级,常取各class(d)的最小上界;它使得用户的安全级只有当其支配class(r)时,才能看到该记录中所有的数据项,否则只能看到部分数 据项 精选ppt126因此,对于表一 有:class(r1)=d5 class(r2)=d8

58、class(r3)=d8 class(R)=glb(d2,d3,d5,d7,d8)=d1 若class(u)=d8,则可以看到全部数据项(即整张表)若class(u)=d7,则看到的是过滤后的如下关系(表二)nullnulld715d3013C3A3C2A2C1A1精选ppt127d8zd835d8005d8yd715d3013d5xd524d2001C3A3C2A2C1A1d8d7d6d5d2d3d4d1精选ppt128若class(u)=d5,则看到的是过滤后的如下表三 若class(u)=d1,则u知道表R存在(可访问表R的 模式,可向R插入数据)nullnullnullnulld301

59、3d5xd524d2001C3A3C2A2C1A1精选ppt1291.若class(u)class(R)（class(u)class(R)或两者不可比）则u看不到R的存在。2.若class(u)class(R)，则u可以访问R，但不一定能访问到R中所有的数据，具体规则如下：对每条纪录r：若class(u)class(r)，则u能查询到r，并能看到r中所有的数据 精选ppt130若class(u)class(r),(小于class(r)或不可比)则u可以看到记录r中的部分数据。i）class(u)class(kr)，则u能看到主关键字kr和r中安全级class(u)的数据；而其它的数据，u看起来

60、全为空值。ii）class(u)class(kr)（小于class(kr)或不可比），则u不能看到r中任何数据。精选ppt131u可以对R进行插入和修改操作 如d1d8均可对表进行插入,对其能看见的数据作修改。修改策略是：低不能改高（数据完整性保护）；低不能改高（数据完整性保护）；高不能改低（防止信息泄漏）；高不能改低（防止信息泄漏）；只有同级才能改只有同级才能改精选ppt132在数据库中可能出现这样的现象：相同名字，同时存在多个数据实体。Seaview模型用不同的安全级来区别这些实体 这种现象称为 1.多事例关系多事例关系（由（由“查询查询”引起的）引起的）在任一状态下，不同安全级的主体检索

61、同一多级关系时，将得到的是不同的关系，这些不同的关系，称为是多事例关系 精选ppt133具有相同的主关键字，但主关键字的安全级不同的记录称为是多事例记录安全级为d7的主体用主关键字005添加一条记录到表一得到如下表四 A1C1A2C2A3C3001d224d5xd5013d315d7yd8005d835d8zd8005d720d7wd7精选ppt134在相同的记录中，某数据项的值和其安全级呈现多种不同的取值，这样的数据项称为是多事例数据项。d8要修改表一中的第二条记录的A2 此时不能用修改值覆盖旧值,以免造成信息泄露。因此必须再创建相同的记录，但相应数据项是多事例的 A1C1A2C2A3C3013d315d7yd8013d348d8yd8精选ppt135 多事例使得多级关系中出现了大量的数据冗余，Seaview模型将多级关系分解成关系模型的标准关系，将多级数据按照不同的级别分开存储，这样做消除了冗余且较大程度地减少了信息的泄露