操作系统安全模型课件

信息安全技术 操作系统安全概述：操作系统安全模型 信息安全技术 操主要内容1.操作系统安全模型概述2.安全模型的分类3.安全模型实例 主要内容1.操作系统安全模型概述1.操作系统安全模型概述 J.P.Anderson指出，要开发安全系统，首先必须建立系统的安全系统的安全模型模型。安全模型安全模型给出安全系统的形式化定义，正确地综合系统的各类因素。这些因素包括：系统的使用方式、使用环境类型、授权的定义、系统的使用方式、使用环境类型、授权的定义、共享的客体（系统资源）、共享的类型和受控共享思想共享的客体（系统资源）、共享的类型和受控共享思想等。这些因素应构成安全系统安全系统的形式化抽象描述，使得系统可以被证明是完整的、反映真实环境的、逻辑上能够实现程序的受控执行的。完成安全系统的建模之后，再进行安全核安全核的设计与实现。1.操作系统安全模型概述 J.P.Anderson指出 安全策略用来描述用户对系统安全的要求。一般来说，用户对信息系统的安全需求基于以下几个方面：机密性要求（机密性要求（confidentialityconfidentiality）：防止信息泄露给未授权的用户；完整性要求（完整性要求（integrityintegrity）：防止未授权用户对信息的修改；可记账性（可记账性（accountabilityaccountability）：防止用户对访问过某信息或执行过某一操作进行否认；可用性（可用性（availabilityavailability）：保证授权用户对系统信息的可访问性。安全策略用来描述用户对系统安全的要求。一般来说，用户对信息2.安全模型的分类2.1 2.1 状态机模型状态机模型用状态机语言状态机语言将安全系统描述成抽象的状态机抽象的状态机，用状态变量表示系统的状态，用转换规则描述变量变化的过程。状态机模型用于描述其他系统早就存在，但用于描述通用操作系统的所有状态变量几乎是不可能的。状态机安全模型通常只能描述安全操作系统中若干与安全若干与安全相关的主要状态变量。相当多的安全模型其实质都是状态机模型。它将系统描述成一个抽象的数学状态机，其中状态变量（state variables）表征机器状态，转移函数（transition functions）描述状态变量如何变化。2.安全模型的分类2.1 状态机模型 状态机模型状态机模型状态机模型的两个基本特征是状态和状态转移函数，它的数学原理是这样的：安全的初始状态；安全的状态转移函数；用归纳法可以证明系统是安全的。只要该模型的初始状态是安全的，并且所有的转移函数也是安全的（即一个安全状态通过状态转移函数只能达到新的安全状态），那么数学推理的必然结果是：系统只要从某个安全状态启动，无论按哪种顺序调用系统功能，系统将总是保持在安全状态。状态机模型 2.2 2.2 存取矩阵模型存取矩阵模型 存取矩阵模型（存取矩阵模型（Access Matrix ModelAccess Matrix Model）是状态机模型的一种。它将系统的安全状态表示成一个大的矩形阵列：每个主体拥有一行，每个客体拥有一列，交叉项表示主体对客体的访问模式。存取矩阵定义了系统的安全状态，这些状态又被状态转移规则（即上文的状态转移函数）引导到下一个状态。这些规则和存取矩阵构成了这种保护机制的核心。这种模型只限于为系统提供机制，具体的控制策略则包含在存取矩阵的当前状态中，使得依之实现一个系统时可实现机制和策略的很好分离。2.2 存取矩阵模型 存取矩阵模型存取矩阵模型 在实际的计算机系统中当把存取矩阵作为一个二维数组来实现时，它往往会成为一个稀疏矩阵。于是，实际中对存取矩阵的存放，很自然地采用按行存放或者按列存放。按行存放。每个主体在其属性数据结构中部有若干客体及它对它们各自的存取权限，这种方法叫能力表（Capability List）法。按列存放，则是在每个客体的属性数据结构中存放着系统中每个主体对该客体的存取权限，这种方法叫访问控制表（Access Control List，简称ACL）。典型地，系统中每个文件都有一个相应的ACL表来控制各个主体对它的存取权限。比如在UNIX 存取矩阵模型 文件系统中，将用户分成用户主、用户组和其它用户三类，分别标明各类用户对文件的存取权限。一般而言，能力表法或ACL法往往将主体对客体的存取权限交给客体的拥有者去制订，从而使这两种方法，尤其ACL法，常常是和自主存取控制策略联系在一起。文件系统中，将用户分成用户主、用户组和其它用户三类，分别标明3.1 BLP3.1 BLP模型模型3.1 BLP3.1 BLP模型模型Bell和Lapadula在19731973年提出BLP模型，然后于1974年至1976年对该模型进行了进一步的充实和完善。BLPBLP模型模型是最具有代表性的形式化信息安全模型，它是根据军方的军方的安全策略安全策略设计的，用于控制对具有密级划分密级划分的信息的访问。它所关注的是信息的保密性，主要用于军事领域军事领域。它是定义多等级安全（定义多等级安全（MLSMLS）的基础。3.1 BLP模型3.1 BLP模型3.安全模型实例3.1 BLP模型3.2 Biba模型 3.3 Clark-Wilson模型 3.4 Chinese Wall模型 3.5 RBAC模型 3.安全模型实例3.1 BLP模型 BLP模型BLP模型是一个请求驱动请求驱动的状态机模型状态机模型。它在某一状态接受请求接受请求，然后输出决定，进入下一个状态下一个状态。BLP模型可以归结为三方面的内容：元素、属性和规则。下面分别作简单介绍。主体（主体（SubjectSubject，S S）：）：指引起信息流动的访问发起者。用户登录到系统后，由进程代表用户执行具体访问操作，系统中只有进程向客体发出访问请求。客体（客体（ObjectObject，O O）：指信息流动中的访问承受者。客体包括文件、目录、进程、设备、进程间通信结构等。BLP模型 BLP模型敏感标记敏感标记：指主体或客体的安全标记，是系统进行保密性访问控制的依据，包括等级分类和非等级类别两部分。其中，等级分类指主体或客体的密级，由一个整数代表；非等级类别指主体可以访问的客体范围，由一个集合表示。权限权限：指主体对客体的访问操作，比如读、写、执行等。属性属性：指模型的安全性质。规则规则：描述模型状态之间的状态转换规则。BLP模型BLP模型简单安全特性（简单安全特性（ss-ss-特性）特性）：如果（主体，客体，可读）是当前访问，那么一定有：level(主体)level(客体)其中，level表示安全级别。这个特性表示的是主体只能读取自己的敏感标记可以支配其敏感标记的客体，也就是不上读的特性。BLP模型 BLP模型星号安全特性（星号安全特性（*-特性）特性）：在任意状态，如果（主体，客体，方式）是当前访问，那么一定有：若方式是a，则：level(客体)current-level(主体)若方式是w，则：level(客体)=current-level(主体)若方式是r，则：current-level(主体)level(客体)其中，current-level表示当前安全级别。它表示的是主体只能写敏感标记支配自己的敏感标记的客体，也就是不下写的特性。BLP模型BLP模型自主安全特性（自主安全特性（ds-ds-特性）特性）：如果（主体-i，客体-j，方式-x）是当前访问，那么，方式-x一定在访问控制矩阵M的元素Mij中。与ds-特性处理自主访问控制相对应，ss-特性和*-特性处理的是强制访问控制。自主访问控制的权限由客体的属主自主确定，强制访问控制的权限由特定的安全管理员确定，由系统强制实施。BLP模型BLP模型基本安全定理基本安全定理：如果系统状态的每一次变化都能满足ss-特性、*-特性和ds-特性的要求，那么，在系统的整个状态变化过程中，系统的安全性是不会被破坏的。BLP模型的主要缺点是由于模型过于抽象，在系统中实施时比较困难。BLP模型 BLP模型图 Bell-Lapadula安全模型 BLP模型图 Bell-Lapadula安全模型3.2 Biba模型 Biba模型 Biba模型是K.J.Biba于19771977年提出的，该模型是第一个涉及到计算机系统中完整性问题完整性问题的模型。该模型是以完整性级别的有序格有序格为基础的。它支持的是信息的完信息的完整性。整性。Biba模型的基本概念就是不允许低完整性不允许低完整性的信息流动到高完整性高完整性的对象中，只允许信息流以相反的方向流动。Biba模型提出了5 5种不同种不同的用于完整性目的的强制访问控制策略。下面分别介绍。3.2 Biba模型 Biba模型 Biba模型 面向主体的面向主体的低水标策略低水标策略在该策略中，每个主体的完整性级别不是静态不变的，而是取决于它前一状前一状态的完整性级别。它基于如下规则：主体主体具有对给定客体的写权限写权限，当且仅当该主体的完整性级别支配该客体的完整性级别；主体具有对另一个主体的通信权限通信权限，当且仅当第一个主体的完整性级别支配第二个主体的完整性级别；Biba模型 主体具有对任何客体的读权限，并且当主体执行完读操作后，主体的完整性级别会降低为执行读操作前主体和客体的完整性级别的最小上界。因此，当主体对具有较低完整性级别的客体进行读操作后会降低其本身的完整性级别，从而缩小了其可以访问的客体集主体具有对任何客体的读权限，并且当主体执行完读操作后，主体的Biba模型 面向客体面向客体的低水标策略的低水标策略除了改变主体的完整性级别外，面向客体的低水标策略还要求被修改客体的完整性级别。它基于如下的规则：主体具有对任何客体的写操作，并且当主体执行完写操作后，客体的完整性级别会降低为执行写操作前主体和客体的完整性级别的最大上界。因此，当一个具有较高完整性级别的客体被一个具有较低完整性级别的主体进行写操作后，它的完整性级别相应会降低，从而导致信息的泄漏，并且一旦客体的完整性级别变低后再也不能恢复。Biba模型 Biba模型 低水标完整性审计策略低水标完整性审计策略该策略是面向客体的低水标策略的变种，在该策略下，客体的完整性级别不会被改变，它基于如下规则：主体对任何完整性级别的客体都具有写权限，但是如果该主体的完整性级别小于被操作客体的完整性级别，这个操作会被记录在审计日志中。因此，这种方法并没有保护信息的不恰当更改，只是通过审计这种手段将该操作记录了下来，以便于以后的检查。Biba模型 Biba模型 环策略环策略在该策略下，主体和客体在它们的生命周期中完整性级别是固定不变的，并且只允许对那些完整性级别小于或等于该主体的客体进行修改。另外，通过允许读取任何完整性级别的客体，系统在灵活性方面获得了很多的提高。它基于如下的规则：主体具有对给定客体的写权限，当且仅当该主体的完整性级别支配客体的完整性级别；Biba模型 一个主体具有对另一个主体的通信权限，当且仅当第一个主体的完整性级别被第二个主体的完整性级别所支配；主体具有对任何客体的读权限。在这种策略下，信息流任有可能从低完整性级别流向高完整性级别，比如，一个具有高完整性级别的主体读取一个具有低完整性级别的客体，然后写具有和它同级别的客体。一个主体具有对另一个主体的通信权限，当且仅当第一个主体的完整Biba模型 严格完整性策略严格完整性策略严格完整性策略是在TCSEC上提出的机密性策略的数学对偶。其强制访问控制策略基于如下的规则：简单完整性特性（Simple-Integrity Property）：主体S能够读客体O，当且仅当w（s）w（o）；完整性星号特性（Integrity*-Property）：主体S能够写客体O，当且仅当w（s）w（o）；调用特性（Invocation Property）：主体S1能够调用（Invoke）主体S，当且仅当w（s1）w（s）。Biba模型 这里w表示主体或客体的完整性级别。总的来说，严格完整性策略提供了NRD（No Read Down，不下读）和NWU（No Wirte Up，不上写）特性。从这两个特性来看，Biba与BLP模型的两个特性是正好相反，BLP模型提供保密性，而Biba模型对于数据的完整性提供保障。这里w表示主体或客体的完整性级别。总的来说，严格完整Biba模型 依据Biba安全模型所制定的原则是利用不下读/不上写来保证数据的完整性。图3 Biba安全模型Biba模型 图3 Biba安全模型Clark-Wilson模型 Clark-Wilson模型简称为CWCW模型模型，它是ClarkClark和和WilsonWilson于19871987年在给出军事保密性军事保密性和商业完整性商业完整性的严格区别时提出的一个数据完整性模型。Clark和Wilson认为，在商业数据环境中，相对于保密性保密性而言，数据的完整性更为重要。而且，要实施完整性策略，仅仅依靠TCSEC中所描述的安全机制是不够的，必须增加另外的安全机制安全机制，因此该模型是强数据类型强数据类型和面向事务处理面向事务处理的商用完整性模型。该模型提出以后，学术界开始关注于数据完整性相关的研究。3.3 Clark-Wilson模型 Clark-Wilson模型 3.3 Clark-WilsoClark-Wilson模型 Clark-Wilson模型指出了与商业系统相关的数据一致性目标是：保证任何人都不能修改数据不能修改数据以获取公司资产或改动会计帐目。CW完整性模型基于如下的两个基本概念：良性处理良性处理（Well-Formed Transaction）：指用户不能随意不能随意操作数据操作数据，以此确保数据内部一致性为前提；责任隔离责任隔离（Separation of Duty）：指将所有的操作分成几个子部分，每个子部分由不同的人分别执行每个子部分由不同的人分别执行，以此确保数据的外部一致性。Clark-Wilson模型 Clark-Wilson模型 CW模型中包含四种元素：约束数据项（约束数据项（CDIsCDIs）：指必须实施完整性模型完整性模型的数据；非约束数据项（非约束数据项（UDIsUDIs）：指不受完整性策略不受完整性策略约束的数据，它们只受自主控制约束。新进入系统的数据都被认为是UDIs，但随后可以被转变变为CDIs；转移过程（转移过程（TPsTPs）：指实施完整性策略实施完整性策略的过程，用于把CDIs集合从一个有效状态改变到另一个有效状态；完整性验证过程（完整性验证过程（IVPsIVPs）：指实施完整性策略的过程，用于检查内部的数据一致性内部的数据一致性，也可以用于检查外部的数据一致性。Clark-Wilson模型 Chinese Wall模型 Chinese Wall模型是BrewerBrewer和和NashNash于19891989年提出的一个安全策略模型，该模型可以用于实现动态改变访问权限动态改变访问权限，它的基本原则是没有任何信息流导致利益的冲突没有任何信息流导致利益的冲突。Chinese Wall（中国墙策略）的基本原理是：给出一组规则一组规则，任何主体都不能访问不能访问他所在的墙外的数据（客体）。该策略模型来源于顾问行业顾问行业的服务规则，一个顾问在为某个企业提供商务服务后，不能再向该企业的竞争者企业提供类似的商务服务，当然不限制他向不存在竞争关系的企业提供商务服务。3.4 Chinese Wall模型 Chinese Wall模型 3.4 Chinese WalChinese Wall模型 在该模型中，企业信息可以分成三个不同级别的层次：最下层最下层是企业的单个数据，称为客体；客体；中间层中间层是企业数据集，是企业内所有数据的集合；最上层最上层是利益冲突层，由相互竞争的企业数据集组成企业数据集组成。Chinese Wall模型 Chinese Wall模型 以下的特性构成了Chinese Wall模型的核心：简单安全特性简单安全特性（ss-特性），一个主体可以对同一个数据集内的客体或者不同利益冲突类的客体具有读权限，也就是说，一个主体最多可以读取每个利益冲突类中的一个数据集。星号安全特性星号安全特性（*-特性），只有当主体S对一个与客体O不在同一公司且其利益冲突集为空的客体O没有读权限时，S才具有对客体O的写权限。Chinese Wall模型 RBAC模型 RBAC的基本思想是根据组组织织视视图图的不同职能岗位划分角色，访问许可映射在角色上，用户被分配给角色，并通过会话激活角色集，能够间接访问信息资源。用户与角色以及操作许可与角色是多对多的关系，因此一个用户可以分配多个角色，一个角色可以拥有多个用户。同理，一个操作许可可以分配多个角色，一个角色可以赋予多个操作许可。角色可以划分等级，即角色的结构化，反映企业组织的结构和人员责权的分配，并且角色通过继承形成偏序关系。3.5 RBAC模型 RBAC模型 3.5 RBAC模型 其他模型 信息流模型（信息流模型（Flow ModelFlow Model）无干扰模型（无干扰模型（Noninterference ModelNoninterference Model）DTEDTE模型模型 其他模型 小 结1.操作系统安全模型概述2.安全模型的分类3.安全模型实例 3.1 BLP模型 3.2 Biba模型 3.3 Clark-Wilson模型 3.4 Chinese Wall模型 3.5 RBAC模型 小 结1.操作系统安全模型概述思考题 1.说明 BLP模型的原理 2.说明 Biba模型的原理 3.说明 Clark-Wilson模型的原理 4.说明 Chinese Wall模型的原理 5.说明 RBAC模型的原理思考题 1.说明 BLP模型的原理