安全策略与安全模型.ppt

1 第三讲安全策略与安全模型 一数学基础1 集合元素子集a AH S2 集合的幂集2A P A H A 3 笛卡尔积A B a b a A b B 4 集合A上的关系的性质设 是A上的关系 a A均a a 自反设 是A上的关系 a b A若a b 则a b与b a不能同时出现 反对称设 是A上的关系 a b c A若a b b c则一定有a c 可传递的 2 偏序关系 集合A上的关系 如果它是自反 反对称且可传递的 则称 为A上的一个偏序关系 偏序关系 也叫做 偏序 用 符号表示 可比 设 是集合A上的偏序 对于a b A 若有a b或b a 则称a和b是可比的 否则称a和b是不可比的 5 集合上的偏序关系 3 全序 一个集合A上的任意两个元素之间都满足偏序关系 则称该偏序为A上的一个全序 良序 一个集合A上的偏序 若对于A的每一个非空子集S A 在S中存在一个元素as 称为S的最小元素 使得对于所有的s S 有as s 则称它为A上的一个良序 5 集合上的偏序关系 4 7 一个有用的结论命题 若和是两个偏序集 在笛卡尔积A B上定义关系 对任意 a1 b1 a2 b2 A B当且仅当a1 1a2 b1 2b2时 有 a1 b1 a2 b2 可以证明 也是一个偏序集 5 因为 为偏序关系 所以 a1 A有a1 1a1 b1 B有b1 1b1所以 a1 b1 a1 b1 自反由 a1 b1 a2 b2 a2 b2 a1 b1 可得a1 1a2 a2 1a1可得a1 a2 同理有b1 b2 此即 a2 b2 a1 b1 反对称又由 a1 b1 a2 b2 a2 b2 a3 b3 此即a1 1a2 a2 1a3可得a1 1a3同理 b1 2b2 b2 2b3可得b1 2b3最后有 a1 b1 a3 b3 传递性 6 亦即 i a b A B 均有 a b a b ii a1 b1 a2 b2 A B 若 a1 b1 a2 b2 则 a1 b1 a2 b2 与 a2 b2 a1 b1 不能同时出现 iii a1 b1 a2 b2 a3 b3 A B 若 a1 b1 a2 b2 a2 b2 a3 b3 则一定有 a1 b1 a3 b3 设 是A上的关系 a A均a a 自反设 是A上的关系 a b A若a b 则a b与b a不能同时出现 反对称设 是A上的关系 a b c A若a b b c则一定有a c 可传递的 7 二安全策略 1 安全策略的概念计算机系统的安全策略是为了描述系统的安全需求而制定的对用户行为进行约束的一整套严谨的规则 这些规则规定系统中所有授权的访问 是实施访问控制的依据 8 2 安全策略举例 军事安全策略中的强制访问控制策略 系统中每个主体和客体都分配一个安全标准 安全级 客体的安全级表示客体所包含的信息的敏感程度主体的安全级表示主体在系统中受信任的程度 9 安全标准由两部分组成 密级 部门 或类别 集 eg 密级分为4个级别 一般 秘密 机密 绝密 U C S TS 令A U C S TS 则是A上的全序 构成偏序集例 令B 科技处 干部处 生产处 情报处 PB 2B H H B 显然构成一个偏序集class O1 C 科技处 class u S 科技处 干部处 class O2 TS 科技处 情报处 干部处 class O3 C 情报处 10 在实施多级安全策略的系统中 系统为每一个主体和每一个客体分配一个安全级 密级 部门 或类别 集 或 密级 部门或类别 若某主体具有访问密级a的能力 则对任意b a 该主体也具有访问b的能力若某主体具有访问密级a的能力 则对任意b a 该主体不具有访问b的能力 11 密级 部门或类别或范畴 理解 对于客体来说 部门或类别或范畴 可定义为该客体所包含的信息所涉及的范围部门或所具有的类别属性对于主体来说 部门或类别或范畴 可定义为该主体能访问的信息所涉及的范围或部门例 2011年财务报表 S 财务处 总裁办公室 党办 财经小组 12 例 2011年财务报表 S 财务处 总裁办公室 党办 财经小组 肯定不会写成 S 财务处 三车间 大门 例 车间主任 C 三车间 仓库 肯定不会写成 S 财务处 党办 财经小组 13 主体 客体安全级定义以后 就可以通过比较主客体安全级 来决定主体对客体的访问以及什么样的访问 前面讲过 在实施多级安全策略的系统中 系统为每一个主体和每一个客体分配一个安全级 若某主体具有访问密级a的能力 则对任意b a 该主体也具有访问b的能力 若某主体具有访问密级a的能力 则对任意b a 该主体不具有访问b的能力 那么 b a或b a如何进行比较呢 14 定义A U C S TS B 部门或类别或范畴 例 B 科技处 干部处 生产处 情报处 PB 2B H H B 在A PB上定义一个二元关系 A PB a H a A且H PB a1 H1 a2 H2 A PB 当且仅当a1 a2 H1 H2时 有 a1 H1 a2 H2 可以证明 是A PB上的一个偏序关系即构成一个偏序集 15 可利用命题 若和是两个偏序集 在笛卡尔积A B上定义关系 对任意 a1 b1 a2 b2 A B当且仅当a1 1a2 b1 2b2时 有 a1 b1 a2 b2 可以证明 也是一个偏序集 证明 是A PB上的一个偏序关系即构成一个偏序集 16 在A U C S TS 上定义 由于U C S TS 所以 是一个全序 显然构成一个偏序集在PB上定义 容易看出 它也是一个偏序B 科技处 干部处 生产处 情报处 再在A PB上定义一个二元关系 A PB a H a A且H PB a1 H1 a2 H2 A PB 当且仅当a1 a2 H1 H2时 有 a1 H1 a2 H2 根据上述命题 构成一个偏序集 17 例 class O1 C 科技处 class u S 科技处 干部处 class O2 TS 科技处 情报处 干部处 class O3 C 情报处 O1uO2O3其安全级如何 可以看出 class O1 C 科技处 S 科技处 干部处 class u class u S 科技处 干部处 class O2 TS 科技处 情报处 干部处 class u 与class O3 不可比 18 在一偏序集中 l1 12 L 若l1 12 则称12支配l1 class O1 class u 主体u的安全级支配客体O1的安全级class u class O2 客体O2的安全级支配主体u的安全级class u 与class O3 不可比 主体u与客体O3的安全级相互不可支配 19 访问控制策略一个主体仅能读安全级比自已安全级低或相等的客体一个主体仅能写安全级比自己高或相等的客体即 向下读向上写 安全级如何比较高低 a1 H1 a2 H2 当且仅当a1 a2 H1 H2所以u对O1可读 对O2可写 对O3既不可读也不可写 20 向下读向上写 安全策略执行的结果是信息只能由低安全级的客体流向高安全级的客体 高安全级的客体的信息不允许流向低安全级的客体 若要使一个主体既能读访问客体 又能写访问这个客体 两者的安全级必须相同 21 多级安全策略适合 保护信息的机密性 军事系统政府及企业的办公自动化系统具有层次结构的组织机构 22 2商业安全策略 良性事务用户对数据的操纵不能任意进行 而应该按照可保证数据完整性的受控方式进行 即数据应该用规定的程序 按照定义好的约束进行处理 例 保存记录 包括修改数据之前修改数据之后的记录 事后被审计双入口规则 数据修改部分之间保持平衡内部数据的一致性特别地 签发一张支票与银行帐号户头上的金额变动必须平衡 可由一个独立测试帐簿是否平衡的程序来检查 23 职责分散把一个操作分成几个子操作 不同的子操作由不同的用户执行 使得任何一个职员都不具有完成该任务的所有权限 尽量减少出现欺诈和错误的机会 eg 购买订单 记录到货 记录货发票 付款美入境签证 24 职责分散的最基本规则是 被允许创建或验证良性事务的人 不能允许他去执行该良性事务 至少需要两个人的参与才能进行 职员不暗中勾结 职责分散有效 随机选取一组职员来执行一组操作 减少合谋机会 25 良性事务与职责分散是商业数据完整性保护的基本原则专门机制被商业数据处理计算机系统用来实施良性事务与职责分散规则 a 保证数据被良性事务处理数据只能由一组指定的程序来操纵程序被证明构造正确 能对这些程序的安装能力 修改能力进行控制 保证其合法性 b 保证职责分散每一个用户必须仅被允许使用指定的程序组 用户执行程序的权限受控 26 商业数据完整性控制与军事中的数据机密性差别 a 数据客体不与特定的安全级别相关只与一组允许操纵它的程序相联系 b 用户直接读写数据被禁止被授权去执行与某一数据相关的程序 一个用户即便被授权去写一个数据客体 他也只能通过针对那个数据客体定义的一些事务去做 27 商业安全策略也是一种强制访问控制但它与军事安全策略的安全目标 控制机制不相同商业安全策略强制性体现在 a 用户必须通过指定的程序来访问数据 b 允许操纵某一数据客体的程序列表和允许执行某一程序的用户列表不能被系统的一般用户所更改 军事与商业安全相同点 1 一种机制被计算机系统用来保证系统实施了安全策略中的安全需求 2 系统中的这种机制必须防止窜改和非授权的修改 28 3 军事安全策略与商业安全策略的比较 军事安全策略 数据的机密性商业安全策略 数据的完整性 军事安全策略 将数据与一个安全级相联系 通过数据的安全级来控制用户对数据的访问商业安全策略 将数据与一组允许对其进行操作的程序相联系 通过这组程序来控制用户对数据的访问 军事安全策略 用户对数据的操纵是任意的商业安全策略 用户对数据的操纵是受限的 29 三安全模型 安全模型是对安全策略所表达的安全需求简单 抽象和无歧义的描述分为 1 非形式化的安全模型2 形式化的安全模型 30 2 形式化的安全模型 安全系统的开发过程 安全需求分析 制定安全策略 建立形式化的安全模型 安全性证明 安全功能 31 四Bell LaPadula模型 简称BLP模型应用最早也最广泛的一个安全模型DavidBell和LeonardLaPadula模型目标 计算机多级操作规则安全策略 多级安全策略常把多级安全的概念与BLP相联系其它模型都尝试用不同的方法来表达多级安全策略 32 四Bell LaPadula模型 BLP模型是一个形式化模型使用数学语言对系统的安全性质进行描述BLP模型也是一个状态机模型它反映了多级安全策略的安全特性和状态转换规则BLP模型定义了系统 系统状态 状态间的转换规则安全概念 制定了一组安全特性对系统状态 状态转换规则进行约束如果它的初始状态是安全的 经过一系列规则都是保持安全的 那么可以证明该系统是安全的 33 状态机模型例 34 四Bell LaPadula模型 一 模型的基本元素S s1 s2 sn 主体集O o1 o2 om 客体集C c1 c2 cq 密级的集合c1 c2 cqK k1 k2 kr 部门或类别的集合A r w e a c 访问属性集r 只读 w 读写 e 执行 a 添加 c 控制RA g r c d 请求元素集g get give r release rescindc change create d deleteD yes no error yes 请求被执行 no 请求被拒绝error 系统出错 请求出错 35 M1 M2 Mp 访问矩阵集BA f f A B F Cs Co Pk s Pk oCs f1 f1 S C f1给出每个主体的密级Co f2 f2 O C f2给出每个客体的密级 Pk s f3 f3 S Pk f3给出每个主体的部门集 Pk o f4 f4 O Pk f4给出每个客体的部门集f Ff f1 f2 f3 f4 f1 si f3 si 主体si的安全级 f2 oj f4 oj 客体oj的安全级 36 二 系统状态 V P S O A F状态集对v Vv b M f 表示某一状态b S O A表示在当前时刻 哪些主体获得了对哪些客体的权限b s1 o1 r s1 o2 w s2 o2 a M 当前状态访问控制矩阵f 当前时刻所有主体和客体的密级和部门集 37 系统在任何一个时刻都处于某一种状态v 即对任何时刻t 必有状态vt与之对应随着用户对系统的操作 系统的状态不断地发生变化关心的问题系统在各个时刻的状态 与状态相对应的访问集b是否能保证系统的安全性显然只有每一个时刻状态是安全的 系统才可能安全 BLP模型对状态的安全性进行了定义 38 三 安全特性 BLP模型的安全特性定义了系统状态的安全性 体现了BLP模型的安全策略 1 自主安全性状态v b M f 满足自主安全性iff对所有的 si oj x b 有x Mij此条性质是说 若 si oj x b 即如果在状态v 主体si获得了对客体oj的x访问权 那么si必定得到了相应的自主授权 39 三 安全特性 如果存在 si oj x b 但主体si并未获得对客体oj的x访问权的授权 则v被认为不符合自主安全性 2 简单安全性状态v b M f 满足简单安全性iff对所有的 s o x b 有 i x e或x a或x c或 ii x r或x w 且 f1 s f2 o f3 s f4 o 在BLP模型中 w权表示可读 可写 即主体对客体的修改权 40 3 性质状态v b M f 满足 性质 当且仅当对所有的s S 若o1 b s w a o2 b s r w 则f2 o1 f2 o2 f4 o1 f4 o2 其中符号b s x1 x2 表示b中主体s对其具有访问特权x1或x2的所有客体的集合 理解如下4个图所示 41 流向 42 例 b s1 o1 r s2 o2 a s1 o2 w s2 o2 r s1 o3 a 考虑b s x1 x2 b s1 r w b s1 w a b s3 r w b s1 r w o1 o2 b s1 w a o2 o3 b s3 r w 43 性质重要安全特性o1 b s w a 意味着s对o1有w权或a权 此时信息经由s流向o1o2 b s r w 意味着s对o1有r权或w权 此时信息可由o2流向s因此 在访问集b中以s为媒介 信息就有可能由o2流向o1 所以要求o1的安全级必须支配o2安全级当s对o1 o2均具有w权时 两次运用该特性 f2 o1 f2 o2 f4 o1 f4 o2 及 f2 o2 f2 o1 f4 o2 f4 o1 则要求o1的安全级必须等于o2安全级显然它放反映了BLP模型中信息只能由低安全级向高安全级流动的安全策略 44 四 请求集R S RA S O X请求集 它的元素是一个完整的请求 不是请求元素集其中S S X A FS s1 s2 sn 主体集RA g r c d A r w e a c F Cs Co Pk s Pk o 45 R S RA S O X 1 2 Oj x 1 2 Oj x 是一个五元组 表示 1 2 Oj x R S RA S O X 1 2 S 分别是主体1 主体2 RA表示某一请求元素oj O表示某一客体x X是访问权限or是空or是主客体的安全级 46 五 状态转换规则P R V D V其中R是请求集 S RA S O X D是判断集 V是状态集D yes no error V P S O A F状态集对v Vv b M f 表示某一状态b S O A表示在当前时刻 哪些主体获得了对哪些客体的权限b s1 o1 r s1 o2 w s2 o2 a M 当前状态访问控制矩阵f 当前时刻所有主体和客体的密级和部门集 47 P R V D V对请求 Rk vn R V 在函数 的作用下 Rk v Dm v 系统对请求Rk的反应是Dm 状态由v转换成v 48 十条规则 规则1 规则4用于主体请求对某客体的访问权形式 g Si Oj r 规则5用于主体释放它对某客体的访问权规则6 7分别用于主体授予和撤消另一主体对客体的访问权规则8用于改变静止客体的密级和部门集规则9 10分别用于创建和删除一个客体 49 规则1 主体si请求得到对客体oj的r访问权get read 1 Rk v if 1 or gorx ror 2 then 1 Rk v v ifr Mijor f1 si f2 o orf4 oj f4 o then 1 Rk v yes v b si oj r M f else 1 Rk v no v end g Si Oj r 1 2 Oj x 50 规则1对主体si的请求作了如下检查 1 主体的请求是否适用于规则1的请求格式 主体请求对某客体的访问权形式 g Si Oj r 1 2 Oj x if 1 or gorx ror 2 then 1 Rk v v 51 2 oj的拥有者或控制者是否授予了si对oj的读访问权r Mij之检查 3 si的安全级是否支配oj的安全级f1 si f2 oj orf3 si f4 oj 52 4 在访问集b中 若si对另一客体o有w a访问权 是否一定有o的安全级支配oj的安全级 o o b si w a and f2 oj f2 o orf4 oj f4 o NOT f2 oj f2 o orf4 oj f4 o f2 oj f2 o andf4 oj f4 o 53 流向 54 若上述4项检查有一项通不过 则系统拒绝执行si的请求 系统状态保持不变通过检查 则请求被执行 si oj r 添加到系统的访问集b中 系统状态v转换成v b si oj r M f 看得出来 检查 2 是系统在实施自主访问控制 检查 3 4 是系统在实施强制访问控制只有检查 2 4 通过了 才能保证状态转换时 仍然保持其安全性 55 规则2 主体si请求得到对客体oj的a访问权get append 2 Rk v if 1 or gorx aor 2 then 2 Rk v v ifa Mijthen 2 Rk v no v ifU 2 o o b si r w and f2 oj f2 o orf4 oj f4 o then 2 Rk v yes b si oj a M f else 2 Rk v no v end 56 规则2对主体si的请求所作的检查类似规则1不同的是 当si请求以Append方式访问oj时 无需做简单安全性检查 状态v b M f 满足简单安全性iff对所有的 s o x b 有 i x e或x a或x c或 ii x r或x w 且 f1 s f2 o f3 s f4 o 57 规则3 主体si请求得到对客体oj的e访问权get execute 3 Rk v if 1 or gorx eor 2 then 3 Rk v v ife Mijthen 3 Rk v no v else 3 Rk v yes b si oj e M f end 58 规则3对si的请求只作类似与规则1中的 1 2 两项检查 1 主体请求对某客体的访问权形式 g Si Oj e 2 oj的拥有者或控制者是否授予了si对oj的读访问权r Mij之检查Si对请求对Oj的执行权时不需作简单安全性和 性质的安全检查 59 规则4 主体si请求得到对客体oj的w访问权get write 4 Rk v if 1 or gorx wor 2 then 4 Rk v v ifw Mijor f1 si f2 o orf4 oj f4 o o o b si w and f2 oj f2 o orf4 oj f4 o then 4 Rk v yes v yes b si oj w M f else 4 Rk v no v end 60 规则4的安全性检查类似于规则1 1 请求对某客体的访问权形式 g Si Oj w 2 oj的拥有者或控制者是否授予了si对oj的读访问权r Mij之检查 3 si的安全级是否支配oj的安全级f1 si f2 o orf4 oj f4 o 61 62 规则4的 性质检查较为复杂 U 4 o o b si r and f2 oj f2 o orf4 oj f4 o o o b si w and f2 oj f2 o orf4 oj f4 o 63 规则5 主体si请求释放对客体oj的r或w或e或a访问权release read write append execute 5 Rk v if 1 or ror x r w aande or 2 then 5 Rk v v else 5 Rk v yes v yes b si oj x M f end 64 规则5用于主体si请求释放对客体oj的访问权 包括r w e和a等权因为访问权的释放不会对系统造成安全威胁 所以不需要作安全性检查 并可将四种情形Rk r si oj r 或 r si oj w 或 r si oj a 或 r si oj e 用同一条规则来处理 65 规则6 主体s 请求授予主体si对客体oj的r或w或e或a访问权请求的五元组Rk s g si oj r 或 s g si oj w 或 s g si oj a 或 s g si oj e 系统的当前状态v b M f give read write append execute 6 Rk v if 1 s S or g or x r w aande or 2 then 6 Rk v v ifx M jorc M jM j x c then 6 Rk v no v else 6 Rk v yes b M x ij f end 66 规则6中M x ij表示将x加入到访问矩阵M的第i行第j列元素Mij中去 即用集合Mij x 替换M中Mij由于s 的请求只涉及自主访问控制中的授权 因此规则6除了作请求是否适用于规则6的检查外 仅作自主安全性有关的检查 即s 自身必须同时具有对客体oj的x权和控制c权 方能对si进行相应的授权 67 规则6授权成功后 并不意味着si已获得对oj的x访问权之后si请求对oj的x访问时 系统还要对其进行简单安全性和 性质的检查 68 规则7 主体s 请求撤销主体si对客体oj的r或w或e或a访问权rescind read write append execute 7 Rk v if 1 s S or r or x r w aande or 2 then 7 Rk v v ifx M jorc M jthen 7 Rk v no v else 7 Rk v yes b si oj x M x ij f end 69 系统执行规则7时 不仅从访问矩阵M的i行j列的元素Mij中将x删除掉 而且访问集b中也必须删去三元组 si oj x 这意味着主体si将丧失对oj的x访问权 70 规则8 改变静止客体的安全级Rk c oj f change f 8 Rk v if 1 or c or 2 orx Fthen 8 Rk v v iff1 f1orf3 f3or f2 oj f2 oj orf4 oj f4 oj forsomej A m 注 A m 表示活动客体的下标集A m j 1 j m且存在i 使Mij then 8 Rk v no v else 8 Rk v yes b M f end 71 iff1 f1orf3 f3or f2 oj f2 oj orf4 oj f4 oj forsomej A m A m j 1 j m且存在i 使Mij 注意 NOT f1 f1orf3 f3or f2 oj f2 oj orf4 oj f4 oj f1 f1andf3 f3 AND f2 oj f2 oj andf4 oj f4 oj 72 A m j 1 j m且存在i 使Mij M32 r w a 73 A m j 1 j m且存在i 使Mij A 4 1 4 存在1 3 使M11 M34 74 所谓静止客体是指被删除了的客体 该客体名可以被系统中的主体重新使用例如某存储器段或某个文件名 当该客体被重新使用来存放数据时 客体的安全级不能被定义为创建这一客体的主体的安全级 显然主体可以创建客体 但该客体的安全级必须由系统来定义 因此规则8中没有主体 75 A m 是活动客体的下标集 即A m j 1 j m且存在i 使Mij非空 规则8的安全性要求是 新定义的安全级f f1 f2 f3 f4 不能改变系统中主体的安全级 也不能改变活动客体的安全级 只能改变静止客体的安全级 在这种情形下 新状态v 用f 代替原状态v中的f 76 规则9 主体si请求创建客体ojRk c si oj e 或Rk c si oj create object 9 Rk v if 1 or cor 2 or x eand then 9 Rk v v ifj A m then 9 Rk v no v ifx then 9 Rk v yes b M r w a c ij f else 9 Rk v yes b M r w a c e ij f end 77 规则9要求主体si所创建的客体不能是活动着的客体当客体创建成功后 系统便将对oj的所有访问权赋予si 需要区分的是 当oj不是可执行程序时 e权不赋予si 78 规则10 主体si请求删除客体ojRk d si oj delete object 10 Rk v if 1 or dor 2 orx then 10 Rk v v ifc Mijthen 10 Rk v no v else 10 Rk v yes b M r w a c e ij 1 i n f end 79 si必须对oj具有控制权才能删除oj 在这里 拥有权和控制权是一致的 oj被删除后 oj成为静止客体 此时 访问矩阵的第j列 即oj所对应的列中各元素必须全部清空 不包含任何权限 80 规则1 主体si请求得到对客体oj的r访问权规则2 主体si请求得到对客体oj的a访问权规则3 主体si请求得到对客体oj的e访问权规则4 主体si请求得到对客体oj的w访问权规则5 主体si请求释放对客体oj的r或w或e或a访问权 81 规则6 主体s 请求授予主体si对客体oj的r或w或e或a访问权规则7 主体s 请求撤销主体si对客体oj的r或w或e或a访问权规则8 改变静止客体的安全级Rk c oj f 规则9 主体s请求创建客体ojRk c si oj e 或Rk c si oj 规则10 主体s请求删除客体ojRk d si oj 82 六系统的定义 1 R D V V Rk Dm v v Rk R Dm D v v V R是请求集 D是判定集 V是状态集即 任意一个请求 任意一个结果 判断 和任意两个状态都可组成一个上述的有序四元组 这些有序四元组便构成集合R D V V 83 提示 状态转换规则 R V D V其中R是请求集 D是判断集 V是状态集对请求 Rk vn R V 在函数 的作用下 Rk v Dm v 系统对请求Rk的反应是Dm 状态由v转换成v D yes no error yes 请求被执行 no 请求被拒绝error 系统出错 请求出错 84 提示 V P S O A F状态集对v Vv b M f 表示某一状态b S O A表示在当前时刻 哪些主体获得了对哪些客体的权限b s1 o1 r s1 o2 w s2 o2 a M 当前状态访问控制矩阵f 当前时刻所有主体和客体的密级和部门集 85 2 设 1 2 s 是一组规则的集合 定义关系 四元组的集合 W R D V V Rk v v W iff对每个i 1 i s i Rk v v Rk error v v W iff存在i1 i2 1 i1 i2 s 使得对任意的v v V有 i1 Rk v v 且 i2 Rk v v Rk Dm v v W Dm Dm error iff存在唯一的i 使得对某个v 和任意的v V i Rk v v i Rk v Dm v 86 Rk error v v 解释设 1 2 s 是一组规则的集合error 系统出错 亦即对请求Rk 存在有多条规则适合它则可设存在i1和i2 1 i1 i2 s v1 和v2 i1 Rk v Dm v1 i2 Rk v Dm v2 上面可写法 对任意v 和v i1 Rk v v 且 i2 Rk v v 此即存在i1 i2 1 i1 i2 s 使得对任意的v v V i1 Rk v v 且 i2 Rk v v 注 W Rk v v Rk error v v Rk Dm v v k m非负自然数 87 1 请求Rk出错 没有一条规则适合于它 2 系统出错 有多条规则适合于请求Rk 3 存在唯一一条规则适合于请求Rk任一四元组 Rk Dm v v W 必须满足上述定义中某一条在状态v下 若发出某请求Rk 必存在一判定Dm error yes no 根据 中的规则 将状态v转换为状态v 或保持状态不变 88 3 T t1 t2 是离散时刻集 用作请求序列 结果序列 状态序列的下标X RT x x T R x可表示为x x1x2 xt 是请求序列X是请求序列集 时刻t时发出的请求用xt表示Y DT y y T D y可表示为y y1y2 yt 是结果序列Y是结果序列集 时刻t时作出的判定用yt表示Z VT z z T V z可表示为z z1z2 zt 是状态序列Z是状态序列集 时刻t的状态用zt表示X Y Z x y z x X y Y z Z 其中 x x1x2 xt y y1y2 yt z z1z2 zt 89 4 系统记作 R D W z0 其定义为 R D W z0 X Y Z x y z R D W z0 iff对每一个t T xt yt zt zt 1 W z0是系统初始状态 记z0 M f 此即BLP模型定义的系统 90 七 系统安全的定义 BLP模型定义了安全状态 安全状态序列以及系统的安全出现 最后说明了什么样的系统是安全系统1 安全状态一个状态v b M f 若它满足自主安全性 简单安全性和 性质 那么这个状态就是安全的 2 安全状态序列设z z1z2 zt 是一状态序列 若对于每一个t T zt都是安全状态 则z是安全状态序列 91 3 系统的一次安全出现 x y z R D W z0 称为系统的一次出现 若 x y z 是系统的一次出现 且z是一安全状态序列 则称 x y z 是系统 R D W z0 的一次安全出现 4 安全系统若系统 R D W z0 的每次出现都是安全的 则称该系统是一安全系统 92 八 模型中的有关安全结论 1 这十条规则都是安全性保持的即 若v是安全状态 则经过这十条规则转换后的状态v 也一定是安全状态2 若z0是安全状态 是一组安全性保持的规则 则系统 R D W z0 是安全的 93 九 对BLP安全模型的评价 1 BLP模型的优缺点 优点 是一种严格的形式化描述 控制信息只能由低向高流动 能满足军事部门等一类对数据保密性要求特别高的机构的需求缺点 BLP 过于安全 上级对下级发文受到限制 部门之间信息的横向流动被禁止 缺乏灵活 安全的授权机制 94 2 BLP中不安全的地方 低安全级的信息向高安全级流动 可能破坏高安全客体中数据完整性 被病毒和黑客利用 只要信息由低向高流动即合法 高读低 不管工作是否有需求 这不符合最小特权原则 高级别的信息大多是由低级别的信息通过组装而成的 要解决推理控制的问题 95 例如 设o1 o2 o3 o4 主体S的安全级同o1 96 九 对BLP安全模型的评价 在BLP模型中 通过比较主体安全级和客体安全级来确定主体是否对客体具有访问权限 安全检查执行向上写向下读的策略 即主体只能写安全级高 包括相等 的数据 只能读安全级低 包括相等 的数据在实际系统设计过程中 发现传统的BLP模型过于严格和简单 不能满足实际应用的需求 需要进行以下改进 97 九 对BLP安全模型的评价 1 按照BLP模型 向上写 的规则 任何主体都可以写最高安全级的数据 没有限制主体的最高写安全级 从而降低了高安全级数据的完整性 必须限制低安全级主体向高安全级别数据写的能力 2 某些高安全级别的主体不应该总是有能力看到所有低安全级别的数据 必须将主体的读能力限定在一个范围内 而不是允许读所有低安全级别的客体 3 有些低安全级别的数据允许低安全级别主体读 但不意味着允许低级别的主体改写 只有规定的安全级别范围内的主体才能改写 98 九 对BLP安全模型的评价 4 对于安全级高的主体而言 不仅要写安全级高的数据 也会有写安全级低的数据的合理需求 静态的主体安全级别限制了主体的这种合理请求 影响了系统的可用性 必须允许主体可以根据数据的情况 在不违反BLP安全公理的条件下 动态调节自己的安全级 5 按照BLP模型 对于某一安全范畴之内的客体 同一安全范畴之内的主体必然至少可以有读写权限中的一种 实践中有时候需要有能力屏蔽主体对特定敏感区域内数据的任何操作 99 九 对BLP安全模型的评价 可以设计一个增强的多级安全模型 对主体的敏感标记进行扩充 将主体读写敏感度标记分离 读写敏感标记都是由最低安全级和最高安全级组成的区间组成 从而可将主体的读写权限分别限制在一个区间之内 即限制主体的最低写安全级 最低读安全级 最高读安全级和最高写安全级采用读写分离的区间权限 可以提供丰富的安全管理方案 提高数据完整性和系统的可用性 使系统的安全控制更加灵活方便 要不破坏安全性质 必须将区间敏感度标记与动态调整策略相结合 即主体当前敏感标记必须根据客体敏感标记和主体访问权限的历史过程进行动态调整 100 九 对BLP安全模型的评价 调整说明读了一个级别的客体后 调整环境限制参数防止信息泄漏 以后就不能写比该客体的安全级别更低级别的客体写了一个级别的客体后 调整环境限制参数防止信息泄漏 以后就不能读比该客体的安全级别更高级别的客体读写了一个级别的客体 调整环境限制参数防止信息泄漏 以后就不能读比这个客体的安全级别更高级别的客体 不能写比这个客体的安全级别更低级别的客体 101 九 对BLP安全模型的评价 缺点增加了强制存取控制的复杂性优点增加了应用中的灵活性 使得多级安全策略更具有实用性 102 五其它几种安全模型 1 安全信息流的格模型1976年D Deming与BLP模型一致系统中任意操作序列的执行所产生的信息流动 只能沿着格结构所定义的流关系的方向进行流动 103 交和并 在格 L 中 由于每一对元素l1 l2 L都存在唯一的上 下确界 因此可以把l1 l2和l1 l2看作是集合L上的二元运算 也把 和 分别称为 交 和 并 界 如果一个格存在有最小元素和最大元素 则称它们为该格的界 格 设 L 是一个偏序集 若L中每一对元素都存在下确界和上确界 则称 L 是格 格 是一个代数系统 和 是L上的两个二元运算 如果这两个运算满足交换率 结合律和吸收律 则称是一个格 104 吸收律P P Q P P 1 P Q P P 1 Q P 1 P同理P P Q P 105 例1 证明偏序集 2U 是一个格 证 对于全集U的幂集2U的任意两个元素S1 S2 U 而对于任意S 2U 若有S1 S且S2 S 必有S1 S2 S S1 S2是S1和S2的上确界 即 2U的任意元素对S1 S2都有最小上界 同理可得 2U的任意元素对S1 S2都有最大下界S1 S2 2U 是一个格 注 2U 是一个典型的格 其中集合的交与并同格的交与并是完全统一的 必有S1 S1 S2 S2 S1 S2 S1 S2是S1和S2的上界 106 例2 正整数集N上的整除关系 是一个偏序关系 N上任意两个元素n1 n2的最小公倍数是n1 n2的上确界 N上任意两个元素n1 n2的最大公约数是n1 n2的下确界 N 是一个格 证明格 107 2 无干扰模型1982年Goguen与Meseguer设有使用某一命令集的一组用户和另一组户 如果第一组用户使用这些命令所得到的结果 对于第二组用户能访问的数据没有影响 则称第一组用户没有干扰第二组用户 108 一组 二组 3 Biba模型1977年Biba K J 它是数据完整性保护模型 109 Biba模型 Biba 1977 在研究BLP模型的特性时发现 BLP模型只解决了信息的保密问题 其在完整性定义存在方面有一定缺陷Biba模型模仿BLP模型的信息保密性级别 定义了信息完整性级别 在信息流向的定义方面不允许从级别低的进程到级别高的进程 也就是说用户只能向比自己安全级别低的客体写入信息 从而防止非法用户创建安全级别高的客体信息 避免越权 篡改等行为的产生Biba模型可同时针对有层次的安全级别和无层次的安全种类 110 Biba模型的两个主要特征 1 禁止向上回滚 这样使得完整性级别高的文件是一定由完整性高的进程所产生的 从而保证了完整性级别高的文件不会被完整性低的文件或完整性低的进程中的信息所覆盖 2 Biba模型没有下 读 111 Biba模型用偏序关系可以表示为 1 r 当且仅当SC s SC o 允许读操作 2 w 当且仅当SC s SC o 允许写操作 Biba模型是和BLP模型相对立的模型 Biba模型重视信息完整性问题 但在一定程度上却忽视了保密性 112 4 Clark Wilson模型1987年Clark和Wilson它是基于良性事务和职责分散两个基本概念提出的保护数据完整性的模型 用来实现商业安全策略 113 信息的完整性在商业应用中则有重要意义适用于商业计算机安全的形式化模型与BLP模型在方法上有很大的不同 114 Clark Wilson模型采用了两个基本的方法 以保证信息的安全合式交易 well formedtransition 责任分离 segregationofduties 合式交易的目的是不让一个用户随意地修改数据 犹如手工记帐系统 要完成一个帐目记录的修改 必须在支出与转入两个项目上都有变化 这种交易才是 合式 的 而当帐目无法平衡时 就有错误发生 合式交易是Clark Wilson模型中保证应用完整性的一个机制 115 Clark Wilson模型中控制差错的第二个机制就是责任分离此机制的目的是保证数据对象与它所代表的现实世界对象的对应 而计算机本身并不能直接保证这种外部的一致性最基本的责任分离规则就是不允许任何创造或检查某一个合式交易的人再来执行它 那么 在一次合式交易中 至少要有两个人参与 才能改变数据 116 在上述的两种基本机制中 数据完整性Clark Wilson模型有两类规则 强迫性规则确认规则强迫性规则是与应用无关的安全功能 而确认性规则是与具体应用相关的安全功能 117 在在介绍这两种规则之前 先引入一些术语 有约束数据项 CDI 它们是系统完整性模型要应用到的数据项 即可信数据 无约束数据项 UDI 与CDI相反 UDI是不可信数据 模型的完整性过程不保护UDI 事务过程 TP 也称为转换过程 它们的作用是把UDI从一种合法状态转换到另一种合法状态 完整性验证过程 IVP 这是一个保证所有系统中的CDI都服从完整性规定的过程 Clark Wilson模型把它用在与审计相关的过程中 118 Clark Wilson模型的规则 强迫性规则E1 用户只能间接通过操作TP才能操作可信数据 CDI E2 用户只有被明确地授权 才能执行操作E3 用户的确认必须通过验证E4 只有安全官员才能改变授权 119 确认性规则C1 可信数据必须经过与真实世界一致性表达的检验C2 程序以合式交易的形式执行操作C3 系统必须支持责任分离C4 由操作检验输入 或接收或拒绝Clark Wilson模型用这八条规则定义了一个实行完整性策略的系统这些规则说明了在商业数据处理系统中完整性是如何实施的 Clark Wilson模型在计算机安全领域中引起了人们很大的兴趣 也表明了商业上对计算机安全有一些独特的要求 120 Seaview模型是一个多级安全关系数据库系统的形式化安全模型 它的目标是设计一个达到DoD 美国国防部 可信计算机系统评估准则 TCSEC A1级的多级安全数据库系统 5 Seaview模型 121 可信计算机评估标准 D级 最低安全形式 无系统访问 数据访问限制属于这个级别的OS有 DOS WINDOWS MACINTOSHSYSTEN7 1C1级注册帐号 口令 用户识别 规定程序及信息访问权C2级除C1外包括访问控制环境如身份验证级别 审计日志C2级的常见OS有UNIX XENIX NOVELL3 X WINDOWSNTB1级第一个多级安全级别 强制访问控制 系统不允许文件的拥有者改变其许可权限B2级又称结构保护 系统中所有对象均加标签 设备分配多个级别B3级安全域级别 使用安装硬件的方式来加强域 要求用户通过一条可信任途径链接到系统上A级包括了一个严格的设计 控制和验证过程 设计须验证 数学 并通过秘密和可信任分布 硬件 软件在传输过程中已受到保护 的分析 122 一 多级关系模式和客体的安全标记 Seaview模型将访问控制粒度定为数据项 即对每一数项都有安全级标记 它将标准的关系模式R A1 A2 An 扩展为R A1 C1 A2 C2 An Cn 例 如下表一设di 密级 部门级 假定如下关系 123 Seaview模型对库 表 记录定义了安全级且要求这些数据客体的安全级呈以下关系 令D表示数据库 R表示某张表的关系模式 r表示记录 K表示记录r中的主关键字 d表示r中不是主关键字的任一数据项 class D class R class K class d class r 124 在SeaView中 class r class d1 class d2 class dn lub class di di rclass R glb class di di Rclass D glb class Ri Ri D理解如下 1 若class D 高于class R 则安全级低于class D 的用户无法知道该库的存在 便不能访问库中与自己安全级相匹配的数据 125 2 类似地 若class R class r 则安全级低于class R 用户不知道该关系存在 因此无法去访问R中与自己安全级相匹配的数据 3 主关键字是用来唯一地标记该记录的 常作为查询的条件 它的安全级应低于其它属性值的安全级 4 整条记录的安全级class r 高于记录中所有数据项的安全级 常取各class d 的最小上界 它使得用户的安全级只有当其支配class r 时 才能看到该记录中所有的数据项 否则只能看到部分数据项 126 因此 对于表一有 class r1 d5class r2 d8class r3 d8class R glb d2 d3 d5 d7 d8 d1 若class u d8 则可以看到全部数据项 即整张表 若class u d7 则看到的是过滤后的如下关系 表二 127 128 若class u d5 则看到的是过滤后的如下表三 若class u d1 则u知道表R存在 可访问表R的模式 可向R插入数据 129 二 Seaview模型的安全性质1 若class u class R class u class R 或两者不可比 则u看不到R的存在 2 若class u class R 则u可以访问R 但不一定能访问到R中所有的数据 具体规则如下 对每条纪录r 若class u class r 则u能查询到r 并能看到r中所有的数据 130 若class u class r 小于class r 或不可比 则u可以看到记录r中的部分数据 i class u class kr 则u能看到主关键字kr和r中安全级 class u 的数据 而其它的数据 u看起来全为空值 ii class u class kr 小于class kr 或不可比 则u不能看到r中任何数据 131 u可以对R进行插入和修改操作如d1 d8均可对表进行插入 对其能看见的数据作修改 修改策略是 低不能改高 数据完整性保护 高不能改低 防止信息泄漏 只有同级才能改 132 三 多事例 在数据库中可能出现这样的现象 相同名字 同时存在多个数据实体 Seaview模型用不同的安全级来区别这些实体 这种现象称为多事例1 多事例关系 由 查询 引起的 在任一状态下 不同安全级的主体检索同一多级关系时 将得到的是不同的关系 这些不同的关系 称为是多事例关系 133 2 多事例记录 由 插入 引起的 具有相同的主关键字 但主关键字的安全级不同的记录称为是多事例记录例如 安全级为d7的主体用主关键字005添加一条记录到表一得到如下表四 134 3 多事例数据项 由 修改 引起的 在相同的记录中 某数据项的值和其安全级呈现多种不同的取值 这样的数据项称为是多事例数据项 例如 d8要修改表一中的第二条记录的A2此时不能用修改值覆盖旧值 以免造成信息泄露 因此必须再创建相同的记录 但相应数据项是多事例的 135 四 多级安全存储 多事例使得多级关系中出现了大量的数据冗余 Seaview模型将多级关系分解成关系模型的标准关系 将多级数据按照不同的级别分开存储 这样做消除了冗余且较大程度地减少了信息的泄露