第三章操作系統(tǒng)安全模型

1、 第三章第三章 操作系統(tǒng)安全模型操作系統(tǒng)安全模型江蘇大學(xué)計(jì)算機(jī)學(xué)院江蘇大學(xué)計(jì)算機(jī)學(xué)院安全模型概述安全模型是對(duì)安全模型是對(duì)安全策略安全策略所表達(dá)的所表達(dá)的安全需求安全需求的精確、無(wú)歧義抽象描述，在安全策略與的精確、無(wú)歧義抽象描述，在安全策略與安全機(jī)制的安全機(jī)制的關(guān)聯(lián)關(guān)聯(lián)之間提供一種框架。安全之間提供一種框架。安全模型模型本身本身描述了安全策略需用哪種機(jī)制滿描述了安全策略需用哪種機(jī)制滿足，模型的實(shí)現(xiàn)描述了如何將特定機(jī)制應(yīng)足，模型的實(shí)現(xiàn)描述了如何將特定機(jī)制應(yīng)用于系統(tǒng)中，從而，實(shí)現(xiàn)某種安全策略所用于系統(tǒng)中，從而，實(shí)現(xiàn)某種安全策略所需的安全與保護(hù)。需的安全與保護(hù)。安全模型的特點(diǎn)能否成功地獲得高安全級(jí)別的

2、系統(tǒng)，取決于對(duì)安全控制機(jī)制的設(shè)計(jì)和實(shí)施投入多少精力。但是如果對(duì)系統(tǒng)的安全需求了解的不清楚，即使運(yùn)用最好的軟件技術(shù)，投入最大的精力，也很難達(dá)到安全要求的目的。安全模型的目的就在于明確地表達(dá)這些需求，為設(shè)計(jì)開(kāi)發(fā)安全系統(tǒng)提供方針。安全模型有以下4個(gè)特點(diǎn)：n它是精確的、無(wú)歧義的；n它是簡(jiǎn)易和抽象的，所以容易理解；n它是一般性的：只涉及安全性質(zhì)，而不過(guò)度地牽扯系統(tǒng)的功能或其實(shí)現(xiàn)；n它是安全策略的明顯表現(xiàn)。安全模型分為兩種非形式化：非形式化安全模型僅模擬系統(tǒng)的安全功能，其開(kāi)發(fā)過(guò)程為：從安全需求出發(fā)，推出功能規(guī)范，再實(shí)現(xiàn)安全系統(tǒng)，其間主要采用了論證與測(cè)試技術(shù)；形式化：形式化安全模型使用數(shù)學(xué)模型來(lái)精確地描述安

3、全性及其在系統(tǒng)中使用的情況，其開(kāi)發(fā)途徑為：建立抽象模型，推出形式化規(guī)范，通過(guò)證明方法來(lái)實(shí)現(xiàn)安全系統(tǒng)。形式化開(kāi)發(fā)途徑開(kāi)發(fā)安全系統(tǒng)首先必須建立安全模型，通過(guò)形式化安全模型來(lái)模擬安全系統(tǒng)，從而，可以正確地綜合系統(tǒng)的各類(lèi)因素，如使用方式、應(yīng)用環(huán)境類(lèi)型、授權(quán)的定義、共享的客體(系統(tǒng)資源)、共享的類(lèi)型等，所有這些因素構(gòu)成安全系統(tǒng)的形式化抽象描述，使得系統(tǒng)可以被證明是完整的、反映真實(shí)環(huán)境的、邏輯上能實(shí)現(xiàn)程序受控制的執(zhí)行的。 狀態(tài)機(jī)模型在當(dāng)前技術(shù)條件下，安全模型都采用狀態(tài)機(jī)模型，該模型將系統(tǒng)描述成一個(gè)抽象的數(shù)學(xué)狀態(tài)機(jī)器，狀態(tài)變量表示機(jī)器的狀態(tài)；轉(zhuǎn)移函數(shù)或操作規(guī)則描述狀態(tài)變量的變化過(guò)程，它是對(duì)系統(tǒng)應(yīng)用通過(guò)請(qǐng)求系

4、統(tǒng)調(diào)用來(lái)影響操作系統(tǒng)狀態(tài)的這種方式的抽象。 對(duì)狀態(tài)機(jī)模型進(jìn)行改進(jìn)一類(lèi)是把系統(tǒng)狀態(tài)中與安全相關(guān)的因素概括在一個(gè)訪問(wèn)矩陣中；另一類(lèi)引入“格”概念，它是一個(gè)有限偏序集，有最小上界和最大下界操作符的數(shù)學(xué)結(jié)構(gòu)，利用格的性質(zhì)來(lái)約束安全系統(tǒng)中的變量，以實(shí)現(xiàn)多級(jí)安全策略;Lampson訪問(wèn)控制矩陣模型客體被認(rèn)為是存儲(chǔ)器，訪問(wèn)控制檢查不基于存儲(chǔ)的內(nèi)容值而是基于系統(tǒng)的狀態(tài)，系統(tǒng)狀態(tài)中與安全相關(guān)的因素概括在訪問(wèn)矩陣中，由三元組(S,O,M)決定，訪問(wèn)權(quán)限集包含讀、寫(xiě)、追加、修改和執(zhí)行等。系統(tǒng)中狀態(tài)的改變?nèi)Q于訪問(wèn)矩陣M的改變，一個(gè)獨(dú)立的狀態(tài)機(jī)構(gòu)成一個(gè)系統(tǒng)，因而，訪問(wèn)矩陣也稱(chēng)為系統(tǒng)的“保護(hù)狀態(tài)”。系統(tǒng)中所有主體對(duì)客體

5、的訪問(wèn)均由“引用監(jiān)視器”控制，它的任務(wù)是確保只有那些在訪問(wèn)矩陣中獲得授權(quán)的操作才被允許執(zhí)行。BLP模型簡(jiǎn)介(基于格)1973開(kāi)始，D.E. Bell和L.J. LaPadulaBLP模型對(duì)應(yīng)于軍事類(lèi)型安全密級(jí)分類(lèi)的計(jì)算機(jī)OS模型最早：第一個(gè)可證明的安全系統(tǒng)的數(shù)學(xué)模型最常用影響巨大：TCSEC要解決的本質(zhì)問(wèn)題：對(duì)具有密級(jí)劃分的信息的訪問(wèn)進(jìn)行控制方法：采用線性排列安全許可的分類(lèi)形式來(lái)保證信息的保密性n每個(gè)主體都有一個(gè)安全許可，安全許可的等級(jí)越高，可以訪問(wèn)的信息就越敏感，越需要保密n每個(gè)客體都有一個(gè)安全密級(jí)，安全密級(jí)越高，客體信息越敏感，保密性越高BLP模型的目的控制主體對(duì)客體只能進(jìn)行安全規(guī)則以?xún)?nèi)的

6、訪問(wèn)舉例：一個(gè)基本的安全等級(jí)分類(lèi)系統(tǒng)密級(jí)密級(jí)基本?；颈Ｃ苄苑置苄苑诸?lèi)系統(tǒng)類(lèi)系統(tǒng)按安全許按安全許可分組的可分組的訪問(wèn)主體訪問(wèn)主體按密級(jí)分按密級(jí)分組的客體組的客體Bell- LaPadula模型是存取控制模型中典型的一種，它用多級(jí)安全的概念對(duì)主體和客體的安全進(jìn)行分級(jí)和標(biāo)記，并同時(shí)采用了自主存取控制自主存取控制和強(qiáng)制存取控制的策略。強(qiáng)制策略以系統(tǒng)中主和強(qiáng)制存取控制的策略。強(qiáng)制策略以系統(tǒng)中主體和客體的等級(jí)為基礎(chǔ)控制數(shù)據(jù)的存取。與客體和客體的等級(jí)為基礎(chǔ)控制數(shù)據(jù)的存取。與客體關(guān)聯(lián)的安全級(jí)別體關(guān)聯(lián)的安全級(jí)別反映了包含在客體內(nèi)的信息的敏感性。與用戶關(guān)聯(lián)的安全級(jí)別，也稱(chēng)為許可權(quán)反映了用戶的可信賴(lài)性。不同安全級(jí)

7、的主體對(duì)客體的存取有一系列性質(zhì)約束。其中最著名的是簡(jiǎn)單安全性( (禁止向上讀禁止向上讀) )和和* *一性質(zhì)一性質(zhì)( (禁禁止向下寫(xiě)止向下寫(xiě)) )。BLP模型的定義（1）主體: 每個(gè)主體和客體都劃分一個(gè)密級(jí)每個(gè)主體和客體都劃分一個(gè)密級(jí) A A；（2）客體: 每個(gè)每個(gè)主體和客體都劃分一個(gè)業(yè)務(wù)范圍主體和客體都劃分一個(gè)業(yè)務(wù)范圍 C C；h設(shè)設(shè)SCSC為全體安全級(jí)別為全體安全級(jí)別的集合：的集合： SCSC 定義二元關(guān)系定義二元關(guān)系如下，并稱(chēng)關(guān)系如下，并稱(chēng)關(guān)系為支配為支配h對(duì)于集合SC中的任意元素X，Y，Z都有 自反性 XX； 傳遞性 如果XY，而且YZ，則XZ； 反對(duì)稱(chēng)性 如果XY，而且YX，則XY。

8、h如上定義的關(guān)系為偏序關(guān)系，集合SC為偏序集合，記為SC, 。 SC，SC, if AA and C C ， 則SC SC 。h在SC, 中定義運(yùn)算、如下： = ， = 。 顯然，SC, 的最高安全級(jí)別和最低安全級(jí)別分別是 HIGH， LOW。 h所以所以SC, SC, 構(gòu)成代數(shù)結(jié)構(gòu)格。構(gòu)成代數(shù)結(jié)構(gòu)格。3）訪問(wèn)方式，四種：只讀r，只寫(xiě)a，可讀寫(xiě)w，不可讀寫(xiě)（可執(zhí)行）e（4）當(dāng)前訪問(wèn) 三元組（主體、客體、訪問(wèn)方式）（5）狀態(tài) 四元組（b, M, f, H）nb是當(dāng)前訪問(wèn)的集合，是當(dāng)前狀態(tài)下允許的訪問(wèn)nM是訪問(wèn)控制矩陣nf是安全級(jí)別函數(shù)，用于確定任意主體和客體的安全級(jí)別nH是客體間的層次關(guān)系（6）

9、系統(tǒng)包含（a）一個(gè)初始狀態(tài)Z0（b）一個(gè)三元組（請(qǐng)求，判定，狀態(tài)）組成的序列其中，三元組序列中相鄰狀態(tài)之間滿足某種關(guān)系W。BLP模型滿足：若一個(gè)系統(tǒng)的初始狀態(tài)是安全的，且三元組序列中的所有狀態(tài)都是安全的，則該系統(tǒng)就是一個(gè)安全的系統(tǒng)BLP模型的基本思想是:確保信息不向下流動(dòng)，從而保證系統(tǒng)內(nèi)確保信息不向下流動(dòng)，從而保證系統(tǒng)內(nèi)的信息的信息是安全的。BLPBLP模型的信息不向下流動(dòng)是通過(guò)下面兩模型的信息不向下流動(dòng)是通過(guò)下面兩個(gè)規(guī)則來(lái)保證的個(gè)規(guī)則來(lái)保證的: : 2個(gè)強(qiáng)制訪問(wèn)控制特性：n簡(jiǎn)單安全特性n星號(hào)安全特性 2個(gè)強(qiáng)制訪問(wèn)控制特性簡(jiǎn)單安全特性（簡(jiǎn)單安全特性（ss ss- -特性）：特性）： （向下讀）

10、（向下讀）n若（主體，客體，可讀）是當(dāng)前訪問(wèn)，那么一定有 level（主體）level（客體）其中l(wèi)evel表示安全級(jí)別簡(jiǎn)單安全特性簡(jiǎn)單安全特性: :當(dāng)一個(gè)主體的安全級(jí)支配另一個(gè)當(dāng)一個(gè)主體的安全級(jí)支配另一個(gè)客體的安全級(jí)時(shí)，主體才客體的安全級(jí)時(shí)，主體才具有對(duì)客體進(jìn)行具有對(duì)客體進(jìn)行“讀讀”操作的權(quán)限操作的權(quán)限 低高 2個(gè)強(qiáng)制訪問(wèn)控制特性星號(hào)安全特性（星號(hào)安全特性（- -特性）向上寫(xiě)：特性）向上寫(xiě)：n在任意狀態(tài)，如果（主體，客體，方式）是當(dāng)前訪問(wèn)，那么一定有：（1）若方式是a，則 level（客體） current-level（主體）（2）若方式是w，則 level（客體）=current-leve

11、l（主體）（3）若方式是r，則 current-level（主體） level（客體）n其中current-level表示當(dāng)前安全級(jí)別n* *一特性:當(dāng)客體的安全級(jí)支配主體的安全級(jí)時(shí)，主體才具有對(duì)客體進(jìn)行“寫(xiě)”操作的權(quán)限。 低高1個(gè)自主訪問(wèn)控制特性自主安全特性（自主安全特性（dsds- -特性）：特性）：n若（主體-i，客體-j，方式-x）是當(dāng)前訪問(wèn)，那么方式-x一定在訪問(wèn)控制矩陣M的元素Mij中基本安全定理：穩(wěn)定原則基本安全定理：穩(wěn)定原則如果系統(tǒng)狀態(tài)的每次變化都能滿足ss-特性、 -特性和ds-特性的要求，那么，在系統(tǒng)的整個(gè)狀態(tài)變化過(guò)程中，系統(tǒng)的安全性是不會(huì)被破壞的多級(jí)安全（擴(kuò)展BLP）引入

12、“需知”（need-to-know）:即主體為了完成自身的任務(wù)而需要訪問(wèn)某種客體，才能對(duì)該客體具有訪問(wèn)權(quán)限，否則就不允許其訪問(wèn)該客體MLSn首先，對(duì)系統(tǒng)中的主/客體分別賦予與其身份相對(duì)稱(chēng)的安全級(jí)標(biāo)簽w主體：許可標(biāo)簽w客體：敏感性標(biāo)簽要保證所有的IO信息系統(tǒng)都能正確的標(biāo)記n建立多個(gè)不同安全級(jí)別的分類(lèi)信息：類(lèi)別范疇w類(lèi)別：安全等級(jí)w范疇：信息領(lǐng)域范疇舉例3個(gè)范疇：NUC，EUR，USNUC, EUR, USNUC, EURNUC, USEUR, USNUCEURUS關(guān)系：關(guān)系： 安全標(biāo)簽A和B之間有4種關(guān)系nA支配Bw安全等級(jí)上：A=Bw范疇上：A包含BnB支配A，反之nA等于BwA支配B，并且B

13、支配Aw等級(jí)上：相等w范疇上：相等nA與B無(wú)關(guān)安全標(biāo)簽比較算法（比較是否滿足支配關(guān)系）首先，比較安全等級(jí)n若不存在支配關(guān)系，則返回不支配接著，根據(jù)范疇的有序性比較兩者之間是否存在關(guān)系基于安全標(biāo)簽的強(qiáng)制訪問(wèn)控制機(jī)制進(jìn)程進(jìn)程A許可標(biāo)簽許可標(biāo)簽Secret:(ABC)進(jìn)程進(jìn)程A許可標(biāo)簽許可標(biāo)簽Top secret:(ABC)進(jìn)程進(jìn)程A許可標(biāo)簽許可標(biāo)簽Confidential:(ABC)進(jìn)程進(jìn)程A許可標(biāo)簽許可標(biāo)簽Top secret:(DFH)./filex敏感性標(biāo)簽敏感性標(biāo)簽Secret:(ABC)寫(xiě)許可寫(xiě)許可讀許可讀許可寫(xiě)拒絕寫(xiě)拒絕讀拒絕讀拒絕讀拒絕讀拒絕寫(xiě)許可寫(xiě)許可讀許可讀許可寫(xiě)拒絕寫(xiě)拒絕Top

14、 secret; Secret; Confidential; UnclassifiedBLP模型局限性 首先，首先，BLPBLP模型機(jī)密性不高。根據(jù)模型機(jī)密性不高。根據(jù)BLPBLP模型的模型的“向下讀，向上寫(xiě)向下讀，向上寫(xiě)”原則，低安全級(jí)主體不能原則，低安全級(jí)主體不能讀取高密級(jí)數(shù)據(jù)卻可以修改高密級(jí)數(shù)據(jù)，這樣讀取高密級(jí)數(shù)據(jù)卻可以修改高密級(jí)數(shù)據(jù)，這樣敏感信息的機(jī)密性得不到保證。敏感信息的機(jī)密性得不到保證。其次，高密級(jí)數(shù)據(jù)的數(shù)據(jù)完整性得不到保證。其次，高密級(jí)數(shù)據(jù)的數(shù)據(jù)完整性得不到保證。低安全級(jí)用戶能夠竄改高密級(jí)數(shù)據(jù)，因此高密低安全級(jí)用戶能夠竄改高密級(jí)數(shù)據(jù)，因此高密級(jí)的數(shù)據(jù)有可能變成級(jí)的數(shù)據(jù)有可能變成

15、“垃圾垃圾”數(shù)據(jù)，所以高密數(shù)據(jù)，所以高密級(jí)數(shù)據(jù)的數(shù)據(jù)完整性難以保證。級(jí)數(shù)據(jù)的數(shù)據(jù)完整性難以保證。再次，再次，BLPBLP模型可用性差。模型可用性差?！跋蛳伦x，向上寫(xiě)向下讀，向上寫(xiě)”的策略能夠有效地防止低密級(jí)用戶獲取敏感信的策略能夠有效地防止低密級(jí)用戶獲取敏感信息，同時(shí)也限制了高密級(jí)用戶向非敏感客體寫(xiě)息，同時(shí)也限制了高密級(jí)用戶向非敏感客體寫(xiě)數(shù)據(jù)的合理要求，降低了系統(tǒng)的可用性。數(shù)據(jù)的合理要求，降低了系統(tǒng)的可用性。其他主要安全模型介紹Biba完整性安全模型和Clark-Wilson完整性安全模型、信息流模型、中國(guó)墻模型 Biba模型BLP模型通過(guò)防止非授權(quán)信息的擴(kuò)散保證系統(tǒng)的安全，但它不能防止非授權(quán)

16、修改系統(tǒng)信息。于是Biba等人在1977年提出了第一個(gè)完整性安全模型Biba模型，其主要應(yīng)用是保護(hù)信息的完整性，而B(niǎo)LP模型是保護(hù)信息機(jī)密性。Biba模型也是基于主體、客體以及它們的級(jí)別的概念的。模型中主體和客體的概念與BLP模型相同，對(duì)系統(tǒng)中的每個(gè)主體和每個(gè)客體均分配一個(gè)級(jí)別，稱(chēng)為完整級(jí)別。Clark-Wilson完整性模型在商務(wù)環(huán)境中，1987年David Clark和David Wilson所提出的完整性模型具有里程碑的意義，它是完整意義上的完整性目標(biāo)、策略和機(jī)制的起源，在他們的論文中，為了體現(xiàn)用戶完整性，他們提出了職責(zé)隔離目標(biāo)；為了保證數(shù)據(jù)完整性，他們提出了應(yīng)用相關(guān)的完整性驗(yàn)證進(jìn)程；為了建立過(guò)程完整性，他們定義了對(duì)于轉(zhuǎn)換過(guò)程的應(yīng)用相關(guān)驗(yàn)證；為了約束用戶、進(jìn)程和數(shù)據(jù)之間的關(guān)聯(lián)，他們使用了一個(gè)三元組結(jié)構(gòu)。Clark-Wilson模型的核心在于以良構(gòu)事務(wù)(well-formal transaction)為基礎(chǔ)來(lái)實(shí)現(xiàn)在商務(wù)環(huán)境中所需的完整性策略。良構(gòu)事務(wù)的概念是指一個(gè)用戶不能任意操作數(shù)據(jù)，只能用一種能夠確保數(shù)據(jù)完整性的受控方式來(lái)操作數(shù)據(jù)。為了確保數(shù)據(jù)項(xiàng)(data items)僅僅只能被良構(gòu)事務(wù)來(lái)操作，首先得確認(rèn)一個(gè)數(shù)據(jù)項(xiàng)僅僅只能被一組特定的程序來(lái)操縱，而且這些程序都能被驗(yàn)證是經(jīng)過(guò)適當(dāng)構(gòu)造