操作系統(tǒng)安全模型課件_第1頁(yè)
操作系統(tǒng)安全模型課件_第2頁(yè)
操作系統(tǒng)安全模型課件_第3頁(yè)
操作系統(tǒng)安全模型課件_第4頁(yè)
操作系統(tǒng)安全模型課件_第5頁(yè)
已閱讀5頁(yè),還剩71頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

信息安全技術(shù)

操作系統(tǒng)安全概述:

操作系統(tǒng)安全模型

信息安全技術(shù)

操主要內(nèi)容1.操作系統(tǒng)安全模型概述2.安全模型的分類3.安全模型實(shí)例

主要內(nèi)容1.操作系統(tǒng)安全模型概述1.操作系統(tǒng)安全模型概述J.P.Anderson指出,要開(kāi)發(fā)安全系統(tǒng),首先必須建立系統(tǒng)的安全模型。

安全模型給出安全系統(tǒng)的形式化定義,正確地綜合系統(tǒng)的各類因素。這些因素包括:系統(tǒng)的使用方式、使用環(huán)境類型、授權(quán)的定義、共享的客體(系統(tǒng)資源)、共享的類型和受控共享思想等。

這些因素應(yīng)構(gòu)成安全系統(tǒng)的形式化抽象描述,使得系統(tǒng)可以被證明是完整的、反映真實(shí)環(huán)境的、邏輯上能夠?qū)崿F(xiàn)程序的受控執(zhí)行的。

完成安全系統(tǒng)的建模之后,再進(jìn)行安全核的設(shè)計(jì)與實(shí)現(xiàn)。1.操作系統(tǒng)安全模型概述J.P.Anderson指出

安全策略用來(lái)描述用戶對(duì)系統(tǒng)安全的要求。一般來(lái)說(shuō),用戶對(duì)信息系統(tǒng)的安全需求基于以下幾個(gè)方面:機(jī)密性要求(confidentiality):防止信息泄露給未授權(quán)的用戶;完整性要求(integrity):防止未授權(quán)用戶對(duì)信息的修改;可記賬性(accountability):防止用戶對(duì)訪問(wèn)過(guò)某信息或執(zhí)行過(guò)某一操作進(jìn)行否認(rèn);可用性(availability):保證授權(quán)用戶對(duì)系統(tǒng)信息的可訪問(wèn)性。安全策略用來(lái)描述用戶對(duì)系統(tǒng)安全的要求。一般來(lái)說(shuō),用戶對(duì)信息2.安全模型的分類2.1狀態(tài)機(jī)模型用狀態(tài)機(jī)語(yǔ)言將安全系統(tǒng)描述成抽象的狀態(tài)機(jī),用狀態(tài)變量表示系統(tǒng)的狀態(tài),用轉(zhuǎn)換規(guī)則描述變量變化的過(guò)程。狀態(tài)機(jī)模型用于描述其他系統(tǒng)早就存在,但用于描述通用操作系統(tǒng)的所有狀態(tài)變量幾乎是不可能的。狀態(tài)機(jī)安全模型通常只能描述安全操作系統(tǒng)中若干與安全相關(guān)的主要狀態(tài)變量。相當(dāng)多的安全模型其實(shí)質(zhì)都是狀態(tài)機(jī)模型。它將系統(tǒng)描述成一個(gè)抽象的數(shù)學(xué)狀態(tài)機(jī),其中狀態(tài)變量(statevariables)表征機(jī)器狀態(tài),轉(zhuǎn)移函數(shù)(transitionfunctions)描述狀態(tài)變量如何變化。2.安全模型的分類2.1狀態(tài)機(jī)模型

狀態(tài)機(jī)模型狀態(tài)機(jī)模型的兩個(gè)基本特征是狀態(tài)和狀態(tài)轉(zhuǎn)移函數(shù),它的數(shù)學(xué)原理是這樣的:安全的初始狀態(tài);安全的狀態(tài)轉(zhuǎn)移函數(shù);用歸納法可以證明系統(tǒng)是安全的。只要該模型的初始狀態(tài)是安全的,并且所有的轉(zhuǎn)移函數(shù)也是安全的(即一個(gè)安全狀態(tài)通過(guò)狀態(tài)轉(zhuǎn)移函數(shù)只能達(dá)到新的安全狀態(tài)),那么數(shù)學(xué)推理的必然結(jié)果是:系統(tǒng)只要從某個(gè)安全狀態(tài)啟動(dòng),無(wú)論按哪種順序調(diào)用系統(tǒng)功能,系統(tǒng)將總是保持在安全狀態(tài)。狀態(tài)機(jī)模型

2.2存取矩陣模型存取矩陣模型(AccessMatrixModel)是狀態(tài)機(jī)模型的一種。它將系統(tǒng)的安全狀態(tài)表示成一個(gè)大的矩形陣列:每個(gè)主體擁有一行,每個(gè)客體擁有一列,交叉項(xiàng)表示主體對(duì)客體的訪問(wèn)模式。存取矩陣定義了系統(tǒng)的安全狀態(tài),這些狀態(tài)又被狀態(tài)轉(zhuǎn)移規(guī)則(即上文的狀態(tài)轉(zhuǎn)移函數(shù))引導(dǎo)到下一個(gè)狀態(tài)。這些規(guī)則和存取矩陣構(gòu)成了這種保護(hù)機(jī)制的核心。這種模型只限于為系統(tǒng)提供機(jī)制,具體的控制策略則包含在存取矩陣的當(dāng)前狀態(tài)中,使得依之實(shí)現(xiàn)一個(gè)系統(tǒng)時(shí)可實(shí)現(xiàn)機(jī)制和策略的很好分離。2.2存取矩陣模型

存取矩陣模型在實(shí)際的計(jì)算機(jī)系統(tǒng)中.當(dāng)把存取矩陣作為一個(gè)二維數(shù)組來(lái)實(shí)現(xiàn)時(shí),它往往會(huì)成為一個(gè)稀疏矩陣。于是,實(shí)際中對(duì)存取矩陣的存放,很自然地采用按行存放或者按列存放。按行存放。每個(gè)主體在其屬性數(shù)據(jù)結(jié)構(gòu)中部有若干客體及它對(duì)它們各自的存取權(quán)限,這種方法叫能力表(CapabilityList)法。按列存放,則是在每個(gè)客體的屬性數(shù)據(jù)結(jié)構(gòu)中存放著系統(tǒng)中每個(gè)主體對(duì)該客體的存取權(quán)限,這種方法叫訪問(wèn)控制表(AccessControlList,簡(jiǎn)稱ACL)。典型地,系統(tǒng)中每個(gè)文件都有一個(gè)相應(yīng)的ACL表來(lái)控制各個(gè)主體對(duì)它的存取權(quán)限。比如在UNIX存取矩陣模型文件系統(tǒng)中,將用戶分成用戶主、用戶組和其它用戶三類,分別標(biāo)明各類用戶對(duì)文件的存取權(quán)限。一般而言,能力表法或ACL法往往將主體對(duì)客體的存取權(quán)限交給客體的擁有者去制訂,從而使這兩種方法,尤其ACL法,常常是和自主存取控制策略聯(lián)系在一起。文件系統(tǒng)中,將用戶分成用戶主、用戶組和其它用戶三類,分別標(biāo)明3.1BLP模型3.1BLP模型Bell和Lapadula在1973年提出BLP模型,然后于1974年至1976年對(duì)該模型進(jìn)行了進(jìn)一步的充實(shí)和完善。BLP模型是最具有代表性的形式化信息安全模型,它是根據(jù)軍方的安全策略設(shè)計(jì)的,用于控制對(duì)具有密級(jí)劃分的信息的訪問(wèn)。它所關(guān)注的是信息的保密性,主要用于軍事領(lǐng)域。它是定義多等級(jí)安全(MLS)的基礎(chǔ)。3.1BLP模型3.1BLP模型3.安全模型實(shí)例3.1BLP模型3.2Biba模型3.3Clark-Wilson模型3.4ChineseWall模型3.5RBAC模型3.安全模型實(shí)例3.1BLP模型

BLP模型BLP模型是一個(gè)請(qǐng)求驅(qū)動(dòng)的狀態(tài)機(jī)模型。它在某一狀態(tài)接受請(qǐng)求,然后輸出決定,進(jìn)入下一個(gè)狀態(tài)。BLP模型可以歸結(jié)為三方面的內(nèi)容:元素、屬性和規(guī)則。下面分別作簡(jiǎn)單介紹。主體(Subject,S):指引起信息流動(dòng)的訪問(wèn)發(fā)起者。用戶登錄到系統(tǒng)后,由進(jìn)程代表用戶執(zhí)行具體訪問(wèn)操作,系統(tǒng)中只有進(jìn)程向客體發(fā)出訪問(wèn)請(qǐng)求??腕w(Object,O):指信息流動(dòng)中的訪問(wèn)承受者。客體包括文件、目錄、進(jìn)程、設(shè)備、進(jìn)程間通信結(jié)構(gòu)等。BLP模型

BLP模型敏感標(biāo)記:指主體或客體的安全標(biāo)記,是系統(tǒng)進(jìn)行保密性訪問(wèn)控制的依據(jù),包括等級(jí)分類和非等級(jí)類別兩部分。其中,等級(jí)分類指主體或客體的密級(jí),由一個(gè)整數(shù)代表;非等級(jí)類別指主體可以訪問(wèn)的客體范圍,由一個(gè)集合表示。權(quán)限:指主體對(duì)客體的訪問(wèn)操作,比如讀、寫(xiě)、執(zhí)行等。屬性:指模型的安全性質(zhì)。規(guī)則:描述模型狀態(tài)之間的狀態(tài)轉(zhuǎn)換規(guī)則。BLP模型BLP模型簡(jiǎn)單安全特性(ss-特性):如果(主體,客體,可讀)是當(dāng)前訪問(wèn),那么一定有:level(主體)≥level(客體)其中,level表示安全級(jí)別。這個(gè)特性表示的是主體只能讀取自己的敏感標(biāo)記可以支配其敏感標(biāo)記的客體,也就是不上讀的特性。BLP模型

BLP模型星號(hào)安全特性(*-特性):在任意狀態(tài),如果(主體,客體,方式)是當(dāng)前訪問(wèn),那么一定有:若方式是a,則:level(客體)≥current-level(主體)若方式是w,則:level(客體)=current-level(主體)若方式是r,則:current-level(主體)≥level(客體)其中,current-level表示當(dāng)前安全級(jí)別。它表示的是主體只能寫(xiě)敏感標(biāo)記支配自己的敏感標(biāo)記的客體,也就是不下寫(xiě)的特性。BLP模型BLP模型自主安全特性(ds-特性):如果(主體-i,客體-j,方式-x)是當(dāng)前訪問(wèn),那么,方式-x一定在訪問(wèn)控制矩陣M的元素Mij中。與ds-特性處理自主訪問(wèn)控制相對(duì)應(yīng),ss-特性和*-特性處理的是強(qiáng)制訪問(wèn)控制。自主訪問(wèn)控制的權(quán)限由客體的屬主自主確定,強(qiáng)制訪問(wèn)控制的權(quán)限由特定的安全管理員確定,由系統(tǒng)強(qiáng)制實(shí)施。BLP模型BLP模型基本安全定理:如果系統(tǒng)狀態(tài)的每一次變化都能滿足ss-特性、*-特性和ds-特性的要求,那么,在系統(tǒng)的整個(gè)狀態(tài)變化過(guò)程中,系統(tǒng)的安全性是不會(huì)被破壞的。BLP模型的主要缺點(diǎn)是由于模型過(guò)于抽象,在系統(tǒng)中實(shí)施時(shí)比較困難。BLP模型

BLP模型圖Bell-Lapadula安全模型BLP模型圖Bell-Lapadula安全模型3.2Biba模型

Biba模型Biba模型是K.J.Biba于1977年提出的,該模型是第一個(gè)涉及到計(jì)算機(jī)系統(tǒng)中完整性問(wèn)題的模型。該模型是以完整性級(jí)別的有序格為基礎(chǔ)的。它支持的是信息的完整性。Biba模型的基本概念就是不允許低完整性的信息流動(dòng)到高完整性的對(duì)象中,只允許信息流以相反的方向流動(dòng)。Biba模型提出了5種不同的用于完整性目的的強(qiáng)制訪問(wèn)控制策略。下面分別介紹。3.2Biba模型

Biba模型

Biba模型面向主體的低水標(biāo)策略在該策略中,每個(gè)主體的完整性級(jí)別不是靜態(tài)不變的,而是取決于它前一狀態(tài)的完整性級(jí)別。它基于如下規(guī)則:主體具有對(duì)給定客體的寫(xiě)權(quán)限,當(dāng)且僅當(dāng)該主體的完整性級(jí)別支配該客體的完整性級(jí)別;主體具有對(duì)另一個(gè)主體的通信權(quán)限,當(dāng)且僅當(dāng)?shù)谝粋€(gè)主體的完整性級(jí)別支配第二個(gè)主體的完整性級(jí)別;Biba模型主體具有對(duì)任何客體的讀權(quán)限,并且當(dāng)主體執(zhí)行完讀操作后,主體的完整性級(jí)別會(huì)降低為執(zhí)行讀操作前主體和客體的完整性級(jí)別的最小上界。因此,當(dāng)主體對(duì)具有較低完整性級(jí)別的客體進(jìn)行讀操作后會(huì)降低其本身的完整性級(jí)別,從而縮小了其可以訪問(wèn)的客體集主體具有對(duì)任何客體的讀權(quán)限,并且當(dāng)主體執(zhí)行完讀操作后,主體的Biba模型面向客體的低水標(biāo)策略除了改變主體的完整性級(jí)別外,面向客體的低水標(biāo)策略還要求被修改客體的完整性級(jí)別。它基于如下的規(guī)則:主體具有對(duì)任何客體的寫(xiě)操作,并且當(dāng)主體執(zhí)行完寫(xiě)操作后,客體的完整性級(jí)別會(huì)降低為執(zhí)行寫(xiě)操作前主體和客體的完整性級(jí)別的最大上界。因此,當(dāng)一個(gè)具有較高完整性級(jí)別的客體被一個(gè)具有較低完整性級(jí)別的主體進(jìn)行寫(xiě)操作后,它的完整性級(jí)別相應(yīng)會(huì)降低,從而導(dǎo)致信息的泄漏,并且一旦客體的完整性級(jí)別變低后再也不能恢復(fù)。Biba模型Biba模型低水標(biāo)完整性審計(jì)策略該策略是面向客體的低水標(biāo)策略的變種,在該策略下,客體的完整性級(jí)別不會(huì)被改變,它基于如下規(guī)則:主體對(duì)任何完整性級(jí)別的客體都具有寫(xiě)權(quán)限,但是如果該主體的完整性級(jí)別小于被操作客體的完整性級(jí)別,這個(gè)操作會(huì)被記錄在審計(jì)日志中。因此,這種方法并沒(méi)有保護(hù)信息的不恰當(dāng)更改,只是通過(guò)審計(jì)這種手段將該操作記錄了下來(lái),以便于以后的檢查。Biba模型Biba模型環(huán)策略在該策略下,主體和客體在它們的生命周期中完整性級(jí)別是固定不變的,并且只允許對(duì)那些完整性級(jí)別小于或等于該主體的客體進(jìn)行修改。另外,通過(guò)允許讀取任何完整性級(jí)別的客體,系統(tǒng)在靈活性方面獲得了很多的提高。它基于如下的規(guī)則:主體具有對(duì)給定客體的寫(xiě)權(quán)限,當(dāng)且僅當(dāng)該主體的完整性級(jí)別支配客體的完整性級(jí)別;Biba模型一個(gè)主體具有對(duì)另一個(gè)主體的通信權(quán)限,當(dāng)且僅當(dāng)?shù)谝粋€(gè)主體的完整性級(jí)別被第二個(gè)主體的完整性級(jí)別所支配;主體具有對(duì)任何客體的讀權(quán)限。在這種策略下,信息流任有可能從低完整性級(jí)別流向高完整性級(jí)別,比如,一個(gè)具有高完整性級(jí)別的主體讀取一個(gè)具有低完整性級(jí)別的客體,然后寫(xiě)具有和它同級(jí)別的客體。一個(gè)主體具有對(duì)另一個(gè)主體的通信權(quán)限,當(dāng)且僅當(dāng)?shù)谝粋€(gè)主體的完整Biba模型嚴(yán)格完整性策略嚴(yán)格完整性策略是在TCSEC上提出的機(jī)密性策略的數(shù)學(xué)對(duì)偶。其強(qiáng)制訪問(wèn)控制策略基于如下的規(guī)則:簡(jiǎn)單完整性特性(Simple-IntegrityProperty):主體S能夠讀客體O,當(dāng)且僅當(dāng)w(s)≤w(o);完整性星號(hào)特性(Integrity*-Property):主體S能夠?qū)懣腕wO,當(dāng)且僅當(dāng)w(s)≥w(o);調(diào)用特性(InvocationProperty):主體S1能夠調(diào)用(Invoke)主體S,當(dāng)且僅當(dāng)w(s1)≥w(s)。Biba模型這里w表示主體或客體的完整性級(jí)別??偟膩?lái)說(shuō),嚴(yán)格完整性策略提供了NRD(NoReadDown,不下讀)和NWU(NoWirteUp,不上寫(xiě))特性。從這兩個(gè)特性來(lái)看,Biba與BLP模型的兩個(gè)特性是正好相反,BLP模型提供保密性,而B(niǎo)iba模型對(duì)于數(shù)據(jù)的完整性提供保障。這里w表示主體或客體的完整性級(jí)別??偟膩?lái)說(shuō),嚴(yán)格完整Biba模型依據(jù)Biba安全模型所制定的原則是利用不下讀/不上寫(xiě)來(lái)保證數(shù)據(jù)的完整性。圖3Biba安全模型Biba模型圖3Biba安全模型Clark-Wilson模型Clark-Wilson模型簡(jiǎn)稱為CW模型,它是Clark和Wilson于1987年在給出軍事保密性和商業(yè)完整性的嚴(yán)格區(qū)別時(shí)提出的一個(gè)數(shù)據(jù)完整性模型。Clark和Wilson認(rèn)為,在商業(yè)數(shù)據(jù)環(huán)境中,相對(duì)于保密性而言,數(shù)據(jù)的完整性更為重要。而且,要實(shí)施完整性策略,僅僅依靠TCSEC中所描述的安全機(jī)制是不夠的,必須增加另外的安全機(jī)制,因此該模型是強(qiáng)數(shù)據(jù)類型和面向事務(wù)處理的商用完整性模型。該模型提出以后,學(xué)術(shù)界開(kāi)始關(guān)注于數(shù)據(jù)完整性相關(guān)的研究。3.3Clark-Wilson模型

Clark-Wilson模型3.3Clark-WilsoClark-Wilson模型Clark-Wilson模型指出了與商業(yè)系統(tǒng)相關(guān)的數(shù)據(jù)一致性目標(biāo)是:保證任何人都不能修改數(shù)據(jù)以獲取公司資產(chǎn)或改動(dòng)會(huì)計(jì)帳目。CW完整性模型基于如下的兩個(gè)基本概念:良性處理(Well-FormedTransaction):指用戶不能隨意操作數(shù)據(jù),以此確保數(shù)據(jù)內(nèi)部一致性為前提;責(zé)任隔離(SeparationofDuty):指將所有的操作分成幾個(gè)子部分,每個(gè)子部分由不同的人分別執(zhí)行,以此確保數(shù)據(jù)的外部一致性。Clark-Wilson模型Clark-Wilson模型CW模型中包含四種元素:約束數(shù)據(jù)項(xiàng)(CDIs):指必須實(shí)施完整性模型的數(shù)據(jù);非約束數(shù)據(jù)項(xiàng)(UDIs):指不受完整性策略約束的數(shù)據(jù),它們只受自主控制約束。新進(jìn)入系統(tǒng)的數(shù)據(jù)都被認(rèn)為是UDIs,但隨后可以被轉(zhuǎn)變變?yōu)镃DIs;轉(zhuǎn)移過(guò)程(TPs):指實(shí)施完整性策略的過(guò)程,用于把CDIs集合從一個(gè)有效狀態(tài)改變到另一個(gè)有效狀態(tài);完整性驗(yàn)證過(guò)程(IVPs):指實(shí)施完整性策略的過(guò)程,用于檢查內(nèi)部的數(shù)據(jù)一致性,也可以用于檢查外部的數(shù)據(jù)一致性。Clark-Wilson模型ChineseWall模型ChineseWall模型是Brewer和Nash于1989年提出的一個(gè)安全策略模型,該模型可以用于實(shí)現(xiàn)動(dòng)態(tài)改變?cè)L問(wèn)權(quán)限,它的基本原則是沒(méi)有任何信息流導(dǎo)致利益的沖突。ChineseWall(中國(guó)墻策略)的基本原理是:給出一組規(guī)則,任何主體都不能訪問(wèn)他所在的墻外的數(shù)據(jù)(客體)。該策略模型來(lái)源于顧問(wèn)行業(yè)的服務(wù)規(guī)則,一個(gè)顧問(wèn)在為某個(gè)企業(yè)提供商務(wù)服務(wù)后,不能再向該企業(yè)的競(jìng)爭(zhēng)者企業(yè)提供類似的商務(wù)服務(wù),當(dāng)然不限制他向不存在競(jìng)爭(zhēng)關(guān)系的企業(yè)提供商務(wù)服務(wù)。3.4ChineseWall模型ChineseWall模型3.4ChineseWalChineseWall模型在該模型中,企業(yè)信息可以分成三個(gè)不同級(jí)別的層次:最下層是企業(yè)的單個(gè)數(shù)據(jù),稱為客體;中間層是企業(yè)數(shù)據(jù)集,是企業(yè)內(nèi)所有數(shù)據(jù)的集合;最上層是利益沖突層,由相互競(jìng)爭(zhēng)的企業(yè)數(shù)據(jù)集組成。ChineseWall模型ChineseWall模型以下的特性構(gòu)成了ChineseWall模型的核心:簡(jiǎn)單安全特性(ss-特性),一個(gè)主體可以對(duì)同一個(gè)數(shù)據(jù)集內(nèi)的客體或者不同利益沖突類的客體具有讀權(quán)限,也就是說(shuō),一個(gè)主體最多可以讀取每個(gè)利益沖突類中的一個(gè)數(shù)據(jù)集。星號(hào)安全特性(*-特性),只有當(dāng)主體S對(duì)一個(gè)與客體O不在同一公司且其利益沖突集為空的客體O’沒(méi)有讀權(quán)限時(shí),S才具有對(duì)客體O的寫(xiě)權(quán)限。ChineseWall模型RBAC模型RBAC的基本思想是根據(jù)組織視圖的不同職能崗位劃分角色,訪問(wèn)許可映射在角色上,用戶被分配給角色,并通過(guò)會(huì)話激活角色集,能夠間接訪問(wèn)信息資源。用戶與角色以及操作許可與角色是多對(duì)多的關(guān)系,因此一個(gè)用戶可以分配多個(gè)角色,一個(gè)角色可以擁有多個(gè)用戶。同理,一個(gè)操作許可可以分配多個(gè)角色,一個(gè)角色可以賦予多個(gè)操作許可。角色可以劃分等級(jí),即角色的結(jié)構(gòu)化,反映企業(yè)組織的結(jié)構(gòu)和人員責(zé)權(quán)的分配,并且角色通過(guò)繼承形成偏序關(guān)系。3.5RBAC模型RBAC模型3.5RBAC模型其他模型信息流模型(FlowModel)無(wú)干擾模型(NoninterferenceModel)DTE模型其他模型小結(jié)1.操作系統(tǒng)安全模型概述2.安全模型的分類3.安全模型實(shí)例

3.1BLP模型3.2Biba模型3.3Clark-Wilson模型3.4ChineseWall模型3.5RBAC模型小結(jié)1.操作系統(tǒng)安全模型概述思考題1.說(shuō)明BLP模型的原理2.說(shuō)明Biba模型的原理3.說(shuō)明Clark-Wilson模型的原理4.說(shuō)明ChineseWall模型的原理5.說(shuō)明RBAC模型的原理思考題1.說(shuō)明BLP模型的原理信息安全技術(shù)

操作系統(tǒng)安全概述:

操作系統(tǒng)安全模型

信息安全技術(shù)

操主要內(nèi)容1.操作系統(tǒng)安全模型概述2.安全模型的分類3.安全模型實(shí)例

主要內(nèi)容1.操作系統(tǒng)安全模型概述1.操作系統(tǒng)安全模型概述J.P.Anderson指出,要開(kāi)發(fā)安全系統(tǒng),首先必須建立系統(tǒng)的安全模型。

安全模型給出安全系統(tǒng)的形式化定義,正確地綜合系統(tǒng)的各類因素。這些因素包括:系統(tǒng)的使用方式、使用環(huán)境類型、授權(quán)的定義、共享的客體(系統(tǒng)資源)、共享的類型和受控共享思想等。

這些因素應(yīng)構(gòu)成安全系統(tǒng)的形式化抽象描述,使得系統(tǒng)可以被證明是完整的、反映真實(shí)環(huán)境的、邏輯上能夠?qū)崿F(xiàn)程序的受控執(zhí)行的。

完成安全系統(tǒng)的建模之后,再進(jìn)行安全核的設(shè)計(jì)與實(shí)現(xiàn)。1.操作系統(tǒng)安全模型概述J.P.Anderson指出

安全策略用來(lái)描述用戶對(duì)系統(tǒng)安全的要求。一般來(lái)說(shuō),用戶對(duì)信息系統(tǒng)的安全需求基于以下幾個(gè)方面:機(jī)密性要求(confidentiality):防止信息泄露給未授權(quán)的用戶;完整性要求(integrity):防止未授權(quán)用戶對(duì)信息的修改;可記賬性(accountability):防止用戶對(duì)訪問(wèn)過(guò)某信息或執(zhí)行過(guò)某一操作進(jìn)行否認(rèn);可用性(availability):保證授權(quán)用戶對(duì)系統(tǒng)信息的可訪問(wèn)性。安全策略用來(lái)描述用戶對(duì)系統(tǒng)安全的要求。一般來(lái)說(shuō),用戶對(duì)信息2.安全模型的分類2.1狀態(tài)機(jī)模型用狀態(tài)機(jī)語(yǔ)言將安全系統(tǒng)描述成抽象的狀態(tài)機(jī),用狀態(tài)變量表示系統(tǒng)的狀態(tài),用轉(zhuǎn)換規(guī)則描述變量變化的過(guò)程。狀態(tài)機(jī)模型用于描述其他系統(tǒng)早就存在,但用于描述通用操作系統(tǒng)的所有狀態(tài)變量幾乎是不可能的。狀態(tài)機(jī)安全模型通常只能描述安全操作系統(tǒng)中若干與安全相關(guān)的主要狀態(tài)變量。相當(dāng)多的安全模型其實(shí)質(zhì)都是狀態(tài)機(jī)模型。它將系統(tǒng)描述成一個(gè)抽象的數(shù)學(xué)狀態(tài)機(jī),其中狀態(tài)變量(statevariables)表征機(jī)器狀態(tài),轉(zhuǎn)移函數(shù)(transitionfunctions)描述狀態(tài)變量如何變化。2.安全模型的分類2.1狀態(tài)機(jī)模型

狀態(tài)機(jī)模型狀態(tài)機(jī)模型的兩個(gè)基本特征是狀態(tài)和狀態(tài)轉(zhuǎn)移函數(shù),它的數(shù)學(xué)原理是這樣的:安全的初始狀態(tài);安全的狀態(tài)轉(zhuǎn)移函數(shù);用歸納法可以證明系統(tǒng)是安全的。只要該模型的初始狀態(tài)是安全的,并且所有的轉(zhuǎn)移函數(shù)也是安全的(即一個(gè)安全狀態(tài)通過(guò)狀態(tài)轉(zhuǎn)移函數(shù)只能達(dá)到新的安全狀態(tài)),那么數(shù)學(xué)推理的必然結(jié)果是:系統(tǒng)只要從某個(gè)安全狀態(tài)啟動(dòng),無(wú)論按哪種順序調(diào)用系統(tǒng)功能,系統(tǒng)將總是保持在安全狀態(tài)。狀態(tài)機(jī)模型

2.2存取矩陣模型存取矩陣模型(AccessMatrixModel)是狀態(tài)機(jī)模型的一種。它將系統(tǒng)的安全狀態(tài)表示成一個(gè)大的矩形陣列:每個(gè)主體擁有一行,每個(gè)客體擁有一列,交叉項(xiàng)表示主體對(duì)客體的訪問(wèn)模式。存取矩陣定義了系統(tǒng)的安全狀態(tài),這些狀態(tài)又被狀態(tài)轉(zhuǎn)移規(guī)則(即上文的狀態(tài)轉(zhuǎn)移函數(shù))引導(dǎo)到下一個(gè)狀態(tài)。這些規(guī)則和存取矩陣構(gòu)成了這種保護(hù)機(jī)制的核心。這種模型只限于為系統(tǒng)提供機(jī)制,具體的控制策略則包含在存取矩陣的當(dāng)前狀態(tài)中,使得依之實(shí)現(xiàn)一個(gè)系統(tǒng)時(shí)可實(shí)現(xiàn)機(jī)制和策略的很好分離。2.2存取矩陣模型

存取矩陣模型在實(shí)際的計(jì)算機(jī)系統(tǒng)中.當(dāng)把存取矩陣作為一個(gè)二維數(shù)組來(lái)實(shí)現(xiàn)時(shí),它往往會(huì)成為一個(gè)稀疏矩陣。于是,實(shí)際中對(duì)存取矩陣的存放,很自然地采用按行存放或者按列存放。按行存放。每個(gè)主體在其屬性數(shù)據(jù)結(jié)構(gòu)中部有若干客體及它對(duì)它們各自的存取權(quán)限,這種方法叫能力表(CapabilityList)法。按列存放,則是在每個(gè)客體的屬性數(shù)據(jù)結(jié)構(gòu)中存放著系統(tǒng)中每個(gè)主體對(duì)該客體的存取權(quán)限,這種方法叫訪問(wèn)控制表(AccessControlList,簡(jiǎn)稱ACL)。典型地,系統(tǒng)中每個(gè)文件都有一個(gè)相應(yīng)的ACL表來(lái)控制各個(gè)主體對(duì)它的存取權(quán)限。比如在UNIX存取矩陣模型文件系統(tǒng)中,將用戶分成用戶主、用戶組和其它用戶三類,分別標(biāo)明各類用戶對(duì)文件的存取權(quán)限。一般而言,能力表法或ACL法往往將主體對(duì)客體的存取權(quán)限交給客體的擁有者去制訂,從而使這兩種方法,尤其ACL法,常常是和自主存取控制策略聯(lián)系在一起。文件系統(tǒng)中,將用戶分成用戶主、用戶組和其它用戶三類,分別標(biāo)明3.1BLP模型3.1BLP模型Bell和Lapadula在1973年提出BLP模型,然后于1974年至1976年對(duì)該模型進(jìn)行了進(jìn)一步的充實(shí)和完善。BLP模型是最具有代表性的形式化信息安全模型,它是根據(jù)軍方的安全策略設(shè)計(jì)的,用于控制對(duì)具有密級(jí)劃分的信息的訪問(wèn)。它所關(guān)注的是信息的保密性,主要用于軍事領(lǐng)域。它是定義多等級(jí)安全(MLS)的基礎(chǔ)。3.1BLP模型3.1BLP模型3.安全模型實(shí)例3.1BLP模型3.2Biba模型3.3Clark-Wilson模型3.4ChineseWall模型3.5RBAC模型3.安全模型實(shí)例3.1BLP模型

BLP模型BLP模型是一個(gè)請(qǐng)求驅(qū)動(dòng)的狀態(tài)機(jī)模型。它在某一狀態(tài)接受請(qǐng)求,然后輸出決定,進(jìn)入下一個(gè)狀態(tài)。BLP模型可以歸結(jié)為三方面的內(nèi)容:元素、屬性和規(guī)則。下面分別作簡(jiǎn)單介紹。主體(Subject,S):指引起信息流動(dòng)的訪問(wèn)發(fā)起者。用戶登錄到系統(tǒng)后,由進(jìn)程代表用戶執(zhí)行具體訪問(wèn)操作,系統(tǒng)中只有進(jìn)程向客體發(fā)出訪問(wèn)請(qǐng)求。客體(Object,O):指信息流動(dòng)中的訪問(wèn)承受者??腕w包括文件、目錄、進(jìn)程、設(shè)備、進(jìn)程間通信結(jié)構(gòu)等。BLP模型

BLP模型敏感標(biāo)記:指主體或客體的安全標(biāo)記,是系統(tǒng)進(jìn)行保密性訪問(wèn)控制的依據(jù),包括等級(jí)分類和非等級(jí)類別兩部分。其中,等級(jí)分類指主體或客體的密級(jí),由一個(gè)整數(shù)代表;非等級(jí)類別指主體可以訪問(wèn)的客體范圍,由一個(gè)集合表示。權(quán)限:指主體對(duì)客體的訪問(wèn)操作,比如讀、寫(xiě)、執(zhí)行等。屬性:指模型的安全性質(zhì)。規(guī)則:描述模型狀態(tài)之間的狀態(tài)轉(zhuǎn)換規(guī)則。BLP模型BLP模型簡(jiǎn)單安全特性(ss-特性):如果(主體,客體,可讀)是當(dāng)前訪問(wèn),那么一定有:level(主體)≥level(客體)其中,level表示安全級(jí)別。這個(gè)特性表示的是主體只能讀取自己的敏感標(biāo)記可以支配其敏感標(biāo)記的客體,也就是不上讀的特性。BLP模型

BLP模型星號(hào)安全特性(*-特性):在任意狀態(tài),如果(主體,客體,方式)是當(dāng)前訪問(wèn),那么一定有:若方式是a,則:level(客體)≥current-level(主體)若方式是w,則:level(客體)=current-level(主體)若方式是r,則:current-level(主體)≥level(客體)其中,current-level表示當(dāng)前安全級(jí)別。它表示的是主體只能寫(xiě)敏感標(biāo)記支配自己的敏感標(biāo)記的客體,也就是不下寫(xiě)的特性。BLP模型BLP模型自主安全特性(ds-特性):如果(主體-i,客體-j,方式-x)是當(dāng)前訪問(wèn),那么,方式-x一定在訪問(wèn)控制矩陣M的元素Mij中。與ds-特性處理自主訪問(wèn)控制相對(duì)應(yīng),ss-特性和*-特性處理的是強(qiáng)制訪問(wèn)控制。自主訪問(wèn)控制的權(quán)限由客體的屬主自主確定,強(qiáng)制訪問(wèn)控制的權(quán)限由特定的安全管理員確定,由系統(tǒng)強(qiáng)制實(shí)施。BLP模型BLP模型基本安全定理:如果系統(tǒng)狀態(tài)的每一次變化都能滿足ss-特性、*-特性和ds-特性的要求,那么,在系統(tǒng)的整個(gè)狀態(tài)變化過(guò)程中,系統(tǒng)的安全性是不會(huì)被破壞的。BLP模型的主要缺點(diǎn)是由于模型過(guò)于抽象,在系統(tǒng)中實(shí)施時(shí)比較困難。BLP模型

BLP模型圖Bell-Lapadula安全模型BLP模型圖Bell-Lapadula安全模型3.2Biba模型

Biba模型Biba模型是K.J.Biba于1977年提出的,該模型是第一個(gè)涉及到計(jì)算機(jī)系統(tǒng)中完整性問(wèn)題的模型。該模型是以完整性級(jí)別的有序格為基礎(chǔ)的。它支持的是信息的完整性。Biba模型的基本概念就是不允許低完整性的信息流動(dòng)到高完整性的對(duì)象中,只允許信息流以相反的方向流動(dòng)。Biba模型提出了5種不同的用于完整性目的的強(qiáng)制訪問(wèn)控制策略。下面分別介紹。3.2Biba模型

Biba模型

Biba模型面向主體的低水標(biāo)策略在該策略中,每個(gè)主體的完整性級(jí)別不是靜態(tài)不變的,而是取決于它前一狀態(tài)的完整性級(jí)別。它基于如下規(guī)則:主體具有對(duì)給定客體的寫(xiě)權(quán)限,當(dāng)且僅當(dāng)該主體的完整性級(jí)別支配該客體的完整性級(jí)別;主體具有對(duì)另一個(gè)主體的通信權(quán)限,當(dāng)且僅當(dāng)?shù)谝粋€(gè)主體的完整性級(jí)別支配第二個(gè)主體的完整性級(jí)別;Biba模型主體具有對(duì)任何客體的讀權(quán)限,并且當(dāng)主體執(zhí)行完讀操作后,主體的完整性級(jí)別會(huì)降低為執(zhí)行讀操作前主體和客體的完整性級(jí)別的最小上界。因此,當(dāng)主體對(duì)具有較低完整性級(jí)別的客體進(jìn)行讀操作后會(huì)降低其本身的完整性級(jí)別,從而縮小了其可以訪問(wèn)的客體集主體具有對(duì)任何客體的讀權(quán)限,并且當(dāng)主體執(zhí)行完讀操作后,主體的Biba模型面向客體的低水標(biāo)策略除了改變主體的完整性級(jí)別外,面向客體的低水標(biāo)策略還要求被修改客體的完整性級(jí)別。它基于如下的規(guī)則:主體具有對(duì)任何客體的寫(xiě)操作,并且當(dāng)主體執(zhí)行完寫(xiě)操作后,客體的完整性級(jí)別會(huì)降低為執(zhí)行寫(xiě)操作前主體和客體的完整性級(jí)別的最大上界。因此,當(dāng)一個(gè)具有較高完整性級(jí)別的客體被一個(gè)具有較低完整性級(jí)別的主體進(jìn)行寫(xiě)操作后,它的完整性級(jí)別相應(yīng)會(huì)降低,從而導(dǎo)致信息的泄漏,并且一旦客體的完整性級(jí)別變低后再也不能恢復(fù)。Biba模型Biba模型低水標(biāo)完整性審計(jì)策略該策略是面向客體的低水標(biāo)策略的變種,在該策略下,客體的完整性級(jí)別不會(huì)被改變,它基于如下規(guī)則:主體對(duì)任何完整性級(jí)別的客體都具有寫(xiě)權(quán)限,但是如果該主體的完整性級(jí)別小于被操作客體的完整性級(jí)別,這個(gè)操作會(huì)被記錄在審計(jì)日志中。因此,這種方法并沒(méi)有保護(hù)信息的不恰當(dāng)更改,只是通過(guò)審計(jì)這種手段將該操作記錄了下來(lái),以便于以后的檢查。Biba模型Biba模型環(huán)策略在該策略下,主體和客體在它們的生命周期中完整性級(jí)別是固定不變的,并且只允許對(duì)那些完整性級(jí)別小于或等于該主體的客體進(jìn)行修改。另外,通過(guò)允許讀取任何完整性級(jí)別的客體,系統(tǒng)在靈活性方面獲得了很多的提高。它基于如下的規(guī)則:主體具有對(duì)給定客體的寫(xiě)權(quán)限,當(dāng)且僅當(dāng)該主體的完整性級(jí)別支配客體的完整性級(jí)別;Biba模型一個(gè)主體具有對(duì)另一個(gè)主體的通信權(quán)限,當(dāng)且僅當(dāng)?shù)谝粋€(gè)主體的完整性級(jí)別被第二個(gè)主體的完整性級(jí)別所支配;主體具有對(duì)任何客體的讀權(quán)限。在這種策略下,信息流任有可能從低完整性級(jí)別流向高完整性級(jí)別,比如,一個(gè)具有高完整性級(jí)別的主體讀取一個(gè)具有低完整性級(jí)別的客體,然后寫(xiě)具有和它同級(jí)別的客體。一個(gè)主體具有對(duì)另一個(gè)主體的通信權(quán)限,當(dāng)且僅當(dāng)?shù)谝粋€(gè)主體的完整Biba模型嚴(yán)格完整性策略嚴(yán)格完整性策略是在TCSEC上提出的機(jī)密性策略的數(shù)學(xué)對(duì)偶。其強(qiáng)制訪問(wèn)控制策略基于如下的規(guī)則:簡(jiǎn)單完整性特性(Simple-IntegrityProperty):主體S能夠讀客體O,當(dāng)且僅當(dāng)w(s)≤w(o);完整性星號(hào)特性(Integrity*-Property):主體S能夠?qū)懣腕wO,當(dāng)且僅當(dāng)w(s)≥w(o);調(diào)用特性(InvocationProperty):主體S1能夠調(diào)用(Invoke)主體S,當(dāng)且僅當(dāng)w(s1)≥w(s)。Biba模型這里w表示主體或客體的完整性級(jí)別??偟膩?lái)說(shuō),嚴(yán)格完整性策略提供了NRD(NoReadDown,不下讀)和NWU(NoWirteUp,不上寫(xiě))特性。從這兩個(gè)特性來(lái)看,Biba與BLP模型的兩個(gè)特性是正好相反,BLP模型提供保密性,而B(niǎo)iba模型對(duì)于數(shù)據(jù)的完整性提供保障。這里w表示主體或客體的完整性級(jí)別。總的來(lái)說(shuō),嚴(yán)格完整Biba模型依據(jù)Biba安全模型所制定的原則是利用不下讀/不上寫(xiě)來(lái)保證數(shù)據(jù)的完整性。圖3Biba安全模型Biba模型圖3Biba安全模型Clark-Wilson模型Clark-Wilson模型簡(jiǎn)稱為CW模型,它是Clark和Wilson于1987年在給出軍事保密性和商業(yè)完整性的嚴(yán)格區(qū)別時(shí)提出的一個(gè)數(shù)據(jù)完整性模型。Clark和Wilson認(rèn)為,在商業(yè)數(shù)據(jù)環(huán)境中,相對(duì)于保密性而言,數(shù)據(jù)的完整性更為重要。而且,要實(shí)施完整性策略,僅僅依靠TCSEC中所描述的安全機(jī)制是不夠的,必須增加另外的安全機(jī)制,因此該模型是強(qiáng)數(shù)據(jù)類型和面向事務(wù)處理的商用完整性模型。該模型提出以后,學(xué)術(shù)界開(kāi)始關(guān)注于數(shù)據(jù)完整性相關(guān)的研究。3.3Clark-Wilson模型

Clark-Wilson模型3.3Clark-WilsoClark-Wilson模型Clark-Wilson模型指出了與商業(yè)系統(tǒng)相關(guān)的數(shù)據(jù)一致性目標(biāo)是:保證任何人都不能修改數(shù)據(jù)以獲取公司資產(chǎn)或改動(dòng)會(huì)計(jì)帳目。CW完整性模型基于如下的兩個(gè)基本概念:良性處理(Well-FormedTransaction):指用戶不能隨意操作數(shù)據(jù),以此確保數(shù)據(jù)內(nèi)部一致性為前提;責(zé)任隔離(SeparationofDuty):指將所有的操作分成幾個(gè)子部分,每個(gè)子部分由不同的人分別執(zhí)行,以此確保數(shù)據(jù)的外部一致性。Clark-Wilson模型Clark-Wilson模型CW模型中包含四種元素:約束數(shù)據(jù)項(xiàng)(CDIs):指必須實(shí)施完整性模型的數(shù)據(jù);非約束數(shù)據(jù)項(xiàng)(UDI

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論