網(wǎng)絡(luò)和計算機安全課件

網(wǎng)絡(luò)和計算機安全信息安全概述1網(wǎng)絡(luò)和計算機安全信息安全概述1Internet中的信息安全I(xiàn)nternet中的信息系統(tǒng)越來越不安全高度互聯(lián)的InternetInternet安全性問題的根源是信任假設(shè)的改變（ATM）WorldWideWeb和WildandWoollyWest(M.Jakobsson和M.Yung)信用卡泄密事件2Internet中的信息安全I(xiàn)nternet中的信息系統(tǒng)越來案例美4000萬信用卡泄密，波及"中國卡"2005年6月21日報道，美國4000萬信用卡資料泄露的事件最終還是波及到了中國。根據(jù)萬事達(dá)（Mastercard）昨日發(fā)布的澄清聲明，被波及的中國萬事達(dá)信用卡數(shù)量為5560張以內(nèi)。Visa國際則表示，相關(guān)的數(shù)據(jù)正在統(tǒng)計中，將在稍晚發(fā)布。因為這次事件中美國所有的信用卡品牌均被波及，萬事達(dá)卡只占“外泄卡”總數(shù)的35%，所以中國“外泄卡”總數(shù)很可能過萬。本次遭到黑客入侵的公司，是在美專為銀行、會員機構(gòu)、特約商店處理卡片交易資料之外包廠商CardSystems。此公司在美負(fù)責(zé)處理大約105000家中小企業(yè)業(yè)務(wù)，目前并未處理中國內(nèi)地銀行的信用卡業(yè)務(wù)。但由于其代理的萬事達(dá)和Visa兩大全球信用卡公司，均已在中國開展業(yè)務(wù)多年。所以，萬事達(dá)卡的“外泄卡”中，也有0.04%（大約5600張）在中國內(nèi)地，0.07%（大約10000張）在香港。萬事達(dá)卡表示，偵測發(fā)現(xiàn)此次事件之后，立即主動發(fā)出預(yù)警通知所有銀行、金融機構(gòu)，呼吁所有單位須更加小心保護自身權(quán)益。另外，萬事達(dá)卡國際組織也已徹底要求CardSystems限期改善，立即補強安全漏洞。Visa國際表示將盡快發(fā)布緊急聲明。Visa國際中國區(qū)總經(jīng)理熊安平昨日在接受記者獨家專訪時表示，Visa國際定期在全球收集有關(guān)欺詐嫌疑的商戶，還會針對珠寶店之類高風(fēng)險的商戶實行特別監(jiān)控，并針對網(wǎng)上交易等實行“保證金”制度，確保持卡人權(quán)益不受侵害。未受波及的中國銀聯(lián)也不敢掉以輕心。因為在國內(nèi)擁有最大的銀行卡網(wǎng)絡(luò)，且與CardSystems的業(yè)務(wù)有部分的重合，中國銀聯(lián)發(fā)言人表示將很快發(fā)布對于此事件的官方聲明。3案例美4000萬信用卡泄密，波及"中國卡"3信用卡事件圖例4信用卡事件圖例4思考題本次泄密事件的泄密機制是怎么樣的？本次泄密事件的主要原因是什么？如何防范這種泄密？這種信用卡盜竊事件破壞了（信用卡）信息的什么屬性？5思考題本次泄密事件的泄密機制是怎么樣的？5CERT報告的安全性問題CERT(ComputerEmergencyResponseTeam)報告的安全性問題總體呈現(xiàn)上升趨勢分為兩個報告：報告的漏洞安全事件6CERT報告的安全性問題CERT(ComputerEme1995-2004年報告的漏洞數(shù)目統(tǒng)計(CERT)

71995-2004年報告的漏洞數(shù)目統(tǒng)計(CERT)71988-2003年報告的安全事件統(tǒng)計(CERT)

安全事件020000400006000080000100000120000140000160000198819891990199119921993199419951996199719981999200020012002200381988-2003年報告的安全事件統(tǒng)計(CERT)安全事安全問題的重要性系統(tǒng)原來越不安全系統(tǒng)的安全性取決于不同的方面本課程的主要著力點在于安全軟件的設(shè)計問題上講解安全的原理9安全問題的重要性系統(tǒng)原來越不安全9什么是安全10什么是安全10安全的概念橘皮書C.I.A.信息安全領(lǐng)域的劃分安全的矛盾性安全定義的發(fā)展影響安全的技術(shù)因素11安全的概念橘皮書11橘皮書橘皮書的歷史橘皮書定義了三類、六個基本需求第一類：策略需求1－安全策略(SecurityPolicy)

需求2－標(biāo)定(Marking)

第二類：審計需求3－可標(biāo)識(Identification)

需求4－可審計(Accountability)

第三類：保障需求5－保障(Assurance)

需求6－持續(xù)防護(ContinuousProtection)

12橘皮書橘皮書的歷史12信息安全的定義信息安全是一個十分廣泛而又復(fù)雜的話題美國國家電信和信息安全委員會(NSTISSC)信息安全是對信息、系統(tǒng)以及使用、存儲和傳輸信息的硬件的保護。但是要保護信息及其相關(guān)系統(tǒng)，諸如策略、認(rèn)識、培訓(xùn)和教育以及技術(shù)手段都是必要的。微軟公司M.Howard,D.LeBlance一個安全的產(chǎn)品應(yīng)該是指在信息所有者或者系統(tǒng)管理員控制下能夠保護客戶數(shù)據(jù)的機密性、完整性和可用性，能夠保護資源處理過程的完整性和有效性。機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的組合13信息安全的定義信息安全是一個十分廣泛而又復(fù)雜的話題13機密性機密性是指保證計算機相關(guān)的有價值財產(chǎn)（信息）只能被授權(quán)過的用戶所訪問。機密性的保護認(rèn)證和訪問控制加密14機密性機密性是指保證計算機相關(guān)的有價值財產(chǎn)（信息）只能被授權(quán)完整性完整性是指這些計算機相關(guān)的有價值財產(chǎn)（信息）只能被授權(quán)過的用戶所修改，或者通過授權(quán)過的過程所修改。完整性的保護認(rèn)證和訪問控制加密15完整性完整性是指這些計算機相關(guān)的有價值財產(chǎn)（信息）只能被授權(quán)可用性可用性是指這些有價值的財產(chǎn)（信息）在需要的時候必須能夠被授權(quán)的用戶訪問或者修改?？捎眯缘钠茐腄OS:DenialOfService16可用性可用性是指這些有價值的財產(chǎn)（信息）在需要的時候必須能夠可用性破壞案例SYNFlood的基本原理SYNFlood是當(dāng)前最流行的DoS（拒絕服務(wù)攻擊）與DDoS（分布式拒絕服務(wù)攻擊）的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡（CPU滿負(fù)荷或內(nèi)存不足）的攻擊方式。要明白這種攻擊的基本原理，還是要從TCP連接建立的過程開始說起：TCP與UDP不同，它是基于連接的，也就是說：為了在服務(wù)端和客戶端之間傳送TCP數(shù)據(jù)，必須先建立一個虛擬電路，也就是TCP連接，建立TCP連接的標(biāo)準(zhǔn)過程是這樣的：首先，請求端（客戶端）發(fā)送一個包含SYN標(biāo)志的TCP報文，SYN即同步（Synchronize），同步報文會指明客戶端使用的端口以及TCP連接的初始序號；第二步，服務(wù)器在收到客戶端的SYN報文后，將返回一個SYN+ACK的報文，表示客戶端的請求被接受，同時TCP序號被加一，ACK即確認(rèn)（Acknowledgement）。第三步，客戶端也返回一個確認(rèn)報文ACK給服務(wù)器端，同樣TCP序列號被加一，到此一個TCP連接完成。以上的連接過程在TCP協(xié)議中被稱為三次握手（Three-wayHandshake）。17可用性破壞案例SYNFlood的基本原理17可用性破壞案例(續(xù))問題就出在TCP連接的三次握手中，假設(shè)一個用戶向服務(wù)器發(fā)送了SYN報文后突然死機或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報文后是無法收到客戶端的ACK報文的（第三次握手無法完成），這種情況下服務(wù)器端一般會重試（再次發(fā)送SYN+ACK給客戶端）并等待一段時間后丟棄這個未完成的連接，這段時間的長度我們稱為SYNTimeout，一般來說這個時間是分鐘的數(shù)量級（大約為30秒-2分鐘）；一個用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個線程等待1分鐘并不是什么很大的問題，但如果有一個惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護一個非常大的半連接列表而消耗非常多的資源--數(shù)以萬計的半連接，即使是簡單的保存并遍歷也會消耗非常多的CPU時間和內(nèi)存，何況還要不斷對這個列表中的IP進行SYN+ACK的重試。實際上如果服務(wù)器的TCP/IP棧不夠強大，最后的結(jié)果往往是堆棧溢出崩潰--即使服務(wù)器端的系統(tǒng)足夠強大，服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求（畢竟客戶端的正常請求比率非常之?。藭r從正?？蛻舻慕嵌瓤磥?，服務(wù)器失去響應(yīng)，這種情況我們稱作：服務(wù)器端受到了SYNFlood攻擊（SYN洪水攻擊）。18可用性破壞案例(續(xù))問題就出在TCP連接的三次握手中，假設(shè)可用性破壞案例(續(xù))從防御角度來說，有幾種簡單的解決方法：第一種是縮短SYNTimeout時間，由于SYNFlood攻擊的效果取決于服務(wù)器上保持的SYN半連接數(shù)，這個值=SYN攻擊的頻度x

SYNTimeout，所以通過縮短從接收到SYN報文到確定這個報文無效并丟棄改連接的時間，例如設(shè)置為20秒以下（過低的SYNTimeout設(shè)置可能會影響客戶的正常訪問），可以成倍的降低服務(wù)器的負(fù)荷。第二種方法是設(shè)置SYNCookie，就是給每一個請求連接的IP地址分配一個Cookie，如果短時間內(nèi)連續(xù)受到某個IP的重復(fù)SYN報文，就認(rèn)定是受到了攻擊，以后從這個IP地址來的包會被丟棄。可是上述的兩種方法只能對付比較原始的SYNFlood攻擊，縮短SYNTimeout時間僅在對方攻擊頻度不高的情況下生效，SYNCookie更依賴于對方使用真實的IP地址，如果攻擊者以數(shù)萬/秒的速度發(fā)送SYN報文，同時利用SOCK_RAW隨機改寫IP報文中的源地址，以上的方法將毫無用武之地。19可用性破壞案例(續(xù))從防御角度來說，有幾種簡單的解決方法：機密性，完整性和可用性及其之間的關(guān)系

完整性機密性可用性安全20機密性，完整性和可用性及其之間的關(guān)系完整性機密性可用性安全C,I,A分類21C,I,A分類21信息安全領(lǐng)域的劃分22信息安全領(lǐng)域的劃分22安全的矛盾性警察與小偷銀行和搶匪安全的矛盾性不可避免23安全的矛盾性警察與小偷23安全定義的發(fā)展

1960－1970：通信安全1970－1980：計算機安全1980－1990：信息安全1990－ ：信息保障24安全定義的發(fā)展1960－1970：通信安全24影響安全的技術(shù)因素

網(wǎng)絡(luò)因素

系統(tǒng)復(fù)雜性因素

系統(tǒng)可擴展因素

25影響安全的技術(shù)因素網(wǎng)絡(luò)因素25安全策略和安全機制概述26安全策略和安全機制概述26威脅與威脅建模威脅威脅是對信息安全的某種破壞對威脅的分析的系統(tǒng)化方法稱為威脅建模成立威脅建模小組分解應(yīng)用程序確定系統(tǒng)所面臨的威脅以風(fēng)險遞減的原則對威脅排序選擇應(yīng)付威脅的方法選擇緩和威脅的技術(shù)從確定下來的技術(shù)中選擇適當(dāng)?shù)姆椒ㄍ{建模是設(shè)計安全信息系統(tǒng)的第一步，也是最為重要的一環(huán)27威脅與威脅建模威脅27威脅建模的迭代過程圖解28威脅建模的迭代過程圖解28威脅的分類(Shirey)

泄密（Disclosure），也即未經(jīng)授權(quán)的訪問，是對信息機密性的破壞；欺騙（Deception），也即收到錯誤的數(shù)據(jù)；攔截（Disruption），也即中斷或者阻止正確的操作；篡改（Usurpation），也即非授權(quán)的控制系統(tǒng)的某些部分。29威脅的分類(Shirey)泄密（Disclosure），安全策略

安全策略（SecurityPolicy）就是指定系統(tǒng)允許或者禁止用戶做什么的一種陳述表述系統(tǒng)的安全策略自然語言數(shù)學(xué)表示

安全策略語言

30安全策略安全策略（SecurityPolicy）就是指XACML

31XACML313232使用安全策略來定義安全系統(tǒng)狀態(tài)（SystemState）

系統(tǒng)狀態(tài)是指一個系統(tǒng)中所有的內(nèi)存、外存、寄存器和其它系統(tǒng)部件的當(dāng)前值的一個集合保護狀態(tài)（ProtectionState）

保護狀態(tài)是系統(tǒng)狀態(tài)中有關(guān)保護系統(tǒng)的內(nèi)容的一個子集ACM(AccessControlMatrix)表示保護狀態(tài)最為精確和常用的方法33使用安全策略來定義安全系統(tǒng)狀態(tài)（SystemState）ACM的表示objects(entities)subjectss1s2…sno1…om

s1…sn34ACM的表示objects(entities)subjecACM的例子135ACM的例子135ACM例子2進程p,q文件f,g權(quán)限r(nóng),w,x,a,o

f g p qp rwo r rwxo wq a ro r rwxo 36ACM例子2進程p,q36其它的策略表述SubjectannieAttributesrole(artist),groups(creative)VerbpaintDefault0(denyunlessexplicitlygranted)ObjectpictureRule:paint: ‘a(chǎn)rtist’insubject.roleand ‘creative’insubject.groupsand time.hour≥0andtime.hour<537其它的策略表述Subjectannie37映射到ACM…picture……annie…paintAt3AM,timeconditionmet;ACMis:…picture……annie…At10AM,timeconditionnotmet;ACMis:38映射到ACM…picture……annie…pain狀態(tài)遷移改變系統(tǒng)的保護狀態(tài)|–代表遷移Xi|–

Xi+1:命令將系統(tǒng)從狀態(tài)Xi

遷移到Xi+1Xi|–*

Xi+1:一組命令將系統(tǒng)從狀態(tài)

Xi

遷移到Xi+1這些命令()經(jīng)常叫轉(zhuǎn)換過程(transformationprocedures)39狀態(tài)遷移改變系統(tǒng)的保護狀態(tài)39ACM的六個原子操作createsubject

s;createobjecto在ACM中創(chuàng)建新的一行和一列；創(chuàng)建新的一列destroysubject

s;destroyobjecto在ACM中刪除一行和一列；刪除一列enter

r

into

A[s,o]在ACM單元格子中添加權(quán)限r(nóng)delete

r

from

A[s,o]在ACM單元格子中刪除權(quán)限r(nóng)40ACM的六個原子操作createsubjects;crCreateSubject前提:s

S原子命令:createsubject

s結(jié)果:S=S

{s},O=O

{s}(y

O)[a[s,y]=],(x

S)[a[x,s]=](x

S)(y

O)[a[x,y]=a[x,y]]41CreateSubject前提:sS41CreateObject前提:o

O原子命令:createobject

o結(jié)果:S=S,O=O

{o}(x

S)[a[x,o]=](x

S)(y

O)[a[x,y]=a[x,y]]42CreateObject前提:oO42AddRight前提:s

S,o

O原子命令:enterrintoa[s,o]結(jié)果:S=S,O=O(x

S)(y

O)[a[x,y]=a[x,y]]a[s,o]=a[s,o]{r}43AddRight前提:sS,oO43DeleteRight前提:s

S,o

O原子命令:delete

r

from

a[s,o]結(jié)果:S=S,O=O(x

S)(y

O)[a[x,y]=a[x,y]]a[s,o]=a[s,o]–{r}44DeleteRight前提:sS,oO44DestroySubject前提:s

S原子命令:destroy

subject

s結(jié)果:S=S–{s},O=O–{s}(y

O)[a[s,y]=],(x

S)[a′[x,s]=](x

S)(y

O)[a[x,y]=a[x,y]]45DestroySubject前提:sS45Destroy

Object前提:o

O原子命令:destroy

object

o結(jié)果:S=S,O=O–{o}(x

S)[a[x,o]=](x

S)(y

O)[a[x,y]=a[x,y]]46DestroyObject前提:oO46實際系統(tǒng)中ACM的例子－創(chuàng)建一個文件的命令進程p

創(chuàng)建一個文件

f

并賦予p以r

和w

權(quán)限

commandcreate_file(p,f) createobjectf; enterownintoA[p,f]; enterrintoA[p,f]; enterwintoA[p,f]; end47實際系統(tǒng)中ACM的例子－創(chuàng)建一個文件的命令進程p創(chuàng)建一個單調(diào)命令(Mono-OperationalCommands)使得進程p

成為文件g的owner

commandmake_owner(p,g) enterownintoA[p,g]; end單調(diào)命令(Mono-operationalcommand)在命令中只有一個原子命令48單調(diào)命令(Mono-OperationalCommand條件命令條件命令

commandgrant_read_file_1(p,f,q) ifowninA[p,f] then enterrintoA[q,f]; end單調(diào)條件命令在命令中只有一個條件49條件命令條件命令49多條件命令如果p是f的owner，并且p擁有q的copy權(quán)限，那么讓p賦給q以f的r和w的權(quán)限commandgrant_read_file_2(p,f,q) ifowninA[p,f]andcinA[p,q] then enterrintoA[q,f]; enterwintoA[q,f]; end50多條件命令如果p是f的owner，并且p擁有q的copy權(quán)限Copy權(quán)限允許進程將權(quán)限賦給別人經(jīng)常作為一個附加給一個權(quán)限：r

是一個讀權(quán)限，但不能被賦值rc

是一個都權(quán)限，可以被賦值是否權(quán)限在賦給的時候，需要給出賦值標(biāo)識c?這取決于你的安全策略模型(DAC)51Copy權(quán)限允許進程將權(quán)限賦給別人51Own權(quán)限通常允許一個進程執(zhí)行改變ACM內(nèi)列中的內(nèi)容的一個權(quán)限一個對象的owner可以為其它用戶添加、刪除該對象的權(quán)限但是也是需要依賴于系統(tǒng)的需求不能將權(quán)限賦給某些人不能將權(quán)限的copy標(biāo)志賦給某些人有些系統(tǒng)不允許owner具有如此功能(MAC)52Own權(quán)限通常允許一個進程執(zhí)行改變ACM內(nèi)列中的內(nèi)容的一個權(quán)什么是“Secure”?Addingagenericrightrwheretherewasnotoneis“l(fā)eaking”IfasystemS,beginningininitialstates0,cannotleakrightr,itissafewithrespecttotherightr.53什么是“Secure”?AddingagenericSafety問題是否存在一個算法能夠決定如下問題：針對某個權(quán)限r(nóng)，安全系統(tǒng)S從安全的初始狀態(tài)Sn開始一直是安全的。54Safety問題是否存在一個算法能夠決定如下問題：針對某個權(quán)單調(diào)命令回答:yes證明的思路:Considerminimalsequenceofcommandsc1,…,cktoleaktherightr.Canomitdelete,destroyCanmergeallcreatesintooneWorstcase:inserteveryrightintoeveryentry;withssubjectsandoobjectsinitially,andnrights,upperboundisk≤n(s+1)(o+1)55單調(diào)命令回答:yes55通用問題不能給出回答：Itisun-decidablewhetheragivenstateofagivenprotectionsystemissafeforagivengenericrightProof:ReductionfromhaltingproblemSymbols,statesrightsTapecellsubject(cancreatenewsubjects)Rightown:siownssi+1for1≤i<kCellsi

A

sihasArightsonitselfCellsk

skhasendrightsonitselfStatep,headatsi

sihasprightsonitself56通用問題不能給出回答：Itisun-decidable例子ABCD…s1s2s3s4s1Aowns2Bowns3C,powns4D,endMatrixTuringMachine57例子ABCD…s1s2s3s4s1Aowns2Bowns3C映射ABXD…1234heads1s2s3s4s4s3s2s1ABXDk1endownownownAfterd(k,C)=(k1,X,R)wherekisthecurrentstateandk1thenextstate58映射ABXD…1234heads1s2s3s4s4s3s2s命令d(k,C)=(k1,X,R)atintermediatebecomescommandck,C(s3,s4)if

own

in

A[s3,s4]and

k

in

A[s3,s3] andCin

A[s3,s3]then

delete

k

from

A[s3,s3];

deleteCfrom

A[s3,s3];

enterXinto

A[s3,s3];

enter

k1

into

A[s4,s4];end59命令d(k,C)=(k1,X,R)atinte分析HaltingproblemTuringMachine:SymbolsA,B;statesp,qCp,A(si,si-1)(moveleft)ifown

a[si-1,si]andp

a[si,si]andA

a[si,si]Deletepfroma[si,si],Afroma[si,si]EnterBintoa[si,si],qintoa[si-1,si-1]Similarcommandsformoveright,moverightatendoftapeSimulatesTuringmachineLeakshaltingstatehaltingstateinthematrixHaltingstatereachedThisisundecidable!60分析HaltingproblemTuringMachi映射ABXY1234heads1s2s3s4s4s3s2s1ABXYownownownAfterd(k1,D)=(k2,Y,R)wherek1isthecurrentstateandk2thenextstates5s5ownb

k2end5b61映射ABXY1234heads1s2s3s4s4s3s2s1命令d(k1,D)=(k2,Y,R)atendbecomescommandcrightmostk,C(s4,s5)if

end

in

A[s4,s4]and

k1

in

A[s4,s4] andDin

A[s4,s4]then delete

end

from

A[s4,s4];

createsubject

s5;

enter

ownintoA[s4,s5];

enter

end

into

A[s5,s5];

delete

k1

from

A[s4,s4];

deleteDfrom

A[s4,s4];

enterYinto

A[s4,s4];

enter

k2

into

A[s5,s5];end62命令d(k1,D)=(k2,Y,R)atend證明ProtectionsystemexactlysimulatesaTMIfTMentersstateqf,thenrighthasleakedIfsafetyquestiondecidable,thenrepresentTMasaboveanddetermineifqfleaksImplieshaltingproblemdecidableConclusion:safetyquestionundecidable63證明Protectionsystemexactlysi安全系統(tǒng)和不安全系統(tǒng)安全策略（SecurityPolicy）是將系統(tǒng)分解成一組安全（授權(quán)）的狀態(tài)和不安全（授權(quán)）狀態(tài)的一種陳述安全系統(tǒng)（SecureSystem）是指一個從安全（授權(quán)）的狀態(tài)出發(fā)，不會進入不安全（授權(quán)）的狀態(tài)的系統(tǒng)。

安全精確交叉系統(tǒng)可達(dá)狀態(tài)系統(tǒng)安全狀態(tài)64安全系統(tǒng)和不安全系統(tǒng)安全策略（SecurityPolicy機密性、完整性和有效性的定義機密性（Confidentiality）設(shè)X表示一組實體，I表示一些信息或者一個資源。如果I相對于X具有機密性是指X中的任意成員不能夠得到I中的任何內(nèi)容。完整性（Integrity）設(shè)X表示一組實體，I表示一些信息或者一個資源。如果I相對于X具有完整性是指X中的所有成員都信任I中的內(nèi)容?？捎眯裕ˋvailability）設(shè)X表示一組實體，I表示一些信息或者一個資源。如果I相對于X具有可用性是指X中的所有成員都可以訪問I中的內(nèi)容。65機密性、完整性和有效性的定義機密性（Confidentia安全機制

安全機制（Mechanism）是一種執(zhí)行安全策略的方法、工具或者過程

信任和假設(shè)信任是一切安全研究的基礎(chǔ)。沒有信任就不可能存在實際的安全。信任很多時候需要假設(shè)。這些假設(shè)可能沒有經(jīng)過嚴(yán)格證明，但是的確實際存在。上課的老師不是黑幫頭目，沒有懷揣槍支來上課；上課的時候，你周圍的同學(xué)不會惡意對你，不過在你背后捅刀子；教學(xué)樓的質(zhì)量室過關(guān)的，不會出現(xiàn)天花板掉下來，或者腳下的樓板開裂這樣的問題；你相信在宿舍樓里已經(jīng)關(guān)好門，上好鎖，看門的大爺大媽在兢兢業(yè)業(yè)的工作，所以的寢室里的財物不會被人拿走；……66安全機制安全機制（Mechanism）是一種執(zhí)行安全策略安全機制的思考題現(xiàn)有一份文檔，安全策略是不允許id為weili的用戶查看該文檔有哪些機制可以實現(xiàn)這個策略？67安全機制的思考題現(xiàn)有一份文檔，安全策略是不允許id為weil安全保障有了目標(biāo)和機制以后，關(guān)鍵在于如何執(zhí)行這些機制制定規(guī)范(specification)需求分析目標(biāo)功能表述設(shè)計系統(tǒng)(Design)設(shè)計系統(tǒng)以滿足規(guī)范的需求執(zhí)行系統(tǒng)(Implementation)執(zhí)行系統(tǒng)以符合當(dāng)初設(shè)計的目標(biāo)68安全保障有了目標(biāo)和機制以后，關(guān)鍵在于如何執(zhí)行這些機制68研究安全的方法學(xué)

ThreatsPolicySpecificationDesignImplementationOperation69研究安全的方法學(xué)ThreatsPolicySpecific運作問題Cost-Benefit分析是否該保護更為便宜，但是已經(jīng)達(dá)到保護要求足夠保護原理(PrincipleofAdequateProtection):計算機單元得到的保護應(yīng)該與它們的價值成正比。風(fēng)險分析(RiskAnalysis)我們應(yīng)該保護有些東西嗎？最容易侵入原理(PrincipleofEasiestPenetration)：必須考慮到一個入侵者必然會利用所有可以利用的手段去執(zhí)行入侵。法律和習(xí)慣所有的安全手段是否合法？人們是否愿意去執(zhí)行它們？70運作問題Cost-Benefit分析70人的因素組織問題權(quán)力和責(zé)任經(jīng)濟利益人員問題內(nèi)部威脅還是外部威脅哪個是你認(rèn)為的真真的威脅社會工程一種攻擊手段，與人員的安全意識緊密相關(guān)71人的因素組織問題71思考題－如何保護你的project什么是你的project的安全性？現(xiàn)有哪些威脅在影響你的project？如何保護你的Project？制定幾條安全策略用以保護你的project？這些策略夠了嗎？如何執(zhí)行上述安全策略？如何解決相應(yīng)的組織問題和工具問題？有哪些運作問題存在？有哪些人的問題存在？72思考題－如何保護你的project什么是你的project的信息系統(tǒng)安全攻擊的概述73信息系統(tǒng)安全攻擊的概述73案例分析2001年，《信息周刊》（InformationWeek）對4500個安全專家進行了一個全球信息調(diào)查。作為調(diào)查的一部分，要求回答者列出入侵者入侵其機構(gòu)所使用的主要攻擊方法（允許多選）。排在第一位的方法是利用操作系統(tǒng)的漏洞：大約三分之一的回答者經(jīng)歷過這種攻擊。接下來的流行方法是利用不為人知的應(yīng)用程序（占27%）。其它常見的攻擊是猜口令（占22%）、濫用合法用戶的帳戶或者許可（占17%）和使用拒絕服務(wù)攻擊（占12%）。通常的思維總是認(rèn)為針對公司網(wǎng)絡(luò)或計算機的攻擊，有五分之四是由懷有惡意的內(nèi)部員工所為，因為他們利用對系統(tǒng)的熟悉來達(dá)到目的。這次的調(diào)查嘗試確定這個“首要規(guī)則”是否成立。事實上，利用網(wǎng)絡(luò)應(yīng)用程序的增長，現(xiàn)在認(rèn)為外部人士具有更大的威脅。Hulme指出“很多公司懷疑黑客、恐怖分子（占46%）甚至一些消費者（占14％）在試圖攻擊他們的系統(tǒng)”。美國計算機安全研究所和美國聯(lián)邦調(diào)查局出版的另外一份調(diào)查報告也證實了這種懷疑。第二份報告指出幾乎四分之三的企業(yè)認(rèn)為因特網(wǎng)的攻擊起點，而只有三分之一的企業(yè)認(rèn)為內(nèi)部系統(tǒng)是攻擊起點。74案例分析2001年，《信息周刊》（InformationW問題漏洞最大的來源是什么？攻擊的最大來源是什么？對企業(yè)系統(tǒng)的攻擊點最大的來源是什么？75問題漏洞最大的來源是什么？75攻擊方法的步驟調(diào)查目標(biāo)系統(tǒng)狀況。首先通過各種途徑找到所需要攻擊的信息系統(tǒng)的概況。包括了解信息系統(tǒng)的類型、版本等信息，這樣容易找到相關(guān)的資料調(diào)查目標(biāo)系統(tǒng)的漏洞所在；初始攻擊。找尋相關(guān)工具，或者編寫相應(yīng)腳本進行攻擊。一般以嘗試進入為這一階段的第一步。比如找到一個Guest帳號進入系統(tǒng)。這樣有助于進一步獲取系統(tǒng)信息，并運行下一步的攻擊程序；提升權(quán)限。在第二步的基礎(chǔ)之上運行攻擊程序，獲得系統(tǒng)管理員或者希望得到的目標(biāo)角色的帳戶；掩蓋攻擊。完成第三步的時候，并不表明攻擊已經(jīng)完成。這一步需要清除日志或者文件系統(tǒng)的某些記錄，不能讓系統(tǒng)管理人員發(fā)覺攻擊的痕跡；修補相應(yīng)的漏洞。這一步是高級黑客常常討論的問題。修補目標(biāo)系統(tǒng)的漏洞的目的是要堵塞原先的攻擊路徑，讓其他黑客不能進入系統(tǒng)。否則有可能自己的攻擊留下的特權(quán)帳戶被其他黑客殺檔。因此，這一步是很重要的，但是修補漏洞很容易讓系統(tǒng)管理員發(fā)現(xiàn)攻擊，比如重新啟動等發(fā)生的時候，系統(tǒng)管理員會知道可能有攻擊行為的發(fā)生。因此如何在不讓管理員察覺的情況下修補安全漏洞是高級黑客經(jīng)常討論的話題。76攻擊方法的步驟調(diào)查目標(biāo)系統(tǒng)狀況。76攻擊的分類竊聽（Snooping）篡改（ModificationorAlteration）偽裝或者哄騙（MasqueradingorSpoofing）否認(rèn)發(fā)送（RepudiationofOrigin）否認(rèn)接受（Denialofreceipt）延遲（Delay）拒絕服務(wù)（Denialofservice）77攻擊的分類竊聽（Snooping）77中間人攻擊AliceBob和Alice交換密鑰和Bob交換密鑰攻擊者78中間人攻擊AliceBob和Alice交換密鑰和Bob交換密直接型分布式拒絕服務(wù)攻擊

79直接型分布式拒絕服務(wù)攻擊79反射型分布式拒絕服務(wù)攻擊

80反射型分布式拒絕服務(wù)攻擊80如何進行防御81如何進行防御81防御的方法論82防御的方法論82攻擊者的優(yōu)勢和防御者的劣勢

因素＃1：防御者必須對所有的環(huán)節(jié)進行防御，而攻擊者可以選擇最薄弱的環(huán)節(jié)發(fā)起攻擊。

城堡的防御和攻擊點的選擇攻擊者可以拿到你的軟件，并只需要找出一個薄弱環(huán)節(jié)因素＃2：防御者只能針對已知的攻擊進行防御，而攻擊者則可以探測未知的漏洞進行攻擊

城堡中的古井和特洛伊木馬的故事軟件在發(fā)布的時候，只能對已經(jīng)建立的理論或者已經(jīng)知道的攻擊手段進行有效防御。對未知的攻擊進行防御的唯一途徑就是，如果用戶不是明確要求的某些功能，就禁止這些功能。因素＃3：防御者必須永遠(yuǎn)保持警戒，而攻擊者可以以逸待勞，隨時發(fā)起攻擊

因素＃4：防御者的活動必須遵守相關(guān)的規(guī)則，而攻擊者可以采用一些卑鄙的、非法的手段

83攻擊者的優(yōu)勢和防御者的劣勢因素＃1：防御者必須對所有的環(huán)節(jié)系統(tǒng)開發(fā)和程序員的視圖從系統(tǒng)開發(fā)和程序員的角度來看，構(gòu)建一個安全的信息系統(tǒng)是一個艱巨的任務(wù)。我們建議如下：從開發(fā)的過程上保證?，F(xiàn)代的開發(fā)過程多采用迭代式開發(fā)過程以控制風(fēng)險；從軟件體系結(jié)構(gòu)上保證。采用合適的機制，包括認(rèn)證、訪問控制、審計、加密/解密，用以保證系統(tǒng)的安全性；從代碼上保證。建立對等審查機制，提高代碼的可讀性和安全性。使用合適的編譯工具和代碼檢查工具，提高代碼的健壯性；提供有效的安全測試。安全測試是現(xiàn)代信息系統(tǒng)測試必不可少的一部分。從人員組織上保障.。進行定期培訓(xùn)，提高開發(fā)人員和程序員的安全意識。設(shè)立安全部門，幫助系統(tǒng)開發(fā)和程序員提高系統(tǒng)和代碼的安全質(zhì)量。84系統(tǒng)開發(fā)和程序員的視圖從系統(tǒng)開發(fā)和程序員的角度來看，構(gòu)建一小結(jié)安全的重要性什么是安全安全策略、安全機制和安全的方法學(xué)攻擊概述防御85小結(jié)安全的重要性85網(wǎng)絡(luò)和計算機安全信息安全概述86網(wǎng)絡(luò)和計算機安全信息安全概述1Internet中的信息安全I(xiàn)nternet中的信息系統(tǒng)越來越不安全高度互聯(lián)的InternetInternet安全性問題的根源是信任假設(shè)的改變（ATM）WorldWideWeb和WildandWoollyWest(M.Jakobsson和M.Yung)信用卡泄密事件87Internet中的信息安全I(xiàn)nternet中的信息系統(tǒng)越來案例美4000萬信用卡泄密，波及"中國卡"2005年6月21日報道，美國4000萬信用卡資料泄露的事件最終還是波及到了中國。根據(jù)萬事達(dá)（Mastercard）昨日發(fā)布的澄清聲明，被波及的中國萬事達(dá)信用卡數(shù)量為5560張以內(nèi)。Visa國際則表示，相關(guān)的數(shù)據(jù)正在統(tǒng)計中，將在稍晚發(fā)布。因為這次事件中美國所有的信用卡品牌均被波及，萬事達(dá)卡只占“外泄卡”總數(shù)的35%，所以中國“外泄卡”總數(shù)很可能過萬。本次遭到黑客入侵的公司，是在美專為銀行、會員機構(gòu)、特約商店處理卡片交易資料之外包廠商CardSystems。此公司在美負(fù)責(zé)處理大約105000家中小企業(yè)業(yè)務(wù)，目前并未處理中國內(nèi)地銀行的信用卡業(yè)務(wù)。但由于其代理的萬事達(dá)和Visa兩大全球信用卡公司，均已在中國開展業(yè)務(wù)多年。所以，萬事達(dá)卡的“外泄卡”中，也有0.04%（大約5600張）在中國內(nèi)地，0.07%（大約10000張）在香港。萬事達(dá)卡表示，偵測發(fā)現(xiàn)此次事件之后，立即主動發(fā)出預(yù)警通知所有銀行、金融機構(gòu)，呼吁所有單位須更加小心保護自身權(quán)益。另外，萬事達(dá)卡國際組織也已徹底要求CardSystems限期改善，立即補強安全漏洞。Visa國際表示將盡快發(fā)布緊急聲明。Visa國際中國區(qū)總經(jīng)理熊安平昨日在接受記者獨家專訪時表示，Visa國際定期在全球收集有關(guān)欺詐嫌疑的商戶，還會針對珠寶店之類高風(fēng)險的商戶實行特別監(jiān)控，并針對網(wǎng)上交易等實行“保證金”制度，確保持卡人權(quán)益不受侵害。未受波及的中國銀聯(lián)也不敢掉以輕心。因為在國內(nèi)擁有最大的銀行卡網(wǎng)絡(luò)，且與CardSystems的業(yè)務(wù)有部分的重合，中國銀聯(lián)發(fā)言人表示將很快發(fā)布對于此事件的官方聲明。88案例美4000萬信用卡泄密，波及"中國卡"3信用卡事件圖例89信用卡事件圖例4思考題本次泄密事件的泄密機制是怎么樣的？本次泄密事件的主要原因是什么？如何防范這種泄密？這種信用卡盜竊事件破壞了（信用卡）信息的什么屬性？90思考題本次泄密事件的泄密機制是怎么樣的？5CERT報告的安全性問題CERT(ComputerEmergencyResponseTeam)報告的安全性問題總體呈現(xiàn)上升趨勢分為兩個報告：報告的漏洞安全事件91CERT報告的安全性問題CERT(ComputerEme1995-2004年報告的漏洞數(shù)目統(tǒng)計(CERT)

921995-2004年報告的漏洞數(shù)目統(tǒng)計(CERT)71988-2003年報告的安全事件統(tǒng)計(CERT)

安全事件0200004000060000800001000001200001400001600001988198919901991199219931994199519961997199819992000200120022003931988-2003年報告的安全事件統(tǒng)計(CERT)安全事安全問題的重要性系統(tǒng)原來越不安全系統(tǒng)的安全性取決于不同的方面本課程的主要著力點在于安全軟件的設(shè)計問題上講解安全的原理94安全問題的重要性系統(tǒng)原來越不安全9什么是安全95什么是安全10安全的概念橘皮書C.I.A.信息安全領(lǐng)域的劃分安全的矛盾性安全定義的發(fā)展影響安全的技術(shù)因素96安全的概念橘皮書11橘皮書橘皮書的歷史橘皮書定義了三類、六個基本需求第一類：策略需求1－安全策略(SecurityPolicy)

需求2－標(biāo)定(Marking)

第二類：審計需求3－可標(biāo)識(Identification)

需求4－可審計(Accountability)

第三類：保障需求5－保障(Assurance)

需求6－持續(xù)防護(ContinuousProtection)

97橘皮書橘皮書的歷史12信息安全的定義信息安全是一個十分廣泛而又復(fù)雜的話題美國國家電信和信息安全委員會(NSTISSC)信息安全是對信息、系統(tǒng)以及使用、存儲和傳輸信息的硬件的保護。但是要保護信息及其相關(guān)系統(tǒng)，諸如策略、認(rèn)識、培訓(xùn)和教育以及技術(shù)手段都是必要的。微軟公司M.Howard,D.LeBlance一個安全的產(chǎn)品應(yīng)該是指在信息所有者或者系統(tǒng)管理員控制下能夠保護客戶數(shù)據(jù)的機密性、完整性和可用性，能夠保護資源處理過程的完整性和有效性。機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的組合98信息安全的定義信息安全是一個十分廣泛而又復(fù)雜的話題13機密性機密性是指保證計算機相關(guān)的有價值財產(chǎn)（信息）只能被授權(quán)過的用戶所訪問。機密性的保護認(rèn)證和訪問控制加密99機密性機密性是指保證計算機相關(guān)的有價值財產(chǎn)（信息）只能被授權(quán)完整性完整性是指這些計算機相關(guān)的有價值財產(chǎn)（信息）只能被授權(quán)過的用戶所修改，或者通過授權(quán)過的過程所修改。完整性的保護認(rèn)證和訪問控制加密100完整性完整性是指這些計算機相關(guān)的有價值財產(chǎn)（信息）只能被授權(quán)可用性可用性是指這些有價值的財產(chǎn)（信息）在需要的時候必須能夠被授權(quán)的用戶訪問或者修改。可用性的破壞DOS:DenialOfService101可用性可用性是指這些有價值的財產(chǎn)（信息）在需要的時候必須能夠可用性破壞案例SYNFlood的基本原理SYNFlood是當(dāng)前最流行的DoS（拒絕服務(wù)攻擊）與DDoS（分布式拒絕服務(wù)攻擊）的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡（CPU滿負(fù)荷或內(nèi)存不足）的攻擊方式。要明白這種攻擊的基本原理，還是要從TCP連接建立的過程開始說起：TCP與UDP不同，它是基于連接的，也就是說：為了在服務(wù)端和客戶端之間傳送TCP數(shù)據(jù)，必須先建立一個虛擬電路，也就是TCP連接，建立TCP連接的標(biāo)準(zhǔn)過程是這樣的：首先，請求端（客戶端）發(fā)送一個包含SYN標(biāo)志的TCP報文，SYN即同步（Synchronize），同步報文會指明客戶端使用的端口以及TCP連接的初始序號；第二步，服務(wù)器在收到客戶端的SYN報文后，將返回一個SYN+ACK的報文，表示客戶端的請求被接受，同時TCP序號被加一，ACK即確認(rèn)（Acknowledgement）。第三步，客戶端也返回一個確認(rèn)報文ACK給服務(wù)器端，同樣TCP序列號被加一，到此一個TCP連接完成。以上的連接過程在TCP協(xié)議中被稱為三次握手（Three-wayHandshake）。102可用性破壞案例SYNFlood的基本原理17可用性破壞案例(續(xù))問題就出在TCP連接的三次握手中，假設(shè)一個用戶向服務(wù)器發(fā)送了SYN報文后突然死機或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報文后是無法收到客戶端的ACK報文的（第三次握手無法完成），這種情況下服務(wù)器端一般會重試（再次發(fā)送SYN+ACK給客戶端）并等待一段時間后丟棄這個未完成的連接，這段時間的長度我們稱為SYNTimeout，一般來說這個時間是分鐘的數(shù)量級（大約為30秒-2分鐘）；一個用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個線程等待1分鐘并不是什么很大的問題，但如果有一個惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護一個非常大的半連接列表而消耗非常多的資源--數(shù)以萬計的半連接，即使是簡單的保存并遍歷也會消耗非常多的CPU時間和內(nèi)存，何況還要不斷對這個列表中的IP進行SYN+ACK的重試。實際上如果服務(wù)器的TCP/IP棧不夠強大，最后的結(jié)果往往是堆棧溢出崩潰--即使服務(wù)器端的系統(tǒng)足夠強大，服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求（畢竟客戶端的正常請求比率非常之?。?，此時從正?？蛻舻慕嵌瓤磥?，服務(wù)器失去響應(yīng)，這種情況我們稱作：服務(wù)器端受到了SYNFlood攻擊（SYN洪水攻擊）。103可用性破壞案例(續(xù))問題就出在TCP連接的三次握手中，假設(shè)可用性破壞案例(續(xù))從防御角度來說，有幾種簡單的解決方法：第一種是縮短SYNTimeout時間，由于SYNFlood攻擊的效果取決于服務(wù)器上保持的SYN半連接數(shù)，這個值=SYN攻擊的頻度x

SYNTimeout，所以通過縮短從接收到SYN報文到確定這個報文無效并丟棄改連接的時間，例如設(shè)置為20秒以下（過低的SYNTimeout設(shè)置可能會影響客戶的正常訪問），可以成倍的降低服務(wù)器的負(fù)荷。第二種方法是設(shè)置SYNCookie，就是給每一個請求連接的IP地址分配一個Cookie，如果短時間內(nèi)連續(xù)受到某個IP的重復(fù)SYN報文，就認(rèn)定是受到了攻擊，以后從這個IP地址來的包會被丟棄。可是上述的兩種方法只能對付比較原始的SYNFlood攻擊，縮短SYNTimeout時間僅在對方攻擊頻度不高的情況下生效，SYNCookie更依賴于對方使用真實的IP地址，如果攻擊者以數(shù)萬/秒的速度發(fā)送SYN報文，同時利用SOCK_RAW隨機改寫IP報文中的源地址，以上的方法將毫無用武之地。104可用性破壞案例(續(xù))從防御角度來說，有幾種簡單的解決方法：機密性，完整性和可用性及其之間的關(guān)系

完整性機密性可用性安全105機密性，完整性和可用性及其之間的關(guān)系完整性機密性可用性安全C,I,A分類106C,I,A分類21信息安全領(lǐng)域的劃分107信息安全領(lǐng)域的劃分22安全的矛盾性警察與小偷銀行和搶匪安全的矛盾性不可避免108安全的矛盾性警察與小偷23安全定義的發(fā)展

1960－1970：通信安全1970－1980：計算機安全1980－1990：信息安全1990－ ：信息保障109安全定義的發(fā)展1960－1970：通信安全24影響安全的技術(shù)因素

網(wǎng)絡(luò)因素

系統(tǒng)復(fù)雜性因素

系統(tǒng)可擴展因素

110影響安全的技術(shù)因素網(wǎng)絡(luò)因素25安全策略和安全機制概述111安全策略和安全機制概述26威脅與威脅建模威脅威脅是對信息安全的某種破壞對威脅的分析的系統(tǒng)化方法稱為威脅建模成立威脅建模小組分解應(yīng)用程序確定系統(tǒng)所面臨的威脅以風(fēng)險遞減的原則對威脅排序選擇應(yīng)付威脅的方法選擇緩和威脅的技術(shù)從確定下來的技術(shù)中選擇適當(dāng)?shù)姆椒ㄍ{建模是設(shè)計安全信息系統(tǒng)的第一步，也是最為重要的一環(huán)112威脅與威脅建模威脅27威脅建模的迭代過程圖解113威脅建模的迭代過程圖解28威脅的分類(Shirey)

泄密（Disclosure），也即未經(jīng)授權(quán)的訪問，是對信息機密性的破壞；欺騙（Deception），也即收到錯誤的數(shù)據(jù)；攔截（Disruption），也即中斷或者阻止正確的操作；篡改（Usurpation），也即非授權(quán)的控制系統(tǒng)的某些部分。114威脅的分類(Shirey)泄密（Disclosure），安全策略

安全策略（SecurityPolicy）就是指定系統(tǒng)允許或者禁止用戶做什么的一種陳述表述系統(tǒng)的安全策略自然語言數(shù)學(xué)表示

安全策略語言

115安全策略安全策略（SecurityPolicy）就是指XACML

116XACML3111732使用安全策略來定義安全系統(tǒng)狀態(tài)（SystemState）

系統(tǒng)狀態(tài)是指一個系統(tǒng)中所有的內(nèi)存、外存、寄存器和其它系統(tǒng)部件的當(dāng)前值的一個集合保護狀態(tài)（ProtectionState）

保護狀態(tài)是系統(tǒng)狀態(tài)中有關(guān)保護系統(tǒng)的內(nèi)容的一個子集ACM(AccessControlMatrix)表示保護狀態(tài)最為精確和常用的方法118使用安全策略來定義安全系統(tǒng)狀態(tài)（SystemState）ACM的表示objects(entities)subjectss1s2…sno1…om

s1…sn119ACM的表示objects(entities)subjecACM的例子1120ACM的例子135ACM例子2進程p,q文件f,g權(quán)限r(nóng),w,x,a,o

f g p qp rwo r rwxo wq a ro r rwxo 121ACM例子2進程p,q36其它的策略表述SubjectannieAttributesrole(artist),groups(creative)VerbpaintDefault0(denyunlessexplicitlygranted)ObjectpictureRule:paint: ‘a(chǎn)rtist’insubject.roleand ‘creative’insubject.groupsand time.hour≥0andtime.hour<5122其它的策略表述Subjectannie37映射到ACM…picture……annie…paintAt3AM,timeconditionmet;ACMis:…picture……annie…At10AM,timeconditionnotmet;ACMis:123映射到ACM…picture……annie…pain狀態(tài)遷移改變系統(tǒng)的保護狀態(tài)|–代表遷移Xi|–

Xi+1:命令將系統(tǒng)從狀態(tài)Xi

遷移到Xi+1Xi|–*

Xi+1:一組命令將系統(tǒng)從狀態(tài)

Xi

遷移到Xi+1這些命令()經(jīng)常叫轉(zhuǎn)換過程(transformationprocedures)124狀態(tài)遷移改變系統(tǒng)的保護狀態(tài)39ACM的六個原子操作createsubject

s;createobjecto在ACM中創(chuàng)建新的一行和一列；創(chuàng)建新的一列destroysubject

s;destroyobjecto在ACM中刪除一行和一列；刪除一列enter

r

into

A[s,o]在ACM單元格子中添加權(quán)限r(nóng)delete

r

from

A[s,o]在ACM單元格子中刪除權(quán)限r(nóng)125ACM的六個原子操作createsubjects;crCreateSubject前提:s

S原子命令:createsubject

s結(jié)果:S=S

{s},O=O

{s}(y

O)[a[s,y]=],(x

S)[a[x,s]=](x

S)(y

O)[a[x,y]=a[x,y]]126CreateSubject前提:sS41CreateObject前提:o

O原子命令:createobject

o結(jié)果:S=S,O=O

{o}(x

S)[a[x,o]=](x

S)(y

O)[a[x,y]=a[x,y]]127CreateObject前提:oO42AddRight前提:s

S,o

O原子命令:enterrintoa[s,o]結(jié)果:S=S,O=O(x

S)(y

O)[a[x,y]=a[x,y]]a[s,o]=a[s,o]{r}128AddRight前提:sS,oO43DeleteRight前提:s

S,o

O原子命令:delete

r

from

a[s,o]結(jié)果:S=S,O=O(x

S)(y

O)[a[x,y]=a[x,y]]a[s,o]=a[s,o]–{r}129DeleteRight前提:sS,oO44DestroySubject前提:s

S原子命令:destroy

subject

s結(jié)果:S=S–{s},O=O–{s}(y

O)[a[s,y]=],(x

S)[a′[x,s]=](x

S)(y

O)[a[x,y]=a[x,y]]130DestroySubject前提:sS45Destroy

Object前提:o

O原子命令:destroy

object

o結(jié)果:S=S,O=O–{o}(x

S)[a[x,o]=](x

S)(y

O)[a[x,y]=a[x,y]]131DestroyObject前提:oO46實際系統(tǒng)中ACM的例子－創(chuàng)建一個文件的命令進程p

創(chuàng)建一個文件

f

并賦予p以r

和w

權(quán)限

commandcreate_file(p,f) createobjectf; enterownintoA[p,f]; enterrintoA[p,f]; enterwintoA[p,f]; end132實際系統(tǒng)中ACM的例子－創(chuàng)建一個文件的命令進程p創(chuàng)建一個單調(diào)命令(Mono-OperationalCommands)使得進程p

成為文件g的owner

commandmake_owner(p,g) enterownintoA[p,g]; end單調(diào)命令(Mono-operationalcommand)在命令中只有一個原子命令133單調(diào)命令(Mono-OperationalCommand條件命令條件命令

commandgrant_read_file_1(p,f,q) ifowninA[p,f] then enterrintoA[q,f]; end單調(diào)條件命令在命令中只有一個條件134條件命令條件命令49多條件命令如果p是f的owner，并且p擁有q的copy權(quán)限，那么讓p賦給q以f的r和w的權(quán)限commandgrant_read_file_2(p,f,q) ifowninA[p,f]andcinA[p,q] then enterrintoA[q,f]; enterwintoA[q,f]; end135多條件命令如果p是f的owner，并且p擁有q的copy權(quán)限Copy權(quán)限允許進程將權(quán)限賦給別人經(jīng)常作為一個附加給一個權(quán)限：r

是一個讀權(quán)限，但不能被賦值rc

是一個都權(quán)限，可以被賦值是否權(quán)限在賦給的時候，需要給出賦值標(biāo)識c?這取決于你的安全策略模型(DAC)136Copy權(quán)限允許進程將權(quán)限賦給別人51Own權(quán)限通常允許一個進程執(zhí)行改變ACM內(nèi)列中的內(nèi)容的一個權(quán)限一個對象的owner可以為其它用戶添加、刪除該對象的權(quán)限但是也是需要依賴于系統(tǒng)的需求不能將權(quán)限賦給某些人不能將權(quán)限的copy標(biāo)志賦給某些人有些系統(tǒng)不允許owner具有如此功能(MAC)137Own權(quán)限通常允許一個進程執(zhí)行改變ACM內(nèi)列中的內(nèi)容的一個權(quán)什么是“Secure”?Addingagenericrightrwheretherewasnotoneis“l(fā)eaking”IfasystemS,beginningininitialstates0,cannotleakrightr,itissafewithrespecttotherightr.138什么是“Secure”?AddingagenericSafety問題是否存在一個算法能夠決定如下問題：針對某個權(quán)限r(nóng)，安全系統(tǒng)S從安全的初始狀態(tài)Sn開始一直是安全的。139Safety問題是否存在一個算法能夠決定如下問題：針對某個權(quán)單調(diào)命令回答:yes證明的思路:Considerminimalsequenceofcommandsc1,…,cktoleaktherightr.Canomitdelete,destroyCanmergeallcreatesintooneWorstcase:inserteveryrightintoeveryentry;withssubjectsandoobjectsinitially,andnrights,upperboundisk≤n(s+1)(o+1)140單調(diào)命令回答:yes55通用問題不能給出回答：Itisun-decidablewhetheragivenstateofagivenprotectionsystemissafeforagivengenericrightProof:ReductionfromhaltingproblemSymbols,statesrightsTapecellsubject(cancreatenewsubjects)Rightown:siownssi+1for1≤i<kCell