安全模型 - 南京大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)系

安全模型

南京大學(xué)計(jì)算機(jī)系黃皓教授

2006年12月8日

Contents

1.BasicConcept

2.TheGeneralizedFrameworkforAccessControl(GFAC)

3.BellLaPadulaModel

4.Bibamodel

5.DionModel

6.Clark-WilsonModel

7.ChineseWallModel

8.RoleBasedAccessControlModel

9.TaskBasedAccessControlModel

io.Non-interferenceModel

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義2

參考文獻(xiàn)

I.SimoneFischer-Hiibner,IT-SecurityandPrivacy,LectureNotesin

ComputerScience1958.

II.D.ElliottBellandLeonardJ.LaPadula,SecureComputerSystems:

MathematicalFoundations.

ill.D.ElliottBellandLeonardJ.LaPadula,SecureComputerSystems:

MathematicalModel.

IV.K.J.Biba,IntegrityConsiderationsforSecureComputerSystems,USAF

ElectronicSystemsDivision,Bedford,Mass.,April1977.

v.LukeC.Dion,ACompleteProtectionModel,Proceedingsofthe1981IEEE

SymposiumonSecurityandPrivacy,pp49-55.

VI.DavidD.Clark,DavidII.Wilson,AComparisonofCommercialand

MilitarYcomputerSecurityPolicies,IEEESymposiumonSecurityand

PrivacyApril27-29,1987,ppl84-194.““

vii.D.Brewer,M.Nash,TheChineseWallSecurityPolicy,Proceedingsofthe

1989IEEESymposiumonSecurityandPrivacy,Oakland,May1989.

VIII.JohnRushby,Noninterference,Transitivity,andZChannel-ControlSecurity

Policies,ComputerScienceLaboratorySRIInternationalMenloParkCA

94025USA.

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義3

1.BasicConcept

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義4

IT-Security

■View:protectionofthesystem,protectionfromthesystem;

■Aims:confidentiality,integrity,availability,reliability,

functionality,anonymity,pseudonymity,unobservability,

unlinkablity;

■Securitymodels

■Securityfunctions:I&A,AC,Audit,Objectreuse,reliability

ofservice,

■Securitymechanism:password,ACL,cryptography,

physicalcontrol,etc.

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義5

■Anonymity

Anonymityofausermeansthattheusermayusearesource

orservicewithoutdisclosingtheuser'sidentity.Electronic

cash.

■Pseudonymity

Pseudonymityofausermeansthattheusermayusea

resourceorservicewithoutdisclosingitsuseridentity,butcan

stillbeaccountableforthatuse.

■Unobservability

ensuresthatausermayusearesourceorservicewithout

others,especiallythirdparties,beingabletoobservethatthe

resourceorserviceisbeingused.

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義6

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義7

Proofthesecuritymodelenforces

thesecuritypolicy

i.Definitionofsecurity-relevantstatevariables(subjects,objects,

securityattributes,accessrights)

ii.Definitionofconditionsforasecurestate(invariants,security

properties);

ill.Definitionofstatetransitionfunction;

iv.Proofthatthefunctionsmaintainthesecurestate;

v.Definitionoftheinitialstate;

vi.Proofthattheinitialstateissecure;

M.Gasser,Buildingasecurecomputersystem,vanNostrand

Reinhold,1988.

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義8

2.TheGeneralisedFrameworkfor

AccessControl(GFAC)

■Animprovedframeworkforexpressingandintegratingmultiplepolicy

components.

■Themainobjectivesare

Makeiteasytostate,formalise,andanalysediverseaccess

controlpolicies

Makeitfeasibletoconfigureasystemwithsecuritypolicies

chosenfromavendorprovidedsetofoptionswithconfidence

thatthesystem'ssecuritypolicymakessenseandwillbe

properlyenforced.

□Constructthemodelinamannerthatallowsonetoshowthat

itsatisfiesanaccepteddefinitionofeachsecuritypolicyit

represents.

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義9

GFAC5spremise

■GFACisbasedonthepremise

□allaccesscontrolpoliciescanbeviewedasrulesexpressed

intermsofattributesbyauthorities;

■Authorities:Anauthorisedagentthat

□definessecuritypolicies;

□identifiesrelevantsecurityinformation;

□assignsvaluestoattributes.

■Attributes

Characteristicsorpropertiesofsubjectsandobjectsdefined

withinthecomputersystemforaccesscontroldecision

making;

■Rule:Asetofformalizedexpressions

definetherelationshipsamongattributesandothersecurity

informationforaccesscontroldecisionsinthecomputer

system;

reflectingthesecuritypoliciesdefinedbyauthority.

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義10

ACI&ACR

■accesscontrolinformation(ACI)

□securityattributesandotheraccesscontroldata;

■Accesscontrolrules(ACR).

therulesthatimplementthetrustpoliciesofa

system

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義11

adjudicationandenforcement

■Theagentthatadjudicatesaccesscontrolrequestsiscalled

accesscontroldecisionfacility(ADF);

□ADFcorrespondstotheaccesscontrolruleswithintheTCB

thatembodythesystem'ssecuritypolicy.

■TheagentthatenforcestheADFsdecisioniscalledaccess

controlenforcementfacility(AEF);

□AEFcorrespondstothesystemfunctionsofthetrusted

computingbase(TCB)

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義12

OverviewofGFAC

Subject

accessI

requestsI

decisionrequest

AEF用ADF

accessl^^decision

update*-refersto▼

Object：ACIRules

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義13

Rule-SetModellingapproach

■Intraditionalsecuritymodelingapproaches,thesecuritymodelrules

describebothaccesspolicyandsystembehavior;

■Therulesetmodellingapproachseparatesthedecisioncriteria(access

rules)fromthestatetransition(systemoperations)

■AEFcorrespondstoamodelofthesystemoperations,calledstate-

machinemodel

□abstractlydefinestheinterfaceofprocessestotheTCB;

■ADFcorrespondstoapolicymodel,calledtherule-setmodel

definesthesecuritypoliciesofthetrustedcomputersystem.

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義14

3.Bell-LaPadula模型

Bell-LaPadula模型對(duì)應(yīng)軍事類型的安全

密級(jí)分類。

該模型影響了許多其他模型的發(fā)展，甚至

很大程度上影響了計(jì)算機(jī)安全技術(shù)的發(fā)展。

3.1非形式化描述

■最簡(jiǎn)單的保密性分類形式是按照線性（全）排列的安全等

級(jí)。

■每一個(gè)主體都有一個(gè)安全許可（Clearance）。在下圖中，

Claire的安全許可是C（保密），Thomas的安全許可是TS（頂

級(jí)機(jī)密）。

■每個(gè)客體都有一個(gè)敏感等級(jí)，電子郵件文件的敏感等級(jí)

是S（秘密），電話清單文件的敏感等級(jí)為UC（公開(kāi)）。

■當(dāng)我們同時(shí)指主體的許可和客體的密級(jí)時(shí)，用術(shù)語(yǔ)“密

級(jí)”oBell—Lapadula安全模型的目的是要防止主體讀取

安全密級(jí)比它的安全許可更高的客體。

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義16

■亶一非形式化描述

安全許可敏感級(jí)別

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義17

mdula模型一非形式化描述

■設(shè)L(s)4是主體s的安全許可，并設(shè)L(o)=/。是客體。的敏

感等級(jí)。對(duì)于所有安全級(jí)別i=o,…,k-1,有

h+i°

■簡(jiǎn)單安全條件S可以讀0,當(dāng)且僅當(dāng)/。＜/,且S對(duì)。具

有自主型讀權(quán)限。

■例如，在上圖中，Claire和Clarence不能讀人事文件，但

Tamara和Sally可以讀活動(dòng)日志文件(而且，實(shí)際上根據(jù)

Tamara的安全許可，她可以讀任何文件在此假設(shè)自主型

訪問(wèn)控制允許Tamara和Sally的訪問(wèn))。

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義18

mdula模型一非形式化描述

■如果Tamara(TopSecret)決定將人事文件的內(nèi)容復(fù)制到活

動(dòng)日志文件里，并設(shè)置適當(dāng)?shù)淖灾髟L問(wèn)權(quán)限，那么

Claire(Confidential)就可以讀這些人事文件了。這樣，

Claire可能會(huì)讀取到具有更高安全等級(jí)的文件。

■*-屬性(星號(hào)屬性s可以寫(xiě)o,當(dāng)且僅當(dāng)乙＜/。。且s

對(duì)。具有自主型寫(xiě)權(quán)限。

■這時(shí)因?yàn)榛顒?dòng)日志文件的安全密級(jí)為C,Tamara的安全

許可為T(mén)S,所以她不能寫(xiě)活動(dòng)日志文件。

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義19

模型一非形式化描述

基本安全定理

設(shè)系統(tǒng)￡的某一個(gè)初始安全狀態(tài)為。0,T是狀態(tài)轉(zhuǎn)換的

集合。如果T的每個(gè)元素都遵守簡(jiǎn)單安全條件和*—屬

性，那么對(duì)于每個(gè)i三。，狀態(tài)。j都是安全的。

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義20

型一非形式化描述

類別

■通過(guò)給每個(gè)安全密級(jí)增加一套類別，每種類別都描述一

種信息，可以將模型進(jìn)行擴(kuò)展。屬于多個(gè)類別的客體擁

有所有屬于這些類別的信息。

■這些類別來(lái)自于“需要知道''原則，它規(guī)定，除非主

體為了完成某些功能而需要讀取客體，否則就不能讀取

這些客體。某人可以訪問(wèn)的類別集合就是類別集合的賽

集。

■例如，如果類別是NUC,EUR和US,那么某人可以訪問(wèn)

的類別集合就是以下集合之一：

■空集），{NUC},{EUR},{US},

{NUC,EUR}{EUR,US}{NUC,Us}{NUC,EUR,US}

這些類別集合在操作q（子集關(guān)系）下形成一個(gè)格。

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義21

mdula模型一非形式化描述

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義22

mdula模型一非形式化描述

■安全級(jí)別和類別形成一個(gè)安全等級(jí)。

■主體在某安全等級(jí)上有安全許可(或歸于此安全等級(jí)、屬

于此安全等級(jí))

■客體處于安全等級(jí)的級(jí)別(或者屬于某個(gè)安全等級(jí))。

■例如，William可能歸于等級(jí)(SECRET,{EUR}),George

歸于等級(jí)(TOPSECRET,{NUC,US})o一個(gè)文檔可能

會(huì)被歸于等^(CONFIDENTIAL,{EUR})。

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義23

型一非形式化描述

■類別基于'需要知道'原則，所以預(yù)先假設(shè)對(duì)類別集合

{NUC,US}有訪問(wèn)權(quán)的人沒(méi)有必要訪問(wèn)類別EUR里元

素。因此，即便該主體的安全許可高于客體的安全密

級(jí)，讀訪問(wèn)也應(yīng)該被拒絕。

■定義一種新的關(guān)系來(lái)體現(xiàn)安全密級(jí)和類別集合的結(jié)合。

定義dom（dominates支配）關(guān)系。

■定義5.1安全等級(jí)（L,C）支配安全等級(jí)（L'，C’）,當(dāng)且

僅當(dāng)L'WL,C'1Co

■關(guān)系為安全等級(jí)集合上引入了一個(gè)格。

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義24

型一非形式化描述

■簡(jiǎn)單安全條件S可以讀O,當(dāng)且僅當(dāng)SdomO,且

S對(duì)。具有自主型讀訪問(wèn)權(quán)限。

■*屬性S可以寫(xiě)O,當(dāng)且僅當(dāng)OdomS且S對(duì)。具

有自主寫(xiě)權(quán)限。

■基本安全定理設(shè)系統(tǒng)、的某一個(gè)初始安全狀態(tài)為。0,T

是狀態(tài)轉(zhuǎn)換的集合。如果T的每個(gè)元素都遵守簡(jiǎn)單安全條

件和*—屬性，那么對(duì)于每個(gè)i>0,狀態(tài)“都是安全的。

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義25

2.2BellLaPadula的形式化描述

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義26

^^■adula模型一形式化描述

GeneralSystems

■SoXxY

□ThesystemSisarelationontheabstractsetsX

andY.

■S:XfY

SisafunctionfromXtoY

□TheelementsofX:inputs

TheelementsofY:outputs

□Sexpressesafunctionalinput-outputrelationship.

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義27

mdula模型一非形式化描述

Example

■Considerasavingaccountinabankwhich

compoundsinterestquarterly

■bk=(bk4+pk)-(l+ik)(1.1)

□bk:thebalanceafterthecomputationofinterestat

theendofthek-thquarter.

□pk:thenettransactionintheaccountduringthek-th

quarter.

□ik:thequarterlyinterestrateattheendofthek-th

quarter.

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義28

.Ela模型一非形式化描述

Example(continues)

■Aseven-yearhistoryofsuchasavingsaccountisrepresentedbya

system

■S(b0)cPxIxB

b0:theinitialbalanceintheaccount

P=R28:thetwenty-eighttransactions

I=R28:thetwenty-eightquarterlyinterestrates

□B=R28：thetwenty-eightsuccessivebalances

■(p,i,b)eS(b0)iff(1.1)holdforeverykfrom1to28

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義29

^^■aclula模型一非形式化描述

SecureComputerSystems

■Problemsofsecurity

□Howtoguaranteethatunauthorizedaccess(byaprocess)

toinformation(file,program,data)doesnotoccur.

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義30

mdula模型一非形式化描述

FoundationsofaMathematicalModel

■模型的元素

集合元素語(yǔ)義

S{S1,S2,???,Sn}主體：進(jìn)程

O{01,02,???,Om}客體：數(shù)據(jù)、文件、程序、設(shè)備等。

C{C1,C2,???,Cq}級(jí)別：主體的安全許可，客體的敏感級(jí)別。

{Cl>C2>???>Cq

K{K1,K2,??*,Kr}類別：訪問(wèn)權(quán)限范圍。

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義31

型一非形式化描述

ElementsoftheModel(2)

A{r,w,e,a,c}訪問(wèn)屬性：read,write,append,

execute,andcontrol

RA{g,r,c,d}請(qǐng)求兀素：

g:get,give

r:release,rescind

c:change,create

d:delete

RS+XRAXS+X0XX請(qǐng)求：

其中：s+=suwinputs,

X=AU{(I)}UF;commands,

requestsforaccesstoobjectsby

一個(gè)請(qǐng)求的元素記為R

ksubjects

D(yes,no.error,?}決定

D的元素記為Dm

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義32

ghdula模型一非形式化描述

ElementsoftheModel(2)

FCsxC°x(PK)Sx(PK)°classification/need-to-knowvectors：

anarbitraryelementoffl:subject-classificationfunction

Fiswrittenf=f2:object-classificationfunction

(fl,f2,f3,f4)f3:subject-categoryfunction

f4:object-categoryfunction

XRTrequestsequences

anarbitraryelementof

Xiswrittenx

YDTdecisionsequences

anarbitraryelementof

Yiswritteny

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義33

ghdula模型一非形式化描述

ElementsoftheModel(4)

M{Ml,M2,???,Mc},accessmatrices

C=(25)n?m；1.

anelementofM,sayMk,isannXm

matrixwithentriesfromPA;the

(i,j)-entryofMkshowsS/saccess

attributesrelativeto0j

VP(SxOxA)xMxFstates

anarbitraryelementofViswrittenv

ZVTstatesequences

anarbitraryelementofziswrittenz;?

Gzisthet-thstateinthestatesequencez

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義34

mdula模型一非形式化描述

StatesoftheSystem

■AstatevGVisa3-tuple(b,M,f)where

(1)b

bGP(Sx0xA),indicatingacurrentaccess

setwhichrepresentingaccessmode.

acurrentaccessisrepresentbyatriple:(subject,

object,access-attribute)

thecurrentaccesssetbisasetofsuchtriples

representingallcurrentaccesses.

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義35

模型一非形式化描述

(2)M

mGM,indicatingtheentriesoftheaccessmatrixinthe

statev;

^^^^Object0j

Subject

S1叫ePA

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義36

mdula模型一非形式化描述

(3)f

■fGF,indicatingtheclearancelevelofallsubjects,

theclassificationlevelofallobjects,andthecategories

associatedwitheachsubjectandobjectinthestatev.

□Clearanceorclassificationusuallydenotedby

unclassified,confidential,secret,topsecret

□CategoryusuallydenotedbyNuclear,NATO,Crypto,...

□Atotalsecuritydesignationispair:

(classification,setofcategory)

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義37

mdula模型一非形式化描述

State-TransitionRelation

■WeRxDxVxv

■ThesystemZ(R,D,W,z°)oXxYxZisdefinedby

(x,y,z)GS(R,D5W,Z0)ifandonlyif

(xt,yt,zt,zt_-()GWforeachtGT

□wherez0isaspecifiedinitialstateusuallyofthe

form((|),M,f)5where0denotestheemptyset.

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義38

mdula模型一非形式化描述

SECURITYCONDITION

(S,O,x)GSxOxAsatisfiesthesecurity

conditionrelativetof(SCrelf)iff

(i)x=eorx=aorx=c,or

(ii)(x=rorx=w)and

(fi(S)>f2(O)and

f3(S)3f4(O)).

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義39

mdula模型一非形式化描述

SECURITYCONDITION

■Astatev=(b,M,f)GVisasecurestateiffeach

(S,O,x)￡bsatisfiesSCrelf.

■Astatevisacompromisestate(compromise)iffit

isnotasecurestate.

■AstatesequencezGZhasacompromiseiffztis

acompromiseforsometGT.

■zisasecurestatesequenceiffztisasecurestate

foreachtGT.

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義40

真型一非形式化描述

SECURITYCONDITION

■E(R,D,W,z0)isasecuresystemiffevery

appearanceofE(R,D,W,z0)issecure.

■S(R,D,W,z0)hasacompromiseiffsome

appearanceofZ(R,D,W,z°)hasacompromise.

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義41

真型一非形式化描述

,PROPERTY

■Letb(s:x,y,...,z)denotetheset

{o:oeOand[(s,o,x)Gbor(s,o,y)Gbor???or(s,o,z)eb]}.

■Astatev=(b,M,f)GVsatisfies*-propertyiffforeachsG

Sthefollowingpropositionistrue:

[b(s:w,a)半巾andb(s:r,w)豐巾]implies

上⑼)>f2(O2)andf4(Ox)of4(O2),

forallO]inb(s:w,a),O2inb(s:r,w)]

■Astatevviolates"-propertyiffvdoesnotsatisfy*-

property.

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義42

mdula模型一非形式化描述

,PROPERTY

■AstatesequencezGZsatisfies"-propertyiffzt

satisfies*-propertyforeachtGT.

■(x,y,z)GE(R,D,W,z0)satisfies*-propertyiffz

satisfies*-property.

■E(R,D,W,zO)satisfies*-propertyiffevery

appearanceofE(R,D,W,z0)satisfies*-property.

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義43

mdula模型一非形式化描述

discretionarysecurityproperty

■Astatev=(b，M，f)GVsatisfiesds-property

if

■Astatesatisfiestheds-propertyprovidedthatevery

currentaccessispermittedbythecurrentaccess

matrixM:

(S?Oj,x)Gb今xGMg

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義44

模型一非形式化描述

Rules

■Aruleisafunctionr:RxV—>DxV.

givenarequestandastate,aruledecidesa

responseandastatechange.

■Arulerissecurity-preservingifftheproposition

[[r(Rk,v)=(Dm,v*)andvissecure]implies

[v*issecure]]

holdsforallelements(Rk,v)eRxV.

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義45

mdula模型一非形式化描述

Rules

■Aruleris"-property-preservingifftheproposition

[[r(Rk,v)=(Dm,v*)andvsatisfies*-property]

implies[v*issecure]]

holdsforallelements(Rk,v)GRxV.

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義46

mdula模型一非形式化描述

Action

■(Ri,Dj,v*,v)eRxDxVxVisanactionof

E(R,D,W,z0)iff

□thereisanappearance(x,y,z)ofE(R5D,W,z0)

□andsometGTsuchthat

(Ri，Dj,v*,v)=(xt,yt,zt,zt.1)

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義47

mdula模型一非形式化描述

Theorems

■Theorem1(R,D,W,z0)issecureforanysecurestatez()iff

Wsatisfiesthefollowingconditionsforeveryaction(Ri,Dj,

(b,M,f)):

(i)every(S,O,x)Gb*-bsatisfiesSCrelf*;

(ii)every(S,O,x)GbwhichdoesnotsatisfySCrelf*

isnotinb*.

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義48

mdula模型一非形式化描述

CovertChannels

■CovertChannel:acommunicationschannelthatallows

transferofinformationinamannerthatviolatesthe

system"ssecuritypolicy.

□Storagechannels:e.g.throughoperatingsystemmessages,

filenames,etc.

Timingchannels:e.g.throughmonitoringsystemperformance

■CovertchannelsarenotdetectedbyBLPmodeling.

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義49

型一非形式化描述

關(guān)于BLP模型的爭(zhēng)論

■McLean的上屬性和基本安全定理

b(s:a)豐0今[Vo€b(s:a)[fc(s)domfo(o)]]

b(s:w)。。今[Vo￡b(s:w)[fc(s)=fo(o)]]

b(s:r)豐0今[Vo€b(s:r)[fc(s)domfo(o)]]

■McLean證明了定理：

X(R,D,W,z0)相對(duì)于對(duì)S'is任何安全狀態(tài)z0滿足t-屬性，當(dāng)且

僅當(dāng)對(duì)于任何行為(r,d,(b,m,f),,(b',m',f'))和每個(gè)s€S,W都滿足

條件：

對(duì)任意的(s,o,a)€b-b'滿足關(guān)于S'的f-屬性；

(s,o,a)￡b'中不滿足關(guān)于S'的f屬性的元素都不屬于b。

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義50

mdula模型一非形式化描述

■McLean的基本安全定理：

S(R,D,W5Z。)是一個(gè)安全系統(tǒng)，當(dāng)且僅當(dāng)是一個(gè)安

全狀態(tài)，并且W滿足關(guān)于簡(jiǎn)單安全屬性、?安全屬

性和自主訪問(wèn)控制ds的安全屬性。

■顯然McLean的系統(tǒng)、(R,D,W,z0)是不安全的,

因?yàn)檫@個(gè)系統(tǒng)的規(guī)則允許信息向下流動(dòng)。

■但是這系統(tǒng)滿足基本安全定理。

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義51

型一非形式化描述

■Bell的基本安全定理表明的是如果系統(tǒng)的行為滿足給定

的條件，則系統(tǒng)的狀態(tài)的屬性能得以保持。

■系統(tǒng)狀態(tài)的屬性的內(nèi)容與模型是獨(dú)立的。

■如果把McLean的「屬性中的條件

b(s:a)+0今[Vo€b(s:a)[fc(s)domfo(o)]]

解釋為主體的完整性級(jí)別(可信程度)高于客體的完整性

級(jí)別時(shí)，主體才可以寫(xiě)客體o,則的確McLean的屬性表

達(dá)了另一個(gè)安全目標(biāo)。

McLean的基本安全定理也就表明了在什么條件下，系統(tǒng)

的系統(tǒng)的安全屬性得以保持。

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義52

4.Biba模型

■KJ.Biba,IntegrityConsiderationsforSecure

ComputerSystems,USAFElectronicSystems

Division,Bedford,Mass.,April1977.

□thefirstsecuritymodeltoaddressintegrity

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義53

Biba模型的元素

■s：主體集合；

■o：客體的集合

■I:完整性等級(jí)集合；I

關(guān)系v11xI,(i[,i2)￡＜當(dāng)且僅當(dāng)i1完整性等級(jí)高

于i2的完整性等級(jí)。

■函數(shù)i:SU0-I的值是主體或客體的完整性等

級(jí)。

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義54

完整性登記的含義

■等級(jí)越高，程序正確執(zhí)行（或者根據(jù)程序輸入和程序的執(zhí)

行停止來(lái)檢測(cè)出問(wèn)題）的可靠性就越高。

■高等級(jí)的數(shù)據(jù)比低等級(jí)的數(shù)據(jù)具備更高的精確性和可靠

性（根據(jù)不同的測(cè)量方法）。

■此外，這種模型隱含地融入了“信任”這個(gè)概念。事實(shí)

上，用于衡量完整性等級(jí)的術(shù)語(yǔ)是“可信度”。例如，

一個(gè)進(jìn)程所處等級(jí)比某個(gè)客體的等級(jí)要高，則可以認(rèn)為

進(jìn)程比該客體更“可信”。

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義55

Biba靜態(tài)的完整性策略

■簡(jiǎn)單完整性策略如果主體S可以寫(xiě)入客體0,則

i(s)>i(o)

■完整性策略：如果主體S可以讀客體O,則S

能寫(xiě)客體。,必須要滿足i(o)2i(o')

■調(diào)用策略：一個(gè)'不那么可信'的主體"不能

通過(guò)調(diào)用主體與：來(lái)破壞一個(gè)客體。主體”可以

調(diào)用力僅當(dāng)i(Si)2i(s2)

■No—ReadDown

■No—WriteUp

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義56

對(duì)于主體的下限標(biāo)記策略

(Low-watermarkpolicyforsubjects)

■一個(gè)主體能夠持有對(duì)給定客體的“modify”訪問(wèn)方式，僅

當(dāng)此主體的完整級(jí)別支配該客體的完整級(jí)別。

■一個(gè)主體能夠持有對(duì)另一主體的“invoke''訪問(wèn)方式，

僅當(dāng)?shù)谝粋€(gè)主體的完整級(jí)別支配第二個(gè)主體的完整級(jí)

別。

■一個(gè)主體能夠持有對(duì)任何客體的“observe”訪問(wèn)方式。

當(dāng)主體s擾行了對(duì)客體。的“observe”操作之后，主襪的

完整級(jí)別被置為訪問(wèn)之前主體和客體的完整級(jí)別的最大

下界gib.(心以似O

■由于主體的完整性等級(jí)是非遞增的，所以，它可能很快

就不能訪問(wèn)完整性登記較高的客體了。

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義57

環(huán)策略(Ringpolicy)

■一個(gè)主體能夠持有對(duì)給定客體的“modify”訪問(wèn)方式，

僅當(dāng)此主體的完整級(jí)別支配該客體的完叁級(jí)別。

■一個(gè)主體能夠持有對(duì)另一主體的“invoke''訪問(wèn)方式,

僅當(dāng)?shù)谝粋€(gè)主體的完整級(jí)別支配第二個(gè)主體的完整級(jí)

別。

■主體對(duì)具有任何完整級(jí)別的客體均能夠持有“observe”

訪問(wèn)方式

■一個(gè)具有高完整性級(jí)別主體能夠“observe”一個(gè)具有較

低完整級(jí)別的客體，然后“modify”具有自己安全級(jí)別

客體，這樣信息就從低完整級(jí)別流向高或不可比完整級(jí)

別。

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義58

5.第昂(Dion)模型

■LukeC.Dion,ACompleteProtectionModel)

Proceedingsofthe1981IEEESymposiumon

SecurityandPrivacy,pp49-55.

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義59

第昂(Dion)模型

■Object/objectcomputationalmodel.

■Migration/corruptionlevels.

■Read/writeLevels.

■Integratedview.

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義60

■BLPmodelprevent:

□asubjectreadingdataresidingatahighersecurity

level;

□asubjectwritingdatatoalowersecuritylevel.

■TheintegrityextensiontoBLPprevent:

□asubjectwritingtoahigherintegritylevel;

□asubjectreadingfromalowerintegritylevel;

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義61

IntegrityLevel

■Allobjectsandsubjectsofthesystemhavean

associatedintegritylevel.

■Thesetofallpossibleintegritylevelsispartially

ordered.

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義62

■ExplicitConnection

□WhenasubjectwishestotranaferdatabetweenobjectOd

andobjectO2,itmustestablishanexplicitconnection

betweentheobjects.

□Onceanexplicitconnectionisestablishedbetweentwo

objects,asubjectcanthencausedatatoflowbymakingthe

appropriatesystemcalls.

■ImplicitConnection

□Ifasubjectisallowedtosimultaneouslymaintainmorethan

onesegment,thenwhenaddinganewsegmentanimplicit

connectionmustbemadebetweenthenewsegmentand

everysegmentfromwhich(ortowhich)datamayflow.

□Thatis,nosubjectisallowedtoartificiallyconstructa

connection(usingsegments)whichbypasses(explicit)

connectionestablishmentprotocol.

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義63

■Eachobjecthasthreesecurityandthreeintegritylevels

■MigrationLevel

□Themigrationlevel(ML)ofanobjectisthehighest

securitylevel(MSL)andthelowestintegritylevel(MIL)to

whichdataintheobjectmayflow.

■AbsoluteLevel

□Theabsolutelevel(AL)ofanobjectisthesecuritylevel

(ASL)andtheintegritylevel(AIL)atwhichthedatainthe

objectisclassified.

■CorruptionLevel

Thecorraptlonlevel(CL)ofanobjectisthelowest

securitylevel(CSL)orthehighestintegritylevel(CIL)

fromwhichdatamayflowintothatobject.

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義64

Additionalrestrictions

■Theadditionofmigrationandcorruptionlevelstothe

integrityextendedBell&LaPadulamodeladdsenforced

upward(forsecurity)anddownward(forintegrity)data

flowrestrictions.

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義65

Read/writelevels

■Controlledsecurityviolationbyprivilegedsubjects.

■Eachsubjecthasthreesecurityandintegritylevels.

■ReadLevel

□Thereadlevel(RL)ofasubjectisthehighestsecuritylevel

(RSL)andlowestintegritylevel(RIL)fromwhichthesubjectis

allowedtoread.

■AbsoluteLevel

□Theabsolutelevel(AL)ofasubjectisthesecuritylevel(ASL)

andintegritylevel(AIL)giventhesubjectuponcreation.

■WriteLevel

□Thewritelevel(WL)ofasubjectisthelowestsecuritylevel

(WSL)andhighestintegritylevel(WIL)towhichthesubjectis

allowedtowrite.

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義66

Controledviolations

■Ifthereadsecuritylevelofasubjectishigherthanits

absolutesecuritylevel,orifthewritesecuritylevelofa

subjectislessthanitsabsolutesecuritylevel,thenthesubject

possessestheabilitytoperformcontrolledsecurityviolations.

2006年12月8日星期五南京大學(xué)計(jì)算機(jī)系講義67

Integratedview

■ThefollowinginequalitiesmustbetrueforPtoestablish

aconnectionfromOxtoO2:

OiMSL三O2MSL(SI)

OjCSL2O2CSL(S2)

PRSLNO]ASL(S3)

O2ASL^