计算机系统安全 zl第5章 安全模型的构建.pptVIP

第5章 安全模型的构建 5.1 建模的方法步骤 5.2 模型构建实例 习题 5.1 建模的方法步骤 利用访问矩阵—监控器安全模型证明（或说明）系统的安全性， 需要在模型中定义或证明以下内容： （1） 分析系统的安全需求， 确定系统的安全策略， 并给出其形式化描述。 （2） 根据安全策略定义系统的安全状态， 主要是确定访问矩阵中的内容， 包括主体、 客体的安全属性、 访问关系与访问权限等内容。 （3） 定义安全状态不变式， 它表明在安全状态中， 状态变量值之间必须保持的关系。 （4） 定义状态转换函数（或称操作命令）， 它描述了因安全状态变量的值发生变化而引起系统安全状态的变化。 （5） 证明转换函数能够维持系统安全状态， 即证明转换函数在执行前与执行后， 系统都处于安全状态。 为了确保维持系统的安全状态， 常常需要对转换函数增加约束条件。 （6） 用安全状态的定义证明初始状态是安全的。 5.2 模型构建实例 5.2.1 安全策略的描述 不失一般性， 在我们所研究的模型中， 假定访问的对象是文件， 对这些对象的自主访问控制策略都体现在访问矩阵中。 我们可以把其中的主要控制策略归纳为以下几条(自然语言表述)： 策略（a）： 只有当某用户对某文件有访问关系时， 该用户才能按规定的访问权对该文件进行访问。 策略（b）： 只有系统管理员才能够创建与删除用户和修改它们的安全属性与访问权限。 ? 策略（c）： 每个用户都有权创建与删除自己的文件， 并可以赋予或修改它们的安全属性或访问权限。 　 策略（d）： 只有当某用户是某文件的主人时， 该用户才有权把对该文件的访问权转授其他用户或撤销其他用户对自已文件的访问权。 策略（e）： 只有当用户的敏感级不低于文件的敏感级时， 用户才可以阅读该文件或者执行该文件。 策略（f）： 只有当文件P的敏感级不低于文件o的敏感级时， 读过文件o的用户才能够写文件P。 表5-1 安全策略中的术语对照 该表中， 符号栏内的“t∈A［s, o］”表示t为矩阵项A［s, o］中的某个访问权； SC表示安全类， 是security class的缩写。 根据表中术语的抽象， 上述策略(a)～(f)可以形式化地表述为如下的模型安全性质： 性质（a）仅当某主体对某客体有访问关系时， 该主体才能按规定的访问权访问该客体。 ? 性质（b）仅当主体是系统管理员时才有权创建与删除主体和修改主体的安全属性与访问权限。 性质（c）每个主体都有权创建与删除自已的客体， 并可以赋予或修改自已客体的安全属性或访问权限。 性质（d）仅当某主体是某客体的拥有者时， 该主体才有权把对该客体的访问权转授其他主体或撤销其他主体对自已客体的访问权。 性质（e）仅当某主体的安全类不低于某客体的安全类时， 该主体才可以读该客体或执行该客体。 性质（f）仅当客体p的安全类不低于客体o的安全类时， 读过客体a的主体s才能够写客体p。 5.2.2 实例模型的定义 1. 定义模型的状态变量 系统的状态由系统中所有的状态变量所决定， 系统在某一时刻的状态是由该时刻下所有状态变量的值决定的。系统的安全状态则是由系统中所有与安全有关的状态变量所决定的。 一旦这些状态变量的值发生了变化， 安全状态也就随着发生变化。表5-2是模型中将要使用的与安全有关的状态变量。 表5-2 模型中的状态变量 请注意， content和live状态变量在上述几个性质中没有直接涉及到， 它们是与安全相关的辅助状态变量， 其作用后面将可以看到。 模型（也就是系统）的安全状态由表5 - 2中这些状态变量的集合组成， 可以表示为 security-state={S, O, A［S, O］, SC(S), SC(O), contents(O),live} 其中: A［s, o］表示整个访问矩阵（而A［s， o］表示单个矩阵元素， 类似符号类推）， 是最重要的状态变量; SC(s)与SC(o)可以分别被认为是附着在矩阵A［s, o］中的一