研：信息安全技术CH4A.ppt

研 信息安全技术 江苏大学 信息安全系 赵跃华 2008 研 信息安全技术 第四章 安全模型 第一节 引言 第二节 哈里森－罗佐－厄尔曼存取矩阵模型HRU 第三节 取—予模型take—grant 第四节 动作-实体模型Action-Entity model 第四章 安全模型 第一节 引言 一．访问控制 （1）目的——提供一不依赖于软件实现的，高层次上的概念模型且要反映一定的安全策略。 （2）达到形式化描述，实现与验证的可行性。 （3）分类 自主型安全模型　Discretionary 强制型安全模型 　Nne-Discretionary/Mandatory 第四章 安全模型 第一节 引言 二．自主型安全模型 用户对信息的存取控制是基于用户的鉴别和存取访问规则的确定，也就是对每个用户，都要给予它在系统中对每个存取对象的存取权限。 代表： 存取矩阵模型 （lampson 1971:Graham Denning 1973,Harrison 1976） (§2) 发展： 取－予模型TAKE-GRANT—图表示，权限的传播 (§3) 动作－实体模型Action-Entity—权限的管理 (§4) 第四章 安全模型 第一节 引言 三．强制安全模型 通过无法回避的存取限制来防止各种直接和间接的攻击。 主体，实体被分配不同的安全属性（不轻易改变！授权！） 很严格，可能会不方便 代表： 贝尔－拉帕丢拉模型（Bell-Lapadula） ——多安全级，强制规则 (§5) 发展： 基于角色的模型 (§6) 伯巴模型（Biba）——信息完整性 (§7) 第昂模型Dion——信息完整与安全性 (§8) 第四章 安全模型 第一节 引言 三．强制安全模型 同一实体具有不同安全级别的多个值问题： 安全数据视图模型Sea View (§9) 贾让第－沙胡模型Jajodia-Samdhu (§10) 斯密斯－温斯莱特模型Smith－Winslett (§11) 基于信息流控制的格模型Lattice (§12) 格阵是定义在集合SC上的偏序关系，并满足SC中任两个元素都有最大下界和最小上界的条件。 第四章 安全模型 第一节 引言 四．其他分类 1．按目标系统分类 面向操作系统的贝尔－拉帕丢拉模型 面向数据库管理的第昂模型；安全数据视图模型；贾让第－沙胡模型；斯密斯－温斯莱特模型 2．按侧重面分类 面向机密性的大部分模型 面向完整性的伯巴模型；“第昂模型”；“安全数据视图模型” 3．按控制类别分类 面向直接存取的存取矩阵模型，取－予模型，基于角色的模型 面向间接存取的动作－实体模型，贝尔－拉帕丢拉模型，第昂模型 第四章 安全模型 第一节 引言 四．模型 1．表示——形式化的 2．操作——形式化的描述，分：静态动作与动态动作 3．安全规则——用以验证其安全性 4．实现 5．实施——访问控制的过程 第四章 安全模型 第二节 哈里森－罗佐－厄尔曼存取矩阵模型HRU 1970年代，OS，DBMS，存取控制表ACL　 直观 一．授权状态 利用矩阵来表达系统中的主体，客体和每个主体对每个客体所拥有的权限之间的关系。 安全控制机制/系统 第四章 安全模型 第二节 哈里森－罗佐－厄尔曼存取矩阵模型 一．授权状态 授权状态：Q =（S，O，A）三元组　 S主体：用户，用户名，域Domain等 O客体：文件，内存空间，进程，数据库，关系，属性，记录，字段，主体等 A权限：阵，有：A（SI，OJ） 总的Q状态表示该系统的某种特定的安全策略和授权。 可加约束条件： 数据控制 时间控制 上下文控制——避免组合 历史记录控制——避免逐步缩小范围而查询出敏感的数据／执行操作 第四章 安全模型 第二节 哈里森－罗佐－厄尔曼存取矩阵模型 二．存取方式Access modes 静态　　　读，写，执行，拥有··· 动态　　　对进程的控制权，赋予／收回··· 第四章 安全模型 第二节 哈里森－罗佐－厄尔曼存取矩阵模型 三．操作 指对存取控制矩阵执行的操作，也就是改变某系统的安全策略或授权情况。 1．赋予授权　 Enter r into A[si,oj] si∈S,oj∈O S’=S,O’=O; A’[si,oj]=A[si,oj]∪{r},A’[sm,ok]=A[sm,ok],m≠i,k≠j 2．回收授权 Detect r from A[si,oj] si∈S,oj=O S’=S,O’=O; A’[si,oj]=A[si,oj]-{r},A’[sm,ok]=A[sm,ok],