ch776保护的基本机制策略与模型.pptVIP

7.6保护的基本机制、策略与模型 7.6.1机制、策略与模型 7.6.2身份认证机制 7.6.3授权机制 7.6.4加密机制 7.6.5审计 7.6.1机制、策略与模型(1) ?操作系统中强调把策略（policy）与机制（mechanism）明确分开。 ?策略规定要达到的特定目标，如安全范围内将决定什么时候去完成什么样的信息保护任务？ ?机制是用于强制执行策略，完成任务和特定目标的方法、步骤和工具。即如何实现保护，是一组实现不同种类保护方案的算法和代码的集合。 保护的基本机制、策略与模型(2) 策略：某种特殊通信策略不允许两个进程共享资源。 机制：支持此通信策略需要消息传送，把一个进程地址空间内的信息复制到另一进程。 保护的基本机制、策略与模型(3) 策略：某学院计算机系本科生实验室中的计算机只能给已注册的本科生使用。 机制：需要学生证和计算机系的班级列表。 保护的基本机制、策略与模型(4) ?安全策略是对系统的安全需求，以及如何设计和实现安全控制有一个清晰的、全面的理解和描述。 ?安全模型的目的就是精确的描述系统的安全需求和策略。 ?安全模型的特点： ?? 1、安全模型的规则 ? 一个系统不如所希望的那样安全原因：一是安全控制中有漏洞，二是安全定义有缺陷。 ?第一个问题是软件可靠性问题，可以通过与设计技术相关的软件工程手段克服。第二个问题，是定义系统做什么的问题。 ? 安全模型与系统功能描述。 ? 系统的功能描述指导系统功能的实现，而安全模型指导与安全有关的系统功能的实现。 安全模型的类型和特点(2)信息流模型 ? 是访问矩阵模型的一个补充。 不校验主体对客体的访问模式，而是监管信息可以流通的有效路径，控制从一个实体流向另一个实体的信息流，控制是根据两个实体的安全属性强制实行的。 格阵模型是一种信息流控制模型，可以用来描述信息流的通道与信息流动策略。 安全模型的类型和特点(3)非相干模型 模型中各个主体在不同的域中运行以防止它以某种违反系统安全性的方式干扰其他主体。Honeywell公司将它用在Secure Ada Target的研究项目中。 4 状态机模型(1) ?状态机模型 ?状态变量 ?状态转移函数 状态机模型(2) 开发状态机安全模型，需要从一个安全的初始状态起，描述模型的元素（变量，函数，规则等）。 只要证明初始状态是安全，所有转移函数也是安全的，那么，数学推理就能保证：系统从某个安全状态启动，无论按什么顺序调用系统功能，系统总是保持在安全状态。 一个军事安全策略的例子(1) 区分不同级别，士兵为一般密级、上尉为保密级、上校为机密级、将军为绝密级，他们的文件分别为一般密级、保密级、机密级、绝密级。 一个军事安全策略的例子(2) 上校可看上尉的文件，更可看士兵的文件，但决不能看将军的文件。 上尉可告诉上校他所知道的军事情况，当然也可直接报告给将军，但决不能把军事情况透露给士兵，因为普通士兵未被授权。 一个军事安全策略的例子(3) 对多级安全性的通用安全策略必须实施： 不向上读 进程不能读级别高于它本身的对象，但可读同级或低级对象，例如，机密级进程可读保密级或一般密级的文件，却不能读绝密级文件； 不向下写 进程不能向低于其本身级别对象写信息，仅能写入同级或更高级别的对象中，例如，保密进程可向机密或绝密文件写信息，却不能写一般密级文件。 安全策略演变成抽象安全模型(1) 安全策略 策略（a）仅且当用户的许可证级别高于或等于文件的密级时，才可以阅读该文件。 策略（b）仅且当用户的许可证级别低于或等于文件的密级时，才可以写该文件。 安全策略演变成抽象安全模型(2) 替换 自然语言术语 计算机用术语 人 主体 文件 客体 许可证级别 存取类 密级 存取类 安全策略演变成抽象安全模型(3) 安全策略变形 性质（a）仅当主体的存取类高于或等于文件的存取类时，才可以阅读该文件。 性质（b）仅当主体的存取类低于或等于文件的存取类时，才可以写该文件。 开发一个安全模型的步骤(1) 第一步：定义状态变量 S＝当前主体集合 O＝当前客体集合 sclass(a)=主体s的存取类 oclass(o)=主体o的存取类 A(s,o)