第6章-形式化方法与安全模型解析.ppt

安全操作系统原理与技术 安徽理工大学计算机科学与工程学院 信息安全系 张柱 讲师 第6章 形式化方法与安全模型 学习内容: ①了解什么是形式化方法 ②了解形式化安全模型 ③掌握基于访问控制矩阵的安全模型 ④掌握基于格的安全模型 ⑤了解其他安全模型 本章重点： 基于访问控制矩阵的安全模型、基于格的安全模型 第6章 形式化方法与安全模型(8课时) 6.1 形式化方法 1.定义 所谓形式化方法，指的是使用特定的语言和推理来描述事物的方法。相对而言，非形式化的方法则是以自然语言和基于人们的常识来描述事物的方法。 使用形式化的表示方法，尤其是使用一套简单易懂的语义学符号来描述事物之间的关系，可以大大提高描述安全策略的精度，使用形式化的证明可以从理论上确保系统的安全策略能够满足系统的安全需求。 2.通常，系统的不安全性源自于对用户安全需求的错误理解或源自于系统的实现缺陷。 保证系统安全性的主要策略是，制定一个符合用户安全须由的安全策略模型，该模型必须同时考虑安全策略和其在自动信息系统中的实现过程。 第6章 形式化方法与安全模型(8课时) 6.1 形式化方法 安全策略模型应由如下两个子模型组成：对安全的定义和一套操作的规则。 为了说明形式化方法在安全系统的建立过程中所起的角色，有必要来对建立一个安全自动信息系统开发的各个阶段进行详细的描述，如图。 第6章 形式化方法与安全模型(8课时) 6.1 形式化方法 高层策略目标：用来指定设计和使用计算机系统来实现什么目标； 外部接口需求：是将高层策略目标应用于计算机系统的外部接口。 内部需求：用来约束系统实体或部件相互之间的关系。对安全的形式化定义，通常包含内部需求和外部接口两个方面。 操作规则：用来解释内部需求是如何通过指定的访问检查和相关的行为措施来保证内部需求的正确实施。 高层设计：用来指定系统部件或被控的实体的行为以及TCB接口的复杂功能描述。 代码编写，涉及到硬件接口的代码，必须详细了解硬件接口规范。 第6章 形式化方法与安全模型(8课时) 6.1 形式化方法 高层目标指定的恰当性对设计一个计算机系统尤其重要，其是否合适的判断标准是，能否抵御威胁并且可以加以实现。 系统的安全策略是否合适是使用该系统的组织的安全策略能否成功实施的关键。如果一个系统的安全策略的实施能够达到系统事先制定的安全目标，则该安全策略就是适当的。 有三种“形式化证明”方法： ①数学证明； ②机器证明； ③Hilbert证明。 数学证明依赖于使用数学语言来进行模型或范型的形式化，不允许自动化。 第6章 形式化方法与安全模型(8课时) 6.1 形式化方法 机器证明依赖于使用机器化的证明器，“检查机”具有如下的特性： ①接受输入； ②决定输出； ③如果成功，则该推测是该系列假设的有效结果。 证明器能够潜在的提升用户效率。在操作系统的安全策略模型中，经常需要自动机的协助。典型地，对安全的定义包含许多需求，这些需求通常以状态不变式和状态转换约束的形式出现。 特别地，一个需求只处理几个状态元素，任何操作规则对这些元素的细微的修改都会导致对需求的违反，因此，至多90%的必需的引理都可能是非常重要的。 第6章 形式化方法与安全模型(8课时) 6.1 形式化方法 除了得到形式化语义学的证明外，通过机器证明器的方法不大可能获得太高的的安全级别保证。在这种情况下，一个公式A是一系列公式集B的有效结果，当且仅当每个满足公式集B的解释同样满足公式A。即不经过形式化语义学的证明，证明器可能不够安全并且有可能接受错误的假设。 形式化语义学包括对公式功能的解释以及对系统的证明方法是正确的相关证明。 第6章 形式化方法与安全模型(8课时) 6.2 形式化安全模型 形式化模型，指的是用形式化的方法来描述如何实现系统的安全要求，包括机密性、完整性和可用性。 一个安全的计算机系统可以分为如下几大部分：数据结构、进程、用户信息、I/O设备以及被控实体的安全属性。 标识被控实体在设计一个安全模型中占据着重要地位，对于达到TCSEC规定的B2级或以上安全级的系统来说，被控实体必须包括所有的系统资源。系统包括显式被控实体和隐式被控实体。 数据结构是一个数据仓库，包含标明系统内部状态的数据和值。系统中进程可以利用系统事先明确定义的允许的操作来对这些数据或值进行读或写访问。 一个最小的数据结构，同时也是显式被控实体的存储客体，存储客体的安全属性可能包括安全级和用户访问权限。 第6章 形式化方法与安全模型(8课时)