安全模型.pptVIP

安全模型 王立斌 博士 2004年8月15日 主要内容 安全模型基本概念 安全策略 保密性安全模型 完整性安全模型 安全模型面临的挑战与进展 1、安全模型的基本概念 安全模型、安全策略模型 安全模型分类 计算机系统的安全层次结构 安全（策略）模型 安全（策略）模型是描述信息系统安全中保密性、可用性和完整性需求（安全策略）的形式化方法，是系统安全分析、设计、实现和验证的依据和效率的保障。 安全模型分类 按策略的不同 保密性模型 完整性模型 混合模型 按实现方法的不同 访问控制模型 接口模型（信息流模型） 还可根据策略的使用场合 两类安全模型 访问控制模型，规范并描述了系统实现策略的特定机制。 接口模型，是系统策略需求的规范，但不描述实现该需求的机制。 2、安全策略 安全策略是一种声明, 它将系统的状态分成两个集合，已授权的，即安全的状态集合，和未授权的，即不安全的状态集合。 安全系统是一种始于已授权状态但不能进入未授权状态的系统。 安全策略举例 保密性策略 设X是实体的集合，并设I是信息。如果X中成员不能获取信息I，那么I关于X具有保密性。 完整性策略 设X是实体的集合，并设I是某些信息或某种资源。如果X中所有成员都信任I，那么I关于X具有完整性。 可用性策略 设X是一个实体的集合，并设I是一种资源。如果X中所有成员都可以访问I，那么I关于X具有可用性。 安全策略、安全模型、安全机制 安全策略只是一种声明：可形式化也可非形式化。 安全模型是表达特定策略或策略集合的形式化模型。 安全机制是实施安全策略的某些部分的实体或规程。 3、保密性安全模型 保密性策略用于防止信息的非授权泄漏；信息非授权更改则是次要的。 Bell-LaPadula模型 信息流模型 Bell-LaPadula模型 规范安全许可（安全等级） 定义系统为主体集合S、客体集合O、权限集合A和一个访问控制矩阵M 并给出系统安全所必须遵循的规则 Bell-LaPadula模型的基本规则 简单安全条件(不向上读)：S可以读O，当且仅当l(O)≤l(S)且S对O具有自主型读权限。 *-属性（不向下写）：S可以写O，当且仅当l(S)≤l(O)且S对O具有自主型写权限。 基本安全定理：设系统Σ的某一个初始安全状态为σ0，T是状态转换的集合。如果T的每个元素都遵守简单安全条件和*-属性，那么对于每个i≥0，状态σi都是安全的。 基本安全定理的含义 系统是安全的当且仅当初始状态是状态安全，并且从初始状态开始经过有限次请求可达的任何状态都是状态安全的。 BLP模型的优势 非常直观，易于实现（使用安全内核）。 BLP模型的局限 存在隐信道，严格验证困难，开销大。 信息流模型 信息流控制是限制非授权主体通过对系统行为的观测推理得出保密客体信息的一种系统保密控制机制。 安全信息流控制是保密安全模型中另一重要主题。 传统访问控制模型中存在不安全信息流（隐信道）。 信息流控制示意图 信息流模型 以上模型的说明 “间谍”是低级别用户，他们试图通过对系统行为的观测得到关于高级别进程的信息； “内奸”是高级别用户，他们试图使用某些事先安排好的信号模式，向低级别用户传递信息。 访问控制模型的隐信道问题 隐信道分两类： 隐定时信道 隐存储信道 隐信道产生的直接原因是把访问控制模型的原语操作映射到计算机系统是困难的，并且这个问题在分布式系统中还将进一步恶化。 有开销更小的方法能在系统设计之初就把隐信道排除在系统之外吗？ 信息流模型 不描述实现安全的特定方法，而是规范系统输入、输出关系的限制，由系统开发者决定满足该安全规范的实现方法。 不干涉模型是被研究最多的信息流模型。 确定性系统的不干涉模型 大部分的信息流模型都是基于不干涉的概念上建立的，所谓“不干涉”（Noninterference，简记为NI），直观上就是限制高层用户的输入不能干涉低层用户的输出。 最早的不干涉模型是由Goguen和Meseguer在1982年提出，基于有限状态机。 把一个系统看成是一个具有两个输入集合、两个输出集合的“黑箱”， 两类输入：HIGH输入和LOW输入。 两类输出：HIGH输出和LOW输出。 规范这两类输入、输出之间的关系 不干涉模型的描述方法 扩展了软件工程中的轨迹方法(Trace Method)，把安全描述归约成系统行为的描述。 系统是不干涉安全的，当且仅当对所有用户u，所有系统轨迹T及所有的输出命令c有： out(u,T.c(u))=out(u,purge(u,T).c(u))。 purge函数删除T中级别比u高的操作， out是代表用户u的输出的函数。 以上定义非常强。 扩充到非确定性系统 非确定性系统的可能性模型 更合理地描述系统行为 非确定性系统的概率模型 考察系