2 操作系统安全理论基础概述.pptVIP

2.2 操作系统安全模型 存取矩阵模型 存取矩阵模型（Access Matrix Model）是状态机模型的一种。它将系统的安全状态表示成一个大的矩形阵列：每个主体拥有一行，每个客体拥有一列，交叉项表示主体对客体的访问模式。存取矩阵定义了系统的安全状态，这些状态又被状态转移规则（即上文的状态转移函数）引导到下一个状态。这些规则和存取矩阵构成了这种保护机制的核心。 2.2 操作系统安全模型 存取矩阵模型 在实际的计算机系统中．采用按行存放或者按列存放。按行存放。每个主体在其属性数据结构中有若干客体及它对它们各自的存取权限，这种方法叫能力表（Capability List）法。按列存放，则是在每个客体的属性数据结构中存放着系统中每个主体对该客体的存取权限，这种方法叫访问控制表（Access Control List，简称ACL）。典型地，系统中每个文件都有一个相应的ACL表来控制各个主体对它的存取权限。比如在UNIX 2.2 操作系统安全模型 BLP模型 Bell和Lapadula在1973年提出BLP模型，然后于1974年至1976年对该模型进行了进一步的充实和完善。BLP模型是最具有代表性的形式化信息安全模型，它是根据军方的安全策略设计的，用于控制对具有密级划分的信息的访问。它所关注的是信息的保密性，主要用于军事领域。它是定义多等级安全（MLS）的基础。 2.2 操作系统安全模型 BLP模型 BLP模型是一个请求驱动的状态机模型。它在某一状态接受请求，然后输出决定，进入下一个状态。BLP模型可以归结为三方面的内容：元素、属性和规则。 主体：指引起信息流动的访问发起者。用户登录到系统后，由进程代表用户执行具体访问操作，系统中只有进程向客体发出访问请求。 客体：指信息流动中的访问承受者。客体包括文件、目录、进程、设备、进程间通信结构等。 2.2 操作系统安全模型 BLP模型 敏感标记：指主体或客体的安全标记，是系统进行保密性访问控制的依据，包括等级分类和非等级类别两部分。其中，等级分类指主体或客体的密级，由一个整数代表；非等级类别指主体可以访问的客体范围，由一个集合表示。 权限：指主体对客体的访问操作，比如读、写、执行等。 属性：指模型的安全性质。 规则：描述模型状态之间的状态转换规则。 2.2 操作系统安全模型 BLP模型 主体只能读取自己的敏感标记可以支配其敏感标记的客体，也就是不上读的特性。 主体只能写敏感标记支配自己的敏感标记的客体，也就是不下写的特性。 2.2 操作系统安全模型 Biba模型 Biba模型是K.J.Biba于1977年提出的，Biba模型的基本概念就是不允许低完整性的信息流动到高完整性的对象中，只允许信息流以相反的方向流动。Biba模型提出了5种不同的用于完整性目的的强制访问控制策略。下面分别介绍。 2.2 操作系统安全模型 面向主体的低水标策略 在该策略中，每个主体的完整性级别不是静态不变的，而是取决于它前一状态的完整性级别。它基于如下规则： 主体具有对给定客体的写权限，当且仅当该主体的完整性级别支配该客体的完整性级别； 主体具有对另一个主体的通信权限，当且仅当第一个主体的完整性级别支配第二个主体的完整性级别； 主体具有对任何客体的读权限，并且当主体执行完读操作后，主体的完整性级别会降低为执行读操作前主体和客体的完整性级别的最小上界。 2.2 操作系统安全模型 面向客体的低水标策略 除了改变主体的完整性级别外，面向客体的低水标策略还要求被修改客体的完整性级别。它基于如下的规则： 主体具有对任何客体的写操作，并且当主体执行完写操作后，客体的完整性级别会降低为执行写操作前主体和客体的完整性级别的最大上界。 因此，当一个具有较高完整性级别的客体被一个具有较低完整性级别的主体进行写操作后，它的完整性级别相应会降低，从而导致信息的泄漏，并且一旦客体的完整性级别变低后再也不能恢复。 2.2 操作系统安全模型 低水标完整性审计策略 该策略是面向客体的低水标策略的变种，在该策略下，客体的完整性级别不会被改变，它基于如下规则： 主体对任何完整性级别的客体都具有写权限，但是如果该主体的完整性级别小于被操作客体的完整性级别，这个操作会被记录在审计日志中。 因此，这种方法并没有保护信息的不恰当更改，只是通过审计这种手段将该操作记录了下来，以便于以后的检查。 2.2 操作系统安全模型 环策略 在该策略下，主体和客体在它们的生命周期中完整性级别是固定不变的，并且只允许对那些完整性级别小于或等于该主体的客体进行修改。另外，通过允许读取任何完整性级别的客体，系统在灵活性方面获得了很多的提高。它基于如下的规则： 主体具有对给定客体的写权限，当且仅当该主体的完整性级别支配客体的完整性级别； 一个主体具有对另一个主体的通信权限