第11讲完整性安全模型.ppt

第11讲完整性安全模型 第8章：系统完整性保护 第1部分/共4部分 本讲内容 主题：完整性安全模型 教材内容： 第8.1节：完整性的经典模型 完整性的定义 实体的完整性：实体不被非法修改的特性。 非法修改包含两层意思： 在没有得到授权的情况下对实体进行修改。 虽有授权，但不按授权的方式对实体进行修改。 完整性保护的任务 通过访问控制，防止实体的完整性遭受破坏。 通过完整性度量，判断实体的完整性是否受到破坏。 毕巴完整性模型的提出 毕巴（K.J. Biba）于1977年提出一个典型的完整性访问控制模型。 被称为毕巴模型（Biba模型）。 完整性支配关系 对于任意两个完整性级别i1和i2， 用“≤”表示完整性支配关系，用以下式子： i1≤i2 表示完整性级别i2要么支配完整性级别i1，要么与完整性级别i1相同。 信息传递路径 O1 O2 O3 … On On+1 S1 S2 S3 … Sn 写和执行规则 当且仅当 i(O) ≤ i(S) 时，主体S可以写客体O。 当且仅当 i(S2) ≤ i(S1) 时，主体S1可以执行主体S2。 低水标模型的读规则 设iafter=min(i(S), i(O))，如果主体S读客体O，那么，“读”操作实施后，主体S的完整性级别被调整为iafter，即，“读”操作实施前的主体S的完整性级别和客体O的完整性级别这两个级别中较低的那个级别。 关于信息传递路径的定理 在毕巴低水标模型的控制下，如果系统中存在一个从客体O1到客体On+1的信息传递路径，那么，对于任意的n ＞ 1，必有i(On+1) ≤ i(O1)。 环模型的读规则 不管完整性级别如何，任何主体都可以读任何客体。 严格完整性模型的读规则 当且仅当 i(S) ≤ i(O) 时，主体S可以读客体O。 克拉克-威尔逊模型的提出 克拉克（D.D. Clark）和威尔逊（D.R. Wilson）于1987年提出一个典型的完整性访问控制模型。 被称为克拉克-威尔逊模型（Clark-Wilson模型），简称克-威模型（C-W模型）。 关于事务的示例 在银行转帐系统中，把资金从A帐户转到B帐户，转出金额为amount，需执行以下操作： A.balance = A.balance - amount …………① A.balance表示A帐户的余额。 把金额为amount的资金转入B帐户，需执行以下操作： B.balance = B.balance + amount …………② ①和②这两个操作构成了一个转帐事务Ttrans。 良构事务的定义 如果一个事务使系统从一个有效的状态转换到另一个有效的状态，则这样的事务称为良构（Well-formed）事务。 约束数据项的定义 在系统中，处于完整性模型的控制范围之内的数据项称为约束数据项（CDI，Constrained Data Item）。 处于完整性模型的控制范围之外的数据项称为非约束数据项（UDI，Unconstrained Data Item）。 事务类型的定义 在克-威模型中，用于验证系统是否处于有效状态的事务称为完整性验证过程（IVP，Integrity Verification Procedure）。 用于使系统从一个有效状态转换到另一个有效状态的事务称为转换过程（TP，Transformation Procedure）。 规则类型的定义 在克-威模型中，由系统实施的规则称为实施（Enforcement）规则，简记为E规则。 用于证明系统实施的规则的有效性的规则称为证明（Certification）规则，简记为C规则。 克-威模型的规则概貌 C1和C2规则 E1、E2和E3规则 C3和C4规则 C5和E4规则 莫科尔树模型的提出 哈希树模型（Hash Tree） 1979：莫科尔（R.C. Merkle） 完整性度量模型 莫科尔树模型（Merkle Tree） 关于莫科尔及莫科尔树 论文：A Certified Digital Signature 1979：《Communications of the ACM》录用（修改后发表）。 1989：实际发表：LNCS，Vol.435：218-238 21世纪：受到高度关注，广泛应用。 研究领域：纳米技术、计算机安全 The ACM Kanellakis Theory and Practice Award The award was given to the six founders of public-key cryptography. The IEEE Koji Kobayashi Computers and Communicatio