第三章节及 操作系统安全模型.pptVIP

第三章 操作系统安全模型 3.1 安全模型的概念及特点 安全策略:有关管理,保护和发布敏感信息的法律,规定和实施细则 已授权的,安全的状态集合 未授权的,不安全的状态集合 如图,安全状态集合S={s1,s2,s3},不安全状态集合US={s4} 3.1 安全模型的概念及特点 安全模型：是对安全策略所表达的安全需求的简单、抽象和无歧义的描述。 安全模型的特点： 1、简单的、清晰的，只描述安全策略，对具体实现的细节不作要求 2、抽象的、本质的 3、精确的、没有歧义的 现有的安全模型大多采用状态机模拟系统 状态机模型 状态变量表示系统的状态 转换函数或操作规则用以描述状态变量的变化过程 可以正确描述状态可以怎样变化和不可以怎样变化 3.2 安全模型的开发和验证 形式化安全模型：使用数学模型，精确地描述安全性及其在系统中使用的情况 非形式化安全模型：仅模拟系统的安全功能，没有严格的数学验证 3.3 安全模型的分类 按实现的策略分类: 保密性模型：注重防止信息的非授权泄漏，主要应用于军事（BLP模型） 完整性模型：注重信息完整性（Biba和Wilson模型） 混合策略模型：兼顾保密性和完整性（中国墙模型） 按实现的方法分类，可分为访问控制模型和信息流模型 访问控制模型 访问矩阵模型三要素: 1.主体：可以对其他实体施加动作的主动实体，简记为S 2.客体：是主体行为的对象，简记为O 3.访问权限：访问权限有限集A={ 读，写，执行，追加 } 控制策略：主体对客体的操作行为集和约束条件集 访问矩阵：主体用行表示，客体用列表示，交叉项表示该主体对该客体所拥有的访问权限 信息流模型 控制客体之间的信息传输过程 通过分析信息流向可以发现系统中存在的隐蔽通道 安全规则:在系统状态转换时，信息流只能从访问级别低的状态流向访问级别高的状态 信息流模型是基于事件或足迹的模型，注重系统用户可见的行为 3.4 主要安全模型 Bell-LaPadula模型是Bell和LaPadula于1973年提出的对应于军事类型安全密级分类的计算机操作系统模型 BLP模型采用线性排列安全许可的分类形式来保证信息的保密性 每个主体都有个安全许可，等级越高，可访问的信息就越敏感 每个客体都有个安全密级，密级越高，客体信息越敏感 基本原理：系统由主体（进程）和客体（数据、文件）组成，主体对客体的访问分为只读（R）、读写（W）、只写（A）、执行（X）及控制（C）几种访问模式，C指主体授予或撤消另一主体对某一客体访问权限的能力。 系统状态定义 状态：是系统中元素的表示形式，由主体、客体、访问属性、访问矩阵以及标识主体和客体的访问类属性的函数组成 状态v ∈ V由一个有序的四元组（b, M, f, H）表示 b表示在某个特定的状态下哪些主体以何种访问属性访问哪些客体 M表示访问矩阵，f表示访问类函数，H表示当前的层次结构，即客体的树形结构 安全等级分类系统 简单安全条件:S可以读O,当且仅当l0≤ls且S对O具有自主型读权限 *-属性:S可以写O,当且仅当 ls ≤ l0且S对O具有自主型写权限 不可上读,不可下写 绝密 S1 O1(O1A, O1B, O1C) 机密 S2 O2(O2A, O2B) 秘密 S3 O3(O3A, O3B, O3C) 内部 S4 O4(O4A, O4B, O4C) 基本安全定理（简化版） 设系统的初始安全状态为σ0，T是状态转换的集合。如果T中的每个元素都遵守简单安全条件（简化版）和*-属性（简化版），那么对于每个i≧0,状态σi都是安全的 模型扩展解决分类粗糙 给每个安全密级增加一套类别,每种类别都描述一种信息 例:如果类别分为A,B,C三类,则一个主体可访问的类别的集合为: 空集, {A},{B},{C},{A,B},{A,C},{B,C},{A,B,C} 如果S2只需访问A类客体，则安全等级为（机密，{A}），客体O2B归于B类，它属于（机密，{B}），则即使S2和O2B都是机密级别，S2也不能访问O2B 引入支配关系:安全等级(L,C)支配安全等级(L’,C’),当且仅当L’ ≤L且C’包含于C 例: 设S2许可的安全等级为(机密,{A,B}),客体O2B的安全等级为(机密,{B}),客体O3C的安全等级为(秘密,{C}),客体O4A的安全等级为(内部,{A}),则有: S2支配O2B,因为机密≤机密,且{B}包含于{A,B} S2支配O4A,因为内部≤机密,且{A}包含于{A,B} S2不能支配O