安全模型的构建(OS).doc

1 安全模型的构建 本节将以构建一个基于访问矩阵-监控器的安全模型为例，说明安全模型的构建方法与步骤。访问矩阵-监控器安全模型是一种基于状态机的模型，有着广泛的应用，因此，所介绍的模型构建方法与思路对其他类型的安全模型也适用。 1.1 建模的方法步骤 下面要建立的安全模型是由访问矩阵与访问监控器组成的，访问矩阵反映了系统的安全状态。保护系统可以抽象地用几个要素及其相互关系来描述：系统中包括主体集合与客体集合，主体包括用户或完成用户任务的进程，客体是指系统中所有可以被访问的对象，例如，文件、库表、记录、字段、程序变量、存储区或存储单元、字节甚至比特位都可能属于需要受到保护的对象。访问矩阵中存放着主体与客体的安全属性和主体对客体的访问关系与访问权限（如果主体与客体对应的矩阵元素为空，则两者之间没有访问关系）。 我们假定模型采用的自主访问控制原则是，一个主体对另一个主体可以有控制权（如父进程对子进程），可以把自己对某客体的访问权限转授给另一个主体，也可以从某主体收回（删除）某些权利，主体还可以修改对自己所属客体的访问权。系统中除了访问矩阵外还有其他一些与系统安全控制有关的变量。改变这些变量的值或者修改访问矩阵中的内容（安全属性、访问关系、访问权限、增删主、客体等）都会使系统安全状态发生变化。访问监控器可以看成为一个状态机，是系统访问控制的执行者和访问矩阵与安全变量的管理者、控制者与修改者。系统安全状态的变化可以理解为由监控器调用的状态转换函数完成的。 为了建立一个简洁的体现上述概念的安全模型，在安全模型中要尽量减少，甚至不包括那些与安全无关的功能与状态或其他因素。让模型中只包括与安全有关的安全状态变量（访问矩阵本身可以看成为一个大的数组变量）和状态转换函数，就可以做到既使安全模型反映系统的行为，又达到简化安全模型的目的。 利用访问矩阵-监控器安全模型证明（或说明）系统的安全性，需要在模型中定义或证明以下内容： （1）分析系统的安全需求，确定系统的安全策略，并给出其形式描述。 （2）根据安全策略定义系统的安全状态，主要是确定访问矩阵中的内容，包括主体、客体的安全属性、访问关系与访问权限等内容。需要的话，还可以包括一些其他辅助安全变量，然后为这些变量指定初始值，定义初始状态。 （3）定义安全状态不变式，它表明在安全状态中，状态变量值之间必须保持的关系； （4）定义状态转换函数（或称操作命令），它描述了安全状态变量的值发生变化而引起的系统安全状态的变化。状态转换函数实际上就是4.1.1.3定义的命令或其扩展。 （5）证明转换函数能够维持系统安全状态，即证明转换函数在执行前与执行后系统都处于安全状态。为了确保维持系统的安全状态，常常需要对转换函数增加约束条件。 （6）用安全状态的定义证明初始状态是安全的。 如果能够证明该初始状态是安全的，然后证明所有的状态转换函数能够保持系统的安全状态，那么根据数学推理就可以保证，无论按什么顺序调用系统功能，系统将总是能够保持安全状态的。 1.2 模型构建实例 下面以在自主访问控制下实施部分强制访问控制策略的系统为背景，给出一个简单的基于访问矩阵-监控器概念的多级安全模型，并以此为例说明安全模型的一种构建过程和定义方法。构建过程可以分为3大步，首先确定系统的安全策略，然后根据安全策略要求定义安全模型的各个基本要素，最后再证明在状态转移函数的作用下，安全模型能够保持安全状态不变。由于访问矩阵-监控器模型属于状态机类安全模型，而此类安全模型是一种应用非常广泛的模型，因此，本节介绍的模型建立方法有普遍的参考意义。下面首先给出安全策略的描述 1.2.1 安全策略的描述 不失一般性，在我们所研究的模型中，假定访问的目标是文件，对这些目标的自主访问控制策略都体现在访问矩阵中。我们可以把其中的主要控制策略归纳为以下几条，先用自然语言表述如下： 策略（a）只有当某用户对某文件有访问关系时，该用户才能按规定的访问权对该文件进行访问； 策略（b）只有系统管理员才能够创建与删除用户和修改它们的安全属性和访问权限； 策略（c）每个用户都有权创建与删除自己的文件，并可以赋予或修改它们的安全属性或访问权限。 策略（d）只有当某用户是某文件的主人时，该用户才有权把对该文件的访问权转授其他用户或撤消其他用户对自己文件的访问权。 为了保证在系统中实施多级安全，我们在模型中增加了两条带有强制性的控制策略，这两条策略分别对应于BLP模型的简单安全性与*-特性： 策略（e）只有当用户的敏感级不低于文件的敏感级时，用户才可以阅读该文件或者执行该文件。 策略（f）只有当文件P的敏感级不低于文件o的敏感级时，读过文件o的用户才能够写文件P。 为了在安全模型中体现安全策略的要求，需要给出安全策略的形式化描述，为此，首先从系统的需求分析者对策略