信息安全理论信息安全模型.PPT

信息安全理论信息安全模型 中国信息安全产品测评认证中心（CNITSEC） CISP-1-信息安全理论（培训样稿） 信息安全模型 1 安全模型概念 2 访问控制模型 3 信息流模型 4 完整性模型 5 信息安全模型 1 安全模型概念 安全模型用于精确地和形式地描述信息系统的安全特征，以及用于解释系统安全相关行为的理由。 分类1：访问控制模型，信息流模型。 分类2：机密性要求，完整性，DoS，等 现有的“安全模型”本质上不是完整的“模型”：仅描述了安全要求(如：机密性)，未给出实现要求的任何相关机制和方法。 安全模型 安全目标：机密性，完整性，DoS，…… 控制目标：保障（TCB, Reference Monitor），安全政策（Policy），审计 安全模型的形式化方法： ——状态机，状态转换，不变量 ——模块化，抽象数据类型（面向对象） 安全模型作用 设计阶段 实现阶段 检查阶段（Review） 维护阶段 安全模型抽象过程 Step 1: Identify Requirements on the External Interface.(input,output,attribute.) Step 2: Identify Internal Requirements Step 3: Design Rules of Operation for Policy Enforcement Step 4: Determine What is Already Known. Step 5: Demonstrate Consistency and Correctness Step 6: Demonstrate Relevance 概述 2 访问控制模型 2.1 自主访问控制（Discretionary Access Control-- DAC）机密性与完整性 木马程序 2.2 强制访问控制（Mandatory Access Control-- MAC） 机密性 隐通道 2.3 基于角色访问控制(RBAC) 管理方式 2.1 自主访问控制 特点： 根据主体的身份和授权来决定访问模式。 缺点： 信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。 状态机 Lampson 模型 模型的结构被抽象为状态机， 状态三元组( S, O, M )， ——S访问主体集， ——O为访问客体集（可包含S的子集）， ——M为访问矩阵，矩阵单元记为M[s,o]，表示 主体s对客体o的访问权限。所有的访问权 限构成一有限集A。 ——状态变迁通过改变访问矩阵M实现。 该安全模型尽管简单，但在计算机安全研究史上具有较大和较长的影响，Harrison、Ruzzo和Ullman提出HRU安全模型以及Bell和LaPadula提出BLP安全模型均基于此。 HRU模型 (1) if a1 in M [s1 ; o1 ] and a2 in M [s2 ; o2 ] and ... am in M [sm ; om ] then op1 ... opn HRU模型 (2) 系统请求分为条件和操作两部分，其中ai ∈A，并且opi属于下列六种元操作之一（元操作的语义如其名称示意）： enter a into (s, o), delete a from (s, o), create subject s , create object o , destroy subject s , destroy object o 。 HRU模型 (3) 系统的安全性定义： 若存在一个系统，其初始状态为Q0，访问权限为a，当从状态Q0开始执行时，如果不存在将访问矩阵单元不包含的访问权限写入矩阵单元的系统请求，那么我们说Q0对权限a而言是安全的。 系统安全复杂性基本定理： 对于每个系统请求仅含一个操作的单操作系统（mono-operational system-MOS），系统的安全性是可判定的； 对于一般的非单操作系统（NMOS）的安全性是不可判定的。 HRU模型 (4) 基本定理隐含的窘境： 一般的HRU模型具有很强的安全政策表达能力，但是，不存在决定相关安全政策效果的一般可计算的算法； 虽然存在决定满足MOS条件的HRU模型的安全政策效果的一般的可计算的算法，但是，满足MOS条件的HRU模型的表达能力太弱，以至于无法表达很多重要的安全政策。 HRU模型 (5) 对HRU模型进一步的研究结果表明，即使我们完全了解了扩散用户的访问权限的程序，在HRU模