《信息安全模型》-(课件).ppt

信息安全模型 信息安全模型 安全模型用于精确地和形式地描述信息系统的安全特征，以及用于解释系统安全相关行为的理由。 安全模型的作用 准确描述安全的重要方面与系统行为的关系 提高对成功实现关键安全需求的理解层次 “安全模型”的表达能力有其局限性，形式的语法多于形式的语义。 模型抽象过程 1）: 标识外部接口需求 External Interface.(input,output,attribute.) 2）: 标识内部需求Internal Requirements 3）: 设置策略强制的操作规则 4）: 判定 What is Already Known. 5）:论证 (Demonstrate)一致性与正确性 6）: 论证是适当的（ Relevance） 一些主要的模型 1、基本模型－Lampson Lampson模型的结构被抽象为状态三元组( S, O, M )， —— S 访问主体集， —— O 为访问客体集（可包含S的子集）， —— M 为访问矩阵，矩阵单元记为M[s,o]，表示 主体s对客体o的访问权限。所有的访问权限构成一有限集A。 ——状态变迁通过改变访问矩阵M实现。 该安全模型尽管简单，但在计算机安全研究史上具有较大和较长的影响，Harrison、Ruzzo和Ullman提出HRU安全模型以及Bell LaPadula提出BLP安全模型均基于此。 2、基本模型－ HRU(1) 系统请求的形式 if a1 in M [s1 ; o1 ] and a2 in M [s2 ; o2 ] and ... am in M [sm ; om ] then op1 ... opn 基本模型－ HRU(2) 系统请求分为条件和操作两部分，其中ai ∈A，并且opi属于下列六种元操作之一（元操作的语义如其名称示意）： enter a into (s, o), （矩阵） delete a from (s, o), create subject s , （主体） destroy subject s , create object o , （客体） destroy object o 。 基本模型－ HRU(3) 系统的安全性定义： 若存在一个系统，其初始状态为Q0，访问权限为a，当从状态Q0开始执行时，如果不存在将访问矩阵单元不包含的访问权限写入矩阵单元的系统请求，那么我们说Q0对权限a而言是安全的。 系统安全复杂性基本定理： 对于每个系统请求仅含一个操作的单操作请求系统（mono-operational system-MOS），系统的安全性是可判定的； 对于一般的非单操作请求系统（NMOS）的安全性是不可判定的。 与此相关，由于用户通常不了解程序实际进行的操作内容，这将引起其他的安全问题。例如，用户甲接受了执行另一个用户乙的程序的权利，用户甲可能不知道执行程序将用户甲拥有的与用户乙完全不相关的访问权限转移给用户乙。类似的，这类表面上执行某功能（如提供文本编辑功能），而私下隐藏执行另外的功能（如扩散被编辑文件的读权限）的程序称为特洛伊木马程序。 强制访问控制模型（MAC） 特点： 1） 将主体和客体分级，根据主体和客体的级别标记来 决定访问模式。如，绝密级，机密级，秘密级，无密级。 2） 其访问控制关系分为：上读/下写 ， 下读/上写 （完整性） （机密性） 3）通过梯度安全标签实现单向信息流通模式。 4）与DAC相比：强耦合，集中式授权。 3、MAC多级安全模型－BLP（1） 该模型是可信系统的状态转换模型 定义所有可以使系统“安全”的状态集，检查所有状态的变化均开始于一个“安全状况”并终止另一个“安全状态”，并检查系统的初始状态是否为“安全状态”。 每个主体均有一个安全级别，并由许多条例约束其对具有不同密级的客体的访问操作。 模型定义的主客体访问规则 使用状态来表示系统中主体对客体的访问方式 可向下读，不可下写 可上写，不可上读 MAC多级安全模型－BLP （2） 系统状态： V＝｛B×M×F×H｝ B：访问集合，是S×O×A的子集，定义了所有主体对客体当前的访问权限。 函数 F: S ∪ O →L，语义是将函数应用于某一状态下的访问主体与访问客体时，导出相应的安全级别。 Fs：主体安全级别 Fo：客体安全级别 Fc：主体当前安全级别 FsFc 状态集V在该模型中表现为序偶（F，M）的集