认证和访问控制-访问控制第三章-访问控制基础知识 new.pptVIP

* 因为A;≤1、 B;≤2为偏序关系，所以 ?a1 ∈A 有a 1≤1 a1， ?b1 ∈B 有b 1≤1 b1 所以 （a1,b1) ≤(a1,b1) 。。。。。。。。。。。自反 由（a1,b1) ≤(a2,b2) （a2,b2) ≤(a1,b1)，可得 a1≤1a2, a2≤1a1 可得 a1＝a2；同理有b1＝b2，此即（a2,b2) =(a1,b1) 。。。。。。。。。。。。。。。 反对称 又由（a1,b1) ≤(a2,b2) （a2,b2) ≤(a3,b3)，此即 a1≤1a2, a2≤1a3 可得 a1≤1a3 同理： b1≤2b2, b2≤2b3 可得 b1≤2b3 最后有（a1,b1) ≤(a3,b3) 。。。。。。。。。。。传递性 * 在A={U,C,S,TS}上定义A; ≤,由于 U?C ?S ?TS,所以≤是一个全序,显然构成一个偏序集 在PB上定义PB;?,容易看出,它也是一个偏序 B= {科技处,干部处,生产处,情报处} 再在A×PB上定义一个二元关系“≤”： A×PB={(a,H)|a ∈A 且 H ? PB} ? (a1,H1), (a2,H2) ∈A×PB ,当且仅当 a1 ≤ a2,H1 ?H2时,有 (a1,H1) ≤(a2,H2) 根据上述命题, A×PB;≤构成一个偏序集。 * Page: * 安全策略与安全模型——军事安全策略 如何比较主、客体的安全级别——授权确认 任意(a1, H1), (a2, H2) ∈ A×PB 当且仅当a1≤a2 , H1≤H2时，(a1, H1) ≤(a2, H2) ——(a2, H2) 支配(a1, H1) “≤”是A×PB上的一个偏序关系 在上例中 class(u) ≤ class(o2) class(o1) ≤ class(u) class(u) 与 class(o3)不可比 * Page: * 安全策略与安全模型——军事安全策略 访问控制规则 多级安全策略 仅当主体的安全级支配客体的安全级时，允许该主体读访问该客体 仅当客体的安全级支配主体的安全级时，允许该主体写访问该客体 “写” 暗指 “添加” “向下读，向上写” * Page: * 安全策略与安全模型 商业安全策略 策略制定依据 保障信息的完整性——最重要的安全需求 防止非授权的修改 防止数据的伪造和错误 策略的分类 良性事务(Well-formed Transaction) 职责分离(Segregation of Duties) * Page: * 安全策略与安全模型——商业安全策略 良性事务 用户在保证数据完整性的前提下实施对数据的操纵 对用户能执行什么样的程序进行限制 完整性约束在对数据的读写方式隐含在程序的动作之中 审计是最简单的实现机制 财务系统中的良性事务 复式记账 双入口规则：数据修改部分之间保持平衡内部数据的一致性 特别地，签发一张支票与银行帐号户头上的金额变动必须平衡 ——可由一个独立测试帐簿是否平衡的程序来检查 * Page: * 安全策略与安全模型——商业安全策略 职责分离 将“对数据的操作”分解为“一组良性事务” 良性事务对应不同子操作，子操作由不同主体实施 被允许创建或验证良性事务的主体，不允许其执行该良性事务 购买货物并付款的过程分解 授权购买订单 记录到货 记录到货发票 授权付款（验证前面三个子操作） * 职责分散的最基本规则是，被允许创建或验证良性事务的人，不能允许他去执行该良性事务。 【至少需要两个人的参与才能进行】 【职员不暗中勾结，职责分散有效】 【随机选取一组职员来执行一组操作，减少合谋机会】 安全策略与安全模型——商业安全策略 * 良性事务与职责分散是商业数据完整性保护基本原则 专门机制被商业数据处理计算机系统用来实施良性事务与职责分散规则。 （a）保证数据被良性事务处理 数据只能由一组指定的程序来操纵 程序被证明构造正确、能对这些程序的安装能力、修改能力进行控制、保证其合法性 （b）保证职责分散 每一个用户必须仅被允许使用指定的程序组、用户执行程序的权限受控 安全策略与安全模型——商业安全策略 * 商业安全策略也是一种强制访问控制 但它与军事安全策略的安全目标、控制机制不相同 商业安全策略强制性体现在： （a）用户必须通过指定的程序来访问数据 （b）允许操纵某一数据客体的程序列表和允许执行某一程序的用户列表不能被系统的一般用户所更改 军事与商业安全相同点： （1）一种机制被计算机系统用来保证系统实施了安全策略中的安全需求 （2）系统中的这种机制