信息安全模型.ppt

信息平安模型

信息平安模型平安模型用于精确地和形式地描述信息系统的平安特征，以及用于解释系统平安相关行为的理由。平安模型的作用准确描述平安的重要方面与系统行为的关系提高对成功实现关键平安需求的理解层次“平安模型”的表达能力有其局限性，形式的语法多于形式的语义。

模型抽象过程1〕:标识外部接口需求ExternalInterface.(input,output,attribute.)2〕:标识内部需求InternalRequirements3〕:设置策略强制的操作规那么4〕:判定WhatisAlreadyKnown.5〕:论证(Demonstrate)一致性与正确性6〕:论证是适当的〔Relevance〕

一些主要的模型机密性访问控制信息流DAC自主MAC强制完整性RBACBLPChineseWall（非干扰性，非观察性）BibaClark-Wilson系统平安保障模型：PDR、PPDR、OSI根本模型：HRU

1、根本模型－Lampson Lampson模型的结构被抽象为状态三元组(S,O,M)， ——S访问主体集， ——O为访问客体集〔可包含S的子集〕， ——M为访问矩阵，矩阵单元记为M[s,o]，表示 主体s对客体o的访问权限。所有的访问权限构成一有限集A。 ——状态变迁通过改变访问矩阵M实现。 该平安模型尽管简单，但在计算机平安研究史上具有较大和较长的影响，Harrison、Ruzzo和Ullman提出HRU平安模型以及BellLaPadula提出BLP平安模型均基于此。

2、根本模型－HRU(1)系统请求的形式ifa1inM[s1;o1]anda2inM[s2;o2]and...aminM[sm;om]thenop1...opn

根本模型－HRU(2)系统请求分为条件和操作两局部，其中ai∈A，并且opi属于以下六种元操作之一〔元操作的语义如其名称示意〕：enterainto(s,o),〔矩阵〕deleteafrom(s,o),createsubjects,〔主体〕destroysubjects,createobjecto,〔客体〕destroyobjecto。

根本模型－HRU(3)系统的平安性定义：假设存在一个系统，其初始状态为Q0，访问权限为a，当从状态Q0开始执行时，如果不存在将访问矩阵单元不包含的访问权限写入矩阵单元的系统请求，那么我们说Q0对权限a而言是平安的。系统平安复杂性根本定理：对于每个系统请求仅含一个操作的单操作请求系统〔mono-operationalsystem-MOS〕，系统的平安性是可判定的；对于一般的非单操作请求系统〔NMOS〕的平安性是不可判定的。与此相关，由于用户通常不了解程序实际进行的操作内容，这将引起其他的平安问题。例如，用户甲接受了执行另一个用户乙的程序的权利，用户甲可能不知道执行程序将用户甲拥有的与用户乙完全不相关的访问权限转移给用户乙。类似的，这类外表上执行某功能〔如提供文本编辑功能〕，而私下隐藏执行另外的功能〔如扩散被编辑文件的读权限〕的程序称为特洛伊木马程序。

强制访问控制模型〔MAC〕特点：1〕将主体和客体分级，根据主体和客体的级别标记来决定访问模式。如，绝密级，机密级，秘密级，无密级。2〕其访问控制关系分为：上读/下写，下读/上写〔完整性〕〔机密性〕3〕通过梯度平安标签实现单向信息流通模式。4〕与DAC相比：强耦合，集中式授权。

3、MAC多级平安模型－BLP〔1〕该模型是可信系统的状态转换模型定义所有可以使系统“平安”的状态集，检查所有状态的变化均开始于一个“平安状况”并终止另一个“平安状态”，并检查系统的初始状态是否为“平安状态”。每个主体均有一个平安级别，并由许多条例约束其对具有不同密级的客体的访问操作。模型定义的主客体访问规那么使用状态来表示系统中主体对客体的访问方式可向下读，不可下写可上写，不可上读

MAC多级平安模型－BLP〔2〕系统状态：V＝｛B×M×F×H｝B：访问集合，是S×O×A的子集，定义了所有主体对客体当前的访问权限。函数F:S∪O→L，语义是将函数应用于某一状态下的访问主体与访问客体时，导出相应的平安级别。Fs：主体平安级别Fo：客体平安级别Fc：主体当前