安全策略与安全模型课件.ppt

1、1 1.2.3.4.设是A上的关系,a A 均aa-设是A上的关系,a,b A若ab,则ab与ba不能同时出现 -设是A上的关系,a,b,c A若ab,bc则一定有ac -2偏序关系偏序关系：集合 A 上的关系，如果它是自反、反对称且 可传递的，则称为 A 上的一个偏序关系偏序关系。“偏序关系”也叫做“偏序偏序”，用“”符号表示。可比可比：设是集合 A 上的偏序，对于 a、bA，若有 a b 或 b a，则称 a 和 b 是可比的可比的，否则称 a 和 b 是不可比的不可比的3全序全序：一个集合 A 上的任意两个元素之间都满足偏序关系，则称该偏序为 A 上的一个全序全序 良序良序：一个集合 A

2、 上的偏序，若对于 A 的每一个非空子集 S A，在 S 中存在一个元素 as（称为 S 的最小元素），使得对于 所有的 s S，有as s，则称它为 A上的一个良序良序4 若和是两个偏序集,在笛卡尔积AB上定义关系,对任意(a1,b1),(a2,b2)AB 当且仅当 a11a2,b12b2时,有(a1,b1)(a2,b2)可以证明:也是一个偏序集 5因为、为偏序关系，所以a1 A 有a 11 a1，b1 B 有b 11 b1所以（a1,b1)(a1,b1)自反由（a1,b1)(a2,b2)（a2,b2)(a1,b1)，可得a11a2,a21a1 可得 a1a2；同理有b1b2，此即（a2,b

3、2)=(a1,b1)反对称又由（a1,b1)(a2,b2)（a2,b2)(a3,b3)，此即 a11a2,a21a3 可得 a11a3 同理：b12b2,b22b3 可得 b12b3 最后有（a1,b1)(a3,b3)传递性 6 亦即(i)(a,b)AB,均有(a,b)(a,b)(ii)(a1,b1),(a2,b2),AB,若(a1,b1)(a2,b2),则(a1,b1)(a2,b2)与(a2,b2)(a1,b1)不能同时出现(iii)(a1,b1),(a2,b2),(a3,b3)AB,若(a1,b1)(a2,b2),(a2,b2)(a3,b3)则一定有(a1,b1)(a3,b3)设是A上的关

4、系,a A 均aa -设是A上的关系,a,b A若ab,则ab与ba不能同时出现 -设是A上的关系,a,b,c A若ab,bc则一定有ac -9 eg:密级分为4个级别:一般秘密机密绝密 (UC S TS)令A=U,C,S,TS,则是A上的全序,构成偏序集偏序集10111213l主体、客体安全级定义以后，就可以通过比较主客体安全级，来决定主体对客体的访问以及什么样的访问。14定义 A=U,C,S,TS在A AA 且 H (a1,H1),(a2,H2)AP ,当且仅当 a a,H (a,H)(a,H)是 APAP 构成一个偏序集。15若和是两个偏序集,在笛卡尔积AB上定义关系,对任意(a1,b1

5、),(a2,b2)AB 当且仅当 a11a2,b12b2时,有(a1,b1)(a2,b2)可以证明:也是一个偏序集。是 APAP 构成一个偏序集。16l在A=U,C,S,TS上定义,由于 UC S TS,所以l在l再在Al AA 且 H l(a,H),(a,H)AP ,当且仅当l a a,H (a,H)(a,H)l根据上述命题,AP 构成一个偏序集。1718l在一偏序集中,l l1,12L,若l112,则称12 支配l1。：主体 的安全级支配客体客体的安全级支配主体体u与客体的安全级相互不可支配。19 一个主体仅能读安全级比自已安全级低或相等的客体 一个主体仅能写安全级比自己高或相等的客体“”

6、(a1,H1)(a2,H2)当且仅当a1 a2,H1 H2 u u对对OO1 1可读可读,对对OO2 2可写可写,对对OO3 3既不可读也不可写既不可读也不可写 20”安全策略执行的结果是信息只能由低安全级的客体流向高安全级的客体，高安全级的客体的信息不允许流向低安全级的客体。l若要使一个主体既能读访问客体，又能写访问这个客体，两者的安全级必须相同。21保护信息的机密性）l军事系统l政府及企业的办公自动化系统l具有层次结构的组织机构222商业安全策略商业安全策略 用户对数据的操纵不能任意进行,而应该按照可保证数据完整性的受控方式进行,即数据应该用规定的程序,按照定义好的约束进行处理。保存记录保

7、存记录(包括修改数据之前修改数据之后的记录包括修改数据之前修改数据之后的记录)，事后被审计事后被审计 双入口规则：数据修改部分之间保持平衡双入口规则：数据修改部分之间保持平衡 内部数据的一致性内部数据的一致性 特别地，签发一张支票与银行帐号户头上的金额特别地，签发一张支票与银行帐号户头上的金额变动必须平衡变动必须平衡 可由一个独立测试帐簿是否平衡的程序来检查可由一个独立测试帐簿是否平衡的程序来检查23 把一个操作分成几个子操作,不同的子操作由不同的用户执行,使得任何一个职员都不具有完成该任务的所有权限,尽量减少出现欺诈和错误的机会。购买订单购买订单记录到货记录到货记录货发票记录货发票付款付款美

8、入境签证24l职责分散的最基本规则是，被允许创建或验证良性事务的人，不能允许他去执行该良性事务。l【至少需要两个人的参与才能进行】【职员不暗中勾结，职责分散有效】【随机选取一组职员来执行一组操作，减少合谋机会】25l良性事务与职责分散是商业数据完整性保护的基本原则l专门机制被商业数据处理计算机系统用来实施良性事务与职责分散规则。l（a）保证数据被良性事务处理l 数据只能由一组指定的程序来操纵l 程序被证明构造正确、能对这些程序的安装能力、修改能力进行控制、保证其合法性l（b）保证职责分散l每一个用户必须仅被允许使用指定的程序组、用户执行程序的权限受控26l商业数据完整性控制与军事中的数据机密性

9、差别：l（a）数据客体不与特定的安全级别相关l 只与一组允许操纵它的程序相联系l（b）用户直接读写数据被禁止l 被授权去执行与某一数据相关的程序l【一个用户即便被授权去写一个数据客体，他也只能通过针对那个数据客体定义的一些事务去做。】27l商业安全策略也是一种强制访问控制l但它与军事安全策略的安全目标、控制机制不相同l商业安全策略强制性体现在：l（a）用户必须通过指定的程序来访问数据l（b）允许操纵某一数据客体的程序列表和允许执行某一程序的用户列表不能被系统的一般用户所更改军事与商业安全相同点：（1）一种机制被计算机系统用来保证系统实施了安全策略中的安全需求（2）系统中的这种机制必须防止窜改和

10、非授权的修改28数据的机密性 数据的完整性 将数据与一个安全级相联系,通 过数据的安全级来控制用户对数据的访问 将数据与一组允许对其进行操 作的程序相联系,通过这组程序来控制用户 对数据的访问 用户对数据的操纵是任意的 用户对数据的操纵是受限的 291.1.非形式化的安全模型非形式化的安全模型 2.2.形式化的安全模型形式化的安全模型 30l安全系统的开发过程安全需求分析制定安全策略建立形式化的安全模型安全性证明安全功能31l简称BLP模型l应用最早也最广泛的一个安全模型lDavid Bell和Leonard La Padulal模型目标：计算机多级操作规则l安全策略：多级安全策略l常把多级安

11、全的概念与BLP相联系l其它模型都尝试用不同的方法来表达多级安全策略32lBLP模型是一个形式化模型l使用数学语言对系统的安全性质进行描述lBLP模型也是一个状态机模型l它反映了多级安全策略的安全特性和状态转换规则lBLP模型定义了l 系统、系统状态、状态间的转换规则l 安全概念、制定了一组安全特性l 对系统状态、状态转换规则进行约束l如果它的初始状态是安全的，经过一系列规则都是保持安全的，那么可以证明该系统是安全的33ABCDEaaaaabbbbb状态机模型例34(一一)模型的基本元素模型的基本元素 S=s1,s2,sn 主体集O=o1,o2,om客体集C=c1,c2,cq密级的集合 c1c

12、2cq K=k1,k2,kr 部门或类别的集合 A=r,w,e,a,c 访问属性集 r:只读只读;w:读写读写;e:执行执行;a:添加添加;c:控制控制RA=g,r,c,d请求元素集 g:get,give;r:release,rescind c:change,create;d:delete D=yes,no,error,?yes请求被执行;no请求被拒绝 error系统出错;?请求出错 35=M1,M2,Mp 访问矩阵集BA=f|f:ABF=Cs Co(Pk)s(Pk)o Cs=f1|f1:S C f1给出每个主体的密级Co=f2|f2:OC f2给出每个客体的密级(Pk)s=f3|f3:S

13、Pk f3给出每个主体的部门集(Pk)o=f4|f4:O Pk f4给出每个客体的部门集 f F f=(f1,f2,f3,f4)12345679108 f：A B(f1(si),f3(si)主体si的安全级(f2(oj),f4(oj)客体oj的安全级36V=P(SOA)F 状态集对vV v=(b,M,f)表示某一状态 b SOA 表示在当前时刻,哪些主体获 得了对哪些客体的权限b=(s1,o1,r),(s1,o2,w),(s2,o2,a).M当前状态访问控制矩阵 f当前时刻所有主体和客体的密级和部门集37l系统在任何一个时刻都处于某一种状态v，即对任何时刻t，必有状态vt与之对应l随着用户对系

14、统的操作，系统的状态不断地发生变化关心的问题l系统在各个时刻的状态，l 与状态相对应的访问集b是否能保证系统的安全性l显然只有每一个时刻状态是安全的，系统才可能安全。lBLP模型对状态的安全性进行了定义38BLP模型的安全特性定义了系统状态的安全性，模型的安全特性定义了系统状态的安全性，体现了体现了BLP模型的安全策略。模型的安全策略。(1)自主安全性自主安全性 状态v=(b,M,f)满足自主安全性iff 对所有的(si,oj,x)b,有xMij 此条性质是说，若(si,oj,x)b，即如果在状态v，主体si获得了对客体oj的x访问权，那么si必定得到了相应的自主授权。39如果存在如果存在(s

15、i,oj,x)b,但主体si并未获得对客体oj的x访问权的授权，则v被认为不符合自主安全性。(2)简单安全性简单安全性 状态v=(b,M,f)满足简单安全性iff对所有的(s,o,x)b,有（i）x=e或x=a或x=c 或(ii)(x=r或x=w)且(f1(s)f2(o),f3(s)f4(o)SOe,c,a S(高)O(低)r w在BLP模型中,w权表示可读、可写，即主体对客体的修改权40(3)*性质性质 状态v=(b,M,f)满足*性质,当且仅当对所有的sS,若o1b(s:w,a),o2b(s:r,w),则f2(o1)f2(o2),f4(o1)f4(o2),其中符号b(s:x1,x2)表示b

16、中主体s对其具有访问特权x1或x2的所有客体的集合。41 o1(高高)O2(低低)rO1(高高)O2(低低)wO1(高高)O2(低低)wrO1O2ww (级别级别)(级别级别)相等相等流向42l例：lb(s1,o1,r),(s2,o2,a),(s1,o2,w),(s2,o2,r),(s1,o3,a)l考虑b(s:x1,x2):b(s1:r,w)b(s1:w,a)b(s3:r,w)lb(s1:r,w)=o1,o2lb(s1:w,a)=o2,o3lb(s3:r,w)=43l*性质 重要安全特性lo1b(s:w,a),意味着s对o1有w权或a权,此时信息经由s流向o1lo2b(s:r,w),意味着s

17、对o1有r权或w权,此时信息可由o2流向sl因此,在访问集b中以s为媒介,信息就有可能由o2流向o1。l所以要求o1的安全级必须支配o2安全级l当s对o1，o2均具有w权时，两次运用该特性，f2(o1)f2(o2),f4(o1)f4(o2)及,f2(o2)f2(o1),f4(o2)f4(o1)，l则要求o1的安全级必须等于o2安全级l显然它放反映了BLP模型中信息只能由低安全级向高安全级流动的安全策略44(四四)请求集请求集 请求集,它的元素是一 个完整的请求,不是请求元素集 其中 S=s1,s2,sn 主体集 RA=g,r,c,d A=r,w,e,a,c F=Cs Co(Pk)s(Pk)o

18、45 是一个五元组,表示 1,2 S+分别是主体1,主体2 RA 表示某一请求元素 o j O表示某一客体 x x X 是访问权限or是空or是主客体的安全级46 P:RVDV 其中 R是请求集(,D是判断集,V是状态集 D=yes,no,error,?V=P(SOA)F 状态集对vV v=(b,M,f)表示某一状态 b SOA 表示在当前时刻,哪些主体获 得了对哪些客体的权限b=(s1,o1,r),(s1,o2,w),(s2,o2,a).M当前状态访问控制矩阵 f当前时刻所有主体和客体的密级和部门集47 P:RVDV对请求(Rk,vn)RV,在函数的作用下 (Rk,v)=(Dm,v*)系统对

19、请求Rk的反应是Dm,状态由v转换成v*48十条规则十条规则:规则规则1规则规则4用于主体请求对某客体的访问权 形式 规则规则5 用于主体释放它对某客体的访问权规则规则6-7 分别用于主体授予和撤消另一主体对 客体的访问权规则规则8 用于改变静止客体的密级和部门集规则规则9-10 分别用于创建和删除一个客体49规则规则1：主体si请求得到对客体oj的r访问权get-read：1(Rk,v)if 1 or g or x r or 2=then 1(Rk,v)=(?,v)if r Mij or(f1(si)f2(o)or f4(oj)f4(o)=then 1(Rk,v)=(yes,v*=(b(si

20、,oj,r),M,f)else 1(Rk,v)=(no,v)end 50l规则1对主体si的请求作了如下检查:(1)主体的请求是否适用于规则1的请求格式;主体请求对某客体的访问权形式 if 1 or g or x r or 2=then 1(Rk,v)=(?,v)51l(2)oj的拥有者或控制者是否授予了si对oj的读访问权l r Mij之检查之检查l(3)si的安全级是否支配的安全级是否支配oj的安全级的安全级l f1(si)f2(o)or f4(oj)f4(o)=NOT f2(oj)f2(o)or f4(oj)f4(o)f2(oj)=f2(o)and f4(oj)f4(o)53 o1(高高

21、)O2(低低)rO1(高高)O2(低低)wO1(高高)O2(低低)wrO1O2ww (级别级别)(级别级别)相等相等流向54l若上述4项检查有一项通不过,则系统拒绝执行si的请求,系统状态保持不变l通过检查,则请求被执行，（si，oj，r）添加到系统的访问集b中，系统状态v转换成 v*=(b(si,oj,r),M,f)l看得出来，检查（看得出来，检查（2）是系统在实施自主访问）是系统在实施自主访问控制，检查（控制，检查（3）（）（4）是系统在实施强制访问）是系统在实施强制访问控制控制l只有检查（只有检查（2）（）（4）通过了，才能保证状态）通过了，才能保证状态转换时，仍然保持其安全性转换时，仍

22、然保持其安全性55规则规则2：主体si请求得到对客体oj的a访问权 get-append：2(Rk,v)if 1 or g or x a or 2=then 2(Rk,v)=(?,v)if a Mij then 2(Rk,v)=(no,v)if U 2=o|o b(si:r,w)and f2(oj)f2(o)or f4(oj)f4(o)=then 2(Rk,v)=(yes,(b (si,oj,a),M,f)else 2(Rk,v)=(no,v)end56l规则2对主体si的请求所作的检查类似规则1l不同的是，当si请求以Append方式访问oj时，无需做简单安全性检查。状态v=(b,M,f)满

23、足简单安全性iff对所有的(s,o,x)b,有 （i）x=e或x=a或x=c或(ii)(x=r或x=w)且(f1(s)f2(o),f3(s)f4(o)57规则规则3：主体si请求得到对客体oj的e访问权get-execute：3(Rk,v)if 1 or g or x e or 2=then 3(Rk,v)=(?,v)if e Mij then 3(Rk,v)=(no,v)else 3(Rk,v)=(yes,(b (si,oj,e),M,f)end58l规则3对si的请求只作类似与规则1中的(1)(2)两项检查l(1)主体请求对某客体的访问权形式 ijl(2)oj的拥有者或控制者是否授予了si

24、对oj的读访问权l r Mij之检查之检查i对请求对j的执行权时l不需作简单安全性和*性质的安全检查59规则规则4：主体si请求得到对客体oj的w访问权get-write：4(Rk,v)if 1 or g or x w or 2=then 4(Rk,v)=(?,v)if w Mij or f1(si)f2(oj)or f3(si)f4(oj)then 4(Rk,v)=(no,v)if U4=o|ob(si:r)and f2(oj)f2(o)or f4(oj)f4(o)o|ob(si:w)and f2(oj)f2(o)or f4(oj)f4(o)=then 4(Rk,v)=(yes,v*）=（y

25、es，(b(si,oj,w),M,f)else 4(Rk,v)=(no,v)end60l规则4的安全性检查类似于规则1l(1)请求对某客体的访问权形式 ijl(2)oj的拥有者或控制者是否授予了si对oj的读访问权l r Mij之检查之检查l(3)si的安全级是否支配的安全级是否支配oj的安全级的安全级l f1(si)f2(o)or f4(oj)f4(o)=6162l规则4的性质检查较为复杂：U4=o|ob(si:r)and f2(oj)f2(o)or f4(oj)f4(o)o|ob(si:w)and f2(oj)f2(o)or f4(oj)f4(o)=63规则规则5：主体si请求释放对客体o

26、j的r或w或e 或a访问权release-read/write/append/execute：5(Rk,v)if 1 or r or(x r,w,a and e)or (2=)then 5(Rk,v)=(?,v)else 5(Rk,v)=(yes,v*）=（yes，(b-(si,oj,x),M,f)end64l规则5用于主体si请求释放对客体oj的访问权，包括r、w、e和a等权 因为访问权的释放不会对系统造成安全威胁，所以不需要作安全性检查，并可将四种情形Rk=(,r,si,oj,r)或(,r,si,oj,w)或(,r,si,oj,a)或(,r,si,oj,e)，用同一条规则来处理65规则规则

27、6：主体s请求授予主体si对客体oj的r或 w或e或a访问权请求的五元组Rk=(s,g,si,oj,r)或(s,g,si,oj,w)或(s,g,si,oj,a)或(s,g,si,oj,e)，系统的当前状态v=(b,M,f)give-read/write/append/execute：6(Rk,v)if (1 s S)or(g)or(x r,w,a and e)or (2=)then 6(Rk,v)=(?,v)if x Mj or c Mj Mj=x,c,then 6(Rk,v)=(no,v)else 6(Rk,v)=(yes,(b,M xij,f)end 66l规则6中lM xij表示将x加入

28、到访问矩阵M的第i行第j列元素Mij中去。即用集合Mij x替换M中Mijl由于s的请求只涉及自主访问控制中的授权，因此规则6除了作请求是否适用于规则6的检查外，仅作自主安全性有关的检查。即s自身必须同时具有对客体oj的x权和控制 c权，方能对si进行相应的授权l67l规则6授权成功后，并不意味着si已获得对oj的x 访问权l之后si请求对oj的x 访问时，系统还要对其进行简单安全性和*性质的检查68规则规则7：主体s请求撤销主体si对客体oj的r或 w或e或a访问权rescind-read/write/append/execute：7(Rk,v)if(1 s S)or(r)or(x r,w,

29、a and e)or (2=)then 7(Rk,v)=(?,v)if x Mj or c Mj then 7(Rk,v)=(no,v)else 7(Rk,v)=(yes,(b-(si,oj,x),M xij,f)end 69l系统执行规则7时，不仅从访问矩阵M的i行j列的元素Mij中将x删除掉，而且访问集b中也必须删去三元组(si,oj,x)，这意味着主体si将丧失对oj的x访问权 70改变静止客体的安全级 Rk=（,c,oj,f*)change-f：8(Rk,v)if (1 )or(c)or(2 )or x F then 8(Rk,v)=(?,v)if f1*f1 or f3*f3 or

30、f2*(oj)f2(oj)or f4*(oj)f4(oj)for some j A(m)注：注：A(m)表示活动客体的下标集表示活动客体的下标集A(m)j|1=j=m且存在且存在i,使使Mij then 8(Rk,v)=(no,v)else 8(Rk,v)=(yes,(b,M,f*)end71if f1*f1 or f3*f3 or f2*(oj)f2(oj)or f4*(oj)f4(oj)for some j A(m)A(m)j|1=j=m且存在且存在i,使使Mij 注意：NOT（f1*f1 or f3*f3 or f2*(oj)f2(oj)or f4*(oj)f4(oj)）=（f1*=f1

31、 and f3*=f3）AND f2*(oj)=f2(oj)and f4*(oj)=f4(oj)72 A(m)j|1=j=m且存在且存在i,使使Mij M32=r,w,am1m2f1f2s1r,wra,es2rr,w,as3m1m2f1f2s1r,wra,es2rr,w,as3r,w,a73 A(m)j|1=j=m且存在且存在i,使使Mij A(4)1，4|存在存在1、3,使使M11 M34 o1o2o3o4s1r,ws2rs3r,w,a74l所谓静止客体是指被删除了的客体，该客体名可以被系统中的主体重新使用l例如某存储器段或某个文件名。当该客体被重新使用来存放数据时，客体的安全级不能被定义为

32、创建这一客体的主体的安全级。显然主体可以创建客体，但该客体的安全级必须由系统来定义，因此规则8中没有主体 75lA(m)是活动客体的下标集，即A(m)=j|1jm 且存在i，使Mij非空l规则8的安全性要求是，新定义的安全级f*=(f1*,f2*,f3*,f4*)，不能改变系统中主体的安全级，也不能改变活动客体的安全级，只能改变静止客体的安全级，在这种情形下，新状态v*用f*代替原状态v中的f 76规则规则9：主体si请求创建客体oj Rk=(,c,si,oj,e)或Rk=(,c,si,oj,)create-object：9(Rk,v)if 1 or c or 2=or(x e and)the

33、n 9(Rk,v)=(?,v)if jA(m)then 9(Rk,v)=(no,v)if x=then 9(Rk,v)=(yes,(b,Mr,w,a,cij,f)else 9(Rk,v)=(yes,(b,Mr,w,a,c,eij,f)end77l规则9要求主体si所创建的客体不能是活动着的客体l当客体创建成功后，系统便将对oj的所有访问权赋予si，需要区分的是，当oj不是可执行程序时，e权不赋予si78规则规则10：主体si请求删除客体oj Rk=(,d,si,oj,)delete-object：10(Rk,v)if 1 or d or 2=or x then 10(Rk,v)=(?,v)if

34、 c Mij then 10(Rk,v)=(no,v)else 10(Rk,v)=(yes,(b,M r,w,a,c,eij,1in,f)end79lsi必须对oj具有控制权才能删除oj（在这里，拥有权和控制权是一致的）loj被删除后，oj成为静止客体。此时，访问矩阵的第j列，即oj所对应的列中各元素必须全部清空，不包含任何权限 80l规则规则1：主体si请求得到对客体oj的r访问权l规则规则2：主体si请求得到对客体oj的a访问权l规则规则3：主体si请求得到对客体oj的e访问权l规则规则4：主体si请求得到对客体oj的w访问权l规则规则5：主体si请求释放对客体oj的r或w或e l 或a访

35、问权81l规则规则6：主体s请求授予主体si对客体oj的r或l w或e或a访问权l规则规则7：主体s请求撤销主体si对客体oj的r或l w或e或a访问权改变静止客体的安全级 Rk=（,c,oj,f*)l规则规则9：主体s请求创建客体ojl Rk=(,c,si,oj,e)或Rk=(,c,si,oj,)l规则规则10：主体s请求删除客体ojl Rk=(,d,si,oj,)82 =(Rk,Dm,v*,v)|Rk R,Dm D,v*,v V R是请求集,D是判定集,V是状态集即即:任意一个请求,任意一个结果（判断）和任意两个状态都可组成一个上述的有序四元组,这些有序四元组便构成集合RDVV 83提示提

36、示:RVDV 其中 R是请求集,D是判断集,V是状态集 对请求(Rk,vn)RV,在函数的作用下 (Rk,v)=(Dm,v*)系统对请求Rk的反应是Dm,状态由v转换成v*D=yes,no,error,?yes请求被执行;no请求被拒绝 error系统出错;?请求出错84V=P(SOA)F 状态集对vV v=(b,M,f)表示某一状态 b SOA 表示在当前时刻,哪些主体获 得了对哪些客体的权限b=(s1,o1,r),(s1,o2,w),(s2,o2,a).M当前状态访问控制矩阵 f当前时刻所有主体和客体的密级和部门集852.设=1 1,2 2,s s 是一组规则的集合,定义 关系(四元组的集

37、合)W()RDVV(R(Rk k,?,v,v),?,v,v)W()W()iffiff 对每个i,1is,i i(R Rk k,v)=(?,v),v)=(?,v)(R(Rk k,error,v,v),error,v,v)W()W()iffiff 存在i1,i2,1i1i2s,使得对任意的v*,v*V有 i i1 1(R Rk k,v),v)(?,v(?,v*)且 i i2 2(R Rk k,v),v)(?,v(?,v*)(R(Rk k,D,Dm m,v,v*,v),v)W(),DW(),Dm m?,D?,Dm m error,error,iffiff 存在唯一的i,使得对某个v*和任意的v*V,

38、i i(R Rk k,v),v)(?,v(?,v*)86(R(Rk k,error,v,v),error,v,v)解释解释设=1 1,2 2,s s 是一组规则的集合error系统出错系统出错,亦即对请求亦即对请求Rk，存在有多条规则适合它存在有多条规则适合它则可设存在则可设存在i1和和i2，1=i1i2s，v v1 1*和和v v2 2*，i1i1(R Rk k,v)=(D,v)=(Dm m,v,v1 1*)i2i2(R Rk k,v)=(D,v)=(Dm m,v,v2 2*)上面可写法：对任意v v*和和v v*,i1i1(R Rk k,v),v)(?,v(?,v*)且且 i2i2(R R

39、k k,v),v)(?,v(?,v*)此即 存在i1,i2,1i1 o2 o3 o4，主体S的安全级同o1 低低时刻时刻t2释放对释放对o2的的访问权访问权o3高高低低o4时刻时刻t3S已含有o2和o3的信息此时S可将o2的信息传送到o3(无记忆)96l在BLP模型中，通过比较主体安全级和客体安全级来确定主体是否对客体具有访问权限。安全检查执行向上写向下读的策略，即主体只能写安全级高(包括相等)的数据，只能读安全级低(包括相等)的数据l在实际系统设计过程中，发现传统的BLP模型过于严格和简单，不能满足实际应用的需求，需要进行以下改进：97l(1)按照BLP模型“向上写”的规则，任何主体都可以写

40、最高安全级的数据，没有限制主体的最高写安全级，从而降低了高安全级数据的完整性。必须限制低安全级主体向高安全级别数据写的能力l(2)某些高安全级别的主体不应该总是有能力看到所有低安全级别的数据，必须将主体的读能力限定在一个范围内，而不是允许读所有低安全级别的客体l(3)有些低安全级别的数据允许低安全级别主体读，但不意味着允许低级别的主体改写，只有规定的安全级别范围内的主体才能改写98l(4)对于安全级高的主体而言，不仅要写安全级高的数据，也会有写安全级低的数据的合理需求。静态的主体安全级别限制了主体的这种合理请求，影响了系统的可用性。必须允许主体可以根据数据的情况，在不违反BLP安全公理的条件下

41、，动态调节自己的安全级l(5)按照BLP模型，对于某一安全范畴之内的客体，同一安全范畴之内的主体必然至少可以有读写权限中的一种，实践中有时候需要有能力屏蔽主体对特定敏感区域内数据的任何操作99 可以设计一个增强的多级安全模型，对主体的敏感标记进行扩充，将主体读写敏感度标记分离。读写敏感标记都是由最低安全级和最高安全级组成的区间组成，从而可将主体的读写权限分别限制在一个区间之内，即限制主体的最低写安全级、最低读安全级、最高读安全级和最高写安全级 采用读写分离的区间权限，可以提供丰富的安全管理方案，提高数据完整性和系统的可用性，使系统的安全控制更加灵活方便。要不破坏安全性质，必须将区间敏感度标记与

42、动态调整策略相结合，即主体当前敏感标记必须根据客体敏感标记和主体访问权限的历史过程进行动态调整100l调整说明l读了一个级别的客体后，调整环境限制参数防止信息泄漏，以后就不能写比该客体的安全级别更低级别的客体l写了一个级别的客体后，调整环境限制参数防止信息泄漏，以后就不能读比该客体的安全级别更高级别的客体l读写了一个级别的客体，调整环境限制参数防止信息泄漏，以后就不能读比这个客体的安全级别更高级别的客体，不能写比这个客体的安全级别更低级别的客体101l缺点l增加了强制存取控制的复杂性l优点l增加了应用中的灵活性，使得多级安全策略更具有实用性1021、安全信息流的格模型、安全信息流的格模型197

43、6年年 D.Deming 与与BLP模型一致模型一致系统中任意操作序列的执行所产生的系统中任意操作序列的执行所产生的信息流动，只能沿着格结构所定义信息流动，只能沿着格结构所定义的流关系的方向进行流动。的流关系的方向进行流动。eabdcfgh31265101530dacb103 交和并：交和并：在格 L；中，由于每一对元素 l 1，l 2 L 都存在唯一的上、下确界，因此可以把 l 1 l 2 和 l 1 l 2 看作是 集合 L 上的二元运算，也把 和 分 别称为“交交”和“并并”界：界：如果一个格存在有最小元素和最大元素，则称它们为该格的界界 格格：设 L；是一个偏序集，若 L 中 每一对元

44、素都存在下确界和上确界，则称 L；是格格。格格：是一个代数系统，和是 L 上的两个二元运算，如果这两个运算满足交换率、结合律和吸收律，则称 是一个格格 104吸收律 P(PQ)=P(P1)(PQ)=PP(1Q)=P1=P同理P(PQ)=P105例 1：证明偏序集 2U；是一个格。证：对于全集 U 的幂集 2U 的任意两个元素 S1，S2 U 而对于任意 S 2U，若有 S1 S 且 S2 S，必有 S1S2 S S1S2 是 S1 和 S2 的上确界 即，2U 的任意元素对 S1，S2 都有最小上界 同理可得，2U 的任意元素对 S1，S2 都有最大下界 S1S2 2U；是一个格注：2U；是一

45、个典型的格，其中集合的交与并同格的 交与并是完全统一的必有 S1 S1S2 ，S2 S1S2 S1S2 是 S1 和 S2 的上界106例 2：正整数集 N 上的整除关系是一个偏序关系。N 上任意两个元素 n1，n2 的最小公倍数是 n1，n2 的上确界 N 上任意两个元素 n1，n2 的最大公约数是 n1，n2 的下确界 N；是一个格1072、无干扰模型、无干扰模型1982年年 Goguen与与Meseguer 设有使用某一命令集的一组用户和另设有使用某一命令集的一组用户和另一组户，如果第一组用户使用这些一组户，如果第一组用户使用这些命令所得到的结果，对于第二组用命令所得到的结果，对于第二组

46、用户能访问的数据没有影响，则称第户能访问的数据没有影响，则称第一组用户没有干扰第二组用户。一组用户没有干扰第二组用户。108一组二组3、Biba模型1977年 Biba.K.J.它是数据完整性保护模型109Biba模型Biba,1977在研究BLP模型的特性时发现，BLP模型只解决了信息的保密问题，其在完整性定义存在方面有一定缺陷Biba模型模仿BLP模型的信息保密性级别，定义了信息完整性级别，在信息流向的定义方面不允许从级别低的进程到级别高的进程，也就是说用户只能向比自己安全级别低的客体写入信息，从而防止非法用户创建安全级别高的客体信息，避免越权、篡改等行为的产生Biba模型可同时针对有层次

47、的安全级别和无层次的安全种类110Biba模型的两个主要特征（1）禁止向上回滚，这样使得完整性级别高的文件是一定由完整性高的进程所产生的，从而保证了完整性级别高的文件不会被完整性低的文件或完整性低的进程中的信息所覆盖（2）Biba模型没有下读111Biba模型用偏序关系可以表示为：（1）r，当且仅当SC(s)SC(o)，允许读操作（2）w，当且仅当SC(s)SC(o)，允许写操作。Biba模型是和BLP模型相对立的模型，Biba模型重视信息完整性问题，但在一定程度上却忽视了保密性1124、Clark-Wilson模型1987年 Clark和Wilson它是基于良性事务和职责分散两个基本概念提出

48、的保护数据完整性的模型,用来实现商业安全策略113信息的完整性在商业应用中则有重要意义适用于商业计算机安全的形式化模型与BLP模型在方法上有很大的不同114Clark-Wilson模型采用了两个基本的方法,以保证信息的安全 合式交易(well-formed transition)责任分离(segregation of duties)合式交易的目的是不让一个用户随意地修改数据,犹如手工记帐系统,要完成一个帐目记录的修改,必须在支出与转入两个项目上都有变化，这种交易才是“合式”的，而当帐目无法平衡时，就有错误发生。合式交易是Clark-Wilson模型中保证应用完整性的一个机制115Clark-W

49、ilson模型中控制差错的第二个机制就是责任分离此机制的目的是保证数据对象与它所代表的现实世界对象的对应，而计算机本身并不能直接保证这种外部的一致性最基本的责任分离规则就是不允许任何创造或检查某一个合式交易的人再来执行它。那么,在一次合式交易中，至少要有两个人参与，才能改变数据116在上述的两种基本机制中，数据完整性Clark-Wilson模型有两类规则:强迫性规则确认规则强迫性规则是与应用无关的安全功能，而确认性规则是与具体应用相关的安全功能117在在介绍这两种规则之前,先引入一些术语有约束数据项(CDI)它们是系统完整性模型要应用到的数据项，即可信数据无约束数据项(UDI)与CDI相反，U

50、DI是不可信数据，模型的完整性过程不保护UDI事务过程(TP)也称为转换过程，它们的作用是把UDI从一种合法状态转换到另一种合法状态完整性验证过程(IVP)这是一个保证所有系统中的CDI都服从完整性规定的过程，Clark-Wilson模型把它用在与审计相关的过程中118Clark-Wilson模型的规则强迫性规则E1:用户只能间接通过操作TP才能操作可信数据(CDI)E2:用户只有被明确地授权，才能执行操作E3:用户的确认必须通过验证E4:只有安全官员才能改变授权119确认性规则C1:可信数据必须经过与真实世界一致性表达的检验C2:程序以合式交易的形式执行操作C3:系统必须支持责任分离C4:由