安全策略与安全模型课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《安全策略与安全模型课件.ppt》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全策略 安全 模型 课件
- 资源描述:
-
1、1 1.2.3.4.设是A上的关系,a A 均aa-设是A上的关系,a,b A若ab,则ab与ba不能同时出现 -设是A上的关系,a,b,c A若ab,bc则一定有ac -2偏序关系偏序关系:集合 A 上的关系,如果它是自反、反对称且 可传递的,则称为 A 上的一个偏序关系偏序关系。“偏序关系”也叫做“偏序偏序”,用“”符号表示。可比可比:设是集合 A 上的偏序,对于 a、bA,若有 a b 或 b a,则称 a 和 b 是可比的可比的,否则称 a 和 b 是不可比的不可比的3全序全序:一个集合 A 上的任意两个元素之间都满足偏序关系,则称该偏序为 A 上的一个全序全序 良序良序:一个集合 A
2、 上的偏序,若对于 A 的每一个非空子集 S A,在 S 中存在一个元素 as(称为 S 的最小元素),使得对于 所有的 s S,有as s,则称它为 A上的一个良序良序4 若和是两个偏序集,在笛卡尔积AB上定义关系,对任意(a1,b1),(a2,b2)AB 当且仅当 a11a2,b12b2时,有(a1,b1)(a2,b2)可以证明:也是一个偏序集 5因为、为偏序关系,所以a1 A 有a 11 a1,b1 B 有b 11 b1所以(a1,b1)(a1,b1)自反由(a1,b1)(a2,b2)(a2,b2)(a1,b1),可得a11a2,a21a1 可得 a1a2;同理有b1b2,此即(a2,b
3、2)=(a1,b1)反对称又由(a1,b1)(a2,b2)(a2,b2)(a3,b3),此即 a11a2,a21a3 可得 a11a3 同理:b12b2,b22b3 可得 b12b3 最后有(a1,b1)(a3,b3)传递性 6 亦即(i)(a,b)AB,均有(a,b)(a,b)(ii)(a1,b1),(a2,b2),AB,若(a1,b1)(a2,b2),则(a1,b1)(a2,b2)与(a2,b2)(a1,b1)不能同时出现(iii)(a1,b1),(a2,b2),(a3,b3)AB,若(a1,b1)(a2,b2),(a2,b2)(a3,b3)则一定有(a1,b1)(a3,b3)设是A上的关
4、系,a A 均aa -设是A上的关系,a,b A若ab,则ab与ba不能同时出现 -设是A上的关系,a,b,c A若ab,bc则一定有ac -9 eg:密级分为4个级别:一般秘密机密绝密 (UC S TS)令A=U,C,S,TS,则是A上的全序,构成偏序集偏序集10111213l主体、客体安全级定义以后,就可以通过比较主客体安全级,来决定主体对客体的访问以及什么样的访问。14定义 A=U,C,S,TS在A AA 且 H (a1,H1),(a2,H2)AP ,当且仅当 a a,H (a,H)(a,H)是 APAP 构成一个偏序集。15若和是两个偏序集,在笛卡尔积AB上定义关系,对任意(a1,b1
5、),(a2,b2)AB 当且仅当 a11a2,b12b2时,有(a1,b1)(a2,b2)可以证明:也是一个偏序集。是 APAP 构成一个偏序集。16l在A=U,C,S,TS上定义,由于 UC S TS,所以l在l再在Al AA 且 H l(a,H),(a,H)AP ,当且仅当l a a,H (a,H)(a,H)l根据上述命题,AP 构成一个偏序集。1718l在一偏序集中,l l1,12L,若l112,则称12 支配l1。:主体 的安全级支配客体客体的安全级支配主体体u与客体的安全级相互不可支配。19 一个主体仅能读安全级比自已安全级低或相等的客体 一个主体仅能写安全级比自己高或相等的客体“”
6、(a1,H1)(a2,H2)当且仅当a1 a2,H1 H2 u u对对OO1 1可读可读,对对OO2 2可写可写,对对OO3 3既不可读也不可写既不可读也不可写 20”安全策略执行的结果是信息只能由低安全级的客体流向高安全级的客体,高安全级的客体的信息不允许流向低安全级的客体。l若要使一个主体既能读访问客体,又能写访问这个客体,两者的安全级必须相同。21保护信息的机密性)l军事系统l政府及企业的办公自动化系统l具有层次结构的组织机构222商业安全策略商业安全策略 用户对数据的操纵不能任意进行,而应该按照可保证数据完整性的受控方式进行,即数据应该用规定的程序,按照定义好的约束进行处理。保存记录保
7、存记录(包括修改数据之前修改数据之后的记录包括修改数据之前修改数据之后的记录),事后被审计事后被审计 双入口规则:数据修改部分之间保持平衡双入口规则:数据修改部分之间保持平衡 内部数据的一致性内部数据的一致性 特别地,签发一张支票与银行帐号户头上的金额特别地,签发一张支票与银行帐号户头上的金额变动必须平衡变动必须平衡 可由一个独立测试帐簿是否平衡的程序来检查可由一个独立测试帐簿是否平衡的程序来检查23 把一个操作分成几个子操作,不同的子操作由不同的用户执行,使得任何一个职员都不具有完成该任务的所有权限,尽量减少出现欺诈和错误的机会。购买订单购买订单记录到货记录到货记录货发票记录货发票付款付款美
8、入境签证24l职责分散的最基本规则是,被允许创建或验证良性事务的人,不能允许他去执行该良性事务。l【至少需要两个人的参与才能进行】【职员不暗中勾结,职责分散有效】【随机选取一组职员来执行一组操作,减少合谋机会】25l良性事务与职责分散是商业数据完整性保护的基本原则l专门机制被商业数据处理计算机系统用来实施良性事务与职责分散规则。l(a)保证数据被良性事务处理l 数据只能由一组指定的程序来操纵l 程序被证明构造正确、能对这些程序的安装能力、修改能力进行控制、保证其合法性l(b)保证职责分散l每一个用户必须仅被允许使用指定的程序组、用户执行程序的权限受控26l商业数据完整性控制与军事中的数据机密性
9、差别:l(a)数据客体不与特定的安全级别相关l 只与一组允许操纵它的程序相联系l(b)用户直接读写数据被禁止l 被授权去执行与某一数据相关的程序l【一个用户即便被授权去写一个数据客体,他也只能通过针对那个数据客体定义的一些事务去做。】27l商业安全策略也是一种强制访问控制l但它与军事安全策略的安全目标、控制机制不相同l商业安全策略强制性体现在:l(a)用户必须通过指定的程序来访问数据l(b)允许操纵某一数据客体的程序列表和允许执行某一程序的用户列表不能被系统的一般用户所更改军事与商业安全相同点:(1)一种机制被计算机系统用来保证系统实施了安全策略中的安全需求(2)系统中的这种机制必须防止窜改和
10、非授权的修改28数据的机密性 数据的完整性 将数据与一个安全级相联系,通 过数据的安全级来控制用户对数据的访问 将数据与一组允许对其进行操 作的程序相联系,通过这组程序来控制用户 对数据的访问 用户对数据的操纵是任意的 用户对数据的操纵是受限的 291.1.非形式化的安全模型非形式化的安全模型 2.2.形式化的安全模型形式化的安全模型 30l安全系统的开发过程安全需求分析制定安全策略建立形式化的安全模型安全性证明安全功能31l简称BLP模型l应用最早也最广泛的一个安全模型lDavid Bell和Leonard La Padulal模型目标:计算机多级操作规则l安全策略:多级安全策略l常把多级安
11、全的概念与BLP相联系l其它模型都尝试用不同的方法来表达多级安全策略32lBLP模型是一个形式化模型l使用数学语言对系统的安全性质进行描述lBLP模型也是一个状态机模型l它反映了多级安全策略的安全特性和状态转换规则lBLP模型定义了l 系统、系统状态、状态间的转换规则l 安全概念、制定了一组安全特性l 对系统状态、状态转换规则进行约束l如果它的初始状态是安全的,经过一系列规则都是保持安全的,那么可以证明该系统是安全的33ABCDEaaaaabbbbb状态机模型例34(一一)模型的基本元素模型的基本元素 S=s1,s2,sn 主体集O=o1,o2,om客体集C=c1,c2,cq密级的集合 c1c
12、2cq K=k1,k2,kr 部门或类别的集合 A=r,w,e,a,c 访问属性集 r:只读只读;w:读写读写;e:执行执行;a:添加添加;c:控制控制RA=g,r,c,d请求元素集 g:get,give;r:release,rescind c:change,create;d:delete D=yes,no,error,?yes请求被执行;no请求被拒绝 error系统出错;?请求出错 35=M1,M2,Mp 访问矩阵集BA=f|f:ABF=Cs Co(Pk)s(Pk)o Cs=f1|f1:S C f1给出每个主体的密级Co=f2|f2:OC f2给出每个客体的密级(Pk)s=f3|f3:S
13、Pk f3给出每个主体的部门集(Pk)o=f4|f4:O Pk f4给出每个客体的部门集 f F f=(f1,f2,f3,f4)12345679108 f:A B(f1(si),f3(si)主体si的安全级(f2(oj),f4(oj)客体oj的安全级36V=P(SOA)F 状态集对vV v=(b,M,f)表示某一状态 b SOA 表示在当前时刻,哪些主体获 得了对哪些客体的权限b=(s1,o1,r),(s1,o2,w),(s2,o2,a).M当前状态访问控制矩阵 f当前时刻所有主体和客体的密级和部门集37l系统在任何一个时刻都处于某一种状态v,即对任何时刻t,必有状态vt与之对应l随着用户对系
14、统的操作,系统的状态不断地发生变化关心的问题l系统在各个时刻的状态,l 与状态相对应的访问集b是否能保证系统的安全性l显然只有每一个时刻状态是安全的,系统才可能安全。lBLP模型对状态的安全性进行了定义38BLP模型的安全特性定义了系统状态的安全性,模型的安全特性定义了系统状态的安全性,体现了体现了BLP模型的安全策略。模型的安全策略。(1)自主安全性自主安全性 状态v=(b,M,f)满足自主安全性iff 对所有的(si,oj,x)b,有xMij 此条性质是说,若(si,oj,x)b,即如果在状态v,主体si获得了对客体oj的x访问权,那么si必定得到了相应的自主授权。39如果存在如果存在(s
15、i,oj,x)b,但主体si并未获得对客体oj的x访问权的授权,则v被认为不符合自主安全性。(2)简单安全性简单安全性 状态v=(b,M,f)满足简单安全性iff对所有的(s,o,x)b,有(i)x=e或x=a或x=c 或(ii)(x=r或x=w)且(f1(s)f2(o),f3(s)f4(o)SOe,c,a S(高)O(低)r w在BLP模型中,w权表示可读、可写,即主体对客体的修改权40(3)*性质性质 状态v=(b,M,f)满足*性质,当且仅当对所有的sS,若o1b(s:w,a),o2b(s:r,w),则f2(o1)f2(o2),f4(o1)f4(o2),其中符号b(s:x1,x2)表示b
16、中主体s对其具有访问特权x1或x2的所有客体的集合。41 o1(高高)O2(低低)rO1(高高)O2(低低)wO1(高高)O2(低低)wrO1O2ww (级别级别)(级别级别)相等相等流向42l例:lb(s1,o1,r),(s2,o2,a),(s1,o2,w),(s2,o2,r),(s1,o3,a)l考虑b(s:x1,x2):b(s1:r,w)b(s1:w,a)b(s3:r,w)lb(s1:r,w)=o1,o2lb(s1:w,a)=o2,o3lb(s3:r,w)=43l*性质 重要安全特性lo1b(s:w,a),意味着s对o1有w权或a权,此时信息经由s流向o1lo2b(s:r,w),意味着s
17、对o1有r权或w权,此时信息可由o2流向sl因此,在访问集b中以s为媒介,信息就有可能由o2流向o1。l所以要求o1的安全级必须支配o2安全级l当s对o1,o2均具有w权时,两次运用该特性,f2(o1)f2(o2),f4(o1)f4(o2)及,f2(o2)f2(o1),f4(o2)f4(o1),l则要求o1的安全级必须等于o2安全级l显然它放反映了BLP模型中信息只能由低安全级向高安全级流动的安全策略44(四四)请求集请求集 请求集,它的元素是一 个完整的请求,不是请求元素集 其中 S=s1,s2,sn 主体集 RA=g,r,c,d A=r,w,e,a,c F=Cs Co(Pk)s(Pk)o
18、45 是一个五元组,表示 1,2 S+分别是主体1,主体2 RA 表示某一请求元素 o j O表示某一客体 x x X 是访问权限or是空or是主客体的安全级46 P:RVDV 其中 R是请求集(,D是判断集,V是状态集 D=yes,no,error,?V=P(SOA)F 状态集对vV v=(b,M,f)表示某一状态 b SOA 表示在当前时刻,哪些主体获 得了对哪些客体的权限b=(s1,o1,r),(s1,o2,w),(s2,o2,a).M当前状态访问控制矩阵 f当前时刻所有主体和客体的密级和部门集47 P:RVDV对请求(Rk,vn)RV,在函数的作用下 (Rk,v)=(Dm,v*)系统对
19、请求Rk的反应是Dm,状态由v转换成v*48十条规则十条规则:规则规则1规则规则4用于主体请求对某客体的访问权 形式 规则规则5 用于主体释放它对某客体的访问权规则规则6-7 分别用于主体授予和撤消另一主体对 客体的访问权规则规则8 用于改变静止客体的密级和部门集规则规则9-10 分别用于创建和删除一个客体49规则规则1:主体si请求得到对客体oj的r访问权get-read:1(Rk,v)if 1 or g or x r or 2=then 1(Rk,v)=(?,v)if r Mij or(f1(si)f2(o)or f4(oj)f4(o)=then 1(Rk,v)=(yes,v*=(b(si
20、,oj,r),M,f)else 1(Rk,v)=(no,v)end 50l规则1对主体si的请求作了如下检查:(1)主体的请求是否适用于规则1的请求格式;主体请求对某客体的访问权形式 if 1 or g or x r or 2=then 1(Rk,v)=(?,v)51l(2)oj的拥有者或控制者是否授予了si对oj的读访问权l r Mij之检查之检查l(3)si的安全级是否支配的安全级是否支配oj的安全级的安全级l f1(si)f2(o)or f4(oj)f4(o)=NOT f2(oj)f2(o)or f4(oj)f4(o)f2(oj)=f2(o)and f4(oj)f4(o)53 o1(高高
21、)O2(低低)rO1(高高)O2(低低)wO1(高高)O2(低低)wrO1O2ww (级别级别)(级别级别)相等相等流向54l若上述4项检查有一项通不过,则系统拒绝执行si的请求,系统状态保持不变l通过检查,则请求被执行,(si,oj,r)添加到系统的访问集b中,系统状态v转换成 v*=(b(si,oj,r),M,f)l看得出来,检查(看得出来,检查(2)是系统在实施自主访问)是系统在实施自主访问控制,检查(控制,检查(3)()(4)是系统在实施强制访问)是系统在实施强制访问控制控制l只有检查(只有检查(2)()(4)通过了,才能保证状态)通过了,才能保证状态转换时,仍然保持其安全性转换时,仍
22、然保持其安全性55规则规则2:主体si请求得到对客体oj的a访问权 get-append:2(Rk,v)if 1 or g or x a or 2=then 2(Rk,v)=(?,v)if a Mij then 2(Rk,v)=(no,v)if U 2=o|o b(si:r,w)and f2(oj)f2(o)or f4(oj)f4(o)=then 2(Rk,v)=(yes,(b (si,oj,a),M,f)else 2(Rk,v)=(no,v)end56l规则2对主体si的请求所作的检查类似规则1l不同的是,当si请求以Append方式访问oj时,无需做简单安全性检查。状态v=(b,M,f)满
23、足简单安全性iff对所有的(s,o,x)b,有 (i)x=e或x=a或x=c或(ii)(x=r或x=w)且(f1(s)f2(o),f3(s)f4(o)57规则规则3:主体si请求得到对客体oj的e访问权get-execute:3(Rk,v)if 1 or g or x e or 2=then 3(Rk,v)=(?,v)if e Mij then 3(Rk,v)=(no,v)else 3(Rk,v)=(yes,(b (si,oj,e),M,f)end58l规则3对si的请求只作类似与规则1中的(1)(2)两项检查l(1)主体请求对某客体的访问权形式 ijl(2)oj的拥有者或控制者是否授予了si
24、对oj的读访问权l r Mij之检查之检查i对请求对j的执行权时l不需作简单安全性和*性质的安全检查59规则规则4:主体si请求得到对客体oj的w访问权get-write:4(Rk,v)if 1 or g or x w or 2=then 4(Rk,v)=(?,v)if w Mij or f1(si)f2(oj)or f3(si)f4(oj)then 4(Rk,v)=(no,v)if U4=o|ob(si:r)and f2(oj)f2(o)or f4(oj)f4(o)o|ob(si:w)and f2(oj)f2(o)or f4(oj)f4(o)=then 4(Rk,v)=(yes,v*)=(y
25、es,(b(si,oj,w),M,f)else 4(Rk,v)=(no,v)end60l规则4的安全性检查类似于规则1l(1)请求对某客体的访问权形式 ijl(2)oj的拥有者或控制者是否授予了si对oj的读访问权l r Mij之检查之检查l(3)si的安全级是否支配的安全级是否支配oj的安全级的安全级l f1(si)f2(o)or f4(oj)f4(o)=6162l规则4的性质检查较为复杂:U4=o|ob(si:r)and f2(oj)f2(o)or f4(oj)f4(o)o|ob(si:w)and f2(oj)f2(o)or f4(oj)f4(o)=63规则规则5:主体si请求释放对客体o
展开阅读全文