《信息安全模型讲义(powerpoint 54页)》由会员分享,可在线阅读,更多相关《信息安全模型讲义(powerpoint 54页)(56页珍藏版)》请在金锄头文库上搜索。
1、信息安全模型信息安全模型n n1 安全模型概念n n2 访问控制模型n n3 信息流模型n n4 完整性模型n n5 信息安全模型1 安全模型概念安全模型概念n n安全模型用于安全模型用于精确地和形式地描述精确地和形式地描述信息系统的安信息系统的安全特征,以及用于全特征,以及用于解释解释系统安全相关行为的理由。系统安全相关行为的理由。n n分类分类1 1:访问控制模型,信息流模型。:访问控制模型,信息流模型。n n分类分类2 2:机密性要求,完整性,可用性:机密性要求,完整性,可用性 DoSDoS,等,等n n现有的现有的“安全模型安全模型”本质上不是完整的本质上不是完整的“模型模型”:仅描述
2、了安全要求:仅描述了安全要求( (如:机密性如:机密性) ),未给出实现,未给出实现要求的任何相关要求的任何相关机制机制和方法。和方法。 1.1 安全模型安全模型n n安全目标:机密性,完整性,安全目标:机密性,完整性,DoSDoS,n n控制目标:保障(控制目标:保障(TCB Trust Compute Base, TCB Trust Compute Base, Reference Monitor Reference Monitor ),安全政策(),安全政策(Policy Policy DAC MACDAC MAC),审计),审计n n安全模型的形式化方法:安全模型的形式化方法:状态机,状
3、态转换,状态机,状态转换,不变量不变量模块化,抽象数据类型(面向对象模块化,抽象数据类型(面向对象)1.2 安全模型作用安全模型作用n n设计阶段n n实现阶段n n检查阶段(Review)n n维护阶段1.3 安全模型抽象过程安全模型抽象过程n nStep 1: Identify Requirements on the External Interface.(input,output,attribute.)n nStep 2: Identify Internal Requirementsn nStep 3: Design Rules of Operation for Policy Enfor
4、cementn nStep 4: Determine What is Already Known.n nStep 5: Demonstrate (论证)Consistency and Correctnessn nStep 6: Demonstrate Relevance(适当的)1.4 Overview机密性访问控制信息流DAC自主MAC强制完整性RBACBLPChinese Wall(非干扰性,非观察性)BibaClark-Wilsonthe “Chinese Wall” Policy is a mandatory access control policy for stock market
5、 analysts. This organizational policy is legally binding in the United Kingdom stock exchange.2 访问控制模型访问控制模型n n2.1 自主访问控制(Discretionary Access Control- DAC)机密性与完整性机密性与完整性 木马程序木马程序n n2.2 强制访问控制(Mandatory Access Control- MAC) 机密性机密性 隐通道隐通道n n2.3 基于角色访问控制(RBAC) 管理方式管理方式2.1 自主访问控制自主访问控制特点: 根据主体的根据主体的身份身
6、份和和授权授权来决定访问模式。来决定访问模式。缺点: 信息在移动过程中,其信息在移动过程中,其访问权限关系访问权限关系会被改变。会被改变。如用户如用户A A可将其对目标可将其对目标OO的访问权限传递给用户的访问权限传递给用户B B,从而使不具备对从而使不具备对OO访问权限的访问权限的B B可访问可访问OO。状态机状态机n nLampson Lampson 模型模型模型的结构被抽象为状态机,模型的结构被抽象为状态机,状态三元组状态三元组( ( S S, , O O, , M M ) ), S S 访问访问主体集主体集, O O 为访问为访问客体集客体集(可包含(可包含S S的子集),的子集),
7、M M 为为访问矩阵访问矩阵,矩阵单元记为,矩阵单元记为M M s,os,o ,表示,表示主主体体s s对对客客体体o o的的访访问问权权限限。所所有有的的访访问问权权限限构构成成一一有限集有限集A A。状态变迁状态变迁通过改变访问矩阵通过改变访问矩阵M M实现。实现。该该安安全全模模型型尽尽管管简简单单,但但在在计计算算机机安安全全研研究究史史上上具具有有较较大大和和较较长长的的影影 响响 , HarrisonHarrison、 RuzzoRuzzo和和 UllmanUllman提提 出出 HRUHRU安安 全全 模模 型型 以以 及及 Bell Bell LaPadulaLaPadula提
8、出提出BLPBLP安全模型均基于此。安全模型均基于此。HRU模型模型 (1)(1)系系统请统请求的形式求的形式if if if if a a1 1 inininin M M s s1 1 ; o; o1 1 andandandand a a2 2 inininin M M s s2 2 ; o ; o2 2 andandandand . . a am m in in in in M M s sm m ; o ; om m then then then then op op1 1 . . op opn n HRU模型模型 (2)(2)n n系系统统请请求求分分为为条条件件和和操操作作两两部部分分
9、,其其中中a ai i A A,并并且且opopi i属属于于下下列列六六种种元元操操作作之之一一(元元操操作作的的语语义义如其名称示意):如其名称示意):n nenter enter enter enter a a intointointointo ( (s, os, o), ), (矩矩阵阵)n ndelete delete delete delete a a from from from from ( (s, os, o) ), , n ncreate subject create subject create subject create subject s ,s , (主体主体) n
10、 ndestroy subject destroy subject destroy subject destroy subject s s , , n ncreate objectcreate objectcreate objectcreate object o o , , (客体客体)n ndestroy object destroy object destroy object destroy object o o 。 HRU模型模型 (3)(3)n n系统的安全性定义:系统的安全性定义:n n若若存存在在一一个个系系统统,其其初初始始状状态态为为Q Q0 0,访访问问权权限限为为a a,当
11、当从从状状态态Q Q0 0开开始始执执行行时时,如如果果不不存存在在将将访访问问矩矩阵阵单单元元不不包包含含的的访访问问权权限限写写入入矩矩阵单元的系统请求阵单元的系统请求,那么我们说,那么我们说Q Q0 0对权限对权限a a而言是安全的。而言是安全的。n n系统安全复杂性基本定理:系统安全复杂性基本定理:n n对对于于每每个个系系统统请请求求仅仅含含一一个个操操作作的的单单操操作作请请求求系系统统(mono-mono-operational system-MOSoperational system-MOS),系统的安全性是),系统的安全性是可判定的可判定的;对于一般的非单操作请求系统(对于一
12、般的非单操作请求系统(NMOSNMOS)的安全性是)的安全性是不可判定的不可判定的。HRU模型模型 (4)(4)n n基本定理隐含的窘境:一般的一般的HRUHRU模型具有模型具有很强的很强的安全政策安全政策表达能力表达能力,但是,但是,不存在不存在决定相关安全政策效果的决定相关安全政策效果的一般可一般可计算的算法计算的算法;(递归可枚举);(递归可枚举)虽然虽然存在存在决定满足决定满足MOSMOS条件的条件的HRUHRU模型的安全模型的安全政策效果的一般的可计算的算法,但是,满足政策效果的一般的可计算的算法,但是,满足MOSMOS条件的条件的HRUHRU模型的模型的表达能力太弱表达能力太弱,以
13、至于,以至于无法表达很多重要的安全政策。无法表达很多重要的安全政策。 HRU模型模型 (5)(5)n n对对HRUHRU模模型型进进一一步步的的研研究究表表明明,即即使使我我们们完完全全了了解解了了扩扩散散用用户户的的访访问问权权限限的的程程序序,在在HRUHRU模模型型中中也也很很难预测访问权限怎样被扩散难预测访问权限怎样被扩散。n n与与此此相相关关,由由于于用用户户通通常常不不了了解解程程序序实实际际进进行行的的操操作作内内容容,这这将将引引起起更更多多的的安安全全问问题题。例例如如,用用户户甲甲接接受受了了执执行行另另一一个个用用户户乙乙的的程程序序的的权权利利,用用户户甲甲可可能能不
14、不知知道道执执行行程程序序将将用用户户甲甲拥拥有有的的与与用用户户乙乙完完全全不不相相关关的的访访问问权权限限转转移移给给用用户户乙乙。类类似似的的,这这类类表表面面上上执执行行某某功功能能(如如提提供供文文本本编编辑辑功功能能),而而私私下下隐隐藏藏执执行行另另外外的的功功能能(如如扩扩散散被被编编辑辑文文件件的的读读权权限限)的程序称为特洛伊的程序称为特洛伊木马程序木马程序木马程序木马程序。2.2 强制访问控制强制访问控制 特点:特点:特点:特点: (1). (1). 将主体和客体分级,根据主体和客体的级别标记来将主体和客体分级,根据主体和客体的级别标记来将主体和客体分级,根据主体和客体的
15、级别标记来将主体和客体分级,根据主体和客体的级别标记来 决定访问模式。如,绝密级,机密级,秘密级,无密级。决定访问模式。如,绝密级,机密级,秘密级,无密级。决定访问模式。如,绝密级,机密级,秘密级,无密级。决定访问模式。如,绝密级,机密级,秘密级,无密级。 (2). (2). 其访问控制关系分为:上读其访问控制关系分为:上读其访问控制关系分为:上读其访问控制关系分为:上读/ /下写下写下写下写 , 下读下读下读下读/ /上写上写上写上写 (完整性)(完整性)(完整性)(完整性) (机密性)(机密性)(机密性)(机密性) (3). (3). 通过梯度安全标签实现单向信息流通模式通过梯度安全标签实
16、现单向信息流通模式通过梯度安全标签实现单向信息流通模式通过梯度安全标签实现单向信息流通模式。Ln HiHn HiHn LiLn LiBLP模型模型类似于类似于HRUHRU模型,模型,BLPBLP模型的组成元素包括访问主体、访模型的组成元素包括访问主体、访问客体、访问权限和访问控制矩阵。但问客体、访问权限和访问控制矩阵。但BLPBLP在集合在集合S S和和O O中中不改变状态不改变状态函数函数 F: S F: S O L O L,语义是将函数应用于某一状态下的访,语义是将函数应用于某一状态下的访问主体与访问客体时,导出相应的安全级别。问主体与访问客体时,导出相应的安全级别。 安全级别安全级别L L构成不变格,构成不变格,状态集状态集V V在该模型中表现为序偶(在该模型中表现为序偶(F F,MM)的集合,)的集合,MM是访是访问矩阵。问矩阵。变迁函数变迁函数T T:VRVVRV。 R R请求集合,在系统请求执行时,请求集合,在系统请求执行时,系统实现状态变迁。系统实现状态变迁。 BLP模型模型 (1)n n定定定定义义义义4.14.14.14.1: 状状态态 ( ( F, F, M M )
