《信息安全模型PPT课件》由会员分享,可在线阅读,更多相关《信息安全模型PPT课件(56页珍藏版)》请在金锄头文库上搜索。
1、信息安全模型信息安全模型- 2 -All rights reserved 2007信息安全模型安全模型用于精确地和形式地描述信息系统的安全特征,以及用于解释系统安全相关行为的理由。安全模型的作用准确描述安全的重要方面与系统行为的关系提高对成功实现关键安全需求的理解层次“安全模型”的表达能力有其局限性,形式的语法多于形式的语义。 - 3 -All rights reserved 2007模型抽象过程1): 标识外部接口需求 External Interface.(input,output,attribute.)2): 标识内部需求Internal Requirements3): 设置策略强制的操
2、作规则4): 判定 What is Already Known.5):论证 (Demonstrate)一致性与正确性6): 论证是适当的( Relevance)- 4 -All rights reserved 2007一些主要的模型机密性机密性访问控制信息流DAC自主MAC强制完整性完整性RBACBLPChinese Wall(非干扰性,非观察性)BibaClark-Wilson系统安全保障模型:系统安全保障模型:PDR、PPDR、OSI基本模型:基本模型:HRU- 5 -All rights reserved 20071、基本模型LampsonLampson模型的结构被抽象为状态三元组( S
3、, O, M ), S 访问主体集, O 为访问客体集(可包含S的子集), M 为访问矩阵,矩阵单元记为Ms,o,表示主体s对客体o的访问权限。所有的访问权限构成一有限集A。状态变迁通过改变访问矩阵M实现。 该安全模型尽管简单,但在计算机安全研究史上具有较大和较长的影响,Harrison、Ruzzo和Ullman提出HRU安全模型以及Bell LaPadula提出BLP安全模型均基于此。- 6 -All rights reserved 20072、基本模型 HRU(1) 系统请求的形式if if a1 inin M s1 ; o1 andand a2 inin M s2 ; o2 andand
4、 . am in in M sm ; om then then op1 . opn - 7 -All rights reserved 2007基本模型 HRU(2)系统请求分为条件和操作两部分,其中ai A,并且opi属于下列六种元操作之一(元操作的语义如其名称示意):enter enter a intointo (s, o), (矩阵)delete delete a from from (s, o), create subject create subject s , (主体) destroy subject destroy subject s , create objectcreate o
5、bject o , (客体)destroy object destroy object o 。 - 8 -All rights reserved 2007基本模型 HRU(3)系统的安全性定义:若存在一个系统,其初始状态为Q0,访问权限为a,当从状态Q0开始执行时,如果不存在将访问矩阵单元不包含的访问权限写入矩阵单元的系统请求,那么我们说Q0对权限a而言是安全的。系统安全复杂性基本定理:对 于 每 个 系 统 请 求 仅 含 一 个 操 作 的 单 操 作 请 求 系 统 ( mono-operational system-MOS),系统的安全性是可判定的;对于一般的非单操作请求系统(NMOS
6、)的安全性是不可判定的。与此相关,由于用户通常不了解程序实际进行的操作内容,这将引起其他的安全问题。例如,用户甲接受了执行另一个用户乙的程序的权利,用户甲可能不知道执行程序将用户甲拥有的与用户乙完全不相关的访问权限转移给用户乙。类似的,这类表面上执行某功能(如提供文本编辑功能),而私下隐藏执行另外的功能(如扩散被编辑文件的读权限)的程序称为特洛伊木马程序木马程序。- 9 -All rights reserved 2007强制访问控制模型(MAC) 特点:特点: 1) 将将主体主体和和客体客体分级,根据主体和客体的级别标记来分级,根据主体和客体的级别标记来 决定访问模式。如,绝决定访问模式。如,
7、绝密级,机密级,秘密级,无密级。密级,机密级,秘密级,无密级。 2) 其访问控制关系分为:上读其访问控制关系分为:上读/下写下写 , 下读下读/上写上写 (完整性)(完整性) (机密性)(机密性) 3)通过梯度安全标签实现单向信息流通模式)通过梯度安全标签实现单向信息流通模式。 4)与)与DAC相比:强耦合,集中式授权。相比:强耦合,集中式授权。- 10 -All rights reserved 20073、MAC多级安全模型BLP(1)该模型是可信系统的状态转换模型定义所有可以使系统“安全”的状态集,检查所有状态的变化均开始于一个“安全状况”并终止另一个“安全状态”,并检查系统的初始状态是否
8、为“安全状态”。每个主体均有一个安全级别,并由许多条例约束其对具有不同密级的客体的访问操作。模型定义的主客体访问规则使用状态来表示系统中主体对客体的访问方式可向下读,不可下写可上写,不可上读- 11 -All rights reserved 2007MAC多级安全模型BLP (2)系统状态: VBMFHB:访问集合,是SOA的子集,定义了所有主体对客体当前的访问权限。函数 F: S O L,语义是将函数应用于某一状态下的访问主体与访问客体时,导出相应的安全级别。Fs:主体安全级别Fo:客体安全级别Fc:主体当前安全级别 FsFc 状态集V在该模型中表现为序偶(F,M)的集合,M是访问矩阵。变迁
9、函数T:VRV。 R请求集合,在系统请求执行时,系统实现状态变迁;D是请求结果的集合。类似于HRU模型,BLP模型的组成元素包括访问主体、访问客体、访问权限和访问控制矩阵。但BLP在集合S和O中不改变状态与HRU相比,多了安全级别、包含请求集合的变迁函数。- 12 -All rights reserved 2007MAC多级安全模型BLP(3)定定义义4.14.1: 状态 ( F, M ) 是“读安全”(也称为“simple security”)的充分必要条件是 定义定义4.24.2: 状态 ( F, M ) 是“写安全”(也称为“*-property”)的充分必要条件是 定定义义4.34.3
10、: 状态是“状态安全”(state secure)的充分必要条件是它既是“读安全”又是“写安全”。定定义义4.44.4: 系统 ( v0 , R , T ) 是安全的充分必要条件是初始状态v0是“状态安全”的,并且由初始状态v0开始通过执行一系列有限的系统请求R可达的每个状态v也是“状态安全”的。 - 13 -All rights reserved 2007MAC多级安全模型BLP(4)定理定理4.34.3:系统 (v0 ,R ,T )是安全的充分必要条件是其中,T为转移函数,是指由初始状态v0通过执行一系列有限的系统请求R到达可达状态v。- 14 -All rights reserved 2
11、007MAC多级安全模型BLP(5)“读安全”禁止低级别的用户获得高级别文件的读权限。 “写安全”防止高级别的特洛伊木马程序把高级别文件内容拷贝到低级别用户有读访问权限的文件。缺点未说明主体之间的访问,不能适用于网络- 15 -All rights reserved 20074、MAC多级安全模型Chinese Wall 在信息流处理中,在一些情况下不是阻止信息流从高层流向低层,而是要阻止信息在不同的部分横向流动,这种系统在信息处理系统中占有很大的比例,因此提出了多边安全(Multilateral Secure)的概念。CW(Chinese Wall)模型就属于一种多边安全模型多边安全模型。C
12、W模型由Brewer和Nash发布,经常被用于金融机构的信息处理系统,为市场分析家提供更好的服务。与BLP模型不同的是,访问数据不是受限于数据的属性(密级),而是受限于主体获得了对哪些数据的访问权限。CW模型的主要设计思想是将一些可能会产生访问冲突的数据分成不同的数据集,并强制所有的主体最多只能访问一个数据集,而选择哪个数据集并未受到强制规则的限制,这种策略无法用BLP模型完整表述。- 16 -All rights reserved 2007全体客体的集合(O)ABC顶层:兴趣冲突组FGHIJKLMNOPQ中层:公司数据集底层:客体(独立数据项)- 17 -All rights reserve
13、d 2007Chinese wall安全属性访问客体的控制:与主体曾经访问过的信息属于同一公司数据集合的信息,即墙内信息可以访问。属于一个完全不同的兴趣冲突组的可以访问。主体能够对一个客体进行写的前提,是主体未对任何属于其他公司数据集的访问。定理1:一个主体一旦访问过一个客体,则该主体只能访问位于同一公司数据集的客体或在不同兴趣组的客体定理2:在一个兴趣冲突组中,一个主体最多只能访问一个公司数据集- 18 -All rights reserved 20075、自主访问控制模型(DAC)特点特点: 根据主体的身份和授权来决定访问模式。 与MAC相比:松耦合,分布式授权缺点缺点: 信息在移动过程中
14、,其访问权限关系会被改变。实现机制:实现机制: ACL(s,o) Capabilities(s,s) s主体 o客体主体可以改变客体的权限。- 19 -All rights reserved 20076、RBAC模型 角色的概念角色的概念: 角色的抽象定义是指相对于特定的活动的一系列行动和职责集合,角色面向于用户组,但不同于用户组,角色包含了用户集和权限集。RBAC特点:特点: 角色控制相对独立,根据配置可使某些角色接近DAC,某些角色接近MAC - 20 -All rights reserved 2007RBAC模型层次基本模型基本模型RBAC0RBAC0角色分级模型角色分级模型RBAC1R
15、BAC1角色限制模型角色限制模型RBAC2RBAC2统一模型统一模型RBAC3RBAC3 RBAC3RBAC1 RBAC2 RBAC0- 21 -All rights reserved 2007RBAC模型RBAC0 - 22 -All rights reserved 2007RBAC模型RBAC1 - 23 -All rights reserved 2007RBAC模型RBAC2- 24 -All rights reserved 2007RBAC模型RBAC3 - 25 -All rights reserved 2007RBAC模型优势便于授权管理便于角色划分便于赋予最小特权便于职责分担便于
16、目标分级- 26 -All rights reserved 20077、 信息流模型隐通道:访问控制模型通过对访问主体与访问客体的控制实施安全策略,但恶意的用户仍然可能利用系统的副作用(边际效应)形成从高安全级别到低安全级别的通道。信息流模型:不对访问主体与客体实施控制,而是直接控制用户间的信息流 信息流概念:信息流概念: 信息流可表述为“从对象a流向对象b的信息(信息流)是指对象b的值按某种方式依靠对象a的值”。 例如:例如:if a = 0 then b := c,information flows explicitly from c to b (when a = 0) and impli
17、citly from a to b (when b c).- 27 -All rights reserved 2007信息流模型示例 - 28 -All rights reserved 2007信息流模型特点对于程序语言代码(理论上)我们可以通过枚举所有程序变量间的信息流,从而验证是否存在不合法信息流。信息流模型的形式化是状态机模型,因此可以形成一系列信息流“断言”,信息流“断言”也称为安全性质,安全性质包括非干扰性(noninterference)和非观察性(nonobservability)等描述工具使用Hoare逻辑的SPA语言(Security Process Algebra SPA)
18、(trace) - 29 -All rights reserved 2007完整性模型概述数据完整性信息保护,Database(如:域,实体,引用,应用语义,并发控制) 系统完整性系统保护,硬件保护,容错技术完整性目标防止被非授权用户修改 (机密性)维护内外部的一致性 (一致性)防止授权用户不确当的修改 (逻辑一致性)- 30 -All rights reserved 2007完整性原理1 标识 Identity2 约束 Constraints 3 职责 Obligation4 可审计Accountability5 授权Authorization6 最小特权Least Privilege7 权
19、限分离Separation8 监视Monitoring9 报警Alarmsn10 不可逆Non-Reversible Actionsn11 冗余Redundancyn12 最小化 Minimizationn变量最小化Variablen数据最小化 Datan目标值最小化Target Valuen 访问时间最小化 Access Timen- 31 -All rights reserved 20078、完整性多边安全模型ClarkWilson偏重于满足商业应用的安全需求信息完整性保护组织完善的事务:用户不能随意处理信息,只能在限定的权限和范围清晰的责任划分:一项任务需要两个以上的人完整,进行任务划分
20、,避免个人欺骗系统完整性保护防止非授权修改维护内部与外部的一致性访问授权但不恰当的修改- 32 -All rights reserved 2007完整性模型Clark-WilsonClark-Wilson模型定义的四个要素: CDI (constrained data items) 有约束数据项,完整性保护的客体UDI (unconstrained data items) 无约束数据项,不需保护的客体 IVP (integrity verification procedures ) 完整性验证过程 TP (transformation procedures ) 转换(迁移)过程九条规则(5C,
21、 4E)分为验证性规则验证性规则(C) certification 与强制性规则强制性规则(E) enforcement C规则规则 由安全官员、系统拥有者、管理者实施完整性策略E规则规则 由系统强制实现- 33 -All rights reserved 2007完整性模型Clark-Wilson访问控制方法定义可以针对每一个数据完成的访问操作定义可以由主体完成的访问操作保护方法完整性确认:确认数据处于一种有效的状态转换过程:将数据从一种有效状态转变到另一种有效状态如果只有一个转换过程就能改变数据,则数据是完整的。系统记录所有转换过程,并提供对数据改变的审计跟踪- 34 -All rights
22、 reserved 2007Clark-Wilson验证性规则C1 (IVP Certification) 系统中有IVP 对 CDI的完整性进行验证. C2 (Validity) 对CDI应用TP 必须保持CDI的完整性C3 一个CDI只能被一个 TP改变,TP必须实现权限分离与最小特权原理C4 (Journal Certification) - TP 必须必须写入一个只允许添加的日志文件中C5 - TP 在作用于 UDI 时,必须保证导出有效的 CDI - 35 -All rights reserved 2007Clarkwilson强制规则E1:必须具有并保护经证明被TP访问过的CDI的
23、表E2:必须具有并保护用户可以执行的描述TP的表E3:必须鉴别每一个用户执行TP的请求E4:对TP具有访问规则的主体能修改表中的项,但这个主体没有执行TP的权限。- 36 -All rights reserved 2007Clark-Wilson规则目标完整性 完整性用于保证CDI只能按受约束的方式被修改并产生有效的CDI 。规则 C1、C2、C5、E1和 E4 实现完整性目标 访问控制 实现资源的访问的控制机制,规则C3、E2和E3实现访问控制目标。 审计 (auditing) 确认对CDI的修改并保证系统的有效状态,规则C1和C4实现审计目标。 核查(Accountability) 用户与
24、活动绑定,规则E3实现用户的鉴别认证。- 37 -All rights reserved 20079、完整性安全模型Biba简介一个计算机系统由多个子系统构成子系统按照功能或权限将系统(主体、客体)进行划分系统完整性的威胁来源内部威胁:一个组件是恶意的或不正确的函数外部威胁:通过提供错误数据或不正确的函数调用来修改另一个子系统完整性安全模型的目标防止被非授权用户修改 (机密性)维护内外部的一致性 (一致性)防止授权用户不确当的修改 (逻辑一致性)- 38 -All rights reserved 2007完整性模型BIBA S : 主体集O : 客体集 ( S、O交集为空 )I : 完整性级别
25、集il : S O = I; 完整性函数,定义主体和客体的完整性级别leq : (I I 的子集) 完整性级别的偏序关系min : POWERSET(I) = I, 下确界(最大下界)o : 可观察(observe)关系(S O 的子集) s o o,s可观察om : 可修改(modify)关系(S O 的子集) s m o ,s可修改oi : 可调用(invoke)(S S 的子集) s1 i s2,即一个主体s1调用另一个主体s2- 39 -All rights reserved 2007完整性模型BIBA策略 BIBA认为内部威胁已经由程序测试与验证技术作了充分地处理;BIBA模型仅针对
26、外部威胁。低限策略 Low-Water Mark Policy针对客体的低限策略 Low-Water Mark Policy for Objects低限的完整性审计策略 Low Water Mark Integrity Audit Policy环策略 Ring Policy严格的完整性策略 Strict Integrity Policy- 40 -All rights reserved 2007 完整性模型BIBA低限策略最低点:被主体做“观察”访问的客体的最小完整性级别。 s m o = il(o) leq il(s) SMO:可修改关系、leq:偏序关系 s1 i s2 = il(s2)
27、leq il(s1)il:完整性函数:完整性函数如果主体s访问客体o,那么 il(s) = min il(s), il(o) 这里 il(s) 紧随访问之后的完整性级别- 41 -All rights reserved 2007BIBA对于客体的最低点策略除修改主体的完整性级别外,还假设客体的完整性级别也被修改对主体s对可以o的每一次观察访问, il(s) = min il(s), il(o)对主体s对客体o的每一次修改访问, il(o) = min il(s), il(o)- 42 -All rights reserved 2007BIBA模型的缺点定义的完整性是一个相对的,而不是绝对的度量
28、。没有使用明确的属性来判断系统是否具有完整性没有明确的信息分级标准 - 43 -All rights reserved 200710、系统安全技术框架IATF预防检测响应恢复安全策略安全策略安全管理安全管理安全管理安全管理- 44 -All rights reserved 2007系统安全保障模型 PPDR模型在PDR基础上,增加了安全策略综合运用防护工具和检测工具,分析和评估系统的安全状态,将系统调到“最安全”和“风险最低”。P:安全策略P:防护D:检测R:反应上述四者构成一个完成的动态的安全循环适用于动态的、多维的互联网环境- 45 -All rights reserved 2007系统安
29、全保障模型 PPDR模型公式1:PtDt+RtPt:设置各种安全防护后的防护时间Dt:系统能够检测到入侵的时间Rt:从入侵开始,到系统调整到正常状态的时间公式2: EtDtRt 假设:Pt0Et:系统的暴露时间基本描述: 安全风险分析执行策略系统实施漏洞监测实时响应是动态的防护,安全策略是依据发挥管理机制的原则运用安全保护工具- 46 -All rights reserved 2007IATF安全目标可用性:合法用户的正常请求能及时、正确、安全地得到服务或回应。完整性:信息在存储和传输时不被篡改、破坏,或避免信息包的丢失、乱序等不破坏信息的正确性和完整性。保密性:静态信息防止非授权访问和/或动
30、态信息防止被窃听、解密。可靠性:指信息的可信度,包括信息完整性、准确性和发送人的身份的可信度。- 47 -All rights reserved 2007IATF保护对象和技术网络和基础设施的防御骨干网可用性无线网安全框架VPN和紧耦合连接边界防御网络访问控制远程访问多级别安全计算环境防御端用户环境应用系统安全支撑性基础设施KMI/PKI监视和响应- 48 -All rights reserved 200711、信息系统多维安全模型安全服务安全服务抗抵赖可鉴别机密性完整性可用性信息状态信息状态安全措施安全措施处理存储传输技术人员运行- 49 -All rights reserved 20071
31、2 基于OSI的安全体系结构OSI OSI 参考模型参考模型7 应用层6 表示层5 会话层4 传输层3 网络层2 链路层1 物理层安全机制安全机制公 证路由选择控制通信业务填充鉴别交换数据完整性访问控制数字签名加 密安全服务安全服务鉴别服务 访问控制数据完整性数据机密性抗抵赖- 50 -All rights reserved 2007五种安全服务鉴别:提供对通信中的对等实体和数据来源的鉴别。访问控制:提供保护以对抗开放系统互连可访问资源的非授权使用。可应用于对资源的各种不同类型的访问(例如,使用通信资源,读、写或删除信息资源,处理资源的操作),或应用于对某种资源的所有访问数据机密性:对数据提供
32、保护使之不被非授权地泄露数据完整性:对付主动威胁。在一次连接上,连接开始时使用对某实体鉴别服务,并在连接的存活期使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证,为这些数据单元的完整性提供确证。抗抵赖:可取有数据原发证明的抗抵赖、有交付证明的抗抵赖两种形式,或两者之一- 51 -All rights reserved 2007八种安全机制(1)加密加密:加密既能为数据提供机密性,也能为通信业务流信息提供机密性。加密既能为数据提供机密性,也能为通信业务流信息提供机密性。数字签名数字签名:确定两个过程:对数据单元签名和验证签过名的数据单元。确定两个过程:对数据单元签名和验
33、证签过名的数据单元。访问控制访问控制:为了决定和实施一个实体的访问权,访问控制机制可以使用该实体已为了决定和实施一个实体的访问权,访问控制机制可以使用该实体已鉴别的身份,或使用有关该实体的信息(例如它与一个已知的实体集鉴别的身份,或使用有关该实体的信息(例如它与一个已知的实体集的从属关系),或使用该实体的权力。的从属关系),或使用该实体的权力。数据完整性数据完整性:包括单个数据单元或字段的完整性以及数据单元流或字段流的完整性包括单个数据单元或字段的完整性以及数据单元流或字段流的完整性- 52 -All rights reserved 2007八种安全机制(2)鉴别交换机制鉴别交换机制:可以提供
34、对等实体鉴别。如果在鉴别实体时,这一机制得到否定的结可以提供对等实体鉴别。如果在鉴别实体时,这一机制得到否定的结果,就会导致连接的拒绝或终止,也可能使在安全审计跟踪中增加一果,就会导致连接的拒绝或终止,也可能使在安全审计跟踪中增加一个记录,或给安全管理中心一个报告。个记录,或给安全管理中心一个报告。通信业务填充机制通信业务填充机制:能用来提供各种不同级别的保护,对抗通信业务分析。能用来提供各种不同级别的保护,对抗通信业务分析。路由选择控制机制路由选择控制机制:路由能动态地或预定地选取,以便只使用物理上安全的子网络、中继路由能动态地或预定地选取,以便只使用物理上安全的子网络、中继站或链路。在检测
35、到持续的操作攻击时,端系统可希望指示网络服务站或链路。在检测到持续的操作攻击时,端系统可希望指示网络服务的提供者经不同的路由建立连接。的提供者经不同的路由建立连接。公证机制公证机制:有关在两个或多个实体之间通信的数据的性质,如它的完整性、原发、有关在两个或多个实体之间通信的数据的性质,如它的完整性、原发、时间和目的地等能够借助公证机制而得到确保。时间和目的地等能够借助公证机制而得到确保。- 53 -All rights reserved 2007例:clarkwilson模型的体现NT安全基本组件登录进程登录进程(Logon process) 局部安全中心局部安全中心LSA (Local Se
36、curity Authority)安全帐号管理安全帐号管理SAM( Security Account Manager)安全引用监视器安全引用监视器SRM(Security Reference Monitor) 强制实现LSA的安全策略安全标识安全标识SID(Security Identifiers)用户不能直接访问资源用户不能直接访问资源:如 processes, files, shares, and printers 在NT中可以作为客体资源,主体对客体的访问只能通过NT的代理。- 54 -All rights reserved 2007Clarkwilson 模型的NT解释 C1: 系系统
37、中中仅有有IVP 对 CDI的完整性的完整性进行行验证 In Windows NT there is a local security authority (LSA) which checks the security information in the subjects access token with the security information in the objects security descriptorC2: 对CDI应用用TP 必必须保持保持CDI的完的完整性整性In Windows NT, most subjects cannot change the attrib
38、ution of the objects, but some subjects have this privilege, such as administrator But this is only limited to some special users. So this rule is not applied to Windows NT strictlyC3: CDI只能被只能被 TP改改变As mentioned above some special users can change attribution of the objects, and no other methods ca
39、n be applied to change objectsE1/. 主体只能主体只能调用某些用某些CDI上的某些上的某些TPIn windows NT, the subjects access token includes what kinds of operations are permitted. Only when information of the access token is consistent with the information in the objects security descriptor, the operation is allowed- 55 -All
40、rights reserved 2007E2/. CW三元三元组必必须强制制实现确当的确当的主体主体权限分离策略限分离策略 In Windows NT, administrator can do anything. So this rule is not appliedC5/. 某些特殊某些特殊TP 在作用于在作用于 UDI 时,必必须保保证导出有效的出有效的 CDIIn Windows NT, users can change the object from without ACL state to with ACL state. Generally, this operation is p
41、erformed by AdministratorC4. 每个每个TP的活的活动应被被记录到特殊的到特殊的只能添加的只能添加的CDI上,保上,保证活活动能被重能被重构构In Windows NT, audit services can collect information about how the system is being usedE3. 系系统必必须鉴别认证试图执行行TP的的用用户In Windows NT, any user has her or his SID, and any process in behalf of this user copies the same SID. By this way, Windows NT can authenticate subjects attempting to initial a TPE4. 系系统仅允允许特殊的主体(如:安特殊的主体(如:安全管理全管理员)进行相关授行相关授权列表操作列表操作In Windows NT, only administrator can do and view some high security events- 56 -All rights reserved 2007谢谢Question?
