信息安全模型

- 12 -
All rights reserved © 2007
MAC多级安全模型－BLP(4)
定理4.3：系统 (v0 ,R ,T )是安全的充分必要条件是
（1 初始状态 v0 是安全的 ） （2）如果T(v, c) v* , v (F, M), v* (F* , M * ), 那么 s S, o O read M * [s,o] read M[s,o] F *(s) F *(o); read M[s,o] F *(s) F *(o) read M * [s,o]; write M * [s,o] write M[s,o] F *(o) F *(s); write M[s,o] F *(o) F *(s) write M * [s,o]。
其中，T为转移函数，是指由初始状态v0通过执行一系列有限的系统请求 R到达可达状态v。
- 13 All rights reserved © 2007
MAC多级安全模型－BLP（5）
“读安全”禁止低级别的用户获得高级别文件的读权限。 “写安全”防止高级别的特洛伊木马程序把高级别文件内容拷贝到低级别用户 有读访问权限的文件。
基本模型－ HRU(3)
系统的安全性定义：
•
若存在一个系统，其初始状态为Q0，访问权限为a，当从状态Q0开始执 行时，如果不存在将访问矩阵单元不包含的访问权限写入矩阵单元的 系统请求，那么我们说Q0对权限a而言是安全的。 对 于 每 个 系 统 请 求 仅 含 一 个 操 作 的 单 操 作 请 求 系 统 （ monooperational system-MOS），系统的安全性是可判定的；
• • •
使用状态来表示系统中主体对客体的访问方式 可向下读，不可下写 可上写，不可上读
- 10 -
All rights reserved © 2007
MAC多级安全模型－BLP （2）

系统状态： V＝｛B×M×F×H｝ B：访问集合，是S×O×A的子集，定义了所有主体对客体当前的访 问权限。 函数 F: S ∪ O →L，语义是将函数应用于某一状态下的访问主体与访 问客体时，导出相应的安全级别。 Fs：主体安全级别 Fo：客体安全级别 Fc：主体当前安全级别 Fs>Fc 状态集V在该模型中表现为序偶（F，M）的集合，M是访问矩阵。
变迁函数T：V×R→V。 R请求集合，在系统请求执行时，系统实现状态变迁；D 是请求结果的集合。 类似于HRU模型，BLP模型的组成元素包括访问主体、访问客体、访问权限和访 问控制矩阵。但BLP在集合S和O中不改变状态 与HRU相比，多了安全级别、包含请求集合的变迁函数。

- 11 -
All rights reserved © 2007
- 21 -
All rights reserved © 2007
RBAC模型－RBAC1
- 22 -
All rights reserved © 2007
RBAC模型－RBAC2
- 23 -
All rights reserved © 2007
RBAC模型－RBAC3
- 24 -
All rights reserved © 2007
s S, o O, write M[s, o] F(o) F(s)
定义4.3： 状态是“状态安全”（state secure）的充分必要条件是它既是“读安全”又 是“写安全”。 定义4.4： 系统 ( v0 , R , T ) 是安全的充分必要条件是初始状态v0是“状态安全”的 ，并且由初始状态v0开始通过执行一系列有限的系统请求 R可达的每个状态v也是“状态安 全”的。
-9-
All rights reserved © 2007
3、MAC多级安全模型－BLP（1）
该模型是可信系统的状态转换模型 定义所有可以使系统“安全”的状态集，检查所有状态的变化均 开始于一个“安全状况”并终止另一个“安全状态”，并检查系 统的初始状态是否为“安全状态”。 每个主体均有一个安全级别，并由许多条例约束其对具有不同密 级的客体的访问操作。 模型定义的主客体访问规则
- 17 -
All rights reserved © 2007
5、自主访问控制模型（DAC）
特点：
根据主体的身份和授权来决定访问模式。 与MAC相比：松耦合，分布式授权
缺点：
信息在移动过程中，其访问权限关系会被改变。 实现机制：
ACL(s,o)
Capabilities（s,s)
s－－主体 o－－客体 主体可以改变客体的权限。
缺点
•
未说明主体之间的访问，不能适用于网络
All rights reserved © 2007
- 14 -
4、MAC多级安全模型－Chinese Wall
在信息流处理中，在一些情况下不是阻止信息流从高层流向低层，而 是要阻止信息在不同的部分横向流动，这种系统在信息处理系统中占 有很大的比例，因此提出了多边安全（Multilateral Secure）的概念 。CW（Chinese Wall）模型就属于一种多边安全模型。
- 15 -
All rights reserved © 2007
全体客体的集合（O）
顶层：兴趣冲突组
A
B
C
中层：公司数据集 F G H I J K L M N
O
P
Q
底层：客体 （独立数据项）
- 16 -
All rights reserved © 2007
Chinese wall安全属性
访问客体的控制：
MAC多级安全模型－BLP(3)
定义4.1： 状态 ( F, M ) 是“读安全”（也称为“ simple security”）的充分必要条 件是
s S, o O, read M[s, o] F(s) F(o)
定义4.2： 状态 ( F, M ) 是“写安全”（也称为“*-property”）的充分必要条件是
系统安全复杂性基本定理：


对于一般的非单操作请求系统（NMOS）的安全性是不可判定的。
与此相关，由于用户通常不了解程序实际进行的操作内容，这将引起其 他的安全问题。例如，用户甲接受了执行另一个用户乙的程序的权利， 用户甲可能不知道执行程序将用户甲拥有的与用户乙完全不相关的访问 权限转移给用户乙。类似的，这类表面上执行某功能（如提供文本编辑 功能），而私下隐藏执行另外的功能（如扩散被编辑文件的读权限）的 程序称为特洛伊木马程序。
CW模型由Brewer和Nash发布，经常被用于金融机构的信息处理系统 ，为市场分析家提供更好的服务。与BLP模型不同的是，访问数据不 是受限于数据的属性（密级），而是受限于主体获得了对哪些数据的 访问权限。CW模型的主要设计思想是将一些可能会产生访问冲突的 数据分成不同的数据集，并强制所有的主体最多只能访问一个数据集 ，而选择哪个数据集并未受到强制规则的限制，这种策略无法用BLP 模型完整表述。
-8All rights reserved © 2007
强制访问控制模型（MAC）
特点：
1） 将主体和客体分级，根据主体和客体的级别标记来 决定访问模式。如 ，绝密级，机密级，秘密级，无密级。 2） 其访问控制关系分为：上读/下写 ， 性） 3）通过梯度安全标签实现单向信息流通模式。 4）与DAC相比：强耦合，集中式授权。 下读/上写 （完整性） （机密
——状态变迁通过改变访问矩阵M实现。
该安全模型尽管简单，但在计算机安全研究史上具有较大和较长的影响，Harrison、 Ruzzo和Ullman提出HRU安全模型以及Bell LaPadula提出BLP安全模型均基于此。
-5-
All rights reserved © 2007
2、基本模型－ HRU(1)
6）: 论证是适当的（ Relevance）
-3-
All rights reserved © 2007
一些主要的模型
基本模型：HRU
MAC强制 访问控制 Chinese Wall DAC自主 RBAC 信息流 Biba （非干扰性，非观察性） BLP
机密性
完整性
Clark-Wilson
系统安全保障模型：PDR、PPDR、OSI
模型抽象过程
1）: 标识外部接口需求 External Interface.(input,output,attribute.) 2）: 标识内部需求Internal Requirements
3）: 设置策略强制的操作规则
4）: 判定 What is Already Known. 5）:论证 (Demonstrate)一致性与正确性

信息流概念： 信息流可表述为“从对象a流向对象b的信息（信息流）是指 对象b的值按某种方式依靠对象a的值”。

例如：if a = 0 then b := c, information flows explicitly from c to b (when a = 0) and implicitly from a to b (when b≠ c).
- 19 -
All rights reserved © 2007
RBAC模型－层次
基本模型RBAC0 角色分级模型RBAC1 角色限制模型RBAC2 统一模型RBAC3
Fra Baidu bibliotek
RBAC3
RBAC1
RBAC2
RBAC0
- 20 -
All rights reserved © 2007
RBAC模型－RBAC0
信息安全模型
信息安全模型
安全模型用于精确地和形式地描述信息系统的安全特征，以及用 于解释系统安全相关行为的理由。 安全模型的作用
•
•
准确描述安全的重要方面与系统行为的关系
提高对成功实现关键安全需求的理解层次
“安全模型”的表达能力有其局限性，形式的语法多于形式的语 义。
-2-
All rights reserved © 2007
- 18 -
All rights reserved © 2007
6、RBAC模型
角色的概念： 角色的抽象定义是指相对于特定的活动的一系列行动和职责集合， 角色面向于用户组，但不同于用户组，角色包含了用户集和权限集。 RBAC特点： 角色控制相对独立，根据配置可使某些角色接近DAC，某些角色接近 MAC

enter a into (s, o),
（矩阵） （主体） （客体）
delete a from (s, o),
create subject s , destroy subject s , create object o , destroy object o 。
-7-
All rights reserved © 2007
RBAC模型－优势
便于授权管理 便于角色划分 便于赋予最小特权 便于职责分担 便于目标分级
- 25 -
All rights reserved © 2007
7、 信息流模型

隐通道：访问控制模型通过对访问主体与访问客体的控制实施安全策略 ，但恶意的用户仍然可能利用系统的副作用（边际效应）形成从高安全 级别到低安全级别的通道。 信息流模型：不对访问主体与客体实施控制，而是直接控制用户间的信 息流
-4All rights reserved © 2007
1、基本模型－Lampson
Lampson模型的结构被抽象为状态三元组( S, O, M )，
—— S 访问主体集，
—— O 为访问客体集（可包含S的子集），
—— M 为访问矩阵，矩阵单元记为M[s,o]，表示
主体s对客体o的访问权限。所有的访问权限构成一有限集A。
系统请求的形式
if a1 in M [s1 ; o1 ] and a2 in M [s2 ; o2 ] and
...
am in M [sm ; om ] then op1 ... opn
-6-
All rights reserved © 2007
基本模型－ HRU(2)
系统请求分为条件和操作两部分，其中ai ∈A，并且opi属于下列六种元 操作之一（元操作的语义如其名称示意）：
• •
与主体曾经访问过的信息属于同一公司数据集合的信息，即墙内信息 可以访问。 属于一个完全不同的兴趣冲突组的可以访问。
主体能够对一个客体进行写的前提，是主体未对任何属于其他公 司数据集的访问。 定理1：一个主体一旦访问过一个客体，则该主体只能访问位于同 一公司数据集的客体或在不同兴趣组的客体 定理2：在一个兴趣冲突组中，一个主体最多只能访问一个公司数 据集