安全策略与安全模型PPT幻灯片
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
那么, b≤a 或b≥a如何进行比较呢?
13
定义 A={U,C,S,TS} B= {部门或类别或范畴}
例: B= {科技处,干部处,生产处,情报处} PB= 2B={H|H B}
在A×PB上定义一个二元关系“≤”: A×PB={(a,H)|a ∈A 且 H PB}
(a1,H1), (a2,H2) ∈A×PB ,当且仅当 a1 ≤ a2,H1 H2时,有 (a1,H1) ≤(a2,H2)
对于客体来说 ,{部门或类别或范畴}可定义为该 客体所包含的信息所涉及的范围 部门或所具有的类别属性
对于主体来说 ,{部门或类别或范畴}可定义为该 主体能访问的信息所涉及的范围或部门
例:2011年财务报表 (S,{财务处,总裁办公室,党办,财经小组})
11
例:2011年财务报表 (S,{财务处,总裁办公室,党办,财经小组}) 肯定不会写成: (S,{财务处,三车间,大门})
第三讲 安全策略与安全模型
一 数学基础
1.集合 元素 子集 a∈ A HS
2.集合的幂集 2A =P(A) ={H A}
3.笛卡尔积 A×B={(a,b)| a∈A ,b ∈B}
4.集合A上的关系的性质
设是A上的关系,a ∈A 均aa--------自反
设是A上的关系,a,b ∈A若ab,则ab与ba不能同时出现 --------反对称
--------反对称 设是A上的关系,a,b,c ∈A若ab, bc则一定有ac
---------可传递的
6
二 安全策略
1.安全策略的概念
计算机系统的安全策略是为了描述系统的
安全需求而制定的对用户行为进行约 束的一整套严谨的规则。这些规则规
定系统中所有授权的访问,是实施访问控 制的依据。
7
2.安全策略举例
3
7.一个有用的结论 命题:若<A;≤1>和<B;≤2>是两个偏序集,在笛 卡尔积A×B上定义关系≤,对任意(a1,b1), (a2,b2) ∈A×B 当且仅当
a1≤1a2, b1≤2b2时,有(a1,b1) ≤(a2,b2) 可以证明:<A×B;≤>也是一个偏序集
4
因为<A;≤1>、 <B;≤2>为偏序关系,所以
(iii) (a1,b1) ,(a2,b2) ,(a3,b3) ∈ A×B,若(a1,b1) ≤(a2,b2) , (a2,b2) ≤(a3,b3) 则一定有(a1,b1) ≤(a3,b3)
设是A上的关系,a ∈A 均aa --------自反 设是A上的关系,a,b ∈A若ab,则ab与ba不能同时出现
可以证明: ≤是 A×PB上的一个偏序关系
即<A×PB;≤>构成一个偏序集。
14
可利用命题:若<A;≤1>和<B;≤2>是两个偏序 集,在笛卡尔积A×B上定义关系≤,对任意 (a1,b1), (a2,b2) ∈A×B 当且仅当 a1≤1a2, b1≤2b2时,有(a1,b1) ≤(a2,b2) 可以证明:<A×B;≤>也是一个偏序集。
例:车间主任 (C,{三车间,仓库})
肯定不会写成: (S,{财务处,党办,财经小组})
12
主体、客体安全级定义以后,就可以通 过比较主客体安全级,来决定主体对客 体的访问以及什么样的访问。
前面讲过,在实施多级安全策略的系统中,系统为每 一个主体和每一个客体分配一个安全级。若某主 体具有访问密级a的能力,则对任意b≤a,该主体也 具有访问b的能力。若某主体具有访问密级a的能 力,则对任意b≥a,该主体不具有访问b的能力。
①军事安全策略中的强制访问控制策略: 系统中每个主体和客体都分配一个安全标准 (安全级)
客体的安全级表示客体所包含的信息的敏感程度 主体的安全级表示主体在系统中受信任的程度
8
②安全标准由两部分组成 (密级,部门(或类别)集)
eg:密级分为4个级别:一般秘密机密绝密
(UC S TS) 令A={U,C,S,TS},则<A;≤>是A上的全序,构成偏序集
a1 ∈A 有a 1≤1 a1, b1 ∈B 有b 1≤1 b1
所以 (a1,b1) ≤(a1,b1) 自反
由(a1,b1) ≤(a2,b2) (a2,b2) ≤(a1,b1),可得 a1≤1a2, a2≤1a1 可得 a1=a2;同理有b1=b2,此即(a2,b2) =(a1,b1)
反对称 又由(a1,b1) ≤(a2,b2) (a2,b2) ≤(a3,b3),此即 a1≤1a2, a2≤1a3
可得 a1≤1a3 同理: b1≤2b2, b2≤2b3 可得 b1≤2b3
最后有(a1,b1) ≤(a3,b3) 传递性
5
亦即 (i)(a,b)∈A×B ,均有 (a,b) ≤(a,b)
(ii)(a1,b1),(a2,b2),∈ A×B,若(a1,b1) (a2,b2), 则(a1,b1) ≤(a2,b2) 与(a2,b2) ≤(a1,b1) 不能同时出现
9
在实施多级安全策略的系统中,系统为每一个主体 和每一个客体分配一个安全级。
(密级,部门(或类别)集)或(密级,{部门或类别})
若某主体具有访问密级a的能力,则对任意b≤a,该 主体也具有访问b的能力
若某主体具有访问密级a的能力,则对任意b≥a,该 主体不具有访问b的能力
10
(密级,{部门或类别或范畴})理解:
2
5.集合上的偏序关系
全序 :一个集合 A 上的任意两个元素之间都满足偏Biblioteka Baidu关系, 则称该偏序为 A 上的一个全序
良序 :一个集合 A 上的偏序,若对于 A 的每一个非空子集 S A,
在 S 中存在一个元素 as(称为 S 的最小元素),使得对于
所有的 s ∈ S,有as ≤s,则称它为 A上的一个良序
设是A上的关系,a,b,c ∈A若ab, bc则一定有ac ---------可传递的
1
5.集合上的偏序关系
偏序关系:集合 A 上的关系ρ , 如果它是自反、反对称且 可传递的,则称ρ为 A 上的一个偏序关系。
“偏序关系”也叫做“偏序”,用“≤”符号表
示。
可比:设≤是集合 A 上的偏序,对于 a、b∈A,若有 a ≤ b 或 b ≤ a,则称 a 和 b 是可比的,否则称 a 和 b 是不可比的
<A;≤>
例:令B={科技处,干部处,生产处,情报处},
PB= 2B={H|H B} ,显然< PB; >构成一个偏序集
class(O1) =(C,{科技处})
class(u) =(S,{科技处,干部处})
class(O2) =(TS,{科技处,情报处,干部处}) class(O3)=(C,{情报处})
13
定义 A={U,C,S,TS} B= {部门或类别或范畴}
例: B= {科技处,干部处,生产处,情报处} PB= 2B={H|H B}
在A×PB上定义一个二元关系“≤”: A×PB={(a,H)|a ∈A 且 H PB}
(a1,H1), (a2,H2) ∈A×PB ,当且仅当 a1 ≤ a2,H1 H2时,有 (a1,H1) ≤(a2,H2)
对于客体来说 ,{部门或类别或范畴}可定义为该 客体所包含的信息所涉及的范围 部门或所具有的类别属性
对于主体来说 ,{部门或类别或范畴}可定义为该 主体能访问的信息所涉及的范围或部门
例:2011年财务报表 (S,{财务处,总裁办公室,党办,财经小组})
11
例:2011年财务报表 (S,{财务处,总裁办公室,党办,财经小组}) 肯定不会写成: (S,{财务处,三车间,大门})
第三讲 安全策略与安全模型
一 数学基础
1.集合 元素 子集 a∈ A HS
2.集合的幂集 2A =P(A) ={H A}
3.笛卡尔积 A×B={(a,b)| a∈A ,b ∈B}
4.集合A上的关系的性质
设是A上的关系,a ∈A 均aa--------自反
设是A上的关系,a,b ∈A若ab,则ab与ba不能同时出现 --------反对称
--------反对称 设是A上的关系,a,b,c ∈A若ab, bc则一定有ac
---------可传递的
6
二 安全策略
1.安全策略的概念
计算机系统的安全策略是为了描述系统的
安全需求而制定的对用户行为进行约 束的一整套严谨的规则。这些规则规
定系统中所有授权的访问,是实施访问控 制的依据。
7
2.安全策略举例
3
7.一个有用的结论 命题:若<A;≤1>和<B;≤2>是两个偏序集,在笛 卡尔积A×B上定义关系≤,对任意(a1,b1), (a2,b2) ∈A×B 当且仅当
a1≤1a2, b1≤2b2时,有(a1,b1) ≤(a2,b2) 可以证明:<A×B;≤>也是一个偏序集
4
因为<A;≤1>、 <B;≤2>为偏序关系,所以
(iii) (a1,b1) ,(a2,b2) ,(a3,b3) ∈ A×B,若(a1,b1) ≤(a2,b2) , (a2,b2) ≤(a3,b3) 则一定有(a1,b1) ≤(a3,b3)
设是A上的关系,a ∈A 均aa --------自反 设是A上的关系,a,b ∈A若ab,则ab与ba不能同时出现
可以证明: ≤是 A×PB上的一个偏序关系
即<A×PB;≤>构成一个偏序集。
14
可利用命题:若<A;≤1>和<B;≤2>是两个偏序 集,在笛卡尔积A×B上定义关系≤,对任意 (a1,b1), (a2,b2) ∈A×B 当且仅当 a1≤1a2, b1≤2b2时,有(a1,b1) ≤(a2,b2) 可以证明:<A×B;≤>也是一个偏序集。
例:车间主任 (C,{三车间,仓库})
肯定不会写成: (S,{财务处,党办,财经小组})
12
主体、客体安全级定义以后,就可以通 过比较主客体安全级,来决定主体对客 体的访问以及什么样的访问。
前面讲过,在实施多级安全策略的系统中,系统为每 一个主体和每一个客体分配一个安全级。若某主 体具有访问密级a的能力,则对任意b≤a,该主体也 具有访问b的能力。若某主体具有访问密级a的能 力,则对任意b≥a,该主体不具有访问b的能力。
①军事安全策略中的强制访问控制策略: 系统中每个主体和客体都分配一个安全标准 (安全级)
客体的安全级表示客体所包含的信息的敏感程度 主体的安全级表示主体在系统中受信任的程度
8
②安全标准由两部分组成 (密级,部门(或类别)集)
eg:密级分为4个级别:一般秘密机密绝密
(UC S TS) 令A={U,C,S,TS},则<A;≤>是A上的全序,构成偏序集
a1 ∈A 有a 1≤1 a1, b1 ∈B 有b 1≤1 b1
所以 (a1,b1) ≤(a1,b1) 自反
由(a1,b1) ≤(a2,b2) (a2,b2) ≤(a1,b1),可得 a1≤1a2, a2≤1a1 可得 a1=a2;同理有b1=b2,此即(a2,b2) =(a1,b1)
反对称 又由(a1,b1) ≤(a2,b2) (a2,b2) ≤(a3,b3),此即 a1≤1a2, a2≤1a3
可得 a1≤1a3 同理: b1≤2b2, b2≤2b3 可得 b1≤2b3
最后有(a1,b1) ≤(a3,b3) 传递性
5
亦即 (i)(a,b)∈A×B ,均有 (a,b) ≤(a,b)
(ii)(a1,b1),(a2,b2),∈ A×B,若(a1,b1) (a2,b2), 则(a1,b1) ≤(a2,b2) 与(a2,b2) ≤(a1,b1) 不能同时出现
9
在实施多级安全策略的系统中,系统为每一个主体 和每一个客体分配一个安全级。
(密级,部门(或类别)集)或(密级,{部门或类别})
若某主体具有访问密级a的能力,则对任意b≤a,该 主体也具有访问b的能力
若某主体具有访问密级a的能力,则对任意b≥a,该 主体不具有访问b的能力
10
(密级,{部门或类别或范畴})理解:
2
5.集合上的偏序关系
全序 :一个集合 A 上的任意两个元素之间都满足偏Biblioteka Baidu关系, 则称该偏序为 A 上的一个全序
良序 :一个集合 A 上的偏序,若对于 A 的每一个非空子集 S A,
在 S 中存在一个元素 as(称为 S 的最小元素),使得对于
所有的 s ∈ S,有as ≤s,则称它为 A上的一个良序
设是A上的关系,a,b,c ∈A若ab, bc则一定有ac ---------可传递的
1
5.集合上的偏序关系
偏序关系:集合 A 上的关系ρ , 如果它是自反、反对称且 可传递的,则称ρ为 A 上的一个偏序关系。
“偏序关系”也叫做“偏序”,用“≤”符号表
示。
可比:设≤是集合 A 上的偏序,对于 a、b∈A,若有 a ≤ b 或 b ≤ a,则称 a 和 b 是可比的,否则称 a 和 b 是不可比的
<A;≤>
例:令B={科技处,干部处,生产处,情报处},
PB= 2B={H|H B} ,显然< PB; >构成一个偏序集
class(O1) =(C,{科技处})
class(u) =(S,{科技处,干部处})
class(O2) =(TS,{科技处,情报处,干部处}) class(O3)=(C,{情报处})