第2讲网络信息安全基础理论
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2012年5月4日 全军通信网络安全研究中心 20
保密性安全(BLP)模型
1) BLP模型有两个主要特性: 模型有两个主要特性: 模型有两个主要特性 简单安全特性: 简单安全特性:当主体的安全级别不低于客 体的安全级别时,才允许访问客体; 体的安全级别时,才允许访问客体; *-特性:不允许“下写”信息,即不允许高 特性: 特性 不允许“下写”信息, 安全级别的主体把所获得的信息传递给低级 别的主体或客体。 别的主体或客体。 访问监控器模型与BLP模型形成了“美国国防 模型形成了“ 访问监控器模型与 模型形成了 部可信赖计算机系统评价标准”的基础。 部可信赖计算机系统评价标准”的基础
客体 FILE1
FILE2 PRG1
O:WONER : R:READ : W:WRITE : X:EXCUTE :
2012年5月4日
HELP
4
FILE1
FILE2
PRG1
HELP
USER-A USER-B USER-C USER-D
ORW R RW ORW
OX
R R RW
X
O
2012年5月4日
全军通信网络安全研究中心
2012年5月4日
全军通信网络安全研究中心
7
各类访问控制方式示意图
访问控制矩阵 能力
目标1 目标2 目标 目标 主体1 主体 RW R X
主体
主体2 主体
控 制 过 程
目标 (文件) 文件)
访问目录表 访问控制表ACL 访问控制表
2012年5月4日
全军通信网络安全研究中心
8
信息系统安全模型
模型分类 单级安全模型 多级安全模型
2012年5月4日 全军通信网络安全研究中心 19
通用的安全性格模型
格是关系操作符≤下的元素的一种数学结构。 格是关系操作符≤下的元素的一种数学结构。 是一种偏序关系,偏序关系是自反的、 ≤是一种偏序关系,偏序关系是自反的、传 递的与反对称的。 递的与反对称的。格中每个元素并不都是 可比的。但每对元素有一个最小的上界, 可比的。但每对元素有一个最小的上界, 也具有最大下界。 也具有最大下界。 在军用安全模型中所定义的关系≤ 在军用安全模型中所定义的关系≤也是格的 关系。在给出的例子中, 关系。在给出的例子中,最大元素是信息 绝密;全部信息项》, 》,最小元素是 类《绝密;全部信息项》,最小元素是 无密;空集》。 《无密;空集》。
2012年5月4日
全军通信网络安全研究中心
9
1、模型类型
•单级模型:对目标要么保护,要么不保护。 单级模型:对目标要么保护,要么不保护。 单级模型 •监控器模型 监控器模型 •单级信息流模型 单级信息流模型 •多级安全性的格模型 多级安全性的格模型 •军用安全格模型 军用安全格模型 •通用安全性格模型 通用安全性格模型
5
能力机制:能力包括创建目标、 能力机制:能力包括创建目标、指派对目 标的操作权限以及对这些权限的转移控制 等权利。能力是一种权证, 等权利。能力是一种权证,它是操作系统 赋予主体访问目标的许可权限。 赋予主体访问目标的许可权限。 能力允许用户创建文件、数据区、 能力允许用户创建文件、数据区、进程等 目标, 目标,也允许用户对这些目标指定操作类 如读、 执行等。 型,如读、写、执行等。
2012年5月4日
全军通信网络安全研究中心
2
文件名 A B C
权限 ORW OX R 文件(客体 文件 客体) 客体 A B O:Owner : R:Read : W:Write : X:Execute :
用户A目录 用户 目录 C D B ORW RW RW D C
2012年5月4日
全军通信网络安全研究中心
2012年5月4日
全军通信网络安全研究中心
21
简单安全特性表现为, 简单安全特性表现为,仅当一个主体的安全级不低于客体的安 全级时,才允许该主体读该客体; 特性表现为仅当一个主体 全级时,才允许该主体读该客体;*-特性表现为仅当一个主体 的安全级不高于客体安全级时,才允许允许该主体写该客体。 的安全级不高于客体安全级时,才允许允许该主体写该客体。
2012年5月4日 全军通信网络安全研究中心 14
信息流的追踪分析
单级信息流 C=B; ; D=C; ; A=D; ; 信息流: 信息流:B
主体
C
D
A
合Βιβλιοθήκη Baidu请求
过滤器
不合法请求
目标
2012年5月4日
全军通信网络安全研究中心
15
3、多级安全模型
军用安全模型 通用安全格模型 保密性安全模型( 模型) 保密性安全模型(BLP模型) 模型 完整性安全模型( 模型) 完整性安全模型(Biba模型) 模型
写允许 机密进程 机密进程
写禁止
读允许 机密文件 读禁止
读允许 普通文件 读允许 机密文件 普通文件
普通进程 普通进程 写允许 写允许
简单安全性示意图
2012年5月4日 全军通信网络安全研究中心
*-特性示意图 特性示意图
22
2) BLP模型的形式描述
和目标集为O, 中的每个s和 中 设:系统的主体集为S和目标集为 ,对S中的每个 和O中 系统的主体集为 和目标集为 中的每个 的每个目标o,存在固定的安全类SC(s)和SC(o),安全 的每个目标 ,存在固定的安全类 和 , 类根据≤关系排序,有两个重要的特性描述信息流的安全 类根据≤关系排序, 排序 特性。 特性。 简单安全特性:一个主体s对目标 对目标o,仅当SC(o) ≤ SC(s) 简单安全特性:一个主体 对目标 ,仅当 才有“ 访问权。 时,s对o才有“读”访问权。 对 才有 *-特性:对目标 有读访问权的主体 可以对目标 有“写” 特性: 可以对目标 特性 对目标o有读访问权的主体s可以对目标p有 访问权,但仅当SC(o) ≤ SC(p)。 访问权,但仅当 。 在军用模型中*-特性用于防止高密级信息的 下写” 特性用于防止高密级信息的“ 在军用模型中 特性用于防止高密级信息的“下写”。 *-特性的要求是严格的,高级别的人不能与低级别的人交 特性的要求是严格的, 特性的要求是严格的 谈任何内容,甚至天气也不允许。在实现*-特性的时候 谈任何内容,甚至天气也不允许。在实现 特性的时候 可以考虑放松。 可以考虑放松。
2012年5月4日 全军通信网络安全研究中心 17
军用安全模型(续1)
(2) 访问者权证与信息访问类的表示形式相同。其中级别表 访问者权证与信息访问类的表示形式相同。 示该访问者的许可级别, 示该访问者的许可级别,信息组表示该访问者应该知道 的信息。 的信息。 (3) 定义敏感性目标和主体之间的关系≤,对于一个目标 定义敏感性目标和主体之间的关系≤ 对于一个目标O 和一个主体S有以下关系 有以下关系: 和一个主体 有以下关系: O ≤ S if rankO ≤ rankS AND compartmentO ⊆ compatmentS 一个主体可以访问一个目标,当且仅当(1)该主体的许可 一个主体可以访问一个目标,当且仅当( ) 级别至少像被访问信息组的级别一样高, 级别至少像被访问信息组的级别一样高,且(2)该主体 ) 需要知道该信息组的全部信息项。 需要知道该信息组的全部信息项。
2012年5月4日
全军通信网络安全研究中心
6
面向过程的访问控制: 面向过程的访问控制:在主体访问目标的 过程中对主体的访问操作进行监视与限制。 过程中对主体的访问操作进行监视与限制。 在目标周围建立一个保护层, 在目标周围建立一个保护层,任何对这个 目标的访问都受到这个保护层的控制。 目标的访问都受到这个保护层的控制。 例 对于只有读权的主体, 如,对于只有读权的主体,就要控制它不 能对目标进行修改。 能对目标进行修改。要建立一个对目标访 问进行控制的过程, 问进行控制的过程,它可以自己进行用户 认证,它对其他过程提供一个可信的接口。 认证,它对其他过程提供一个可信的接口。
访问监视器 单级信息流安全模型
2012年5月4日
全军通信网络安全研究中心
12
监控器模型
•访问监视器控制主体对每个目标的访问, 访问监视器控制主体对每个目标的访问, 访问监视器控制主体对每个目标的访问 •该模型容易实现 该模型容易实现 •缺点是易形成系统的瓶颈。 缺点是易形成系统的瓶颈。 缺点是易形成系统的瓶颈 •只能控制直接访问,不能控制信息的间接泄露。 只能控制直接访问,不能控制信息的间接泄露。 只能控制直接访问
2012年5月4日
全军通信网络安全研究中心
16
军用安全模型
1)军事安全策略:解决工作人员与其处理的对象(存储有 )军事安全策略:解决工作人员与其处理的对象( 密数据)之间的限制策略。 密数据)之间的限制策略。需要满足最小特权原理和知 其所需原则。每个人被分配不同权证, 其所需原则。每个人被分配不同权证 信息被划分为不同 安全级别。当人员的权证与信息的密级相同时,则允许读 则允许读。 安全级别。当人员的权证与信息的密级相同时 则允许读。 人员与信息按以下方法分类: 人员与信息按以下方法分类: (1) 系统中信息被划分为访问类:《级别;信息组》,其中 系统中信息被划分为访问类:《级别 信息组》, 访问类:《级别; 》,其中 级别分为无密、秘密、机密与绝密等级; 级别分为无密、秘密、机密与绝密等级;信息组是相关 信息项的集合。 信息项的集合。 例如有信息项:原子、密码术、某国, 机密; 某国 某国, 例如有信息项:原子、密码术、某国,则《机密;{某国, 原子}》,《绝密; 某国 密码术}》 》,《绝密 某国, 原子 》,《绝密;{某国,密码术 》等都表示不同的访 问类。 问类。
3
用户B目录 用户 目录
ACL表 表 客体目录 FILE1 FILE2 PRG1 HELP USER-A USER-B USER-C USER-C USER-A USER-D USER-A USER-B USER-C USER-D
全军通信网络安全研究中心
ORW R RW ORW OX X R R RW O
2012年5月4日 全军通信网络安全研究中心 18
军用安全模型( 军用安全模型(续2) )
例如:有一访问类为《机密; 某国 原子}》 某国, 例如:有一访问类为《机密;{某国,原子 》 的信息,若某个人具有《机密; 某国 原子, 某国,原子 的信息,若某个人具有《机密;{某国 原子 密码术}》的权证, 密码术 》的权证,则此人可以访问该信息 如果此人的权限为《秘密; 某国 某国}》 类。如果此人的权限为《秘密;{某国 》或 《绝密;{某国 密码术}》 ,则不能访问该 绝密; 某国,密码术 》 某国 密码术 信息类。 信息类。 在军用模型中, 在军用模型中,敏感性要求称为等级性要 而知其所需原则是非等级性的。 求,而知其所需原则是非等级性的。
第二讲
网络信息安全基础知识
2012年5月4日
全军通信网络安全研究中心
1
访问控制技术
访问目录表:规定访问者可以访问的对象。 访问目录表:规定访问者可以访问的对象。在 访问者与目标之间, 访问者与目标之间,访问目录表位于访问者一 端。 访问控制表(ACL):位于目标一端,每个目 访问控制表( ):位于目标一端, ):位于目标一端 标都有一张ACL表,说明允许访问该目标的主 标都有一张 表 体及其权限。 体及其权限。 访问控制矩阵:位于主体与目标之间, 访问控制矩阵:位于主体与目标之间,矩阵的 行代表主体,列代表目标、元素存放访问权限。 行代表主体,列代表目标、元素存放访问权限。
2012年5月4日 全军通信网络安全研究中心 10
1、模型类型(续)
•多级信息流模型 多级信息流模型 •保密性模型:Bell-LaPadula(BLP)模 保密性模型: 保密性模型 模 型 •完整性模型:Biba模型 完整性模型: 完整性模型 模型
2012年5月4日
全军通信网络安全研究中心
11
2、单级安全模型
访问请求
访 问 监 控 器
全军通信网络安全研究中心
允许访问
目标
拒绝访问
2012年5月4日 13
单级信息流模型
一个间接泄露信息的例子: 一个间接泄露信息的例子: if profit=0 then delete file T else begin write file T , “message” ; close file T end 这个程序通过扩展file T传递变量 传递变量 的值。 这个程序通过扩展 传递变量profit的值。又如: 的值 又如: if b=0 then a:=0 else a:=1 ; 可以从 的值推论出 是否为0。 的值推论出b是否为 可以从a的值推论出 是否为 。信息流模型类似一个过滤 器控制对特定目标的访问所允许的信息传递。 器控制对特定目标的访问所允许的信息传递。 需要借助编译器对程序各条语句进行信息流分析。 需要借助编译器对程序各条语句进行信息流分析。通过 信息流分析可以验证敏感信息是否泄露的问题。 信息流分析可以验证敏感信息是否泄露的问题。
保密性安全(BLP)模型
1) BLP模型有两个主要特性: 模型有两个主要特性: 模型有两个主要特性 简单安全特性: 简单安全特性:当主体的安全级别不低于客 体的安全级别时,才允许访问客体; 体的安全级别时,才允许访问客体; *-特性:不允许“下写”信息,即不允许高 特性: 特性 不允许“下写”信息, 安全级别的主体把所获得的信息传递给低级 别的主体或客体。 别的主体或客体。 访问监控器模型与BLP模型形成了“美国国防 模型形成了“ 访问监控器模型与 模型形成了 部可信赖计算机系统评价标准”的基础。 部可信赖计算机系统评价标准”的基础
客体 FILE1
FILE2 PRG1
O:WONER : R:READ : W:WRITE : X:EXCUTE :
2012年5月4日
HELP
4
FILE1
FILE2
PRG1
HELP
USER-A USER-B USER-C USER-D
ORW R RW ORW
OX
R R RW
X
O
2012年5月4日
全军通信网络安全研究中心
2012年5月4日
全军通信网络安全研究中心
7
各类访问控制方式示意图
访问控制矩阵 能力
目标1 目标2 目标 目标 主体1 主体 RW R X
主体
主体2 主体
控 制 过 程
目标 (文件) 文件)
访问目录表 访问控制表ACL 访问控制表
2012年5月4日
全军通信网络安全研究中心
8
信息系统安全模型
模型分类 单级安全模型 多级安全模型
2012年5月4日 全军通信网络安全研究中心 19
通用的安全性格模型
格是关系操作符≤下的元素的一种数学结构。 格是关系操作符≤下的元素的一种数学结构。 是一种偏序关系,偏序关系是自反的、 ≤是一种偏序关系,偏序关系是自反的、传 递的与反对称的。 递的与反对称的。格中每个元素并不都是 可比的。但每对元素有一个最小的上界, 可比的。但每对元素有一个最小的上界, 也具有最大下界。 也具有最大下界。 在军用安全模型中所定义的关系≤ 在军用安全模型中所定义的关系≤也是格的 关系。在给出的例子中, 关系。在给出的例子中,最大元素是信息 绝密;全部信息项》, 》,最小元素是 类《绝密;全部信息项》,最小元素是 无密;空集》。 《无密;空集》。
2012年5月4日
全军通信网络安全研究中心
9
1、模型类型
•单级模型:对目标要么保护,要么不保护。 单级模型:对目标要么保护,要么不保护。 单级模型 •监控器模型 监控器模型 •单级信息流模型 单级信息流模型 •多级安全性的格模型 多级安全性的格模型 •军用安全格模型 军用安全格模型 •通用安全性格模型 通用安全性格模型
5
能力机制:能力包括创建目标、 能力机制:能力包括创建目标、指派对目 标的操作权限以及对这些权限的转移控制 等权利。能力是一种权证, 等权利。能力是一种权证,它是操作系统 赋予主体访问目标的许可权限。 赋予主体访问目标的许可权限。 能力允许用户创建文件、数据区、 能力允许用户创建文件、数据区、进程等 目标, 目标,也允许用户对这些目标指定操作类 如读、 执行等。 型,如读、写、执行等。
2012年5月4日
全军通信网络安全研究中心
2
文件名 A B C
权限 ORW OX R 文件(客体 文件 客体) 客体 A B O:Owner : R:Read : W:Write : X:Execute :
用户A目录 用户 目录 C D B ORW RW RW D C
2012年5月4日
全军通信网络安全研究中心
2012年5月4日
全军通信网络安全研究中心
21
简单安全特性表现为, 简单安全特性表现为,仅当一个主体的安全级不低于客体的安 全级时,才允许该主体读该客体; 特性表现为仅当一个主体 全级时,才允许该主体读该客体;*-特性表现为仅当一个主体 的安全级不高于客体安全级时,才允许允许该主体写该客体。 的安全级不高于客体安全级时,才允许允许该主体写该客体。
2012年5月4日 全军通信网络安全研究中心 14
信息流的追踪分析
单级信息流 C=B; ; D=C; ; A=D; ; 信息流: 信息流:B
主体
C
D
A
合Βιβλιοθήκη Baidu请求
过滤器
不合法请求
目标
2012年5月4日
全军通信网络安全研究中心
15
3、多级安全模型
军用安全模型 通用安全格模型 保密性安全模型( 模型) 保密性安全模型(BLP模型) 模型 完整性安全模型( 模型) 完整性安全模型(Biba模型) 模型
写允许 机密进程 机密进程
写禁止
读允许 机密文件 读禁止
读允许 普通文件 读允许 机密文件 普通文件
普通进程 普通进程 写允许 写允许
简单安全性示意图
2012年5月4日 全军通信网络安全研究中心
*-特性示意图 特性示意图
22
2) BLP模型的形式描述
和目标集为O, 中的每个s和 中 设:系统的主体集为S和目标集为 ,对S中的每个 和O中 系统的主体集为 和目标集为 中的每个 的每个目标o,存在固定的安全类SC(s)和SC(o),安全 的每个目标 ,存在固定的安全类 和 , 类根据≤关系排序,有两个重要的特性描述信息流的安全 类根据≤关系排序, 排序 特性。 特性。 简单安全特性:一个主体s对目标 对目标o,仅当SC(o) ≤ SC(s) 简单安全特性:一个主体 对目标 ,仅当 才有“ 访问权。 时,s对o才有“读”访问权。 对 才有 *-特性:对目标 有读访问权的主体 可以对目标 有“写” 特性: 可以对目标 特性 对目标o有读访问权的主体s可以对目标p有 访问权,但仅当SC(o) ≤ SC(p)。 访问权,但仅当 。 在军用模型中*-特性用于防止高密级信息的 下写” 特性用于防止高密级信息的“ 在军用模型中 特性用于防止高密级信息的“下写”。 *-特性的要求是严格的,高级别的人不能与低级别的人交 特性的要求是严格的, 特性的要求是严格的 谈任何内容,甚至天气也不允许。在实现*-特性的时候 谈任何内容,甚至天气也不允许。在实现 特性的时候 可以考虑放松。 可以考虑放松。
2012年5月4日 全军通信网络安全研究中心 17
军用安全模型(续1)
(2) 访问者权证与信息访问类的表示形式相同。其中级别表 访问者权证与信息访问类的表示形式相同。 示该访问者的许可级别, 示该访问者的许可级别,信息组表示该访问者应该知道 的信息。 的信息。 (3) 定义敏感性目标和主体之间的关系≤,对于一个目标 定义敏感性目标和主体之间的关系≤ 对于一个目标O 和一个主体S有以下关系 有以下关系: 和一个主体 有以下关系: O ≤ S if rankO ≤ rankS AND compartmentO ⊆ compatmentS 一个主体可以访问一个目标,当且仅当(1)该主体的许可 一个主体可以访问一个目标,当且仅当( ) 级别至少像被访问信息组的级别一样高, 级别至少像被访问信息组的级别一样高,且(2)该主体 ) 需要知道该信息组的全部信息项。 需要知道该信息组的全部信息项。
2012年5月4日
全军通信网络安全研究中心
6
面向过程的访问控制: 面向过程的访问控制:在主体访问目标的 过程中对主体的访问操作进行监视与限制。 过程中对主体的访问操作进行监视与限制。 在目标周围建立一个保护层, 在目标周围建立一个保护层,任何对这个 目标的访问都受到这个保护层的控制。 目标的访问都受到这个保护层的控制。 例 对于只有读权的主体, 如,对于只有读权的主体,就要控制它不 能对目标进行修改。 能对目标进行修改。要建立一个对目标访 问进行控制的过程, 问进行控制的过程,它可以自己进行用户 认证,它对其他过程提供一个可信的接口。 认证,它对其他过程提供一个可信的接口。
访问监视器 单级信息流安全模型
2012年5月4日
全军通信网络安全研究中心
12
监控器模型
•访问监视器控制主体对每个目标的访问, 访问监视器控制主体对每个目标的访问, 访问监视器控制主体对每个目标的访问 •该模型容易实现 该模型容易实现 •缺点是易形成系统的瓶颈。 缺点是易形成系统的瓶颈。 缺点是易形成系统的瓶颈 •只能控制直接访问,不能控制信息的间接泄露。 只能控制直接访问,不能控制信息的间接泄露。 只能控制直接访问
2012年5月4日
全军通信网络安全研究中心
16
军用安全模型
1)军事安全策略:解决工作人员与其处理的对象(存储有 )军事安全策略:解决工作人员与其处理的对象( 密数据)之间的限制策略。 密数据)之间的限制策略。需要满足最小特权原理和知 其所需原则。每个人被分配不同权证, 其所需原则。每个人被分配不同权证 信息被划分为不同 安全级别。当人员的权证与信息的密级相同时,则允许读 则允许读。 安全级别。当人员的权证与信息的密级相同时 则允许读。 人员与信息按以下方法分类: 人员与信息按以下方法分类: (1) 系统中信息被划分为访问类:《级别;信息组》,其中 系统中信息被划分为访问类:《级别 信息组》, 访问类:《级别; 》,其中 级别分为无密、秘密、机密与绝密等级; 级别分为无密、秘密、机密与绝密等级;信息组是相关 信息项的集合。 信息项的集合。 例如有信息项:原子、密码术、某国, 机密; 某国 某国, 例如有信息项:原子、密码术、某国,则《机密;{某国, 原子}》,《绝密; 某国 密码术}》 》,《绝密 某国, 原子 》,《绝密;{某国,密码术 》等都表示不同的访 问类。 问类。
3
用户B目录 用户 目录
ACL表 表 客体目录 FILE1 FILE2 PRG1 HELP USER-A USER-B USER-C USER-C USER-A USER-D USER-A USER-B USER-C USER-D
全军通信网络安全研究中心
ORW R RW ORW OX X R R RW O
2012年5月4日 全军通信网络安全研究中心 18
军用安全模型( 军用安全模型(续2) )
例如:有一访问类为《机密; 某国 原子}》 某国, 例如:有一访问类为《机密;{某国,原子 》 的信息,若某个人具有《机密; 某国 原子, 某国,原子 的信息,若某个人具有《机密;{某国 原子 密码术}》的权证, 密码术 》的权证,则此人可以访问该信息 如果此人的权限为《秘密; 某国 某国}》 类。如果此人的权限为《秘密;{某国 》或 《绝密;{某国 密码术}》 ,则不能访问该 绝密; 某国,密码术 》 某国 密码术 信息类。 信息类。 在军用模型中, 在军用模型中,敏感性要求称为等级性要 而知其所需原则是非等级性的。 求,而知其所需原则是非等级性的。
第二讲
网络信息安全基础知识
2012年5月4日
全军通信网络安全研究中心
1
访问控制技术
访问目录表:规定访问者可以访问的对象。 访问目录表:规定访问者可以访问的对象。在 访问者与目标之间, 访问者与目标之间,访问目录表位于访问者一 端。 访问控制表(ACL):位于目标一端,每个目 访问控制表( ):位于目标一端, ):位于目标一端 标都有一张ACL表,说明允许访问该目标的主 标都有一张 表 体及其权限。 体及其权限。 访问控制矩阵:位于主体与目标之间, 访问控制矩阵:位于主体与目标之间,矩阵的 行代表主体,列代表目标、元素存放访问权限。 行代表主体,列代表目标、元素存放访问权限。
2012年5月4日 全军通信网络安全研究中心 10
1、模型类型(续)
•多级信息流模型 多级信息流模型 •保密性模型:Bell-LaPadula(BLP)模 保密性模型: 保密性模型 模 型 •完整性模型:Biba模型 完整性模型: 完整性模型 模型
2012年5月4日
全军通信网络安全研究中心
11
2、单级安全模型
访问请求
访 问 监 控 器
全军通信网络安全研究中心
允许访问
目标
拒绝访问
2012年5月4日 13
单级信息流模型
一个间接泄露信息的例子: 一个间接泄露信息的例子: if profit=0 then delete file T else begin write file T , “message” ; close file T end 这个程序通过扩展file T传递变量 传递变量 的值。 这个程序通过扩展 传递变量profit的值。又如: 的值 又如: if b=0 then a:=0 else a:=1 ; 可以从 的值推论出 是否为0。 的值推论出b是否为 可以从a的值推论出 是否为 。信息流模型类似一个过滤 器控制对特定目标的访问所允许的信息传递。 器控制对特定目标的访问所允许的信息传递。 需要借助编译器对程序各条语句进行信息流分析。 需要借助编译器对程序各条语句进行信息流分析。通过 信息流分析可以验证敏感信息是否泄露的问题。 信息流分析可以验证敏感信息是否泄露的问题。