完整性策略模型
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Clark-Wilson 完整性模型
完整性: 数据的一些列约束
Data in a consistent or valid state when it satisfies these D 今日的存款, W 今日的取款, YB 昨天的余额, TB 今日 的余额 完整性约束: D + YB –W=TB
实施规则 1 、 2
ER1 系统必须保持所有的证明关系,且必须保证只 有证明可运行于一个CDI的TP才能操作该CDI ER2 系统必须将用户与每个TP及一组相关的CDI关 联起来:(UserID, TP,(CDIa, CDIb,…))。TP作 为这些用户的代表访问这些 CDI. 如果一个用 户没有关联 某个TP 和 CDI,则这个TP不能代 表该用户访问该CDI.
Biba 基于完整性的分级 Clark-Wilson 重点在于责权分离和事务处理
混合策略 Hybrid Policies
Overview 中国墙 模型 医疗信息系统安全策略 创建者控制的访问控制ORCON 基于角色的访问控制RBAC
中国墙 模型
问题:
来自商业的需要 投资公司
公开信息没有利益冲突 读过公开信息不应影响其读权利 公开信息在发布前将敏感数据删除 (消毒) O 是无毒客体
在CW-简单安全条件中加入第三个条件 :
3.
写
假设Anthony, Susan 在同一交易所工作 Anthony 能读 Bank 1 的 CD, Gas 的 CD Susan 能读 Bank 2 的CD, Gas 的 CD 如果Anthony 能写 Gas 的 CD, 则Susan能读 到。
Written CD(O)
( Conflict of interest class COI): 有利益冲突的公司的 CD集合 中国墙模型假设 每个客体只属于一个 COI
例
Bank COI Class Bank of America Citibank Bank of the West Gasoline Company Class Shell Oil Standard Oil ARCO
C-W history lets Anna know if she can No way for Bell-LaPadula to capture this
访问限制随时间变化
初始时, 新主体可访问任意CD。随着访问的CD的增加,限制也增 加。 Bell-LaPadula 限制了主体访问的客体集合
系统必须保持, 强制维护保证关系 系统必须根据用户ID限制访问 (被允许关系)
用户
CR3 E2中定义“被允许”关系列表必须满足分散 权力原则. ER3 系统必须对每一个试图执行TP的用户进行认 证
认证方法由具体系统决定 未认证的用户只能操纵UDI Authentication not required before use of the system, but is required before manipulation of CDIs (requires using TPs)
利益冲突不是关键问题 病人信息的保密性, 对记录的认证、对在记录中登记信 息的人的认证、记录的完整性! 病人、病人监护人: 医疗记录的主体 个人健康信息: 关于病人健康和治疗的信息,能用于鉴 别病人 医生: 医疗专业人员,工作中有权访问个人健康信息
实体:
假设和原则
环策略
环策略忽略间接修改的问题,只强调直接修改,这可以解决上述的问题。
Biba模型 (严格完整性策略)
和low-water-mark策略一样,这种策略不允许在没有授权的 情况下对实体进行直接的或间接的修改。以“完整性类别等 级”的概念来替代“完整性等级”,同时增加自主控制的概 念,就可以获得Bell-I,aPad模型的完全对偶。
因此, Susan 能间接读Bank 1的 CD, 导致了利益 冲突。
CW-*-属性
主体 s 能够写客体 o 当且仅当以两个条件同 时为真:
1. 2.
CW-简单安全条件允许 s 读 o; 对于未消毒客体 o, 如果 s 能读 o, 那么 CD(o) = CD(o)
s 能写一个客体, 如果它能读的全部未消 毒的客体与该客体在一个CD数据集中 有毒害信息被限制在它的CD中,而无毒数 据可在系统中自由流动。
从属于完整性约束的的数据 不从属于完整性约束的的数据
UDIs: unconstrained data items,非约束型数据项
IVPs: integrity verification procedures,完整性验证 过程
检查 CDI 是否满足完整性约束 将一个一致状态转换为另一个一致状态的操作过程
Union ’76
Temporal Element
如果 Anthony 能够读某个COI中的 CD, 他永 远不能读这个 COI中的其他CD。
在一个COI中只能访问一个CD
设 PR(S) 为S 曾经读过的客体集合
CW-简单安全条件
S 可读取 O,当且仅当以下任一条件为真:
1.
–
存在一个 O ,它是 s 曾经访问过的客体,并且 CD(O) = CD(O) 对于所有客体 O , O PR(S) COI(O) ≠ COI(O)
在银行,由键盘输入的数字是 UDI, 因此不能输入 给 TP. 在使用输入数字前,TP 必须先验证数字转 的一致性 ( CDI); 如果检查失败, TP 拒绝该 UDI
分散权力原则
ER4 只有TP的证明者可以改变与该TP相关的 实体列表。TP的证明者,没有对该TP的 执行许可。
强制实施了”证明”、“被允许”的职责 分摊
商业系统强调的是可恢复性和责任可追究性。审计是一种分析 系统的处理过程,用以确定发生了什么操作,以及这些操作的 执行者。因此,商业系统必须进行大量的审计。
Biba完整性模型
1977年,Biba首先对系统的完整性进行了研 究,提出了完整性策略。
low-water-mark策略
第一条规则防止从低等级向高等级写入,它禁止一个主体向更高等级的可信任客体 进行写入。直观上,如果一个主体想要改变一个具有更高可信度的客体时,它就可能 会导入不正确的或者是伪造的信息(因为主体的可信度比客体低)。在某种意义上,客 体的可信度将会降低为主体的可信度。因此,这种写入是不允许的。 第二条规则说明当一个主体读取一个完整性等级较低的客体时,主体的完整性等级 会降低。这种思想在于主体使用的数据的可信度比它自己的可信性还要低。因此,主 体的可信度要下降到较低的可信度等级。这样就可以防止数据“污染”主体或主体的 操作。 第三条规则允许一个主体执行另外一个主体,只要第二个主体的完整性等级不比第 一个主体的完整性等级高。否则,可信度低的调用者能够控制并破坏被调用的主体, 即使被调用主体的可信度更高。
low-water-mark策略
这种策略禁止降低完整性标签的直接修改。它也禁止间接修改,要求主体在读取完整性 等级较低的客体后降低其完整性等级。这意味着它很快就不能访问完整等级较高的客体。 另外一种策略是降低客体的完整性等级而不是主体的完整性等级, 但是这种策略又存在将客体完整性等级降到最低的特性。
与Bell-LaPadula比较
本质区别
CW 没有安全标签, B-LP 有 CW 用了访问的历史, B-LP 没有用
Bell-LaPadula 能描述任意时刻CW模型的状态 Bell-LaPadula 不能跟踪CW模型的状态变化
Susan becomes ill, Anna needs to take over
例: 银行
Well-formed 事务处理 将一个一致状态转换为另一个 一致状态 Issue: who examines, certifies transactions done correctly?
模型定义
CDIs: constrained data items,约束型数据项
–
S 读过 O’ 所属的CD中的客体
2.
s 没有读过 o’ 的COI中的其他客体
一个主体读了一个COI的任意客体,则在这个 CDI中它只能读该主体所属的CD。 主体数量与至少比一个CDI中的CD数目多 最初, PR(s) = , 最初的一个读总是允许 忽略了无害数据
无毒数据
一个CD中包含可公开信息
Lipner完整性矩阵模型
Lipner的研究回归到Bell-LaPadula模型,并 将Bell-LaPadula模型与Biba模型结合,创建 了一种新的模型,它更准确地符合商业性 策略的需求。 他定义了5种安全类别
Lipner完整性矩阵模型
他定义了两种安全等级:
系统用户等级和安全类分配:
Lipner完整性矩阵模型
实施规则
系统
证明规则 1、 2
CR1 当任意一个 IVP 在运行时, 它必须保证所有的 CDI 都是一致的 CR2 对于某些关联的 CDI 集合, TP 必须将 CDI 从 一个一致状态转换到另一个有效状态
定义TP与一组CDI的证明关系 certified 例: (TP: balance, CDIs: accounts),
Bell-LaPadula不能精确模拟C-W
CW能模拟Bell-LaPadula
与 Clark-Wilson比较
Clark-Wilson 模型处理完整性、可检验性、 访问控制。CW只考虑访问控制 Clark-Wilson 与中国墙在访问控制方面是 一致的
医疗信息系统安全策略
医疗记录
解决商业中的利益冲突问题 保密性、完整性同样考虑
组织
将信息对象分类为“利益冲突” 类 控制主体对每个类的访问 控制对对象的写操作,保障信息的传递不 违反规则 允许公开数据能够被访问
定义
客体:与一个公司相关的一条信息
( Company dataset, CD): 与一个公司相关的客体集合
日志
CR4 所有 TP 必须保证可写一个只允许添加 的 CDI(系统日志),所有的信息足够 用来重构操作.
系统日志被看作 CDI 审计人员能根据日志知道发生了什么
处理不可信的输入
CR5 任意将一个UDI 看作输入的 TP必须保证只进 行有效转换,或不转换。这种转换要么拒绝该 UDI ,要么将其转化为一个 CDI.
TPs: transaction procedures,转换过程
银行事务中:账户结算是CDI,检查账户的结算是 IVP. 存钱,取钱,转账属于TP
系统能保证仅有TP能操纵CDI,但不能保证 TP真的是well-formed transformation. 证明规则:
安全管理员,系统所有者(可能手工完成) 根据安全策略检查TP、IVP是否满足要求
与 Biba的比较
Biba
没有证明规则; 假定存在可信主体保证系统中操作都是 符合规则的,不提供证明机制。 将不可信数据升级到可信数据 明确给出了实体、及其操作须满足的限制
Clark-Wilson
更新(实体、操作)的操作是TP
可信实体证明处理数据(将不可信数据升级到可信数据) 的方法,而非数据本身
系统客体等级和安全类分配:
符合BLP模型的 简单安全性策略
安全需求
Lipner的完整性模型
Lipner的完整性模型
Lipner的完整性模型
Clark-Wilson完整性模型
1987年,David Clark和David Wilson开发了 一种完整性模型,它与先前的模型有着本 质上的区别。这种模型以事务处理为基本 操作,与先前的模型相比,它对于许多商 业系统(银行)的建模更加符合实际。
完整性策略
及混合策略
商业系统的安全需求
目标
商业需求与军事需求的区别在于,商业需求强调的是数据 的完整性。 首先是职责分离原则。 这条原则规定如果需要两个或多个步骤来执行一个关 键操作,那么至少需要两个不同的人来执行这些步骤。 其次是功能分离原则。
禁止开发人员在生产系统上开发新的程序,因为这样 会对生产数据构成威胁。 最后是审计。