[精选]信息安全模型讲义36595.pptx
( 4.5 )《[精选]信息安全模型讲义36595.pptx》由会员分享,可在线阅读,更多相关《[精选]信息安全模型讲义36595.pptx(55页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、信息安全模型信息安全模型n n1 安全模型概念n n2 访问控制模型n n3 信息流模型n n4 完整性模型n n5 信息安全模型1 安全模型概念安全模型概念n n安全模型用于安全模型用于精确地和形式地描述精确地和形式地描述信息系统的安信息系统的安全特征,以及用于全特征,以及用于解释解释系统安全相关行为的理由。系统安全相关行为的理由。n n分类分类1 1:访问控制模型,信息流模型。:访问控制模型,信息流模型。n n分类分类2 2:机密性要求,完整性,可用性:机密性要求,完整性,可用性 DoSDoS,等,等n n现有的现有的“安全模型安全模型”本质上不是完整的本质上不是完整的“模型模型”:仅描述
2、了安全要求:仅描述了安全要求(如:机密性如:机密性),未给出实现,未给出实现要求的任何相关要求的任何相关机制机制和方法。和方法。1.1 安全模型安全模型n n安全目标:机密性,完整性,安全目标:机密性,完整性,DoSDoS,n n控制目标:保障(控制目标:保障(TCB Trust Compute Base,TCB Trust Compute Base,Reference Monitor Reference Monitor),安全政策(),安全政策(Policy Policy DAC MACDAC MAC),审计),审计n n安全模型的形式化方法:安全模型的形式化方法:状态机,状态转换,状态机,
3、状态转换,不变量不变量模块化,抽象数据类型(面向对象模块化,抽象数据类型(面向对象)1.2 安全模型作用安全模型作用n n设计阶段n n实现阶段n n检查阶段(Review)n n维护阶段1.3 安全模型抽象过程安全模型抽象过程n nStep 1:Identify Requirements on the External Interface.(input,output,attribute.)n nStep 2:Identify Internal Requirementsn nStep 3:Design Rules of Operation for Policy Enforcementn nSt
4、ep 4:Determine What is Already Known.n nStep 5:Demonstrate(论证)Consistency and Correctnessn nStep 6:Demonstrate Relevance(适当的)1.4 Overview机密性访问控制信息流DAC自主MAC强制完整性RBACBLPChinese Wall(非干扰性,非观察性)BibaClark-Wilsonthe“Chinese Wall”Policy is a mandatory access control policy for stock market analysts.This or
5、ganizational policy is legally binding in the United Kingdom stock exchange.2 访问控制模型访问控制模型n n2.1 自主访问控制(Discretionary Access Control-DAC)机密性与完整性机密性与完整性 木马程序木马程序n n2.2 强制访问控制(Mandatory Access Control-MAC)机密性机密性 隐通道隐通道n n2.3 基于角色访问控制(RBAC)管理方式管理方式2.1 自主访问控制自主访问控制特点:根据主体的根据主体的身份身份和和授权授权来决定访问模式。来决定访问模式。
6、缺点:信息在移动过程中,其信息在移动过程中,其访问权限关系访问权限关系会被改变。会被改变。如用户如用户A A可将其对目标可将其对目标OO的访问权限传递给用户的访问权限传递给用户B B,从而使不具备对从而使不具备对OO访问权限的访问权限的B B可访问可访问OO。状态机状态机n nLampson Lampson 模型模型模型的结构被抽象为状态机,模型的结构被抽象为状态机,状态三元组状态三元组(S S,O O,M M),S S 访问访问主体集主体集,O O 为访问为访问客体集客体集(可包含(可包含S S的子集),的子集),M M 为为访问矩阵访问矩阵,矩阵单元记为,矩阵单元记为M M s,os,o,
7、表示,表示主主体体s s对对客客体体o o的的访访问问权权限限。所所有有的的访访问问权权限限构构成成一一有限集有限集A A。状态变迁状态变迁通过改变访问矩阵通过改变访问矩阵M M实现。实现。该该安安全全模模型型尽尽管管简简单单,但但在在计计算算机机安安全全研研究究史史上上具具有有较较大大和和较较长长的的影影 响响,HarrisonHarrison、RuzzoRuzzo和和 UllmanUllman提提 出出 HRUHRU安安 全全 模模 型型 以以 及及 Bell Bell LaPadulaLaPadula提出提出BLPBLP安全模型均基于此。安全模型均基于此。HRU模型模型 (1)(1)系系
8、统请统请求的形式求的形式if if if if a a1 1 inininin M M s s1 1;o;o1 1 andandandand a a2 2 inininin M M s s2 2;o;o2 2 andandandand .a am m in in in in M M s sm m;o;om m then then then then op op1 1 .op opn n HRU模型模型 (2)(2)n n系系统统请请求求分分为为条条件件和和操操作作两两部部分分,其其中中a ai i A A,并并且且opopi i属属于于下下列列六六种种元元操操作作之之一一(元元操操作作的的语语
9、义义如其名称示意):如其名称示意):n nenter enter enter enter a a intointointointo (s,os,o),),(矩矩阵阵)n ndelete delete delete delete a a from from from from(s,os,o),n ncreate subject create subject create subject create subject s,s,(主体主体)n ndestroy subject destroy subject destroy subject destroy subject s s,n ncreate
10、objectcreate objectcreate objectcreate object o o,(客体客体)n ndestroy object destroy object destroy object destroy object o o。HRU模型模型 (3)(3)n n系统的安全性定义:系统的安全性定义:n n若若存存在在一一个个系系统统,其其初初始始状状态态为为Q Q0 0,访访问问权权限限为为a a,当当从从状状态态Q Q0 0开开始始执执行行时时,如如果果不不存存在在将将访访问问矩矩阵阵单单元元不不包包含含的的访访问问权权限限写写入入矩矩阵单元的系统请求阵单元的系统请求,那么我
11、们说,那么我们说Q Q0 0对权限对权限a a而言是安全的。而言是安全的。n n系统安全复杂性基本定理:系统安全复杂性基本定理:n n对对于于每每个个系系统统请请求求仅仅含含一一个个操操作作的的单单操操作作请请求求系系统统(mono-mono-operational system-MOSoperational system-MOS),系统的安全性是),系统的安全性是可判定的可判定的;对于一般的非单操作请求系统(对于一般的非单操作请求系统(NMOSNMOS)的安全性是)的安全性是不可判定的不可判定的。HRU模型模型 (4)(4)n n基本定理隐含的窘境:一般的一般的HRUHRU模型具有模型具有很
12、强的很强的安全政策安全政策表达能力表达能力,但是,但是,不存在不存在决定相关安全政策效果的决定相关安全政策效果的一般可一般可计算的算法计算的算法;(递归可枚举);(递归可枚举)虽然虽然存在存在决定满足决定满足MOSMOS条件的条件的HRUHRU模型的安全模型的安全政策效果的一般的可计算的算法,但是,满足政策效果的一般的可计算的算法,但是,满足MOSMOS条件的条件的HRUHRU模型的模型的表达能力太弱表达能力太弱,以至于,以至于无法表达很多重要的安全政策。无法表达很多重要的安全政策。HRU模型模型 (5)(5)n n对对HRUHRU模模型型进进一一步步的的研研究究表表明明,即即使使我我们们完完
13、全全了了解解了了扩扩散散用用户户的的访访问问权权限限的的程程序序,在在HRUHRU模模型型中中也也很很难预测访问权限怎样被扩散难预测访问权限怎样被扩散。n n与与此此相相关关,由由于于用用户户通通常常不不了了解解程程序序实实际际进进行行的的操操作作内内容容,这这将将引引起起更更多多的的安安全全问问题题。例例如如,用用户户甲甲接接受受了了执执行行另另一一个个用用户户乙乙的的程程序序的的权权利利,用用户户甲甲可可能能不不知知道道执执行行程程序序将将用用户户甲甲拥拥有有的的与与用用户户乙乙完完全全不不相相关关的的访访问问权权限限转转移移给给用用户户乙乙。类类似似的的,这这类类表表面面上上执执行行某某
14、功功能能(如如提提供供文文本本编编辑辑功功能能),而而私私下下隐隐藏藏执执行行另另外外的的功功能能(如如扩扩散散被被编编辑辑文文件件的的读读权权限限)的程序称为特洛伊的程序称为特洛伊木马程序木马程序木马程序木马程序。2.2 强制访问控制强制访问控制 特点:特点:特点:特点:(1).(1).将主体和客体分级,根据主体和客体的级别标记来将主体和客体分级,根据主体和客体的级别标记来将主体和客体分级,根据主体和客体的级别标记来将主体和客体分级,根据主体和客体的级别标记来 决定访问模式。如,绝密级,机密级,秘密级,无密级。决定访问模式。如,绝密级,机密级,秘密级,无密级。决定访问模式。如,绝密级,机密级
15、,秘密级,无密级。决定访问模式。如,绝密级,机密级,秘密级,无密级。(2).(2).其访问控制关系分为:上读其访问控制关系分为:上读其访问控制关系分为:上读其访问控制关系分为:上读/下写下写下写下写 ,下读下读下读下读/上写上写上写上写 (完整性)(完整性)(完整性)(完整性)(机密性)(机密性)(机密性)(机密性)(3).(3).通过梯度安全标签实现单向信息流通模式通过梯度安全标签实现单向信息流通模式通过梯度安全标签实现单向信息流通模式通过梯度安全标签实现单向信息流通模式。Ln HiHn HiHn LiLn LiBLP模型模型类似于类似于HRUHRU模型,模型,BLPBLP模型的组成元素包括
16、访问主体、访模型的组成元素包括访问主体、访问客体、访问权限和访问控制矩阵。但问客体、访问权限和访问控制矩阵。但BLPBLP在集合在集合S S和和O O中中不改变状态不改变状态函数函数 F:S F:S O L O L,语义是将函数应用于某一状态下的访,语义是将函数应用于某一状态下的访问主体与访问客体时,导出相应的安全级别。问主体与访问客体时,导出相应的安全级别。安全级别安全级别L L构成不变格,构成不变格,状态集状态集V V在该模型中表现为序偶(在该模型中表现为序偶(F F,MM)的集合,)的集合,MM是访是访问矩阵。问矩阵。变迁函数变迁函数T T:VRVVRV。R R请求集合,在系统请求执行时
17、,请求集合,在系统请求执行时,系统实现状态变迁。系统实现状态变迁。BLP模型模型 (1)n n定定定定义义义义4.14.14.14.1:状状态态 (F,F,M M)是是“读读安安全全”(也也称称为为“simple securitysimple security”)的充分必要条件是)的充分必要条件是 n n定定定定义义义义4.24.24.24.2:状状态态 (F,F,M M)是是“写写安安全全”(也也称称为为“*-propertyproperty”)的充分必要条件是)的充分必要条件是 n n定定定定义义义义4.34.34.34.3:状状态态是是“状状态态安安全全”(state state sec
18、uresecure)的的充充分分必要条件是它既是必要条件是它既是“读安全读安全”又是又是“写安全写安全”。n n定定定定义义义义4.44.44.44.4:系系统统 (v v0 0 ,R R,T T )是是安安全全的的充充分分必必要要条条件件是是初初始始状状态态v v0 0是是“状状态态安安全全”的的,并并且且由由初初始始状状态态v v0 0开开始始通通过过执执行行一一系系列列有有限限的的系系统统请请求求R R可可达达的的每每个个状状态态v v也也是是“状态安全状态安全”的。的。BLP模型模型 (2)n n定理定理定理定理4.34.34.34.3:系统系统 (v v0 0,R,T,R,T)是安全
19、的是安全的充分必要条件充分必要条件是是其其中中,T T为为转转移移函函数数,是是指指由由初初始始状状态态v v0 0通通过过执执行行一一系系列列有有限限的的系系统统请请求求R R到达可达状态到达可达状态v v。BLP模型模型 (3)“读安全读安全”禁止低级别的用户获得高级别文件的读权限。禁止低级别的用户获得高级别文件的读权限。“写安全写安全”防止高级别的特洛伊木马程序把高级别文件内防止高级别的特洛伊木马程序把高级别文件内容拷贝到低级别用户有读访问权限的文件。容拷贝到低级别用户有读访问权限的文件。自主自主vs.强制强制1.1.自主式太弱自主式太弱2.2.强制式太强强制式太强3.3.二者工作量大,
20、不便管理二者工作量大,不便管理 例,例,10001000主体访问主体访问1000010000客体,须客体,须10001000万次配置。万次配置。如每次配置需如每次配置需1 1秒,每天工作秒,每天工作8 8小时,就需小时,就需 1010,000000,000/000/(3600*83600*8)=347.=347.2 2天天自主自主vs.强制强制2.3 RBAC模型模型 n n角色的概念角色的概念:角色的抽象定义是指相对于特定的工作活动的一系列行动和职责集合,角色面向于用户组,但不同于用户组,角色包含了用户集和权限集。2.3 角色控制与角色控制与DAC、MAC 角色控制相对独立,根据配置可使某些
21、角角色控制相对独立,根据配置可使某些角色接近色接近DACDAC,某些角色接近,某些角色接近MACMAC2.3 RBAC模型模型基本模型基本模型RBAC0RBAC0角色分级模型角色分级模型RBAC1RBAC1角色限制模型角色限制模型RBAC2RBAC2统一模型统一模型RBAC3RBAC3 RBAC3RBAC1 RBAC2 RBAC02.3 RBAC模型模型 2.3 RBAC模型模型 2.3 RBAC模型模型 2.3 RBAC模型模型 2.3 角色控制优势角色控制优势便于授权管理便于授权管理便于角色划分便于角色划分便于赋予最小特权便于赋予最小特权便于职责分担便于职责分担便于目标分级便于目标分级强制
22、强制vs.信息流信息流隐通道:隐通道:访问控制模型通过对访问主体与访问客访问控制模型通过对访问主体与访问客体的控制实施安全策略,但恶意的用户仍然可能体的控制实施安全策略,但恶意的用户仍然可能利用系统的副作用(边界效应)形成从高安全级利用系统的副作用(边界效应)形成从高安全级别到低安全级别的别到低安全级别的隐通道。隐通道。信息流模型:不对访问主体与客体实施控制,而信息流模型:不对访问主体与客体实施控制,而是直接控制用户间的信息流是直接控制用户间的信息流 例如:例如:例如:例如:if if a=0 a=0 then then b:=c,b:=c,information flows informat
23、ion flows explicitly explicitly from c to b(when a=0)from c to b(when a=0)andand implicitly implicitly from a to b(when b=from a to b(when b=c).c).3 信息流模型信息流模型 n n信息流概念:信息流概念:信息流可表述为“从对象a流向对象b的信息(信息流)是指对象b的值按某种方式依靠对象a的值”。3 信息流模型信息流模型n n对于程序语言代码我们可以通过枚举所有程序变量对于程序语言代码我们可以通过枚举所有程序变量间的信息流,从而验证是否存在不合法信息流
24、。间的信息流,从而验证是否存在不合法信息流。n n信息流模型的形式化是信息流模型的形式化是状态机状态机模型,因此可以形成模型,因此可以形成一系列信息流一系列信息流“断言断言”,信息流,信息流“断言断言”也称为安也称为安全性质,安全性质包括非干扰性全性质,安全性质包括非干扰性(non(noninterference)interference)和非观察性和非观察性(nonobservability)(nonobservability)等等n n描述工具使用描述工具使用HoareHoare逻辑的逻辑的SPASPA语言(语言(Security Security Process Algebra Proc
25、ess Algebra SPASPA)()(tracetrace)3 信息流模型信息流模型 4 完整性模型完整性模型n n数据完整性n n信息保护,信息保护,DATABASEDATABASE(域,实体,引用,应用语义,并域,实体,引用,应用语义,并发控制发控制)n n系统完整性n n系统保护,硬件保护,容错技术系统保护,硬件保护,容错技术完整性目标完整性目标n nPreventing Unauthorized Users From Making Modifications(机密性)n nMaintaining Internal and External Consistency(一致性)n nP
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 精选 信息 安全 模型 讲义 36595
淘文阁 - 分享文档赚钱的网站所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
![[精选]信息安全模型讲义.pptx](/Images/s.gif)
限制150内