13-信息安全模型

信息安全理论信息安全模型讲师：陈洪波中国信息安全产品测评认证中心信息安全模型OverView•什么是信息安全模型？•一个典型的例子：Bell-LaPadula模型•其它的典型例子–Biba–Clark-Wilson–ChineseWall–信息流模型信息安全模型1安全模型概念2访问控制模型3信息流模型4完整性模型5信息安全模型1安全模型概念安全模型用于精确地和形式地描述信息系统的安全特征，以及用于解释系统安全相关行为的理由。分类1：访问控制模型，信息流模型。分类2：保密性要求，完整性，DoS，等现有的“安全模型”本质上不是完整的“模型”：仅描述了安全要求(如：保密性)，未给出实现要求的任何相关机制和方法。信息安全体系结构保密性可用性完整性鉴别访问控制认证管理审计安全模型安全目标：保密性，完整性，DoS，……控制目标：保障（TCB,ReferenceMonitor），安全政策（Policy），审计安全模型的形式化方法：——状态机，状态转换，不变量——模块化，抽象数据类型（面向对象）安全模型的特点•精确、无歧义•简单和抽象，容易理解•模型的一般的，只涉及安全性质，具有一定的平台独立性，不过多抑制系统的功能或实现；形式化模型是对现实世界的高度抽象，可以设定具体应用目标，并可以利用工具来验证；形式化模型适用于对信息安全进行理论研究。安全模型目标•“在功能说明书的安全功能中提供额外保障，以增强TSP策略（TOE安全策略）。”(CC,ADV_SPM类目标).•对“TOE应增强的重要安全原则的一个抽象陈述”(ITSEC)及其分析安全模型作用设计阶段实现阶段检查阶段（Review）维护阶段安全模型抽象过程•Step1:确定外部界面需求(输入，输出，属性)•Step2:确定内部需求•Step3:设计策略执行的操作规则•Step4:确定哪些是已知的•Step5:证明一致性和正确性•Step6:证明适当性概述保密性访问控制信息流DAC自主MAC强制完整性RBACBLPChineseWall（非干扰性，非观察性）BibaClark-Wilsonthe“ChineseWall”Policyisamandatoryaccesscontrol(MAC)policyforstockmarket(股票市场)analysts.ThisorganizationalpolicyislegallybindingintheUnitedKingdomstockexchange(股票交易).基本概念主体（Subject):访问操作中的主动实体客体（Object):访问操作中被动实体访问矩阵（AccessMatrix):以主体为行索引、以客体为列索引的矩阵，矩阵中的每一个元素表示一组访问方式，是若干访问方式的集合。矩阵中第i行第j列的元素Mij记录着第i个主体Si可以执行的对第j个客体Oj的访问方式，比如Mij等于{read,write}表示Si可以对Oj进行读和写访问。2访问控制模型2.1自主访问控制（DiscretionaryAccessControl--DAC）保密性与完整性木马程序2.2强制访问控制（MandatoryAccessControl--MAC）保密性隐通道2.3基于角色访问控制(RBAC)管理方式访问控制模型的基本组成发起者Initiator访问控制实施功能AEF访问控制决策功能ADF目标Target提交访问请求SubmitAccessRequest提出访问请求PresentAccessRequest请求决策DecisionRequest　决策Decision#访问控制规定了主体对客体访问的限制，并在身份识别的基础上，根据身份对提出资源访问请求加以控制。在访问控制中，客体是指资源，包括文件、设备、信号量等;主体是指对客体访问的活动资源，主体是访问的发起者，通常是指进程、程序或用户。访问控制的策略和机制^访问控制策略(AccessControlPolicy)访问控制策略在系统安全策略级上表示授权。是对访问如何控制,如何作出访问决定的高层指南。^访问控制机制（AccessControlMechanisms)是访问控制策略的软硬件低层实现。#访问控制机制与策略独立，可允许安全机制的重用#安全策略之间没有更好的说法，只是一种可以比一种提供更多的保护。应根据应用环境灵活使用。访问控制的一般策略自主访问控制强制访问控制基于角色访问控制访问控制2.1自主访问控制^自主访问控制针对访问资源的用户或者应用设置访问控制权限；根据主体的身份及允许访问的权限进行决策；自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。特点：根据主体的身份和授权来决定访问模式缺点：信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O状态机•Lampson模型模型的结构被抽象为状态机，状态三元组(S,O,M)，——S访问主体集，——O为访问客体集（可包含S的子集），——M为访问矩阵，矩阵单元记为M[s,o]，表示主体s对客体o的访问权限。所有的访问权限构成一有限集A。——状态变迁通过改变访问矩阵M实现。该安全模型尽管简单，但在计算机安全研究史上具有较大和较长的影响，Harrison、Ruzzo和Ullman提出HRU安全模型以及Bell和LaPadula提出BLP安全模型均基于此。HRU模型(1)ifa1inM[s1;o1]anda2inM[s2;o2]and...aminM[sm;om]thenop1...opnHRU模型(2)•系统请求分为条件和操作两部分，其中ai∈A，并且opi属于下列六种元操作之一（元操作的语义如其名称示意）：¾enterainto(s,o),¾deleteafrom(s,o),¾createsubjects,¾createobjecto,¾destroysubjects,¾destroyobjecto。HRU模型(3)•系统的安全性定义：–若存在一个系统，其初始状态为Q0，访问权限为a，当从状态Q0开始执行时，如果不存在将访问矩阵单元不包含的访问权限写入矩阵单元的系统请求，那么我们说Q0对权限a而言是安全的。•系统安全复杂性基本定理：¾对于每个系统请求仅含一个操作的单操作系统（mono-operationalsystem-MOS），系统的安全性是可判定的；¾对于一般的非单操作系统（NMOS）的安全性是不可判定的。HRU模型(4)•基本定理隐含的窘境：¾一般的HRU模型具有很强的安全政策表达能力，但是，不存在决定相关安全政策效果的一般可计算的算法；¾虽然存在决定满足MOS条件的HRU模型的安全政策效果的一般的可计算的算法，但是，满足MOS条件的HRU模型的表达能力太弱，以至于无法表达很多重要的安全政策。HRU模型(5)•对HRU模型进一步的研究结果表明，即使我们完全了解了扩散用户的访问权限的程序，在HRU模型中也很难预测访问权限怎样被扩散。与此相关，由于用户通常不了解程序实际进行的操作内容，这将引起更多的安全问题。例如，用户甲接受了执行另一个用户乙的程序的权利，用户甲可能不知道执行程序将用户甲拥有的与用户乙完全不相关的访问权限转移给用户乙。类似的，这类表面上执行某功能（如提供文本编辑功能），而私下隐藏执行另外的功能（如扩散被编辑文件的读权限）的程序称为特洛伊木马程序。2.2强制访问控制^强制访问控制在自主访问控制的基础上，增加了对资源的属性(安全属性）划分，规定不同属性下的访问权限。特点：(1).将主体和客体分级，根据主体和客体的级别标记来决定访问模式。如，绝密级，机密级，秘密级，无密级。(2).其访问控制关系分为：上读/下写，下读/上写（保密性）（完整性）(3).通过梯度安全标签实现单向信息流通模式。强制访问控制^规定y一般安全属性可分为四个级别：绝密级（TopSecret）、机密级（Confidential）、秘密级（Secret）无级别级（Unclassified）y规定如下的四种强制访问控制策略：–下读:用户级别大于文件级别的读操作;–上写:用户级别低于文件级别的写操作;–下写:用户级别大于文件级别的写操作;–上读:用户级别低于文件级别的读操作;z这些策略保证了信息流的单向性，上读/下写方式保证了数据的保密性，下读/上写方式则保证了信息的完整性Bell-LaPadula保密性模型•1973年，DavidBell和LenLaPadula提出了第一个正式的安全模型，该模型基于强制访问控制系统，以敏感度来划分资源的安全级别。•将数据划分为多安全级别与敏感度的系统，称之为多级安全系统•Bell-LaPadula(BLP)安全模型对主体和客体按照强制访问控制系统的哲学进行分类，这种分类方法一般应用于军事用途。BLP模型特征•解决保密性问题•描述访问控制的实施•强制访问控制结合自主访问控制（MULTICS）•基于多级安全策略：每个实体均被标记安全等级；安全等级被公正的指定•体现的安全措施：–实际的访问权限由Referencemonitor控制–通用访问权限由访问控制矩阵表示安全等级•BLP模型中，数据和用户被划分为以下安全等级：公开（Unclassified）受限（Restricted）秘密（Secret）机密（Confidential）绝密（TopSecret）BLP模型中用户和信息安全分级在通讯过程中的BLP模型BLP模型原理¾类似于HRU模型，是一个状态机模型，BLP模型的组成元素包括访问主体、访问客体、访问权限和访问控制矩阵。但BLP在集合S和O中不改变状态¾函数F:S∪O→L，语义是将函数应用于某一状态下的访问主体与访问客体时，导出相应的安全级别。安全级别L构成不变格。¾状态集V在该模型中表现为序偶（F，M）的集合，M是访问矩阵。¾变迁函数T：V×R→V。R请求集合，在系统请求执行时，系统实现状态变迁。¾如果一个系统的初始状态是安全的，并且三元组序列中的所有状态都是安全的，那么这样的系统就是一个安全系统。BLP模型“读安全”禁止低级别的用户获得高级别文件的读权限。“写安全”防止高级别的特洛伊木马程序把高级别文件内容拷贝到低级别用户有读访问权限的文件。BLP模型的缺点•BLP的简单访问权限总是需要解释，因此，它在说明的灵活性或严密性方面不甚清晰；•访问控制的颗粒度问题：BLP难于应付有很多微小差别的访问权限的情况；•BLP只定义了主体对客体的访问，并未说明主体对主体的访问。因为网络协议就是主体之间的相互访问，BLP不能适用于网络；•BLP不易于处理隐蔽通道•BLP模型中可信主体不受星特性约束，访问权限太大，不符合最小特权原则，应对可信主体的操作权限和应用范围进一步细化。可以使用RBAC模型克服ChineseWall模型（多边安全模型）•ChineseWall模型的主要设计思想是将一些可能会产生访问冲突的数据分成不同的数据集（Datasets），并强制所有主体最多只能访问一个数据集，而选择访问哪个数据集并未受强制规则的限制。这种策略无法用BLP模型完整表达。全部客体的集合：O顶层：利益冲突组ABC中层：公司数据集FGHIJKLMN底层：客体（本图为在利益冲突组C、公司数据集L中的数据）简单安全属性ChineseWall模型的设计宗旨是用户只能访问那些与已经拥有的信息不冲突的信息。在计算机系统中，已经拥有的信息包括：1.存储在用户计算机中的信息；2.用户曾经访问过的信息。*-属性*-属性对写访问作如下规定：1.访问必须满足简单安全属性；2.主体能够对一个客体进行写访问的前提是：如果主体未对任何属于其他公司数据集的客体进行读访问。安全访问定理由ChineseWall模型可以推导出若干安全访问定理：定理1：一个主体一旦已经访问过一个客体，则该主体只能访问位于同一公司数据集中的客体，或在不同利益冲突组中的信息。定理2：在一个利益冲突组中，一个主体最多只能访问一个公司数据集。定理3：如果在一个利益冲突组中有Xy个公司数据集，则允许每一个客体被至少一个主体访问的最小主体数量为X