CISP--信息安全模型讲稿

信息安全模型1安全模型概念2访问控制模型3信息流模型4完整性模型5信息安全模型1安全模型概念安全模型用于精确地和形式地描述信息系统的安全特征，以及用于解释系统安全相关行为的理由。分类1：访问控制模型，信息流模型。分类2：机密性要求，完整性，可用性DoS，等现有的“安全模型”本质上不是完整的“模型”：仅描述了安全要求(如：机密性)，未给出实现要求的任何相关机制和方法。1.1安全模型安全目标：机密性，完整性，DoS，……控制目标：保障（TCBTrustComputeBase,ReferenceMonitor），安全政策（PolicyDACMAC），审计安全模型的形式化方法：——状态机，状态转换，不变量——模块化，抽象数据类型（面向对象）1.2安全模型作用设计阶段实现阶段检查阶段（Review）维护阶段1.3安全模型抽象过程Step1:IdentifyRequirementsontheExternalInterface.(input,output,attribute.)Step2:IdentifyInternalRequirementsStep3:DesignRulesofOperationforPolicyEnforcementStep4:DetermineWhatisAlreadyKnown.Step5:Demonstrate(论证)ConsistencyandCorrectnessStep6:DemonstrateRelevance（适当的）1.4Overview机密性访问控制信息流DAC自主MAC强制完整性RBACBLPChineseWall（非干扰性，非观察性）BibaClark-Wilsonthe“ChineseWall”Policyisamandatoryaccesscontrolpolicyforstockmarketanalysts.ThisorganizationalpolicyislegallybindingintheUnitedKingdomstockexchange.2访问控制模型2.1自主访问控制（DiscretionaryAccessControl--DAC）机密性与完整性木马程序2.2强制访问控制（MandatoryAccessControl--MAC）机密性隐通道2.3基于角色访问控制(RBAC)管理方式2.1自主访问控制特点：根据主体的身份和授权来决定访问模式。缺点：信息在移动过程中，其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B，从而使不具备对O访问权限的B可访问O。状态机Lampson模型模型的结构被抽象为状态机，状态三元组(S,O,M)，——S访问主体集，——O为访问客体集（可包含S的子集），——M为访问矩阵，矩阵单元记为M[s,o]，表示主体s对客体o的访问权限。所有的访问权限构成一有限集A。——状态变迁通过改变访问矩阵M实现。该安全模型尽管简单，但在计算机安全研究史上具有较大和较长的影响，Harrison、Ruzzo和Ullman提出HRU安全模型以及BellLaPadula提出BLP安全模型均基于此。HRU模型(1)系统请求的形式ifa1inM[s1;o1]anda2inM[s2;o2]and...aminM[sm;om]thenop1...opnHRU模型(2)系统请求分为条件和操作两部分，其中ai∈A，并且opi属于下列六种元操作之一（元操作的语义如其名称示意）：enterainto(s,o),（矩阵）deleteafrom(s,o),createsubjects,（主体）destroysubjects,createobjecto,（客体）destroyobjecto。HRU模型(3)系统的安全性定义：若存在一个系统，其初始状态为Q0，访问权限为a，当从状态Q0开始执行时，如果不存在将访问矩阵单元不包含的访问权限写入矩阵单元的系统请求，那么我们说Q0对权限a而言是安全的。系统安全复杂性基本定理：对于每个系统请求仅含一个操作的单操作请求系统（mono-operationalsystem-MOS），系统的安全性是可判定的；对于一般的非单操作请求系统（NMOS）的安全性是不可判定的。HRU模型(4)基本定理隐含的窘境：一般的HRU模型具有很强的安全政策表达能力，但是，不存在决定相关安全政策效果的一般可计算的算法；（递归可枚举）虽然存在决定满足MOS条件的HRU模型的安全政策效果的一般的可计算的算法，但是，满足MOS条件的HRU模型的表达能力太弱，以至于无法表达很多重要的安全政策。HRU模型(5)对HRU模型进一步的研究表明，即使我们完全了解了扩散用户的访问权限的程序，在HRU模型中也很难预测访问权限怎样被扩散。与此相关，由于用户通常不了解程序实际进行的操作内容，这将引起更多的安全问题。例如，用户甲接受了执行另一个用户乙的程序的权利，用户甲可能不知道执行程序将用户甲拥有的与用户乙完全不相关的访问权限转移给用户乙。类似的，这类表面上执行某功能（如提供文本编辑功能），而私下隐藏执行另外的功能（如扩散被编辑文件的读权限）的程序称为特洛伊木马程序。2.2强制访问控制特点：(1).将主体和客体分级，根据主体和客体的级别标记来决定访问模式。如，绝密级，机密级，秘密级，无密级。(2).其访问控制关系分为：上读/下写，下读/上写（完整性）（机密性）(3).通过梯度安全标签实现单向信息流通模式。LnHiHnHiHnLiLnLiBLP模型类似于HRU模型，BLP模型的组成元素包括访问主体、访问客体、访问权限和访问控制矩阵。但BLP在集合S和O中不改变状态函数F:S∪O→L，语义是将函数应用于某一状态下的访问主体与访问客体时，导出相应的安全级别。安全级别L构成不变格，状态集V在该模型中表现为序偶（F，M）的集合，M是访问矩阵。变迁函数T：V×R→V。R请求集合，在系统请求执行时，系统实现状态变迁。BLP模型(1)定义4.1：状态(F,M)是“读安全”（也称为“simplesecurity”）的充分必要条件是定义4.2：状态(F,M)是“写安全”（也称为“*-property”）的充分必要条件是定义4.3：状态是“状态安全”（statesecure）的充分必要条件是它既是“读安全”又是“写安全”。定义4.4：系统(v0,R,T)是安全的充分必要条件是初始状态v0是“状态安全”的，并且由初始状态v0开始通过执行一系列有限的系统请求R可达的每个状态v也是“状态安全”的。BLP模型(2)定理4.3：系统(v0,R,T)是安全的充分必要条件是其中，T为转移函数，是指由初始状态v0通过执行一系列有限的系统请求R到达可达状态v。BLP模型(3)“读安全”禁止低级别的用户获得高级别文件的读权限。“写安全”防止高级别的特洛伊木马程序把高级别文件内容拷贝到低级别用户有读访问权限的文件。自主vs.强制1.自主式太弱2.强制式太强3.二者工作量大，不便管理例，1000主体访问10000客体，须1000万次配置。如每次配置需1秒，每天工作8小时，就需10，000，000/（3600*8）=347.2天自主vs.强制2.3RBAC模型角色的概念：角色的抽象定义是指相对于特定的工作活动的一系列行动和职责集合，角色面向于用户组，但不同于用户组，角色包含了用户集和权限集。2.3角色控制与DAC、MAC角色控制相对独立，根据配置可使某些角色接近DAC，某些角色接近MAC2.3RBAC模型基本模型RBAC0角色分级模型RBAC1角色限制模型RBAC2统一模型RBAC3RBAC3RBAC1RBAC2RBAC02.3RBAC模型2.3RBAC模型2.3RBAC模型2.3RBAC模型2.3角色控制优势便于授权管理便于角色划分便于赋予最小特权便于职责分担便于目标分级强制vs.信息流隐通道：访问控制模型通过对访问主体与访问客体的控制实施安全策略，但恶意的用户仍然可能利用系统的副作用（边界效应）形成从高安全级别到低安全级别的隐通道。信息流模型：不对访问主体与客体实施控制，而是直接控制用户间的信息流例如：ifa=0thenb:=c,informationflowsexplicitlyfromctob(whena=0)andimplicitlyfromatob(whenb=c).3信息流模型信息流概念：信息流可表述为“从对象a流向对象b的信息（信息流）是指对象b的值按某种方式依靠对象a的值”。3信息流模型对于程序语言代码我们可以通过枚举所有程序变量间的信息流，从而验证是否存在不合法信息流。信息流模型的形式化是状态机模型，因此可以形成一系列信息流“断言”，信息流“断言”也称为安全性质，安全性质包括非干扰性(noninterference)和非观察性(nonobservability)等描述工具使用Hoare逻辑的SPA语言（SecurityProcessAlgebra–SPA）（trace）3信息流模型4完整性模型数据完整性信息保护，DATABASE（域，实体，引用，应用语义，并发控制）系统完整性系统保护，硬件保护，容错技术完整性目标PreventingUnauthorizedUsersFromMakingModifications(机密性)MaintainingInternalandExternalConsistency(一致性)PreventingAuthorizedUsersFromMakingImproperModifications(逻辑一致性)完整性原理1IDENTITY2CONSTRAINTS3OBLIGATION(职责)4ACCOUNTABILITY5AUTHORIZATION6LEASTPRIVILEGE7SEPARATION8MONITORING9ALARMS•10NON-REVERSIBLEACTIONS•11REDUNDANCY•12MINIMIZATION.VariableMinimizationDataMinimizationTargetValueMinimizationAccessTimeMinimization•……BIBA模型完整性策略BIBA认为内部威胁已经由程序测试与验证技术作了充分地处理；BIBA;模型仅针对外部威胁。低限策略Low-WaterMarkPolicy针对客体的低限策略Low-WaterMarkPolicyforObjects低限的完整性审计策略LowWaterMarkIntegrityAuditPolicy环策略RingPolicy严格的完整性策略StrictIntegrityPolicy低限策略for_allselement_ofS,oelement_ofOsmo==il(o)leqil(s)for_alls1,s2element_ofSs1is2==il(s2)leqil(s1)Foreachobserveaccessbyasubjectstoanobjecto:il'(s)=min{il(s),il(o)}whereil'(s)istheintegritylevelofsimmediatelyfollowingtheaccess.Clark-Wilson模型Clark-Wilson模型定义的四个要素:constraineddataitems(CDIs),unconstraineddataitems(UDIs),integrityverificationprocedures(IVPs),andtransformationprocedures(TPs).Thereareninecertification(C)andenforcement(E)rulesthatgoverntheinteractionofthesemodelelements.Certificationisdonebyt