《信息安全模型》PPT课件

信息安全模型-2-Allrightsreserved©2007信息安全模型安全模型用于精确地和形式地描述信息系统的安全特征，以及用于解释系统安全相关行为的理由。安全模型的作用•准确描述安全的重要方面与系统行为的关系•提高对成功实现关键安全需求的理解层次“安全模型”的表达能力有其局限性，形式的语法多于形式的语义。-3-Allrightsreserved©2007模型抽象过程1）:标识外部接口需求ExternalInterface.(input,output,attribute.)2）:标识内部需求InternalRequirements3）:设置策略强制的操作规则4）:判定WhatisAlreadyKnown.5）:论证(Demonstrate)一致性与正确性6）:论证是适当的（Relevance）-4-Allrightsreserved©2007一些主要的模型机密性访问控制信息流DAC自主MAC强制完整性RBACBLPChineseWall（非干扰性，非观察性）BibaClark-Wilson系统安全保障模型：PDR、PPDR、OSI基本模型：HRU-5-Allrightsreserved©20071、基本模型－LampsonLampson模型的结构被抽象为状态三元组(S,O,M)，——S访问主体集，——O为访问客体集（可包含S的子集），——M为访问矩阵，矩阵单元记为M[s,o]，表示主体s对客体o的访问权限。所有的访问权限构成一有限集A。——状态变迁通过改变访问矩阵M实现。该安全模型尽管简单，但在计算机安全研究史上具有较大和较长的影响，Harrison、Ruzzo和Ullman提出HRU安全模型以及BellLaPadula提出BLP安全模型均基于此。-6-Allrightsreserved©20072、基本模型－HRU(1)系统请求的形式ifa1inM[s1;o1]anda2inM[s2;o2]and...aminM[sm;om]thenop1...opn-7-Allrightsreserved©2007基本模型－HRU(2)系统请求分为条件和操作两部分，其中ai∈A，并且opi属于下列六种元操作之一（元操作的语义如其名称示意）：enterainto(s,o),（矩阵）deleteafrom(s,o),createsubjects,（主体）destroysubjects,createobjecto,（客体）destroyobjecto。-8-Allrightsreserved©2007基本模型－HRU(3)系统的安全性定义：•若存在一个系统，其初始状态为Q0，访问权限为a，当从状态Q0开始执行时，如果不存在将访问矩阵单元不包含的访问权限写入矩阵单元的系统请求，那么我们说Q0对权限a而言是安全的。系统安全复杂性基本定理：对于每个系统请求仅含一个操作的单操作请求系统（mono-operationalsystem-MOS），系统的安全性是可判定的；对于一般的非单操作请求系统（NMOS）的安全性是不可判定的。与此相关，由于用户通常不了解程序实际进行的操作内容，这将引起其他的安全问题。例如，用户甲接受了执行另一个用户乙的程序的权利，用户甲可能不知道执行程序将用户甲拥有的与用户乙完全不相关的访问权限转移给用户乙。类似的，这类表面上执行某功能（如提供文本编辑功能），而私下隐藏执行另外的功能（如扩散被编辑文件的读权限）的程序称为特洛伊木马程序。-9-Allrightsreserved©2007强制访问控制模型（MAC）特点：1）将主体和客体分级，根据主体和客体的级别标记来决定访问模式。如，绝密级，机密级，秘密级，无密级。2）其访问控制关系分为：上读/下写，下读/上写（完整性）（机密性）3）通过梯度安全标签实现单向信息流通模式。4）与DAC相比：强耦合，集中式授权。-10-Allrightsreserved©20073、MAC多级安全模型－BLP（1）该模型是可信系统的状态转换模型定义所有可以使系统“安全”的状态集，检查所有状态的变化均开始于一个“安全状况”并终止另一个“安全状态”，并检查系统的初始状态是否为“安全状态”。每个主体均有一个安全级别，并由许多条例约束其对具有不同密级的客体的访问操作。模型定义的主客体访问规则•使用状态来表示系统中主体对客体的访问方式•可向下读，不可下写•可上写，不可上读-11-Allrightsreserved©2007MAC多级安全模型－BLP（2）系统状态：V＝｛B×M×F×H｝B：访问集合，是S×O×A的子集，定义了所有主体对客体当前的访问权限。函数F:S∪O→L，语义是将函数应用于某一状态下的访问主体与访问客体时，导出相应的安全级别。Fs：主体安全级别Fo：客体安全级别Fc：主体当前安全级别FsFc状态集V在该模型中表现为序偶（F，M）的集合，M是访问矩阵。变迁函数T：V×R→V。R请求集合，在系统请求执行时，系统实现状态变迁；D是请求结果的集合。类似于HRU模型，BLP模型的组成元素包括访问主体、访问客体、访问权限和访问控制矩阵。但BLP在集合S和O中不改变状态与HRU相比，多了安全级别、包含请求集合的变迁函数。-12-Allrightsreserved©2007MAC多级安全模型－BLP(3)定义4.1：状态(F,M)是“读安全”（也称为“simplesecurity”）的充分必要条件是定义4.2：状态(F,M)是“写安全”（也称为“*-property”）的充分必要条件是定义4.3：状态是“状态安全”（statesecure）的充分必要条件是它既是“读安全”又是“写安全”。定义4.4：系统(v0,R,T)是安全的充分必要条件是初始状态v0是“状态安全”的，并且由初始状态v0开始通过执行一系列有限的系统请求R可达的每个状态v也是“状态安全”的。F(o)F(s)M[s,o]O,readoS,sF(s)F(o)M[s,o]O,writeoS,s-13-Allrightsreserved©2007MAC多级安全模型－BLP(4)定理4.3：系统(v0,R,T)是安全的充分必要条件是其中，T为转移函数，是指由初始状态v0通过执行一系列有限的系统请求R到达可达状态v。。那么如果）（是安全的初始状态）（[s,o]Mwrite(s)F(o)FM[s,o]write(s);F(o)FM[s,o]write[s,o]Mwrite[s,o];Mread(o)F(s)FM[s,o]read(o);F(s)FM[s,o]read[s,o]MreadOoS,s),,M(F(F,M),vv,vT(v,c)v****************210-14-Allrightsreserved©2007MAC多级安全模型－BLP（5）“读安全”禁止低级别的用户获得高级别文件的读权限。“写安全”防止高级别的特洛伊木马程序把高级别文件内容拷贝到低级别用户有读访问权限的文件。缺点•未说明主体之间的访问，不能适用于网络-15-Allrightsreserved©20074、MAC多级安全模型－ChineseWall在信息流处理中，在一些情况下不是阻止信息流从高层流向低层，而是要阻止信息在不同的部分横向流动，这种系统在信息处理系统中占有很大的比例，因此提出了多边安全（MultilateralSecure）的概念。CW（ChineseWall）模型就属于一种多边安全模型。CW模型由Brewer和Nash发布，经常被用于金融机构的信息处理系统，为市场分析家提供更好的服务。与BLP模型不同的是，访问数据不是受限于数据的属性（密级），而是受限于主体获得了对哪些数据的访问权限。CW模型的主要设计思想是将一些可能会产生访问冲突的数据分成不同的数据集，并强制所有的主体最多只能访问一个数据集，而选择哪个数据集并未受到强制规则的限制，这种策略无法用BLP模型完整表述。-16-Allrightsreserved©2007全体客体的集合（O）ABC顶层：兴趣冲突组FGHIJKLMNOPQ中层：公司数据集底层：客体（独立数据项）-17-Allrightsreserved©2007Chinesewall安全属性访问客体的控制：•与主体曾经访问过的信息属于同一公司数据集合的信息，即墙内信息可以访问。•属于一个完全不同的兴趣冲突组的可以访问。主体能够对一个客体进行写的前提，是主体未对任何属于其他公司数据集的访问。定理1：一个主体一旦访问过一个客体，则该主体只能访问位于同一公司数据集的客体或在不同兴趣组的客体定理2：在一个兴趣冲突组中，一个主体最多只能访问一个公司数据集-18-Allrightsreserved©20075、自主访问控制模型（DAC）特点：根据主体的身份和授权来决定访问模式。与MAC相比：松耦合，分布式授权缺点：信息在移动过程中，其访问权限关系会被改变。实现机制：ACL(s,o)Capabilities（s,s)s－－主体o－－客体主体可以改变客体的权限。-19-Allrightsreserved©20076、RBAC模型角色的概念：角色的抽象定义是指相对于特定的活动的一系列行动和职责集合，角色面向于用户组，但不同于用户组，角色包含了用户集和权限集。RBAC特点：角色控制相对独立，根据配置可使某些角色接近DAC，某些角色接近MAC-20-Allrightsreserved©2007RBAC模型－层次基本模型RBAC0角色分级模型RBAC1角色限制模型RBAC2统一模型RBAC3RBAC3RBAC1RBAC2RBAC0-21-Allrightsreserved©2007RBAC模型－RBAC0-22-Allrightsreserved©2007RBAC模型－RBAC1-23-Allrightsreserved©2007RBAC模型－RBAC2-24-Allrightsreserved©2007RBAC模型－RBAC3-25-Allrightsreserved©2007RBAC模型－优势便于授权管理便于角色划分便于赋予最小特权便于职责分担便于目标分级-26-Allrightsreserved©20077、信息流模型隐通道：访问控制模型通过对访问主体与访问客体的控制实施安全策略，但恶意的用户仍然可能利用系统的副作用（边际效应）形成从高安全级别到低安全级别的通道。信息流模型：不对访问主体与客体实施控制，而是直接控制用户间的信息流信息流概念：信息流可表述为“从对象a流向对象b的信息（信息流）是指对象b的值按某种方式依靠对象a的值”。例如：ifa=0thenb:=c,informationflowsexplicitlyfromctob(whena=0)andimplicitlyfromatob(whenb≠c).-27-Allrightsreserved©2007信息流模型－示例-28-Allrightsreserved©2007信息流模型－特点对于程序语言代码（理论上）我们可以通过枚举所有程序变量间的信息流，从而验证是否存在不合法信息流。信息流模型的形式化是状态机模型，因此可以形成一系列信息流“断言”，信息流“断言”也称为安全性质，安全性质包括非干扰性(noninterference)和非观察性(nonobservability)等描述工具使用Hoare逻辑的SPA语言（SecurityProcessAlgebra–SPA）（trace）-29-Allrightsreserved©2007完整性模型概述数据完整性•信息保护，Database（如：域，实体，引用，应用语义，并发控制）系统完整性•系统保护，硬件保护，容错技术完整性目标•防止被非授权用户修改(机密性)•维护内外部的一致性(一致性)•防止授权用户不确当的修改(逻辑一致性)-30-Allrightsreserved©2007完整性原理1标识Identity2约束Constr