【正文】 ? 程序被證明構(gòu)造正確、能對(duì)這些程序的安裝能力、修改能力進(jìn)行控制、保證其合法性 ? （ b）保證職責(zé)分散 ? 每一個(gè)用戶(hù)必須僅被允許使用指定的程序組、用戶(hù)執(zhí)行程序的權(quán)限受控 26 ? 商業(yè)數(shù)據(jù)完整性控制與軍事中的數(shù)據(jù)機(jī)密性差別： ? （ a）數(shù)據(jù)客體不與特定的安全級(jí)別相關(guān) ? 只與一組允許操縱它的程序相聯(lián)系 ? （ b）用戶(hù)直接讀寫(xiě)數(shù)據(jù)被禁止 ? 被授權(quán)去執(zhí)行與某一數(shù)據(jù)相關(guān)的程序 ? 【 一個(gè)用戶(hù)即便被授權(quán)去寫(xiě)一個(gè)數(shù)據(jù)客體，他也只能通過(guò)針對(duì)那個(gè)數(shù)據(jù)客體定義的一些事務(wù)去做。 】 27 ? 商業(yè)安全策略也是一種強(qiáng)制訪(fǎng)問(wèn)控制 ? 但它與軍事安全策略的安全目標(biāo)、控制機(jī)制不相同 ? 商業(yè)安全策略強(qiáng)制性體現(xiàn)在： ? （ a）用戶(hù)必須通過(guò)指定的程序來(lái)訪(fǎng)問(wèn)數(shù)據(jù) ? （ b）允許操縱某一數(shù)據(jù)客體的程序列表和允許執(zhí)行某一程序的用戶(hù)列表不能被系統(tǒng)的一般用戶(hù)所更改 軍事與商業(yè)安全相同點(diǎn)： （ 1）一種機(jī)制被計(jì)算機(jī)系統(tǒng)用來(lái)保證系統(tǒng)實(shí)施了安全策略中的安全需求 （ 2）系統(tǒng)中的這種機(jī)制必須防止竄改和非授權(quán)的修改 28 (3) 軍事安全策略與商業(yè)安全策略的比較 ①軍事安全策略 ——數(shù)據(jù)的機(jī)密性 商業(yè)安全策略 ——數(shù)據(jù)的完整性 ②軍事安全策略 ——將數(shù)據(jù)與一個(gè)安全級(jí)相聯(lián)系 ,通 過(guò)數(shù)據(jù)的安全級(jí)來(lái)控制用戶(hù)對(duì)數(shù)據(jù)的訪(fǎng)問(wèn) 商業(yè)安全策略 ——將數(shù)據(jù)與一組允許對(duì)其進(jìn)行操 作的程序相聯(lián)系 ,通過(guò)這組程序來(lái)控制用戶(hù) 對(duì)數(shù)據(jù)的訪(fǎng)問(wèn) ③ 軍事安全策略 —— 用戶(hù)對(duì)數(shù)據(jù)的操縱是任意的 商業(yè)安全策略 ——用戶(hù)對(duì)數(shù)據(jù)的操縱是受限的 29 三 安全模型 安全模型是對(duì)安全策略所表達(dá)的安全需求簡(jiǎn)單、抽象和無(wú)歧義的描述 分為： 30 ? 安全系統(tǒng)的開(kāi)發(fā)過(guò)程 安全需求分析 制定安全策略 建立形式化的安全模型 安全性證明 安全功能 31 四 BellLa Padula模型 ? 簡(jiǎn)稱(chēng) BLP模型 ? 應(yīng)用最早也最廣泛的一個(gè)安全模型 ? David Bell和 Leonard La Padula ? 模型目標(biāo)：計(jì)算機(jī)多級(jí)操作規(guī)則 ? 安全策略：多級(jí)安全策略 ? 常把多級(jí)安全的概念與 BLP相聯(lián)系 ? 其它模型都嘗試用不同的方法來(lái)表達(dá)多級(jí)安全策略 32 四 BellLa Padula模型 ? BLP模型是一個(gè)形式化模型 ? 使用數(shù)學(xué)語(yǔ)言對(duì)系統(tǒng)的安全性質(zhì)進(jìn)行描述 ? BLP模型也是一個(gè)狀態(tài)機(jī)模型 ? 它反映了多級(jí)安全策略的安全特性和狀態(tài)轉(zhuǎn)換規(guī)則 ? BLP模型定義了 ? 系統(tǒng)、系統(tǒng)狀態(tài)、狀態(tài)間的轉(zhuǎn)換規(guī)則 ? 安全概念、制定了一組安全特性 ? 對(duì)系統(tǒng)狀態(tài)、狀態(tài)轉(zhuǎn)換規(guī)則進(jìn)行約束 ? 如果它的初始狀態(tài)是安全的，經(jīng)過(guò)一系列規(guī)則都是保持安全的，那么可以證明該系統(tǒng)是安全的 33 A B C D E a a a a a b b b b b 狀態(tài)機(jī)模型例 34 四 BellLa Padula模型 (一 )模型的基本元素 S={s1,s2,…,s n} 主體集 O={o1,o2,…,o m}客體集 C={c1,c2,…,c q}密級(jí)的集合 c1c2…c q K={k1,k2,…,k r} 部門(mén)或類(lèi)別的集合 A={r,w,e,a,c} 訪(fǎng)問(wèn)屬性集 r:只讀 。 w:讀寫(xiě) 。 e:執(zhí)行 。 a:添加 。 c:控制 RA={g,r,c,d}請(qǐng)求元素集 g: get, give 。 r: release, rescind c: change, create 。 d: delete D={yes,no,error,?} yes－ 請(qǐng)求被執(zhí)行 。 no－ 請(qǐng)求被拒絕 error－ 系統(tǒng)出錯(cuò) 。 ?－ 請(qǐng)求出錯(cuò) 35 μ={M1,M2,…,M p} 訪(fǎng)問(wèn)矩陣集 BA={f| f:A→B} F= Cs Co (Pk)s (Pk)o Cs ={f1| f1:S →C} f1給出每個(gè)主體的密級(jí) Co ={f2| f2:O→C} f2給出每個(gè)客體的密級(jí) (Pk)s={f3| f3:S → Pk} f3給出每個(gè)主體的部門(mén)集 (Pk)o ={f4| f4:O → Pk} f4給出每個(gè)客體的部門(mén)集 f ∈ F f=(f1,f2,f3,f4) 1 2 3 4 5 6 7 9 10 8 f： A B ((f1(si),f3(si)) 主體 si的安全級(jí) ((f2(oj),f4(oj)) 客體 oj的安全級(jí) 36 (二 ) 系統(tǒng)狀態(tài) V= P(S O A) μ F 狀態(tài)集 對(duì) v∈ V v=(b,M,f)表示某一狀態(tài) b ? S O A 表示在當(dāng)前時(shí)刻 ,哪些主體獲 得了對(duì)哪些客體的權(quán)限 b={(s1,o1,r),(s1,o2,w),(s2,o2,a)…….} M－ 當(dāng)前狀態(tài)訪(fǎng)問(wèn)控制矩陣 f－ 當(dāng)前時(shí)刻所有主體和客體的密級(jí)和部門(mén)集 37 ? 系統(tǒng)在任何一個(gè)時(shí)刻都處于某一種狀態(tài) v，即對(duì)任何時(shí)刻 t，必有狀態(tài) vt與之對(duì)應(yīng) ? 隨著用戶(hù)對(duì)系統(tǒng)的操作，系統(tǒng)的狀態(tài)不斷地發(fā)生變化 關(guān)心的問(wèn)題 ? 系統(tǒng)在各個(gè)時(shí)刻的狀態(tài)， ? 與狀態(tài)相對(duì)應(yīng)的訪(fǎng)問(wèn)集 b是否能保證系統(tǒng)的安全性 ? 顯然只有每一個(gè)時(shí)刻狀態(tài)是安全的，系統(tǒng)才可能安全。 ? BLP模型對(duì)狀態(tài)的安全性進(jìn)行了定義 38 (三 ) 安全特性 BLP模型的安全特性定義了系統(tǒng)狀態(tài)的安全性，體現(xiàn)了 BLP模型的安全策略。 (1)自主安全性 狀態(tài) v=(b,M,f)滿(mǎn)足自主安全性 iff 對(duì)所有的 (si,oj,x)∈ b,有 x∈ Mij 此條性質(zhì)是說(shuō)，若 (si,oj,x)∈ b，即如果在狀態(tài) v，主體 si獲得了對(duì)客體 oj的 x訪(fǎng)問(wèn)權(quán)，那么 si必定得到了相應(yīng)的自主授權(quán)。 39 (三 ) 安全特性 如果存在 (si,oj,x)∈ b,但主體 si并未獲得對(duì)客體 oj的 x訪(fǎng)問(wèn)權(quán)的授權(quán)，則 v被認(rèn)為不符合自主安全性。 (2)簡(jiǎn)單安全性 狀態(tài) v=(b,M,f)滿(mǎn)足簡(jiǎn)單安全性 iff對(duì)所有的 (s,o,x)∈ b,有 （ i） x=e或 x=a或 x=c 或 (ii) (x=r或 x=w)且 (f1(s)≥f2(o),f3(s)?f4(o)) S O e,c,a S (高 ) O (低 ) r w 在 BLP模型中 ,w權(quán)表示可讀、可寫(xiě)，即主體對(duì)客體的修改權(quán) 40 (3) *—性質(zhì) 狀態(tài) v=(b,M,f)滿(mǎn)足 *—性質(zhì) ,當(dāng)且僅當(dāng)對(duì)所有的s∈ S,若 o1∈ b(s:w,a),o2∈ b(s:r,w),則f2(o1)≥f2(o2),f4(o1) ? f4(o2),其中符號(hào) b(s:x1,x2)表示 b中主體 s對(duì)其具有訪(fǎng)問(wèn)特權(quán) x1或 x2的所有客體的集合。 理解如下 4個(gè)圖所示 : 41 S o1 (高 ) O2 (低 ) a r S O1 (高 ) O2 (低 ) a w S O1 (高 ) O2 (低 ) w r S O1 O2 w w (級(jí)別 ) (級(jí)別 ) 相等 流向 42 ? 例： ? b＝ {(s1,o1,r),(s2,o2,a),(s1,o2,w),(s2,o2,r),(s1,o3,a)} ? 考慮 b(s:x1,x2):b(s1:r,w) b(s1:w,a) b(s3:r,w) ? b(s1:r,w) ={o1,o2} ? b(s1:w,a) ={o2,o3} ? b(s3:r,w) ={}= Φ 43 ? *—性質(zhì) 重要安全特性 ? o1∈ b(s:w,a),意味著 s對(duì) o1有 w權(quán)或 a權(quán) ,此時(shí)信息經(jīng)由 s流向 o1 ? o2∈ b(s:r,w),意味著 s對(duì) o1有 r權(quán)或 w權(quán) ,此時(shí)信息可由 o2流向 s ? 因此 ,在訪(fǎng)問(wèn)集 b中以 s為媒介 ,信息就有可能由 o2流向o1。 ? 所以要求 o1的安全級(jí)必須支配 o2安全級(jí) ? 當(dāng) s對(duì) o1， o2均具有 w權(quán)時(shí)，兩次運(yùn)用該特性， f2(o1)≥f2(o2),f4(o1) ? f4(o2)及 , f2(o2)≥f2(o1),f4(o2) ? f4(o1)， ? 則要求 o1的安全級(jí)必須等于 o2安全級(jí) ? 顯然它放反映了 BLP模型中信息只能由低安全級(jí)向高安全級(jí)流動(dòng)的安全策略 44 (四 )請(qǐng)求集 R= S+ RA S+ O X 請(qǐng)求集 ,它的元素是一 個(gè)完整的請(qǐng)求 ,不是請(qǐng)求元素集 其中 S+ =S?{?} X=A ? {?} ?F S={s1,s2,…, sn} 主體集 RA={g,r,c,d} A={r,w,e,a,c} F= Cs Co (Pk)s (Pk)o 45 R= S+ RA S+ O X= { (?1, ? , ?2, Oj, x)} (?1, ? , ?2, Oj, x)是一個(gè)五元組 ,表示 (?1, ? , ?2, Oj, x) ? R= S+ RA S+ O X ?1, ?2 ? S+分別是主體 1,主體 2 ? ? RA 表示某一請(qǐng)求元素 o j? O表示某一客體 x ?X 是訪(fǎng)問(wèn)權(quán)限 or是空 or是主客體的安全級(jí) 46 (五 ) 狀態(tài)轉(zhuǎn)換規(guī)則 P: R V→D V 其中 R是請(qǐng)求集 (S+ RA S+ O X),D是判斷集 ,V是狀態(tài)集 D={yes,no,error,?} V= P(S O A) μ F 狀態(tài)集 對(duì) v∈ V v=(b,M,f)表示某一狀態(tài) b ? S O A 表示在當(dāng)前時(shí)刻 ,哪些主體獲 得了對(duì)哪些客體的權(quán)限 b={(s1,o1,r),(s1,o2,w),(s2,o2,a)…….} M－ 當(dāng)前狀態(tài)訪(fǎng)問(wèn)控制矩陣 f－ 當(dāng)前時(shí)刻所有主體和客體的密級(jí)和部門(mén)集 47 P: R V→D V 對(duì)請(qǐng)求 (Rk,vn)?R V,在函數(shù) ?的作用下 ? (Rk,v) =(Dm, v*) 系統(tǒng)對(duì)請(qǐng)求 Rk的反應(yīng)是 Dm,狀態(tài)由 v轉(zhuǎn)換成 v* 48 十條規(guī)則 : 規(guī)則 1～規(guī)則 4用于主體請(qǐng)求對(duì)某客體的訪(fǎng)問(wèn)權(quán) 形式 (φ ,g,Si,Oj,r) 規(guī)則 5 用于主體釋放它對(duì)某客體的訪(fǎng)問(wèn)權(quán) 規(guī)則 67 分別用于主體授予和撤消另一主體對(duì) 客體的訪(fǎng)問(wèn)權(quán) 規(guī)則 8 用于改變靜止客體的密級(jí)和部門(mén)集 規(guī)則 910 分別用于創(chuàng)建和刪除一個(gè)客體 49 規(guī)則 1： 主體 si請(qǐng)求得到對(duì)客體 oj的 r訪(fǎng)問(wèn)權(quán) getread ： ?1(Rk,v)≡ if σ1 ? φ or γ ? g or x ? r or σ2=φ then ?1(Rk,v) =(?,v) if r ? Mij or (f1(si)f2(oj) or f3(si) ? f4(oj)) then ?1(Rk,v) =(no, v) if U?1 ={o|o?b(si:w,a) and [f2(oj)f2(o) or f4(oj) ?f4(o)]}= φ then ?1(Rk,v) =(yes, v*=(b?{(si,oj,r)},M,f)) else ?1(Rk,v)=(no,v) end