【正文】 體不應(yīng)該總是有能力看到所有低安全級(jí)別的數(shù)據(jù)，必須將主體的讀能力限定在一個(gè)范圍內(nèi)，而不是允許讀所有低安全級(jí)別的客體 ? (3)有些低安全級(jí)別的數(shù)據(jù)允許低安全級(jí)別主體讀，但不意味著允許低級(jí)別的主體改寫，只有規(guī)定的安全級(jí)別范圍內(nèi)的主體才能改寫 98 （九）對(duì) BLP安全模型的評(píng)價(jià) ? (4)對(duì)于安全級(jí)高的主體而言，不僅要寫安全級(jí)高的數(shù)據(jù)，也會(huì)有寫安全級(jí)低的數(shù)據(jù)的合理需求。靜態(tài)的主體安全級(jí)別限制了主體的這種合理請(qǐng)求，影響了系統(tǒng)的可用性。必須允許主體可以根據(jù)數(shù)據(jù)的情況，在不違反 BLP安全公理的條件下， 動(dòng)態(tài)調(diào)節(jié) 自己的安全級(jí) ? (5)按照 BLP模型，對(duì)于某一安全范疇之內(nèi)的客體，同一安全范疇之內(nèi)的主體必然至少可以有讀寫權(quán)限中的一種，實(shí)踐中有時(shí)候需要有能力屏蔽主體對(duì)特定敏感區(qū)域內(nèi)數(shù)據(jù)的任何操作 99 （九）對(duì) BLP安全模型的評(píng)價(jià) 可以設(shè)計(jì)一個(gè) 增強(qiáng)的多級(jí)安全模型，對(duì)主體的敏感標(biāo)記進(jìn)行擴(kuò)充，將主體讀寫敏感度標(biāo)記分離。讀寫敏感標(biāo)記都是 由最低安全級(jí)和最高安全級(jí)組成的區(qū)間組成 ，從而可將主體的讀寫權(quán)限分別限制在一個(gè)區(qū)間之內(nèi)，即限制主體的 最低寫安全級(jí) 、最低讀安全級(jí)、 最高讀安全級(jí) 和最高寫安全級(jí) 采用讀寫分離的區(qū)間權(quán)限，可以提供豐富的安全管理方案，提高數(shù)據(jù)完整性和系統(tǒng)的可用性，使系統(tǒng)的安全控制更加靈活方便。要不破壞安全性質(zhì)，必須將 區(qū)間敏感度標(biāo)記與動(dòng)態(tài)調(diào)整策略相結(jié)合 ，即主體當(dāng)前敏感標(biāo)記必須根據(jù)客體敏感標(biāo)記和主體訪問權(quán)限的歷史過程進(jìn)行動(dòng)態(tài)調(diào)整 100 （九）對(duì) BLP安全模型的評(píng)價(jià) ? 調(diào)整 說明 ? 讀了一個(gè)級(jí)別的客體后， 調(diào)整環(huán)境限制參數(shù)防止信息泄漏， 以后就不能寫比該客體的安全級(jí)別更低級(jí)別的客體 ? 寫了一個(gè)級(jí)別的客體后， 調(diào)整環(huán)境限制參數(shù)防止信息泄漏， 以后就不能讀比該客體的安全級(jí)別更高級(jí)別的客體 ? 讀寫了一個(gè)級(jí)別的客體， 調(diào)整環(huán)境限制參數(shù)防止信息泄漏， 以后就不能讀比這個(gè)客體的安全級(jí)別更高級(jí)別的客體，不能寫比這個(gè)客體的安全級(jí)別更低級(jí)別的客體 101 （九）對(duì) BLP安全模型的評(píng)價(jià) ? 缺點(diǎn) ? 增加了強(qiáng)制存取控制的 復(fù)雜性 ? 優(yōu)點(diǎn) ? 增加了應(yīng)用中的 靈活性 ，使得多級(jí)安全策略更具有實(shí)用性 102 五 其它幾種安全模型 安全信息流的格模型 1976年 與 BLP模型一致 系統(tǒng)中任意操作序列的執(zhí)行所產(chǎn)生的信息流動(dòng)，只能沿著格結(jié)構(gòu)所定義的流關(guān)系的方向進(jìn)行流動(dòng)。 e a b d c f g h 3 1 2 6 5 10 15 30 d a c b 103 交和并： 在格 〈 L ； ≤ 〉 中，由于每一對(duì)元素 l 1 ， l 2 ∈ L 都存在唯一的上、下確界 ， 因此可以把 l 1 ∧ l 2 和 l 1 ∨ l 2 看作是 集合 L 上的二元運(yùn)算，也把 ∧ 和 ∨ 分 別稱為“ 交 ”和“ 并 ” 界： 如果一個(gè)格存在有最小元素和最大元素， 則稱它們?yōu)樵摳竦?界 格 ： 設(shè) 〈 L ； ≤ 〉 是一個(gè)偏序集， 若 L 中 每一對(duì)元素都存在下確界和上確界， 則稱 〈 L ； ≤ 〉 是 格 。 格 ： L； ∨ ， ∧ 是一個(gè)代數(shù)系統(tǒng)， ∨ 和 ∧ 是 L 上的兩個(gè)二元運(yùn)算，如果這兩個(gè)運(yùn)算滿足交換率、 結(jié)合律和吸收律，則稱 L； ∨ ， ∧ 是一個(gè) 格 104 吸收律 P∧ (P∨ Q)=P (P∧ 1)∧ (P∨ Q)=P∧ P∧ (1∨ Q)=P∧ 1=P 同理 P∨ (P∧ Q)=P 105 例 1：證明偏序集 〈 2U； ? 〉 是一個(gè)格。 證 ：對(duì)于全集 U 的冪集 2U 的 任意兩個(gè)元素 S1， S2 ? U 而對(duì)于任意 S ∈ 2U，若有 S1 ? S 且 S2 ? S ，必有 S1∪ S2 ? S ∴ S1∪ S2 是 S1 和 S2 的上確界 即， 2U 的任意元素對(duì) S1， S2 都 有最小上界 同理可得， 2U 的任意元素對(duì) S1， S2 都 有最大下界 S1∩S2 ∴ 〈 2U； ? 〉 是一個(gè)格 注 ： 〈 2U ； ? 〉 是一個(gè)典型的格，其中集合的交與并同格的 交與并是完全統(tǒng)一的 必有 S1 ? S1∪ S2 ， S2 ? S1∪ S2 ∴ S1∪ S2 是 S1 和 S2 的上界 106 例 2：正整數(shù)集 N 上的整除關(guān)系 ︱ 是一個(gè)偏序關(guān)系。 N 上任意兩個(gè)元素 n1， n2 的最小公倍數(shù)是 n1， n2 的 上確界 N 上任意兩個(gè)元素 n1， n2 的最大公約數(shù)是 n1， n2 的 下確界 ∴ 〈 N ； ︱〉 是一個(gè)格 證明格 107 無干擾模型 1982年 Goguen與 Meseguer 設(shè)有使用某一命令集的一組用戶和另一組戶，如果第一組用戶使用這些命令所得到的結(jié)果，對(duì)于第二組用戶能訪問的數(shù)據(jù)沒有影響，則稱第一組用戶沒有干擾第二組用戶。 108 一組 二組 Biba模型 1977年 Biba. . 它是數(shù)據(jù)完整性保護(hù)模型 109 Biba模型 [Biba,1977]在研究 BLP模型的特性時(shí)發(fā)現(xiàn)， BLP模型只解決了信息的保密問題，其在完整性定義存在方面有一定缺陷 Biba模型模仿 BLP模型的信息保密性級(jí)別，定義了信息完整性級(jí)別，在信息流向的定義方面不允許從級(jí)別低的進(jìn)程到級(jí)別高的進(jìn)程，也就是說用戶只能向比自己安全級(jí)別低的客體寫入信息，從而防止非法用戶創(chuàng)建安全級(jí)別高的客體信息，避免越權(quán)、篡改等行為的產(chǎn)生 Biba模型可同時(shí)針對(duì)有層次的安全級(jí)別和無層次的安全種類 110 Biba模型的兩個(gè)主要特征 （ 1）禁止向上回滾，這樣使得完整性級(jí)別高的文件是一定由完整性高的進(jìn)程所產(chǎn)生的，從而保證了完整性級(jí)別高的文件不會(huì)被完整性低的文件或完整性低的進(jìn)程中的信息所覆蓋 （ 2） Biba模型沒有下 讀 111 Biba模型用偏序關(guān)系可以表示為： （ 1） r，當(dāng)且僅當(dāng) SC(s) ≤SC(o)，允許讀操作 （ 2） w，當(dāng)且僅當(dāng) SC(s) ≥SC(o)，允許寫操作。 Biba模型是和 BLP模型相對(duì)立的模型，Biba模型重視信息完整性問題，但在一定程度上卻忽視了保密性 112 ClarkWilson模型 1987年 Clark和 Wilson 它是基于良性事務(wù)和職責(zé)分散兩個(gè)基本概念提出的保護(hù)數(shù)據(jù)完整性的模型 ,用來實(shí)現(xiàn)商業(yè)安全策略 113 信息的完整性在商業(yè)應(yīng)用中則有 重要意義 適用于商業(yè)計(jì)算機(jī)安全的形式化模型 與 BLP模型在方法上有很大的不同 114 ClarkWilson模型采用了兩個(gè)基本的方法 ,以保證信息的安全 合式交易 (wellformed transition) 責(zé)任分離 (segregation of duties) 合式交易的目的是不讓一個(gè)用戶隨意地修改數(shù)據(jù) ,猶如手工記帳系統(tǒng) ,要完成一個(gè)帳目記錄的修改 ,必須在支出與轉(zhuǎn)入兩個(gè)項(xiàng)目上都有變化，這種交易才是 “合式 ”的，而當(dāng)帳目無法平衡時(shí)，就有錯(cuò)誤發(fā)生。合式交易是 ClarkWilson模型中保證應(yīng)用完整性的一個(gè)機(jī)制 115 ClarkWilson模型中控制差錯(cuò)的第二個(gè)機(jī)制就是責(zé)任分離 此機(jī)制的目的是保證數(shù)據(jù)對(duì)象與它所代表的現(xiàn)實(shí)世界對(duì)象的對(duì)應(yīng)，而計(jì)算機(jī)本身并不能直接保證這種外部的一致性 最基本的責(zé)任分離規(guī)則就是不允許任何創(chuàng)造或檢查某一個(gè)合式交易的人再來執(zhí)行它。那么 ,在一次合式交易中，至少要有兩個(gè)人參與，才能改變數(shù)據(jù) 116 在上述的兩種基本機(jī)制中，數(shù)據(jù)完整性 ClarkWilson模型有兩類規(guī)則 : 強(qiáng)迫性規(guī)則 確認(rèn)規(guī)則 強(qiáng)迫性規(guī)則是與應(yīng)用無關(guān)的安全功能，而確認(rèn)性規(guī)則是與具體應(yīng)用相關(guān)的安全功能 117 在在介紹這兩種規(guī)則之前 ,先引入一些術(shù)語 有約束數(shù)據(jù)項(xiàng) (CDI) 它們是系統(tǒng)完整性模型要應(yīng)用到的數(shù)據(jù)項(xiàng)，即可信數(shù)據(jù) 無約束數(shù)據(jù)項(xiàng) (UDI) 與 CDI相反， UDI是不可信數(shù)據(jù)，模型的完整性過程不保護(hù) UDI 事務(wù)過程 (TP) 也稱為轉(zhuǎn)換過程，它們的作用是把 UDI從一種合法狀態(tài)轉(zhuǎn)換到另一種合法狀態(tài) 完整性驗(yàn)證過程 (IVP) 這是一個(gè)保證所有系統(tǒng)中的 CDI都服從完整性規(guī)定的過程，ClarkWilson模型把它用在與審計(jì)相關(guān)的過程中 118 ClarkWilson模型的規(guī)則 強(qiáng)迫性規(guī)則 E1:用戶只能間接通過操作 TP才能操作可信數(shù)據(jù) (CDI) E2:用戶只有被明確地授權(quán)，才能執(zhí)行操作 E3:用戶的確認(rèn)必須通過驗(yàn)證 E4:只有安全官員才能改變授權(quán) 119 確認(rèn)性規(guī)則 C1:可信數(shù)據(jù)必須經(jīng)過與真實(shí)世界一致性表達(dá)的檢驗(yàn) C2:程序以合式交易的形式執(zhí)行操作 C3:系統(tǒng)必須支持責(zé)任分離 C4:由操作檢驗(yàn)輸入，或接收或拒絕 ClarkWilson模型用這八條規(guī)則定義了一個(gè)實(shí)行 完整性策略 的系統(tǒng) 這些規(guī)則說明了在商業(yè)數(shù)據(jù)處理系統(tǒng)中完整性是如何實(shí)施的。ClarkWilson模型在計(jì)算機(jī)安全領(lǐng)域中引起了人們很大的興趣，也表明了商業(yè)上對(duì)計(jì)算機(jī)安全有一些獨(dú)特的要求 120 Seaview模型 是一個(gè)多級(jí)安全關(guān)系數(shù)據(jù)庫系統(tǒng)的形式化安全模型。它的目標(biāo)是設(shè)計(jì)一個(gè)達(dá)到 DoD（美國國防部）可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（ TCSEC） A1級(jí)的多級(jí)安全數(shù)據(jù)庫系統(tǒng) Seaview模型 121 可信計(jì)算機(jī)評(píng)估標(biāo)準(zhǔn) ? D級(jí) (最低安全形式 )無系統(tǒng)訪問、數(shù)據(jù)訪問限制屬于這個(gè)級(jí)別的 OS有 ： DOS/WINDOWS/MACINTOSH SYSTEN ? C1級(jí) 注冊(cè)帳號(hào)、口令 /用戶識(shí)別、規(guī)定程序及信息訪問權(quán) ? C2級(jí) 除 C1外包括訪問控制環(huán)境如身份驗(yàn)證級(jí)別、審計(jì)日志 C2級(jí)的常見 OS 有 UNIX/XENIX/NOVELL ? B1級(jí) 第一個(gè)多級(jí)安全級(jí)別 /強(qiáng)制訪問控制 /系統(tǒng)不允許文件的擁有者改變其許可權(quán)限 ? B2級(jí) 又稱結(jié)構(gòu)保護(hù) /系統(tǒng)中所有對(duì)象均加標(biāo)簽，設(shè)備分配多個(gè)級(jí)別 ? B3級(jí)安全域級(jí)別 /使用安裝硬件的方式來加強(qiáng)域 /要求用戶通過一條可信任途徑鏈接到系統(tǒng)上 ? A級(jí) 包括了一個(gè)嚴(yán)格的設(shè)計(jì)、控制和驗(yàn)證過程。設(shè)計(jì)須驗(yàn)證（數(shù)學(xué)），并通過秘密和可信任分布（硬件、軟件在傳輸過程中已受到保護(hù)）的分析 122 (一 )多級(jí)關(guān)系模式和客體的安全標(biāo)記 Seaview模型將訪問控制粒度定為數(shù)據(jù)項(xiàng) ,即對(duì)每一數(shù)項(xiàng)都有安全級(jí)標(biāo)記 ,它將標(biāo)準(zhǔn)的關(guān)系模式 R(A1,A2,…,A n)擴(kuò)展為 R(A1,C1,A2,C2,…A n,Cn) 例 : 如下表 一 設(shè) di=(密級(jí) ,部門級(jí) )假定如下關(guān)系 d8 z d8 35 d8 005 d8 y d7 15 d3 013 d5 x d5 24 d2 001 C3 A3 C2 A2 C1 A1 d8 d7 d6 d5 d2 d3 d4 d1 123 Seaview模型對(duì)庫、表、記錄定義了安全級(jí)且要求這些數(shù)據(jù)客體的安全級(jí)呈以下關(guān)系 （ 令 D表示數(shù)據(jù)庫 ,R表示某張表的關(guān)系模式 ,r表示記錄 , K表示記錄 r中的主關(guān)鍵字 , d表示 r中不是主關(guān)鍵字的任一數(shù)據(jù)項(xiàng) ）： class(D)≤class(R)≤class(K)≤class(d)≤class(r) D R k d r 124 在 SeaView中 : class(r) =class(d1) ? class(d2) ∨ … ∨ class(dn) =lub(class(di)) di∈ r class(R)=glb(class(di)) di∈ R class(D)=glb(class(Ri)) Ri∈ D 理解如下 : class(D)高于 class(R),則安全級(jí)低于 class(D)的用戶無法知道該庫的存在 ,便不能訪問庫中與自己安全級(jí)相匹配的數(shù)據(jù) 。 125 ,若 class(R)≥class(r), 則安全級(jí)低于class(R)用戶不知道該關(guān)系存在 ,因此無法去訪問 R中與自己安全級(jí)相匹配的數(shù)據(jù) 。 ,常作為