【正文】 設(shè)計須驗證（數(shù)學(xué)），并通過秘密和可信任分布（硬件、軟件在傳輸過程中已受到保護(hù)）的分析 122 (一 )多級關(guān)系模式和客體的安全標(biāo)記 Seaview模型將訪問控制粒度定為數(shù)據(jù)項 ,即對每一數(shù)項都有安全級標(biāo)記 ,它將標(biāo)準(zhǔn)的關(guān)系模式 R(A1,A2,…,A n)擴(kuò)展為 R(A1,C1,A2,C2,…A n,Cn) 例 : 如下表 一 設(shè) di=(密級 ,部門級 )假定如下關(guān)系 d8 z d8 35 d8 005 d8 y d7 15 d3 013 d5 x d5 24 d2 001 C3 A3 C2 A2 C1 A1 d8 d7 d6 d5 d2 d3 d4 d1 123 Seaview模型對庫、表、記錄定義了安全級且要求這些數(shù)據(jù)客體的安全級呈以下關(guān)系 （ 令 D表示數(shù)據(jù)庫 ,R表示某張表的關(guān)系模式 ,r表示記錄 , K表示記錄 r中的主關(guān)鍵字 , d表示 r中不是主關(guān)鍵字的任一數(shù)據(jù)項 ）： class(D)≤class(R)≤class(K)≤class(d)≤class(r) D R k d r 124 在 SeaView中 : class(r) =class(d1) ? class(d2) ∨ … ∨ class(dn) =lub(class(di)) di∈ r class(R)=glb(class(di)) di∈ R class(D)=glb(class(Ri)) Ri∈ D 理解如下 : class(D)高于 class(R),則安全級低于 class(D)的用戶無法知道該庫的存在 ,便不能訪問庫中與自己安全級相匹配的數(shù)據(jù) 。強(qiáng)迫性規(guī)則 E1:用戶只能間接通過操作 TP才能操作可信數(shù)據(jù) (CDI) E2:用戶只有被明確地授權(quán)，才能執(zhí)行操作 E3:用戶的確認(rèn)必須通過驗證 E4:只有安全官員才能改變授權(quán) 119 有約束數(shù)據(jù)項 (CDI) 它們是系統(tǒng)完整性模型要應(yīng)用到的數(shù)據(jù)項，即可信數(shù)據(jù) 108 一組 二組 Biba模型 1977年 Biba. . 它是數(shù)據(jù)完整性保護(hù)模型 109 Biba模型 [Biba,1977]在研究 BLP模型的特性時發(fā)現(xiàn)， BLP模型只解決了信息的保密問題，其在完整性定義存在方面有一定缺陷 Biba模型模仿 BLP模型的信息保密性級別，定義了信息完整性級別，在信息流向的定義方面不允許從級別低的進(jìn)程到級別高的進(jìn)程，也就是說用戶只能向比自己安全級別低的客體寫入信息，從而防止非法用戶創(chuàng)建安全級別高的客體信息，避免越權(quán)、篡改等行為的產(chǎn)生 Biba模型可同時針對有層次的安全級別和無層次的安全種類 110 Biba模型的兩個主要特征 （ 1）禁止向上回滾，這樣使得完整性級別高的文件是一定由完整性高的進(jìn)程所產(chǎn)生的，從而保證了完整性級別高的文件不會被完整性低的文件或完整性低的進(jìn)程中的信息所覆蓋 （ 2） Biba模型沒有下 讀 111 Biba模型用偏序關(guān)系可以表示為： （ 1） r，當(dāng)且僅當(dāng) SC(s) ≤SC(o)，允許讀操作 （ 2） w，當(dāng)且僅當(dāng) SC(s) ≥SC(o)，允許寫操作。 e a b d c f g h 3 1 2 6 5 10 15 30 d a c b 103 交和并： 在格 〈 L ； ≤ 〉 中，由于每一對元素 l 1 ， l 2 ∈ L 都存在唯一的上、下確界 ， 因此可以把 l 1 ∧ l 2 和 l 1 ∨ l 2 看作是 集合 L 上的二元運算，也把 ∧ 和 ∨ 分 別稱為“ 交 ”和“ 并 ” 界： 如果一個格存在有最小元素和最大元素， 則稱它們?yōu)樵摳竦?界 格 ： 設(shè) 〈 L ； ≤ 〉 是一個偏序集， 若 L 中 每一對元素都存在下確界和上確界， 則稱 〈 L ； ≤ 〉 是 格 。靜態(tài)的主體安全級別限制了主體的這種合理請求，影響了系統(tǒng)的可用性。 ③ 高級別的信息大多是由低級別的信息通過組裝而成的，要解決推理控制的問題。 92 （八）模型中的有關(guān)安全結(jié)論 1．這十條規(guī)則都是安全性保持的 即：若 v是安全狀態(tài)，則經(jīng)過這十條規(guī)則轉(zhuǎn)換后的狀態(tài) v*也一定是安全狀態(tài) 2．若 z0是安全狀態(tài)， ω是一組安全性保持的規(guī)則，則系統(tǒng) ∑(R,D,W(ω),z0)是安全的。 2．安全狀態(tài)序列 設(shè) z=z1z2… zt… 是一狀態(tài)序列，若對于每一個t?T， zt都是安全狀態(tài)，則 z是安全狀態(tài)序列。時刻 t時發(fā)出的請求用 xt表示 Y=DT={y|y:T→D },y可表示為 y=y1y2… yt… 是結(jié)果序列 Y是結(jié)果序列集 。顯然主體可以創(chuàng)建客體，但該客體的安全級必須由系統(tǒng)來定義，因此規(guī)則 8中沒有主體 75 ?A(m)是活動客體的下標(biāo)集，即A(m)={j| 1≤j≤m 且存在 i，使 Mij非空 } ? 規(guī)則 8的安全性要求是，新定義的安全級 f*=( f1*, f2*, f3*, f4*)，不能改變系統(tǒng)中主體的安全級，也不能改變活動客體的安全級，只能改變靜止客體的安全級，在這種情形下，新狀態(tài) v*用 f*代替原狀態(tài) v中的 f 76 規(guī)則 9： 主體 si請求創(chuàng)建客體 oj Rk=(, c, si, oj, e) 或 Rk=(, c, si, oj, φ) createobject： ?9(Rk,v)≡ if σ1 ? φ or γ ? c or σ2=φ or (x ? e and φ) then ?9(Rk,v)= (?,v) if j?A(m) then ?9(Rk,v)= (no,v) if x=φ then ?9(Rk,v)= (yes,(b,M?[{r,w,a,c}]ij,f)) else ?9(Rk,v)= (yes,(b,M?[{r,w,a,c,e}]ij,f)) end 77 ?規(guī)則 9要求主體 si所創(chuàng)建的客體不能是活動著的客體 ? 當(dāng)客體創(chuàng)建成功后，系統(tǒng)便將對oj的所有訪問權(quán)賦予 si，需要區(qū)分的是，當(dāng) oj不是可執(zhí)行程序時， e權(quán)不賦予 si 78 規(guī)則 10： 主體 si請求刪除客體 oj Rk=(, d, si, oj, φ) deleteobject： ?10(Rk,v)≡ if σ1 ? φ or γ ? d or σ2=φ or x ? φ then ?10(Rk,v)= (?,v) if c?Mij then ?10(Rk,v)= (no,v) else ?10(Rk,v) = (yes,(b,M?[{r,w,a,c,e}]ij,1≤i≤n,f)) end 79 ?si必須對 oj具有控制權(quán)才能刪除 oj（在這里，擁有權(quán)和控制權(quán)是一致的） ?oj被刪除后， oj成為靜止客體。 狀態(tài) v=(b,M,f)滿足 簡單安全性 iff對所有的 (s,o,x)∈ b,有 （ i） x=e或 x=a或 x=c 或 (ii) (x=r或 x=w)且 (f1(s)≥f2(o),f3(s)?f4(o)) 57 規(guī)則 3： 主體 si請求得到對客體 oj的 e訪問權(quán) getexecute： ?3(Rk,v)≡ if σ1 ? φ or γ ? g or x ? e or σ2=φ then ?3(Rk,v)= (?,v) if e ? Mij then ?3(Rk,v)= (no,v) else ?3(Rk,v)= (yes, (b ? {(si,oj,e)},M,f)) end 58 ? 規(guī)則 3對 si的請求只作類似與規(guī)則 1中的(1)(2)兩項檢查 ? (1)主體請求對某客體的訪問權(quán)形式 (φ,g,Si,Oj,e) ? (2)oj的擁有者或控制者是否授予了 si對 oj的讀訪問權(quán) ? r ? Mij之檢查 ? Si對請求對 Oj的執(zhí)行權(quán)時 ? 不需作簡單安全性和 *—性質(zhì)的安全檢查 59 規(guī)則 4： 主體 si請求得到對客體 oj的 w訪問權(quán) getwrite： ?4(Rk,v)≡ if σ1 ? φ or γ ? g or x ? w or σ2=φ then ?4(Rk,v)= (?,v) if w ? Mij or [f1(si)f2(oj) or f3(si) ? f4(oj)] then ?4(Rk,v)= (no,v) if U?4 ={o|o?b(si:r) and [f2(oj)f2(o) or f4(oj) ? f4(o)]} ∪ {o|o?b(si:a) and [f2(oj)f2(o) or f4(oj) ? f4(o)]} ∪ {o|o?b(si:w) and [f2(oj) ? f2(o) or f4(oj) ? f4(o)]}=φ then ?4(Rk,v)= (yes,v*） =（ yes， (b ?{(si,oj,w)},M,f)) else ?4(Rk,v)= (no,v) end 60 ? 規(guī)則 4的安全性檢查類似于規(guī)則 1 ? (1)請求對某客體的訪問權(quán)形式 (φ,g,Si,Oj,w) ? (2)oj的擁有者或控制者是否授予了 si對 oj的讀訪問權(quán) ? r ? Mij之檢查 ? (3)si的安全級是否支配 oj的安全級 ? f1(si)f2(oj) or f3(si) ? f4(oj) ? (4)在訪問集 b中 ,若 si對另一客體 o有 w/a訪問權(quán) ,是否一定有 o的安全級支配 oj的安全級 ? {o|o?b(si:w,a) ? and ? [f2(oj)f2(o) or f4(oj)?f4(o)]}= φ 61 62 ? 規(guī)則 4的＊ —性質(zhì)檢查較為復(fù)雜： U?4 ={o|o?b(si:r) and [f2(oj)f2(o) or f4(oj) ? f4(o)]} ∪ {o|o?b(si:a) and [f2(oj)f2(o) or f4(oj) ? f4(o)]} ∪ {o|o?b(si:w) and [f2(oj) ? f2(o) or f4(oj) ? f4(o)]}=φ 63 規(guī)則 5： 主體 si請求釋放對客體 oj的 r或 w或 e 或 a訪問權(quán) releaseread/write/append/execute： ?5(Rk,v)≡ if σ1 ? φ or γ ? r or (x ? r,w,a and e) or (σ2=φ) then ?5(Rk,v) = (?,v) else ?5(Rk,v)= (yes,v*） =（ yes， (b{(si,oj,x)},M,f)) end 64 ?規(guī)則 5用于主體 si請求釋放對客體 oj的訪問權(quán)，包括 r、 w、 e和 a等權(quán) 因為訪問權(quán)的釋放不會對系統(tǒng)造成安全威脅，所以不需要作安全性檢查，并可將四種情形 Rk=(φ, r, si, oj, r) 或 (φ, r, si, oj, w) 或 (φ, r, si, oj, a) 或 (φ, r, si, oj, e)， 用同一條規(guī)則來處理 65 規(guī)則 6：主體 sλ請求授予主體 si對客體 oj的 r或 w或 e或 a訪問權(quán) 請求的五元組 Rk=(sλ, g, si, oj, r)或 (sλ, g, si, oj, w) 或 (sλ, g, si, oj, a) 或(sλ, g, si, oj, e)，系統(tǒng)的當(dāng)前狀態(tài) v=(b,