【正文】 (a1,b1)? (a2,b2), 則 (a1,b1) ≤(a2,b2) 與 (a2,b2) ≤(a1,b1) 不能同時出現(xiàn) (iii)? (a1,b1) ,(a2,b2) ,(a3,b3) ∈ A B,若 (a1,b1) ≤(a2,b2) , (a2,b2) ≤(a3,b3) 則一定有 (a1,b1) ≤(a3,b3) 設(shè) ?是 A上的關(guān)系 ,?a ∈A 均 a?a 自反 設(shè) ?是 A上的關(guān)系 ,?a,b ∈A 若 a?b,則 a?b與 b?a不能同時出現(xiàn) 反對稱 設(shè) ?是 A上的關(guān)系 ,?a,b,c ∈A 若 a?b, b?c則一定有 a?c 可傳遞的 7 二 安全策略 計算機(jī) 系統(tǒng)的安全策略是為了描述系統(tǒng)的安全需求而制定的 對用戶行為進(jìn)行約束的一整套嚴(yán)謹(jǐn)?shù)囊?guī)則 。 8 ①軍事安全策略中的強(qiáng)制訪問控制策略 : 系統(tǒng)中每個主體和客體都分配一個安全標(biāo)準(zhǔn) (安全級 ) 客體的安全級表示客體所包含的信息的敏感程度 主體的安全級表示主體在系統(tǒng)中受信任的程度 9 ② 安全標(biāo)準(zhǔn)由兩部分組成 (密級 ,部門 (或類別 )集 ) eg:密級分為 4個級別 :一般 ?秘密 ?機(jī)密 ?絕密 (U?C ?S ?TS) 令 A={U,C,S,TS},則 A?！?例 :令 B={科技處 ,干部處 ,生產(chǎn)處 ,情報處 }, PB= 2B={H|H ? B} ,顯然 PB。 (密級 ,部門 (或類別 )集 )或 (密級 ,{部門或類別 }) 若某主體具有訪問密級 a的能力 ,則對任意 b≤a,該主體也 具有訪問 b的能力 若某主體具有訪問密級 a的能力 ,則對任意 b≥a,該主體 不具有訪問 b的能力 11 (密級 ,{部門或類別或范疇 })理解： 對于客體來說 ， {部門或類別或范疇 }可定義為該客體所包含的信息所涉及的范圍 部門或所具有的類別屬性 對于主體來說 ， {部門或類別或范疇 }可定義為該主體能訪問的信息所涉及的范圍或部門 例： 2022年財務(wù)報表 （ S， {財務(wù)處，總裁辦公室，黨辦，財經(jīng)小組 }) 12 例： 2022年財務(wù)報表 （ S， {財務(wù)處，總裁辦公室，黨辦，財經(jīng)小組 }) 肯定不會寫成： （ S， {財務(wù)處，三車間，大門 }) ?例：車間主任 （ C， {三車間，倉庫 }) 肯定不會寫成： （ S， {財務(wù)處，黨辦，財經(jīng)小組 }) 13 ?主體、客體安全級定義以后，就可以通過比較主客體安全級，來決定主體對客體的訪問以及什么樣的訪問。若某主體具有訪問密級 a的能力 ,則對任意 b≤a ,該主體也具有訪問 b的能力 。 那么， b≤a 或 b≥a 如何進(jìn)行比較呢？ 14 定義 A={U,C,S,TS} B= {部門或類別或范疇 } 例： B= {科技處 ,干部處 ,生產(chǎn)處 ,情報處 } PB= 2B={H|H ? B} 在 A PB上定義一個二元關(guān)系“ ≤”： A PB={(a,H)|a ∈ A 且 H ? PB} ? (a1,H1), (a2,H2) ∈ A PB ,當(dāng)且僅當(dāng) a1 ≤ a2,H1 ?H2時 ,有 (a1,H1) ≤(a2,H2) 可以證明 : ≤ 是 A PB上的一個偏序關(guān)系 即 A PB。 15 可利用命題 :若 A?！?是兩個偏序集 ,在笛卡爾積 A B上定義關(guān)系 ≤,對任意(a1,b1), (a2,b2) ∈ A B 當(dāng)且僅當(dāng) a1≤1a2, b1≤2b2時 ,有 (a1,b1) ≤(a2,b2) 可以證明 :A B。 證明 : ≤是 A PB上的一個偏序關(guān)系 即 A PB。 16 ? 在 A={U,C,S,TS}上定義 A。?,容易看出 ,它也是一個偏序 ? B= {科技處 ,干部處 ,生產(chǎn)處 ,情報處 } ? 再在 A PB上定義一個二元關(guān)系“ ≤”： ? A PB={(a,H)|a ∈ A 且 H ? PB} ? ? (a1,H1), (a2,H2) ∈ A PB ,當(dāng)且僅當(dāng) ? a1 ≤ a2,H1 ?H2時 ,有 (a1,H1) ≤(a2,H2) ? 根據(jù)上述命題 , A PB。 17 例 : class(O1) =(C,{科技處 }) class(u) =(S,{科技處 ,干部處 }) class(O2) =(TS,{科技處 ,情報處 ,干部處 }) class(O3)=(C,{情報處 }) O1 u O2 O3其安全級如何 ? 可以看出 :class(O1) =(C,{科技處 })≤ (S,{科技處 ,干部處 }) = class(u) class(u) = (S,{科技處 ,干部處 }) ≤ class(O2)= (TS,{科技處 ,情報處 ,干部處 }) class(u) 與 class(O3)不可比 18 ? 在一偏序集 L。 ? class(O1) ≤ class(u) ：主體 u的安全級支配客體O1的安全級 ? class(u) ≤class(O2）： 客體 O2的安全級支配主體u的安全級 ? class(u) 與 class(O3)不可比：主 體 u與客體 O3的安全級相互不可支配。 ? 若要使一個主體既能讀訪問客體，又能寫訪問這個客體，兩者的安全級必須相同。 例 : 保存記錄 (包括修改數(shù)據(jù)之前修改數(shù)據(jù)之后的記錄 )，事后被審計 雙入口規(guī)則：數(shù)據(jù)修改部分之間保持平衡 內(nèi)部數(shù)據(jù)的一致性 特別地，簽發(fā)一張支票與銀行帳號戶頭上的金額變動必須平衡 ——可由一個獨立測試帳簿是否平衡的程序來檢查 23 ② 職責(zé)分散 把一個操作分成幾個子操作 ,不同的子操作由不同的用戶執(zhí)行 ,使得任何一個職員都不具有完成該任務(wù)的所有權(quán)限 ,盡量減少出現(xiàn)欺詐和錯誤的機(jī)會。 ? 【 至少需要兩個人的參與才能進(jìn)行 】【 職員不暗中勾結(jié)，職責(zé)分散有效 】【 隨機(jī)選取一組職員來執(zhí)行一組操作，減少合謀機(jī)會 】 25 ? 良性事務(wù)與職責(zé)分散是商業(yè)數(shù)據(jù)完整性保護(hù)的基本原則 ? 專門機(jī)制 被商業(yè)數(shù)據(jù)處理計算機(jī)系統(tǒng)用來實施良性事務(wù)與職責(zé)分散規(guī)則。 】 27 ? 商業(yè)安全策略也是一種強(qiáng)制訪問控制 ? 但它與軍事安全策略的安全目標(biāo)、控制機(jī)制不相同 ? 商業(yè)安全策略強(qiáng)制性體現(xiàn)在： ? （ a）用戶必須通過指定的程序來訪問數(shù)據(jù) ? （ b）允許操縱某一數(shù)據(jù)客體的程序列表和允許執(zhí)行某一程序的用戶列表不能被系統(tǒng)的一般用戶所更改 軍事與商業(yè)安全相同點： （ 1）一種機(jī)制被計算機(jī)系統(tǒng)用來保證系統(tǒng)實施了安全策略中的安全需求 （ 2）系統(tǒng)中的這種機(jī)制必須防止竄改和非授權(quán)的修改 28 (3) 軍事安全策略與商業(yè)安全策略的比較 ①軍事安全策略 ——數(shù)據(jù)的機(jī)密性 商業(yè)安全策略 ——數(shù)據(jù)的完整性 ②軍事安全策略 ——將數(shù)據(jù)與一個安全級相聯(lián)系 ,通 過數(shù)據(jù)的安全級來控制用戶對數(shù)據(jù)的訪問 商業(yè)安全策略 ——將數(shù)據(jù)與一組允許對其進(jìn)行操 作的程序相聯(lián)系 ,通過這組程序來控制用戶 對數(shù)據(jù)的訪問 ③ 軍事安全策略 —— 用戶對數(shù)據(jù)的操縱是任意的 商業(yè)安全策略 ——用戶對數(shù)據(jù)的操縱是受限的 29 三 安全模型 安全模型是對安全策略所表達(dá)的安全需求簡單、抽象和無歧義的描述 分為： 30 ? 安全系統(tǒng)的開發(fā)過程 安全需求分析 制定安全策略 建立形式化的安全模型 安全性證明 安全功能 31 四 BellLa Padula模型 ? 簡稱 BLP模型 ? 應(yīng)用最早也最廣泛的一個安全模型 ? David Bell和 Leonard La Padula ? 模型目標(biāo)：計算機(jī)多級操作規(guī)則 ? 安全策略：多級安全策略 ? 常把多級安全的概念與 BLP相聯(lián)系 ? 其它模型都嘗試用不同的方法來表達(dá)多級安全策略 32 四 BellLa Padula模型 ? BLP模型是一個形式化模型 ? 使用數(shù)學(xué)語言對系統(tǒng)的安全性質(zhì)進(jìn)行描述 ? BLP模型也是一個狀態(tài)機(jī)模型 ? 它反映了多級安全策略的安全特性和狀態(tài)轉(zhuǎn)換規(guī)則 ? BLP模型定義了 ? 系統(tǒng)、系統(tǒng)狀態(tài)、狀態(tài)間的轉(zhuǎn)換規(guī)則 ? 安全概念、制定了一組安全特性 ? 對系統(tǒng)狀態(tài)、狀態(tài)轉(zhuǎn)換規(guī)則進(jìn)行約束 ? 如果它的初始狀態(tài)是安全的，經(jīng)過一系列規(guī)則都是保持安全的，那么可以證明該系統(tǒng)是安全的 33 A B C D E a a a a a b b b b b 狀態(tài)機(jī)模型例 34 四 BellLa Padula模型 (一 )模型的基本元素 S={s1,s2,…,s n} 主體集 O={o1,o2,…,o m}客體集 C={c1,c2,…,c q}密級的集合 c1c2…c q K={k1,k2,…,k r} 部門或類別的集合 A={r,w,e,a,c} 訪問屬性集 r:只讀 。 e:執(zhí)行 。 c:控制 RA={g,r,c,d}請求元素集 g: get, give 。 d: delete D={yes,no,error,?} yes－ 請求被執(zhí)行 。 ?－ 請求出錯 35 μ={M1,M2,…,M p} 訪問矩陣集 BA={f| f:A→B} F= Cs Co (Pk)s (Pk)o Cs ={f1| f1:S →C} f1給出每個主體的密級 Co ={f2| f2:O→C} f2給出每個客體的密級 (Pk)s={f3| f3:S → Pk} f3給出每個主體的部門集 (Pk)o ={f4| f4:O → Pk} f4給出每個客體的部門集 f ∈ F f=(f1,f2,f3,f4) 1 2 3 4 5 6 7 9 10 8 f： A B ((f1(si),f3(si)) 主體 si的安全級 ((f2(oj),f4(oj)) 客體 oj的安全級 36 (二 ) 系統(tǒng)狀態(tài) V= P(S O A) μ F 狀態(tài)集 對 v∈ V v=(b,M,f)表示某一狀態(tài) b ? S O A 表示在當(dāng)前時刻 ,哪些主體獲 得了對哪些客體的權(quán)限 b={(s1,o1,r),(s1,o2,w),(s2,o2,a)…….} M－ 當(dāng)前狀態(tài)訪問控制矩陣 f－ 當(dāng)前時刻所有主體和客體的密級和部門集 37 ? 系統(tǒng)在任何一個時刻都處于某一種狀態(tài) v，即對任何時刻 t，必有狀態(tài) vt與之對應(yīng) ? 隨著用戶對系統(tǒng)的操作，系統(tǒng)的狀態(tài)不斷地發(fā)生變化 關(guān)心的問題 ? 系統(tǒng)在各個時刻的狀態(tài)， ? 與狀態(tài)相對應(yīng)的訪問集 b是否能保證系統(tǒng)的安全性 ? 顯然只有每一個時刻狀態(tài)是安全的，系統(tǒng)才可能安全。 (1)自主安全性 狀態(tài) v=(b,M,f)滿足自主安全性 iff 對所有的 (si,oj,x)∈ b,有 x∈ Mij 此條性質(zhì)是說，若 (si,oj,x)∈ b，即如果在狀態(tài) v，主體 si獲得了對客體 oj的 x訪問權(quán)，那么 si必定得到了相應(yīng)的自主授權(quán)。 (2)簡單安全性 狀態(tài) v=(b,M,f)滿足簡單安全性 iff對所有的 (s,o,x)∈ b,有 （ i） x=e或 x=a或 x=c 或 (ii) (x=r或 x=w)且 (f1(s)≥f2(o),f3(s)?f4(o)) S O e,c,a S (高 ) O (低 )