【正文】 } then ?8(Rk,v)= (no,v) else ?8(Rk,v)= (yes,(b,M,f*)) end 71 if f1* ? f1 or f3* ? f3 or [f2* (oj) ? f2(oj) or f4* (oj) ? f4(oj) for some j?A(m)] A(m)＝ {j|1=j=m且存在 i,使 Mij?φ} 注意： NOT（ f1* ? f1 or f3* ? f3 or [f2* (oj) ? f2(oj) or f4* (oj) ? f4(oj) ） = （ f1* =f1 and f3* = f3 ） AND [f2* (oj) = f2(oj) and f4* (oj) = f4(oj) ] 72 A(m)＝ { j|1=j=m且存在 i,使 Mij?φ } M32={r,w,a} m1 m2 f1 f2 s1 {r,w} {r} {a,e} s2 {r} {r,w,a} s3 m1 m2 f1 f2 s1 {r,w} {r} {a,e} s2 {r} {r,w,a} s3 {r,w,a} 73 A(m)＝ { j|1=j=m且存在 i, 使 Mij?φ } A(4)＝ { 1， 4|存在 3, 使 M11?φ M34?φ } o1 o2 o3 o4 s1 {r,w} s2 {r} s3 {r,w,a} 74 ?所謂靜止客體是指被刪除了的客體，該客體名可以被系統(tǒng)中的主體重新使用 ?例如某存儲(chǔ)器段或某個(gè)文件名。顯然主體可以創(chuàng)建客體，但該客體的安全級(jí)必須由系統(tǒng)來定義，因此規(guī)則 8中沒有主體 75 ?A(m)是活動(dòng)客體的下標(biāo)集，即A(m)={j| 1≤j≤m 且存在 i，使 Mij非空 } ? 規(guī)則 8的安全性要求是，新定義的安全級(jí) f*=( f1*, f2*, f3*, f4*)，不能改變系統(tǒng)中主體的安全級(jí)，也不能改變活動(dòng)客體的安全級(jí)，只能改變靜止客體的安全級(jí)，在這種情形下，新狀態(tài) v*用 f*代替原狀態(tài) v中的 f 76 規(guī)則 9： 主體 si請(qǐng)求創(chuàng)建客體 oj Rk=(, c, si, oj, e) 或 Rk=(, c, si, oj, φ) createobject： ?9(Rk,v)≡ if σ1 ? φ or γ ? c or σ2=φ or (x ? e and φ) then ?9(Rk,v)= (?,v) if j?A(m) then ?9(Rk,v)= (no,v) if x=φ then ?9(Rk,v)= (yes,(b,M?[{r,w,a,c}]ij,f)) else ?9(Rk,v)= (yes,(b,M?[{r,w,a,c,e}]ij,f)) end 77 ?規(guī)則 9要求主體 si所創(chuàng)建的客體不能是活動(dòng)著的客體 ? 當(dāng)客體創(chuàng)建成功后，系統(tǒng)便將對(duì)oj的所有訪問權(quán)賦予 si，需要區(qū)分的是，當(dāng) oj不是可執(zhí)行程序時(shí)， e權(quán)不賦予 si 78 規(guī)則 10： 主體 si請(qǐng)求刪除客體 oj Rk=(, d, si, oj, φ) deleteobject： ?10(Rk,v)≡ if σ1 ? φ or γ ? d or σ2=φ or x ? φ then ?10(Rk,v)= (?,v) if c?Mij then ?10(Rk,v)= (no,v) else ?10(Rk,v) = (yes,(b,M?[{r,w,a,c,e}]ij,1≤i≤n,f)) end 79 ?si必須對(duì) oj具有控制權(quán)才能刪除 oj（在這里，擁有權(quán)和控制權(quán)是一致的） ?oj被刪除后， oj成為靜止客體。 no－ 請(qǐng)求被拒絕 error－ 系統(tǒng)出錯(cuò) 。時(shí)刻 t時(shí)發(fā)出的請(qǐng)求用 xt表示 Y=DT={y|y:T→D },y可表示為 y=y1y2… yt… 是結(jié)果序列 Y是結(jié)果序列集 。時(shí)刻 t的狀態(tài)用 zt表示 X Y Z={(x,y,z)|x?X,y ? Y,z ? Z},其中 ， x=x1x2… xt… y=y1y2… yt… z=z1z2… zt… 89 4．系統(tǒng)記作 ∑(R,D,W(ω),z0) ，其定義為 ∑(R,D,W(ω),z0) ? X Y Z ? (x,y,z) ? ∑(R,D,W(ω),z0) iff 對(duì)每一個(gè) t ?T, (xt,yt,zt,zt1) ? W(ω) 。 2．安全狀態(tài)序列 設(shè) z=z1z2… zt… 是一狀態(tài)序列，若對(duì)于每一個(gè)t?T， zt都是安全狀態(tài)，則 z是安全狀態(tài)序列。 若 (x,y,z)是系統(tǒng)的一次出現(xiàn)，且 z是一安全狀態(tài)序列，則稱 (x,y,z)是系統(tǒng) ∑(R,D,W(ω),z0)的一次安全出現(xiàn)。 92 （八）模型中的有關(guān)安全結(jié)論 1．這十條規(guī)則都是安全性保持的 即：若 v是安全狀態(tài)，則經(jīng)過這十條規(guī)則轉(zhuǎn)換后的狀態(tài) v*也一定是安全狀態(tài) 2．若 z0是安全狀態(tài)， ω是一組安全性保持的規(guī)則，則系統(tǒng) ∑(R,D,W(ω),z0)是安全的。 94 2. BLP中不安全的地方 ： ① 低安全級(jí)的信息向高安全級(jí)流動(dòng)，可能破壞高安全客體中數(shù)據(jù)完整性，被病毒和黑客利用 。 ③ 高級(jí)別的信息大多是由低級(jí)別的信息通過組裝而成的，要解決推理控制的問題。安全檢查執(zhí)行向上寫向下讀的策略，即主體只能寫安全級(jí)高 (包括相等 )的數(shù)據(jù)，只能讀安全級(jí)低 (包括相等 )的數(shù)據(jù) ? 在實(shí)際系統(tǒng)設(shè)計(jì)過程中，發(fā)現(xiàn)傳統(tǒng)的 BLP模型過于嚴(yán)格和簡(jiǎn)單，不能滿足實(shí)際應(yīng)用的需求，需要進(jìn)行以下改進(jìn)： 97 （九）對(duì) BLP安全模型的評(píng)價(jià) ? (1)按照 BLP模型“向上寫”的規(guī)則，任何主體都可以寫最高安全級(jí)的數(shù)據(jù)，沒有限制主體的最高寫安全級(jí)，從而降低了高安全級(jí)數(shù)據(jù)的完整性。靜態(tài)的主體安全級(jí)別限制了主體的這種合理請(qǐng)求，影響了系統(tǒng)的可用性。讀寫敏感標(biāo)記都是 由最低安全級(jí)和最高安全級(jí)組成的區(qū)間組成 ，從而可將主體的讀寫權(quán)限分別限制在一個(gè)區(qū)間之內(nèi)，即限制主體的 最低寫安全級(jí) 、最低讀安全級(jí)、 最高讀安全級(jí) 和最高寫安全級(jí) 采用讀寫分離的區(qū)間權(quán)限，可以提供豐富的安全管理方案，提高數(shù)據(jù)完整性和系統(tǒng)的可用性，使系統(tǒng)的安全控制更加靈活方便。 e a b d c f g h 3 1 2 6 5 10 15 30 d a c b 103 交和并： 在格 〈 L ； ≤ 〉 中，由于每一對(duì)元素 l 1 ， l 2 ∈ L 都存在唯一的上、下確界 ， 因此可以把 l 1 ∧ l 2 和 l 1 ∨ l 2 看作是 集合 L 上的二元運(yùn)算，也把 ∧ 和 ∨ 分 別稱為“ 交 ”和“ 并 ” 界： 如果一個(gè)格存在有最小元素和最大元素， 則稱它們?yōu)樵摳竦?界 格 ： 設(shè) 〈 L ； ≤ 〉 是一個(gè)偏序集， 若 L 中 每一對(duì)元素都存在下確界和上確界， 則稱 〈 L ； ≤ 〉 是 格 。 證 ：對(duì)于全集 U 的冪集 2U 的 任意兩個(gè)元素 S1， S2 ? U 而對(duì)于任意 S ∈ 2U，若有 S1 ? S 且 S2 ? S ，必有 S1∪ S2 ? S ∴ S1∪ S2 是 S1 和 S2 的上確界 即， 2U 的任意元素對(duì) S1， S2 都 有最小上界 同理可得， 2U 的任意元素對(duì) S1， S2 都 有最大下界 S1∩S2 ∴ 〈 2U； ? 〉 是一個(gè)格 注 ： 〈 2U ； ? 〉 是一個(gè)典型的格，其中集合的交與并同格的 交與并是完全統(tǒng)一的 必有 S1 ? S1∪ S2 ， S2 ? S1∪ S2 ∴ S1∪ S2 是 S1 和 S2 的上界 106 例 2：正整數(shù)集 N 上的整除關(guān)系 ︱ 是一個(gè)偏序關(guān)系。 108 一組 二組 Biba模型 1977年 Biba. . 它是數(shù)據(jù)完整性保護(hù)模型 109 Biba模型 [Biba,1977]在研究 BLP模型的特性時(shí)發(fā)現(xiàn)， BLP模型只解決了信息的保密問題，其在完整性定義存在方面有一定缺陷 Biba模型模仿 BLP模型的信息保密性級(jí)別，定義了信息完整性級(jí)別，在信息流向的定義方面不允許從級(jí)別低的進(jìn)程到級(jí)別高的進(jìn)程，也就是說用戶只能向比自己安全級(jí)別低的客體寫入信息，從而防止非法用戶創(chuàng)建安全級(jí)別高的客體信息，避免越權(quán)、篡改等行為的產(chǎn)生 Biba模型可同時(shí)針對(duì)有層次的安全級(jí)別和無層次的安全種類 110 Biba模型的兩個(gè)主要特征 （ 1）禁止向上回滾，這樣使得完整性級(jí)別高的文件是一定由完整性高的進(jìn)程所產(chǎn)生的，從而保證了完整性級(jí)別高的文件不會(huì)被完整性低的文件或完整性低的進(jìn)程中的信息所覆蓋 （ 2） Biba模型沒有下 讀 111 Biba模型用偏序關(guān)系可以表示為： （ 1） r，當(dāng)且僅當(dāng) SC(s) ≤SC(o)，允許讀操作 （ 2） w，當(dāng)且僅當(dāng) SC(s) ≥SC(o)，允許寫操作。合式交易是 ClarkWilson模型中保證應(yīng)用完整性的一個(gè)機(jī)制 115 ClarkWilson模型中控制差錯(cuò)的第二個(gè)機(jī)制就是責(zé)任分離 此機(jī)制的目的是保證數(shù)據(jù)對(duì)象與它所代表的現(xiàn)實(shí)世界對(duì)象的對(duì)應(yīng)，而計(jì)算機(jī)本身并不能直接保證這種外部的一致性 最基本的責(zé)任分離規(guī)則就是不允許任何創(chuàng)造或檢查某一個(gè)合式交易的人再來執(zhí)行它。有約束數(shù)據(jù)項(xiàng) (CDI) 它們是系統(tǒng)完整性模型要應(yīng)用到的數(shù)據(jù)項(xiàng)，即可信數(shù)據(jù) 事務(wù)過程 (TP) 也稱為轉(zhuǎn)換過程，它們的作用是把 UDI從一種合法狀態(tài)轉(zhuǎn)換到另一種合法狀態(tài) 強(qiáng)迫性規(guī)則 E1:用戶只能間接通過操作 TP才能操作可信數(shù)據(jù) (CDI) E2:用戶只有被明確地授權(quán)，才能執(zhí)行操作 E3:用戶的確認(rèn)必須通過驗(yàn)證 E4:只有安全官員才能改變授權(quán) 119 ClarkWilson模型在計(jì)算機(jī)安全領(lǐng)域中引起了人們很大的興趣，也表明了商業(yè)上對(duì)計(jì)算機(jī)安全有一些獨(dú)特的要求 120 Seaview模型 是一個(gè)多級(jí)安全關(guān)系數(shù)據(jù)庫(kù)系統(tǒng)的形式化安全模型。設(shè)計(jì)須驗(yàn)證（數(shù)學(xué)），并通過秘密和可信任分布（硬件、軟件在傳輸過程中已受到保護(hù)）的分析 122 (一 )多級(jí)關(guān)系模式和客體的安全標(biāo)記 Seaview模型將訪問控制粒度定為數(shù)據(jù)項(xiàng) ,即對(duì)每一數(shù)項(xiàng)都有安全級(jí)標(biāo)記 ,它將標(biāo)準(zhǔn)的關(guān)系模式 R(A1,A2,…,A n)擴(kuò)展為 R(A1,C1,A2,C2,…A n,Cn) 例 : 如下表 一 設(shè) di=(密級(jí) ,部門級(jí) )假定如下關(guān)系 d8 z d8 35 d8 005 d8 y d7 15 d3 013 d5 x d5 24 d2 001 C3 A3 C2 A2 C1 A1 d8 d7 d6 d5 d2 d3 d4 d1 123 Seaview模型對(duì)庫(kù)、表、記錄定義了安全級(jí)且要求這些數(shù)據(jù)客體的安全級(jí)呈以下關(guān)系 （ 令 D表示數(shù)據(jù)庫(kù) ,R表示某張表的關(guān)系模式 ,r表示記錄 , K表示記錄 r中的主關(guān)鍵字 , d表示 r中不是主關(guān)鍵字的任一數(shù)據(jù)項(xiàng) ）： class(D)≤class(R)≤class(K)≤class(d)≤class(r) D R k d r 124 在 SeaView中 : class(r) =class(d1) ? class(d2) ∨ … ∨ class(dn) =lub(class(di)) di∈ r class(R)=glb(class(di)) di∈ R class(D)=glb(class(Ri)) Ri∈ D 理解如下 : class(D)高于 class(R),則安全級(jí)低于 class(D)的用戶無法知道該庫(kù)的存在 ,便不能訪問庫(kù)中與自己安全級(jí)相匹配的數(shù)據(jù) 。 ,常作