3-安全策略与安全模型

1第三讲安全策略与安全模型一数学基础1.集合元素子集a∈AHS2.集合的幂集2A=P(A)={HA}3.笛卡尔积A×B={(a,b)|a∈A,b∈B}4.集合A上的关系的性质设是A上的关系,a∈A均aa--------自反设是A上的关系,a,b∈A若ab,则ab与ba不能同时出现--------反对称设是A上的关系,a,b,c∈A若ab,bc则一定有ac---------可传递的2偏序关系：集合A上的关系ρ，如果它是自反、反对称且可传递的，则称ρ为A上的一个偏序关系。“偏序关系”也叫做“偏序”，用“≤”符号表示。可比：设≤是集合A上的偏序，对于a、b∈A，若有a≤b或b≤a，则称a和b是可比的，否则称a和b是不可比的5.集合上的偏序关系3全序：一个集合A上的任意两个元素之间都满足偏序关系，则称该偏序为A上的一个全序良序：一个集合A上的偏序，若对于A的每一个非空子集SA，在S中存在一个元素as（称为S的最小元素），使得对于所有的s∈S，有as≤s，则称它为A上的一个良序5.集合上的偏序关系47.一个有用的结论命题:若A;≤1和B;≤2是两个偏序集,在笛卡尔积A×B上定义关系≤,对任意(a1,b1),(a2,b2)∈A×B当且仅当a1≤1a2,b1≤2b2时,有(a1,b1)≤(a2,b2)可以证明:A×B;≤也是一个偏序集5因为A;≤1、B;≤2为偏序关系，所以a1∈A有a1≤1a1，b1∈B有b1≤1b1所以（a1,b1)≤(a1,b1)自反由（a1,b1)≤(a2,b2)（a2,b2)≤(a1,b1)，可得a1≤1a2,a2≤1a1可得a1＝a2；同理有b1＝b2，此即（a2,b2)=(a1,b1)反对称又由（a1,b1)≤(a2,b2)（a2,b2)≤(a3,b3)，此即a1≤1a2,a2≤1a3可得a1≤1a3同理：b1≤2b2,b2≤2b3可得b1≤2b3最后有（a1,b1)≤(a3,b3)传递性6亦即(i)(a,b)∈A×B,均有(a,b)≤(a,b)(ii)(a1,b1),(a2,b2),∈A×B,若(a1,b1)(a2,b2),则(a1,b1)≤(a2,b2)与(a2,b2)≤(a1,b1)不能同时出现(iii)(a1,b1),(a2,b2),(a3,b3)∈A×B,若(a1,b1)≤(a2,b2),(a2,b2)≤(a3,b3)则一定有(a1,b1)≤(a3,b3)设是A上的关系,a∈A均aa--------自反设是A上的关系,a,b∈A若ab,则ab与ba不能同时出现--------反对称设是A上的关系,a,b,c∈A若ab,bc则一定有ac---------可传递的7二安全策略1.安全策略的概念计算机系统的安全策略是为了描述系统的安全需求而制定的对用户行为进行约束的一整套严谨的规则。这些规则规定系统中所有授权的访问,是实施访问控制的依据。82.安全策略举例①军事安全策略中的强制访问控制策略:系统中每个主体和客体都分配一个安全标准(安全级)客体的安全级表示客体所包含的信息的敏感程度主体的安全级表示主体在系统中受信任的程度9②安全标准由两部分组成(密级,部门(或类别)集)eg:密级分为4个级别:一般秘密机密绝密(UCSTS)令A={U,C,S,TS},则A;≤是A上的全序,构成偏序集A;≤例:令B={科技处,干部处,生产处,情报处},PB=2B={H|HB},显然PB;构成一个偏序集class(O1)=(C,{科技处})class(u)=(S,{科技处,干部处})class(O2)=(TS,{科技处,情报处,干部处})class(O3)=(C,{情报处})10在实施多级安全策略的系统中,系统为每一个主体和每一个客体分配一个安全级。(密级,部门(或类别)集)或(密级,{部门或类别})若某主体具有访问密级a的能力,则对任意b≤a,该主体也具有访问b的能力若某主体具有访问密级a的能力,则对任意b≥a,该主体不具有访问b的能力11(密级,{部门或类别或范畴})理解：对于客体来说，{部门或类别或范畴}可定义为该客体所包含的信息所涉及的范围部门或所具有的类别属性对于主体来说，{部门或类别或范畴}可定义为该主体能访问的信息所涉及的范围或部门例：2011年财务报表（S，{财务处，总裁办公室，党办，财经小组})12例：2011年财务报表（S，{财务处，总裁办公室，党办，财经小组})肯定不会写成：（S，{财务处，三车间，大门})例：车间主任（C，{三车间，仓库})肯定不会写成：（S，{财务处，党办，财经小组})13主体、客体安全级定义以后，就可以通过比较主客体安全级，来决定主体对客体的访问以及什么样的访问。前面讲过，在实施多级安全策略的系统中,系统为每一个主体和每一个客体分配一个安全级。若某主体具有访问密级a的能力,则对任意b≤a,该主体也具有访问b的能力。若某主体具有访问密级a的能力,则对任意b≥a,该主体不具有访问b的能力。那么，b≤a或b≥a如何进行比较呢？14定义A={U,C,S,TS}B={部门或类别或范畴}例：B={科技处,干部处,生产处,情报处}PB=2B={H|HB}在A×PB上定义一个二元关系“≤”：A×PB={(a,H)|a∈A且HPB}(a1,H1),(a2,H2)∈A×PB,当且仅当a1≤a2,H1H2时,有(a1,H1)≤(a2,H2)可以证明:≤是A×PB上的一个偏序关系即A×PB;≤构成一个偏序集。15可利用命题:若A;≤1和B;≤2是两个偏序集,在笛卡尔积A×B上定义关系≤,对任意(a1,b1),(a2,b2)∈A×B当且仅当a1≤1a2,b1≤2b2时,有(a1,b1)≤(a2,b2)可以证明:A×B;≤也是一个偏序集。证明:≤是A×PB上的一个偏序关系即A×PB;≤构成一个偏序集。16在A={U,C,S,TS}上定义A;≤,由于UCSTS,所以≤是一个全序,显然构成一个偏序集在PB上定义PB;,容易看出,它也是一个偏序B={科技处,干部处,生产处,情报处}再在A×PB上定义一个二元关系“≤”：A×PB={(a,H)|a∈A且HPB}(a1,H1),(a2,H2)∈A×PB,当且仅当a1≤a2,H1H2时,有(a1,H1)≤(a2,H2)根据上述命题,A×PB;≤构成一个偏序集。17例:class(O1)=(C,{科技处})class(u)=(S,{科技处,干部处})class(O2)=(TS,{科技处,情报处,干部处})class(O3)=(C,{情报处})O1uO2O3其安全级如何?可以看出:class(O1)=(C,{科技处})≤(S,{科技处,干部处})=class(u)class(u)=(S,{科技处,干部处})≤class(O2)=(TS,{科技处,情报处,干部处})class(u)与class(O3)不可比18在一偏序集L;≤中,l1,12∈L,若l1≤12,则称12支配l1。class(O1)≤class(u)：主体u的安全级支配客体O1的安全级class(u)≤class(O2）：客体O2的安全级支配主体u的安全级class(u)与class(O3)不可比：主体u与客体O3的安全级相互不可支配。19③访问控制策略一个主体仅能读安全级比自已安全级低或相等的客体一个主体仅能写安全级比自己高或相等的客体即“向下读向上写”④安全级如何比较高低(a1,H1)(a2,H2)当且仅当a1a2,H1H2所以u对O1可读,对O2可写,对O3既不可读也不可写20“向下读向上写”安全策略执行的结果是信息只能由低安全级的客体流向高安全级的客体，高安全级的客体的信息不允许流向低安全级的客体。若要使一个主体既能读访问客体，又能写访问这个客体，两者的安全级必须相同。21多级安全策略适合（保护信息的机密性）：军事系统政府及企业的办公自动化系统具有层次结构的组织机构222商业安全策略①良性事务用户对数据的操纵不能任意进行,而应该按照可保证数据完整性的受控方式进行,即数据应该用规定的程序,按照定义好的约束进行处理。例:保存记录(包括修改数据之前修改数据之后的记录)，事后被审计双入口规则：数据修改部分之间保持平衡内部数据的一致性特别地，签发一张支票与银行帐号户头上的金额变动必须平衡——可由一个独立测试帐簿是否平衡的程序来检查23②职责分散把一个操作分成几个子操作,不同的子操作由不同的用户执行,使得任何一个职员都不具有完成该任务的所有权限,尽量减少出现欺诈和错误的机会。eg:购买订单——记录到货——记录货发票——付款美入境签证24职责分散的最基本规则是，被允许创建或验证良性事务的人，不能允许他去执行该良性事务。【至少需要两个人的参与才能进行】【职员不暗中勾结，职责分散有效】【随机选取一组职员来执行一组操作，减少合谋机会】25良性事务与职责分散是商业数据完整性保护的基本原则专门机制被商业数据处理计算机系统用来实施良性事务与职责分散规则。（a）保证数据被良性事务处理数据只能由一组指定的程序来操纵程序被证明构造正确、能对这些程序的安装能力、修改能力进行控制、保证其合法性（b）保证职责分散每一个用户必须仅被允许使用指定的程序组、用户执行程序的权限受控26商业数据完整性控制与军事中的数据机密性差别：（a）数据客体不与特定的安全级别相关只与一组允许操纵它的程序相联系（b）用户直接读写数据被禁止被授权去执行与某一数据相关的程序【一个用户即便被授权去写一个数据客体，他也只能通过针对那个数据客体定义的一些事务去做。】27商业安全策略也是一种强制访问控制但它与军事安全策略的安全目标、控制机制不相同商业安全策略强制性体现在：（a）用户必须通过指定的程序来访问数据（b）允许操纵某一数据客体的程序列表和允许执行某一程序的用户列表不能被系统的一般用户所更改军事与商业安全相同点：（1）一种机制被计算机系统用来保证系统实施了安全策略中的安全需求（2）系统中的这种机制必须防止窜改和非授权的修改28(3)军事安全策略与商业安全策略的比较①军事安全策略——数据的机密性商业安全策略——数据的完整性②军事安全策略——将数据与一个安全级相联系,通过数据的安全级来控制用户对数据的访问商业安全策略——将数据与一组允许对其进行操作的程序相联系,通过这组程序来控制用户对数据的访问③军事安全策略——用户对数据的操纵是任意的商业安全策略——用户对数据的操纵是受限的29三安全模型安全模型是对安全策略所表达的安全需求简单、抽象和无歧义的描述分为：1.非形式化的安全模型2.形式化的安全模型302.形式化的安全模型安全系统的开发过程安全需求分析制定安全策略建立形式化的安全模型安全性证明安全功能31四Bell-LaPadula模型简称BLP模型应用最早也最广泛的一个安全模型DavidBell和LeonardLaPadula模型目标：计算机多级操作规则安全策略：多级安全策略常把多级安全的概念与BLP相联系其它模型都尝试用不同的方法来表达多级安全策略32四Bell-LaPadula模型BLP模型是一个形式化模型使用数学语言对系统的安全性质进行描述BLP模型也是一个状态机模型它反映了多级安全策略的安全特性和状态转换规则BLP模型定义了系统、系统状态、状态间的转换规则安全概念、制定了一组安全特性对系统状态、状态转换规则进行约束如果它的初始状态是安全的，经过一系列规则都是保持安全的，那么可以证明该系统是安全的33ABCDEaaaaabbbbb状态机模型例34四Bell-LaPadula模型(一)模型的基本元素S={s1,s2,…,sn}主体集O={o1,o2,…,om}客体集C={c1,c2,…,cq}密级的集合c1c2…cqK={k1,k2,…,