第三章 信息安全模型
DESCRIPTION
第三章 信息安全模型. 摘 要 本章将介绍自主型访问控制安全模型的代表:哈里森-罗佐-厄尔曼存取矩阵模型及其扩展模型 —— 动作-实体模型;强制型访问控制安全模型的代表:贝尔-拉帕都拉模型及其扩展模型 —— 基于角色的模型。另外还将介绍具有保证信息完整性特性的伯巴模型,适合同一实体具有不同安全级别的多个值问题的史密斯-温斯莱特模型,基于信息流控制的格模型。 将在授权状态、存取方式、操作、授权管理、模型结构和变换规则等方面重点讨论动作-实体模型、贝尔-拉帕都拉模型等,并通过图示和举例方式帮助读者能更好的理解这些模型的内涵。. - PowerPoint PPT PresentationTRANSCRIPT
第三章 信息安全模型第三章 信息安全模型摘 要摘 要
本章将介绍自主型访问控制安全模型的代表:哈里本章将介绍自主型访问控制安全模型的代表:哈里森-罗佐-厄尔曼存取矩阵模型及其扩展模型——动森-罗佐-厄尔曼存取矩阵模型及其扩展模型——动作-实体模型;强制型访问控制安全模型的代表:贝作-实体模型;强制型访问控制安全模型的代表:贝尔-拉帕都拉模型及其扩展模型——基于角色的模型。尔-拉帕都拉模型及其扩展模型——基于角色的模型。另外还将介绍具有保证信息完整性特性的伯巴模型,另外还将介绍具有保证信息完整性特性的伯巴模型,适合同一实体具有不同安全级别的多个值问题的史密适合同一实体具有不同安全级别的多个值问题的史密斯-温斯莱特模型,基于信息流控制的格模型。斯-温斯莱特模型,基于信息流控制的格模型。 将在授权状态、存取方式、操作、授权管理、模将在授权状态、存取方式、操作、授权管理、模型结构和变换规则等方面重点讨论动作-实体模型、型结构和变换规则等方面重点讨论动作-实体模型、贝尔-拉帕都拉模型等,并通过图示和举例方式帮助贝尔-拉帕都拉模型等,并通过图示和举例方式帮助读者能更好的理解这些模型的内涵。读者能更好的理解这些模型的内涵。
33 .. 1 1 哈里森-罗佐-厄尔曼存取矩阵模型哈里森-罗佐-厄尔曼存取矩阵模型
授权状态授权状态 存取方式存取方式 HRUHRU 模型的操作模型的操作 授权管理授权管理
33 .. 11 .. 1 1 授权状态授权状态
存取矩阵模型利用矩阵来表达系统中的主体、存取矩阵模型利用矩阵来表达系统中的主体、客体和每个主体对每个客体所拥有的访问权限之客体和每个主体对每个客体所拥有的访问权限之间的关系。间的关系。
安全控制机制的授权状态可由三元组安全控制机制的授权状态可由三元组 Q Q == (( SS ,,OO ,, AA )来描述,其中)来描述,其中 SS 为主体,代表用户、用为主体,代表用户、用户名、域户名、域 DomainDomain 等;等; OO 为客体,代表文件、内为客体,代表文件、内存空间、进程、数据库、关系、属性、记录、字存空间、进程、数据库、关系、属性、记录、字段和主体等;段和主体等; AA 为权限矩阵为权限矩阵 AA (( SSii ,, OOjj ),表),表示示 SS 主体对主体对 OO 客体可操作的关系;客体可操作的关系; QQ 为该系统的为该系统的某种特定的安全策略和授权。 某种特定的安全策略和授权。
33 .. 11 .. 2 2 存取方式存取方式
哈里森-罗佐-厄尔曼存取矩阵模型中哈里森-罗佐-厄尔曼存取矩阵模型中的存取方式(的存取方式( Access modesAccess modes )分为静态和)分为静态和动态存取方式两种。动态存取方式两种。
静态存取方式有读、写、执行和拥有等静态存取方式有读、写、执行和拥有等
动态存取方式有对进程的控制权、赋予动态存取方式有对进程的控制权、赋予 //收回权限等。收回权限等。
33 .. 11 .. 3 HRU3 HRU 模型的操作模型的操作① ① 赋予授权。 命令形式:赋予授权。 命令形式: Enter r into Enter r into AA[[ssii ,, oojj] ] , , ssii∈∈SS,,oojj∈∈OO② ② 回收授权。命令形式:回收授权。命令形式: Detect r from Detect r from AA[[ssii ,, oojj] ] ssii∈∈SS,,ooj j ∈ ∈ OO③ ③ 添加主体。命令形式:添加主体。命令形式: Create Subject Create Subject ssii , , ssiiSS④ ④ 删除主体。命令形式:删除主体。命令形式: Destroy Subject Destroy Subject ssii ,, ssii∈∈SS⑤ ⑤ 添加客体。命令形式:添加客体。命令形式: Create Object Create Object oojj , , oojj OO⑥ ⑥ 删除客体。命令形式:删除客体。命令形式: Destroy Object Destroy Object oojj , , oojj∈∈OO, , oojjSS
33 .. 11 .. 4 4 授权管理授权管理
在在 HRUHRU 模型中存在特权衰减原则,这表明在模型中存在特权衰减原则,这表明在授权操作过程中,体现为除客体的属主外,被授授权操作过程中,体现为除客体的属主外,被授权主体的“特权”必弱于授权主体的特权。权主体的“特权”必弱于授权主体的特权。
HRUHRU 模型授权管理的优点是逻辑关系明确,操模型授权管理的优点是逻辑关系明确,操作、管理方便;缺点是效率低,因为每次访问时作、管理方便;缺点是效率低,因为每次访问时需要扫描整个矩阵,由于需要扫描整个矩阵,由于 QQ 是一个稀疏矩阵,所是一个稀疏矩阵,所以空间浪费较大。解决效率低的方法有对用户进以空间浪费较大。解决效率低的方法有对用户进行分组等。行分组等。
33 .. 2 2 动作动作 -- 实体模型实体模型
动作动作 -- 实体模型的存取方式实体模型的存取方式
动作动作 -- 实体模型的授权实体模型的授权
模型结构模型结构
一致性与变换规则一致性与变换规则
33 .. 22 .. 1 1 动作动作 -- 实体模型的存取方式实体模型的存取方式 静态存取方式涉及两个实体: 静态存取方式涉及两个实体: ① ① Use——Use—— 使用者和被使用者使用者和被使用者 ② ② Read——Read—— 存取一实体的内容存取一实体的内容 ③ ③ Update——Update—— 修改或处置实体修改或处置实体 ④ ④ Create——Create—— 增加实体增加实体 ⑤ ⑤ Delete——Delete—— 删除实体删除实体 静态存取方式的级别:静态存取方式的级别: create/deletecreate/delete (( 44 级,最高)级,最高) updateupdate (( 33 级)级) readread (( 22 级)级) useuse (( 11 级,最低)级,最低)
动态存取方式将涉及三个实体,存取方式有准许动态存取方式将涉及三个实体,存取方式有准许// 取消,授予取消,授予 // 回收:回收:
(( 11 )) Grant/Revoke——Grant/Revoke—— 准许准许 // 取销。若实体取销。若实体 EEi i
持有对实体持有对实体 EEjj 的的 Grant/RevokeGrant/Revoke 以动态存取方式以动态存取方式 m m 访问实体访问实体 EEk k 的权限,则允许实体的权限,则允许实体 EEi i 授予授予 // 回收实体回收实体EEj j 对实体对实体 EEk k 的存取方式的存取方式 mm ,如图,如图 33 .. 11 所示。 所示。
图图 33 .. 1 1 动作动作 -- 实体模型的实体模型的 Grant/RevokeGrant/Revoke 动态存取方动态存取方式式
Ej
Ei
G/R
m Ek
(2) Delegate/Abrogate——(2) Delegate/Abrogate—— 授予授予 // 回收回收 若实体若实体 EEi i 持有对实体持有对实体 Ej Ej 的的 Delegate/ AbrogateDelegate/ Abrogate 以动态以动态
访问方式访问方式 mm 访问实体访问实体 EEk k 的权限,则允许实体的权限,则允许实体 EEi i 授予授予 // 回回收实体收实体 EEj j 关于实体关于实体 EEkk上存取方式上存取方式 mm 的动态授权的动态授权 Grant/RGrant/Revokeevoke 的权限。如的权限。如 EEii 并不持有对并不持有对 mm 的权限,则会自动授的权限,则会自动授予此权限。如图予此权限。如图 3.23.2 所示。所示。
图图 33 .. 2 2 动作动作 -- 实体模型的实体模型的 Delegate/Abrogate Delegate/Abrogate 动态存取动态存取方式方式
Ej
Ei
D/A
mEk
R/G
33 .. 22 .. 2 2 动作—存取模型的授权动作—存取模型的授权
静态授权涉及两个实体静态授权涉及两个实体 ii ,, jj (( ii 为管理实体,为管理实体, jj 为被为被授权实体):授权实体):
AAijij=a~{p=a~{pijij}}
其中其中 aa 表示存取方式;表示存取方式; {p{pijij}} 表示谓词(时间、位表示谓词(时间、位置、数据条件)。置、数据条件)。
动态授予访问权限的方式为: 动态授予访问权限的方式为: AAijij/k=a~{p/k=a~{pijij}}
其中其中 aa 表示存取方式,表示存取方式, {p{pijij}} 表示条件,表示条件, ii 为管理为管理实体,实体, jj 为被授权实体,为被授权实体, kk 代表参数实体。代表参数实体。
33 .. 22 .. 3 3 模型结构模型结构
静态动作授权图静态动作授权图 SGSG如图如图 33 .. 33 所示,弧上标有静态访问所示,弧上标有静态访问 DADA 权权限。限。
E1 read E2 update E4E1 read E2 update E4
use read use read create/deletecreate/delete E3 E5E3 E5 弧上打弧上打 ×× 表示有谓词约束;表示有谓词约束; E1—E1— 用户, 用户, E2—E2—应用程序,应用程序, E3—E3— 外设,外设, E4—E4— 数据记录,数据记录, E5—E5—应用程序应用程序
图图 33 .. 3 3 静态动作授权图静态动作授权图 SGSG
例如,例如, AA1313=use~{p}=use~{p} 表示如果“表示如果“ {p}——{p}—— 在早上在早上 88 :: 0000到中午到中午 1212 ::0000 的时间内”,则“的时间内”,则“ E1E1 用户”可以“用户”可以“ useuse 使用”“使用”“ E3E3 外设”。外设”。
动态动作授权图动态动作授权图 DGDG见图见图 33 .. 44 ,类似地,弧上标有静态访,类似地,弧上标有静态访问问 SA SA 和动态访问和动态访问 DADA ,必要(仅用于,必要(仅用于 delegatedelegate 和和 abrogatabrogatee )时应标明)时应标明 {p}{p} ,它表示可在其上执行传递管理权限,它表示可在其上执行传递管理权限 grantgrant的实体。的实体。
E1 E3 grant read E2 E5 grant use E4E1 E3 grant read E2 E5 grant use E4
delegate update{10delegate update{10 ,, 9} 9}
E6E6 E7 grant read E6 E8E7 grant read E6 E8
弧上打弧上打 ×× 表示有谓词约束;表示有谓词约束; E1E1 、、 E2E2 (( E10E10 )—用户, )—用户, E3—E3— 数据文件,数据文件, E5—E5—外设,外设, E6—E6— 数据记录、字段,数据记录、字段, E4E4 、、 E7E7 、、 E8E8 、、 E9—E9—应用程序应用程序
图图 33 .. 4 4 动态动作授权图动态动作授权图 DGDG
例如,例如, AA12/312/3=grant-read~{p}=grant-read~{p} 表示如果“表示如果“ {p}——E2{p}——E2 用户用户属于某工程的用户”,则“属于某工程的用户”,则“ E1E1 用户” 将“用户” 将“ grantgrant 授予”对授予”对““ E3E3 数据文件”的“数据文件”的“ readread 读权限”给“读权限”给“ E2E2 用户”。用户”。
33 .. 22 .. 4 4 一致性与变换规则一致性与变换规则
模型在其生命周期必须遵守如下三种一般规则:模型在其生命周期必须遵守如下三种一般规则:
①① 内部一致性规则——保证内部一致性规则——保证 SGSG 图与图与 DGDG 图的结构与图的结构与所表示的保护系统在结构、性质和安全关系上一致。所表示的保护系统在结构、性质和安全关系上一致。
②②相互一致性规则——保证相互一致性规则——保证 SGSG 图与图与 DGDG 图在所表示图在所表示的授权上一致,它反映对系统的保护策略,例如权的授权上一致,它反映对系统的保护策略,例如权限的授予者不具有某个权限,则不能传播这一权限。限的授予者不具有某个权限,则不能传播这一权限。
③③ 变换规则——控制间接的授权和存在授权的传播。变换规则——控制间接的授权和存在授权的传播。
33 .. 3 3 贝尔—拉帕都拉模型贝尔—拉帕都拉模型
贝尔—拉帕丢拉模型的基本概念贝尔—拉帕丢拉模型的基本概念
系统状态系统状态
贝尔—拉帕丢拉模型的操作贝尔—拉帕丢拉模型的操作
贝尔—拉帕丢拉模型的规则贝尔—拉帕丢拉模型的规则
33 .. 33 .. 1 1 贝尔—拉帕丢拉模型的基本概贝尔—拉帕丢拉模型的基本概念念
贝尔—拉帕丢拉模型将系统中的实体分为主体和客体两类贝尔—拉帕丢拉模型将系统中的实体分为主体和客体两类 (( 11 )主体()主体( SubjectSubject )是主动的、能执行动作的元素。每个)是主动的、能执行动作的元素。每个
主体被指派一个允许操作的保密级和完整级范围:最小主体被指派一个允许操作的保密级和完整级范围:最小 // 大保密大保密级和最小级和最小 // 大完整级,并将大完整级,并将 [[ 最小保密级,最大完整级最小保密级,最大完整级 ]]称为主称为主体的写级,将体的写级,将 [[ 最大保密级,最小完整级最大保密级,最小完整级 ]]称为主体的读级。 称为主体的读级。
主体又可以进一步细分为可信主体和不可信主体。可信主体主体又可以进一步细分为可信主体和不可信主体。可信主体是读级严格支配写级的主体,不可信主体是读级等于写级的主是读级严格支配写级的主体,不可信主体是读级等于写级的主体。对不可信主体需加强访问监视。体。对不可信主体需加强访问监视。
(( 22 )客体()客体( ObjectObject )是一个包含有信息的被动元素的容器,)是一个包含有信息的被动元素的容器,它不是数据库的抽象结构,而是低层操作系统中的单个文件。它不是数据库的抽象结构,而是低层操作系统中的单个文件。每个客体分配一个固定的惟一的标识符和惟一的存取级,必须每个客体分配一个固定的惟一的标识符和惟一的存取级,必须对其进行存取控制。对其进行存取控制。
对于系统元素密级,即安全级别对于系统元素密级,即安全级别 Security LevelSecurity Level 可可定义为:定义为: L=(C,S)L=(C,S) ,, CC 为密级为密级 ClassificationClassification ,, SS 表表示范围示范围 categoriescategories (系统中非分层元素集合的一个(系统中非分层元素集合的一个子集)。 子集)。
密级分为绝密(密级分为绝密( Top SecretTop Secret )、机密()、机密( SecretSecret )、)、秘密(秘密( ConfidentialConfidential )和公开()和公开( UnclassificationUnclassification ))四种,并满足全序关系,即“四种,并满足全序关系,即“ >”>” 关系。安全级别将关系。安全级别将满足偏序的格(称支配满足偏序的格(称支配 dominatedominate ),即满足“≥”),即满足“≥”关系。关系。
贝尔—拉帕丢拉模型对系统中的每个用户(主贝尔—拉帕丢拉模型对系统中的每个用户(主体)分配一个安全级别,称为允许安全级体)分配一个安全级别,称为允许安全级 clearanclearancece ,即对用户的置信度;同时,模型对系统的各,即对用户的置信度;同时,模型对系统的各客体也分配一个安全级别,以反映信息的敏感度客体也分配一个安全级别,以反映信息的敏感度和对数据的损害度。和对数据的损害度。
模型中主体对客体可执行的存取方式: 模型中主体对客体可执行的存取方式: ① ① 只读只读 Read-only ②Read-only ② 添加添加 AppendAppend
③ ③ 执行执行 Execute ④Execute ④ 读写读写 Read-WriteRead-Write
33 .. 33 .. 2 2 系统状态系统状态 贝尔—拉帕丢拉模型用四元组(贝尔—拉帕丢拉模型用四元组( bb ,, MM ,, ff ,, HH )来)来
描述系统的状态,其中描述系统的状态,其中 bb 表示当前存取集,形如〈主表示当前存取集,形如〈主体,客体,存取方式〉(即〈体,客体,存取方式〉(即〈 ss ,, oo ,, mm〉);〉); MM 为为存取矩阵存取矩阵 M(sM(s ,, o)o) ,用以描述每个主体以何方式存取,用以描述每个主体以何方式存取客体;客体; ff 是一个与系统中各主体和各客体及其他们安是一个与系统中各主体和各客体及其他们安全级别相联系的级别函数,即全级别相联系的级别函数,即 ff :: O∩S→LO∩S→L ,其中,其中 SS 、、OO 、、 LL 分别是主体、客体、安全级别的集合;分别是主体、客体、安全级别的集合; HH 为当为当前客体的层次结构,是一棵带根有向树,其节点与客前客体的层次结构,是一棵带根有向树,其节点与客体对应,未激活或不可存取的客体则不包含在其中。体对应,未激活或不可存取的客体则不包含在其中。
每个客体只有一个安全级别(建立时赋予的),记为每个客体只有一个安全级别(建立时赋予的),记为 ff
00 ;而每个主体可以有二个安全级别:允许安全数;而每个主体可以有二个安全级别:允许安全数 ffss 和和当前安全数当前安全数 ffcc (可变的,注册时使用),并且成立(可变的,注册时使用),并且成立 ffss
(s)≥f(s)≥fcc(s)(s) 。。
33 .. 33 .. 3 3 贝尔—拉帕都拉模型的操作贝尔—拉帕都拉模型的操作
① ① Get access——Get access—— 按要求的方式对客体的存取进行初始化,实现在当前 按要求的方式对客体的存取进行初始化,实现在当前 存取集存取集 bb 中增加三元组;中增加三元组;
② ② Release access——Release access—— 终止之前,终止之前, getget开始的存取方式,实现在当前存开始的存取方式,实现在当前存取集取集 bb 中删除三元组;中删除三元组;
③ ③ Give access——Give access—— 授予一个主体对一个客体的某种存取方式,它修改存授予一个主体对一个客体的某种存取方式,它修改存取矩阵取矩阵 MM ,即在存储矩阵中插入一项;,即在存储矩阵中插入一项;
④ ④ Rescine——Rescine—— 回收之前、由授予回收之前、由授予 givegive 开始的存取方式,它修改存取矩开始的存取方式,它修改存取矩阵阵 MM ,即在存储矩阵中删除一项;它有强制,即在存储矩阵中删除一项;它有强制 releaserelease 的作用,即删除当的作用,即删除当前存取集前存取集 bb 的三元组(要求回收授权的主体对操作所涉及的客体的父节的三元组(要求回收授权的主体对操作所涉及的客体的父节点应具有存写权);点应具有存写权);
⑤ ⑤ Create object——Create object—— 激活一个客体,将其变为可存取,此操作修改当前激活一个客体,将其变为可存取,此操作修改当前客体的层次结构客体的层次结构 HH ,即增加一节点;,即增加一节点;
⑥ ⑥ Delete object——Delete object—— 将客体状态转为未激活状态,它修改当前客体的层将客体状态转为未激活状态,它修改当前客体的层次结构次结构 HH ,即删除一节点及其后续节点,并修改当前存取集,即删除一节点及其后续节点,并修改当前存取集 bb ,使能,使能存取该客体的主体的存取将终止;存取该客体的主体的存取将终止;
⑦ ⑦ Change subject security level——Change subject security level—— 改变主体的当前安全级别,它修改改变主体的当前安全级别,它修改级别函数级别函数 ff ;;
⑧ ⑧ Change object security level——Change object security level—— 修改客体(未激活的)的安全级别,修改客体(未激活的)的安全级别,并修改级别函数并修改级别函数 ff (只能增加安全级别,但必须满足(只能增加安全级别,但必须满足 ffss≥f≥f00 )。)。
33 .. 33 .. 4 4 贝尔—拉帕丢拉模型的规则贝尔—拉帕丢拉模型的规则(( 11 )简单安全规则)简单安全规则 ssss 。 。 其含义是仅当一主体的安全级别支配另一客体的安全级别时,主体才能具有对此其含义是仅当一主体的安全级别支配另一客体的安全级别时,主体才能具有对此
客体的存取权限(客体的存取权限( Read-onlyRead-only 和和 Read-WriteRead-Write )。)。(( 22 )) ** 规则。规则。 其含义是:① 仅当此客体的安全级别支配主体的当前安全级别时,一个不可信主其含义是:① 仅当此客体的安全级别支配主体的当前安全级别时,一个不可信主
体可对一个客体具有“添加”权限;② 仅当此客体的安全级别等于主体的当前安体可对一个客体具有“添加”权限;② 仅当此客体的安全级别等于主体的当前安全级别时,一个不可信主体可对一个客体具有“写”权限;③ 仅当此客体的安全全级别时,一个不可信主体可对一个客体具有“写”权限;③ 仅当此客体的安全级别受主体的当前安全级别支配时,一个不可信主体可对一个客体具有“读”权级别受主体的当前安全级别支配时,一个不可信主体可对一个客体具有“读”权限。限。
(( 33 )稳定规则)稳定规则 Tranquility PrincipleTranquility Principle 其含义是不能任意激活客体,它使系统稳定。当前版本允许一个主体能修改、激其含义是不能任意激活客体,它使系统稳定。当前版本允许一个主体能修改、激活客体的密级。活客体的密级。
(( 44 )自主安全规则)自主安全规则 Discretionary security Property Discretionary security Property 其含义是一主体只能在获取了所需的授权后才能执行相应的存取,也就是在存取其含义是一主体只能在获取了所需的授权后才能执行相应的存取,也就是在存取矩阵中有相应的应有项。当且仅当对所有主体矩阵中有相应的应有项。当且仅当对所有主体 ss 、客体、客体 oo 和存取方式和存取方式 mm ,有:,有:
<s,o,m> b→m M∈ ∈<s,o,m> b→m M∈ ∈ 〔〔 ss ,, oo〕〕则称系统状态满足自主安全规则。则称系统状态满足自主安全规则。
(( 55 )未激活客体的不可存取性规则)未激活客体的不可存取性规则 Non-accessibility of Inactive ObjectsNon-accessibility of Inactive Objects 。。其含义是一个主体不能读取一个未激活客体的内容。该规则的形式化表示是系统其含义是一个主体不能读取一个未激活客体的内容。该规则的形式化表示是系统状态状态 v=(bv=(b ,, MM ,, ff ,, H)H)满足未激活客体的不可存取性规则,当且仅当对任何主满足未激活客体的不可存取性规则,当且仅当对任何主体体 ss 、任何未激活客体、任何未激活客体 oo ,成立,成立 s,o,ps,o,p )∈)∈ b→p≠“read” p≠“write”∧b→p≠“read” p≠“write”∧ 。。
(( 66 )未激活客体的重写规则 )未激活客体的重写规则 Rewriting of Inactive ObjectsRewriting of Inactive Objects 。。 其含义是使每次激活时,其初始状态都不同,也就是每个新激活客体均被赋予一其含义是使每次激活时,其初始状态都不同,也就是每个新激活客体均被赋予一
个独立于前一次激活状态的初始状态。个独立于前一次激活状态的初始状态。
33 .. 4 4 伯巴模型伯巴模型 伯巴模型的非自主安全策略:伯巴模型的非自主安全策略: ① ① 主体的下限标记策略,它的特点是主体会自己动态地降低主体的下限标记策略,它的特点是主体会自己动态地降低
安全级别,该策略的缺点是不能完成原先能做的权限。安全级别,该策略的缺点是不能完成原先能做的权限。 ② ② 客体的下限标记策略,它的特点是客体动态地降低自己的客体的下限标记策略,它的特点是客体动态地降低自己的
安全级别,该策略的缺点是易泄漏信息,且不能调回原级。安全级别,该策略的缺点是易泄漏信息,且不能调回原级。 ③ ③ 下限标记完整审计策略,是策略②的修改,在本策略中下限标记完整审计策略,是策略②的修改,在本策略中
客体级别是可变化,其缺点是需审计并记录违反的操作。客体级别是可变化,其缺点是需审计并记录违反的操作。 ④ ④ 环策略,特点是固定主、客体安全级别,该策略的缺点环策略,特点是固定主、客体安全级别,该策略的缺点
是低级别信息会流向高级别主体,然后可执行级别高的操作。是低级别信息会流向高级别主体,然后可执行级别高的操作。 ⑤ ⑤ 严格完整性策略,包含严格完整性策略,包含 No Read-DownNo Read-Down 和和 No Write-UpNo Write-Up
两条完整性规则。两条完整性规则。
伯巴模型的自主安全的实现过程:首先将各种权限形成一个同伯巴模型的自主安全的实现过程:首先将各种权限形成一个同心的环簇(环号越小,其权限越高),然后对每个主体分配一心的环簇(环号越小,其权限越高),然后对每个主体分配一权限属性(即环号),同时将所有客体组成层次结构、形成带权限属性(即环号),同时将所有客体组成层次结构、形成带根树,最后利用存取控制列表,对客体分配一个表以指定存取根树,最后利用存取控制列表,对客体分配一个表以指定存取控制的权限。控制的权限。
33 .. 5 5 史密斯—温斯莱特模型史密斯—温斯莱特模型
史密斯—温斯莱特模型的存取规则和多级史密斯—温斯莱特模型的存取规则和多级关系关系
多级关系的存取多级关系的存取
33 .. 55 .. 1 1 史密斯—温斯莱特模型的存取规则史密斯—温斯莱特模型的存取规则和多级关系和多级关系
史密斯—温斯莱特模型的存取规则:史密斯—温斯莱特模型的存取规则:
① ① 更新存取——插、删、修改,相对应于贝尔更新存取——插、删、修改,相对应于贝尔 --拉帕都拉的拉帕都拉的 No Write-DownNo Write-Down ,但其约束强,即不允,但其约束强,即不允许主体更新比自己安全级高的数据库中的数据,只许主体更新比自己安全级高的数据库中的数据,只允许主体更新自己所置信的数据。允许主体更新自己所置信的数据。
② ② 读存取——读,相对于贝尔读存取——读,相对于贝尔 -- 拉帕都拉的拉帕都拉的 No RNo Read-Upead-Up ,安全级为,安全级为 LL 的主体仅能存取其安全级受的主体仅能存取其安全级受 LL支配的数据库中的数据。支配的数据库中的数据。
在多级关系的数据库中,主体与客体之间的大致结构如下:在多级关系的数据库中,主体与客体之间的大致结构如下: 客体客体 s ss s 主体主体
客体客体 c cc c 主体主体
客体客体 u uu u 主体主体
图图 33 .. 12 12 多级数据库中主体与客体之间的关系多级数据库中主体与客体之间的关系
多级关系的定义为多级关系的定义为 RR (( KK ,, KCKC ,, A1A1 ,, ···An···An ,, TCTC ),其中偶对),其中偶对(( KK ,, KCKC )为实体标识)为实体标识 EIDEID ,, KK 表示码属性集合,表示码属性集合, KCKC 为码密级,为码密级, TCTC为元组密级。为元组密级。
对于多级关系数据库表:对于多级关系数据库表: 姓名 姓名 KC KC 部门 部门 工资 工资 TC TC
鲍华 鲍华 U U 生产 生产 1000 1000 U U 安林 安林 U U 生产 生产 1000 1000 U U 安林 安林 U U 情报 情报 2000 2000 C C 赵明 赵明 S S 情报 情报 2000 2000 S S SS 实例为: 赵明 实例为: 赵明 S S 情报 情报 20002000 ; ; CC 实例为: 安林 实例为: 安林 U U 情报 情报 20002000 ; ; UU 实例为:鲍华 实例为:鲍华 U U 生产 生产 10001000 ; 安林 ; 安林 U U 生产 生产 10001000
相同码属性值和不同码密级的元组是不同的实体;相同码属性值和码相同码属性值和不同码密级的元组是不同的实体;相同码属性值和码密级,但非码属性的密级不同的元组是同一实体的不同置信。密级,但非码属性的密级不同的元组是同一实体的不同置信。
33 .. 55 .. 2 2 多级关系的存取多级关系的存取
多级关系的存取操作由查询、插入、更新和删除操作组成:多级关系的存取操作由查询、插入、更新和删除操作组成: (( 11 )查询操作)查询操作 SELECT ASELECT Aii[[ ,, AAjj] FROM R] FROM Rkk[R[Rjj] WHERE p [BELIEVED BY ] WHERE p [BELIEVED BY
L]L] (( 22 )插入操作)插入操作 INSERT INTO R[(AINSERT INTO R[(Aii[[ ,, AAjj])] VALUES V])] VALUES V (( 33 )更新操作)更新操作 UPDATE SET AUPDATE SET Aii=a=ai i [A[Ajj=a=ajj] WHERE p [BELIEVED BY L]] WHERE p [BELIEVED BY L] (( 44 )删除操作 )删除操作 DELETE FROM WHERE p [BELIEVED BY L] DELETE FROM WHERE p [BELIEVED BY L]
33 .. 6 6 基于信息流控制的格模型基于信息流控制的格模型 信息流安全模型信息流安全模型 信息流模型信息流模型 FMFM 定义为五元组定义为五元组 FM=<NFM=<N ,, PP ,, SCSC ,⊕,→,⊕,→
>> ,, N={aN={a ,, bb ,, ···}···} 为包含信息的客体集合,可以是逻辑结构、为包含信息的客体集合,可以是逻辑结构、物理结构和系统用户;物理结构和系统用户;
P={pP={p ,, qq ,, ···}···} 是进程集合,即存取客体的主动实体,所有是进程集合,即存取客体的主动实体,所有信息流是由此产生的;信息流是由此产生的;
SC={ASC={A ,, BB ,, ···}···} 表示相应于系统中离散的信息安全级的安表示相应于系统中离散的信息安全级的安全级集合,系统中每客体全级集合,系统中每客体 aa 被分配一个存取级,而客体分为静被分配一个存取级,而客体分为静态的(生命期中不变的)和动态的(生命期中变化的)客体;态的(生命期中不变的)和动态的(生命期中变化的)客体;
⊕ ⊕是一个对安全级作组合操作的二元操作符,它服从交换律、是一个对安全级作组合操作的二元操作符,它服从交换律、结合律、且是封闭的;结合律、且是封闭的;
→ →用于定义于安全级偶对上信息从一客体到另一客体的流关用于定义于安全级偶对上信息从一客体到另一客体的流关系。系。
信息流模型信息流模型 FMFM 是安全的,当且仅当其中各操作的结果不产是安全的,当且仅当其中各操作的结果不产生违反生违反 "→""→" 关系的流,即操作关系的流,即操作 aa11 a⊕a⊕ 22··· a⊕··· a⊕ nn 必须满足安全流关必须满足安全流关系→的要求。→流关系具有传递性。单个操作是安全的就意味系→的要求。→流关系具有传递性。单个操作是安全的就意味着任何后续操作也是安全的。 着任何后续操作也是安全的。
33 .. 7 7 基于角色的存取控制模型基于角色的存取控制模型 RBACRBAC
33 .. 77 .. 1 RBAC1 RBAC 模型的要求与特点模型的要求与特点
用户组——仅作为用户的一个集合来看待,并用户组——仅作为用户的一个集合来看待,并不涉及它的授权许可;不涉及它的授权许可;
角色——既是一个用户集合,又是一个授权许角色——既是一个用户集合,又是一个授权许可集合,它是业务系统中的岗位、职位、分工等;可集合,它是业务系统中的岗位、职位、分工等;角色有其权限角色有其权限 AuthorityAuthority 和职责和职责 ResbonsibilityResbonsibility 。。
RBACRBAC 模型要求在系统中对客体强制性设置模型要求在系统中对客体强制性设置若干“角色”。系统管理员所负责的对系统若干“角色”。系统管理员所负责的对系统 // 数数据的存取权限是按角色来分配的。 据的存取权限是按角色来分配的。
33 .. 77 .. 2 RBAC2 RBAC 模型的构成模型的构成
RBACRBAC 模型共有模型共有 RBAC0-RBAC3RBAC0-RBAC3四种,它们的关系如图四种,它们的关系如图33 .. 1515 所示:所示:
RBAC3模型
RBAC2模型
RBAC1模型
RBAC1模型
图图 33 .. 15 15 四种四种 RBACRBAC 模型的关系模型的关系
(( 11 )基本模型)基本模型 RBAC0RBAC0 模型由用户模型由用户 UU ,角色,角色 SS ,会话,会话 SS 和授权和授权 PP 组成,是多对组成,是多对
多关系,对每个角色设多个授权关系多关系,对每个角色设多个授权关系 AuthorigationAuthorigation 、、 AcceAccess rightss right 、、 PrivilegePrivilege 和和 PermissionPermission 。可以设负授权(约束条。可以设负授权(约束条件件 ConstraintConstraint ),即令用户在某条件下不能访问某数据资源。),即令用户在某条件下不能访问某数据资源。
在进行授权时,将客体的存取访问权限在可靠的控制下连在进行授权时,将客体的存取访问权限在可靠的控制下连带角色所需操作一起提供给角色所代表的用户。一个角色可带角色所需操作一起提供给角色所代表的用户。一个角色可进行多个授权,一个授权可赋予多个角色,一个角色可接纳进行多个授权,一个授权可赋予多个角色,一个角色可接纳多个用户;一个用户可扮演多个角色。多个用户;一个用户可扮演多个角色。
该模型引入会话以增强在一个系统中并存两个以上存取控该模型引入会话以增强在一个系统中并存两个以上存取控制机制的灵活性:①每个用户进入系统得到自己的控制时,制机制的灵活性:①每个用户进入系统得到自己的控制时,就得到一个会话,它是动态的,从属于某个用户;②一个会就得到一个会话,它是动态的,从属于某个用户;②一个会话可能激活的角色是该用户的全部角色的一个子集;③对某话可能激活的角色是该用户的全部角色的一个子集;③对某个用户,他在一个会话内可获得全部被激活的角色所代表的个用户,他在一个会话内可获得全部被激活的角色所代表的授权;④一个用户可同时打开多个会话。授权;④一个用户可同时打开多个会话。
(( 22 )角色的层次结构)角色的层次结构 RBPA1(RH)RBPA1(RH)(( 33 )约束模型)约束模型 RBAC2(RH)RBAC2(RH)(( 44 )) RBAC3RBAC3 模型模型(( 55 )角色互斥及其他常用约束)角色互斥及其他常用约束
本章小结本章小结 自主型模型是一种基于用户鉴别和用户定义存取访问规则自主型模型是一种基于用户鉴别和用户定义存取访问规则
的安全模型。它的优点是灵活,缺点是易旁路、不能提供确的安全模型。它的优点是灵活,缺点是易旁路、不能提供确实的保证以满足对于系统的保护要求,也没有对信息的传播实的保证以满足对于系统的保护要求,也没有对信息的传播加以控制。加以控制。
强制型模型是基于标识的高级安全认证,对信息流进行追强制型模型是基于标识的高级安全认证,对信息流进行追踪的一种访问控制安全模型。它的优点是安全性好,缺点是踪的一种访问控制安全模型。它的优点是安全性好,缺点是太严格、应用面较窄。太严格、应用面较窄。
自主型与强制型相结合的模型(如安全的数据视图)可调自主型与强制型相结合的模型(如安全的数据视图)可调和各自的矛盾。这与一般和各自的矛盾。这与一般 DBMSDBMS 解决物理存储形式与用户看解决物理存储形式与用户看到的不一致的矛盾而采取数据视图的原理是一样的。到的不一致的矛盾而采取数据视图的原理是一样的。
贝尔—拉帕都拉模型利用一组规则集合来实现保密功能,贝尔—拉帕都拉模型利用一组规则集合来实现保密功能,它采取强制存取控制策略来达到实现数据安全的目的。它采取强制存取控制策略来达到实现数据安全的目的。
史密斯—温斯莱特模型的主要优点是能解决同一实体具有史密斯—温斯莱特模型的主要优点是能解决同一实体具有不同安全级别的多个值问题,适用于数据库应用。不同安全级别的多个值问题,适用于数据库应用。
基于信息流控制的格模型针对信息流动进行控制,而不是基于信息流控制的格模型针对信息流动进行控制,而不是对信息的直接存取控制。对信息的直接存取控制。
引入“角色”机制具有可操作性好、可管理性好和简单等引入“角色”机制具有可操作性好、可管理性好和简单等特点,因为角色的变动远低于个体的变动。特点,因为角色的变动远低于个体的变动。
习 题习 题 33
11 .哈里森-罗佐-厄尔曼存取矩阵模型的特点是什么?.哈里森-罗佐-厄尔曼存取矩阵模型的特点是什么?22 .试比较动作.试比较动作 -- 实体模型的静态和动态存取方式。实体模型的静态和动态存取方式。33 .试比较动作.试比较动作 -- 实体模型中的静态和动态授权。实体模型中的静态和动态授权。44 .解释动作.解释动作 -- 实体模型的排它性规则及意义。实体模型的排它性规则及意义。55 .解释动作.解释动作 -- 实体模型的属主性规则及意义。实体模型的属主性规则及意义。66 .解释动作.解释动作 -- 实体模型实体模型 SGSG 和和 DGDG 的相互一致性规则及意义。的相互一致性规则及意义。77 .贝尔—拉帕都拉模型的特点是什么?.贝尔—拉帕都拉模型的特点是什么?88 .证明对不可信主体,.证明对不可信主体, ** 规则包含规则包含 SSSS 规则。规则。99 .在贝尔—拉帕都拉模型中,.在贝尔—拉帕都拉模型中, No read-up secrecyNo read-up secrecy 与与 No writNo writ
e-down secrecye-down secrecy 的关系如何?的关系如何?1010 .伯巴模型是如何实现自主安全的?.伯巴模型是如何实现自主安全的?1111 .在史密斯—温斯莱特模型中,执行删除操作后,为什么更.在史密斯—温斯莱特模型中,执行删除操作后,为什么更
高一级用户仍能相信此实体的存在?高一级用户仍能相信此实体的存在?1212 .基于角色的存取控制模型的特点是什么?.基于角色的存取控制模型的特点是什么?