（计算机软件与理论专业论文）基于角色——任务的安全模型的研究.pdf

基于角色一任务的安全模型的研究 _ _ _ _ _ 一 摘要 随着计算机应用对社会生活各方面的渗透，利用计算机进行各种信息 处理已越来越成为一种趋势。由于这些信息多涉及到国家的军事、政治、 经济秘密以及一些个人隐私，所以计算机安全越来越受重视。计算机安 全涉及加密、认证、访问控制、入侵检测等多个方面。在访问控制方面， 研究人员已经提出了一些访问控制的策略和模型，如自主存取控制、强 制存取控制、b e l l - l a p a d u l a 策略和基于角色的访问控制等，但是夜些芗 模型针对单一的策略，有些模型则忽视了一些其他因素，如任务。) ，本文 根据国内外已有的研究成果及应用情况，系统地研究了基于角色和任务 的安全模型，在此基础上提出了一种授权语言f e a l ，并详细讨论了访问 控制中任务的影响，为应用程序开发人员和系统管理员提供了根据实际 应用灵活选择多种访问控制策略的能力。 本文所作的工作主要包括以下四个部分： 首先，本文提出了一种灵活的可扩展的授权语言f e a l ，给出了访问 控制程序的回答集语义解释。结合不同的访问判定前提，给出了访问请 求的判定算法。， 其次，详细讨论了访问控制中任务的影响。给出了任务和任务关系的 有色时间佩特利网表示，并给出了任务之间不二致性的判定方法，分析 了任务的时序可行性，并利用d e s i g n c p n 对访问请求作出判断。 第三，建立了一个可扩展的访问控制管理模型e x a c m ，该模型包括三 个部分：域模型、实体模型和管理角色模型。给出了建立管理模型应该 遵循的原则：最大约束原则和责任分离原则。 最后，结合以上几章的内容，遵循用户友好和策略中立的原则，设计 和实现了访问控制系统的原型。 通过上述工作，本文的主要贡献体现在以下几点： 第一，提出了一种灵活的可扩展的授权语言f e a l ，利用自定义谓词 扩展语言的表达能力，描述多种安全策略。同时将任务和操作绑定在一 起，体现了“任务绑定”的原则。 第二，为解决传统基于角色访问控制模型中由于权限继承而导致的私 有权限问题，引入了深度指示符，使得安全管理员可以自主地定义操作 在实体层次上的传播方向和深度。同时，提出了根据授权者和实体的优 t 先关系定义多种优先次序的方法，以灵活地解决访问控制程序中的冲突。 第三，利用有色时间佩特利网图形化地表示了任务和任务之间的关 系。本文将任务描述为一个四元组，并将任务分解为状态和引起状态转 变的原语的集合。详细分析了任务之间的关系：控制流相关、值相关和 操作主体之间的约束。并建立了它们和有色时间佩特利网之间的映射关 系。提出了任务相关性方程，利用求解方程组的方法分析任务之间的不 兼容不一致性。利用d e s i g n c p n ，分析在一个特定任务，特定时间区间 中，访问请求是否可达。 第四，定义了一个管理模型e x a c m ，该模型的建立是渐进的、扩展的。 这就意味着不同级别的安全管理员可以根据自己的管理权限来扩展主体 模型以及管辖范围内主体的访问控制权限；同时可以根据自己的管理权 限创建新的安全管理员和授予他们相应的管理权限。y 关键词：安全策略- 访i q 控制，角色，任务 。7 l 7 。 r o l e t a s k b a s e ds e c u rlt ym o d e l a b s t r a c t a sw i d eu s eo fc o m p u t e r s ，i ti sat r e n dt ou s ei tf o rp r o c e s s i n g i n f o r m a t i o n ，w h i c hc o v e r sc o n f i d e n t i a lm i l i t a r y ，g o v e r n m e n t ， e c o n o m ya n dp e r s o n a ld a t a s oc o m p u t e rs e c u r i t y ，w h i c hi n v o l v e s c r y p t o g r a p h y ，a u t h e n t i c a t i o n ， a c c e s s c o n t r o l ， i n t r u s i o n d e t e c t i o n ，i sa t t r a c t i n gm o r ea t t e n t i o n f o ra c c e s sc o n t r o l ，s o m e p o l i c i e s a n dm o d e l sa r e p r o p o s e ds u c h a sd i s c r e t i o n a r ya c c e s s c o n t r o l ，m a n d a t o r y a c c e s sc o n t r o l ，b e l l l a p a d u l a p o l i c y a n d r o l e b a s e da c c e s sc o n t r o1 b u ts o m ea i ma ts i n g l ep o lic y ，a n ds o m e n e g l e c ts e v e r a li m p o r t a n tf a c t o r ss u c ha st a s k b a s e do nd o m e s t i c a n do v e r s e a ss t u d i e sa n da p p l i c a t i o n s ，t h i sp a p e ri st od or e s e a r c h o nr o l e t a s k - b a s e ds e c u r i t ym o d e l a na u t h o r i z a t i o nl a n g u a g ei s p r o p o s e d ，t h ee f f e c to ft a s ki na c c e s sc o n t r o li sd i s c u s s e d ，a n d i te n a b l e sd e v e l o p e r sa n da d m i n i s t r a t o r st os e l e c tm u l t i p l ea c c e s s c o n t r o lp o l i c i e sa c c o r d i n gt ot h er e q u i r e m e n t so fa p p l i c a t i o n s f o u rp a r t sa r ec o n t a i n e di nt h i sp a p e r f i r s t l y ，af l e x i b l ea n de x t e n s i b l ea u t h o r i z a t i o nl a n g u a g e ( f e a l ) i sp r o p o s e d ，a n do n es e m a n t i c so fa n s w e rs e t si sa t t a i n e d u n d e rd i f f e r e n ta c c e s sd e c i s i o n a s s u m p ti o n s ，a l la l g o r i t h m o f e v a l u a t i n ga c c e s sr e q u e s t si sp r o p o s e d s e c o n d l y ，t h ee f f e c to ft a s ki na c c e s sc o n t r o li sd i s c u s s e di n d e t a i l c o l o r - t i m e dp e t r in e t ( c t p n ) i si n t r o d u c e dt or e p r e s e n t t a s k sa n dt h e i rr e l a t i o n s h i p a n da na p p r o a c hi s g i v e nt od e t e c t t h et a s ki n c o n s i s t e n c ya n dt e s t t e m p o r a l f e a s i b ili t yo ft a s k s m o r e o v e r ，a c c e s sr e q u e s t sa r ev e r i f i e db yd e s i g n c p n t h i r d l y ，8 ie x t e n s i b l ea c c e s sc o n t r o lm a n a g e m e n tm o d e l ( e x a c m ) i sg i v e n ，w h i c hc o n t a i n sd o m a i nm o d e l ，e n t i t ym o d e la n d m a n a g e m e n t r o l em o d e l t w o c o n s t r a i n t ss u c ha s c a r d i n a l i t yc o n s t r a i n ta n d s e p a r a t i o no fd u t ym u s tb ec o n f o r m e dt o l a s t l y ，ap r o t o t y p eo fa c c e s sc o n t r o ls y s t e mi sd e s i g n e da n d i m p l e m e n t e da c c o r d i n gt o t h e p r i n c i p l e o fp o l i c yn e u t r a la n d u s e r f r i e n d l yd e s i g n t h ec o n t r i b u t i o n so ft h i sp a p e ra r ea s f o l l o w i n g f i r s t l y a na u t h o r i z a t i o nl a n g u a g e ( f e a l ) i sp r o p o s e d t h e e x p r e s s i r e p o w e r o ff e a lc a nb ee n h a n c e d b y u s e r d e f i n e d p r e d i c a t e s ，a n dm u l t i p l ep o l i c i e sa r es u p p o r t e d m o r e o v e r ，t h e m o d e li se x t e n d e dt ot a s k sf o rt h ep r i n c i p l eo fp r i v i l e g eb i n d i n g w i t ht a s k s e c o n d l y ， f o r p r i v a t ep r i v i l e g e s ，d e p t h i d e n t i f i e ri s i n t r o d u c e dt o s p e c i f y d i r e c t i o n a n d d e p t h o ft h e p r i v i l e g e p r o p a g a t i o na l o n ge n t i t yh i e r a r c h i e s a n dd i v e r s ep r i o r i t i e so f g r a n t o r sa n de n t i t i e sa r ed e f i n e df o rc o n f l i c tr e s o l u t i o n t h i r d l y ，c t p n i si n t r o d u c e dt o r e p r e s e n t t a s k sa n dt h e i r r e l a t i o n s h i p at a s ki sd e f i n e da so r d e r e d4 - t u p l ea n di sd i v i d e d i n t os t a t e sa n dp r i m i t i v e sc a u s i n gs t a t et r a n s f o r m a t i o n t a s k d e p e n d e n c i e sc o n t a i n i n gc o n t r o lf l o wd e p e n d e n c y ，v a l u ed e p e n d e n c y a n dc o n s t r a i n t so ns u b j e c t sa r ed i s c u s s e di nd e t a i l t h em a p p i n g t oc t p ni s b u i i t d e p e n d e n c ye q u a t i o n so ft a s ka r ep r o p o s e da n d r e s o l v e dt og e ti n c o m p a t i b l ei n c o n s i s t e n c y a c c e s sr e q u e s t so ft h e s p e c i f i e dt a s ka n dt i m ei n t e r v a la r ev e r i f i e du s i n gd e s i g n c p n l a s t l y ，e x a c mi sa ne x t e n s i b l ea n di n c r e m e n t a lm a n a g e m e n tm o d e l a n d a c c o r d i n g t oh i s m a n a g e m e n tr i g h t s ，s e c u r i t y o f f i c e ra t d i f f e r e n tl e v e l sc a r la u t h o r i z es u b j e c t su n d e rh i sd o m i n a t i o ns o m e a c c e s sr i g h t s ，a n dc r e a t en e ws e c u r i t yo f f i c e r sa n da u t h o r i z et h e m p r o p e rm a n a g e m e n tr ig h t s k e yw o r d s ：s e c u r i t yp o l i c y ，a c c e s sc o n t r o l ，r o l e ，t a s k 1 1 背景 第一章绪论 计算机应用已经渗透到了社会生活的各个方面。利用计算机对信息进行收集、加工、存储、 分析以及交换等各种处理越来越成为必不可少的手段。许多计算机处理的是涉及军事、政治 经济以及一些私人数据等敏感信息，它越来越成为敌对国家、组织和不法分子攻击的主要对象， 所以计算机安全越来越受到重视。 从广义来讲，计算机安全要防止诸多不安全因素，包括物理上的不安全因素( 如防火设施不 完善) 、自然灾害、计算机自身的不安全( 如硬件上用于内存保护的页表失效、软件设计和安装 的漏洞) 、介质不安全( 磁盘、磁带管理不善) 、计算机电磁辐射可被截取分析、通信上的不安全 因素，尤其是入( 包括失职的系统管理员和系统攻击者) 的不安全因素。目前对计算机安全的研 究主要包括三个方面”1 ”： 1 )机密性( c o n f i d e n t i a l i t y ) ：防止信息泄露给未授权用户( 或攻击者) ： 2 )完整性( i n t e g r i t y ) ：肪止信息被未授权用户修改； 3 ) 可用性( a v a i l a b i l i t y ) ：不拒绝授权用户的访问。 计算机安全的研究已经深入到了计算机科学理论和工程的各个领域。人们不仅在理论上对 安全问题进行探讨而且在工程上也在考虑如何加强包括计算机软、硬件在内的多层次系统的 安全。6 0 年代末人们开始从深层t k _ k 考虑计算机安全原则。这个工作基本上是在美国的几家 公司和大学( s y s t e md e v e l o p m e n tc o r p o r a t i o n c a s ew e s t e r nr e s e r v eu n i v e r s i t y ，t h em i t r e c o r p o r a t i o n ，t h ea i rf o r c ee l e c t r o n i cs y s t e m s ) 中进行，研究成果包括引用监控器( r e f e r e n c e m o n i t o r ) 、强制性安全策略和b e l l l a p a d u l a 安全模型”1 。美国国防部( d o d ) 于1 9 8 3 年推出了 “可信计算机系统评估准则”( t r u s t e dc o m p u t e rs y s t e me v a l u a t i o nc r i t e r i a ，t c s e c ) ”， 它是迄今为止一个最有名的计算机安全评估标准。t c s e c 将系统安全分为四等八个级别，由低 到高依次为：d c 1 ，c 2 b 1 b 2 ，b 3 ，a l ，超a 1 。按此规则划分，传统操作系统包括以前的 u n i x 操作系统的安全级大多处于c 级。 目前，理论上的探讨侧重于各种安全模型和密码理论的研究，而工程上的开发除了硬件上 对安全设计的各种考虑外，软件领域的安全以操作系统安全、网络安全和数据库安全三个领域 最重要，其研究基础是安全访问控制模型研究。访问控制决定了用户对系统资源拥有的访问权 限，防止非法用户的访问和合法用户的非法使用。 上海交通大学博士学位论文 1 2 相关标准 衡量一个系统的安全性。必然需要一些标准，下面给出了一些常见的用来衡量系统安全性 的基本要求： 1 )安全策略( s e c u r i t yp o l i c y ) ：明确的由系统实施的安全性规则集合。 2 )标识和识别( i d e n t i f i c a t i o n a u t h e n t i c a t i o n ) ：惟一且可靠地识别每个主体，通常 情况下主体为用户或者进程。 3 )标记( l a b e li n g ) ：主体、客体的安全属性。 4 )可检查性( a c c o u n t a b i l i t y ) ：系统对影响安全的活动必须维持完全且安全的记录。 5 )保障措施( a s s u r a n c e ) ：系统必须包含有实施安全性的机制，必须能够评价这些机制的 有效性。 6 )连续保护( c o n t i n u o u sp r o t e c t i o n ) ：安全机制必须受到保护以防止未经批准的改变。 世界各国已提出了多种安全评估标准，其中包括可信计算机系统评估准则( t r u s t e d c o m p u t e rs y s t e me v a l u a t i o nc r i t e r i a ，t c s e c ) “1 和信息技术评估公共标准( c o m m o nc r i t e r i a f o ri n f o r m a t i o nt e c h n o l o g ys e c u r i t ye v a l u a t i o n ，c c ) ”1 ，其它的基本思想与之类似。 1 2 1 可信任计算机系统评估准则 t c s e c “1 也叫“橙皮书”，由美国国防部提出，描述了军用多级安全( m l s ) 系统的安全策略： 自主存取控制( d a c ) 和强制存取控制( w a c ) 。 t c s e c 对计算机系统安全进行了定义，将安全保护分成四个等级，每个等级包含一个或多 个级别，如表卜l 所示。安全级别按d ，c 1 ，c 2 ，b l ，b 2 ，b 3 ，a 1 ，超a 1 而渐次增强。 表i - it c s e c 定义的安全级别 类别名称主要特征例子 d低级保护不分等级，无口令和权限控制w i n d o w s c 1自主安全保护主体自主决定的安全保护，自主存取控制( d a c )u n i x ，n t c i + 安全协议，单独的可说明性，广泛审核，附 c 2受控存取保护s p 2 加软件包 安全标记，实现强制存取控制( 1 a c ) ，删去安全 b l标记性安全保护 s y s t e mv m 。s 相关的缺陷，非正式安全策略模型 更彻底的测试和审查，系统结构化为大体独立的 b 2结构性保护岫l t i c s 摸块，正式的安全策略模型 b 3安全域存取监督器( 安全内核) ，高抗渗透能力t r u s t e dm a c h 第一章绪论 1 2 2 信息技术评估公共标准 t c s e c 所描述的军用安全策略与商用和民用安全策略是不同的”1 主要原因是军事系统侧 重于保护信息的机密性，而商用和民用系统则侧重于保护信息的完整性。而现在信息处理系统 的应用领域日益增多，安全需求呈现出多样性，已有的安全策略不能适应这种变化。因此有必 要提出一种既提供机密性保护又提供完整性保护、适于多种系统的评估标准。为此，美、加等 国共同提出了信息技术评估公共标准c c ”1 。 1 9 9 1 年，在欧洲共同体的赞助下，英、德、法、荷四国制定了拟为欧共体成员国使用的共 同标准信息技术安全评定标准( i t s e c ) 。随着各种标准的推出和安全技术产品的发展，美国、 加拿大及欧共体国家一起制定公共标准c c ，该标准已于1 9 9 9 年7 月通过国际标准组织认可， 确立为国际标准，即i s o i e c1 5 4 0 8 。 c c 本身由两个部分组成，一部分是一组信息技术产品的安全功能需求定义，另一部分是对 安全保证需求的定义。c c 的一般使用方法是由用户按照安全功能需求来定义产品的保护框架 ( p p p r o t e c t i o np r o f i l e ) 。这里的用户是广义的，例如可以由某一组织负责定义政府各个机 构的防火墙产品p p 。厂家根据p p 文件制订其产品的安全目标文件( s t ) 然后根据产品的安全 目标文件s t 开发产品。开发出的产品将作为评测对象( t o e t a r g e to fe v a l u a t i o n ) 进行安全 功能和安全可信度的评测。为了保证产品安全机制的有效性c c 特别要求对p p 和s t 进行评价， 以检查这两个文件是否满足要求。以下分别描述c c 的安全功能需求部分和安全保证需求部分。 安全功能需求部分是按结构化方式组织起来的安全功能定义，分为类( c l a s s ) 、族( f a m il y ) 和组件( c o m p o n e n t ) 三层。每个类侧重一个安全主题，例如安全审计类、安全管理类或通信类等 c c 茫包括11 个类，基本上覆盖了目前安全功能所有方面。一个类包含一个或多个族，每个族 基于相同的安全目标但侧重点和保护强度有所不同。例如，通信类包括了两个族，分别涉及 信息源的防抵赖和信息接受方的防抵赖。每个族包含一个或多个组件。一个组件确定了一组最 小可选择的安全需求集合，即在从c c 中选择安全功能时，不能对组件再做拆分。一个族中的组 件排列顺序代表不同的强度和能力级别。通信类信息源的防抵赖和信息接受方的防抵赖均包含 了两个组件，第一个组件是选择性可靠证明，第二个组件是强制性可靠证明。有的组件与其他 组件有依赖性关系，在这种情况下，一旦选择了其中一个，就必须选择其他相关项。在制订p p 或s t 时，可通过4 种对组件的操作来满足安全需求，这4 种操作是“反复( i t e r a t i o n ) jp “赋 值( a s s i g n m e n t ) ”、“选择( s e l e c t i o n ) ”和“求精( r e f i n e m e n t ) ”。 安全保证需求部分的组织方式与安全功能需求部分相同即按“类一族一组件”方式结构化 上海交通大学博士学位论文 地定义了各种安全保证需求，共包括1 0 个类，其中针对p p 和s t 各1 个，对安全保护认证后进 行维护1 个其余7 个则是对t o e 安全可信度保证的具体需求。为了能够有效地使用安全功能 需求和安全保证需求- c c 还引入了“包( p a c k a g e ) ”的概念，以提高已定义结果的可重用性。 在安全保证需求之中，定义了7 个安全保证级别( e a l ) 。这7 个级别定义如下： e a l l ：功能性测试级，证明t o e 与功能规格一致。 e a l 2 ：结构性测试级，证明t o e 与系统层次设计概念一致。 e a l 3 ：工程方法上的测试及校验级，证明t o e 在设计上采用了积极安全工程方法。 e a l 4 ：工程方法上的方法设计、测试和评审级，证明t o e 采用了基于良好的开发过程的安 全工程方法。 e a l 5 ：半形式化设计和测试级证明t o e 采用了基于严格的过程的安全工程方法并适度应 用了专家安全工程技术。 e a l 6 ：半形式化地验证设计和测试级，证明t o e 通过将安全工程技术应用到严格的开发环 境中以达到消除高风险保护高价值资产。 e a l 7 ：形式化地验证设计和涮试级，证明t o e 所有安全功能经得起全面的形式化分析。 1 3 安全策略 安全策略( s e c t l v i t yp o l i c y ) 是由系统明确实施的安全规则的集合。安全策略由模型来描 述，因此有时候策略和模型被混同起来。现在系统的一般要求是策略透明( p o l i c yn e u t r a l ) 。 1 ，3 ，l 自主存取控制和强制存取控制 系统安全机制的主要目的是控制存取信息，主要有两种不同类型的存取控制方式：自主存 取控制( d i s c r e t i o n a r ya c c e s sc o n t r 0 1 ) 和强制存取控制( m a n d a t o r ya c c e s sc o n t r 0 1 ) ”1 。 七十年代，随着分时系统的出现，自主存取控制( d a c ) 也逐渐兴起。d a c 是最常用的，它是 基于客体一主体所属关系的访问控制，根据主体及或主体所属的主体组的识别来限制对客体的 访问这种控制是自主的自主是指对被授予某种访问控制权限的主体，可以根据自己的意愿， 将访问控制权限的某个子集授予其他主体，或从其他主体那里收回他所授予的访问控制权限。 也就是说，d a c 的思想是将用户作为客体的拥有者，这样用户便可自主地决定其他哪些用户可 以咀何种方式来访问他拥有的客体。例如，用户a 是客体x 的拥有者。那么，用户a 就可以根 据自己的意愿将对客体x 的访问控制权限授予用户b 。这样，用户b 就可以对客体x 进行相应 的访问了。同样，在一段时间后如果用户a 不想再让用户b 拥有对客体x 的访问权限，用户 a 就可以根据自己的意愿收回这些访问权限。其后用户b 就不可再访问客体x 了。用户可自 主地在系统中定义谁可以存取他们的文件，如u n i x 系统中文件主可以通过c h m o d 命令设定自己 - 4 - 第一章绪论 的文件可以被哪些用户访问。在这种存取控制下，用户( 或用户程序或用户进程) 可选择同其他 用户共享文件。 d a c 的优点是：其自主性为用户提供了极大的灵活性，从而使之适用于许多系统和应用， 但也正是这种自主性，使得特洛伊木马可以通过共享客体从一个进程传给另一个进程。因此， d a c 的最大缺点是它没有保证信息的“真正安全”。 强制访问控制( 鼢c ) 是针对特涪伊木马的威胁而提出的。m a c 依据主体和客体的安全级别来 决定主体是否拥有对客体的访问权限。m a c 的主要目的是针对军事领域，防止信息的非法泄露 进行信息流控制如在军事领域中应用的b e l l - l a p a d u l a 策略( 这里将它归属到多级安全策略中 描述) 在m a c 下t 主体和客体都有固定的安全属性，这些属性由系统使用，以决定某个主体是 否可以存取某个客体。安全属性由管理员或操作系统自动地按照严格的规则设置，不能由用户 或程序修改。这就好像在一个居住小区里，小区里面的住户可以有权给自己的房间加锁( 对应于 d a c ) ，而这个小区也有一些基本的安全防范措旖( 对应于g a c ) ，任何人不能违背。d a c 和, m a c 的主要区别如表卜2 所示。 表卜2d a c 和m a c 的区别 i 安全设置人安全设置规则 i d a c文件主 任意设置 ll i a c 系统安全员依据一定的规则 在敏感信息处理系统( 军用或民用) 中，信息不属于系统的某个用户而是属于某个机构或部 门，访问控制要基于雇佣关系即用户在机构中的职能，d a c 不适用于这类需求，另外d a c 授权 管理繁琐- 必须处理级联授权和每一个客体一主体访问关系。而m a c 在控制粒度上不满足最小特 权原则，因为具有一定安全属性的主体可以访问与其安全属性相匹配的所有客体。 1 3 2 多级安全策略 多级安全策略w s ( m u l t il e v e ls e c u r i t yp o l i c y ) 中，系统的每个实体与一个级别相连， 这些级别组成一个偏序集合，信息可从一个实体流向另个实体。最有名的两个多级安全策略 是b e l l - l a p a d u l a 策略( b l p ) ”和b i b a 策略 i 3 2 1b e l 卜l a p a d u l a 策略 m i t r e 公司的b e l l 和l a p a d u l a 合作研究的b e l l l a p a d u l a 策略。1 是一个经典多级安全策 略，以军事部门的安全访问控制作为其现实基础，侧重于信息的机密性。 b l p 策略是基于主体和客体在系统中的“安全级”来控制主体对客体的访问，安全级包括 “密级”和“部门集”两个方面。为实施强制型安全控制，每个主体和客体均被酸予“安全级”， 一5 一 上海交通大学博士学位论文 客体的安全级表现了客体中所含信息的敏感程度，而主体的安全级则反映了主体对敏感信息的 可信程度。在一般情况下，安全级是线性有序的。其实现机制包括三点：当且仅当主体的密 级高于客体的密级，且主体的部门集包含客体的部门集时，主体的安全级高于客体：“简单 安全”原则：当且仅当主体安全级高于或等于客体时，主体可以读客体，；“ 一特性”：当且 仅当主体安全级低于或等于客体，主体可以写客体。其最大优点是：它使得系统中的信息流成 为单向不可逆的，防止信息从高安全级别的客体流向低安全级别的客体，从而有效地防止了特 洛伊木马的破坏。其缺点是：它无法给用户提供较大的灵活性，同时也没有解决通过低安全级 别信息的组合而推导出高安全级别的信息而产生的安全问题。 b l p 采用有限状态机作为构造该模型的基础。首先给出了安全状态的定义，然后定义了一 些状态转换规则，这些规则可以保证系统的状态是安全的。已经证明，满足简单安全特性和 一 特性的状态是安全状态。 b l p 模型的建立形式化定义了军事安全模型并展示了其应用前景。它已经作为许多系统 或原型的理论基础，并在m u l t i c s 中得到了成功应用。 i 3 2 2b i b a 策略 b i b a 模型是另一种多级安全策略，侧重于信息的完整性。它与b e l l l a p a d u l a 模型类似， 将系统中的主体( s u b j e c t ) 与客体( o b j e c t ) 划分为不同的完整级别。主要有两条原则：简单完整 - 性原则，即主体只能读完整级不小于它的客体( 向上读) ；完整性星原则，即只有在客体的完整级 小于或等于主体的完整级时主体可写客体( 向下写) 。 1 3 3c l a r k - w ii s o n 策略 c l a r k - w i i s o n 是一种完整性( i n t e g r i t y ) 策略“1 它所关心的是数据的正确性，预防欺诈 ( f r a u d ) 甚于泄露( d i s e l o s u r e ) 。受保护的数据称作受约束数据项( c o n s t r a i n e dd a t ai t e m ， c d i ) ，c d i 的正确性通过两种途径保证。第一种途径是完整性确认过程( i v p ) ，一个i v p 可以通 过三种方式确认c d i 的完整性：某个特定c d i 的内部一致性，c d i 之间的一致性以及c d i 与外 部世界的一致性。第二种途径是只能允许某些转换过程( t p ) 更改c d i ，这些t p 将c d i 的状态转 换为正确的状态正确性的定义随特定应用而不同。预防欺诈由责任分离机制保证，只有某些 用户才可通过特定的t p 更改c d i 。 1 3 4 中国墙策略 中国墙策略( c h i n e s ew a i ls e c u r i t yp o l i c y ) ”1 是一种基于不同机构问利益冲突的安全策 略，针对商业领域的特点( 有别于军用系统) ，主要应用于提供商业服务的金融机构( 例如证券公 第一章绪论 司) 。在b e l 卜l a p a d u l a 策略中，数据访问以数据的安全级别为依据：在中国墙策略中，数据访 问受到主体( s u b j e c t ) 已拥有的那些数据访问权限的限制。该策略的基本思想是将数据集 ( d a t a s e t s ) 分成不同的“利益冲突类”( c o n f l i c to fi n t e r e s tc l a s s e s ) ，强制规则规定：所 有主体只可以访问每个利益冲突类中至多一个数据集，至于选择哪个数据集则没有限制，只要 满足强制规则即可。 b r o w e r 等提出了一个实现c h i n e s eh 1 1 的模型。信息咀层次化的形式存储，底层是不同 的单个客体，第二层次将这些客体分类为不同的“公司数据集”( c o m p a n yd a t a s e t s ) ，例如 c o m p a n ) a 和c o m p a n y - i 。最高层再将所有的数据集分类，每一类代表相互竞争的公司集合，即 利益冲突类。其基本规则是主体一旦访问了某个数据集，那么他将不能再访问与该数据集处于 同一利益冲突类的其它任何数据集。 1 3 5 责任分离 责任分离( s e p a r a t i o no fd u t y s o d ) 是将任务和相关权限分离，要求几个用户协同完成敏 感任务，以减小欺骗行为和错误的发生几率。 早在计算机出现之前，责任分离就已经广泛应用于实际生活中。在基于角色的访问控制系 统中，责任分离是一项重要的安全原则，是一种防止欺骗行为和错误发生的基本技术，是一种 用来规范多个用户协同控制的策略。它要求由两个或更多的用户一起来完成某一任务或一组相 关任务。这一原则的目的就是通过将执行任务的权限分散给多个用户，以利于互相监督、互相 制约、协同工作，从而减少欺骗行为的发生概率。在现实生活中这样的例子比比旨是，比如银 行信贷、定货等等如果一个人同时担任两个互斥的角色，如顾客和收银员，他就可以很方便 地舞弊，骗取钱财；而如果这两个角色必须由不同的用户来扮演，那么除非二者合谋，这样就 增加了欺骗行为的风险，从而降低了欺骗行为发生的几率。 关于责任分离这一基本安全原则，有许多相关文献”1 ”。s a n d h u 在r b a c t 中提到了对互斥 角色的约束9 。f e r r a i o l o 等人“定义了三种责任分离：静态责任分离( s t a t i cs e p a r a t i o no f d l l t y ) 、动态责任分离( d y n a m i cs e p a r a t i o no fd u t y ) 和责任的操作分离( o p e r a t i o n a l s e p a r a t i o n o f d u t y ) 其中责任的操作分离是指没有任何一个角色可以拥有完成某一商业职能 ( b u s i n e s sf u n c t i o n ) 所需的所有权限，但是隐含前提是完成此商业职能的所有角色的成员没有 交集，从而保证没有一个用户可以单独完成这一商业职能。r i c h a r dk u h n “”提出了实现责任分 离的一种方法：角色互斥。分析了角色互斥的性质，包括互斥发生的时间是在授权时还是在运 行时，这对应于静态和动态责任分离；还分析了角色互斥的程度，即互斥角色所拥有的权限是 否有交集。但是没有考虑角色层次的影响。a h n ”“详细的讨论了静态和动态责任分离，却没有 考虑任务的因素。b e r t i n o “在工作流环境中对用户和角色的所属关系提出了三种类型的约束： 静态约束、动态约束和混合约束。 上海交通大学博士学位论文 1 4 安全模型 安全模型“”可用于系统安全的定义、设计和验证。随着对计算机安全研究的重视，出现 了各种各样的安全模型，对一些典型的安全模型进行分析研究，从中得到进行安全设计的启发， 并适当应用于系统的安全设计，可以使系统的安全结构清晰最大限度避免安全“盲点”。 安全模型主要包括有限状态机模型、存取模型、信息流模型。有限状态机模型是大多数安 全模型的基础存取模型是从主体和客体安全属性的角度来描述系统安全状态的，通过比较它 们的安全属性确定主体对客体的存取方式，所有建立在主体对客体存取基础上的模型都可称为 存取模型。它包括存取矩阵模型和访问控制模型( a c c e s sc o n t r o lm o d e l ) 。 1 4 i 有限状态机模型 介绍有限状态机模型( f i n i t e s t a t em a c h i n em o d e l ) 的原因在于有限状态机模型是当前大 多数安全模型的基础，相当多的安全模型其实质都是有限状态机模型。它将系统描述成一个抽 象的数学状态机；其中状态变量( s t a t ev a r i a b l e s ) 表征机器状态，转移函数( t r a n s i t i o n f u n c t i o n s ) 描述状态变量如何变化。只要该模型的初始状态是安全的，并且所有转移函数也是 安全的( 即一个安全状态通过状态转移函数只能达到新的安全状态) ，那么数学推理的必然结果 是：系统只要从某个安全状态起动，无论按照何种顺序调用系统功能，系统将总是保持在安全 - 状态。注意：转移函数是原语性质的，认为它们的执行不花时间。 状态机模型是一种相当古老而又基本的模型，其概念己渗透到了各个技术领域，每个作建 模工作的研究人员都能理解状态机模型。但该模型在诸如软件开发等过程中却没有起重要作用， 因为对操作系统的所有可能状态变量建模是不现实的。而安全模型仅仅涉及与安全有关的状态 变量其状态机模型要荷单得多。 1 4 2 存取矩阵模型 存取矩阵模型( a c c e s sm a t r i xm o d e l ) 是状态机模型的一种，开发于七十年代，是对操作 系统保护机制的通用化描述由于其在操作系统安全性设计中的简单性和通用性，因此一直吸 引着人们的兴趣。它更主要的是对操作系统安全机制进行抽象，而不是对军事上的安全概念给 以形式化定义。对安全保护机制这种高层次的抽象( 即仅仅指明了系统存在着主体、客体和存取 模式，却没有说明这些主体、客体或存取模式究竟是什么和其它细节) ，带来了灵活性和广泛的 适用性。只要解释适当，它可以和实际的计算机系统符合。它将系统的安全状态表示成一个大 的矩形阵列：每个主体拥有一行，每个客体拥有一列，交叉项表示主体对客体的访问模式。存 取矩阵定义了系统的安全状态，这些状态又披状态转移规则( 即上文的状态转移函数) 引导到下 - 8 - 第一章绪论 一个状态。这些规则和存取矩阵构成了这种保护机制的核心。这种模型只限于为系统提供机制， 具体的控制策略则包含在存取矩阵的当前状态中，使得依据这种方法实现一个系统时可以很好 地实现机制和策略的分离。 在实际的计算机系统中，当把存取矩阵作为一个二维数组来实现时，它往往是一个稀疏矩 阵表示为： a i a o o _ a m 0 a o _ 存取矩阵中每个元素as ，即为主体s - 对客体o ，的访问权限。 实际应用中，直接将存取矩阵加以实现显然是低效和不可取的，目前对存取矩阵的存放有 三种方法“”： 1 )按行存放，称“权限表( c a p a b i l i t yl i s t ) ”法。它是利用在主体上附加一个客体明细 表的方法来实现存取矩阵的。在这种方法中，每个主体都有一个权限表，它表示了该 主体可对哪些客体进行何种形式的访问其形式如图卜1 所示。可咀看出权限表实际 上就是将存取矩阵按行存放，利用权限表可以很快得到某一个主体所拥有的所有权限。 匡厂目 倡厂_ 罾 图i - i 权限表 f i g 1 一lc a p a b i i i t yl i s t 2 ) 按列存放，称。存取控制表( a c c e s sc o