培训课程：信息系统安全安全控制原理

主讲教师：董庆宽研究方向：密码学与信息安全Email

：qkdong@手机教院培训课程：信息系统安全第二章安全控制原理

2/1092.1可信计算基的结构与评测准则2.2访问控制2.3信息流控制2.4安全模型内容提要3/1092.1.1可信计算基的结构第二章安全控制原理2.1可信计算基的结构与评测准则信息系统可信计算基TCB的定义：信息系统是由计算机及相关的和配套的设备和设施构成的定义：可信计算基(TCB)是指信息系统内保护装置的总体，包括相关的软件、硬件、固件及相关的管理等其中，固件是具有独立功能和作用的软硬件的集合体。在信息系统中那些为了用户能安全地使用信息系统并完成信息使命的资源和机制就构成了信息系统的TCB它建立了一个基本的保护环境，并提供一个可信计算系统所要求的附加用户服务TCB(TrustComputingBase)是1983年《可信计算机系统评测准则》TCSEC中提出的概念，TCSEC侧重于操作系统安全，而对操作系统的安全要求可以推广到整个信息系统4/109TCB是个很广泛的概念，可以由以下(但不限于)要素构成操作系统和数据库中的安全内核应用软件中与安全相关的部分具有特权的程序和命令处理敏感信息的程序，如系统管理命令TCB实施安全策略的文件其他可信的软件、硬件、固件和设备。（关于故障）负责系统管理的人员。（误操作或恶意操作）保障正确的相关程序和诊断软件（评测）第二章安全控制原理2.1可信计算基的结构与评测准则2.1.1可信计算基的结构5/109信息系统TCB的逻辑结构TCB分为安全策略TSP和安全功能TSF两个层次可分别抽象为访问监控器和访问确认机制这些策略通过安全功能控制所有主体对客体的操作（控制范围TSC）安全信息系统的工作机理信息系统中信息服务系统和安全策略通过一定的控制手段对进程、服务、数据等资源进行有效控制，以期达到安全有效的使用资源的目的(实现信息使命及安全使命)第二章安全控制原理2.1可信计算基的结构与评测准则2.1.1可信计算基的结构6/109由上可见，TCB提供安全功能的思想在于：①信息系统规定了信息安全策略TSP②TSP定义了一些规则TSP可以由多个安全功能策略SFP模块构成，每个SFP都有自己的控制范围，在其中定义了该SFP控制下的主体、客体和操作。SFP是通过安全功能SF实现的

③信息系统以安全功能为载体通过这些规则控制任何主体对其资源的访问，这样信息系统就控制了所有信息与服务，确信对资源进行安全保护而达到对信息的安全保护第二章安全控制原理2.1可信计算基的结构与评测准则2.1.1可信计算基的结构7/109TCB的安全策略，简称TSP(TCBSecurityPolicy)是对TCB中的资源进行管理、保护和分配的一组规则。它是所有SFP的总和其中，安全功能策略SFP(SecurityFunctionPolicy)，是由多个安全策略SP组成的针对某些特定安全功能的策略，通过安全功能SF模块实现TSP可抽象为访问监控器访问监控器是信息系统中实施访问控制策略的抽象机，是安全功能模块在执行安全功能时的依据，比如访问控制的规则等第二章安全控制原理2.1可信计算基的结构与评测准则2.1.1可信计算基的结构8/109TCB的安全功能，简称TSF(TCBSecurityfunction)是正确实施TCB安全策略的全部硬件、固件、软件所提供的功能。它包括了一个TCB的所有安全功能模块SF，通常是一个或多个安全功能策略SFP的实现TSF中可能包括一个访问确认机制和其他一些安全功能访问确认机制是访问监控器概念的实现，它具有防拆卸、一直运行、简单到能够进行彻底的分析与测试，如访问控制的执行单元，操作系统的安全内核等TCB中所有TSF构成一个安全域，以防止不可信实体的干扰和篡改，这个安全域实际上是TCB操作及其所涉及的主体和客体，也被称为TSF的控制范围TSC。TCB中的非TSF部分构成非安全域第二章安全控制原理2.1可信计算基的结构与评测准则2.1.1可信计算基的结构9/109TSF的实现有两种方法设置前端过滤器，如防火墙，登陆认证，防止非法进入系统设置访问监督器，如安全审计系统、防止越权访问TSF的两种实现方法实际上给出了信息系统安全的访问控制模型该模型对非授权访问有两道防线：第一道防线是守卫者：基于通行字的登录程序和屏蔽程序，分别用于拒绝非授权的访问、检测和拒绝病毒：外部访问控制，具有前端过滤器的功能第二道防线由一些内部控制部件构成，管理系统内部的各项操作和分析所存有的信息，检查是否有未授权的入侵者。内部访问控制、安全管理和审计，具有访问监督器的作用第二章安全控制原理2.1可信计算基的结构与评测准则2.1.1可信计算基的结构10/109在信息系统或产品中的数据、资源和实体的相关概念信息系统中处理的数据，有两大类：用户数据：用户完成信息使命时产生和处理的，是信息系统安全保障的根本目标，存储在信息系统资源中TSF数据：用于保护用户数据所需的数据，在作出TSP决策时TSF使用的信息，如安全属性、鉴别数据，访问控制表ACL内容等都是TSF数据的例子。又可分为鉴别数据与保密数据信息系统的资源用于存储和处理信息，它们是由存储介质、外围设备和计算能力构成的。TSF的主要目标是完全并正确的对信息系统所控制的资源与信息，实施信息系统的安全策略TSP信息系统资源可以用不同的方式构成和利用第二章安全控制原理2.1可信计算基的结构与评测准则2.1.1可信计算基的结构11/109信息系统中的实体entity，由资源产生，有两类：(1)主动实体，称为主体subject，指用户和其它任何代理用户行为的实体(例如设备、进程、作业和程序)它是信息系统内部行为发起的原因，并导致对信息的操作；但不一定是执行者(可能是代理程序)信息系统内有三类实体：(1)代表遵从TSP所有规则的已授权用户，如UNIX进程(2)作为专用功能进程，可以轮流代表多个用户，如C/S结构中可以找到的功能(3)作为信息系统本身的一部分，如可信进程(如OS的进程)最初始的主体一定是人类用户第二章安全控制原理2.1可信计算基的结构与评测准则2.1.1可信计算基的结构12/109(2)被动实体，称为客体object，指信息的载体或从其他主体或客体接收信息的实体。是发出或接收信息的容器(介质)客体不受它所依存的系统的限制可以包括记录、数据块、存储页、存储段、文件、目录、目录树、库表、邮箱、消息、程序等还可以包括位、字节、字、字段、变量、处理器、通信信道、时钟、网络节点等最终的客体一定是记录介质上的信息(数据)受控的主体或子进程也是一种客体操作系统中的进程(包括用户进程和系统进程)有着双重身份，既用户的客体，又是访问对象的主体第二章安全控制原理2.1可信计算基的结构与评测准则2.1.1可信计算基的结构13/109实体的权限与授权权限：是指与计算机上或网络上的对象(文件或文件夹)关联的规则，权限确定是否可以访问某个对象以及可以对它执行哪些操作授权：是对主体赋予以上这种能力用户进程的权限：是固定为某一用户服务的，其权限应与所代表的用户相同系统进程的权限：是动态的为所有用户提供服务的，因而它的权限是随着服务对象的变换而变化的，需要将用户权限与为其服务的进程权限动态相关联第二章安全控制原理2.1可信计算基的结构与评测准则2.1.1可信计算基的结构14/109TCB中用于数据保护的安全功能策略SFP有3种：访问控制SFP其实现机制基于控制范围内的主体、客体和操作的属性做出策略决定的。这些属性被用于一组规则中，以便控制各主体对客体的操作。主体、客体和访问控制规则为三要素信息流控制SFP信息流是主体对客体操作而引起的信息在客体间的流动，信息流控制要控制信息的流向等方面的问题其实现机制是基于控制范围内的主体和信息的属性，并支配主体对信息操作的一组规则作出策略决策的信息的属性与信息相随，它可能与存储介质的属性相关联主体、信息属性、支配主体对信息操作的规则(三要素)第二章安全控制原理2.1可信计算基的结构与评测准则2.1.1可信计算基的结构15/109推理控制SFP是指客体信息内容之间推理通道的控制，防止信息泄漏与信息内容之间的逻辑关系有关，主要用在数据库领域因此，信息系统的安全控制就主要分为三种：访问控制：针对存储在信息容器中的静态信息信息流控制：针对在信道中的动态信息推理控制：针对信息内容，信息之间的逻辑关系主体对客体的访问操作至少包含如下几种：读：允许信息从被读的客体中流向读它的主体写：允许信息从写主体流向被写的客体执行：运行程序或文件控制：一个主体用来授予或撤销另一主体的对某一客体的访问权限的能力第二章安全控制原理2.1可信计算基的结构与评测准则2.1.1可信计算基的结构16/109对TCB的测评可以评估TCB的强度，目前最为典型的测评标准就是六国七方制定的通用准则标准CC(CommonCriteria)

ISO/IEC15408-1999GB/T18336-2001《信息技术安全技术信息技术安全性评估准则》桔皮书（TCSEC）1985英国安全标准1989德国标准法国标准加拿大标准1993(CTCPEC)联邦标准草案1993ITSEC1991通用标准CCV1.01996V2.01998V2.119992.1.2TCB的国际测评标准CC第二章安全控制原理2.1可信计算基的结构与评测准则17/109CC定义了作为评估信息技术产品和系统安全性的基础准则，提出了目前国际上公认的表述信息技术安全性的结构CC源于TCSEC（TCSEC针对操作系统安全的安全功能单元进行评估）并改进了TCSEC，考虑了与信息技术安全性有关的所有因素它把安全要求分为规范产品和系统安全行为的安全功能要求以及如何正确有效的实施这些功能的安全保证要求CC的另一个核心思想是安全工程的思想，即通过对信息安全产品的开发、评价、使用全过程的各个环节实施安全工程来确保产品的安全性。评估对象（TargetofEvaluation简称TOE）：作为评估主体的IT产品及系统以及相关的管理员和用户指南文档CC的评估结果受到技术水平的限制，比如漏洞检测能力等2.1.2TCB的国际测评标准CC第二章安全控制原理2.1可信计算基的结构与评测准则18/109CC的特点通用性：即给出通用表达式；用户、TOE开发者、评估者、认可者等目标读者，都使用CC语言，则相互之间更容易理解沟通具有内在的完备性和实用性：见PP和ST的介绍CC明确指出不在其范围的内容行政管理的安全措施；信息技术安全性的物理方面；密码算法的质量CC评估的效益CC评估过程对最初需求、开发过程、最终产品以及操作环境将产生强烈的积极影响评估过程能发现开发者可以纠正的TOE错误或弱点，从而减少将来操作中安全失效的可能性另一方面为了通过严格的评估，开发者在TOE设计和开发时也将更加细心2.1.2TCB的国际测评标准CC第二章安全控制原理2.1可信计算基的结构与评测准则19/109CC分为三个部分：简介和一般模型、安全功能要求、安全保证要求CC的第一部分：“简介和一般模型”包括CC有关的术语、基本概念和一般模型以及与评估有关的一些框架；描述CC的每一部分对每一目标读者的用途；附录部分主要介绍保护轮廓(PP)和安全目标(ST)的基本内容PP是对某一类产品的安全保护说明，比如防火墙ST是在PP的基础上，通过将安全要求进一步针对性具体化，解决了这些要求的具体实现。比如面向安卓智能手机的防火墙2.1.2TCB的国际测评标准CC第二章安全控制原理2.1可信计算基的结构与评测准则20/109保护轮廓（ProtectProfile简称PP）:满足特定用户需求、与一类TOE的实现无关的一组安全要求。PP是抽象层次较高的安全要求说明书，CC对它的格式有明确的规定它可以使用CC中定义好的组件或由这些组件构成的组件包，同时，也可以使用自行定义的要求组件。在安全产品的开发过程中，PP通常是在ST的定义中引用。它应包括一个评估保证级别（EAL）2.1.2TCB的国际测评标准CC第二章安全控制原理2.1可信计算基的结构与评测准则21/109保护轮廓(ProtectionProfile)主要用于表达一类产品或系统的用户需求，主要内容：对该类产品或系统的界定性描述，即确定需要保护的对象（PP引言和TOE描述）确定TOE安全环境，即指明安全问题－需要保护的资产、已知的威胁、用户的组织的安全策略产品或系统的安全目的，即对安全问题的响应对策－－技术性和非技术性的措施信息技术(IT)安全要求，包括功能要求、保证要求和环境安全要求，这些要求通过满足安全目的，进一步提出具体在技术上如何解决安全问题基本原理，指明安全要求对安全目的、安全目的对安全环境是充分的且必要的以及附加的补充说明信息（PP应用注解）

保护轮廓PP描述结构2.1.2TCB的国际测评标准CC第二章安全控制原理2.1可信计算基的结构与评测准则22/109安全目标（SecurityTarget简称ST）：作为指定的TOE评估基础的一组安全要求和规范。在保护轮廓的基础上，通过将安全要求进一步针对性具体化，解决了要求的具体实现。常见的实用方案就可以当成“安全目标”对待。ST是一份安全要求与概要设计说明书，是进行CC评估的重要基础，CC对它的格式有明确的规定。ST的安全要求定义与PP非常相似，不同的是ST的安全要求是为了某一特定安全产品而定义的。ST包括一系列安全要求，可以通过引用一个（或多个）PP来定义，直接引用CC中的功能或保证组件，或明确说明，也可以采用与定义PP相同的方法从头定义。一个ST包含TOE的概要规范，安全要求和目的，以及它们的基本原理ST是所有团体间就TOE应提供什么样的安全性达成一致的基础

安全目标描述结构2.1.2TCB的国际测评标准CC第二章安全控制原理2.1可信计算基的结构与评测准则23/109CC的第二部分：“安全功能要求”提供了表示TOE安全功能要求的标准方法对满足安全需求的诸安全功能提出了详细的要求，包含良好定义的且较易理解的安全功能要求目录，它将作为一个表示IT产品和系统安全要求的标准方式。该部分按“类—族—组件”的方式提出安全功能要求。共列出了11个类、66个族(子类)和135个安全功能组件另外，如果有超出第二部分的安全功能要求，开发者可以根据“类-族-组件-元素”的描述结构表达其安全要求，并附加在其ST中2.1.2TCB的国际测评标准CC第二章安全控制原理2.1可信计算基的结构与评测准则24/109CC的11个安全功能类：安全审计类FAU通信类FCO(主要指身份真实性和抗抵赖)密码支持类FCS用户数据保护类FDP标识与鉴别类FIA安全管理类(与TSF有关的管理)FMT隐秘类(保护用户隐私)FPR前7类安全功能是提供给信息系统使用的后4类安全功能是为确保安全功能模块(TSF)的自身安全而设置的，可以看成是对安全功能模块自身安全性的保证。TSF保护类(TOE自身安全保护)FPT资源利用类(从资源管理角度确保TSF安全)FAUTOE访问类(从对TOE的访问控制确保安全性)FTA可信路径/信道类FTP2.1.2TCB的国际测评标准CC第二章安全控制原理2.1可信计算基的结构与评测准则25/109CC的第三部分：安全保证要求也称安全保障(assurance)要求，它包括:(1)用以衡量保证级别的评估保证级别(EvaluationAssuranceLevels：

EAL)，包含了7个递增的评估保证级。EAL1：功能测试；EAL2：结构测试；EAL3：系统的测试和检查；EAL4：系统的设计、测试和复查；EAL5：半形式化设计和测试；EAL6：半形式化验证的设计和测试；EAL7：形式化验证的设计和测试。2.1.2TCB的国际测评标准CC第二章安全控制原理2.1可信计算基的结构与评测准则26/109(2)用以组成保证级别的每个保证组件(3)以及PP和ST的评估准则包含建立保证组件所用到的一个目录，它可被作为表示IT产品和系统保证要求的标准方式CC第三部分也被组织为与第二部分同样的“类—族—组件”结构。所谓“保证”就是对实现系统安全功能的保障，安全保障是对安全功能实现的措施安全功能是信息系统或IT产品应该实现的安全策略和安全机制安全保证是通过一定的方法保证信息系统或IT产品的安全功能得到确实的要求2.1.2TCB的国际测评标准CC第二章安全控制原理2.1可信计算基的结构与评测准则27/109CC的第三部分是评估方法部分，提出了PP、ST、TOE三种评估，共包括10个类，但其中的APE类(PP评估)与ASE类(ST评估)分别介绍了PP与ST的描述结构及评估准则;维护类AMA提出了保证评估过的受测系统或产品运行于所获得的安全级别上的要求只有七个安全保证类是TOE的评估类别ACM类：配置管理ADO类：分发与操作ADV类：开发AGD类：指导性文档ALC类：生命周期支持ATE类：测试AVA类：脆弱性评定2.1.2TCB的国际测评标准CC第二章安全控制原理2.1可信计算基的结构与评测准则28/1092.1.3我国的TCB测评标准(1)《计算机信息系统安全等级划分准则》GB17859-1999参考TCSEC编制的(2)《信息技术安全技术信息技术安全性评估准则》GB/T18336-2001我国的CC,几乎等同于ISO/IEC15408－1999，但对安全功能和安全保证技术的组件的看法不同目前使用的是GB/T18336-2008第二章安全控制原理2.1可信计算基的结构与评测准则29/1092.2访问控制访问控制是指防止或者限制未经过授权而对任何客体进行的访问。(控制主体对客体的存取)未授权访问包括未经授权的使用、泄漏、修改、销毁以及颁发指令等。访问控制直接支持机密性、完整性、可用性及合法使用的客体主体、客体和访问规则构成访问控制的三要素访问控制的目标是对抗涉及信息系统非授权操作的威胁该目标在ISO/IEC10181-3(开放系统互联，开放系统的安全框架:“访问控制框架”)部分进行了描述它决定了开放系统环境中允许/限制/禁止使用哪些客体，并如何阻止未授权访问的问题。在访问控制中，访问可以对一个系统(即对一个系统通信部分的一个实体)或在一个系统内部进行第二章安全控制原理2.2访问控制30/109访问控制是信息系统安全控制的主要内容，包括3个任务(1)确定存取权限(读、写、执行、删除、追加等存取方式的组合)，(即有哪些种类的存取操作被允许)(2)实施存取权限(授权)(3)控制外界对系统存取(对访问的控制)访问控制主要涉及如下四类情况对数据、不同进程或其他计算资源进行处理(可以是人类行为或其他进程)的访问控制一个安全区域内或者多个安全区域之间的访问控制根据上下文(与环境参数有关)进行的访问控制对访问过程中的授权变化作出反应的访问控制2.2访问控制第二章安全控制原理2.2访问控制31/1091)访问控制的一般模型如图所示，该模型表示主体试图访问一些客体在访问控制机制中，通常由发起者提出访问目标的请求，系统根据决策规则由实施功能对访问请求进行分析、处理，在授权的范围内，允许发起者对目标进行有限的访问访问请求是指读、写、执行、控制等操作请求2.2.1访问控制的一般原理第二章安全控制原理2.2访问控制32/109模型中包含一个实施功能模块和决策功能模块实施功能模块执行访问控制机制决策功能模块表示一组访问控制规则和策略决策功能控制着主体的访问许可限制其在何种条件下，为了什么目的，可以访问哪些客体这些决策以某一访问控制策略的形式反映出来两种功能模块分别可由一个或多个访问控制组件构成访问控制实施功能配置在每个主体－客体实例之间，以便主体通过访问控制实施功能作用于客体访问决策功能组件可以配置在访问控制实施功能组件中访问控制实施功能组件可使用一个或多个访问决策功能组件2.2.1访问控制的一般原理第二章安全控制原理2.2访问控制33/109访问控制组件的分布主要有以下几种：①客体上使用访问控制组件由在客体端部署的访问控制来检查访问请求是否被允许②在本地对主体使用访问控制组件在主体端部署的访问控制机制对主体访问安全区域进行控制，比如是否能够访问外网，而不管访问的客体是什么③在主体和客体之间对访问使用访问控制组件。访问控制实施功能插在主体和客体之间。插入访问控制实施功能可强加访问控制策略。这些访问控制策略可以独立于主体和客体安全区域访问控制策略④跨多个安全区域的访问组件分布安全区域之间可以建立某种联系，使得一个安全区域的资源可被另外的安全区域所访问2.2.1访问控制的一般原理第二章安全控制原理2.2访问控制34/1092）粒度与容度粒度是指：访问控制策略可在不同级别上定义客体例如，可以对数据库服务器的访问控制作为整体进行控制，也就是说，要么完全拒绝主体访问，要么允许它访问服务器上的任何东西另一种策略是，可以将访问控制细分到个人文件、文件中的记录，甚至记录中的数据条目。容度用来控制对客体组的访问只有能对一个包含客体的客体组进行访问时，才允许对客体组内的这些客体进行访问容度也用在大群组里包含的主体的子群组。通常情况下，容度概念用在互相关联的客体中例如，要访问数据库记录中的数据条目，首先必须要有访问该数据库的权力，2.2.1访问控制的一般原理第二章安全控制原理2.2访问控制35/1093）访问控制类型从不同角度出发，访问控制可以有不同的分类方法1)阻止非授权用户访问客体在该类型下，访问控制可以分为过滤和分离两种类型。过滤是通过检查主体是否被准予请求的方式访问客体，访问请求可以到达客体，但是否被过滤由主体的访问权限来确定。分离是防止此授权用户有机会去访问敏感的客体。路由控制可以看成一种通信访问控制的格式，它是一个支撑分离的访问控制机制。比如隔离机制2)自主式策略和强制式策略自主式策略就是由客体的属主自主决定将该客体的相应的访问权限转授给其它主体的访问控制策略。强制式策略被最终的权威机构采用和执行，无法绕过，它基于能自动实施的规则2.2.1访问控制的一般原理第二章安全控制原理2.2访问控制36/1092.2.2基本访问控制模型主要按照访问控制决策功能模块实现的不同来分类基本访问控制模型有访问控制矩阵(ACM)访问目录表(针对主体建立)访问控制表ACL(针对客体建立)高级的访问控制模型能力机制(更细粒度的访问控制，制定对客体操作的某一权力)面向过程的访问控制(设立保护层，对客体的访问必须经过专门的代理)第二章安全控制原理2.2访问控制37/1091.访问控制矩阵ACM访问控制矩阵(accesscontrolmatix，ACM)模型的基本思想就是将所有的访问控制信息存储在一个矩阵中集中管理。当前的访问控制模型一般都是在它的基础上建立起来的。访问控制矩阵中，行代表主体，列代表客体，每个矩阵元素说明每个用户的访问权限。如表3.1，O属主，R只读，W只写，X执行访问控制矩阵ACM是稀疏的，空间浪费较大，在操作系统中使用不多。适用于主体集合和客体集合之间每个主体对应50%以上客体的情况；在数据库管理系统中较常见FILE1FILE2FILE3FILE4USER-AORWOXRUSER-BREUSER-CRWORWRWUSER-DXO2.2.2基本访问控制模型第二章安全控制原理2.2访问控制38/1092.访问目录表实际上是按访问控制矩阵的行实施对系统中客体的访问控制在系统中把用户分为系统管理员、文件主(拥有者)和一般用户系统管理员具有最高的权限。他可以为用户分配或撤销文件的访问权，也有权把自己文件的访问权分配给其他用户或将其收回访问目录表示例本列说明每一个文件有哪些用户可以访问通常为每个用户建立一张访问目录表，其中存放有权访问的文件名及其访问权限(如图)2.2.2基本访问控制模型第二章安全控制原理2.2访问控制39/109访问目录机制容易实现，但存在三个问题需要解决(1)共享客体的控制共享客体会存入每个用户的目录表中，如果共享的客体太多(如子程序库)，用户的目录表将会很长，增加了处理时间(2)访问权的收回问题。若允许信任关系传递，客体的访问权会被多次转授，最初的用户希望收回所有用户对该客体的访问权时，必须搜索所有用户的目录表，如果系统中用户数量较大，将要花费很多时间(3)多重许可权问题。文件重名问题可引起此问题乙用户将甲用户转给他的A文件改名存储后忘记了，过了一段时间又向甲用户申请A文件的访问权，甲可能对乙更加信任，就把A文件更高的访问权授予乙，于是造成乙用户对甲的A文件有多重访问权的问题2.2.2基本访问控制模型第二章安全控制原理2.2访问控制40/1093.访问控制表ACL按ACM矩阵的列实施对系统中客体的访问控制访问目录表和访问控制表分别将访问控制设施设置在用户端和客体端，这两种控制方式需要管理的表项的总数量是相同的，它们的差别在于管理共享客体的方法上，访问控制表技术易于实现对共享客体的管理。2.2.2基本访问控制模型第二章安全控制原理2.2访问控制41/109每个客体都有一张ACL，用于说明可以访问该客体的主体及其访问权限。对某个共享客体，操作系统只要维护一张ACL即可。ACL对于大多数用户都可以拥有的某种访问权限，可以采用默认方式表示(通配符)，ACL中只存放各用户的特殊访问要求。这样对于那些被大多数用户共享地程序或文件等客体就用不着在每个用户的目录中都保留一项如“*E”就表示任何客体都可以执行该客体2.2.2基本访问控制模型第二章安全控制原理2.2访问控制42/1094.能力机制实际有这样的需求：主体不仅应该能够创立新的客体，而且还应该能制定对这些客体的操作权限，即客体权限的动态变化比如主体对客体的访问权限因不同的上下文环境而不同由Dennis和VanHorn提出的能力机制是可以满足这些要求的更高的访问控制机制能力的最基本形式是对一个客体的访问权力的索引他的基本内容是每一个”客体-权力”对被认为是一个单独的实体。如果一个主体拥有这个”客体-权力”对，就说这个主体拥有访问该客体某项权力的能力。能力机制需要结合访问控制表(或ACM)技术实现，OS将根据访问控制表来为主体创建能力，能力应存储在用户程序访问不到的区域。2.2.2基本访问控制模型第二章安全控制原理2.2访问控制43/109主体具有的能力是一种权证，类似“入场券”，是在用户向系统登陆时，由操作系统赋予的一种权限标记，它不可伪造，用户凭借该标记对客体进行许可的访问。能力机制的显著优点是更容易提供给主体对客体的多重访问权限，因为主体可以有不同的能力，而这些能力可以对某个客体有不同的访问权限，这样就容易实现一个主体在不同的进程中对一个客体不同的访问能力。不过，虽然能够直接判断一个主体是否拥有某种能力，但不能直接得到主体、客体间的关系，这样不断追加能力后，再对其进行修改就变得比较困难。2.2.2基本访问控制模型第二章安全控制原理2.2访问控制44/1095.面向过程的访问控制是指在主体访问客体的过程中对主体的访问操作进行监视与限制。例如只有“读”权的主体，就要控制它不能对客体进行修改不仅要控制主体是否有“读”的权限，还要控制怎么“读”操作要实现面向过程的访问控制就要建立一个对客体访问进行控制的过程，该过程能够自己进行用户认证，以此加强OS的基本认证能力该访问控制过程实际上是为被保护的客体建立一个保护层，它对外提供一个可信赖的接口，所有对客体的访问都必须通过这个接口才能完成例如，操作系统中用户的帐户信息(其中包含用户口令)是系统安全的核心文档，对该客体既不允许用户访问，也不允许一般的操作系统进程访问，只允许对用户帐户表进行增加、删除、与核查三个进程对这个敏感性的客体访问。这三个进程就是保护层，在控制面板中2.2.2基本访问控制模型第二章安全控制原理2.2访问控制45/109访问控制矩阵、访问目录表、访问控制表、能力机制和面向过程的控制等五种访问控制机制的实现复杂性是逐步递增的实现能力机制需要对每次访问进行检查而访问目录表方式实现比较容易，它只需要在主体对客体第一次访问时进行检查。实现复杂的保护方式提高了系统的安全性，但降低了系统的响应速度，安全和效率之间需要平衡2.2.2基本访问控制模型第二章安全控制原理2.2访问控制46/109下面介绍和分析几种被广泛接受的主流访问控制技术(包括权限管理、策略模型等等)，包括自主访问控制DAC强制访问控制MAC基于角色的访问控制RBAC2.2.2基本访问控制模型第二章安全控制原理2.2访问控制47/1092.2.3自主访问控制技术自主访问控制机制DAC是目前使用最普遍的访问控制机制。是自主访问控制策略的实施方法。定义：由客体的属主对自己的客体进行管理。由属主自己决定是否将自己客体的访问权和部分访问权授予其他主体，这种可能告知方式是自主的，称为自主访问控制(discretionaryaccess，DAC)在自主访问控制下，一个用户可以自主选择哪些用户可以共享它的文件。第二章安全控制原理2.2访问控制48/109访问控制矩阵是实现DAC策略的基本数据结构基于行的访问控制（访问目录表）由于存在着多方面的缺点，很少使用基于列的访问控制机制有两种实现方式：保护位方式和访问控制表方式，分述如下：1.保护位机制保护位(protectionbit)对所有主体、主体组以及该客体的拥有者指定了一个访问权限的集合第二章安全控制原理2.2访问控制2.2.3

自主访问控制技术49/109UNIX利用了这种保护位机制。如某个文件，指定其访问权限的集合为只读和执行，则所有主体、主体组以及该客体的拥有者只能进行只读和执行的操作，除非拥有者改变其权限当然实际上UNIX系统的保护位要比以上稍微细致一些，文件权限有三位组成，1位读，2位写，3位执行，构成的数字有三部分第1部分属主的权限，第2部分同组人权限，第3部分其它人权限。如属主可读写执行，同组人读执行，其它人读则是754由于保护位的长度有限，用这种机制完全表示访问矩阵实际上是不可能的。一般很少用2.2.3自主访问控制技术第二章安全控制原理2.2访问控制50/1092.访问控制表机制在访问控制机制中每个客体附带了访问矩阵中可访问它自己的所有主体的访问权限信息表(即ACL表)。该表中的每一项包括主体的身份和对该客体的访问权。主体与客体数量非常多时，ACL表将变得很长占用存储空间，降低性能id1RW表示id1对客体i具有读R和写W的权限如果利用组或通配符的概念，可以使ACL表缩短。各种访问控制技术中，ACL是实现批策略的最好方法2.2.3自主访问控制技术第二章安全控制原理2.2访问控制51/109图3.4是采用通配符和主体组概念的ACL表结构示意图从该表可以看出属于它Math组的所有成员对客体FILE1都具有读与执行权；只有Liwen个人对FILE1有读、写与执行的访问权限。任何组的用户Zhang对FILE1有读访问权除此之外，对于其他任何组的任何主体对FILE1都没有任何访问权限。从这个例子可看出，利用分组与通配符的方法确实显著地减少了表的空间，而且也满足了访问控制地需要2.2.3自主访问控制技术第二章安全控制原理2.2访问控制52/1093.访问许可权与访问操作权在DAC策略下，访问许可(accesspermission)权和访问操作权是两个有区别的概念。访问操作表示有权对客体进行一些具体操作，如读、写、执行等访问许可则表示可以改变访问权限的能力或把这种能力转授给其他主体的能力。如改变该客体的ACL表及这种权力的转授。简而言之，许可权是主体对客体(也可以是另一主体)的一种控制能力，访问权限则是指对客体的操作。在一个系统中不仅主体对客体有控制关系，主体与主体之间也有控制关系，这就涉及许可权限的管理问题。这个问题很重要，因为它与ACL表的修改问题有关。2.2.3自主访问控制技术第二章安全控制原理2.2访问控制53/109DAC机制的缺点1.允许用户自主地将自己客体访问操作权转授给其他主体，多次转授后，可能因转授给了不可信实体而导致客体信息泄漏2.无法抵御木马攻击。用户可以任意运行程序来修改自己文件的访问控制信息，系统无法区分修改来自用户还是木马3.无法防止木马利用共享客体或隐蔽信道把信息从一个进程传送给另一个进程4.用户无意或不负责任的操作而造成敏感信息的泄漏DAC不适合高安全性系统，而强制访问控制机制MAC(mandatoryaccesscontrol)可以有效解决以上问题2.2.3自主访问控制技术第二章安全控制原理2.2访问控制54/1092.2.4强制访问控制技术1.MAC机制的实现方法(1)访问控制策略要符合MAC的原则对客体访问权的修改和对该访问权的控制权的转授交给系统权利最高和最受信任的安全管理员。系统安全管理员修改、授予或撤销主体对某客体的访问权的管理要受到严格审核与监控(2)对主体和客体进行安全标记系统中每一主体和客体必须分配一个安全属性，包括敏感等级和访问权限必须采取固定措施使安全标记不可随意修改设置必要的不可更改的访问限制规则(3)创建客体要受到严格控制可以阻止某个进程通过创建共享文件的方式向其它进程传递信息第二章安全控制原理2.2访问控制55/109MAC的适用场景主要针对专用和军用系统及网络TCSEC中从B1级开始考虑MAC，B2级要求更为严格，也是军用要求的最低级通用系统一般以DAC为主，适当增加MAC如：UNIX、Linux、Win2000等2.2.4强制访问控制技术第二章安全控制原理2.2访问控制56/1092.支持MAC的措施除了部署MAC机制，还需要管理控制措施支持防止恶意程序(木马等)通过窃取访问权或隐蔽信道获取敏感信息(1)防止恶意程序从外部进入系统尽量避免USB、CD、网络下载download、或安装不干净软件严防缓冲区溢出漏洞(红色代码：利用微软的IIS4.0或5.0存在的缓冲区漏洞装入木马)谨慎或不使用远程登陆加强多方位的管理，即使采用正版软件也不一定可靠2.2.4强制访问控制技术第二章安全控制原理2.2访问控制57/109(2)消除利用系统自身的支持而产生木马的可能性即使在MAC下，合法用户也可以利用自己的权限在系统编程工具的支持下编写木马去掉编程工具，命令处理器等防止木马通过网络接口从另一个有编程能力计算机系统装入本机系统对于商用的通用系统没有太好办法对于专用计算机系统则可实现，(不需要用户开发，军队指挥网络、银行事务处理系统等)，物理隔离2.2.4强制访问控制技术第二章安全控制原理2.2访问控制58/1092.2.5基于角色的访问控制技术Internet的广泛应用使网上信息的完整性要求超过了机密性要求，而DAC难以提供这方面支持。1992年，DavidFerraiolo和RickKuhn提出基于角色的访问控制模型框架RBAC(role-basedaccesscontrol)1.RBAC的基本概念在商业部门中，终端用户不拥有所能访问的信息，这些信息由公司所有。此时访问控制应该基于职员的职务而不是基于信息的拥有者即访问控制是由各个用户在部门中所担任的角色来确定的。例如：员工、经理、财务、网管、老板…RBAC的优点是简化了各种环境下的授权管理基本元素包括用户、角色和权限。所谓角色是指一个或一群用户在组织内可执行的操作的集合，是主客体之间的桥梁第二章安全控制原理2.2访问控制59/109RBAC的原理核心思想：将访问权限分配给角色，系统的用户担任一定的角色与用户相比角色是相对稳定的，对角色授权2.2.5基于角色的访问控制技术第二章安全控制原理2.2访问控制60/109角色由系统管理员定义只有系统管理员有权定义和分配角色一个人可以在同一部门中担任多种职务，担任相同职务的也可以不止一人用户、角色、操作与客体之间关系2.2.5基于角色的访问控制技术第二章安全控制原理2.2访问控制61/1092.RBAC96模型RaviSandhu等人于1996年提出了著名的RBAC96模型该模型是一个模型簇，包括四个子模型RBAC0，RBAC1，RBAC2，RBAC3RBAC0是基本模型，描述任何支持RBAC的系统的最小要求，包含四个基本要素：用户、角色、会话和访问权限用户在一次会话中激活所属角色的一个子集，获得一组访问权限，即可对相关客体执行规定的操作任何非显式授予的权限都是绝对禁止的2.2.5基于角色的访问控制技术第二章安全控制原理2.2访问控制62/109RBAC1是对RBAC0的扩充，增加了角色等级的概念实际组织中职权重叠现象客观存在通过角色等级，上级角色继承下级角色的访问权限，再被授予自身特有的权限构成该角色的全部权限，方便权限管理如销售部经理有销售部职员的访问权限，同时还具有普通职员不具备的权限，如制定销售计划等。2.2.5基于角色的访问控制技术第二章安全控制原理2.2访问控制63/109RBAC2也是对RBAC0的扩充，但与RBAC1不同，RBAC2加进了约束的概念职责分离机制，如在一个组织中，会计和出纳不能由同一个人担当。RBAC2的约束规则主要有以下内容最小权限。用户被分配的权限不能超过完成其职责所需的最小权限，否则会导致权力滥用互斥角色。一个用户最多只能属于一组互斥角色中的某一个，否则破坏职责分离权限分配也同样有互斥约束，同一权限只能授予其中之一2.2.5基于角色的访问控制技术第二章安全控制原理2.2访问控制64/109基数约束与角色容量基数约束是指：分配给一个用户的角色数目以及一个角色拥有的权限数目作为安全策略加以限制角色容量是指：一个角色对应的用户数，它也有限制，如总经理只能由一人担当先决条件一个用户要获得某个角色必须具备某些条件如总会计必须是会计一个用户必须先拥有某一权限才能获得另一权限，如文件系统中先有读目录的权限，才能有写文件的权限2.2.5基于角色的访问控制技术第二章安全控制原理2.2访问控制65/109RBAC3是RBAC1和RBAC2的结合将角色等级和约束结合起来就产生了等级结构上的约束等级间的基数约束。给定角色的父角色(直接上级)或子角色(直接下级)的数量限制等级角色的互斥。两个给定角色是否可以有共同的上级角色或下级角色。特别是两个互斥角色是否可以有共同的上级角色，如一个项目小组中程序员和测试员是互斥角色，那么项目主管角色如何解释(它是程序员和测试员的上级)第二章安全控制原理2.2访问控制66/1093.RBAC97模型(AdministrationRBACmodel)RBAC96中只有一个系统管理员SO进行系统安全策略和管理而大系统中，用户和角色众多，通常制定一组SO：如首席安全员CSO、系统级安全员SSO、部门级安全员DSO等，因此提出了RBAC96的管理模型RBAC97(1)用户－角色分配管理。描述管理角色如何实施常规角色的用户成员分配与撤销问题。(2)权限－角色分配管理。讨论常规角色访问权限的分配与撤销问题(3)角色－角色分配管理。讨论常规角色的角色成员分配规则以及构成角色等级的问题2.2.5基于角色的访问控制技术第二章安全控制原理2.2访问控制67/1094.NISTRNBAC建议标准2001年8月NIST发表了RBAC建议标准，包括两个部分：RBAC参考模型和功能规范参考模型定义了RBAC的通用术语和模型构件，界定了标准所讨论的RBAC领域范围。功能规范定义了RBAC的管理操作。RBAC参考模型和功能规范,均包括四个部分(1)基本RBAC(coreRBAC)包括任何RBAC系统都应具有的要素，如用户、角色、权限、会话等，基本思想是通过角色建立用户和访问权限的多对多关系，用户由此获得访问权限(2)等级RBAC(hierarchicalRBAC).在基本RBAC上增加对角色等级的支持。角色等级是一个严格意义上的半序关系，上级角色继承下级角色的权限，下级角色获得上级角色的用户。2.2.5基于角色的访问控制技术第二章安全控制原理2.2访问控制68/109(3)静态职责分离(staticseparationofduties,SSD).用于解决角色系统中潜在的利益冲突，利益冲突源于用户被授予相互冲突的角色发生互斥，角色只取其一(4)动态职责分离(dynamcseparationofduties,DSD)。限制可提供给用户的访问权限，实现机制不同，DSD在用户会话中对可激活的当前角色进行限制。用户可被授予多个角色，包括有冲突的角色，但它们不能在同一个会话中被激活。允许存在互斥，但不能在同一个会话中同时被激活(3)和(4)实际上是约束的概念2.2.5基于角色的访问控制技术第二章安全控制原理2.2访问控制69/1095.RBAC的特点(1)以角色作为访问控制的主体(2)角色继承。很自然的把角色组织起来，能够反映组织内部人员之间的职权、责任关系(3)最小特权原则(leastprivilegetheorem).最小特权原则是系统安全中最基本的原则之一。是指“在完成某种操作时赋予网络中每个主体(用户或进程)的必不可少的特权”，也可以限制拥有最高角色的主体按需运用，避免无意错误或入侵伪造2.2.5基于角色的访问控制技术第二章安全控制原理2.2访问控制70/109(4)职责分离(主体与角色分离)，对于某些特定的操作集，某个角色或用户不可能同时独立完成所有这些操作。可以有静态和动态两种方式静态职责分离：只有当一个角色与用户所属的其他角色彼此不互斥时，这个角色才能授权给该用户动态职责分离：只有当一个角色与一个主体的任何一个当前活跃角色都不互斥时，该角色才能成为该主体的另一个活跃角色(5)角色容量。在创建新角色时，要制定角色的容量。在一个特定的时间段内，有一些角色只能由一定人数的用户占用2.2.5基于角色的访问控制技术第二章安全控制原理2.2访问控制71/109RBAC的优点：便于授权管理;便于根据工作需要分级便于赋予最小特权;便于任务分担便于分级管理;便于大规模实现RBAC灵活的表达和实现了企业的安全策略，使权限管理可以在企业的组织视图这个较高的抽象集上进行简化了权限设置的管理，很好的解决了企业管理信息系统中用户数量多、变更频繁的问题RBAC灵活性、方便性和安全性的特点，广泛应用于大型数据库系统的权限管理，但仍处于发展阶段，有待进一步提高对复杂环境的管理问题2.2.5基于角色的访问控制技术第二章安全控制原理2.2访问控制72/1092.3.1信息流的一般概述信息流是由主体发起的对客体进行操作而产生的主体对客体的操作会改变客体的状态，进而产生了信息的流动一般而言可执行语句都会产生信息的流动，并改变系统的状态，如交换两个内存单元的数据主体、信息(客体)、引起受控信息流入、流出策略覆盖的受控主体的操作称为信息流控制的三要素在信息系统中引起信息的流动的方式可分为两类：请求访问方式客户作为主体向服务器发出访问请求，由服务器进程代替客户进程实现对指定数据的访问操作,包括：读、写、运算处理、或它们的组合信息交换方式主要出现在以网络连接的各个计算机节点之间的数据交换。首先建立连接，经确认身份后可进行数据交换第二章安全控制原理2.3信息流控制73/109信息的流动区域：本机：如从外存储器调入到内存网络：本地网络(局域网中的客户端访问服务器)、远程网络(Internet邮件)从CC观点看信息的流动可归结为三种：信息在信息系统内部(评估对象TOE的内部)流动从信息系统外部流向内部，可理解为向系统“写”从内部流向外部，可认为是从信息系统中“读”只要信宿客体确实知道了信源客体中的某些信息，就说明有信息流存在2.3.1信息流的一般概述第二章安全控制原理2.3信息流控制74/109信息流可能表现为两种方式：显式流：是指生成这个流操作不依赖于变量的值如赋值语句、I/O语句显式流有两种形式：直接信息流，如赋值，信源客体y中的数据直接流向信宿客体x；间接信息流，信息流通过了一个中间的变元。如"z:=x;y:=z”隐式流：是指操作要依赖于变量的值如条件语句y:=1；Ifx=0theny=0结果无论then是否执行都有x=y2.3.1信息流的一般概述第二章安全控制原理2.3信息流控制75/1092.信息流的信道信息沿着三种信道流动(1)正规信道legitimatechannels：是指通过设计者制定的信息传送渠道在程序或进程间传送信息该类信道的安全防护最简单(2)存储信道storagechannels：是指由多个进程或程序共享的客体，如通过共享文件或程序中的全局变量传递信息防护困难，每一客体(文件、变元和状态比特)都需要保护(3)隐蔽信道covertchannels：是指不被设计者或用户所知道的泄漏系统内部信息的信道，例如通过观察某个进程的操作规律，判断这个进程在干什么唯一技术解决办法是要求作业事先说明它们的资源，所求的资源都交给作业控制，即使作业未完，系统也必须精确地在制定时间内把这些资源收回完全封闭该信道是不可能的2.3.1信息流的一般概述第二章安全控制原理2.3信息流控制76/1092.3.2信息流的控制机制1.系统的信息安全性状态系统中的信息可以按照相应的安全属性(机密性、完整性等)的敏感程度将其分成不同的安全等级，同一安全等级的信息称为一个安全类SC(securityclass)系统的信息安全性状态是由系统中每一个客体的值和安全类描述的，简称安全状态。客体x的安全类可表示为SC(x)对于固定类的客体，在x的生命期中，SC(x)都是常数，称为x的静态约束对于可变类的客体，SC(xs)依赖于xs，称为x的动态约束第二章安全控制原理2.3信息流控制77/1092.信息流控制策略信息流控制策略与对所要保护的信息流的安全属性密切相关从对信息流的机密保护出发，对于给定客体x和y，要保证此信息流安全的条件是：信息从x流到y是授权的，当且仅当SC(x)SC(y)，即信息流不能流向低安全级处从完整性角度考虑，则应该是相反的策略，要保证信息流的完整性的条件是：信息从x流到y是授权的，当且仅当SC(x)SC(y)，即信息流不能流向高处2.3.2信息流的控制机制第二章安全控制原理2.3信息流控制78/1093.信息流控制机制信息流控制机制是指对信息流安全控制的实现方法与技术。有两种设计和实施方法：一是在编译时刻就对程序安全性进行检查与验证的机制二是把对信息流的安全性的验证与检查放到执行时刻进行利用程序正确性证明技术去验证程序的安全性，这种方法可以给出一个更为精确的安全性实施机制。2.3.2信息流的控制机制第二章安全控制原理2.3信息流控制79/1092.4.1安全模型概述安全策略安全策略是指一组有关管理、保护和发布敏感信息的法律、规定和实施细则。安全模型是为实现安全策略服务的安全策略分类：一般的，操作系统的安全需求主要包括机密性、完整性、可追究性(accountability)、可用性(availability)等，所以基于系统安全的定义和内涵可将系统的安全策略分为两大类:访问控制策略：反映系统的机密性和完整性要求，它确立相应的访问控制规则访问支持策略：反映系统的可追究性和可用性要求，它以支持访问控制策略的面貌出现(如：一种安全机制正确执行的保障机制，如审计、防病毒等)第二章安全控制原理2.4安全模型80/109系统安全的内涵所谓一个系统是安全的，就是指系统的实现达到了当初设计时所制定的安全策略在系统安全设计中，达不到预想的安全性通常有两个原因1.系统的安全控制中有漏洞通过与技术相关的软件工程手段来解决2.与系统安全策略的定义和描述有关通过定义精确的安全模型来解决安全策略模型是指如何用形式化或者非形式化的方法来描述安全策略典型的安全策略模型有三种，他们是描述安全模型的理论基础状态机模型、访问控制模型、信息流模型2.4.1安全模型概述第二章安全控制原理2.4安全模型81/109(1)状态机（StateMachine）模型系统所有可能的状态和所有可能的状态之间转换构成状态机模型处于特定时刻系统的快照便是一种状态(State)，如果这种状态满足安全策略的要求，我们就可以认为它是安全的许多活动会导致系统状态的改变，称之为状态转换（Statestransaction），如果这些活动都是系统所允许而且不会威胁到系统安全的，则系统执行的便是安全的状态机模型（SecureStateMachine）。一个安全状态机模型总是从安全的状态启动，并且在所有状态的转换中保证安全，并只允许行为的实施者以符合安全策略要求的形式去访问资源。2.4.1安全模型概述第二章安全控制原理2.4安全模型82/109(2)访问控制模型访问控制模型将系统的安全状态表示成一个大的ACM矩阵在实际应用中由于访问矩阵多位稀疏矩阵，常用能力表或访问控制表取代ACM访问控制模型是状态机模型的变形状态变量包括主体和客体集状态转移函数描述访问矩阵及相关变量的变化描述系统安全状态的另一个方法是从主体与客体的安全属性的角度来进行’主体对客体的访问是通过比较它们的安全属性来决定!2.4.1安全模型概述第二章安全控制原理2.4安全模型83/109(3)信息流（Informationflow）模型是访问控制模型的具体化，在这个模型中，信息的传递被抽象成流的形式。信息流模型由对象，状态转换和信息流策略所组成，其中的对象可以是用户，每个对象都会根据信息流策略分配一个安全等级和具体化的数值。信息流不单可以处理信息流的流向，同时它还可以处理信息流的种类——在BLP模型中，信息流模型处理的便是保密性，而在Biba模型中信息流所处理的则变成完整性。信息流模型主要用于防止未授权的、不安全的或受限制的信息流动，信息只能够在安全策略允许的方向上流动2.4.1安全模型概述第二章安全控制原理2.4安全模型84/109安全模型基于给定的安全策略模型对安全策略的具体描述就构成了安全模型安全模型就是对安全策略所表达的安全需求的简单、抽象和无歧义的描述，它为安全和实现机制之间的关联提供了一种框架(什么样的安全需求，应采用什么样机制)安全模型描述了对某个安全策略需要用哪种机制来满足；特别是安全模型在实现对信息的安全属性的保护方面具有指导意义，不同属性针对的目标不同可用性、不可否认性、可控性是信息利用的安全可追究性是对信息使用主体的责任机密性和完整性是最为重要的属性，而二者又存在冲突2.4.1安全模型概述第二章安全控制原理2.4安全模型85/109安全模型的目的就在于明确地表达了系统的安全需求，为设计开发安全系统提供方针状态机模型和信息流模型的进一步具体化就得到了具体的安全模型安全模型的种类：具体安全模型的发展是随着人们对保证信息资产的三个元素：保密性，完整性和可用性（CIA）认识的顺序逐渐出现的首先是针对保密性的BLP模型针对完整性的Biba模型和Clark-Wilson模型针对可用性等服务的研究中出现了访问控制矩阵(表)模型、ChinaWall模型、Lattice模型等等2.4.1安全模型概述第二章安全控制原理2.4安全模型86/109比较有名的安全模型主要有如下几种：(1)BLP模型既是状态机模型，也是信息流模型，针对保密性(2)Lattice模型BLP模型的扩展，既是状态机模型，也是信息流模型，针对保密性(3)Biba模型状态机模型，针对完整性2.4.1安全模型概述第二章安全控制原理2.4安全模型比较有名的安全模型主要有如下几种：(4)Clark-Wilson模型状态机模型，针对完整性(5)非干涉模型状态机模型，针对业务流的机密性(6)Brewer和Nash模型也称ChinaWall模型，访问控制模型(7)Graham-Denning模型访问控制模型87/1092.4.2BLP模型1.模型介绍Bell-LaPadula模型，简称BLP模型，是D.ELLiottBellLeonardJ.LaPudula于1973年提出的适用于军事安全策略的计算机操作系统安全模型，它是最早、也是最常用的一种计算机多级安全模型之一。BLP模型是最有名的关于机密性保护的多级安全策略的数学模型，用于定义安全状态机的概念、访问模式以及访问规则，所以常把多级安全概念与BLP模型等同。BLP中的主体：能发起行为的实体，如进程；BLP中的客体：被动的实体，主体行为的承担者，如数据、文件等第二章安全控制原理2.4安全模型88/109BLP中的操作：r(只读)、w(读写)、a(只写)、x(执行)以及c(控制)等其中c是指该主体用来授予或撤销另一主体对某一个客体的访问权限能力。系统中用户具有不同的访问级（clearance）(一般指密级)系统处理的数据也有不同的类别（classification）(指信息类)信息分类决定了应该使用的处理步骤。这些分类合起来构成格（lattice）BLP首先是一种状态机模型，模型中用到主体、客体、访问操作（读、写和读/写）以及安全等级。主要任务是定义使得系统获得“安全”状态的集合。检查所有状态变化始于一个“安全状态”，并终止于另一个“安全状态”。BLP也是一种信息流安全模型，严格控制信息流向。2.4.2BLP模型第二章安全控制原理2.4安全模型89/109BLP模型的安全策略包括两部分：自主安全策略和强制安全策略，二者结合自主安全策略使用一个ACM访问矩阵表示强制安全策略包括“简单安全特性”和“*特性”系统对所有主体和客体都分配一个访问类属性，包括主体和客体的密级和范畴，系统通过比较主体与客体的访问类属性控制主体对客体的访问自主安全策略的实施是在满足强制安全策略前提下才能进行的2.4.2BLP模型第二章安全控制原理2.4安全模型90/109BLP形式化的定义了系统、系统状态以及系统状态间的转换规则；BLP模型定义了安全概念；制定了一组安全特性基本安全定理以上的形式化定义对系统状态和状态转换规则进行限制和约束，使得对于一个系统而言，如果它的初始状态是安全的，并且所经过的一系列规则转换都保持安全，那么可以证明系统是安全的。2.4.2BLP模型第二章安全控制原理2.4安全模型91/1092.模型元素BLP对模型中涉及的元素进行了数学形式上的定义1)模型元素的意义(如图)92/1092)安全系统的定义在信息系统中，主体对客体的访问应该遵循下面的过程：在系统的某个状态下，主体(S)对当前客体(O)发起访问的请求(R)，而系统应该判定(D)此种访问的请求(R)是否可以实施。访问请求(R)包含了访问属性：只读(r)、读写(w)、只写(a)和执行(x)系统识别当前主体的保密级别和相应的范畴集：识别当前客体的树型结构。对于给定的一个请求和当前的状态，系统依据规则产生一个响应和下一个状态。判断(D)此请求是否可执行：“yes”请求被执行“no”请求不能被执行“error”表示有多个规则适用于这一请求“？”规则不能处理此请求2.4.2BLP模型第二章安全控制原理2.4安全模型93/1093.BLP模型最基本的规则(有11条规则)1)自主策略规则如果不是强制访问控制，主体对客体的读写权限是由访问控制矩阵来决定的，强制访问控制是前提2)强制策略规则(1)简单安全特性规则。一个主体对客体进行读访问的必要条件是主体的安全级支配客体的安全级，即主体的保密级不低于客体的保密级别，主体的范畴集包含了客体的全部范畴。即主体只能向下读，不能向上读(2)*特性规则。一个主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级，即客体的保密级别不小于主体的保密级别，客体的范畴包含了主体的全部范畴。即主体只能向上写，不能向下写这两条是BLP的强制策略中最基本的规则2.4.2BLP模型第二章安全控制原理2.4安全模型94/109对于“*特性”规则，BLP模型规定了一些主体称为可信主体，不受“*特性”规则的约束，可信主体可以下写（可信主体安全级最大，因此不存在上读限制）一些术语的内涵：保密级：如可公开，不宜公开，秘密，机密，绝密范畴：信息类别，如人事处，销售处等支配：一种偏序关系，类似于“大于或等于”或“不小于”的含义“*”规则允许一个主体向一个高保密级的客体写入信息，从完整性角度来考虑，向上写可能会导致高完整性级别的信息的破坏2.4.2BLP模型第二章安全控制原理2.4安全模型95/1094.BLP模型的分析BLP模型的安全包括强制访问控制和自主访问控制强制访问控制由简单安全特性和*特性组成，通过安全级强制性约束主体对客体的存取自主访问控制通过访问控制矩阵按用户意图进行存取控制设置了可信主体，用于表示实际系统中不受*特性制约的主体，以保证系统正常的运行和管理BLP模型已经不能满足各种各样的安全需求2.4.2BLP模型2.4安全模型2.3信息流控制2.2访问控制第二章安全控制原理2.1TCB概念和结构96/109BLP模型存在以下问题：(1)设置了可信主体，权限太大，不符合最小特权的原则，应对其操作权和应用范围进一步细化将特权细分为一组细粒度的特权，分给系统中指定的用户。多个特权用户共同完成特权操作采用门限机制，共享特权(2)BLP模型注重的是信息保密性，对于完整性缺少控制，不能防止非授权修改系统信息对于军用系统，更关心机密性，BLP比较适合对于民用系统，对于完整性要求相对较高