版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
安全模型
南京大学计算机系黄皓教授
2006年12月8日
Contents
1.BasicConcept
2.TheGeneralizedFrameworkforAccessControl(GFAC)
3.BellLaPadulaModel
4.Bibamodel
5.DionModel
6.Clark-WilsonModel
7.ChineseWallModel
8.RoleBasedAccessControlModel
9.TaskBasedAccessControlModel
io.Non-interferenceModel
2006年12月8日星期五南京大学计算机系讲义2
参考文献
I.SimoneFischer-Hiibner,IT-SecurityandPrivacy,LectureNotesin
ComputerScience1958.
II.D.ElliottBellandLeonardJ.LaPadula,SecureComputerSystems:
MathematicalFoundations.
ill.D.ElliottBellandLeonardJ.LaPadula,SecureComputerSystems:
MathematicalModel.
IV.K.J.Biba,IntegrityConsiderationsforSecureComputerSystems,USAF
ElectronicSystemsDivision,Bedford,Mass.,April1977.
v.LukeC.Dion,ACompleteProtectionModel,Proceedingsofthe1981IEEE
SymposiumonSecurityandPrivacy,pp49-55.
VI.DavidD.Clark,DavidII.Wilson,AComparisonofCommercialand
MilitarYcomputerSecurityPolicies,IEEESymposiumonSecurityand
PrivacyApril27-29,1987,ppl84-194.““
vii.D.Brewer,M.Nash,TheChineseWallSecurityPolicy,Proceedingsofthe
1989IEEESymposiumonSecurityandPrivacy,Oakland,May1989.
VIII.JohnRushby,Noninterference,Transitivity,andZChannel-ControlSecurity
Policies,ComputerScienceLaboratorySRIInternationalMenloParkCA
94025USA.
2006年12月8日星期五南京大学计算机系讲义3
1.BasicConcept
2006年12月8日星期五南京大学计算机系讲义4
IT-Security
■View:protectionofthesystem,protectionfromthesystem;
■Aims:confidentiality,integrity,availability,reliability,
functionality,anonymity,pseudonymity,unobservability,
unlinkablity;
■Securitymodels
■Securityfunctions:I&A,AC,Audit,Objectreuse,reliability
ofservice,
■Securitymechanism:password,ACL,cryptography,
physicalcontrol,etc.
2006年12月8日星期五南京大学计算机系讲义5
■Anonymity
Anonymityofausermeansthattheusermayusearesource
orservicewithoutdisclosingtheuser'sidentity.Electronic
cash.
■Pseudonymity
Pseudonymityofausermeansthattheusermayusea
resourceorservicewithoutdisclosingitsuseridentity,butcan
stillbeaccountableforthatuse.
■Unobservability
ensuresthatausermayusearesourceorservicewithout
others,especiallythirdparties,beingabletoobservethatthe
resourceorserviceisbeingused.
2006年12月8日星期五南京大学计算机系讲义6
2006年12月8日星期五南京大学计算机系讲义7
Proofthesecuritymodelenforces
thesecuritypolicy
i.Definitionofsecurity-relevantstatevariables(subjects,objects,
securityattributes,accessrights)
ii.Definitionofconditionsforasecurestate(invariants,security
properties);
ill.Definitionofstatetransitionfunction;
iv.Proofthatthefunctionsmaintainthesecurestate;
v.Definitionoftheinitialstate;
vi.Proofthattheinitialstateissecure;
M.Gasser,Buildingasecurecomputersystem,vanNostrand
Reinhold,1988.
2006年12月8日星期五南京大学计算机系讲义8
2.TheGeneralisedFrameworkfor
AccessControl(GFAC)
■Animprovedframeworkforexpressingandintegratingmultiplepolicy
components.
■Themainobjectivesare
Makeiteasytostate,formalise,andanalysediverseaccess
controlpolicies
Makeitfeasibletoconfigureasystemwithsecuritypolicies
chosenfromavendorprovidedsetofoptionswithconfidence
thatthesystem'ssecuritypolicymakessenseandwillbe
properlyenforced.
□Constructthemodelinamannerthatallowsonetoshowthat
itsatisfiesanaccepteddefinitionofeachsecuritypolicyit
represents.
2006年12月8日星期五南京大学计算机系讲义9
GFAC5spremise
■GFACisbasedonthepremise
□allaccesscontrolpoliciescanbeviewedasrulesexpressed
intermsofattributesbyauthorities;
■Authorities:Anauthorisedagentthat
□definessecuritypolicies;
□identifiesrelevantsecurityinformation;
□assignsvaluestoattributes.
■Attributes
Characteristicsorpropertiesofsubjectsandobjectsdefined
withinthecomputersystemforaccesscontroldecision
making;
■Rule:Asetofformalizedexpressions
definetherelationshipsamongattributesandothersecurity
informationforaccesscontroldecisionsinthecomputer
system;
reflectingthesecuritypoliciesdefinedbyauthority.
2006年12月8日星期五南京大学计算机系讲义10
ACI&ACR
■accesscontrolinformation(ACI)
□securityattributesandotheraccesscontroldata;
■Accesscontrolrules(ACR).
therulesthatimplementthetrustpoliciesofa
system
2006年12月8日星期五南京大学计算机系讲义11
adjudicationandenforcement
■Theagentthatadjudicatesaccesscontrolrequestsiscalled
accesscontroldecisionfacility(ADF);
□ADFcorrespondstotheaccesscontrolruleswithintheTCB
thatembodythesystem'ssecuritypolicy.
■TheagentthatenforcestheADFsdecisioniscalledaccess
controlenforcementfacility(AEF);
□AEFcorrespondstothesystemfunctionsofthetrusted
computingbase(TCB)
2006年12月8日星期五南京大学计算机系讲义12
OverviewofGFAC
Subject
accessI
requestsI
decisionrequest
AEF用ADF
accessl^^decision
update*-refersto▼
Object:ACIRules
2006年12月8日星期五南京大学计算机系讲义13
Rule-SetModellingapproach
■Intraditionalsecuritymodelingapproaches,thesecuritymodelrules
describebothaccesspolicyandsystembehavior;
■Therulesetmodellingapproachseparatesthedecisioncriteria(access
rules)fromthestatetransition(systemoperations)
■AEFcorrespondstoamodelofthesystemoperations,calledstate
machinemodel
□abstractlydefinestheinterfaceofprocessestotheTCB;
■ADFcorrespondstoapolicymodel,calledtherule-setmodel
definesthesecuritypoliciesofthetrustedcomputersystem.
2006年12月8日星期五南京大学计算机系讲义14
3.Bell-LaPadula模型
Bell-LaPadula模型对应军事类型的安全
密级分类。
该模型影响了许多其他模型的发展,甚至
很大程度上影响了计算机安全技术的发展。
3.1非形式化描述
■最简单的保密性分类形式是按照线性(全)排列的安全等
级。
■每一个主体都有一个安全许可(Clearance)。在下图中,
Claire的安全许可是C(保密),Thomas的安全许可是TS(顶
级机密)。
■每个客体都有一个敏感等级,电子邮件文件的敏感等级
是S(秘密),电话清单文件的敏感等级为UC(公开)。
■当我们同时指主体的许可和客体的密级时,用术语“密
级”oBell—Lapadula安全模型的目的是要防止主体读取
安全密级比它的安全许可更高的客体。
2006年12月8日星期五南京大学计算机系讲义16
■亶一非形式化描述
安全许可敏感级别
2006年12月8日星期五南京大学计算机系讲义17
mdula模型一非形式化描述
■设L(s)4是主体s的安全许可,并设L(o)=/。是客体。的敏
感等级。对于所有安全级别i=o,…,k-1,有
h+i°
■简单安全条件S可以读0,当且仅当/。</,且S对。具
有自主型读权限。
■例如,在上图中,Claire和Clarence不能读人事文件,但
Tamara和Sally可以读活动日志文件(而且,实际上根据
Tamara的安全许可,她可以读任何文件在此假设自主型
访问控制允许Tamara和Sally的访问)。
2006年12月8日星期五南京大学计算机系讲义18
mdula模型一非形式化描述
■如果Tamara(TopSecret)决定将人事文件的内容复制到活
动日志文件里,并设置适当的自主访问权限,那么
Claire(Confidential)就可以读这些人事文件了。这样,
Claire可能会读取到具有更高安全等级的文件。
■*-属性(星号属性s可以写o,当且仅当乙</。。且s
对。具有自主型写权限。
■这时因为活动日志文件的安全密级为C,Tamara的安全
许可为TS,所以她不能写活动日志文件。
2006年12月8日星期五南京大学计算机系讲义19
模型一非形式化描述
基本安全定理
设系统£的某一个初始安全状态为。0,T是状态转换的
集合。如果T的每个元素都遵守简单安全条件和*—属
性,那么对于每个i三。,状态。j都是安全的。
2006年12月8日星期五南京大学计算机系讲义20
型一非形式化描述
类别
■通过给每个安全密级增加一套类别,每种类别都描述一
种信息,可以将模型进行扩展。属于多个类别的客体拥
有所有属于这些类别的信息。
■这些类别来自于“需要知道''原则,它规定,除非主
体为了完成某些功能而需要读取客体,否则就不能读取
这些客体。某人可以访问的类别集合就是类别集合的赛
集。
■例如,如果类别是NUC,EUR和US,那么某人可以访问
的类别集合就是以下集合之一:
■空集),{NUC},{EUR},{US},
{NUC,EUR}{EUR,US}{NUC,Us}{NUC,EUR,US}
这些类别集合在操作q(子集关系)下形成一个格。
2006年12月8日星期五南京大学计算机系讲义21
mdula模型一非形式化描述
2006年12月8日星期五南京大学计算机系讲义22
mdula模型一非形式化描述
■安全级别和类别形成一个安全等级。
■主体在某安全等级上有安全许可(或归于此安全等级、属
于此安全等级)
■客体处于安全等级的级别(或者属于某个安全等级)。
■例如,William可能归于等级(SECRET,{EUR}),George
归于等级(TOPSECRET,{NUC,US})o一个文档可能
会被归于等^(CONFIDENTIAL,{EUR})。
2006年12月8日星期五南京大学计算机系讲义23
型一非形式化描述
■类别基于'需要知道'原则,所以预先假设对类别集合
{NUC,US}有访问权的人没有必要访问类别EUR里元
素。因此,即便该主体的安全许可高于客体的安全密
级,读访问也应该被拒绝。
■定义一种新的关系来体现安全密级和类别集合的结合。
定义dom(dominates支配)关系。
■定义5.1安全等级(L,C)支配安全等级(L',C’),当且
仅当L'WL,C'1Co
■关系为安全等级集合上引入了一个格。
2006年12月8日星期五南京大学计算机系讲义24
型一非形式化描述
■简单安全条件S可以读O,当且仅当SdomO,且
S对。具有自主型读访问权限。
■*属性S可以写O,当且仅当OdomS且S对。具
有自主写权限。
■基本安全定理设系统、的某一个初始安全状态为。0,T
是状态转换的集合。如果T的每个元素都遵守简单安全条
件和*—属性,那么对于每个i>0,状态“都是安全的。
2006年12月8日星期五南京大学计算机系讲义25
2.2BellLaPadula的形式化描述
2006年12月8日星期五南京大学计算机系讲义26
^^■adula模型一形式化描述
GeneralSystems
■SoXxY
□ThesystemSisarelationontheabstractsetsX
andY.
■S:XfY
SisafunctionfromXtoY
□TheelementsofX:inputs
TheelementsofY:outputs
□Sexpressesafunctionalinput-outputrelationship.
2006年12月8日星期五南京大学计算机系讲义27
mdula模型一非形式化描述
Example
■Considerasavingaccountinabankwhich
compoundsinterestquarterly
■bk=(bk4+pk)-(l+ik)(1.1)
□bk:thebalanceafterthecomputationofinterestat
theendofthek-thquarter.
□pk:thenettransactionintheaccountduringthek-th
quarter.
□ik:thequarterlyinterestrateattheendofthek-th
quarter.
2006年12月8日星期五南京大学计算机系讲义28
.Ela模型一非形式化描述
Example(continues)
■Aseven-yearhistoryofsuchasavingsaccountisrepresentedbya
system
■S(b0)cPxIxB
b0:theinitialbalanceintheaccount
P=R28:thetwenty-eighttransactions
I=R28:thetwenty-eightquarterlyinterestrates
□B=R28:thetwenty-eightsuccessivebalances
■(p,i,b)eS(b0)iff(1.1)holdforeverykfrom1to28
2006年12月8日星期五南京大学计算机系讲义29
^^■aclula模型一非形式化描述
SecureComputerSystems
■Problemsofsecurity
□Howtoguaranteethatunauthorizedaccess(byaprocess)
toinformation(file,program,data)doesnotoccur.
2006年12月8日星期五南京大学计算机系讲义30
mdula模型一非形式化描述
FoundationsofaMathematicalModel
■模型的元素
集合元素语义
S{S1,S2,••・,Sn}主体:进程
O{01,02,••・,Om}客体:数据、文件、程序、设备等。
C{C1,C2,•••,Cq}级别:主体的安全许可,客体的敏感级别。
{Cl>C2>•••>Cq
K{K1,K2,••*,Kr}类别:访问权限范围。
2006年12月8日星期五南京大学计算机系讲义31
型一非形式化描述
ElementsoftheModel(2)
A{r,w,e,a,c}访问属性:read,write,append,
execute,andcontrol
RA{g,r,c,d}请求兀素:
g:get,give
r:release,rescind
c:change,create
d:delete
RS+XRAXS+X0XX请求:
其中:s+=suwinputs,
X=AU{(I)}UF;commands,
requestsforaccesstoobjectsby
一个请求的元素记为R
ksubjects
D(yes,no.error,?}决定
D的元素记为Dm
2006年12月8日星期五南京大学计算机系讲义32
ghdula模型一非形式化描述
ElementsoftheModel(2)
FCsxC°x(PK)Sx(PK)°classification/need-to-knowvectors:
anarbitraryelementoffl:subject-classificationfunction
Fiswrittenf=f2:object-classificationfunction
(fl,f2,f3,f4)f3:subject-categoryfunction
f4:object-categoryfunction
XRTrequestsequences
anarbitraryelementof
Xiswrittenx
YDTdecisionsequences
anarbitraryelementof
Yiswritteny
2006年12月8日星期五南京大学计算机系讲义33
ghdula模型一非形式化描述
ElementsoftheModel(4)
M{Ml,M2,•・・,Mc},accessmatrices
C=(25)n•m;1.
anelementofM,sayMk,isannXm
matrixwithentriesfromPA;the
(i,j)-entryofMkshowsS/saccess
attributesrelativeto0j
VP(SxOxA)xMxFstates
anarbitraryelementofViswrittenv
ZVTstatesequences
anarbitraryelementofziswrittenz;»
Gzisthet-thstateinthestatesequencez
2006年12月8日星期五南京大学计算机系讲义34
mdula模型一非形式化描述
StatesoftheSystem
■AstatevGVisa3-tuple(b,M,f)where
(1)b
bGP(Sx0xA),indicatingacurrentaccess
setwhichrepresentingaccessmode.
acurrentaccessisrepresentbyatriple:(subject,
object,access-attribute)
thecurrentaccesssetbisasetofsuchtriples
representingallcurrentaccesses.
2006年12月8日星期五南京大学计算机系讲义35
模型一非形式化描述
(2)M
mGM,indicatingtheentriesoftheaccessmatrixinthe
statev;
^^^^Object0j
Subject
S1叫ePA
2006年12月8日星期五南京大学计算机系讲义36
mdula模型一非形式化描述
(3)f
■fGF,indicatingtheclearancelevelofallsubjects,
theclassificationlevelofallobjects,andthecategories
associatedwitheachsubjectandobjectinthestatev.
□Clearanceorclassificationusuallydenotedby
unclassified,confidential,secret,topsecret
□CategoryusuallydenotedbyNuclear,NATO,Crypto,...
□Atotalsecuritydesignationispair:
(classification,setofcategory)
2006年12月8日星期五南京大学计算机系讲义37
mdula模型一非形式化描述
State-TransitionRelation
■WeRxDxVxv
■ThesystemZ(R,D,W,z°)oXxYxZisdefinedby
(x,y,z)GS(R,D5W,Z0)ifandonlyif
(xt,yt,zt,zt_-()GWforeachtGT
□wherez0isaspecifiedinitialstateusuallyofthe
form((|),M,f)5where0denotestheemptyset.
2006年12月8日星期五南京大学计算机系讲义38
mdula模型一非形式化描述
SECURITYCONDITION
(S,O,x)GSxOxAsatisfiesthesecurity
conditionrelativetof(SCrelf)iff
(i)x=eorx=aorx=c,or
(ii)(x=rorx=w)and
(fi(S)>f2(O)and
f3(S)3f4(O)).
2006年12月8日星期五南京大学计算机系讲义39
mdula模型一非形式化描述
SECURITYCONDITION
■Astatev=(b,M,f)GVisasecurestateiffeach
(S,O,x)£bsatisfiesSCrelf.
■Astatevisacompromisestate(compromise)iffit
isnotasecurestate.
■AstatesequencezGZhasacompromiseiffztis
acompromiseforsometGT.
■zisasecurestatesequenceiffztisasecurestate
foreachtGT.
2006年12月8日星期五南京大学计算机系讲义40
真型一非形式化描述
SECURITYCONDITION
■E(R,D,W,z0)isasecuresystemiffevery
appearanceofE(R,D,W,z0)issecure.
■S(R,D,W,z0)hasacompromiseiffsome
appearanceofZ(R,D,W,z°)hasacompromise.
2006年12月8日星期五南京大学计算机系讲义41
真型一非形式化描述
,PROPERTY
■Letb(s:x,y,...,z)denotetheset
{o:oeOand[(s,o,x)Gbor(s,o,y)Gbor•••or(s,o,z)eb]}.
■Astatev=(b,M,f)GVsatisfies*-propertyiffforeachsG
Sthefollowingpropositionistrue:
[b(s:w,a)半巾andb(s:r,w)丰巾]implies
上⑼)>f2(O2)andf4(Ox)of4(O2),
forallO]inb(s:w,a),O2inb(s:r,w)]
■Astatevviolates"-propertyiffvdoesnotsatisfy*-
property.
2006年12月8日星期五南京大学计算机系讲义42
mdula模型一非形式化描述
,PROPERTY
■AstatesequencezGZsatisfies"-propertyiffzt
satisfies*-propertyforeachtGT.
■(x,y,z)GE(R,D,W,z0)satisfies*-propertyiffz
satisfies*-property.
■E(R,D,W,zO)satisfies*-propertyiffevery
appearanceofE(R,D,W,z0)satisfies*-property.
2006年12月8日星期五南京大学计算机系讲义43
mdula模型一非形式化描述
discretionarysecurityproperty
■Astatev=(b,M,f)GVsatisfiesds-property
if
■Astatesatisfiestheds-propertyprovidedthatevery
currentaccessispermittedbythecurrentaccess
matrixM:
(S?Oj,x)Gb今xGMg
2006年12月8日星期五南京大学计算机系讲义44
模型一非形式化描述
Rules
■Aruleisafunctionr:RxV—>DxV.
givenarequestandastate,aruledecidesa
responseandastatechange.
■Arulerissecurity-preservingifftheproposition
[[r(Rk,v)=(Dm,v*)andvissecure]implies
[v*issecure]]
holdsforallelements(Rk,v)eRxV.
2006年12月8日星期五南京大学计算机系讲义45
mdula模型一非形式化描述
Rules
■Aruleris"-property-preservingifftheproposition
[[r(Rk,v)=(Dm,v*)andvsatisfies*-property]
implies[v*issecure]]
holdsforallelements(Rk,v)GRxV.
2006年12月8日星期五南京大学计算机系讲义46
mdula模型一非形式化描述
Action
■(Ri,Dj,v*,v)eRxDxVxVisanactionof
E(R,D,W,z0)iff
□thereisanappearance(x,y,z)ofE(R5D,W,z0)
□andsometGTsuchthat
(Ri,Dj,v*,v)=(xt,yt,zt,zt.1)
2006年12月8日星期五南京大学计算机系讲义47
mdula模型一非形式化描述
Theorems
■Theorem1(R,D,W,z0)issecureforanysecurestatez()iff
Wsatisfiesthefollowingconditionsforeveryaction(Ri,Dj,
(b,M,f)):
(i)every(S,O,x)Gb*-bsatisfiesSCrelf*;
(ii)every(S,O,x)GbwhichdoesnotsatisfySCrelf*
isnotinb*.
2006年12月8日星期五南京大学计算机系讲义48
mdula模型一非形式化描述
CovertChannels
■CovertChannel:acommunicationschannelthatallows
transferofinformationinamannerthatviolatesthe
system"ssecuritypolicy.
□Storagechannels:e.g.throughoperatingsystemmessages,
filenames,etc.
Timingchannels:e.g.throughmonitoringsystemperformance
■CovertchannelsarenotdetectedbyBLPmodeling.
2006年12月8日星期五南京大学计算机系讲义49
型一非形式化描述
关于BLP模型的争论
■McLean的上属性和基本安全定理
b(s:a)丰0今[Vo€b(s:a)[fc(s)domfo(o)]]
b(s:w)。。今[Vo£b(s:w)[fc(s)=fo(o)]]
b(s:r)丰0今[Vo€b(s:r)[fc(s)domfo(o)]]
■McLean证明了定理:
X(R,D,W,z0)相对于对S'is任何安全状态z0满足t-属性,当且
仅当对于任何行为(r,d,(b,m,f),,(b',m',f'))和每个s€S,W都满足
条件:
对任意的(s,o,a)€b-b'满足关于S'的f-属性;
(s,o,a)£b'中不满足关于S'的f属性的元素都不属于b。
2006年12月8日星期五南京大学计算机系讲义50
mdula模型一非形式化描述
■McLean的基本安全定理:
S(R,D,W5Z。)是一个安全系统,当且仅当是一个安
全状态,并且W满足关于简单安全属性、♦安全属
性和自主访问控制ds的安全属性。
■显然McLean的系统、(R,D,W,z0)是不安全的,
因为这个系统的规则允许信息向下流动。
■但是这系统满足基本安全定理。
2006年12月8日星期五南京大学计算机系讲义51
型一非形式化描述
■Bell的基本安全定理表明的是如果系统的行为满足给定
的条件,则系统的状态的属性能得以保持。
■系统状态的属性的内容与模型是独立的。
■如果把McLean的「属性中的条件
b(s:a)+0今[Vo€b(s:a)[fc(s)domfo(o)]]
解释为主体的完整性级别(可信程度)高于客体的完整性
级别时,主体才可以写客体o,则的确McLean的属性表
达了另一个安全目标。
McLean的基本安全定理也就表明了在什么条件下,系统
的系统的安全属性得以保持。
2006年12月8日星期五南京大学计算机系讲义52
4.Biba模型
■KJ.Biba,IntegrityConsiderationsforSecure
ComputerSystems,USAFElectronicSystems
Division,Bedford,Mass.,April1977.
□thefirstsecuritymodeltoaddressintegrity
2006年12月8日星期五南京大学计算机系讲义53
Biba模型的元素
■s:主体集合;
■o:客体的集合
■I:完整性等级集合;I
关系v11xI,(i[,i2)£<当且仅当i1完整性等级高
于i2的完整性等级。
■函数i:SU0-I的值是主体或客体的完整性等
级。
2006年12月8日星期五南京大学计算机系讲义54
完整性登记的含义
■等级越高,程序正确执行(或者根据程序输入和程序的执
行停止来检测出问题)的可靠性就越高。
■高等级的数据比低等级的数据具备更高的精确性和可靠
性(根据不同的测量方法)。
■此外,这种模型隐含地融入了“信任”这个概念。事实
上,用于衡量完整性等级的术语是“可信度”。例如,
一个进程所处等级比某个客体的等级要高,则可以认为
进程比该客体更“可信”。
2006年12月8日星期五南京大学计算机系讲义55
Biba静态的完整性策略
■简单完整性策略如果主体S可以写入客体0,则
i(s)>i(o)
■完整性策略:如果主体S可以读客体O,则S
能写客体。,必须要满足i(o)2i(o')
■调用策略:一个'不那么可信'的主体"不能
通过调用主体与:来破坏一个客体。主体”可以
调用力仅当i(Si)2i(s2)
■No—ReadDown
■No—WriteUp
2006年12月8日星期五南京大学计算机系讲义56
对于主体的下限标记策略
(Low-watermarkpolicyforsubjects)
■一个主体能够持有对给定客体的“modify”访问方式,仅
当此主体的完整级别支配该客体的完整级别。
■一个主体能够持有对另一主体的“invoke''访问方式,
仅当第一个主体的完整级别支配第二个主体的完整级
别。
■一个主体能够持有对任何客体的“observe”访问方式。
当主体s扰行了对客体。的“observe”操作之后,主袜的
完整级别被置为访问之前主体和客体的完整级别的最大
下界gib.(心以似O
■由于主体的完整性等级是非递增的,所以,它可能很快
就不能访问完整性登记较高的客体了。
2006年12月8日星期五南京大学计算机系讲义57
环策略(Ringpolicy)
■一个主体能够持有对给定客体的“modify”访问方式,
仅当此主体的完整级别支配该客体的完叁级别。
■一个主体能够持有对另一主体的“invoke''访问方式,
仅当第一个主体的完整级别支配第二个主体的完整级
别。
■主体对具有任何完整级别的客体均能够持有“observe”
访问方式
■一个具有高完整性级别主体能够“observe”一个具有较
低完整级别的客体,然后“modify”具有自己安全级别
客体,这样信息就从低完整级别流向高或不可比完整级
别。
2006年12月8日星期五南京大学计算机系讲义58
5.第昂(Dion)模型
■LukeC.Dion,ACompleteProtectionModel)
Proceedingsofthe1981IEEESymposiumon
SecurityandPrivacy,pp49-55.
2006年12月8日星期五南京大学计算机系讲义59
第昂(Dion)模型
■Object/objectcomputationalmodel.
■Migration/corruptionlevels.
■Read/writeLevels.
■Integratedview.
2006年12月8日星期五南京大学计算机系讲义60
■BLPmodelprevent:
□asubjectreadingdataresidingatahighersecurity
level;
□asubjectwritingdatatoalowersecuritylevel.
■TheintegrityextensiontoBLPprevent:
□asubjectwritingtoahigherintegritylevel;
□asubjectreadingfromalowerintegritylevel;
2006年12月8日星期五南京大学计算机系讲义61
IntegrityLevel
■Allobjectsandsubjectsofthesystemhavean
associatedintegritylevel.
■Thesetofallpossibleintegritylevelsispartially
ordered.
2006年12月8日星期五南京大学计算机系讲义62
■ExplicitConnection
□WhenasubjectwishestotranaferdatabetweenobjectOd
andobjectO2,itmustestablishanexplicitconnection
betweentheobjects.
□Onceanexplicitconnectionisestablishedbetweentwo
objects,asubjectcanthencausedatatoflowbymakingthe
appropriatesystemcalls.
■ImplicitConnection
□Ifasubjectisallowedtosimultaneouslymaintainmorethan
onesegment,thenwhenaddinganewsegmentanimplicit
connectionmustbemadebetweenthenewsegmentand
everysegmentfromwhich(ortowhich)datamayflow.
□Thatis,nosubjectisallowedtoartificiallyconstructa
connection(usingsegments)whichbypasses(explicit)
connectionestablishmentprotocol.
2006年12月8日星期五南京大学计算机系讲义63
■Eachobjecthasthreesecurityandthreeintegritylevels
■MigrationLevel
□Themigrationlevel(ML)ofanobjectisthehighest
securitylevel(MSL)andthelowestintegritylevel(MIL)to
whichdataintheobjectmayflow.
■AbsoluteLevel
□Theabsolutelevel(AL)ofanobjectisthesecuritylevel
(ASL)andtheintegritylevel(AIL)atwhichthedatainthe
objectisclassified.
■CorruptionLevel
Thecorraptlonlevel(CL)ofanobjectisthelowest
securitylevel(CSL)orthehighestintegritylevel(CIL)
fromwhichdatamayflowintothatobject.
2006年12月8日星期五南京大学计算机系讲义64
Additionalrestrictions
■Theadditionofmigrationandcorruptionlevelstothe
integrityextendedBell&LaPadulamodeladdsenforced
upward(forsecurity)anddownward(forintegrity)data
flowrestrictions.
2006年12月8日星期五南京大学计算机系讲义65
Read/writelevels
■Controlledsecurityviolationbyprivilegedsubjects.
■Eachsubjecthasthreesecurityandintegritylevels.
■ReadLevel
□Thereadlevel(RL)ofasubjectisthehighestsecuritylevel
(RSL)andlowestintegritylevel(RIL)fromwhichthesubjectis
allowedtoread.
■AbsoluteLevel
□Theabsolutelevel(AL)ofasubjectisthesecuritylevel(ASL)
andintegritylevel(AIL)giventhesubjectuponcreation.
■WriteLevel
□Thewritelevel(WL)ofasubjectisthelowestsecuritylevel
(WSL)andhighestintegritylevel(WIL)towhichthesubjectis
allowedtowrite.
2006年12月8日星期五南京大学计算机系讲义66
Controledviolations
■Ifthereadsecuritylevelofasubjectishigherthanits
absolutesecuritylevel,orifthewritesecuritylevelofa
subjectislessthanitsabsolutesecuritylevel,thenthesubject
possessestheabilitytoperformcontrolledsecurityviolations.
2006年12月8日星期五南京大学计算机系讲义67
Integratedview
■ThefollowinginequalitiesmustbetrueforPtoestablish
aconnectionfromOxtoO2:
OiMSL三O2MSL(SI)
OjCSL2O2CSL(S2)
PRSLNO]ASL(S3)
O2ASL^
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024年三烷基叔胺及其甲基氯化铵合作协议书
- 2024年智能杯垫项目合作计划书
- 农业教育:挑战与机遇
- 蜜蜂养殖:环保新纪元
- 2024年血液学分析仪器项目发展计划
- 2024年柔印CTP项目合作计划书
- 2024年车装石油修井机合作协议书
- 2024年农作物种子高效加工设备项目建议书
- 2024年Α-乙酰乳酸脱羧酶项目发展计划
- 2024年脱灰剂项目发展计划
- (完整)小学特殊疑问词针对练习题
- 配件部主管绩效考核表
- 俯斜式路肩挡土墙施工方案
- 跨越架专项施工方案
- 镇江市劳动合同书
- 《百合花》PPT教学课件-人教版高中语文必修一
- 【方案】市政工程顶管施工路面沉降监测及防治方案及措施
- CASIO PRW25003258说明书
- 山东省普通中小学转学证
- 军队无军籍退休退职职工移交安置政策
- 地理信息类招聘面试题目招聘面试题目
评论
0/150
提交评论