安全模型 - 南京大学计算机科学与技术系

安全模型

南京大学计算机系黄皓教授

2006年12月8日

Contents

1.BasicConcept

2.TheGeneralizedFrameworkforAccessControl(GFAC)

3.BellLaPadulaModel

4.Bibamodel

5.DionModel

6.Clark-WilsonModel

7.ChineseWallModel

8.RoleBasedAccessControlModel

9.TaskBasedAccessControlModel

io.Non-interferenceModel

2006年12月8日星期五南京大学计算机系讲义2

参考文献

I.SimoneFischer-Hiibner,IT-SecurityandPrivacy,LectureNotesin

ComputerScience1958.

II.D.ElliottBellandLeonardJ.LaPadula,SecureComputerSystems:

MathematicalFoundations.

ill.D.ElliottBellandLeonardJ.LaPadula,SecureComputerSystems:

MathematicalModel.

IV.K.J.Biba,IntegrityConsiderationsforSecureComputerSystems,USAF

ElectronicSystemsDivision,Bedford,Mass.,April1977.

v.LukeC.Dion,ACompleteProtectionModel,Proceedingsofthe1981IEEE

SymposiumonSecurityandPrivacy,pp49-55.

VI.DavidD.Clark,DavidII.Wilson,AComparisonofCommercialand

MilitarYcomputerSecurityPolicies,IEEESymposiumonSecurityand

PrivacyApril27-29,1987,ppl84-194.““

vii.D.Brewer,M.Nash,TheChineseWallSecurityPolicy,Proceedingsofthe

1989IEEESymposiumonSecurityandPrivacy,Oakland,May1989.

VIII.JohnRushby,Noninterference,Transitivity,andZChannel-ControlSecurity

Policies,ComputerScienceLaboratorySRIInternationalMenloParkCA

94025USA.

2006年12月8日星期五南京大学计算机系讲义3

1.BasicConcept

2006年12月8日星期五南京大学计算机系讲义4

IT-Security

■View:protectionofthesystem,protectionfromthesystem;

■Aims:confidentiality,integrity,availability,reliability,

functionality,anonymity,pseudonymity,unobservability,

unlinkablity;

■Securitymodels

■Securityfunctions:I&A,AC,Audit,Objectreuse,reliability

ofservice,

■Securitymechanism:password,ACL,cryptography,

physicalcontrol,etc.

2006年12月8日星期五南京大学计算机系讲义5

■Anonymity

Anonymityofausermeansthattheusermayusearesource

orservicewithoutdisclosingtheuser'sidentity.Electronic

cash.

■Pseudonymity

Pseudonymityofausermeansthattheusermayusea

resourceorservicewithoutdisclosingitsuseridentity,butcan

stillbeaccountableforthatuse.

■Unobservability

ensuresthatausermayusearesourceorservicewithout

others,especiallythirdparties,beingabletoobservethatthe

resourceorserviceisbeingused.

2006年12月8日星期五南京大学计算机系讲义6

2006年12月8日星期五南京大学计算机系讲义7

Proofthesecuritymodelenforces

thesecuritypolicy

i.Definitionofsecurity-relevantstatevariables(subjects,objects,

securityattributes,accessrights)

ii.Definitionofconditionsforasecurestate(invariants,security

properties);

ill.Definitionofstatetransitionfunction;

iv.Proofthatthefunctionsmaintainthesecurestate;

v.Definitionoftheinitialstate;

vi.Proofthattheinitialstateissecure;

M.Gasser,Buildingasecurecomputersystem,vanNostrand

Reinhold,1988.

2006年12月8日星期五南京大学计算机系讲义8

2.TheGeneralisedFrameworkfor

AccessControl(GFAC)

■Animprovedframeworkforexpressingandintegratingmultiplepolicy

components.

■Themainobjectivesare

Makeiteasytostate,formalise,andanalysediverseaccess

controlpolicies

Makeitfeasibletoconfigureasystemwithsecuritypolicies

chosenfromavendorprovidedsetofoptionswithconfidence

thatthesystem'ssecuritypolicymakessenseandwillbe

properlyenforced.

□Constructthemodelinamannerthatallowsonetoshowthat

itsatisfiesanaccepteddefinitionofeachsecuritypolicyit

represents.

2006年12月8日星期五南京大学计算机系讲义9

GFAC5spremise

■GFACisbasedonthepremise

□allaccesscontrolpoliciescanbeviewedasrulesexpressed

intermsofattributesbyauthorities;

■Authorities:Anauthorisedagentthat

□definessecuritypolicies;

□identifiesrelevantsecurityinformation;

□assignsvaluestoattributes.

■Attributes

Characteristicsorpropertiesofsubjectsandobjectsdefined

withinthecomputersystemforaccesscontroldecision

making;

■Rule:Asetofformalizedexpressions

definetherelationshipsamongattributesandothersecurity

informationforaccesscontroldecisionsinthecomputer

system;

reflectingthesecuritypoliciesdefinedbyauthority.

2006年12月8日星期五南京大学计算机系讲义10

ACI&ACR

■accesscontrolinformation(ACI)

□securityattributesandotheraccesscontroldata;

■Accesscontrolrules(ACR).

therulesthatimplementthetrustpoliciesofa

system

2006年12月8日星期五南京大学计算机系讲义11

adjudicationandenforcement

■Theagentthatadjudicatesaccesscontrolrequestsiscalled

accesscontroldecisionfacility(ADF);

□ADFcorrespondstotheaccesscontrolruleswithintheTCB

thatembodythesystem'ssecuritypolicy.

■TheagentthatenforcestheADFsdecisioniscalledaccess

controlenforcementfacility(AEF);

□AEFcorrespondstothesystemfunctionsofthetrusted

computingbase(TCB)

2006年12月8日星期五南京大学计算机系讲义12

OverviewofGFAC

Subject

accessI

requestsI

decisionrequest

AEF用ADF

accessl^^decision

update*-refersto▼

Object：ACIRules

2006年12月8日星期五南京大学计算机系讲义13

Rule-SetModellingapproach

■Intraditionalsecuritymodelingapproaches,thesecuritymodelrules

describebothaccesspolicyandsystembehavior;

■Therulesetmodellingapproachseparatesthedecisioncriteria(access

rules)fromthestatetransition(systemoperations)

■AEFcorrespondstoamodelofthesystemoperations,calledstate­

machinemodel

□abstractlydefinestheinterfaceofprocessestotheTCB;

■ADFcorrespondstoapolicymodel,calledtherule-setmodel

definesthesecuritypoliciesofthetrustedcomputersystem.

2006年12月8日星期五南京大学计算机系讲义14

3.Bell-LaPadula模型

Bell-LaPadula模型对应军事类型的安全

密级分类。

该模型影响了许多其他模型的发展，甚至

很大程度上影响了计算机安全技术的发展。

3.1非形式化描述

■最简单的保密性分类形式是按照线性（全）排列的安全等

级。

■每一个主体都有一个安全许可（Clearance）。在下图中，

Claire的安全许可是C（保密），Thomas的安全许可是TS（顶

级机密）。

■每个客体都有一个敏感等级，电子邮件文件的敏感等级

是S（秘密），电话清单文件的敏感等级为UC（公开）。

■当我们同时指主体的许可和客体的密级时，用术语“密

级”oBell—Lapadula安全模型的目的是要防止主体读取

安全密级比它的安全许可更高的客体。

2006年12月8日星期五南京大学计算机系讲义16

■亶一非形式化描述

安全许可敏感级别

2006年12月8日星期五南京大学计算机系讲义17

mdula模型一非形式化描述

■设L(s)4是主体s的安全许可，并设L(o)=/。是客体。的敏

感等级。对于所有安全级别i=o,…,k-1,有

h+i°

■简单安全条件S可以读0,当且仅当/。＜/,且S对。具

有自主型读权限。

■例如，在上图中，Claire和Clarence不能读人事文件，但

Tamara和Sally可以读活动日志文件(而且，实际上根据

Tamara的安全许可，她可以读任何文件在此假设自主型

访问控制允许Tamara和Sally的访问)。

2006年12月8日星期五南京大学计算机系讲义18

mdula模型一非形式化描述

■如果Tamara(TopSecret)决定将人事文件的内容复制到活

动日志文件里，并设置适当的自主访问权限，那么

Claire(Confidential)就可以读这些人事文件了。这样，

Claire可能会读取到具有更高安全等级的文件。

■*-属性(星号属性s可以写o,当且仅当乙＜/。。且s

对。具有自主型写权限。

■这时因为活动日志文件的安全密级为C,Tamara的安全

许可为TS,所以她不能写活动日志文件。

2006年12月8日星期五南京大学计算机系讲义19

模型一非形式化描述

基本安全定理

设系统£的某一个初始安全状态为。0,T是状态转换的

集合。如果T的每个元素都遵守简单安全条件和*—属

性，那么对于每个i三。，状态。j都是安全的。

2006年12月8日星期五南京大学计算机系讲义20

型一非形式化描述

类别

■通过给每个安全密级增加一套类别，每种类别都描述一

种信息，可以将模型进行扩展。属于多个类别的客体拥

有所有属于这些类别的信息。

■这些类别来自于“需要知道''原则，它规定，除非主

体为了完成某些功能而需要读取客体，否则就不能读取

这些客体。某人可以访问的类别集合就是类别集合的赛

集。

■例如，如果类别是NUC,EUR和US,那么某人可以访问

的类别集合就是以下集合之一：

■空集），{NUC},{EUR},{US},

{NUC,EUR}{EUR,US}{NUC,Us}{NUC,EUR,US}

这些类别集合在操作q（子集关系）下形成一个格。

2006年12月8日星期五南京大学计算机系讲义21

mdula模型一非形式化描述

2006年12月8日星期五南京大学计算机系讲义22

mdula模型一非形式化描述

■安全级别和类别形成一个安全等级。

■主体在某安全等级上有安全许可(或归于此安全等级、属

于此安全等级)

■客体处于安全等级的级别(或者属于某个安全等级)。

■例如，William可能归于等级(SECRET,{EUR}),George

归于等级(TOPSECRET,{NUC,US})o一个文档可能

会被归于等^(CONFIDENTIAL,{EUR})。

2006年12月8日星期五南京大学计算机系讲义23

型一非形式化描述

■类别基于'需要知道'原则，所以预先假设对类别集合

{NUC,US}有访问权的人没有必要访问类别EUR里元

素。因此，即便该主体的安全许可高于客体的安全密

级，读访问也应该被拒绝。

■定义一种新的关系来体现安全密级和类别集合的结合。

定义dom（dominates支配）关系。

■定义5.1安全等级（L,C）支配安全等级（L'，C’）,当且

仅当L'WL,C'1Co

■关系为安全等级集合上引入了一个格。

2006年12月8日星期五南京大学计算机系讲义24

型一非形式化描述

■简单安全条件S可以读O,当且仅当SdomO,且

S对。具有自主型读访问权限。

■*属性S可以写O,当且仅当OdomS且S对。具

有自主写权限。

■基本安全定理设系统、的某一个初始安全状态为。0,T

是状态转换的集合。如果T的每个元素都遵守简单安全条

件和*—属性，那么对于每个i>0,状态“都是安全的。

2006年12月8日星期五南京大学计算机系讲义25

2.2BellLaPadula的形式化描述

2006年12月8日星期五南京大学计算机系讲义26

^^■adula模型一形式化描述

GeneralSystems

■SoXxY

□ThesystemSisarelationontheabstractsetsX

andY.

■S:XfY

SisafunctionfromXtoY

□TheelementsofX:inputs

TheelementsofY:outputs

□Sexpressesafunctionalinput-outputrelationship.

2006年12月8日星期五南京大学计算机系讲义27

mdula模型一非形式化描述

Example

■Considerasavingaccountinabankwhich

compoundsinterestquarterly

■bk=(bk4+pk)-(l+ik)(1.1)

□bk:thebalanceafterthecomputationofinterestat

theendofthek-thquarter.

□pk:thenettransactionintheaccountduringthek-th

quarter.

□ik:thequarterlyinterestrateattheendofthek-th

quarter.

2006年12月8日星期五南京大学计算机系讲义28

.Ela模型一非形式化描述

Example(continues)

■Aseven-yearhistoryofsuchasavingsaccountisrepresentedbya

system

■S(b0)cPxIxB

b0:theinitialbalanceintheaccount

P=R28:thetwenty-eighttransactions

I=R28:thetwenty-eightquarterlyinterestrates

□B=R28：thetwenty-eightsuccessivebalances

■(p,i,b)eS(b0)iff(1.1)holdforeverykfrom1to28

2006年12月8日星期五南京大学计算机系讲义29

^^■aclula模型一非形式化描述

SecureComputerSystems

■Problemsofsecurity

□Howtoguaranteethatunauthorizedaccess(byaprocess)

toinformation(file,program,data)doesnotoccur.

2006年12月8日星期五南京大学计算机系讲义30

mdula模型一非形式化描述

FoundationsofaMathematicalModel

■模型的元素

集合元素语义

S{S1,S2,••・,Sn}主体：进程

O{01,02,••・,Om}客体：数据、文件、程序、设备等。

C{C1,C2,•••,Cq}级别：主体的安全许可，客体的敏感级别。

{Cl>C2>•••>Cq

K{K1,K2,••*,Kr}类别：访问权限范围。

2006年12月8日星期五南京大学计算机系讲义31

型一非形式化描述

ElementsoftheModel(2)

A{r,w,e,a,c}访问属性：read,write,append,

execute,andcontrol

RA{g,r,c,d}请求兀素：

g:get,give

r:release,rescind

c:change,create

d:delete

RS+XRAXS+X0XX请求：

其中：s+=suwinputs,

X=AU{(I)}UF;commands,

requestsforaccesstoobjectsby

一个请求的元素记为R

ksubjects

D(yes,no.error,?}决定

D的元素记为Dm

2006年12月8日星期五南京大学计算机系讲义32

ghdula模型一非形式化描述

ElementsoftheModel(2)

FCsxC°x(PK)Sx(PK)°classification/need-to-knowvectors：

anarbitraryelementoffl:subject-classificationfunction

Fiswrittenf=f2:object-classificationfunction

(fl,f2,f3,f4)f3:subject-categoryfunction

f4:object-categoryfunction

XRTrequestsequences

anarbitraryelementof

Xiswrittenx

YDTdecisionsequences

anarbitraryelementof

Yiswritteny

2006年12月8日星期五南京大学计算机系讲义33

ghdula模型一非形式化描述

ElementsoftheModel(4)

M{Ml,M2,•・・,Mc},accessmatrices

C=(25)n•m；1.

anelementofM,sayMk,isannXm

matrixwithentriesfromPA;the

(i,j)-entryofMkshowsS/saccess

attributesrelativeto0j

VP(SxOxA)xMxFstates

anarbitraryelementofViswrittenv

ZVTstatesequences

anarbitraryelementofziswrittenz;»

Gzisthet-thstateinthestatesequencez

2006年12月8日星期五南京大学计算机系讲义34

mdula模型一非形式化描述

StatesoftheSystem

■AstatevGVisa3-tuple(b,M,f)where

(1)b

bGP(Sx0xA),indicatingacurrentaccess

setwhichrepresentingaccessmode.

acurrentaccessisrepresentbyatriple:(subject,

object,access-attribute)

thecurrentaccesssetbisasetofsuchtriples

representingallcurrentaccesses.

2006年12月8日星期五南京大学计算机系讲义35

模型一非形式化描述

(2)M

mGM,indicatingtheentriesoftheaccessmatrixinthe

statev;

^^^^Object0j

Subject

S1叫ePA

2006年12月8日星期五南京大学计算机系讲义36

mdula模型一非形式化描述

(3)f

■fGF,indicatingtheclearancelevelofallsubjects,

theclassificationlevelofallobjects,andthecategories

associatedwitheachsubjectandobjectinthestatev.

□Clearanceorclassificationusuallydenotedby

unclassified,confidential,secret,topsecret

□CategoryusuallydenotedbyNuclear,NATO,Crypto,...

□Atotalsecuritydesignationispair:

(classification,setofcategory)

2006年12月8日星期五南京大学计算机系讲义37

mdula模型一非形式化描述

State-TransitionRelation

■WeRxDxVxv

■ThesystemZ(R,D,W,z°)oXxYxZisdefinedby

(x,y,z)GS(R,D5W,Z0)ifandonlyif

(xt,yt,zt,zt_-()GWforeachtGT

□wherez0isaspecifiedinitialstateusuallyofthe

form((|),M,f)5where0denotestheemptyset.

2006年12月8日星期五南京大学计算机系讲义38

mdula模型一非形式化描述

SECURITYCONDITION

(S,O,x)GSxOxAsatisfiesthesecurity

conditionrelativetof(SCrelf)iff

(i)x=eorx=aorx=c,or

(ii)(x=rorx=w)and

(fi(S)>f2(O)and

f3(S)3f4(O)).

2006年12月8日星期五南京大学计算机系讲义39

mdula模型一非形式化描述

SECURITYCONDITION

■Astatev=(b,M,f)GVisasecurestateiffeach

(S,O,x)£bsatisfiesSCrelf.

■Astatevisacompromisestate(compromise)iffit

isnotasecurestate.

■AstatesequencezGZhasacompromiseiffztis

acompromiseforsometGT.

■zisasecurestatesequenceiffztisasecurestate

foreachtGT.

2006年12月8日星期五南京大学计算机系讲义40

真型一非形式化描述

SECURITYCONDITION

■E(R,D,W,z0)isasecuresystemiffevery

appearanceofE(R,D,W,z0)issecure.

■S(R,D,W,z0)hasacompromiseiffsome

appearanceofZ(R,D,W,z°)hasacompromise.

2006年12月8日星期五南京大学计算机系讲义41

真型一非形式化描述

,PROPERTY

■Letb(s:x,y,...,z)denotetheset

{o:oeOand[(s,o,x)Gbor(s,o,y)Gbor•••or(s,o,z)eb]}.

■Astatev=(b,M,f)GVsatisfies*-propertyiffforeachsG

Sthefollowingpropositionistrue:

[b(s:w,a)半巾andb(s:r,w)丰巾]implies

上⑼)>f2(O2)andf4(Ox)of4(O2),

forallO]inb(s:w,a),O2inb(s:r,w)]

■Astatevviolates"-propertyiffvdoesnotsatisfy*-

property.

2006年12月8日星期五南京大学计算机系讲义42

mdula模型一非形式化描述

,PROPERTY

■AstatesequencezGZsatisfies"-propertyiffzt

satisfies*-propertyforeachtGT.

■(x,y,z)GE(R,D,W,z0)satisfies*-propertyiffz

satisfies*-property.

■E(R,D,W,zO)satisfies*-propertyiffevery

appearanceofE(R,D,W,z0)satisfies*-property.

2006年12月8日星期五南京大学计算机系讲义43

mdula模型一非形式化描述

discretionarysecurityproperty

■Astatev=(b，M，f)GVsatisfiesds-property

if

■Astatesatisfiestheds-propertyprovidedthatevery

currentaccessispermittedbythecurrentaccess

matrixM:

(S?Oj,x)Gb今xGMg

2006年12月8日星期五南京大学计算机系讲义44

模型一非形式化描述

Rules

■Aruleisafunctionr:RxV—>DxV.

givenarequestandastate,aruledecidesa

responseandastatechange.

■Arulerissecurity-preservingifftheproposition

[[r(Rk,v)=(Dm,v*)andvissecure]implies

[v*issecure]]

holdsforallelements(Rk,v)eRxV.

2006年12月8日星期五南京大学计算机系讲义45

mdula模型一非形式化描述

Rules

■Aruleris"-property-preservingifftheproposition

[[r(Rk,v)=(Dm,v*)andvsatisfies*-property]

implies[v*issecure]]

holdsforallelements(Rk,v)GRxV.

2006年12月8日星期五南京大学计算机系讲义46

mdula模型一非形式化描述

Action

■(Ri,Dj,v*,v)eRxDxVxVisanactionof

E(R,D,W,z0)iff

□thereisanappearance(x,y,z)ofE(R5D,W,z0)

□andsometGTsuchthat

(Ri，Dj,v*,v)=(xt,yt,zt,zt.1)

2006年12月8日星期五南京大学计算机系讲义47

mdula模型一非形式化描述

Theorems

■Theorem1(R,D,W,z0)issecureforanysecurestatez()iff

Wsatisfiesthefollowingconditionsforeveryaction(Ri,Dj,

(b,M,f)):

(i)every(S,O,x)Gb*-bsatisfiesSCrelf*;

(ii)every(S,O,x)GbwhichdoesnotsatisfySCrelf*

isnotinb*.

2006年12月8日星期五南京大学计算机系讲义48

mdula模型一非形式化描述

CovertChannels

■CovertChannel:acommunicationschannelthatallows

transferofinformationinamannerthatviolatesthe

system"ssecuritypolicy.

□Storagechannels:e.g.throughoperatingsystemmessages,

filenames,etc.

Timingchannels:e.g.throughmonitoringsystemperformance

■CovertchannelsarenotdetectedbyBLPmodeling.

2006年12月8日星期五南京大学计算机系讲义49

型一非形式化描述

关于BLP模型的争论

■McLean的上属性和基本安全定理

b(s:a)丰0今[Vo€b(s:a)[fc(s)domfo(o)]]

b(s:w)。。今[Vo£b(s:w)[fc(s)=fo(o)]]

b(s:r)丰0今[Vo€b(s:r)[fc(s)domfo(o)]]

■McLean证明了定理：

X(R,D,W,z0)相对于对S'is任何安全状态z0满足t-属性，当且

仅当对于任何行为(r,d,(b,m,f),,(b',m',f'))和每个s€S,W都满足

条件：

对任意的(s,o,a)€b-b'满足关于S'的f-属性；

(s,o,a)£b'中不满足关于S'的f属性的元素都不属于b。

2006年12月8日星期五南京大学计算机系讲义50

mdula模型一非形式化描述

■McLean的基本安全定理：

S(R,D,W5Z。)是一个安全系统，当且仅当是一个安

全状态，并且W满足关于简单安全属性、♦安全属

性和自主访问控制ds的安全属性。

■显然McLean的系统、(R,D,W,z0)是不安全的,

因为这个系统的规则允许信息向下流动。

■但是这系统满足基本安全定理。

2006年12月8日星期五南京大学计算机系讲义51

型一非形式化描述

■Bell的基本安全定理表明的是如果系统的行为满足给定

的条件，则系统的状态的属性能得以保持。

■系统状态的属性的内容与模型是独立的。

■如果把McLean的「属性中的条件

b(s:a)+0今[Vo€b(s:a)[fc(s)domfo(o)]]

解释为主体的完整性级别(可信程度)高于客体的完整性

级别时，主体才可以写客体o,则的确McLean的属性表

达了另一个安全目标。

McLean的基本安全定理也就表明了在什么条件下，系统

的系统的安全属性得以保持。

2006年12月8日星期五南京大学计算机系讲义52

4.Biba模型

■KJ.Biba,IntegrityConsiderationsforSecure

ComputerSystems,USAFElectronicSystems

Division,Bedford,Mass.,April1977.

□thefirstsecuritymodeltoaddressintegrity

2006年12月8日星期五南京大学计算机系讲义53

Biba模型的元素

■s：主体集合；

■o：客体的集合

■I:完整性等级集合；I

关系v11xI,(i[,i2)£＜当且仅当i1完整性等级高

于i2的完整性等级。

■函数i:SU0-I的值是主体或客体的完整性等

级。

2006年12月8日星期五南京大学计算机系讲义54

完整性登记的含义

■等级越高，程序正确执行（或者根据程序输入和程序的执

行停止来检测出问题）的可靠性就越高。

■高等级的数据比低等级的数据具备更高的精确性和可靠

性（根据不同的测量方法）。

■此外，这种模型隐含地融入了“信任”这个概念。事实

上，用于衡量完整性等级的术语是“可信度”。例如，

一个进程所处等级比某个客体的等级要高，则可以认为

进程比该客体更“可信”。

2006年12月8日星期五南京大学计算机系讲义55

Biba静态的完整性策略

■简单完整性策略如果主体S可以写入客体0,则

i(s)>i(o)

■完整性策略：如果主体S可以读客体O,则S

能写客体。,必须要满足i(o)2i(o')

■调用策略：一个'不那么可信'的主体"不能

通过调用主体与：来破坏一个客体。主体”可以

调用力仅当i(Si)2i(s2)

■No—ReadDown

■No—WriteUp

2006年12月8日星期五南京大学计算机系讲义56

对于主体的下限标记策略

(Low-watermarkpolicyforsubjects)

■一个主体能够持有对给定客体的“modify”访问方式，仅

当此主体的完整级别支配该客体的完整级别。

■一个主体能够持有对另一主体的“invoke''访问方式，

仅当第一个主体的完整级别支配第二个主体的完整级

别。

■一个主体能够持有对任何客体的“observe”访问方式。

当主体s扰行了对客体。的“observe”操作之后，主袜的

完整级别被置为访问之前主体和客体的完整级别的最大

下界gib.(心以似O

■由于主体的完整性等级是非递增的，所以，它可能很快

就不能访问完整性登记较高的客体了。

2006年12月8日星期五南京大学计算机系讲义57

环策略(Ringpolicy)

■一个主体能够持有对给定客体的“modify”访问方式，

仅当此主体的完整级别支配该客体的完叁级别。

■一个主体能够持有对另一主体的“invoke''访问方式,

仅当第一个主体的完整级别支配第二个主体的完整级

别。

■主体对具有任何完整级别的客体均能够持有“observe”

访问方式

■一个具有高完整性级别主体能够“observe”一个具有较

低完整级别的客体，然后“modify”具有自己安全级别

客体，这样信息就从低完整级别流向高或不可比完整级

别。

2006年12月8日星期五南京大学计算机系讲义58

5.第昂(Dion)模型

■LukeC.Dion,ACompleteProtectionModel)

Proceedingsofthe1981IEEESymposiumon

SecurityandPrivacy,pp49-55.

2006年12月8日星期五南京大学计算机系讲义59

第昂(Dion)模型

■Object/objectcomputationalmodel.

■Migration/corruptionlevels.

■Read/writeLevels.

■Integratedview.

2006年12月8日星期五南京大学计算机系讲义60

■BLPmodelprevent:

□asubjectreadingdataresidingatahighersecurity

level;

□asubjectwritingdatatoalowersecuritylevel.

■TheintegrityextensiontoBLPprevent:

□asubjectwritingtoahigherintegritylevel;

□asubjectreadingfromalowerintegritylevel;

2006年12月8日星期五南京大学计算机系讲义61

IntegrityLevel

■Allobjectsandsubjectsofthesystemhavean

associatedintegritylevel.

■Thesetofallpossibleintegritylevelsispartially

ordered.

2006年12月8日星期五南京大学计算机系讲义62

■ExplicitConnection

□WhenasubjectwishestotranaferdatabetweenobjectOd

andobjectO2,itmustestablishanexplicitconnection

betweentheobjects.

□Onceanexplicitconnectionisestablishedbetweentwo

objects,asubjectcanthencausedatatoflowbymakingthe

appropriatesystemcalls.

■ImplicitConnection

□Ifasubjectisallowedtosimultaneouslymaintainmorethan

onesegment,thenwhenaddinganewsegmentanimplicit

connectionmustbemadebetweenthenewsegmentand

everysegmentfromwhich(ortowhich)datamayflow.

□Thatis,nosubjectisallowedtoartificiallyconstructa

connection(usingsegments)whichbypasses(explicit)

connectionestablishmentprotocol.

2006年12月8日星期五南京大学计算机系讲义63

■Eachobjecthasthreesecurityandthreeintegritylevels

■MigrationLevel

□Themigrationlevel(ML)ofanobjectisthehighest

securitylevel(MSL)andthelowestintegritylevel(MIL)to

whichdataintheobjectmayflow.

■AbsoluteLevel

□Theabsolutelevel(AL)ofanobjectisthesecuritylevel

(ASL)andtheintegritylevel(AIL)atwhichthedatainthe

objectisclassified.

■CorruptionLevel

Thecorraptlonlevel(CL)ofanobjectisthelowest

securitylevel(CSL)orthehighestintegritylevel(CIL)

fromwhichdatamayflowintothatobject.

2006年12月8日星期五南京大学计算机系讲义64

Additionalrestrictions

■Theadditionofmigrationandcorruptionlevelstothe

integrityextendedBell&LaPadulamodeladdsenforced

upward(forsecurity)anddownward(forintegrity)data

flowrestrictions.

2006年12月8日星期五南京大学计算机系讲义65

Read/writelevels

■Controlledsecurityviolationbyprivilegedsubjects.

■Eachsubjecthasthreesecurityandintegritylevels.

■ReadLevel

□Thereadlevel(RL)ofasubjectisthehighestsecuritylevel

(RSL)andlowestintegritylevel(RIL)fromwhichthesubjectis

allowedtoread.

■AbsoluteLevel

□Theabsolutelevel(AL)ofasubjectisthesecuritylevel(ASL)

andintegritylevel(AIL)giventhesubjectuponcreation.

■WriteLevel

□Thewritelevel(WL)ofasubjectisthelowestsecuritylevel

(WSL)andhighestintegritylevel(WIL)towhichthesubjectis

allowedtowrite.

2006年12月8日星期五南京大学计算机系讲义66

Controledviolations

■Ifthereadsecuritylevelofasubjectishigherthanits

absolutesecuritylevel,orifthewritesecuritylevelofa

subjectislessthanitsabsolutesecuritylevel,thenthesubject

possessestheabilitytoperformcontrolledsecurityviolations.

2006年12月8日星期五南京大学计算机系讲义67

Integratedview

■ThefollowinginequalitiesmustbetrueforPtoestablish

aconnectionfromOxtoO2:

OiMSL三O2MSL(SI)

OjCSL2O2CSL(S2)

PRSLNO]ASL(S3)

O2ASL^