訪問控制技術課件

訪問控制技術

AccessControlTechnologies引言二十一世紀，信息化已成為國民經濟和社會發(fā)展的倍增器。信息技術作為推動信息化進程的核心動力，正以其廣泛的滲透性和無與倫比的先進性與傳統(tǒng)產業(yè)進行著緊密的結合，推動了國家現(xiàn)代化和社會文明的快速發(fā)展。Page*信息安全產生的背景目前許多行業(yè)系統(tǒng)對信息安全框架的構造只停留在網絡防護，而忽略了基礎安全平臺這一基本要素，這如同將堅硬的堡壘建立在沙丘之上，安全隱患極大。由于信息技術本身的特殊性，特別是網絡的開放性，使得在整個信息化進程中，存在著巨大的信息安全風險：技術因素環(huán)境因素Page*對信息保密性的攻擊監(jiān)聽竊聽截聽紙上信息電子信息訪問攻擊Page*信息安全無處不在物理安全通信安全輻射安全計算機安全網絡安全Page*有關Internet1996/8/17美國司法部的網絡服務器遭到黑客入侵

主頁改為美國不公正部/部長照片換成了希特勒/司法部徽章?lián)Q成納粹黨徽/色情女郎變成部長助手1988/11/2病毒入侵計算機網絡事件

美國6000多臺計算機被病毒感染/病毒作者CORNELLU.RobertT.Morris/231994末俄羅斯黑客佛拉基米爾.利文攻擊CITIBANK,通過電子轉帳方式,竊取1100萬元美金1991/5由于網絡系統(tǒng)被攻破在BISCAY海灣發(fā)生沉船事故1993/6黑客修改了美國一家醫(yī)院的測試數(shù)據(jù),許多被測者誤以為自己患上了癌癥1998/8/22江西省169臺被黑客攻擊癱瘓1998/4/25黑客攻擊CHINANET貴州站點的WWW主機,使得WEB頁面不堪入目

在現(xiàn)在的INTERNET上沒有任何事情是可以絕對相信的,從遠方的一個IP地址到收到的一份電子郵件,我們不能相信它是真實的。Page*瑞星全球反病毒檢測網2006年11月17日發(fā)布消息稱，中國銀聯(lián)官方網站被黑客攻陷，其首頁被植入后門程序，并在服務器上放置了“黑洞2005”。

2006年11月18日中國銀聯(lián)有關負責人表示，銀聯(lián)卡交易網絡未受影響。銀聯(lián)網站被黑不影響交易Page*CERT有關安全事件的統(tǒng)計

年份事件報道數(shù)目19886198913219902521991406199277319931334199423401995241219962573199721341998373419999859200021756200152658200282,0942003137,529Page*信息安全事件統(tǒng)計CERT有關安全事件的統(tǒng)計年度報道事件數(shù)目與軟件漏洞相關事件數(shù)目2003114,8553784200282,094412920015265824372000217561090Page*CNCERT/CC來自國內外安全事件報告一覽月份蠕蟲網頁惡意代碼木馬網絡欺詐拒絕服務攻擊網頁篡改掃描主機入侵垃圾郵件其他合計11301917221432812412614176335735186937121226841116357025461220852313326104353112410421174401295617211110991100251157總計19732205561240629723189136302003年上半年4675，下半年8639Page*一、計算機信息系統(tǒng)面臨的安全威脅

計算機信息系統(tǒng)是由計算機及其相關的和配套設備、設施(含網絡)構成的，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸?shù)忍幚淼娜藱C系統(tǒng)。

Page*

威脅的幾種類型1竊取

:對數(shù)據(jù)和服務的竊取

2篡改:對數(shù)據(jù)和服務的篡改

3拒絕服務

4偽造：偽造虛假數(shù)據(jù)

5重放

6冒充：冒充身份

7抵賴Page*二、計算機犯罪1、以破壞計算機系統(tǒng)資源為目標

①“硬”攻擊手段

②“軟”攻擊手段

③以強的電磁場干擾計算機的工作

2、利用計算機系統(tǒng)作為犯罪工具

①竊取計算機中有價值的數(shù)據(jù)

②貪污和詐騙

③破壞計算機中的信息Page*三、計算機犯罪的特點1.是一種高技能、高智能和專業(yè)性強的犯罪2.造成的損失嚴重，危害大，影響廣

3.難以發(fā)現(xiàn)和偵破四、信息戰(zhàn)Page*信息戰(zhàn)InformationWarfare（IW)這個名詞已經變得廣為接受，相應地還有Cyberwar,I-War，infowar,C4I等名詞誕生根據(jù)IASIW(INSTITUTEFORTHEADVANCEDSTUDYOFINFORMATIONWARFARE)的定義，信息戰(zhàn)爭指：使用信息或信息系統(tǒng)的攻擊和防御，以利用、惡化、摧毀對手的信息和信息系統(tǒng)，同時保障自身的信息和信息系統(tǒng)Page*信息戰(zhàn)常識信息戰(zhàn)的發(fā)起可以從任何地方，信息戰(zhàn)的武器包括各個方面：病毒，特洛伊木馬，郵件炸彈，電磁干擾等信息戰(zhàn)要素C4I:Command,Control,CommunicationsandIntelligence+Computer信息戰(zhàn)的層次個人之間企業(yè)之間政府之間網上的偷盜行為盛行，使得許多銀行、商家推遲網上交易計劃

Page*信息戰(zhàn)爭演習英美專家策劃舉行信息戰(zhàn)爭演習，假想敵人是計算機“黑客”美國政府“建議一些分析性的演習，以檢驗21世紀早期的Cyberwar以及不同的模式”在美國舉行的一些演習證明：少數(shù)幾個計算機“黑客”即可使美國的股票市場、軍事系統(tǒng)和機場陷于癱瘓Page*五、計算機信息系統(tǒng)的脆弱性1.硬件設施的脆弱性

溫度、濕度、灰塵、電磁場2.軟件的脆弱性3.網絡通信的脆弱性Page*信息安全無處不在物理安全通信安全輻射安全計算機安全網絡安全Page*計算機安全和網絡安全的含義—網絡安全網絡安全是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不因偶然的或者惡意的原因而遭到破壞更改泄漏,系統(tǒng)連續(xù)可靠正常地運行，網絡服務不中斷。

Page*計算機安全和網絡安全的含義—物理安全

物理安全風險主要是指信息系統(tǒng)中的網絡設施和計算機硬件設施所可能遭受的物理破壞或損壞，造成物理風險的原因包括：（1）地震、火災、水災等意外環(huán)境事故；（2）電源故障；（3）人為操作失誤或錯誤；（4）設備被盜、被毀。Page*計算機安全和網絡安全的含義—運行安全運行安全風險是指系統(tǒng)組件在不存在物理損壞的前提下因為某些原因而不能正常運行的問題，運行風險包括：（1）停電；（2）設備故障；（3）電磁干擾；（4）病毒。Page*計算機安全和網絡安全的含義—管理安全

管理安全風險主要是指因為管理不善的原因而造成的上述各類風險，管理風險主要關注的是系統(tǒng)中的各類人員。責權不明、管理混亂；安全管理制度不健全；缺乏可操作性。Page*計算機安全和網絡安全的含義—信息安全

信息安全包括信息的保密性、完整性和可用性。而信息安全風險則是指信息的保密性、完整性和可用性遭受破壞的問題，信息風險雖然關注的是信息的安全，但是這些風險卻完全可能是因為網絡、計算機軟硬件等自身存在的缺陷所引起的。Page*計算機安全和網絡安全的含義

具體的信息安全風險包括：機密信息泄漏未經授權的訪問破壞信息完整性假冒，包括：

假冒領導或機構發(fā)布命令和調閱密件；假冒合法主機和用戶欺騙其他主機和用戶；假冒網絡控制程序套取或修改使用權限、通行字、密鑰等信息，越權使用網絡設備和資源；接管合法用戶欺騙系統(tǒng)，占用合法用戶資源。破壞系統(tǒng)的可用性，包括：

使合法用戶不能正常訪問網絡資源；使有時間要求的服務不能及時得到響應；使信息系統(tǒng)癱瘓。Page*信息安全的定義信息安全是一個復雜而巨大的系統(tǒng)工程。長期以來，人們把信息安全理解為對信息的機密性、完整性、可用性和可控性的保護。一般而言，信息安全的基本內容包括訪問控制、數(shù)據(jù)存儲安全、傳輸安全及管理措施四個方面，而所涉及的安全問題又要依靠密碼技術、數(shù)字簽名技術、身份認證技術、安全審計、災難恢復、防火墻、防病毒、防黑客入侵等安全機制（措施）加以解決。Page*安全網絡的特征保密性信息不泄漏給非授權的用戶、實體和過程，或供其利用的特性數(shù)據(jù)保密性就是保證只有授權用戶可以訪問數(shù)據(jù)，而限制其他人對數(shù)據(jù)的訪問。數(shù)據(jù)保密性又分為網絡傳輸保密性和數(shù)據(jù)存儲保密性保密性：對抗對手的被動攻擊，保證信息不泄漏給未經授權的對象Page*安全網絡的特征完整性數(shù)據(jù)未經授權不能進行改變的特性，保證數(shù)據(jù)和信息處于一種完整和未受損害的狀態(tài)，不影響數(shù)據(jù)的可用性?？捎眯援斝枰獢?shù)據(jù)時，指能否存取和訪問所需的信息如網絡環(huán)境下的拒絕服務、系統(tǒng)不能正常運行【蠕蟲大量復制和傳播，占用大量CPU時間，系統(tǒng)慢，網絡最后崩潰。網站費用陡增】可控性對信息的傳播和信息內容能夠控制完整性：對抗對手的主動攻擊，防止信息被未經授權的篡改可用性：保證信息及信息系統(tǒng)確實為授權使用者所用可控性：對信息及信息系統(tǒng)實施安全監(jiān)控Page*信息安全分類及基本功能

根據(jù)國家計算機安全規(guī)范，我們可以把信息安全大致分為三類：●實體安全，包括機房、線路，主機等；●網絡與信息安全，包括網絡的暢通、準確及其網上的信息安全；●應用安全，包括程序開發(fā)運行、輸入輸出、數(shù)據(jù)庫等的安全。Page*網絡安全的結構層次Page*信息安全風險分析及對策風險安全對策用戶風險身份假冒身份認證身份竊取身份認證非授權訪問訪問授權管理重放攻擊鑒別、記錄、預警否認審計、記錄深度入侵預警、阻斷數(shù)據(jù)風險竊取實體安全、加密篡改完整性檢驗毀壞災難恢復有害數(shù)據(jù)侵入(包括病毒等)所造成的破壞檢測、過濾、分析、捕獲應用和服務風險非授權訪問訪問授權身份假冒身份認證密鑰管理漏洞CA、KDC、PKI數(shù)據(jù)庫自身的漏洞檢測、打補丁、升級操作系統(tǒng)自身的漏洞漏洞檢測、打補丁、升級服務的脆弱性及漏洞檢測、打補丁、更新應用系統(tǒng)自身的缺陷更新完善Page*信息安全風險分析及對策服務器風險入侵探測實時監(jiān)測、預警、回火非授權訪問訪問控制策略漏洞策略管理、檢查系統(tǒng)配置缺陷系統(tǒng)版本檢測、更新系統(tǒng)平臺評測、選擇實體安全缺陷防輻射、防橇、防雷擊服務器所存在的陷門和隱通道尚無相應的解決技術及產品網絡風險入侵探測檢測、預警、回火設備攻擊實時監(jiān)測、管理、維護通道保密強度采用高強度加密產品網絡設備配置缺陷定期檢測、加強配置管理、日志、審計網絡設備物理安全缺陷更新網絡設備存在的陷門和隱通道尚無相應的解決技術及產品網絡設備實體的安全防盜、防輻射、防雷擊Page*可信計算機評估標準D級(最低安全形式)無系統(tǒng)訪問、數(shù)據(jù)訪問限制屬于這個級別的OS有：DOS/WINDOWS/MACINTOSHSYSTEN7.1C1級注冊帳號、口令/用戶識別、規(guī)定程序及信息訪問權C2級除C1外包括訪問控制環(huán)境如身份驗證級別、審計日志C2級的常見OS有UNIX/XENIX/NOVELL3.X/WINDOWSNTB1級第一個多級安全級別/強制訪問控制/系統(tǒng)不允許文件的擁有者改變其許可權限B2級又稱結構保護/系統(tǒng)中所有對象均加標簽，設備分配多個級別B3級安全域級別/使用安裝硬件的方式來加強域/要求用戶通過一條可信任途徑鏈接到系統(tǒng)上A級包括了一個嚴格的設計、控制和驗證過程。設計須驗證（數(shù)學），并通過秘密和可信任分布（硬件、軟件在傳輸過程中已受到保護）的分析Page*信息安全產品類型按應用類別一般可分為以下四種：信息保密產品用戶認證授權產品安全平臺/系統(tǒng)網絡安全檢測監(jiān)控設備Page*信息安全產品類型安全平臺/系統(tǒng)安全操作系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)Web安全平臺安全路由器與虛擬專用網絡產品安全授權認證產品數(shù)字證書管理系統(tǒng)用戶安全認證卡智能IC卡鑒別與授權服務器網絡病毒檢查預防和清除產品安全檢測與監(jiān)控產品網絡安全隱患掃描檢測工具網絡安全監(jiān)控及預警設備網絡信息遠程監(jiān)控系統(tǒng)網情分析系統(tǒng)密鑰管理產品高性能加密芯片產品密碼加密產品數(shù)字簽名產品信息保密產品Page*網絡安全體系模型安全模型MPDRRMRPDRManagement安全管理Recovery安全恢復Reaction安全響應Detection入侵檢測Protect安全保護訪問控制機制安全管理機制備份與恢復機制安全響應機制入侵檢測機制Page*安全體系模型的解釋Protect安全保護Detection入侵檢測Reaction安全響應Recovery安全備份Management安全管理Page*常用安全技術安全技術屏蔽布線Nordon防病毒防火墻存儲加密訪問控制入侵檢測系統(tǒng)（IDS）身份鑒別隔離卡VLAN

安全OSIBMOS/400數(shù)據(jù)通信加密安全審計Page*用信息安全理論與技術實現(xiàn)的案例Page*用信息安全理論與技術實現(xiàn)的案例Page*用信息安全理論與技術實現(xiàn)的案例Page*信息安全保密身份鑒別訪問控制信息加密電磁泄露發(fā)射防護信息完整性校驗抗抵賴安全審計網絡安全保密性能檢測入侵監(jiān)控操作系統(tǒng)安全數(shù)據(jù)庫安全Page*身份鑒別鑒別次數(shù)不成功鑒別嘗試達到一定次數(shù)系統(tǒng)須采取行動鑒別方式采取口令方式進行身份鑒別采用IC卡或采用口令進行身份鑒別采用一次性口令或生理特征等強身份鑒別在規(guī)定時段內用戶未做任何操作和訪問系統(tǒng)應提供重鑒別機制口令強度口令保護組成復雜不易猜測口令必須加密存儲口令文件安全口令存放載體的物理安全口令更換周期及更換記錄口令須加密傳輸IC卡物理保護按規(guī)定放置Page*訪問控制訪問控制策略memo安全域劃分根據(jù)信息密級和重要性劃分系統(tǒng)安全域同一安全域中再進行劃分[根據(jù)信息密級、重要性和授權]訪問控制措施不同安全域需互連互通時應進行邊界防護[FW、保密網關]實施訪問控制按用戶類別、信息類別控制/控制到單個用戶、單個文件須采用強制訪問控制訪問控制規(guī)則設置的安全Page*入網訪問控制入網訪問控制—為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。用戶的入網訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。三道關卡中只要任何一關未過，該用戶便不能進入該網絡。對網絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。網絡管理員可以控制和限制普通用戶的賬號使用、訪問網絡的時間和方式。用戶賬號應只有系統(tǒng)管理員才能建立。用戶名和口令驗證有效之后，再進一步履行用戶賬號的缺省限制檢查。網絡應對所有用戶的訪問進行審計。Page*權限控制網絡的權限控制—針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧@些文件、目錄、設備能夠執(zhí)行哪些操作?？梢愿鶕?jù)訪問權限將用戶分為以下幾類：特殊用戶（即系統(tǒng)管理員）；一般用戶，系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權限；審計用戶，負責網絡的安全控制與資源使用情況的審計。Page*目錄級安全控制網絡應允許控制用戶對目錄、文件、設備的訪問。對目錄和文件的訪問權限一般有八種：系統(tǒng)管理員權限、讀權限、寫權限、創(chuàng)建權限、刪除權限、修改權限、文件查找權限、訪問控制權限。一個網絡管理員應當為用戶指定適當?shù)脑L問權限，這些訪問權限控制著用戶對服務器的訪問。Page*屬性安全控制網絡上的資源都應預先標出一組安全屬性。當用文件、目錄和網絡設備時，網絡系統(tǒng)管理員應給文件、目錄等指定訪問屬性。用戶對網絡資源的訪問權限對應一張訪問控制表，用以表明用戶對網絡資源的訪問能力。屬性往往能控制以下幾個方面的權限：向某個文件寫數(shù)據(jù)、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。Page*服務器安全控制網絡允許在服務器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網絡服務器的安全控制包括可以設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設定服務器登錄時間限制。Page*目前信息系統(tǒng)安全加固，采下述思路：非法人員或黑客進不來進來了偷不走偷走了讀不懂Page*應用級及產品層面另一種說法密碼理論與技術認證識別理論與技術（PKI技術）授權與訪問控制理論與技術審計追蹤技術入侵檢測技術網間隔離與訪問代理技術虛擬專用網技術防病毒技術數(shù)據(jù)庫安全技術Page*認證識別、授權與訪問控制理論主要包括：1.身份鑒別

:防止非法用戶進入系統(tǒng)

①驗證用戶知道什么

②驗證用戶擁有什么

③驗證用戶的生物特征

④驗證用戶下意識的動作用戶口令UPage*2.訪問控制

:防止非法用戶對系統(tǒng)資源的非法訪問

自主訪問控制強制訪問控制基于角色的訪問控制基于任務的訪問控制Page*54第二講傳統(tǒng)的訪問控制

訪問控制的基本任務是：防止非法用戶進入系統(tǒng)及合法用戶對系統(tǒng)資源的非法使用，它保證主體對客體的所有直接訪問都是經過授權的。55一基本概念

1.訪問控制不考慮身份鑒別的話，其內容主要包括非法用戶禁止訪問合法數(shù)據(jù)2.客體

是一種能夠從其它客體或主體接收信息的實體3.主體

是一種可以使信息在客體之間流動的實體56

每張表及數(shù)據(jù)項均可看作為一個客體姓名性別年齡班級宿舍號碼

它們可被訪問、修改或刪除如網絡節(jié)點、內存段(類似房間）574.訪問權限(訪問模式)

是指主體對客體可進行的特定訪問操作

讀(r)寫(w)添加(a)執(zhí)行(e)刪除(d)

c控制權

o擁有權:決定別的主體能否訪問這個客體的權限以上表為例插入記錄，其他信息看不見UoC決定其它客體的被訪問權585．自主訪問控制是指對某個客體具有擁有權（或控制權）的主體能夠將對該客體的一種訪問權或多種訪問權自主地授予其它主體，并在隨后的任何時刻將這些權限回收。6．強制訪問控制

系統(tǒng)根據(jù)主體被信任的程度和客體所包含的信息的機密性來決定主體對客體的訪問權，這種控制往往可以通過對主體和客體賦以安全標記來實現(xiàn)。59例：教務處查分。但要在學校的規(guī)定下進行。班主任可以看，不能給學生看。必須有一些條件限制。會計和出納規(guī)定不能由同一個人擔任。一個機構，即使一個文件是你起草的，但這個文件有一個較高的密級，不具備資格或權限看的人亦不能給他看。60二自主訪問控制1.自主訪問控制的矩陣模型系統(tǒng)狀態(tài)用一個有序三元組表示Q=(S,O,A)，其中

S——主體的集合

O——客體的集合

A——訪問矩陣，行對應于主體，列對應客體設S={s1,s2},O={m1,m2,f1,f2,s1,s2}

m1

m2

f1

f2

s1

s2

ú?ùê?é=},,{e}w,{r,{r}w}r,{c,{r}e}w,{r,21ercssA61626364矩陣是動態(tài)增大的創(chuàng)建一個客體就增加一個列進來一個主體就增加一個行例m1m2f1s1{r,w}{r}{a.e}s2{r}{r,w,a}m1m2f1f2s1{r,w}{r}{a.e}s2{r}{r,w,a}m1m2f1f2s1{r,w}{r}{a.e}s2{r}{r,w,a}s3{r,w,a}65收回授權的情況，狀態(tài)本身也在變化例m1m2f1s1{r,w}{r}{a.e}s2{r}{r,w,a}m1m2f1s1{r}{r}{a.e}s2{r}{r,a}應該有一個控制程序：訪問或不允許訪問存儲結構是一個大稀疏矩陣6667訪問能力表(CL)

Obj1OwnRWOObj2

R

OObj3

RWOUserA每個主體都附加一個該主體可訪問的客體的明細表。二元組(x,y)（客體，{O,R,W})68例：2.1M1M2F1F2P1P2P1{r,w,e}{r,w,a,d,e}P2{r,a}{r,w,a,d}697071訪問控制表(ACL)

userAOwnRWOuserB

R

OuserCRWOObj1每個客體附加一個它可以訪問的主體的明細表。7273742.自主訪問控制的實現(xiàn)方法

⑴基于行的自主訪問控制—權力表

(2)基于列的自主訪問控制—授權表

S1的權力表{r,w}{r}{a,e}m1m2f1POm1的授權表{r,w}{r}S1S2PSskip75S1的權力表{r,w}{r}{a,e}m1m2f1POm1的授權表{r,w}{r}S1S2PSm1m2f1s1{r,w}{r}{a.e}s2{r}{r,w,a}大表拆成多張小表skip76訪問控制矩陣按列看是訪問控制表內容按行看是訪問能力表內容目標xR、W、OwnR、W、Own目標y目標z用戶a用戶b用戶c用戶dRRR、W、OwnR、WR、W

目標用戶

773.授權的管理方式⑴集中式管理

一個主體si在創(chuàng)建某個客體oj后，該主體就獲得了對這一客體的c權和其它所有可能權限。c權意味著可以將它對oj所有其它（除c權以外）的訪問權限授予系統(tǒng)中任何一個主休，也可以撤銷系統(tǒng)中任何主體對oj的其它訪問權限。其它主體因為對oj不具有c權，因此即使他們對oj具有某些訪問權限，但它們也無權將這些權限轉授給別的主體、或撤銷別的主體對oj的任何訪問權限——在這種管理模式下，對于任一客體oj，哪些主體可以對其進行訪問，可以進行什么樣的訪問，完全由oj的擁有者決定。

對于任一客體oj，完全由oj的擁有者決定78⑵分散式管理

在分散式管理模式下，客體的擁有者不但可將對該客體的訪問權授予其它客體，而且可同時授予他們對該客體相應訪問權的控制權（或相應訪問權的授予權）。（1）允許傳遞授權（2）當一個主體撤銷它所授予的對某個客體的某種訪問權限時，必須將由于這一授權而引起的所有授權都予以撤銷。79例在數(shù)據(jù)庫中，對關系表的訪問權限包括：READ讀表中的行，利用關系查詢，定義基于關系的視圖INSERT行DELETE行UPDATE列DROP刪除表80創(chuàng)建數(shù)據(jù)庫表的一個例子CREATETABLEpublishers(pub_idchar(4)NOTNULL

CONSTRAINTUPKCL_pubindPRIMARYKEYCLUSTEREDCHECK(pub_idIN('1389','0736','0877','1622','1756')ORpub_idLIKE'99[0-9][0-9]'),

pub_namevarchar(40)NULL,cityvarchar(20)NULL,statechar(2)NULL,countryvarchar(30)NULL

DEFAULT('USA'))81顯示居住在加利福尼亞州且姓名不為McBadden的作者列。

SELECTau_fname,au_lname,phoneASTelephoneFROMauthorsWHEREstate='CA'andau_lname<>'McBadden'82INSERTINTOT1(column_4)VALUES('Explicitvalue')INSERTINTOT1(column_2,column_4)VALUES('Explicitvalue','Explicitvalue')INSERTINTOT1(column_2,column_3,column_4)VALUES('Explicitvalue',-44,'Explicitvalue')SELECT*FROMT183一個帶有WHERE條件的修改語句。

UPDATEauthorsSETstate='PC',city='BayCity'

WHEREstate='CA'ANDcity='Oakland'

84GRANT語句是授權語句，它可以把語句權限或者對象權限授予給其他用戶和角色。DENY語句用于拒絕給當前數(shù)據(jù)庫內的用戶或者角色授予權限，并防止用戶或角色通過其組或角色成員繼承權限。85REVOKE語句是與GRANT語句相反的語句，它能夠將以前在當前數(shù)據(jù)庫內的用戶或者角色上授予或拒絕的權限刪除。86下圖表示數(shù)據(jù)庫中對某個關系x的授權情況（課本P22

）ADCB

10R(y),I(y)20R(y),I(y)

30

R(y),I(y)15R(n)除了控制權外，其它都可以授出去87關系X的授權表用戶表授予者READINSERT控制BXA1010yDXA150nCXB2020yDXC3030y88在t＝40用戶A撤銷了對B的授權后ADCB15R(n)89在t＝40用戶A撤銷了對B的授權后關系X的授權表的變?yōu)椋河脩舯硎谟枵逺EADINSERT控制DXA150n90⑶受限的分散式管理

受限的分散式管理模式，是將系統(tǒng)中對客體的訪問權限限制在一定的主體范圍內，要求根據(jù)客體擁有者的意愿進行。例發(fā)放黑令牌

客體o的擁有者可對系統(tǒng)內不允許對客體o進行寫訪問的主體發(fā)放黑令牌，阻止其它有權對o進行寫訪問的主體將這一訪問權授予這些主體。例某一機構的組織結構。頂級節(jié)點可看作系統(tǒng)管理員/系統(tǒng)安全員/系統(tǒng)中所有資源的擁有者,他對資源的訪問具有絕對的控制權。91922.3強制訪問控制與安全策略自主訪問控制保證系統(tǒng)資源不被非法訪問一種有效手段保護用戶個人資源的安全為目標以個人的意志為轉移這種自主性滿足了個人的安全需求為用戶提供了靈活性但對系統(tǒng)安全的保護力度是相當薄弱的93系統(tǒng)資源自主性滿足了用戶個人資源的安全要求自主訪問控制禁止對非法訪問以個人的意志為轉移用戶個人資源的安全一種有效手段94對系統(tǒng)安全的保護力度相當薄弱有利于個人用戶不利于系統(tǒng)安全當系統(tǒng)中有大量數(shù)據(jù),數(shù)據(jù)宿主是國家,是整個組織或整個公司時,誰來對他們的安全負責?95為了保護系統(tǒng)的整體安全,須采取更強有力的訪問控制手段控制用戶對資源的訪問強制訪問控制962.3.1強制訪問控制在一個實施了強制訪問控制的系統(tǒng)中主體客體被允許訪問可進行什么樣的訪問972.3.2安全策略98第三講安全策略與安全模型

一數(shù)學基礎

1.集合元素子集

a∈AHS2.集合的冪集

2A=P(A)={HA}3.笛卡爾積

A×B={(a,b)|a∈A,b∈B}4.集合A上的關系的性質

設

是A上的關系,a∈A

均aa自反

設

是A上的關系,a,b∈A若a

b,則ab與ba不能同時出現(xiàn)

反對稱

設

是A上的關系,a,b,c∈A若ab,bc則一定有ac

可傳遞的99偏序關系：集合A

上的關系ρ

，如果它是自反、反對稱且可傳遞的，則稱ρ為A

上的一個偏序關系?！捌蜿P系”也叫做“偏序”，用“≤”符號表示?？杀龋涸O≤是集合A

上的偏序，對于a、b∈A，若有a≤b

或b≤a，則稱a和b是可比的，否則稱a和b是不可比的全序：一個集合A

上的任意兩個元素之間都滿足偏序關系，則稱該偏序為A

上的一個全序。良序：一個集合A

上的偏序，若對于A

的每一個非空子集S

A，在S

中存在一個元素as（稱為S

的最小元素），使得對于所有的s∈

S，有as≤s，則稱它為A上的一個良序。5.集合上的偏序關系1006.次序圖

ab若存在ac,cb則a,b無邊

由于偏序是反對稱的，關系圖上每兩個節(jié)點之間，若要有邊，只有一條邊，一個方向。例1：A＝{2，3，4，6，8，12，36，60}上的整除關系ρ是一個偏序，其關系圖如圖1：可以用結點的上下位置代替邊的方向，省略箭頭，如圖236061223648圖263421283660圖110136061223648圖3圖3是偏序ρ的關系圖的一種特殊形式。它雖然省略了箭頭和許多邊，卻仍然很明確地表示了集合上所有元素間的整除關系，而且更加簡單明了把偏序的關系圖中省略了箭頭和間接方向的圖稱為次序圖。還把可以間接到達的路省略。于是得到圖336061223648圖263421283660圖1102注：⑴次序圖是偏序關系的關系圖的一種特殊表示形式。它只能表示有限集合上的偏序關系。⑵次序圖用結點的上下位置表示元素之間的偏序關系，所以在次序圖不能有水平線⑶次序圖中，能間接到達的兩個結點之間不要連一邊，因此，次序圖中不能有三角形1037.一個有用的結論

命題:若<A;≤1>和<B;≤2>是兩個偏序集,在笛卡爾積A×B上定義關系≤,對任意(a1,b1),(a2,b2)∈A×B當且僅當

a1≤1a2,b1≤2b2時,有(a1,b1)≤(a2,b2)

可以證明:<A×B;≤>也是一個偏序集。

104因為<A;≤1>、<B;≤2>為偏序關系，所以

a1

∈A

有a1≤1

a1，b1

∈B

有b1≤1

b1所以（a1,b1)≤(a1,b1)自反由（a1,b1)≤(a2,b2)（a2,b2)≤(a1,b1)，可得a1≤1a2,a2≤1a1

可得a1＝a2；同理有b1＝b2，此即（a2,b2)=(a1,b1)

反對稱又由（a1,b1)≤(a2,b2)（a2,b2)≤(a3,b3)，此即a1≤1a2,a2≤1a3

可得a1≤1a3同理：b1≤2b2,b2≤2b3可得b1≤2b3

最后有（a1,b1)≤(a3,b3)傳遞性105亦即(i)(a,b)∈A×B,均有(a,b)≤(a,b)(ii)(a1,b1),(a2,b2),∈A×B,若(a1,b1)

(a2,b2),

則(a1,b1)≤(a2,b2)

與(a2,b2)≤(a1,b1)

不能同時出現(xiàn)

(iii)(a1,b1),(a1,b1),(a1,b1)∈A×B,若(a1,b1)≤(a2,b2),(a1,b1)≤(a2,b2)

則一定有(a1,b1)≤(a2,b2)設是A上的關系,a∈A均aa自反設是A上的關系,a,b∈A若a

b,則ab與ba不能同時出現(xiàn)

反對稱設是A上的關系,a,b,c∈A若ab,bc則一定有ac

可傳遞的106如果有aρb且bρc成立，則有bβa且cβb成立由β的可傳遞性，有cβa成立，因而aρc成立∴ρ是可傳遞的∴ρ是A

上

的一個偏序關系原命題成立107偏序的逆關系也是一個偏序證明：設β

是任意集合A

上

的偏序關系，

ρ是β

的逆關系對任意a∈A∵有aβa∴有aρa∴ρ是自反的如果有aρb成立，且b≠a則有bβa由β

具有反對稱性知，aβb不成立∴bρa不成立∴ρ是反對稱的如果有aρb且bρc成立，則有bβa且cβb成立由β的可傳遞性，有cβa成立，因而aρc成立∴ρ是可傳遞的∴ρ是A

上

的一個偏序關系108二安全策略1.安全策略的概念計算機系統(tǒng)的安全策略是為了描述系統(tǒng)的安全需求而制定的對用戶行為進行約束的一整套嚴謹?shù)囊?guī)則。這些規(guī)則規(guī)定系統(tǒng)中所有授權的訪問,是實施訪問控制的依據(jù)。1092.安全策略舉例

①軍事安全策略中的強制訪問控制策略:

系統(tǒng)中每個主體和客體都分配一個安全標準

(安全級)

客體的安全級表示客體所包含的信息的敏感程度主體的安全級表示主體在系統(tǒng)中受信任的程度

110②安全標準由兩部分組成

(密級,部門(或類別)集)eg:密級分為4個級別:一般秘密機密絕密

(UCSTS)令A={U,C,S,TS},則<A;≤>是A上的全序,構成偏序集<A;≤>例:令B={科技處,干部處,生產處,情報處},PB=2B={H|HB},顯然<PB;>構成一個偏序集

class(O1)=(C,{科技處})class(u)=(S,{科技處,干部處})

class(O2)

=(TS,{科技處,情報處,干部處})class(O3)=(C,{情報處})111在實施多級安全策略的系統(tǒng)中,系統(tǒng)為每一個主體和每一個客體分配一個安全級。(密級,部門(或類別)集)或(密級,{部門或類別})

若某主體具有訪問密級a的能力,則對任意b≤a,該主體也具有訪問b的能力。若某主體具有訪問密級a的能力,則對任意b≥a,該主體不具有訪問b的能力。112(密級,{部門或類別或范疇})理解：對于客體來說，{部門或類別或范疇}可定義為該客體所包含的信息所涉及的范圍部門或所具有的類別屬性對于主體來說，{部門或類別或范疇}可定義為該主體能訪問的信息所涉及的范圍或部門例：2005年財務報表（S，{財務處，總裁辦公室，黨辦，財經小組})113例：2005年財務報表（S，{財務處，總裁辦公室，黨辦，財經小組})肯定不會寫成：（S，{財務處，三車間，大門})例：車間主任（C，{三車間，倉庫})肯定不會寫成：（S，{財務處，黨辦，財經小組})114主體、客體安全級定義以后，就可以通過比較主客體安全級，來決定主體對客體的訪問以及什么樣的訪問。前面講過，在實施多級安全策略的系統(tǒng)中,系統(tǒng)為每一個主體和每一個客體分配一個安全級。若某主體具有訪問密級a的能力,則對任意b≤a,該主體也具有訪問b的能力。若某主體具有訪問密級a的能力,則對任意b≥a,該主體不具有訪問b的能力。那么，b≤a或b≥a如何進行比較呢？115定義A={U,C,S,TS}

B={部門或類別或范疇}例：B=

{科技處,干部處,生產處,情報處}

PB=2B={H|H

B}在A×PB上定義一個二元關系“≤”：

A×PB={(a,H)|a∈A且H

PB}(a1,H1),(a2,H2)∈A×PB,當且僅當

a1≤a2,H1

H2時,有

(a1,H1)≤(a2,H2)可以證明:≤是A×PB上的一個偏序關系即<A×PB;≤>構成一個偏序集。116可利用命題:若<A;≤1>和<B;≤2>是兩個偏序集,在笛卡爾積A×B上定義關系≤,對任意(a1,b1),(a2,b2)∈A×B當且僅當

a1≤1a2,b1≤2b2時,有(a1,b1)≤(a2,b2)

可以證明:<A×B;≤>也是一個偏序集。證明:≤是A×PB上的一個偏序關系即<A×PB;≤>構成一個偏序集。117在A={U,C,S,TS}上定義<A;≤>,由于

UCSTS,所以≤是一個全序,顯然構成一個偏序集在PB上定義<PB;>,容易看出,它也是一個偏序

B={科技處,干部處,生產處,情報處}再在A×PB上定義一個二元關系“≤”：

A×PB={(a,H)|a∈A且H

PB}(a1,H1),(a2,H2)∈A×PB,當且僅當

a1≤a2,H1

H2時,有

(a1,H1)≤(a2,H2)根據(jù)上述命題,<A×PB;≤>構成一個偏序集。118例:class(O1)=(C,{科技處})class(u)=(S,{科技處,干部處})class(O2)=(TS,{科技處,情報處,干部處})class(O3)=(C,{情報處})

O1uO2O3其安全級如何?可以看出:class(O1)=(C,{科技處})≤(S,{科技處,干部處})=class(u)class(u)=(S,{科技處,干部處})≤class(O2)==(TS,{科技處,情報處,干部處})class(u)與class(O3)不可比119在一偏序集<L;≤>中,

l1,12∈L,若l1≤12,則稱12支配l1。class(O1)≤class(u)

：主體u的安全級支配客體O1的安全級class(u)≤class(O2）：客體O2的安全級支配主體u的安全級class(u)與class(O3)不可比：主體u與客體O3的安全級相互不可支配。

120③訪問控制策略

一個主體僅能讀安全級比自已安全級低或相等的客體一個主體僅能寫安全級比自己高或相等的客體即“向下讀向上寫”④安全級如何比較高低

(a1,H1)(a2,H2)當且僅當a1

a2,H1

H2

所以u對O1可讀,對O2可寫,對O3既不可讀也不可寫121“向下讀向上寫”安全策略執(zhí)行的結果是信息只能由低安全級的客體流向高安全級的客體，高安全級的客體的信息不允許流向低安全級的客體。若要使一個主體既能讀訪問客體，又能寫訪問這個客體，兩者的安全級必須相同。122多級安全策略適合（保護信息的機密性）：軍事系統(tǒng)政府及企業(yè)的辦公自動化系統(tǒng)具有層次結構的組織機構123(2)商業(yè)安全策略

①良形事務

用戶對數(shù)據(jù)的操縱不能任意進行,而應該按照可保證數(shù)據(jù)完整性的受控方式進行,即數(shù)據(jù)應該用規(guī)定的程序,按照定義好的約束進行處理。例:保存記錄(包括修改數(shù)據(jù)的前后記錄)，事后被審計雙入口規(guī)則：數(shù)據(jù)修改部分之間保持平衡內部數(shù)據(jù)的一致性特別地，簽發(fā)一張支票與銀行帳號戶頭上的金額變動必須平衡

——可由一個獨立測試帳簿是否平衡的程序來檢查124②職責分散

把一個操作分成幾個子操作,不同的子操作由不同的用戶執(zhí)行,使得任何一個職員都不具有完成該任務的所有權限,盡量減少出現(xiàn)欺詐和錯誤的機會。eg:購買訂單——記錄到貨——記錄貨發(fā)票——付款美入境簽證125職責分散的最基本規(guī)則是，被允許創(chuàng)建或驗證良性事務的人，不能允許他去執(zhí)行該良性事務?！局辽傩枰獌蓚€人的參與才能進行】【職員不暗中勾結，職責分散有效】【隨機選取一組職員來執(zhí)行一組操作，減少合謀機會】126良性事務與職責分散是商業(yè)數(shù)據(jù)完整性保護的基本原則專門機制被商業(yè)數(shù)據(jù)處理計算機系統(tǒng)用來實施良性事務與職責分散規(guī)則。（a）保證數(shù)據(jù)被良性事務處理數(shù)據(jù)只能由一組指定的程序來操縱程序被證明構造正確、能對這些程序的安裝能力、修改能力進行控制、保證其合法性（b）保證職責分散每一個用戶必須僅被允許使用指定的程序組、用戶執(zhí)行程序的權限受控127商業(yè)數(shù)據(jù)完整性控制與軍事中的數(shù)據(jù)機密性差別：（a）數(shù)據(jù)客體不與特定的安全級別相關只與一組允許操縱它的程序相聯(lián)系（b）用戶直接讀寫數(shù)據(jù)被禁止被授權去執(zhí)行與某一數(shù)據(jù)相關的程序【一個用戶即便被授權去寫一個數(shù)據(jù)客體，他也只能通過針對那個數(shù)據(jù)客體定義的一些事務去做?！?28商業(yè)安全策略也是一種強制訪問控制但它與軍事安全策略的安全目標、控制機制不相同商業(yè)安全策略強制性體現(xiàn)在：（a）用戶必須通過指定的程序來訪問數(shù)據(jù)（b）允許操縱某一數(shù)據(jù)客體的程序列表和允許執(zhí)行某一程序的用戶列表不能被系統(tǒng)的一般用戶所更改軍事與商業(yè)安全相同點：（1）一種機制被計算機系統(tǒng)用來保證系統(tǒng)實施了安全策略中的安全需求（2）系統(tǒng)中的這種機制必須防止竄改和非授權的修改129(3)軍事安全策略與商業(yè)安全策略的比較①軍事安全策略——數(shù)據(jù)的機密性

商業(yè)安全策略——數(shù)據(jù)的完整性

②軍事安全策略——將數(shù)據(jù)與一個安全級相聯(lián)系,通過數(shù)據(jù)的安全級來控制用戶對數(shù)據(jù)的訪問

商業(yè)安全策略——將數(shù)據(jù)與一組允許對其進行操作的程序相聯(lián)系,通過這組程序來控制用戶對數(shù)據(jù)的訪問③軍事安全策略——用戶對數(shù)據(jù)的操縱是任意的

商業(yè)安全策略——用戶對數(shù)據(jù)的操縱是受限的

130三安全模型安全模型是對安全策略所表達的安全需求簡單、抽象和無歧義的描述分為：1.非形式化的安全模型

2.形式化的安全模型

1312.形式化的安全模型安全系統(tǒng)的開發(fā)過程安全需求分析制定安全策略建立形式化的安全模型安全性證明安全功能132四

Bell-LaPadula模型

簡稱BLP模型應用最早也最廣泛的一個安全模型DavidBell和LeonardLaPadula模型目標：計算機多級操作規(guī)則安全策略：多級安全策略常把多級安全的概念與BLP相聯(lián)系其它模型都嘗試用不同的方法來表達多級安全策略133四

Bell-LaPadula模型

BLP模型是一個形式化模型使用數(shù)學語言對系統(tǒng)的安全性質進行描述BLP模型也是一個狀態(tài)機模型它反映了多級安全策略的安全特性和狀態(tài)轉換規(guī)則BLP模型定義了系統(tǒng)、系統(tǒng)狀態(tài)、狀態(tài)間的轉換規(guī)則安全概念、制定了一組安全特性對系統(tǒng)狀態(tài)、狀態(tài)轉換規(guī)則進行約束如果它的初始狀態(tài)是安全的，經過一系列規(guī)則都是保持安全的，那么可以證明該系統(tǒng)是安全的134ABCDEaaaaabbbbb狀態(tài)機模型例135四

Bell-LaPadula模型

(一)模型的基本元素

S={s1,s2,…,sn}主體集O={o1,o2,…,om}客體集C={c1,c2,…,cq}密級的集合

c1<c2<…<cq

K={k1,k2,…,kr}部門或類別的集合

A={r,w,e,a,c}訪問屬性集

r:只讀;w:讀寫;e:執(zhí)行;a:添加;c:控制RA={g,r,c,d}請求元素集

g:get,give;

r:release,rescind

c:change,create;d:delete

D={yes,no,error,?}yes－請求被執(zhí)行;no－請求被拒絕

error－系統(tǒng)出錯;?－請求出錯

136μ={M1,M2,…,Mp}訪問矩陣集BA={f|f:A→B}F=Cs×Co×(Pk)s×(Pk)o

Cs={f1|f1:S→C}f1給出每個主體的密級Co={f2|f2:O→C}f2給出每個客體的密級(Pk)s={f3|f3:S→Pk}f3給出每個主體的部門集(Pk)o={f4|f4:O→Pk}f4給出每個客體的部門集

f∈Ff=(f1,f2,f3,f4)12345679108

f：AB((f1(si),f3(si))主體si的安全級((f2(oj),f4(oj))客體oj的安全級137(二)系統(tǒng)狀態(tài)V=P(S×O×A)×μ×F

狀態(tài)集對v∈Vv=(b,M,f)表示某一狀態(tài)

b

S×O×A

表示在當前時刻,哪些主體獲得了對哪些客體的權限b={(s1,o1,r),(s1,o2,w),(s2,o2,a)…….}M－當前狀態(tài)訪問控制矩陣

f－當前時刻所有主體和客體的密級和部門集138系統(tǒng)在任何一個時刻都處于某一種狀態(tài)v，即對任何時刻t，必有狀態(tài)vt與之對應隨著用戶對系統(tǒng)的操作，系統(tǒng)的狀態(tài)不斷地發(fā)生變化關心的問題系統(tǒng)在各個時刻的狀態(tài)，與狀態(tài)相對應的訪問集b是否能保證系統(tǒng)的安全性顯然只有每一個時刻狀態(tài)是安全的，系統(tǒng)才可能安全。BLP模型對狀態(tài)的安全性進行了定義139(三)安全特性BLP模型的安全特性定義了系統(tǒng)狀態(tài)的安全性，體現(xiàn)了BLP模型的安全策略。(1)自主安全性

狀態(tài)v=(b,M,f)滿足自主安全性iff

對所有的(si,oj,x)∈b,有x∈Mij

此條性質是說，若(si,oj,x)∈b，即如果在狀態(tài)v，主體si獲得了對客體oj的x訪問權，那么si必定得到了相應的自主授權。140(三)安全特性如果存在(si,oj,x)∈b,但主體si并未獲得對客體oj的x訪問權的授權，則v被認為不符合自主安全性。

(2)簡單安全性

狀態(tài)v=(b,M,f)滿足簡單安全性iff對所有的(s,o,x)∈b,有（i）x=e或x=a或x=c

或(ii)(x=r或x=w)且(f1(s)≥f2(o),f3(s)

f4(o))

SOe,c,aS(高)O(低)r

w在BLP模型中,w權表示可讀、可寫，即主體對客體的修改權141(3)*—性質

狀態(tài)v=(b,M,f)滿足*—性質,當且僅當對所有的s∈S,若o1∈b(s:w,a),o2∈b(s:r,w),則f2(o1)≥f2(o2),f4(o1)

f4(o2),其中符號b(s:x1,x2)表示b中主體s對其具有訪問特權x1或x2的所有客體的集合。理解如下4個圖所示:142

S

o1(高)

O2(低)a

rSO1(高)O2(低)awSO1(高)O2(低)wrSO1O2ww

(級別)(級別)相等流向143例：b＝{(s1,o1,r),(s2,o2,a),(s1,o2,w),(s2,o2,r),(s1,o3,a)}考慮b(s:x1,x2):b(s1:r,w)b(s1:w,a)b(s3:r,w)b(s1:r,w)={o1,o2}b(s1:w,a)={o2,o3}b(s3:r,w)={}=Φ144*—性質重要安全特性o1∈b(s:w,a),意味著s對o1有w權或a權,此時信息經由s流向o1o2∈b(s:r,w),意味著s對o1有r權或w權,此時信息可由o2流向s因此,在訪問集b中以s為媒介,信息就有可能由o2流向o1。所以要求o1的安全級必須支配o2安全級當s對o1，o2均具有w權時，兩次運用該特性，f2(o1)≥f2(o2),f4(o1)

f4(o2)及,f2(o2)≥f2(o1),f4(o2)

f4(o1)，則要求o1的安全級必須等于o2安全級顯然它放反映了BLP模型中信息只能由低安全級向高安全級流動的安全策略145(四)請求集

R=S+×RA×S+×O×X

請求集,它的元素是一個完整的請求,不是請求元素集其中S+=S{}

X=A{}FR中的元素是一個五元組,表示為

(1,,2,Oj,x)

1,,2

S+分別是主體1,主體2

RA

表示某一請求元素

o

j

O表示某一客體

xX

是訪問權限or是空or是主客體的安全級146(五)狀態(tài)轉換規(guī)則

P:R×V→D×V

其中

R是請求集,D是判斷集,V是狀態(tài)集

對請求(Rk,vn)R×V,在函數(shù)的作用下

(Rk,v)=(Dm,v*)系統(tǒng)對請求Rk的反應是Dm,狀態(tài)由v轉換成v*147提示:V=P(S×O×A)×μ×F

狀態(tài)集對v∈Vv=(b,M,f)表示某一狀態(tài)

b

S×O×A

表示在當前時刻,哪些主體獲得了對哪些客體的權限b={(s1,o1,r),(s1,o2,w),(s2,o2,a)…….}M－當前狀態(tài)訪問控制矩陣

f－當前時刻所有主體和客體的密級和部門集148十條規(guī)則:規(guī)則1～規(guī)則4用于主體請求對某客體的訪問權形式(φ,g,Si,Oj,r)

規(guī)則5

用于主體釋放它對某客體的訪問權規(guī)則6-7

分別用于主體授予和撤消另一主體對客體的訪問權規(guī)則8

用于改變靜止客體的密級和部門集規(guī)則9-10

分別用于創(chuàng)建和刪除一個客體149規(guī)則1：主體si請求得到對客體oj的r訪問權get-read

1(Rk,v)≡

ifσ1

φorγ

gorx

rorσ2=φ

then

1(Rk,v)=(?,v)

ifr

Mijor(f1(si)<f2(oj)orf3(si)

f4(oj))

then

1(Rk,v)=(no,v)

if

U

1

={o|o

b(si:w,a)and[f2(oj)>f2(o)orf4(oj)

f4(o)]}=φ

then

1(Rk,v)=(yes,v*=(b

{(si,oj,r)},M,f))

else

1(Rk,v)=(no,v)

end

150規(guī)則1對主體si的請求作了如下檢查:(1)主體的請求是否適用于規(guī)則1;主體請求對某客體的訪問權形式(φ,g,Si,Oj,r)ifσ1

φorγ

gorx

rorσ2=φ

then

1(Rk,v)=(?,v)151(2)oj的擁有者或控制者是否授予了si對oj的讀訪問權

r

Mij之檢查(3)si的安全級是否支配oj的安全級

f1(si)<f2(oj)orf3(si)

f4(oj)152(4)在訪問集b中,若si對另一客體o有w/a訪問權,是否一定有o的安全級支配oj的安全級

{o|o

b(si:w,a)and[f2(oj)>f2(o)orf4(oj)

f4(o)]}=φNOT[f2(oj)>f2(o)orf4(oj)

f4(o)][f2(oj)<=f2(o)andf4(oj)

f4(o)]153

SiO(高)Oj(低)awSiO(高)Oj(低)wrSiOOjww

(級別)(級別)相等Si

o(高)

Oj(低)a

r流向154若上述4項檢查有一項通不過,則系統(tǒng)拒絕執(zhí)行si的請求,系統(tǒng)狀態(tài)保持不變通過檢查