第三講 安全策略與安全模型課件

4-3安全策略與安全模型1第三講安全策略與安全模型

一數(shù)學基礎

1.集合元素子集

a∈AHS2.集合的冪集

2A=P(A)={HA}3.笛卡爾積

A×B={(a,b)|a∈A,b∈B}

4.集合A上的關系的性質

設

是A上的關系,a∈A

均aa--------自反

設

是A上的關系,a,b∈A若a

b,則ab與ba不能同時出現(xiàn)

--------反對稱

設

是A上的關系,a,b,c∈A若ab,bc則一定有ac---------可傳遞的4-3安全策略與安全模型2偏序關系：集合A

上的關系ρ

，如果它是自反、反對稱且可傳遞的，則稱ρ為A

上的一個偏序關系。

“偏序關系”也叫做“偏序”，用“≤”符號表示?？杀龋涸O≤是集合A

上的偏序，對于a、b∈A，若有a≤b

或b≤a，則稱a和b是可比的，否則稱a和b是不可比的5.集合上的偏序關系4-3安全策略與安全模型3全序：一個集合A

上的任意兩個元素之間都滿足偏序關系，則稱該偏序為A

上的一個全序

良序：一個集合A

上的偏序，若對于A

的每一個非空子集S

A，在S

中存在一個元素as（稱為S

的最小元素），使得對于所有的s∈

S，有as≤s，則稱它為A上的一個良序5.集合上的偏序關系4-3安全策略與安全模型47.一個有用的結論

命題:若<A;≤1>和<B;≤2>是兩個偏序集,在笛卡爾積A×B上定義關系≤,對任意(a1,b1),(a2,b2)∈A×B當且僅當

a1≤1a2,b1≤2b2時,有(a1,b1)≤(a2,b2)

可以證明:<A×B;≤>也是一個偏序集4-3安全策略與安全模型5因為<A;≤1>、<B;≤2>為偏序關系，所以

a1

∈A

有a1≤1

a1，b1

∈B

有b1≤1

b1所以（a1,b1)≤(a1,b1)自反由（a1,b1)≤(a2,b2)（a2,b2)≤(a1,b1)，可得a1≤1a2,a2≤1a1

可得a1＝a2；同理有b1＝b2，此即（a2,b2)=(a1,b1)

反對稱又由（a1,b1)≤(a2,b2)（a2,b2)≤(a3,b3)，此即a1≤1a2,a2≤1a3

可得a1≤1a3同理：b1≤2b2,b2≤2b3可得b1≤2b3

最后有（a1,b1)≤(a3,b3)傳遞性4-3安全策略與安全模型6亦即(i)(a,b)∈A×B,均有(a,b)≤(a,b)(ii)(a1,b1),(a2,b2),∈A×B,若(a1,b1)

(a2,b2),

則(a1,b1)≤(a2,b2)

與(a2,b2)≤(a1,b1)

不能同時出現(xiàn)

(iii)(a1,b1),(a2,b2),(a3,b3)∈A×B,若(a1,b1)≤(a2,b2),(a2,b2)≤(a3,b3)

則一定有(a1,b1)≤(a3,b3)設是A上的關系,a∈A均aa--------自反設是A上的關系,a,b∈A若a

b,則ab與ba不能同時出現(xiàn)

--------反對稱設是A上的關系,a,b,c∈A若ab,bc則一定有ac---------可傳遞的4-3安全策略與安全模型7二安全策略1.安全策略的概念計算機系統(tǒng)的安全策略是為了描述系統(tǒng)的安全需求而制定的對用戶行為進行約束的一整套嚴謹?shù)囊?guī)則。這些規(guī)則規(guī)定系統(tǒng)中所有授權的訪問,是實施訪問控制的依據(jù)。4-3安全策略與安全模型82.安全策略舉例

①軍事安全策略中的強制訪問控制策略:

系統(tǒng)中每個主體和客體都分配一個安全標準

(安全級)

客體的安全級表示客體所包含的信息的敏感程度主體的安全級表示主體在系統(tǒng)中受信任的程度

4-3安全策略與安全模型9②安全標準由兩部分組成

(密級,部門(或類別)集)eg:密級分為4個級別:一般秘密機密絕密

(UCSTS)令A={U,C,S,TS},則<A;≤>是A上的全序,構成偏序集<A;≤>例:令B={科技處,干部處,生產處,情報處},PB=2B={H|HB},顯然<PB;>構成一個偏序集

class(O1)=(C,{科技處})class(u)=(S,{科技處,干部處})

class(O2)

=(TS,{科技處,情報處,干部處})class(O3)=(C,{情報處})4-3安全策略與安全模型10在實施多級安全策略的系統(tǒng)中,系統(tǒng)為每一個主體和每一個客體分配一個安全級。(密級,部門(或類別)集)或(密級,{部門或類別})

若某主體具有訪問密級a的能力,則對任意b≤a,該主體也具有訪問b的能力若某主體具有訪問密級a的能力,則對任意b≥a,該主體不具有訪問b的能力4-3安全策略與安全模型11(密級,{部門或類別或范疇})理解：對于客體來說，{部門或類別或范疇}可定義為該客體所包含的信息所涉及的范圍部門或所具有的類別屬性對于主體來說，{部門或類別或范疇}可定義為該主體能訪問的信息所涉及的范圍或部門例：2011年財務報表（S，{財務處，總裁辦公室，黨辦，財經小組})4-3安全策略與安全模型12例：2011年財務報表（S，{財務處，總裁辦公室，黨辦，財經小組})肯定不會寫成：（S，{財務處，三車間，大門})例：車間主任（C，{三車間，倉庫})肯定不會寫成：（S，{財務處，黨辦，財經小組})4-3安全策略與安全模型13主體、客體安全級定義以后，就可以通過比較主客體安全級，來決定主體對客體的訪問以及什么樣的訪問。前面講過，在實施多級安全策略的系統(tǒng)中,系統(tǒng)為每一個主體和每一個客體分配一個安全級。若某主體具有訪問密級a的能力,則對任意b≤a,該主體也具有訪問b的能力。若某主體具有訪問密級a的能力,則對任意b≥a,該主體不具有訪問b的能力。那么，b≤a或b≥a如何進行比較呢？4-3安全策略與安全模型14定義A={U,C,S,TS}

B={部門或類別或范疇}例：B=

{科技處,干部處,生產處,情報處}

PB=2B={H|H

B}在A×PB上定義一個二元關系“≤”：

A×PB={(a,H)|a∈A且H

PB}(a1,H1),(a2,H2)∈A×PB,當且僅當

a1≤a2,H1

H2時,有

(a1,H1)≤(a2,H2)可以證明:≤是A×PB上的一個偏序關系即<A×PB;≤>構成一個偏序集。4-3安全策略與安全模型15可利用命題:若<A;≤1>和<B;≤2>是兩個偏序集,在笛卡爾積A×B上定義關系≤,對任意(a1,b1),(a2,b2)∈A×B當且僅當

a1≤1a2,b1≤2b2時,有(a1,b1)≤(a2,b2)

可以證明:<A×B;≤>也是一個偏序集。證明:≤是A×PB上的一個偏序關系即<A×PB;≤>構成一個偏序集。4-3安全策略與安全模型16在A={U,C,S,TS}上定義<A;≤>,由于

UCSTS,所以≤是一個全序,顯然構成一個偏序集在PB上定義<PB;>,容易看出,它也是一個偏序

B={科技處,干部處,生產處,情報處}再在A×PB上定義一個二元關系“≤”：

A×PB={(a,H)|a∈A且H

PB}(a1,H1),(a2,H2)∈A×PB,當且僅當

a1≤a2,H1

H2時,有

(a1,H1)≤(a2,H2)根據(jù)上述命題,<A×PB;≤>構成一個偏序集。4-3安全策略與安全模型17例:class(O1)=(C,{科技處})class(u)=(S,{科技處,干部處})class(O2)=(TS,{科技處,情報處,干部處})class(O3)=(C,{情報處})

O1uO2O3其安全級如何?可以看出:class(O1)=(C,{科技處})≤(S,{科技處,干部處})=class(u)class(u)=(S,{科技處,干部處})≤class(O2)=(TS,{科技處,情報處,干部處})class(u)與class(O3)不可比4-3安全策略與安全模型18在一偏序集<L;≤>中,

l1,12∈L,若l1≤12,則稱12支配l1。class(O1)≤class(u)

：主體u的安全級支配客體O1的安全級class(u)≤class(O2）：客體O2的安全級支配主體u的安全級class(u)與class(O3)不可比：主體u與客體O3的安全級相互不可支配。

4-3安全策略與安全模型19③訪問控制策略

一個主體僅能讀安全級比自已安全級低或相等的客體一個主體僅能寫安全級比自己高或相等的客體即“向下讀向上寫”④安全級如何比較高低

(a1,H1)(a2,H2)當且僅當a1

a2,H1

H2

所以u對O1可讀,對O2可寫,對O3既不可讀也不可寫4-3安全策略與安全模型20“向下讀向上寫”安全策略執(zhí)行的結果是信息只能由低安全級的客體流向高安全級的客體，高安全級的客體的信息不允許流向低安全級的客體。若要使一個主體既能讀訪問客體，又能寫訪問這個客體，兩者的安全級必須相同。4-3安全策略與安全模型21多級安全策略適合（保護信息的機密性）：軍事系統(tǒng)政府及企業(yè)的辦公自動化系統(tǒng)具有層次結構的組織機構4-3安全策略與安全模型222商業(yè)安全策略

①良性事務

用戶對數(shù)據(jù)的操縱不能任意進行,而應該按照可保證數(shù)據(jù)完整性的受控方式進行,即數(shù)據(jù)應該用規(guī)定的程序,按照定義好的約束進行處理。例:保存記錄(包括修改數(shù)據(jù)之前修改數(shù)據(jù)之后的記錄)，事后被審計雙入口規(guī)則：數(shù)據(jù)修改部分之間保持平衡內部數(shù)據(jù)的一致性特別地，簽發(fā)一張支票與銀行帳號戶頭上的金額變動必須平衡

——可由一個獨立測試帳簿是否平衡的程序來檢查4-3安全策略與安全模型23②職責分散

把一個操作分成幾個子操作,不同的子操作由不同的用戶執(zhí)行,使得任何一個職員都不具有完成該任務的所有權限,盡量減少出現(xiàn)欺詐和錯誤的機會。eg:購買訂單——記錄到貨——記錄貨發(fā)票——付款美入境簽證4-3安全策略與安全模型24職責分散的最基本規(guī)則是，被允許創(chuàng)建或驗證良性事務的人，不能允許他去執(zhí)行該良性事務?！局辽傩枰獌蓚€人的參與才能進行】【職員不暗中勾結，職責分散有效】【隨機選取一組職員來執(zhí)行一組操作，減少合謀機會】4-3安全策略與安全模型25良性事務與職責分散是商業(yè)數(shù)據(jù)完整性保護的基本原則專門機制被商業(yè)數(shù)據(jù)處理計算機系統(tǒng)用來實施良性事務與職責分散規(guī)則。（a）保證數(shù)據(jù)被良性事務處理數(shù)據(jù)只能由一組指定的程序來操縱程序被證明構造正確、能對這些程序的安裝能力、修改能力進行控制、保證其合法性（b）保證職責分散每一個用戶必須僅被允許使用指定的程序組、用戶執(zhí)行程序的權限受控4-3安全策略與安全模型26商業(yè)數(shù)據(jù)完整性控制與軍事中的數(shù)據(jù)機密性差別：（a）數(shù)據(jù)客體不與特定的安全級別相關只與一組允許操縱它的程序相聯(lián)系（b）用戶直接讀寫數(shù)據(jù)被禁止被授權去執(zhí)行與某一數(shù)據(jù)相關的程序【一個用戶即便被授權去寫一個數(shù)據(jù)客體，他也只能通過針對那個數(shù)據(jù)客體定義的一些事務去做。】4-3安全策略與安全模型27商業(yè)安全策略也是一種強制訪問控制但它與軍事安全策略的安全目標、控制機制不相同商業(yè)安全策略強制性體現(xiàn)在：（a）用戶必須通過指定的程序來訪問數(shù)據(jù)（b）允許操縱某一數(shù)據(jù)客體的程序列表和允許執(zhí)行某一程序的用戶列表不能被系統(tǒng)的一般用戶所更改軍事與商業(yè)安全相同點：（1）一種機制被計算機系統(tǒng)用來保證系統(tǒng)實施了安全策略中的安全需求（2）系統(tǒng)中的這種機制必須防止竄改和非授權的修改4-3安全策略與安全模型28(3)軍事安全策略與商業(yè)安全策略的比較①軍事安全策略——數(shù)據(jù)的機密性

商業(yè)安全策略——數(shù)據(jù)的完整性

②軍事安全策略——將數(shù)據(jù)與一個安全級相聯(lián)系,通過數(shù)據(jù)的安全級來控制用戶對數(shù)據(jù)的訪問

商業(yè)安全策略——將數(shù)據(jù)與一組允許對其進行操作的程序相聯(lián)系,通過這組程序來控制用戶對數(shù)據(jù)的訪問③軍事安全策略——用戶對數(shù)據(jù)的操縱是任意的

商業(yè)安全策略——用戶對數(shù)據(jù)的操縱是受限的

4-3安全策略與安全模型29三安全模型安全模型是對安全策略所表達的安全需求簡單、抽象和無歧義的描述分為：1.非形式化的安全模型

2.形式化的安全模型

4-3安全策略與安全模型302.形式化的安全模型安全系統(tǒng)的開發(fā)過程安全需求分析制定安全策略建立形式化的安全模型安全性證明安全功能4-3安全策略與安全模型31四

Bell-LaPadula模型

簡稱BLP模型應用最早也最廣泛的一個安全模型DavidBell和LeonardLaPadula模型目標：計算機多級操作規(guī)則安全策略：多級安全策略常把多級安全的概念與BLP相聯(lián)系其它模型都嘗試用不同的方法來表達多級安全策略4-3安全策略與安全模型32四

Bell-LaPadula模型

BLP模型是一個形式化模型使用數(shù)學語言對系統(tǒng)的安全性質進行描述BLP模型也是一個狀態(tài)機模型它反映了多級安全策略的安全特性和狀態(tài)轉換規(guī)則BLP模型定義了系統(tǒng)、系統(tǒng)狀態(tài)、狀態(tài)間的轉換規(guī)則安全概念、制定了一組安全特性對系統(tǒng)狀態(tài)、狀態(tài)轉換規(guī)則進行約束如果它的初始狀態(tài)是安全的，經過一系列規(guī)則都是保持安全的，那么可以證明該系統(tǒng)是安全的4-3安全策略與安全模型33ABCDEaaaaabbbbb狀態(tài)機模型例4-3安全策略與安全模型34四

Bell-LaPadula模型

(一)模型的基本元素

S={s1,s2,…,sn}主體集O={o1,o2,…,om}客體集C={c1,c2,…,cq}密級的集合

c1<c2<…<cq

K={k1,k2,…,kr}部門或類別的集合

A={r,w,e,a,c}訪問屬性集

r:只讀;w:讀寫;e:執(zhí)行;a:添加;c:控制RA={g,r,c,d}請求元素集

g:get,give;

r:release,rescind

c:change,create;d:delete

D={yes,no,error,?}yes－請求被執(zhí)行;

no－請求被拒絕

error－系統(tǒng)出錯;?－請求出錯

4-3安全策略與安全模型35μ={M1,M2,…,Mp}

訪問矩陣集BA={f|f:A→B}F=Cs×Co×(Pk)s×(Pk)o

Cs

={f1|f1:S→C}f1給出每個主體的密級Co

={f2|f2:O→C}f2給出每個客體的密級(Pk)s={f3|f3:S→Pk}f3給出每個主體的部門集(Pk)o

={f4|f4:O→Pk}f4給出每個客體的部門集

f∈Ff=(f1,f2,f3,f4)12345679108

f：AB((f1(si),f3(si))主體si的安全級((f2(oj),f4(oj))客體oj的安全級4-3安全策略與安全模型36(二)系統(tǒng)狀態(tài)V=P(S×O×A)×μ×F

狀態(tài)集對v∈Vv=(b,M,f)表示某一狀態(tài)

b

S×O×A

表示在當前時刻,哪些主體獲得了對哪些客體的權限b={(s1,o1,r),(s1,o2,w),(s2,o2,a)…….}M－當前狀態(tài)訪問控制矩陣

f－當前時刻所有主體和客體的密級和部門集4-3安全策略與安全模型37系統(tǒng)在任何一個時刻都處于某一種狀態(tài)v，即對任何時刻t，必有狀態(tài)vt與之對應隨著用戶對系統(tǒng)的操作，系統(tǒng)的狀態(tài)不斷地發(fā)生變化關心的問題系統(tǒng)在各個時刻的狀態(tài)，與狀態(tài)相對應的訪問集b是否能保證系統(tǒng)的安全性顯然只有每一個時刻狀態(tài)是安全的，系統(tǒng)才可能安全。BLP模型對狀態(tài)的安全性進行了定義4-3安全策略與安全模型38(三)安全特性BLP模型的安全特性定義了系統(tǒng)狀態(tài)的安全性，體現(xiàn)了BLP模型的安全策略。(1)自主安全性

狀態(tài)v=(b,M,f)滿足自主安全性iff

對所有的(si,oj,x)∈b,有x∈Mij

此條性質是說，若(si,oj,x)∈b，即如果在狀態(tài)v，主體si獲得了對客體oj的x訪問權，那么si必定得到了相應的自主授權。4-3安全策略與安全模型39(三)安全特性如果存在(si,oj,x)∈b,但主體si并未獲得對客體oj的x訪問權的授權，則v被認為不符合自主安全性。

(2)簡單安全性

狀態(tài)v=(b,M,f)滿足簡單安全性iff對所有的(s,o,x)∈b,有（i）x=e或x=a或x=c

或(ii)(x=r或x=w)且(f1(s)≥f2(o),f3(s)

f4(o))SOe,c,aS(高)O(低)r

w在BLP模型中,w權表示可讀、可寫，即主體對客體的修改權4-3安全策略與安全模型40(3)*—性質

狀態(tài)v=(b,M,f)滿足*—性質,當且僅當對所有的s∈S,若o1∈b(s:w,a),o2∈b(s:r,w),則f2(o1)≥f2(o2),f4(o1)

f4(o2),其中符號b(s:x1,x2)表示b中主體s對其具有訪問特權x1或x2的所有客體的集合。理解如下4個圖所示:4-3安全策略與安全模型41

S

o1(高)

O2(低)a

rSO1(高)O2(低)awSO1(高)O2(低)wrSO1O2ww

(級別)(級別)相等流向4-3安全策略與安全模型42例：b＝{(s1,o1,r),(s2,o2,a),(s1,o2,w),(s2,o2,r),(s1,o3,a)}考慮b(s:x1,x2):b(s1:r,w)b(s1:w,a)b(s3:r,w)b(s1:r,w)={o1,o2}b(s1:w,a)={o2,o3}b(s3:r,w)={}=Φ4-3安全策略與安全模型43*—性質重要安全特性o1∈b(s:w,a),意味著s對o1有w權或a權,此時信息經由s流向o1o2∈b(s:r,w),意味著s對o1有r權或w權,此時信息可由o2流向s因此,在訪問集b中以s為媒介,信息就有可能由o2流向o1。所以要求o1的安全級必須支配o2安全級當s對o1，o2均具有w權時，兩次運用該特性，f2(o1)≥f2(o2),f4(o1)

f4(o2)及,f2(o2)≥f2(o1),f4(o2)

f4(o1)，則要求o1的安全級必須等于o2安全級顯然它放反映了BLP模型中信息只能由低安全級向高安全級流動的安全策略4-3安全策略與安全模型44(四)請求集

R=S+×RA×S+×O×X

請求集,它的元素是一個完整的請求,不是請求元素集其中S+=S{}X=A{}F

S={s1,s2,…,sn}主體集RA={g,r,c,d}

A={r,w,e,a,c}

F=Cs×Co×(Pk)s×(Pk)o

4-3安全策略與安全模型45R=S+×RA×S+×O×X={

(1,,2,Oj,x)}(1,,2,Oj,x)是一個五元組,表示

(1,,2,Oj,x)

R=S+×RA×S+×O×X

1,,2

S+分別是主體1,主體2

RA

表示某一請求元素

o

j

O表示某一客體

xX

是訪問權限or是空or是主客體的安全級4-3安全策略與安全模型46(五)狀態(tài)轉換規(guī)則

P:R×V→D×V

其中

R是請求集(S+×RA×S+×O×X),D是判斷集,V是狀態(tài)集

D={yes,no,error,?}V=P(S×O×A)×μ×F

狀態(tài)集對v∈Vv=(b,M,f)表示某一狀態(tài)

b

S×O×A

表示在當前時刻,哪些主體獲得了對哪些客體的權限b={(s1,o1,r),(s1,o2,w),(s2,o2,a)…….}M－當前狀態(tài)訪問控制矩陣

f－當前時刻所有主體和客體的密級和部門集4-3安全策略與安全模型47

P:R×V→D×V對請求(Rk,vn)R×V,在函數(shù)的作用下

(Rk,v)=(Dm,v*)系統(tǒng)對請求Rk的反應是Dm,狀態(tài)由v轉換成v*4-3安全策略與安全模型48十條規(guī)則:規(guī)則1～規(guī)則4用于主體請求對某客體的訪問權形式(φ,g,Si,Oj,r)規(guī)則5

用于主體釋放它對某客體的訪問權規(guī)則6-7

分別用于主體授予和撤消另一主體對客體的訪問權規(guī)則8

用于改變靜止客體的密級和部門集規(guī)則9-10

分別用于創(chuàng)建和刪除一個客體4-3安全策略與安全模型49規(guī)則1：主體si請求得到對客體oj的r訪問權get-read：

1(Rk,v)≡

if

σ1

φorγ

gorx

rorσ2=φ

then

1(Rk,v)=(?,v)

if

r

Mijor(f1(si)<f2(oj)orf3(si)

f4(oj))

then

1(Rk,v)=(no,v)

if

U

1={o|o

b(si:w,a)and[f2(oj)>f2(o)orf4(oj)

f4(o)]}=φ

then

1(Rk,v)=(yes,v*=(b

{(si,oj,r)},M,f))

else

1(Rk,v)=(no,v)

end

(φ,g,Si,Oj,r)

(1,,2,Oj,x)4-3安全策略與安全模型50規(guī)則1對主體si的請求作了如下檢查:(1)主體的請求是否適用于規(guī)則1的請求格式;主體請求對某客體的訪問權形式(φ,g,Si,Oj,r)(1,,2,Oj,x)if

σ1

φorγ

gorx

rorσ2=φ

then

1(Rk,v)=(?,v)4-3安全策略與安全模型51(2)oj的擁有者或控制者是否授予了si對oj的讀訪問權

r

Mij之檢查(3)si的安全級是否支配oj的安全級

f1(si)<f2(oj)orf3(si)

f4(oj)4-3安全策略與安全模型52(4)在訪問集b中,若si對另一客體o有w/a訪問權,是否一定有o的安全級支配oj的安全級

{o|o

b(si:w,a)and[f2(oj)>f2(o)orf4(oj)

f4(o)]}=φNOT[f2(oj)>f2(o)orf4(oj)

f4(o)][f2(oj)<=f2(o)andf4(oj)

f4(o)]4-3安全策略與安全模型53

S

o1(高)

O2(低)a

rSO1(高)O2(低)awSO1(高)O2(低)wrSO1O2ww

(級別)(級別)相等流向4-3安全策略與安全模型54若上述4項檢查有一項通不過,則系統(tǒng)拒絕執(zhí)行si的請求,系統(tǒng)狀態(tài)保持不變通過檢查,則請求被執(zhí)行，（si，oj，r）添加到系統(tǒng)的訪問集b中，系統(tǒng)狀態(tài)v轉換成v*=(b

{(si,oj,r)},M,f))看得出來，檢查（2）是系統(tǒng)在實施自主訪問控制，檢查（3）（4）是系統(tǒng)在實施強制訪問控制只有檢查（2）－（4）通過了，才能保證狀態(tài)轉換時，仍然保持其安全性4-3安全策略與安全模型55規(guī)則2：主體si請求得到對客體oj的a訪問權

get-append：

2(Rk,v)≡

ifσ1

φorγ

gorx

aorσ2=φ

then

2(Rk,v)=(?,v) ifa

Mij

then

2(Rk,v)=(no,v) ifU2

={o|o

b(si:r,w)and[f2(oj)<f2(o)orf4(oj)

f4(o)]}=φ then

2(Rk,v)=(yes,(b

{(si,oj,a)},M,f)) else

2(Rk,v)=(no,v)

end4-3安全策略與安全模型56規(guī)則2對主體si的請求所作的檢查類似規(guī)則1不同的是，當si請求以Append方式訪問oj時，無需做簡單安全性檢查。狀態(tài)v=(b,M,f)滿足簡單安全性iff對所有的(s,o,x)∈b,有（i）x=e或x=a或x=c或(ii)

(x=r或x=w)且(f1(s)≥f2(o),f3(s)

f4(o))4-3安全策略與安全模型57規(guī)則3：主體si請求得到對客體oj的e訪問權get-execute：

3(Rk,v)≡

ifσ1

φorγ

gorx

eorσ2=φ

then

3(Rk,v)=(?,v)if

e

Mij

then

3(Rk,v)=(no,v)

else

3(Rk,v)=(yes,(b

{(si,oj,e)},M,f))end4-3安全策略與安全模型58規(guī)則3對si的請求只作類似與規(guī)則1中的(1)(2)兩項檢查(1)主體請求對某客體的訪問權形式(φ,g,Si,Oj,e)(2)oj的擁有者或控制者是否授予了si對oj的讀訪問權

r

Mij之檢查

Si對請求對Oj的執(zhí)行權時不需作簡單安全性和*—性質的安全檢查4-3安全策略與安全模型59規(guī)則4：主體si請求得到對客體oj的w訪問權get-write：

4(Rk,v)≡

ifσ1

φorγ

gorx

worσ2=φthen

4(Rk,v)=(?,v)ifw

Mijor[f1(si)<f2(oj)orf3(si)

f4(oj)]then

4(Rk,v)=(no,v)ifU4

={o|o

b(si:r)and[f2(oj)<f2(o)orf4(oj)

f4(o)]} ∪{o|o

b(si:a)and[f2(oj)>f2(o)orf4(oj)

f4(o)]}∪{o|o

b(si:w)and[f2(oj)

f2(o)orf4(oj)

f4(o)]}=φ then

4(Rk,v)=(yes,v*）

=（yes，(b

{(si,oj,w)},M,f)) else

4(Rk,v)=(no,v)end4-3安全策略與安全模型60規(guī)則4的安全性檢查類似于規(guī)則1(1)請求對某客體的訪問權形式(φ,g,Si,Oj,w)(2)oj的擁有者或控制者是否授予了si對oj的讀訪問權

r

Mij之檢查(3)si的安全級是否支配oj的安全級

f1(si)<f2(oj)orf3(si)

f4(oj)(4)在訪問集b中,若si對另一客體o有w/a訪問權,是否一定有o的安全級支配oj的安全級

{o|o

b(si:w,a)and[f2(oj)>f2(o)orf4(oj)

f4(o)]}=φ4-3安全策略與安全模型614-3安全策略與安全模型62規(guī)則4的＊—性質檢查較為復雜：U

4={o|o

b(si:r)and[f2(oj)<f2(o)orf4(oj)

f4(o)]}∪{o|o

b(si:a)and[f2(oj)>f2(o)orf4(oj)

f4(o)]}∪{o|o

b(si:w)and[f2(oj)

f2(o)orf4(oj)

f4(o)]}=φ4-3安全策略與安全模型63規(guī)則5：主體si請求釋放對客體oj的r或w或e

或a訪問權release-read/write/append/execute：

5(Rk,v)≡

ifσ1

φorγ

ror(x

r,w,aande)or(σ2=φ) then

5(Rk,v)=(?,v) else

5(Rk,v)=(yes,v*）

=（yes，(b-{(si,oj,x)},M,f))end4-3安全策略與安全模型64規(guī)則5用于主體si請求釋放對客體oj的訪問權，包括r、w、e和a等權因為訪問權的釋放不會對系統(tǒng)造成安全威脅，所以不需要作安全性檢查，并可將四種情形Rk=(φ,r,si,oj,r)

或(φ,r,si,oj,w)

或(φ,r,si,oj,a)

或(φ,r,si,oj,e)，用同一條規(guī)則來處理4-3安全策略與安全模型65規(guī)則6：主體sλ請求授予主體si對客體oj的r或

w或e或a訪問權請求的五元組Rk=(sλ,g,si,oj,r)或(sλ,g,si,oj,w)或(sλ,g,si,oj,a)或(sλ,g,si,oj,e)，系統(tǒng)的當前狀態(tài)v=(b,M,f)

give-read/write/append/execute：

6(Rk,v)≡

if(σ1

sλ

S)or(γ

g)or(x

r,w,aande)or(σ2=φ)

then

6(Rk,v)=(?,v)ifx

Mλjorc

Mλj

Mλj=｛x,c,…｝

then

6(Rk,v)=(no,v)

else

6(Rk,v)=(yes,(b,M

[x]ij,f))end

4-3安全策略與安全模型66規(guī)則6中M

[x]ij表示將x加入到訪問矩陣M的第i行第j列元素Mij中去。即用集合Mij∪

{x}替換M中Mij

由于sλ的請求只涉及自主訪問控制中的授權，因此規(guī)則6除了作請求是否適用于規(guī)則6的檢查外，僅作自主安全性有關的檢查。即sλ自身必須同時具有對客體oj的x權和控制c權，方能對si進行相應的授權

4-3安全策略與安全模型67規(guī)則6授權成功后，并不意味著si已獲得對oj的x訪問權之后si請求對oj的x訪問時，系統(tǒng)還要對其進行簡單安全性和*—性質的檢查4-3安全策略與安全模型68規(guī)則7：主體sλ請求撤銷主體si對客體oj的r或

w或e或a訪問權rescind-read/write/append/execute：

7(Rk,v)≡

if(σ1

sλ

S)or(γ

r)or(x

r,w,aande)or(σ2=φ)

then

7(Rk,v)=(?,v)ifx

Mλjorc

Mλj

then

7(Rk,v)=(no,v)

else

7(Rk,v)=(yes,(b-{(si,oj,x)},M

[x]ij,f))end

4-3安全策略與安全模型69系統(tǒng)執(zhí)行規(guī)則7時，不僅從訪問矩陣M的i行j列的元素Mij中將x刪除掉，而且訪問集b中也必須刪去三元組(si,oj,x)，這意味著主體si將喪失對oj的x訪問權

4-3安全策略與安全模型70規(guī)則8：改變靜止客體的安全級Rk=（φ,c,φ,oj,f*)change-f：

8(Rk,v)≡

if(σ1

φ)or(γ

c)or(σ2

φ)orx

F

then

8(Rk,v)=(?,v)iff1*

f1orf3*

f3or[f2*(oj)

f2(oj)orf4*(oj)

f4(oj)forsomej

A(m)]

注：A(m)表示活動客體的下標集A(m)＝{j|1<=j<=m且存在i,使Mij

φ}

then

8(Rk,v)=(no,v)

else

8(Rk,v)=(yes,(b,M,f*))end4-3安全策略與安全模型71iff1*

f1orf3*

f3

or[f2*(oj)

f2(oj)orf4*(oj)

f4(oj)forsomej

A(m)]

A(m)＝{j|1<=j<=m且存在i,使Mij

φ}注意：NOT（f1*

f1orf3*

f3

or[f2*(oj)

f2(oj)orf4*(oj)

f4(oj)

）=

（f1*=f1andf3*=

f3

）AND[f2*(oj)=f2(oj)andf4*(oj)

=f4(oj)

]

4-3安全策略與安全模型72A(m)＝{j|1<=j<=m且存在i,使Mij

φ}

M32={r,w,a}m1m2f1f2s1{r,w}{r}{a,e}s2{r}{r,w,a}s3m1m2f1f2s1{r,w}{r}{a,e}s2{r}{r,w,a}s3{r,w,a}4-3安全策略與安全模型73A(m)＝{j|1<=j<=m且存在i,使Mij

φ}A(4)＝{1，4|存在1、3,使M11

φM34

φ}o1o2o3o4s1{r,w}s2{r}s3{r,w,a}4-3安全策略與安全模型74所謂靜止客體是指被刪除了的客體，該客體名可以被系統(tǒng)中的主體重新使用例如某存儲器段或某個文件名。當該客體被重新使用來存放數(shù)據(jù)時，客體的安全級不能被定義為創(chuàng)建這一客體的主體的安全級。顯然主體可以創(chuàng)建客體，但該客體的安全級必須由系統(tǒng)來定義，因此規(guī)則8中沒有主體

4-3安全策略與安全模型75A(m)是活動客體的下標集，即A(m)={j|1≤j≤m且存在i，使Mij非空}

規(guī)則8的安全性要求是，新定義的安全級f*=(f1*,f2*,f3*,f4*)，不能改變系統(tǒng)中主體的安全級，也不能改變活動客體的安全級，只能改變靜止客體的安全級，在這種情形下，新狀態(tài)v*用f*代替原狀態(tài)v中的f4-3安全策略與安全模型76規(guī)則9：主體si請求創(chuàng)建客體ojRk=(,c,si,oj,e)或Rk=(,c,si,oj,φ)

create-object：

9(Rk,v)≡

ifσ1

φorγ

corσ2=φor(x

eandφ)then

9(Rk,v)=(?,v)ifj

A(m)then

9(Rk,v)=(no,v)ifx=φthen

9(Rk,v)=(yes,(b,M

[{r,w,a,c}]ij,f)) else

9(Rk,v)=(yes,(b,M

[{r,w,a,c,e}]ij,f))end4-3安全策略與安全模型77規(guī)則9要求主體si所創(chuàng)建的客體不能是活動著的客體 當客體創(chuàng)建成功后，系統(tǒng)便將對oj的所有訪問權賦予si，需要區(qū)分的是，當oj不是可執(zhí)行程序時，e權不賦予si4-3安全策略與安全模型78規(guī)則10：主體si請求刪除客體ojRk=(,d,si,oj,φ)delete-object：

10(Rk,v)≡

ifσ1

φorγ

dorσ2=φorx

φthen

10(Rk,v)=(?,v)ifc

Mij

then

10(Rk,v)=(no,v) else

10(Rk,v)=(yes,(b,M

[{r,w,a,c,e}]ij,1≤i≤n,f))end4-3安全策略與安全模型79si必須對oj具有控制權才能刪除oj（在這里，擁有權和控制權是一致的）oj被刪除后，oj成為靜止客體。此時，訪問矩陣的第j列，即oj所對應的列中各元素必須全部清空，不包含任何權限4-3安全策略與安全模型80規(guī)則1：主體si請求得到對客體oj的r訪問權規(guī)則2：主體si請求得到對客體oj的a訪問權規(guī)則3：主體si請求得到對客體oj的e訪問權規(guī)則4：主體si請求得到對客體oj的w訪問權規(guī)則5：主體si請求釋放對客體oj的r或w或e

或a訪問權4-3安全策略與安全模型81規(guī)則6：主體sλ請求授予主體si對客體oj的r或

w或e或a訪問權規(guī)則7：主體sλ請求撤銷主體si對客體oj的r或

w或e或a訪問權規(guī)則8：改變靜止客體的安全級Rk

=（φ,c,φ,oj,f*)

規(guī)則9：主體s請求創(chuàng)建客體oj

Rk=(,c,si,oj,e)或Rk=(,c,si,oj,φ)規(guī)則10：主體s請求刪除客體oj

Rk=(,d,si,oj,φ)4-3安全策略與安全模型82六系統(tǒng)的定義

1.R×D×V×V

={(Rk,Dm,v*,v)|Rk

R,Dm

D,v*,v

V}

R是請求集,D是判定集,V是狀態(tài)集即:任意一個請求,任意一個結果（判斷）和任意兩個狀態(tài)都可組成一個上述的有序四元組,這些有序四元組便構成集合R×D×V×V

4-3安全策略與安全模型83提示:狀態(tài)轉換規(guī)則

:R×V→D×V

其中

R是請求集,D是判斷集,V是狀態(tài)集

對請求(Rk,vn)R×V,在函數(shù)的作用下

(Rk,v)=(Dm,v*)系統(tǒng)對請求Rk的反應是Dm,狀態(tài)由v轉換成v*D={yes,no,error,?}yes－請求被執(zhí)行;no－請求被拒絕

error－系統(tǒng)出錯;?－請求出錯4-3安全策略與安全模型84提示:V=P(S×O×A)×μ×F

狀態(tài)集對v∈Vv=(b,M,f)表示某一狀態(tài)

b

S×O×A

表示在當前時刻,哪些主體獲得了對哪些客體的權限b={(s1,o1,r),(s1,o2,w),(s2,o2,a)…….}M－當前狀態(tài)訪問控制矩陣

f－當前時刻所有主體和客體的密級和部門集4-3安全策略與安全模型852.設ω={

1,

2,…

s}是一組規(guī)則的集合,定義

關系(四元組的集合)W(ω)

R×D×V×V⑴(Rk,?,v,v)

W(ω)iff

對每個i,1≤i≤s,

i(Rk,v)=(?,v)

⑵(Rk,error,v,v)

W(ω)iff

存在i1,i2,1≤i1<i2≤s,使得對任意的v*,v**

V有

i1(Rk,v)

(?,v*)且

i2(Rk,v)

(?,v**)

⑶(Rk,Dm,v*,v)

W(ω),Dm

?,Dm

error,iff

存在唯一的i,使得對某個v*和任意的v**

V,

i(Rk,v)

(?,v**)

i(Rk,v)=(Dm,v*)

4-3安全策略與安全模型86⑵(Rk,error,v,v)解釋設ω={

1,

2,…

s}是一組規(guī)則的集合error－系統(tǒng)出錯,亦即對請求Rk，存在有多條規(guī)則適合它則可設存在i1和i2，1<=i1<i2<s，v1*

和v2*，

i1(Rk,v)=(Dm,v1*)

i2(Rk,v)=(Dm,v2*)

上面可寫法：對任意v*

和v**,

i1(Rk,v)

(?,v*)且

i2(Rk,v)

(?,v**)此即存在i1,i2,1≤i1<i2≤s,使得對任意的v*,v**

V

i1(Rk,v)

(?,v*)且

i2(Rk,v)

(?,v**)

注：W(ω)=｛(Rk,?,v,v)

，(Rk,error,v,v)，(Rk,Dm,v*,v),k,m非負自然數(shù)4-3安全策略與安全模型87(1)請求Rk出錯,沒有一條規(guī)則適合于它(2)系統(tǒng)出錯,有多條規(guī)則適合于請求Rk(3)存在唯一一條規(guī)則適合于請求Rk任一四元組(Rk,Dm,v*,v)∈W(ω)必須滿足上述定義中某一條在狀態(tài)v下，若發(fā)出某請求Rk，必存在一判定Dm∈{?,error,yes,no},根據(jù)ω中的規(guī)則,將狀態(tài)v轉換為狀態(tài)v*,或保持狀態(tài)不變4-3安全策略與安全模型883.T={t1,t2,……..}是離散時刻集,用作請求序列、結果序列、狀態(tài)序列的下標

X=RT={x|x:T→R},x可表示為x=x1x2…xt…是請求序列

X是請求序列集;時刻t時發(fā)出的請求用xt表示

Y=DT={y|y:T→D},y可表示為y=y1y2…yt…是結果序列

Y是結果序列集;時刻t時作出的判定用yt表示

Z=VT={z|z:T→V},z可表示為z=z1z2…zt…是狀態(tài)序列

Z是狀態(tài)序列集;時刻t的狀態(tài)用zt表示X×Y×Z={(x,y,z)|x

X,y

Y,z

Z},其中，

x=x1x2…xt… y=y1y2…yt… z=z1z2…zt…4-3安全策略與安全模型894．系統(tǒng)記作∑(R,D,W(ω),z0)，其定義為∑(R,D,W(ω),z0)

X×Y×Z

(x,y,z)

∑(R,D,W(ω),z0)iff對每一個tT,(xt,yt,zt,zt-1)

W(ω)。

z0

是系統(tǒng)初始狀態(tài)，記z0=(,M,f)x1x2xty1y2ytz0z1z2zt-1zt此即BLP模型定義的系統(tǒng)4-3安全策略與安全模型90(七）系統(tǒng)安全的定義BLP模型定義了安全狀態(tài)、安全狀態(tài)序列以及系統(tǒng)的安全出現(xiàn)，最后說明了什么樣的系統(tǒng)是安全系統(tǒng)1．安全狀態(tài)

一個狀態(tài)v=(b,M,f)，若它滿足自主安全性，簡單安全性和*—性質，那么這個狀態(tài)就是安全的。2．安全狀態(tài)序列

設z=z1z2…zt…是一狀態(tài)序列，若對于每一個t

T，zt都是安全狀態(tài)，則z是安全狀態(tài)序列。

4-3安全策略與安全模型913．系統(tǒng)的一次安全出現(xiàn)

(x,y,z)

∑(R,D,W(ω),z0)稱為系統(tǒng)的一次出現(xiàn)。

若(x,y,z)是系統(tǒng)的一次出現(xiàn)，且z是一安全狀態(tài)序列，則稱(x,y,z)是系統(tǒng)∑(R,D,W(ω),z0)的一次安全出現(xiàn)。4．安全系統(tǒng)

若系統(tǒng)∑(R,D,W(ω),z0)的每次出現(xiàn)都是安全的，則稱該系統(tǒng)是一安全系統(tǒng)。

4-3安全策略與安全模型92（八）模型中的有關安全結論1．這十條規(guī)則都是安全性保持的即：若v是安全狀態(tài)，則經過這十條規(guī)則轉換后的狀態(tài)v*也一定是安全狀態(tài)

2．若z0是安全狀態(tài)，ω是一組安全性保持的規(guī)則，則系統(tǒng)∑(R,D,W(ω),z0)是安全的。

4-3安全策略與安全模型93（九）對BLP安全模型的評價1.BLP模型的優(yōu)缺點：優(yōu)點：①是一種嚴格的形式化描述；②控制信息只能由低向高流動，能滿足軍事部門等一類對數(shù)據(jù)保密性要求特別高的機構的需求缺點：BLP“過于安全”①上級對下級發(fā)文受到限制；②部門之間信息的橫向流動被禁止；③缺乏靈活、安全的授權機制。4-3安全策略與安全模型942.BLP中不安全的地方：①低安全級的信息向高安全級流動，可能破壞高安全客體中數(shù)據(jù)完整性，被病毒和黑客利用。②只要信息由低向高流動即合法（高讀低），不管工作是否有需求，這不符合最小特權原則。③高級別的信息大多是由低級別的信息通過組裝而成的，要解決推理控制的問題。4-3安全策略與安全模型95例如：設o1>o2>o3>o4，主體S的安全級同o1

時刻t1Sro2高低o3r時刻t2釋放對o2的訪問權Sao3高低o4r時刻t3S已含有o2和o3的信息此時S可將o2的信息傳送到o3(無記憶)4-3安全策略與安全模型96（九）對BLP安全模型的評價在BLP模型中，通過比較主體安全級和客體安全級來確定主體是否對客體具有訪問權限。安全檢查執(zhí)行向上寫向下讀的策略，即主體只能寫安全級高(包括相等)的數(shù)據(jù)，只能讀安全級低(包括相等)的數(shù)據(jù)在實際系統(tǒng)設計過程中，發(fā)現(xiàn)傳統(tǒng)的BLP模型過于嚴格和簡單，不能滿足實際應用的需求，需要進行以下改進：4-3安全策略與安全模型97（九）對BLP安全模型的評價(1)按照BLP模型“向上寫”的規(guī)則，任何主體都可以寫最高安全級的數(shù)據(jù)，沒有限制主體的最高寫安全級，從而降低了高安全級數(shù)據(jù)的完整性。必須限制低安全級主體向高安全級別數(shù)據(jù)寫的能力(2)某些高安全級別的主體不應該總是有能力看到所有低安全級別的數(shù)據(jù)，必須將主體的讀能力限定在一個范圍內，而不是允許讀所有低安全級別的客體(3)有些低安全級別的數(shù)據(jù)允許低安全級別主體讀，但不意味著允許低級別的主體改寫，只有規(guī)定的安全級別范圍內的主體才能改寫4-3安全策略與安全模型98（九）對BLP安全模型的評價(4)對于安全級高的主體而言，不僅要寫安全級高的數(shù)據(jù)，也會有寫安全級低的數(shù)據(jù)的合理需求。靜態(tài)的主體安全級別限制了主體的這種合理請求，影響了系統(tǒng)的可用性。必須允許主體可以根據(jù)數(shù)據(jù)的情況，在不違反BLP安全公理的條件下，動態(tài)調節(jié)自己的安全級(5)按照BLP模型，對于某一安全范疇之內的客體，同一安全范疇之內的主體必然至少可以有讀寫權限中的一種，實踐中有時候需要有能力屏蔽主體對特定敏感區(qū)域內數(shù)據(jù)的任何操作4-3安全策略與安全模型99（九）對BLP安全模型的評價可以設計一個增強的多級安全模型，對主體的敏感標記進行擴充，將主體讀寫敏感度標記分離。讀寫敏感標記都是由最低安全級和最高安全級組成的區(qū)間組成，從而可將主體的讀寫權限分別限制在一個區(qū)間之內，即限制主體的最低寫安全級、最低讀安全級、最高讀安全級和最高寫安全級

采用讀寫分離的區(qū)間權限，可以提供豐富的安全管理方案，提高數(shù)據(jù)完整性和系統(tǒng)的可用性，使系統(tǒng)的安全控制更加靈活方便。要不破壞安全性質，必須將區(qū)間敏感度標記與動態(tài)調整策略相結合，即主體當前敏感標記必須根據(jù)客體敏感標記和主體訪問權限的歷史過程進行動態(tài)調整4-3安全策略與安全模型100（九）對BLP安全模型的評價調整說明讀了一個級別的客體后，調整環(huán)境限制參數(shù)防止信息泄漏，以后就不能寫比該客體的安全級別更低級別的客體寫了一個級別的客體后，調整環(huán)境限制參數(shù)防止信息泄漏，以后就不能讀比該客體的安全級別更高級別的客體讀寫了一個級別的客體，調整環(huán)境限制參數(shù)防止信息泄漏，以后就不能讀比這個客體的安全級別更高級別的客體，不能寫比這個客體的安全級別更低級別的客體4-3安全策略與安全模型101（九）對BLP安全模型的評價缺點增加了強制存取控制的復雜性優(yōu)點增加了應用中的靈活性，使得多級安全策略更具有實用性4-3安全策略與安全模型102五

其它幾種安全模型

1、安全信息流的格模型1976年D.Deming與BLP模型一致系統(tǒng)中任意操作序列的執(zhí)行所產生的