培訓(xùn)課程：信息系統(tǒng)安全安全控制原理

主講教師：董慶寬研究方向：密碼學(xué)與信息安全Email

：qkdong@手機(jī)教院培訓(xùn)課程：信息系統(tǒng)安全第二章安全控制原理

2/1092.1可信計(jì)算基的結(jié)構(gòu)與評(píng)測(cè)準(zhǔn)則2.2訪問控制2.3信息流控制2.4安全模型內(nèi)容提要3/1092.1.1可信計(jì)算基的結(jié)構(gòu)第二章安全控制原理2.1可信計(jì)算基的結(jié)構(gòu)與評(píng)測(cè)準(zhǔn)則信息系統(tǒng)可信計(jì)算基TCB的定義：信息系統(tǒng)是由計(jì)算機(jī)及相關(guān)的和配套的設(shè)備和設(shè)施構(gòu)成的定義：可信計(jì)算基(TCB)是指信息系統(tǒng)內(nèi)保護(hù)裝置的總體，包括相關(guān)的軟件、硬件、固件及相關(guān)的管理等其中，固件是具有獨(dú)立功能和作用的軟硬件的集合體。在信息系統(tǒng)中那些為了用戶能安全地使用信息系統(tǒng)并完成信息使命的資源和機(jī)制就構(gòu)成了信息系統(tǒng)的TCB它建立了一個(gè)基本的保護(hù)環(huán)境，并提供一個(gè)可信計(jì)算系統(tǒng)所要求的附加用戶服務(wù)TCB(TrustComputingBase)是1983年《可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)準(zhǔn)則》TCSEC中提出的概念，TCSEC側(cè)重于操作系統(tǒng)安全，而對(duì)操作系統(tǒng)的安全要求可以推廣到整個(gè)信息系統(tǒng)4/109TCB是個(gè)很廣泛的概念，可以由以下(但不限于)要素構(gòu)成操作系統(tǒng)和數(shù)據(jù)庫中的安全內(nèi)核應(yīng)用軟件中與安全相關(guān)的部分具有特權(quán)的程序和命令處理敏感信息的程序，如系統(tǒng)管理命令TCB實(shí)施安全策略的文件其他可信的軟件、硬件、固件和設(shè)備。（關(guān)于故障）負(fù)責(zé)系統(tǒng)管理的人員。（誤操作或惡意操作）保障正確的相關(guān)程序和診斷軟件（評(píng)測(cè)）第二章安全控制原理2.1可信計(jì)算基的結(jié)構(gòu)與評(píng)測(cè)準(zhǔn)則2.1.1可信計(jì)算基的結(jié)構(gòu)5/109信息系統(tǒng)TCB的邏輯結(jié)構(gòu)TCB分為安全策略TSP和安全功能TSF兩個(gè)層次可分別抽象為訪問監(jiān)控器和訪問確認(rèn)機(jī)制這些策略通過安全功能控制所有主體對(duì)客體的操作（控制范圍TSC）安全信息系統(tǒng)的工作機(jī)理信息系統(tǒng)中信息服務(wù)系統(tǒng)和安全策略通過一定的控制手段對(duì)進(jìn)程、服務(wù)、數(shù)據(jù)等資源進(jìn)行有效控制，以期達(dá)到安全有效的使用資源的目的(實(shí)現(xiàn)信息使命及安全使命)第二章安全控制原理2.1可信計(jì)算基的結(jié)構(gòu)與評(píng)測(cè)準(zhǔn)則2.1.1可信計(jì)算基的結(jié)構(gòu)6/109由上可見，TCB提供安全功能的思想在于：①信息系統(tǒng)規(guī)定了信息安全策略TSP②TSP定義了一些規(guī)則TSP可以由多個(gè)安全功能策略SFP模塊構(gòu)成，每個(gè)SFP都有自己的控制范圍，在其中定義了該SFP控制下的主體、客體和操作。SFP是通過安全功能SF實(shí)現(xiàn)的

③信息系統(tǒng)以安全功能為載體通過這些規(guī)則控制任何主體對(duì)其資源的訪問，這樣信息系統(tǒng)就控制了所有信息與服務(wù)，確信對(duì)資源進(jìn)行安全保護(hù)而達(dá)到對(duì)信息的安全保護(hù)第二章安全控制原理2.1可信計(jì)算基的結(jié)構(gòu)與評(píng)測(cè)準(zhǔn)則2.1.1可信計(jì)算基的結(jié)構(gòu)7/109TCB的安全策略，簡(jiǎn)稱TSP(TCBSecurityPolicy)是對(duì)TCB中的資源進(jìn)行管理、保護(hù)和分配的一組規(guī)則。它是所有SFP的總和其中，安全功能策略SFP(SecurityFunctionPolicy)，是由多個(gè)安全策略SP組成的針對(duì)某些特定安全功能的策略，通過安全功能SF模塊實(shí)現(xiàn)TSP可抽象為訪問監(jiān)控器訪問監(jiān)控器是信息系統(tǒng)中實(shí)施訪問控制策略的抽象機(jī)，是安全功能模塊在執(zhí)行安全功能時(shí)的依據(jù)，比如訪問控制的規(guī)則等第二章安全控制原理2.1可信計(jì)算基的結(jié)構(gòu)與評(píng)測(cè)準(zhǔn)則2.1.1可信計(jì)算基的結(jié)構(gòu)8/109TCB的安全功能，簡(jiǎn)稱TSF(TCBSecurityfunction)是正確實(shí)施TCB安全策略的全部硬件、固件、軟件所提供的功能。它包括了一個(gè)TCB的所有安全功能模塊SF，通常是一個(gè)或多個(gè)安全功能策略SFP的實(shí)現(xiàn)TSF中可能包括一個(gè)訪問確認(rèn)機(jī)制和其他一些安全功能訪問確認(rèn)機(jī)制是訪問監(jiān)控器概念的實(shí)現(xiàn)，它具有防拆卸、一直運(yùn)行、簡(jiǎn)單到能夠進(jìn)行徹底的分析與測(cè)試，如訪問控制的執(zhí)行單元，操作系統(tǒng)的安全內(nèi)核等TCB中所有TSF構(gòu)成一個(gè)安全域，以防止不可信實(shí)體的干擾和篡改，這個(gè)安全域?qū)嶋H上是TCB操作及其所涉及的主體和客體，也被稱為TSF的控制范圍TSC。TCB中的非TSF部分構(gòu)成非安全域第二章安全控制原理2.1可信計(jì)算基的結(jié)構(gòu)與評(píng)測(cè)準(zhǔn)則2.1.1可信計(jì)算基的結(jié)構(gòu)9/109TSF的實(shí)現(xiàn)有兩種方法設(shè)置前端過濾器，如防火墻，登陸認(rèn)證，防止非法進(jìn)入系統(tǒng)設(shè)置訪問監(jiān)督器，如安全審計(jì)系統(tǒng)、防止越權(quán)訪問TSF的兩種實(shí)現(xiàn)方法實(shí)際上給出了信息系統(tǒng)安全的訪問控制模型該模型對(duì)非授權(quán)訪問有兩道防線：第一道防線是守衛(wèi)者：基于通行字的登錄程序和屏蔽程序，分別用于拒絕非授權(quán)的訪問、檢測(cè)和拒絕病毒：外部訪問控制，具有前端過濾器的功能第二道防線由一些內(nèi)部控制部件構(gòu)成，管理系統(tǒng)內(nèi)部的各項(xiàng)操作和分析所存有的信息，檢查是否有未授權(quán)的入侵者。內(nèi)部訪問控制、安全管理和審計(jì)，具有訪問監(jiān)督器的作用第二章安全控制原理2.1可信計(jì)算基的結(jié)構(gòu)與評(píng)測(cè)準(zhǔn)則2.1.1可信計(jì)算基的結(jié)構(gòu)10/109在信息系統(tǒng)或產(chǎn)品中的數(shù)據(jù)、資源和實(shí)體的相關(guān)概念信息系統(tǒng)中處理的數(shù)據(jù)，有兩大類：用戶數(shù)據(jù)：用戶完成信息使命時(shí)產(chǎn)生和處理的，是信息系統(tǒng)安全保障的根本目標(biāo)，存儲(chǔ)在信息系統(tǒng)資源中TSF數(shù)據(jù)：用于保護(hù)用戶數(shù)據(jù)所需的數(shù)據(jù)，在作出TSP決策時(shí)TSF使用的信息，如安全屬性、鑒別數(shù)據(jù)，訪問控制表ACL內(nèi)容等都是TSF數(shù)據(jù)的例子。又可分為鑒別數(shù)據(jù)與保密數(shù)據(jù)信息系統(tǒng)的資源用于存儲(chǔ)和處理信息，它們是由存儲(chǔ)介質(zhì)、外圍設(shè)備和計(jì)算能力構(gòu)成的。TSF的主要目標(biāo)是完全并正確的對(duì)信息系統(tǒng)所控制的資源與信息，實(shí)施信息系統(tǒng)的安全策略TSP信息系統(tǒng)資源可以用不同的方式構(gòu)成和利用第二章安全控制原理2.1可信計(jì)算基的結(jié)構(gòu)與評(píng)測(cè)準(zhǔn)則2.1.1可信計(jì)算基的結(jié)構(gòu)11/109信息系統(tǒng)中的實(shí)體entity，由資源產(chǎn)生，有兩類：(1)主動(dòng)實(shí)體，稱為主體subject，指用戶和其它任何代理用戶行為的實(shí)體(例如設(shè)備、進(jìn)程、作業(yè)和程序)它是信息系統(tǒng)內(nèi)部行為發(fā)起的原因，并導(dǎo)致對(duì)信息的操作；但不一定是執(zhí)行者(可能是代理程序)信息系統(tǒng)內(nèi)有三類實(shí)體：(1)代表遵從TSP所有規(guī)則的已授權(quán)用戶，如UNIX進(jìn)程(2)作為專用功能進(jìn)程，可以輪流代表多個(gè)用戶，如C/S結(jié)構(gòu)中可以找到的功能(3)作為信息系統(tǒng)本身的一部分，如可信進(jìn)程(如OS的進(jìn)程)最初始的主體一定是人類用戶第二章安全控制原理2.1可信計(jì)算基的結(jié)構(gòu)與評(píng)測(cè)準(zhǔn)則2.1.1可信計(jì)算基的結(jié)構(gòu)12/109(2)被動(dòng)實(shí)體，稱為客體object，指信息的載體或從其他主體或客體接收信息的實(shí)體。是發(fā)出或接收信息的容器(介質(zhì))客體不受它所依存的系統(tǒng)的限制可以包括記錄、數(shù)據(jù)塊、存儲(chǔ)頁、存儲(chǔ)段、文件、目錄、目錄樹、庫表、郵箱、消息、程序等還可以包括位、字節(jié)、字、字段、變量、處理器、通信信道、時(shí)鐘、網(wǎng)絡(luò)節(jié)點(diǎn)等最終的客體一定是記錄介質(zhì)上的信息(數(shù)據(jù))受控的主體或子進(jìn)程也是一種客體操作系統(tǒng)中的進(jìn)程(包括用戶進(jìn)程和系統(tǒng)進(jìn)程)有著雙重身份，既用戶的客體，又是訪問對(duì)象的主體第二章安全控制原理2.1可信計(jì)算基的結(jié)構(gòu)與評(píng)測(cè)準(zhǔn)則2.1.1可信計(jì)算基的結(jié)構(gòu)13/109實(shí)體的權(quán)限與授權(quán)權(quán)限：是指與計(jì)算機(jī)上或網(wǎng)絡(luò)上的對(duì)象(文件或文件夾)關(guān)聯(lián)的規(guī)則，權(quán)限確定是否可以訪問某個(gè)對(duì)象以及可以對(duì)它執(zhí)行哪些操作授權(quán)：是對(duì)主體賦予以上這種能力用戶進(jìn)程的權(quán)限：是固定為某一用戶服務(wù)的，其權(quán)限應(yīng)與所代表的用戶相同系統(tǒng)進(jìn)程的權(quán)限：是動(dòng)態(tài)的為所有用戶提供服務(wù)的，因而它的權(quán)限是隨著服務(wù)對(duì)象的變換而變化的，需要將用戶權(quán)限與為其服務(wù)的進(jìn)程權(quán)限動(dòng)態(tài)相關(guān)聯(lián)第二章安全控制原理2.1可信計(jì)算基的結(jié)構(gòu)與評(píng)測(cè)準(zhǔn)則2.1.1可信計(jì)算基的結(jié)構(gòu)14/109TCB中用于數(shù)據(jù)保護(hù)的安全功能策略SFP有3種：訪問控制SFP其實(shí)現(xiàn)機(jī)制基于控制范圍內(nèi)的主體、客體和操作的屬性做出策略決定的。這些屬性被用于一組規(guī)則中，以便控制各主體對(duì)客體的操作。主體、客體和訪問控制規(guī)則為三要素信息流控制SFP信息流是主體對(duì)客體操作而引起的信息在客體間的流動(dòng)，信息流控制要控制信息的流向等方面的問題其實(shí)現(xiàn)機(jī)制是基于控制范圍內(nèi)的主體和信息的屬性，并支配主體對(duì)信息操作的一組規(guī)則作出策略決策的信息的屬性與信息相隨，它可能與存儲(chǔ)介質(zhì)的屬性相關(guān)聯(lián)主體、信息屬性、支配主體對(duì)信息操作的規(guī)則(三要素)第二章安全控制原理2.1可信計(jì)算基的結(jié)構(gòu)與評(píng)測(cè)準(zhǔn)則2.1.1可信計(jì)算基的結(jié)構(gòu)15/109推理控制SFP是指客體信息內(nèi)容之間推理通道的控制，防止信息泄漏與信息內(nèi)容之間的邏輯關(guān)系有關(guān)，主要用在數(shù)據(jù)庫領(lǐng)域因此，信息系統(tǒng)的安全控制就主要分為三種：訪問控制：針對(duì)存儲(chǔ)在信息容器中的靜態(tài)信息信息流控制：針對(duì)在信道中的動(dòng)態(tài)信息推理控制：針對(duì)信息內(nèi)容，信息之間的邏輯關(guān)系主體對(duì)客體的訪問操作至少包含如下幾種：讀：允許信息從被讀的客體中流向讀它的主體寫：允許信息從寫主體流向被寫的客體執(zhí)行：運(yùn)行程序或文件控制：一個(gè)主體用來授予或撤銷另一主體的對(duì)某一客體的訪問權(quán)限的能力第二章安全控制原理2.1可信計(jì)算基的結(jié)構(gòu)與評(píng)測(cè)準(zhǔn)則2.1.1可信計(jì)算基的結(jié)構(gòu)16/109對(duì)TCB的測(cè)評(píng)可以評(píng)估TCB的強(qiáng)度，目前最為典型的測(cè)評(píng)標(biāo)準(zhǔn)就是六國(guó)七方制定的通用準(zhǔn)則標(biāo)準(zhǔn)CC(CommonCriteria)

ISO/IEC15408-1999GB/T18336-2001《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》桔皮書（TCSEC）1985英國(guó)安全標(biāo)準(zhǔn)1989德國(guó)標(biāo)準(zhǔn)法國(guó)標(biāo)準(zhǔn)加拿大標(biāo)準(zhǔn)1993(CTCPEC)聯(lián)邦標(biāo)準(zhǔn)草案1993ITSEC1991通用標(biāo)準(zhǔn)CCV1.01996V2.01998V2.119992.1.2TCB的國(guó)際測(cè)評(píng)標(biāo)準(zhǔn)CC第二章安全控制原理2.1可信計(jì)算基的結(jié)構(gòu)與評(píng)測(cè)準(zhǔn)則17/109CC定義了作為評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基礎(chǔ)準(zhǔn)則，提出了目前國(guó)際上公認(rèn)的表述信息技術(shù)安全性的結(jié)構(gòu)CC源于TCSEC（TCSEC針對(duì)操作系統(tǒng)安全的安全功能單元進(jìn)行評(píng)估）并改進(jìn)了TCSEC，考慮了與信息技術(shù)安全性有關(guān)的所有因素它把安全要求分為規(guī)范產(chǎn)品和系統(tǒng)安全行為的安全功能要求以及如何正確有效的實(shí)施這些功能的安全保證要求CC的另一個(gè)核心思想是安全工程的思想，即通過對(duì)信息安全產(chǎn)品的開發(fā)、評(píng)價(jià)、使用全過程的各個(gè)環(huán)節(jié)實(shí)施安全工程來確保產(chǎn)品的安全性。評(píng)估對(duì)象（TargetofEvaluation簡(jiǎn)稱TOE）：作為評(píng)估主體的IT產(chǎn)品及系統(tǒng)以及相關(guān)的管理員和用戶指南文檔CC的評(píng)估結(jié)果受到技術(shù)水平的限制，比如漏洞檢測(cè)能力等2.1.2TCB的國(guó)際測(cè)評(píng)標(biāo)準(zhǔn)CC第二章安全控制原理2.1可信計(jì)算基的結(jié)構(gòu)與評(píng)測(cè)準(zhǔn)則18/109CC的特點(diǎn)通用性：即給出通用表達(dá)式；用戶、TOE開發(fā)者、評(píng)估者、認(rèn)可者等目標(biāo)讀者，都使用CC語言，則相互之間更容易理解溝通具有內(nèi)在的完備性和實(shí)用性：見PP和ST的介紹CC明確指出不在其范圍的內(nèi)容行政管理的安全措施；信息技術(shù)安全性的物理方面；密碼算法的質(zhì)量CC評(píng)估的效益CC評(píng)估過程對(duì)最初需求、開發(fā)過程、最終產(chǎn)品以及操作環(huán)境將產(chǎn)生強(qiáng)烈的積極影響評(píng)估過程能發(fā)現(xiàn)開發(fā)者可以糾正的TOE錯(cuò)誤或弱點(diǎn)，從而減少將來操作中安全失效的可能性另一方面為了通過嚴(yán)格的評(píng)估，開發(fā)者在TOE設(shè)計(jì)和開發(fā)時(shí)也將更加細(xì)心2.1.2TCB的國(guó)際測(cè)評(píng)標(biāo)準(zhǔn)CC第二章安全控制原理2.1可信計(jì)算基的結(jié)構(gòu)與評(píng)測(cè)準(zhǔn)則19/109CC分為三個(gè)部分：簡(jiǎn)介和一般模型、安全功能要求、安全保證要求CC的第一部分：“簡(jiǎn)介和一般模型”包括CC有關(guān)的術(shù)語、基本概念和一般模型以及與評(píng)估有關(guān)的一些框架；描述CC的每一部分對(duì)每一目標(biāo)讀者的用途；附錄部分主要介紹保護(hù)輪廓(PP)和安全目標(biāo)(ST)的基本內(nèi)容PP是對(duì)某一類產(chǎn)品的安全保護(hù)說明，比如防火墻ST是在PP的基礎(chǔ)上，通過將安全要求進(jìn)一步針對(duì)性具體化，解決了這些要求的具體實(shí)現(xiàn)。比如面向安卓智能手機(jī)的防火墻2.1.2TCB的國(guó)際測(cè)評(píng)標(biāo)準(zhǔn)CC第二章安全控制原理2.1可信計(jì)算基的結(jié)構(gòu)與評(píng)測(cè)準(zhǔn)則20/109保護(hù)輪廓（ProtectProfile簡(jiǎn)稱PP）:滿足特定用戶需求、與一類TOE的實(shí)現(xiàn)無關(guān)的一組安全要求。PP是抽象層次較高的安全要求說明書，CC對(duì)它的格式有明確的規(guī)定它可以使用CC中定義好的組件或由這些組件構(gòu)成的組件包，同時(shí)，也可以使用自行定義的要求組件。在安全產(chǎn)品的開發(fā)過程中，PP通常是在ST的定義中引用。它應(yīng)包括一個(gè)評(píng)估保證級(jí)別（EAL）2.1.2TCB的國(guó)際測(cè)評(píng)標(biāo)準(zhǔn)CC第二章安全控制原理2.1可信計(jì)算基的結(jié)構(gòu)與評(píng)測(cè)準(zhǔn)則21/109保護(hù)輪廓(ProtectionProfile)主要用于表達(dá)一類產(chǎn)品或系統(tǒng)的用戶需求，主要內(nèi)容：對(duì)該類產(chǎn)品或系統(tǒng)的界定性描述，即確定需要保護(hù)的對(duì)象（PP引言和TOE描述）確定TOE安全環(huán)境，即指明安全問題－需要保護(hù)的資產(chǎn)、已知的威脅、用戶的組織的安全策略產(chǎn)品或系統(tǒng)的安全目的，即對(duì)安全問題的響應(yīng)對(duì)策－－技術(shù)性和非技術(shù)性的措施信息技術(shù)(IT)安全要求，包括功能要求、保證要求和環(huán)境安全要求，這些要求通過滿足安全目的，進(jìn)一步提出具體在技術(shù)上如何解決安全問題基本原理，指明安全要求對(duì)安全目的、安全目的對(duì)安全環(huán)境是充分的且必要的以及附加的補(bǔ)充說明信息（PP應(yīng)用注解）

保護(hù)輪廓PP描述結(jié)構(gòu)2.1.2TCB的國(guó)際測(cè)評(píng)標(biāo)準(zhǔn)CC第二章安全控制原理2.1可信計(jì)算基的結(jié)構(gòu)與評(píng)測(cè)準(zhǔn)則22/109安全目標(biāo)（SecurityTarget簡(jiǎn)稱ST）：作為指定的TOE評(píng)估基礎(chǔ)的一組安全要求和規(guī)范。在保護(hù)輪廓的基礎(chǔ)上，通過將安全要求進(jìn)一步針對(duì)性具體化，解決了要求的具體實(shí)現(xiàn)。常見的實(shí)用方案就可以當(dāng)成“安全目標(biāo)”對(duì)待。ST是一份安全要求與概要設(shè)計(jì)說明書，是進(jìn)行CC評(píng)估的重要基礎(chǔ)，CC對(duì)它的格式有明確的規(guī)定。ST的安全要求定義與PP非常相似，不同的是ST的安全要求是為了某一特定安全產(chǎn)品而定義的。ST包括一系列安全要求，可以通過引用一個(gè)（或多個(gè)）PP來定義，直接引用CC中的功能或保證組件，或明確說明，也可以采用與定義PP相同的方法從頭定義。一個(gè)ST包含TOE的概要規(guī)范，安全要求和目的，以及它們的基本原理ST是所有團(tuán)體間就TOE應(yīng)提供什么樣的安全性達(dá)成一致的基礎(chǔ)

安全目標(biāo)描述結(jié)構(gòu)2.1.2TCB的國(guó)際測(cè)評(píng)標(biāo)準(zhǔn)CC第二章安全控制原理2.1可信計(jì)算基的結(jié)構(gòu)與評(píng)測(cè)準(zhǔn)則23/109CC的第二部分：“安全功能要求”提供了表示TOE安全功能要求的標(biāo)準(zhǔn)方法對(duì)滿足安全需求的諸安全功能提出了詳細(xì)的要求，包含良好定義的且較易理解的安全功能要求目錄，它將作為一個(gè)表示IT產(chǎn)品和系統(tǒng)安全要求的標(biāo)準(zhǔn)方式。該部分按“類—族—組件”的方式提出安全功能要求。共列出了11個(gè)類、66個(gè)族(子類)和135個(gè)安全功能組件另外，如果有超出第二部分的安全功能要求，開發(fā)者可以根據(jù)“類-族-組件-元素”的描述結(jié)構(gòu)表達(dá)其安全要求，并附加在其ST中2.1.2TCB的國(guó)際測(cè)評(píng)標(biāo)準(zhǔn)CC第二章安全控制原理2.1可信計(jì)算基的結(jié)構(gòu)與評(píng)測(cè)準(zhǔn)則24/109CC的11個(gè)安全功能類：安全審計(jì)類FAU通信類FCO(主要指身份真實(shí)性和抗抵賴)密碼支持類FCS用戶數(shù)據(jù)保護(hù)類FDP標(biāo)識(shí)與鑒別類FIA安全管理類(與TSF有關(guān)的管理)FMT隱秘類(保護(hù)用戶隱私)FPR前7類安全功能是提供給信息系統(tǒng)使用的后4類安全功能是為確保安全功能模塊(TSF)的自身安全而設(shè)置的，可以看成是對(duì)安全功能模塊自身安全性的保證。TSF保護(hù)類(TOE自身安全保護(hù))FPT資源利用類(從資源管理角度確保TSF安全)FAUTOE訪問類(從對(duì)TOE的訪問控制確保安全性)FTA可信路徑/信道類FTP2.1.2TCB的國(guó)際測(cè)評(píng)標(biāo)準(zhǔn)CC第二章安全控制原理2.1可信計(jì)算基的結(jié)構(gòu)與評(píng)測(cè)準(zhǔn)則25/109CC的第三部分：安全保證要求也稱安全保障(assurance)要求，它包括:(1)用以衡量保證級(jí)別的評(píng)估保證級(jí)別(EvaluationAssuranceLevels：

EAL)，包含了7個(gè)遞增的評(píng)估保證級(jí)。EAL1：功能測(cè)試；EAL2：結(jié)構(gòu)測(cè)試；EAL3：系統(tǒng)的測(cè)試和檢查；EAL4：系統(tǒng)的設(shè)計(jì)、測(cè)試和復(fù)查；EAL5：半形式化設(shè)計(jì)和測(cè)試；EAL6：半形式化驗(yàn)證的設(shè)計(jì)和測(cè)試；EAL7：形式化驗(yàn)證的設(shè)計(jì)和測(cè)試。2.1.2TCB的國(guó)際測(cè)評(píng)標(biāo)準(zhǔn)CC第二章安全控制原理2.1可信計(jì)算基的結(jié)構(gòu)與評(píng)測(cè)準(zhǔn)則26/109(2)用以組成保證級(jí)別的每個(gè)保證組件(3)以及PP和ST的評(píng)估準(zhǔn)則包含建立保證組件所用到的一個(gè)目錄，它可被作為表示IT產(chǎn)品和系統(tǒng)保證要求的標(biāo)準(zhǔn)方式CC第三部分也被組織為與第二部分同樣的“類—族—組件”結(jié)構(gòu)。所謂“保證”就是對(duì)實(shí)現(xiàn)系統(tǒng)安全功能的保障，安全保障是對(duì)安全功能實(shí)現(xiàn)的措施安全功能是信息系統(tǒng)或IT產(chǎn)品應(yīng)該實(shí)現(xiàn)的安全策略和安全機(jī)制安全保證是通過一定的方法保證信息系統(tǒng)或IT產(chǎn)品的安全功能得到確實(shí)的要求2.1.2TCB的國(guó)際測(cè)評(píng)標(biāo)準(zhǔn)CC第二章安全控制原理2.1可信計(jì)算基的結(jié)構(gòu)與評(píng)測(cè)準(zhǔn)則27/109CC的第三部分是評(píng)估方法部分，提出了PP、ST、TOE三種評(píng)估，共包括10個(gè)類，但其中的APE類(PP評(píng)估)與ASE類(ST評(píng)估)分別介紹了PP與ST的描述結(jié)構(gòu)及評(píng)估準(zhǔn)則;維護(hù)類AMA提出了保證評(píng)估過的受測(cè)系統(tǒng)或產(chǎn)品運(yùn)行于所獲得的安全級(jí)別上的要求只有七個(gè)安全保證類是TOE的評(píng)估類別ACM類：配置管理ADO類：分發(fā)與操作ADV類：開發(fā)AGD類：指導(dǎo)性文檔ALC類：生命周期支持ATE類：測(cè)試AVA類：脆弱性評(píng)定2.1.2TCB的國(guó)際測(cè)評(píng)標(biāo)準(zhǔn)CC第二章安全控制原理2.1可信計(jì)算基的結(jié)構(gòu)與評(píng)測(cè)準(zhǔn)則28/1092.1.3我國(guó)的TCB測(cè)評(píng)標(biāo)準(zhǔn)(1)《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)劃分準(zhǔn)則》GB17859-1999參考TCSEC編制的(2)《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》GB/T18336-2001我國(guó)的CC,幾乎等同于ISO/IEC15408－1999，但對(duì)安全功能和安全保證技術(shù)的組件的看法不同目前使用的是GB/T18336-2008第二章安全控制原理2.1可信計(jì)算基的結(jié)構(gòu)與評(píng)測(cè)準(zhǔn)則29/1092.2訪問控制訪問控制是指防止或者限制未經(jīng)過授權(quán)而對(duì)任何客體進(jìn)行的訪問。(控制主體對(duì)客體的存取)未授權(quán)訪問包括未經(jīng)授權(quán)的使用、泄漏、修改、銷毀以及頒發(fā)指令等。訪問控制直接支持機(jī)密性、完整性、可用性及合法使用的客體主體、客體和訪問規(guī)則構(gòu)成訪問控制的三要素訪問控制的目標(biāo)是對(duì)抗涉及信息系統(tǒng)非授權(quán)操作的威脅該目標(biāo)在ISO/IEC10181-3(開放系統(tǒng)互聯(lián)，開放系統(tǒng)的安全框架:“訪問控制框架”)部分進(jìn)行了描述它決定了開放系統(tǒng)環(huán)境中允許/限制/禁止使用哪些客體，并如何阻止未授權(quán)訪問的問題。在訪問控制中，訪問可以對(duì)一個(gè)系統(tǒng)(即對(duì)一個(gè)系統(tǒng)通信部分的一個(gè)實(shí)體)或在一個(gè)系統(tǒng)內(nèi)部進(jìn)行第二章安全控制原理2.2訪問控制30/109訪問控制是信息系統(tǒng)安全控制的主要內(nèi)容，包括3個(gè)任務(wù)(1)確定存取權(quán)限(讀、寫、執(zhí)行、刪除、追加等存取方式的組合)，(即有哪些種類的存取操作被允許)(2)實(shí)施存取權(quán)限(授權(quán))(3)控制外界對(duì)系統(tǒng)存取(對(duì)訪問的控制)訪問控制主要涉及如下四類情況對(duì)數(shù)據(jù)、不同進(jìn)程或其他計(jì)算資源進(jìn)行處理(可以是人類行為或其他進(jìn)程)的訪問控制一個(gè)安全區(qū)域內(nèi)或者多個(gè)安全區(qū)域之間的訪問控制根據(jù)上下文(與環(huán)境參數(shù)有關(guān))進(jìn)行的訪問控制對(duì)訪問過程中的授權(quán)變化作出反應(yīng)的訪問控制2.2訪問控制第二章安全控制原理2.2訪問控制31/1091)訪問控制的一般模型如圖所示，該模型表示主體試圖訪問一些客體在訪問控制機(jī)制中，通常由發(fā)起者提出訪問目標(biāo)的請(qǐng)求，系統(tǒng)根據(jù)決策規(guī)則由實(shí)施功能對(duì)訪問請(qǐng)求進(jìn)行分析、處理，在授權(quán)的范圍內(nèi)，允許發(fā)起者對(duì)目標(biāo)進(jìn)行有限的訪問訪問請(qǐng)求是指讀、寫、執(zhí)行、控制等操作請(qǐng)求2.2.1訪問控制的一般原理第二章安全控制原理2.2訪問控制32/109模型中包含一個(gè)實(shí)施功能模塊和決策功能模塊實(shí)施功能模塊執(zhí)行訪問控制機(jī)制決策功能模塊表示一組訪問控制規(guī)則和策略決策功能控制著主體的訪問許可限制其在何種條件下，為了什么目的，可以訪問哪些客體這些決策以某一訪問控制策略的形式反映出來兩種功能模塊分別可由一個(gè)或多個(gè)訪問控制組件構(gòu)成訪問控制實(shí)施功能配置在每個(gè)主體－客體實(shí)例之間，以便主體通過訪問控制實(shí)施功能作用于客體訪問決策功能組件可以配置在訪問控制實(shí)施功能組件中訪問控制實(shí)施功能組件可使用一個(gè)或多個(gè)訪問決策功能組件2.2.1訪問控制的一般原理第二章安全控制原理2.2訪問控制33/109訪問控制組件的分布主要有以下幾種：①客體上使用訪問控制組件由在客體端部署的訪問控制來檢查訪問請(qǐng)求是否被允許②在本地對(duì)主體使用訪問控制組件在主體端部署的訪問控制機(jī)制對(duì)主體訪問安全區(qū)域進(jìn)行控制，比如是否能夠訪問外網(wǎng)，而不管訪問的客體是什么③在主體和客體之間對(duì)訪問使用訪問控制組件。訪問控制實(shí)施功能插在主體和客體之間。插入訪問控制實(shí)施功能可強(qiáng)加訪問控制策略。這些訪問控制策略可以獨(dú)立于主體和客體安全區(qū)域訪問控制策略④跨多個(gè)安全區(qū)域的訪問組件分布安全區(qū)域之間可以建立某種聯(lián)系，使得一個(gè)安全區(qū)域的資源可被另外的安全區(qū)域所訪問2.2.1訪問控制的一般原理第二章安全控制原理2.2訪問控制34/1092）粒度與容度粒度是指：訪問控制策略可在不同級(jí)別上定義客體例如，可以對(duì)數(shù)據(jù)庫服務(wù)器的訪問控制作為整體進(jìn)行控制，也就是說，要么完全拒絕主體訪問，要么允許它訪問服務(wù)器上的任何東西另一種策略是，可以將訪問控制細(xì)分到個(gè)人文件、文件中的記錄，甚至記錄中的數(shù)據(jù)條目。容度用來控制對(duì)客體組的訪問只有能對(duì)一個(gè)包含客體的客體組進(jìn)行訪問時(shí)，才允許對(duì)客體組內(nèi)的這些客體進(jìn)行訪問容度也用在大群組里包含的主體的子群組。通常情況下，容度概念用在互相關(guān)聯(lián)的客體中例如，要訪問數(shù)據(jù)庫記錄中的數(shù)據(jù)條目，首先必須要有訪問該數(shù)據(jù)庫的權(quán)力，2.2.1訪問控制的一般原理第二章安全控制原理2.2訪問控制35/1093）訪問控制類型從不同角度出發(fā)，訪問控制可以有不同的分類方法1)阻止非授權(quán)用戶訪問客體在該類型下，訪問控制可以分為過濾和分離兩種類型。過濾是通過檢查主體是否被準(zhǔn)予請(qǐng)求的方式訪問客體，訪問請(qǐng)求可以到達(dá)客體，但是否被過濾由主體的訪問權(quán)限來確定。分離是防止此授權(quán)用戶有機(jī)會(huì)去訪問敏感的客體。路由控制可以看成一種通信訪問控制的格式，它是一個(gè)支撐分離的訪問控制機(jī)制。比如隔離機(jī)制2)自主式策略和強(qiáng)制式策略自主式策略就是由客體的屬主自主決定將該客體的相應(yīng)的訪問權(quán)限轉(zhuǎn)授給其它主體的訪問控制策略。強(qiáng)制式策略被最終的權(quán)威機(jī)構(gòu)采用和執(zhí)行，無法繞過，它基于能自動(dòng)實(shí)施的規(guī)則2.2.1訪問控制的一般原理第二章安全控制原理2.2訪問控制36/1092.2.2基本訪問控制模型主要按照訪問控制決策功能模塊實(shí)現(xiàn)的不同來分類基本訪問控制模型有訪問控制矩陣(ACM)訪問目錄表(針對(duì)主體建立)訪問控制表ACL(針對(duì)客體建立)高級(jí)的訪問控制模型能力機(jī)制(更細(xì)粒度的訪問控制，制定對(duì)客體操作的某一權(quán)力)面向過程的訪問控制(設(shè)立保護(hù)層，對(duì)客體的訪問必須經(jīng)過專門的代理)第二章安全控制原理2.2訪問控制37/1091.訪問控制矩陣ACM訪問控制矩陣(accesscontrolmatix，ACM)模型的基本思想就是將所有的訪問控制信息存儲(chǔ)在一個(gè)矩陣中集中管理。當(dāng)前的訪問控制模型一般都是在它的基礎(chǔ)上建立起來的。訪問控制矩陣中，行代表主體，列代表客體，每個(gè)矩陣元素說明每個(gè)用戶的訪問權(quán)限。如表3.1，O屬主，R只讀，W只寫，X執(zhí)行訪問控制矩陣ACM是稀疏的，空間浪費(fèi)較大，在操作系統(tǒng)中使用不多。適用于主體集合和客體集合之間每個(gè)主體對(duì)應(yīng)50%以上客體的情況；在數(shù)據(jù)庫管理系統(tǒng)中較常見FILE1FILE2FILE3FILE4USER-AORWOXRUSER-BREUSER-CRWORWRWUSER-DXO2.2.2基本訪問控制模型第二章安全控制原理2.2訪問控制38/1092.訪問目錄表實(shí)際上是按訪問控制矩陣的行實(shí)施對(duì)系統(tǒng)中客體的訪問控制在系統(tǒng)中把用戶分為系統(tǒng)管理員、文件主(擁有者)和一般用戶系統(tǒng)管理員具有最高的權(quán)限。他可以為用戶分配或撤銷文件的訪問權(quán)，也有權(quán)把自己文件的訪問權(quán)分配給其他用戶或?qū)⑵涫栈卦L問目錄表示例本列說明每一個(gè)文件有哪些用戶可以訪問通常為每個(gè)用戶建立一張?jiān)L問目錄表，其中存放有權(quán)訪問的文件名及其訪問權(quán)限(如圖)2.2.2基本訪問控制模型第二章安全控制原理2.2訪問控制39/109訪問目錄機(jī)制容易實(shí)現(xiàn)，但存在三個(gè)問題需要解決(1)共享客體的控制共享客體會(huì)存入每個(gè)用戶的目錄表中，如果共享的客體太多(如子程序庫)，用戶的目錄表將會(huì)很長(zhǎng)，增加了處理時(shí)間(2)訪問權(quán)的收回問題。若允許信任關(guān)系傳遞，客體的訪問權(quán)會(huì)被多次轉(zhuǎn)授，最初的用戶希望收回所有用戶對(duì)該客體的訪問權(quán)時(shí)，必須搜索所有用戶的目錄表，如果系統(tǒng)中用戶數(shù)量較大，將要花費(fèi)很多時(shí)間(3)多重許可權(quán)問題。文件重名問題可引起此問題乙用戶將甲用戶轉(zhuǎn)給他的A文件改名存儲(chǔ)后忘記了，過了一段時(shí)間又向甲用戶申請(qǐng)A文件的訪問權(quán)，甲可能對(duì)乙更加信任，就把A文件更高的訪問權(quán)授予乙，于是造成乙用戶對(duì)甲的A文件有多重訪問權(quán)的問題2.2.2基本訪問控制模型第二章安全控制原理2.2訪問控制40/1093.訪問控制表ACL按ACM矩陣的列實(shí)施對(duì)系統(tǒng)中客體的訪問控制訪問目錄表和訪問控制表分別將訪問控制設(shè)施設(shè)置在用戶端和客體端，這兩種控制方式需要管理的表項(xiàng)的總數(shù)量是相同的，它們的差別在于管理共享客體的方法上，訪問控制表技術(shù)易于實(shí)現(xiàn)對(duì)共享客體的管理。2.2.2基本訪問控制模型第二章安全控制原理2.2訪問控制41/109每個(gè)客體都有一張ACL，用于說明可以訪問該客體的主體及其訪問權(quán)限。對(duì)某個(gè)共享客體，操作系統(tǒng)只要維護(hù)一張ACL即可。ACL對(duì)于大多數(shù)用戶都可以擁有的某種訪問權(quán)限，可以采用默認(rèn)方式表示(通配符)，ACL中只存放各用戶的特殊訪問要求。這樣對(duì)于那些被大多數(shù)用戶共享地程序或文件等客體就用不著在每個(gè)用戶的目錄中都保留一項(xiàng)如“*E”就表示任何客體都可以執(zhí)行該客體2.2.2基本訪問控制模型第二章安全控制原理2.2訪問控制42/1094.能力機(jī)制實(shí)際有這樣的需求：主體不僅應(yīng)該能夠創(chuàng)立新的客體，而且還應(yīng)該能制定對(duì)這些客體的操作權(quán)限，即客體權(quán)限的動(dòng)態(tài)變化比如主體對(duì)客體的訪問權(quán)限因不同的上下文環(huán)境而不同由Dennis和VanHorn提出的能力機(jī)制是可以滿足這些要求的更高的訪問控制機(jī)制能力的最基本形式是對(duì)一個(gè)客體的訪問權(quán)力的索引他的基本內(nèi)容是每一個(gè)”客體-權(quán)力”對(duì)被認(rèn)為是一個(gè)單獨(dú)的實(shí)體。如果一個(gè)主體擁有這個(gè)”客體-權(quán)力”對(duì)，就說這個(gè)主體擁有訪問該客體某項(xiàng)權(quán)力的能力。能力機(jī)制需要結(jié)合訪問控制表(或ACM)技術(shù)實(shí)現(xiàn)，OS將根據(jù)訪問控制表來為主體創(chuàng)建能力，能力應(yīng)存儲(chǔ)在用戶程序訪問不到的區(qū)域。2.2.2基本訪問控制模型第二章安全控制原理2.2訪問控制43/109主體具有的能力是一種權(quán)證，類似“入場(chǎng)券”，是在用戶向系統(tǒng)登陸時(shí)，由操作系統(tǒng)賦予的一種權(quán)限標(biāo)記，它不可偽造，用戶憑借該標(biāo)記對(duì)客體進(jìn)行許可的訪問。能力機(jī)制的顯著優(yōu)點(diǎn)是更容易提供給主體對(duì)客體的多重訪問權(quán)限，因?yàn)橹黧w可以有不同的能力，而這些能力可以對(duì)某個(gè)客體有不同的訪問權(quán)限，這樣就容易實(shí)現(xiàn)一個(gè)主體在不同的進(jìn)程中對(duì)一個(gè)客體不同的訪問能力。不過，雖然能夠直接判斷一個(gè)主體是否擁有某種能力，但不能直接得到主體、客體間的關(guān)系，這樣不斷追加能力后，再對(duì)其進(jìn)行修改就變得比較困難。2.2.2基本訪問控制模型第二章安全控制原理2.2訪問控制44/1095.面向過程的訪問控制是指在主體訪問客體的過程中對(duì)主體的訪問操作進(jìn)行監(jiān)視與限制。例如只有“讀”權(quán)的主體，就要控制它不能對(duì)客體進(jìn)行修改不僅要控制主體是否有“讀”的權(quán)限，還要控制怎么“讀”操作要實(shí)現(xiàn)面向過程的訪問控制就要建立一個(gè)對(duì)客體訪問進(jìn)行控制的過程，該過程能夠自己進(jìn)行用戶認(rèn)證，以此加強(qiáng)OS的基本認(rèn)證能力該訪問控制過程實(shí)際上是為被保護(hù)的客體建立一個(gè)保護(hù)層，它對(duì)外提供一個(gè)可信賴的接口，所有對(duì)客體的訪問都必須通過這個(gè)接口才能完成例如，操作系統(tǒng)中用戶的帳戶信息(其中包含用戶口令)是系統(tǒng)安全的核心文檔，對(duì)該客體既不允許用戶訪問，也不允許一般的操作系統(tǒng)進(jìn)程訪問，只允許對(duì)用戶帳戶表進(jìn)行增加、刪除、與核查三個(gè)進(jìn)程對(duì)這個(gè)敏感性的客體訪問。這三個(gè)進(jìn)程就是保護(hù)層，在控制面板中2.2.2基本訪問控制模型第二章安全控制原理2.2訪問控制45/109訪問控制矩陣、訪問目錄表、訪問控制表、能力機(jī)制和面向過程的控制等五種訪問控制機(jī)制的實(shí)現(xiàn)復(fù)雜性是逐步遞增的實(shí)現(xiàn)能力機(jī)制需要對(duì)每次訪問進(jìn)行檢查而訪問目錄表方式實(shí)現(xiàn)比較容易，它只需要在主體對(duì)客體第一次訪問時(shí)進(jìn)行檢查。實(shí)現(xiàn)復(fù)雜的保護(hù)方式提高了系統(tǒng)的安全性，但降低了系統(tǒng)的響應(yīng)速度，安全和效率之間需要平衡2.2.2基本訪問控制模型第二章安全控制原理2.2訪問控制46/109下面介紹和分析幾種被廣泛接受的主流訪問控制技術(shù)(包括權(quán)限管理、策略模型等等)，包括自主訪問控制DAC強(qiáng)制訪問控制MAC基于角色的訪問控制RBAC2.2.2基本訪問控制模型第二章安全控制原理2.2訪問控制47/1092.2.3自主訪問控制技術(shù)自主訪問控制機(jī)制DAC是目前使用最普遍的訪問控制機(jī)制。是自主訪問控制策略的實(shí)施方法。定義：由客體的屬主對(duì)自己的客體進(jìn)行管理。由屬主自己決定是否將自己客體的訪問權(quán)和部分訪問權(quán)授予其他主體，這種可能告知方式是自主的，稱為自主訪問控制(discretionaryaccess，DAC)在自主訪問控制下，一個(gè)用戶可以自主選擇哪些用戶可以共享它的文件。第二章安全控制原理2.2訪問控制48/109訪問控制矩陣是實(shí)現(xiàn)DAC策略的基本數(shù)據(jù)結(jié)構(gòu)基于行的訪問控制（訪問目錄表）由于存在著多方面的缺點(diǎn)，很少使用基于列的訪問控制機(jī)制有兩種實(shí)現(xiàn)方式：保護(hù)位方式和訪問控制表方式，分述如下：1.保護(hù)位機(jī)制保護(hù)位(protectionbit)對(duì)所有主體、主體組以及該客體的擁有者指定了一個(gè)訪問權(quán)限的集合第二章安全控制原理2.2訪問控制2.2.3

自主訪問控制技術(shù)49/109UNIX利用了這種保護(hù)位機(jī)制。如某個(gè)文件，指定其訪問權(quán)限的集合為只讀和執(zhí)行，則所有主體、主體組以及該客體的擁有者只能進(jìn)行只讀和執(zhí)行的操作，除非擁有者改變其權(quán)限當(dāng)然實(shí)際上UNIX系統(tǒng)的保護(hù)位要比以上稍微細(xì)致一些，文件權(quán)限有三位組成，1位讀，2位寫，3位執(zhí)行，構(gòu)成的數(shù)字有三部分第1部分屬主的權(quán)限，第2部分同組人權(quán)限，第3部分其它人權(quán)限。如屬主可讀寫執(zhí)行，同組人讀執(zhí)行，其它人讀則是754由于保護(hù)位的長(zhǎng)度有限，用這種機(jī)制完全表示訪問矩陣實(shí)際上是不可能的。一般很少用2.2.3自主訪問控制技術(shù)第二章安全控制原理2.2訪問控制50/1092.訪問控制表機(jī)制在訪問控制機(jī)制中每個(gè)客體附帶了訪問矩陣中可訪問它自己的所有主體的訪問權(quán)限信息表(即ACL表)。該表中的每一項(xiàng)包括主體的身份和對(duì)該客體的訪問權(quán)。主體與客體數(shù)量非常多時(shí)，ACL表將變得很長(zhǎng)占用存儲(chǔ)空間，降低性能id1RW表示id1對(duì)客體i具有讀R和寫W的權(quán)限如果利用組或通配符的概念，可以使ACL表縮短。各種訪問控制技術(shù)中，ACL是實(shí)現(xiàn)批策略的最好方法2.2.3自主訪問控制技術(shù)第二章安全控制原理2.2訪問控制51/109圖3.4是采用通配符和主體組概念的ACL表結(jié)構(gòu)示意圖從該表可以看出屬于它Math組的所有成員對(duì)客體FILE1都具有讀與執(zhí)行權(quán)；只有Liwen個(gè)人對(duì)FILE1有讀、寫與執(zhí)行的訪問權(quán)限。任何組的用戶Zhang對(duì)FILE1有讀訪問權(quán)除此之外，對(duì)于其他任何組的任何主體對(duì)FILE1都沒有任何訪問權(quán)限。從這個(gè)例子可看出，利用分組與通配符的方法確實(shí)顯著地減少了表的空間，而且也滿足了訪問控制地需要2.2.3自主訪問控制技術(shù)第二章安全控制原理2.2訪問控制52/1093.訪問許可權(quán)與訪問操作權(quán)在DAC策略下，訪問許可(accesspermission)權(quán)和訪問操作權(quán)是兩個(gè)有區(qū)別的概念。訪問操作表示有權(quán)對(duì)客體進(jìn)行一些具體操作，如讀、寫、執(zhí)行等訪問許可則表示可以改變?cè)L問權(quán)限的能力或把這種能力轉(zhuǎn)授給其他主體的能力。如改變?cè)摽腕w的ACL表及這種權(quán)力的轉(zhuǎn)授。簡(jiǎn)而言之，許可權(quán)是主體對(duì)客體(也可以是另一主體)的一種控制能力，訪問權(quán)限則是指對(duì)客體的操作。在一個(gè)系統(tǒng)中不僅主體對(duì)客體有控制關(guān)系，主體與主體之間也有控制關(guān)系，這就涉及許可權(quán)限的管理問題。這個(gè)問題很重要，因?yàn)樗cACL表的修改問題有關(guān)。2.2.3自主訪問控制技術(shù)第二章安全控制原理2.2訪問控制53/109DAC機(jī)制的缺點(diǎn)1.允許用戶自主地將自己客體訪問操作權(quán)轉(zhuǎn)授給其他主體，多次轉(zhuǎn)授后，可能因轉(zhuǎn)授給了不可信實(shí)體而導(dǎo)致客體信息泄漏2.無法抵御木馬攻擊。用戶可以任意運(yùn)行程序來修改自己文件的訪問控制信息，系統(tǒng)無法區(qū)分修改來自用戶還是木馬3.無法防止木馬利用共享客體或隱蔽信道把信息從一個(gè)進(jìn)程傳送給另一個(gè)進(jìn)程4.用戶無意或不負(fù)責(zé)任的操作而造成敏感信息的泄漏DAC不適合高安全性系統(tǒng)，而強(qiáng)制訪問控制機(jī)制MAC(mandatoryaccesscontrol)可以有效解決以上問題2.2.3自主訪問控制技術(shù)第二章安全控制原理2.2訪問控制54/1092.2.4強(qiáng)制訪問控制技術(shù)1.MAC機(jī)制的實(shí)現(xiàn)方法(1)訪問控制策略要符合MAC的原則對(duì)客體訪問權(quán)的修改和對(duì)該訪問權(quán)的控制權(quán)的轉(zhuǎn)授交給系統(tǒng)權(quán)利最高和最受信任的安全管理員。系統(tǒng)安全管理員修改、授予或撤銷主體對(duì)某客體的訪問權(quán)的管理要受到嚴(yán)格審核與監(jiān)控(2)對(duì)主體和客體進(jìn)行安全標(biāo)記系統(tǒng)中每一主體和客體必須分配一個(gè)安全屬性，包括敏感等級(jí)和訪問權(quán)限必須采取固定措施使安全標(biāo)記不可隨意修改設(shè)置必要的不可更改的訪問限制規(guī)則(3)創(chuàng)建客體要受到嚴(yán)格控制可以阻止某個(gè)進(jìn)程通過創(chuàng)建共享文件的方式向其它進(jìn)程傳遞信息第二章安全控制原理2.2訪問控制55/109MAC的適用場(chǎng)景主要針對(duì)專用和軍用系統(tǒng)及網(wǎng)絡(luò)TCSEC中從B1級(jí)開始考慮MAC，B2級(jí)要求更為嚴(yán)格，也是軍用要求的最低級(jí)通用系統(tǒng)一般以DAC為主，適當(dāng)增加MAC如：UNIX、Linux、Win2000等2.2.4強(qiáng)制訪問控制技術(shù)第二章安全控制原理2.2訪問控制56/1092.支持MAC的措施除了部署MAC機(jī)制，還需要管理控制措施支持防止惡意程序(木馬等)通過竊取訪問權(quán)或隱蔽信道獲取敏感信息(1)防止惡意程序從外部進(jìn)入系統(tǒng)盡量避免USB、CD、網(wǎng)絡(luò)下載download、或安裝不干凈軟件嚴(yán)防緩沖區(qū)溢出漏洞(紅色代碼：利用微軟的IIS4.0或5.0存在的緩沖區(qū)漏洞裝入木馬)謹(jǐn)慎或不使用遠(yuǎn)程登陸加強(qiáng)多方位的管理，即使采用正版軟件也不一定可靠2.2.4強(qiáng)制訪問控制技術(shù)第二章安全控制原理2.2訪問控制57/109(2)消除利用系統(tǒng)自身的支持而產(chǎn)生木馬的可能性即使在MAC下，合法用戶也可以利用自己的權(quán)限在系統(tǒng)編程工具的支持下編寫木馬去掉編程工具，命令處理器等防止木馬通過網(wǎng)絡(luò)接口從另一個(gè)有編程能力計(jì)算機(jī)系統(tǒng)裝入本機(jī)系統(tǒng)對(duì)于商用的通用系統(tǒng)沒有太好辦法對(duì)于專用計(jì)算機(jī)系統(tǒng)則可實(shí)現(xiàn)，(不需要用戶開發(fā)，軍隊(duì)指揮網(wǎng)絡(luò)、銀行事務(wù)處理系統(tǒng)等)，物理隔離2.2.4強(qiáng)制訪問控制技術(shù)第二章安全控制原理2.2訪問控制58/1092.2.5基于角色的訪問控制技術(shù)Internet的廣泛應(yīng)用使網(wǎng)上信息的完整性要求超過了機(jī)密性要求，而DAC難以提供這方面支持。1992年，DavidFerraiolo和RickKuhn提出基于角色的訪問控制模型框架RBAC(role-basedaccesscontrol)1.RBAC的基本概念在商業(yè)部門中，終端用戶不擁有所能訪問的信息，這些信息由公司所有。此時(shí)訪問控制應(yīng)該基于職員的職務(wù)而不是基于信息的擁有者即訪問控制是由各個(gè)用戶在部門中所擔(dān)任的角色來確定的。例如：?jiǎn)T工、經(jīng)理、財(cái)務(wù)、網(wǎng)管、老板…RBAC的優(yōu)點(diǎn)是簡(jiǎn)化了各種環(huán)境下的授權(quán)管理基本元素包括用戶、角色和權(quán)限。所謂角色是指一個(gè)或一群用戶在組織內(nèi)可執(zhí)行的操作的集合，是主客體之間的橋梁第二章安全控制原理2.2訪問控制59/109RBAC的原理核心思想：將訪問權(quán)限分配給角色，系統(tǒng)的用戶擔(dān)任一定的角色與用戶相比角色是相對(duì)穩(wěn)定的，對(duì)角色授權(quán)2.2.5基于角色的訪問控制技術(shù)第二章安全控制原理2.2訪問控制60/109角色由系統(tǒng)管理員定義只有系統(tǒng)管理員有權(quán)定義和分配角色一個(gè)人可以在同一部門中擔(dān)任多種職務(wù)，擔(dān)任相同職務(wù)的也可以不止一人用戶、角色、操作與客體之間關(guān)系2.2.5基于角色的訪問控制技術(shù)第二章安全控制原理2.2訪問控制61/1092.RBAC96模型RaviSandhu等人于1996年提出了著名的RBAC96模型該模型是一個(gè)模型簇，包括四個(gè)子模型RBAC0，RBAC1，RBAC2，RBAC3RBAC0是基本模型，描述任何支持RBAC的系統(tǒng)的最小要求，包含四個(gè)基本要素：用戶、角色、會(huì)話和訪問權(quán)限用戶在一次會(huì)話中激活所屬角色的一個(gè)子集，獲得一組訪問權(quán)限，即可對(duì)相關(guān)客體執(zhí)行規(guī)定的操作任何非顯式授予的權(quán)限都是絕對(duì)禁止的2.2.5基于角色的訪問控制技術(shù)第二章安全控制原理2.2訪問控制62/109RBAC1是對(duì)RBAC0的擴(kuò)充，增加了角色等級(jí)的概念實(shí)際組織中職權(quán)重疊現(xiàn)象客觀存在通過角色等級(jí)，上級(jí)角色繼承下級(jí)角色的訪問權(quán)限，再被授予自身特有的權(quán)限構(gòu)成該角色的全部權(quán)限，方便權(quán)限管理如銷售部經(jīng)理有銷售部職員的訪問權(quán)限，同時(shí)還具有普通職員不具備的權(quán)限，如制定銷售計(jì)劃等。2.2.5基于角色的訪問控制技術(shù)第二章安全控制原理2.2訪問控制63/109RBAC2也是對(duì)RBAC0的擴(kuò)充，但與RBAC1不同，RBAC2加進(jìn)了約束的概念職責(zé)分離機(jī)制，如在一個(gè)組織中，會(huì)計(jì)和出納不能由同一個(gè)人擔(dān)當(dāng)。RBAC2的約束規(guī)則主要有以下內(nèi)容最小權(quán)限。用戶被分配的權(quán)限不能超過完成其職責(zé)所需的最小權(quán)限，否則會(huì)導(dǎo)致權(quán)力濫用互斥角色。一個(gè)用戶最多只能屬于一組互斥角色中的某一個(gè)，否則破壞職責(zé)分離權(quán)限分配也同樣有互斥約束，同一權(quán)限只能授予其中之一2.2.5基于角色的訪問控制技術(shù)第二章安全控制原理2.2訪問控制64/109基數(shù)約束與角色容量基數(shù)約束是指：分配給一個(gè)用戶的角色數(shù)目以及一個(gè)角色擁有的權(quán)限數(shù)目作為安全策略加以限制角色容量是指：一個(gè)角色對(duì)應(yīng)的用戶數(shù)，它也有限制，如總經(jīng)理只能由一人擔(dān)當(dāng)先決條件一個(gè)用戶要獲得某個(gè)角色必須具備某些條件如總會(huì)計(jì)必須是會(huì)計(jì)一個(gè)用戶必須先擁有某一權(quán)限才能獲得另一權(quán)限，如文件系統(tǒng)中先有讀目錄的權(quán)限，才能有寫文件的權(quán)限2.2.5基于角色的訪問控制技術(shù)第二章安全控制原理2.2訪問控制65/109RBAC3是RBAC1和RBAC2的結(jié)合將角色等級(jí)和約束結(jié)合起來就產(chǎn)生了等級(jí)結(jié)構(gòu)上的約束等級(jí)間的基數(shù)約束。給定角色的父角色(直接上級(jí))或子角色(直接下級(jí))的數(shù)量限制等級(jí)角色的互斥。兩個(gè)給定角色是否可以有共同的上級(jí)角色或下級(jí)角色。特別是兩個(gè)互斥角色是否可以有共同的上級(jí)角色，如一個(gè)項(xiàng)目小組中程序員和測(cè)試員是互斥角色，那么項(xiàng)目主管角色如何解釋(它是程序員和測(cè)試員的上級(jí))第二章安全控制原理2.2訪問控制66/1093.RBAC97模型(AdministrationRBACmodel)RBAC96中只有一個(gè)系統(tǒng)管理員SO進(jìn)行系統(tǒng)安全策略和管理而大系統(tǒng)中，用戶和角色眾多，通常制定一組SO：如首席安全員CSO、系統(tǒng)級(jí)安全員SSO、部門級(jí)安全員DSO等，因此提出了RBAC96的管理模型RBAC97(1)用戶－角色分配管理。描述管理角色如何實(shí)施常規(guī)角色的用戶成員分配與撤銷問題。(2)權(quán)限－角色分配管理。討論常規(guī)角色訪問權(quán)限的分配與撤銷問題(3)角色－角色分配管理。討論常規(guī)角色的角色成員分配規(guī)則以及構(gòu)成角色等級(jí)的問題2.2.5基于角色的訪問控制技術(shù)第二章安全控制原理2.2訪問控制67/1094.NISTRNBAC建議標(biāo)準(zhǔn)2001年8月NIST發(fā)表了RBAC建議標(biāo)準(zhǔn)，包括兩個(gè)部分：RBAC參考模型和功能規(guī)范參考模型定義了RBAC的通用術(shù)語和模型構(gòu)件，界定了標(biāo)準(zhǔn)所討論的RBAC領(lǐng)域范圍。功能規(guī)范定義了RBAC的管理操作。RBAC參考模型和功能規(guī)范,均包括四個(gè)部分(1)基本RBAC(coreRBAC)包括任何RBAC系統(tǒng)都應(yīng)具有的要素，如用戶、角色、權(quán)限、會(huì)話等，基本思想是通過角色建立用戶和訪問權(quán)限的多對(duì)多關(guān)系，用戶由此獲得訪問權(quán)限(2)等級(jí)RBAC(hierarchicalRBAC).在基本RBAC上增加對(duì)角色等級(jí)的支持。角色等級(jí)是一個(gè)嚴(yán)格意義上的半序關(guān)系，上級(jí)角色繼承下級(jí)角色的權(quán)限，下級(jí)角色獲得上級(jí)角色的用戶。2.2.5基于角色的訪問控制技術(shù)第二章安全控制原理2.2訪問控制68/109(3)靜態(tài)職責(zé)分離(staticseparationofduties,SSD).用于解決角色系統(tǒng)中潛在的利益沖突，利益沖突源于用戶被授予相互沖突的角色發(fā)生互斥，角色只取其一(4)動(dòng)態(tài)職責(zé)分離(dynamcseparationofduties,DSD)。限制可提供給用戶的訪問權(quán)限，實(shí)現(xiàn)機(jī)制不同，DSD在用戶會(huì)話中對(duì)可激活的當(dāng)前角色進(jìn)行限制。用戶可被授予多個(gè)角色，包括有沖突的角色，但它們不能在同一個(gè)會(huì)話中被激活。允許存在互斥，但不能在同一個(gè)會(huì)話中同時(shí)被激活(3)和(4)實(shí)際上是約束的概念2.2.5基于角色的訪問控制技術(shù)第二章安全控制原理2.2訪問控制69/1095.RBAC的特點(diǎn)(1)以角色作為訪問控制的主體(2)角色繼承。很自然的把角色組織起來，能夠反映組織內(nèi)部人員之間的職權(quán)、責(zé)任關(guān)系(3)最小特權(quán)原則(leastprivilegetheorem).最小特權(quán)原則是系統(tǒng)安全中最基本的原則之一。是指“在完成某種操作時(shí)賦予網(wǎng)絡(luò)中每個(gè)主體(用戶或進(jìn)程)的必不可少的特權(quán)”，也可以限制擁有最高角色的主體按需運(yùn)用，避免無意錯(cuò)誤或入侵偽造2.2.5基于角色的訪問控制技術(shù)第二章安全控制原理2.2訪問控制70/109(4)職責(zé)分離(主體與角色分離)，對(duì)于某些特定的操作集，某個(gè)角色或用戶不可能同時(shí)獨(dú)立完成所有這些操作?？梢杂徐o態(tài)和動(dòng)態(tài)兩種方式靜態(tài)職責(zé)分離：只有當(dāng)一個(gè)角色與用戶所屬的其他角色彼此不互斥時(shí)，這個(gè)角色才能授權(quán)給該用戶動(dòng)態(tài)職責(zé)分離：只有當(dāng)一個(gè)角色與一個(gè)主體的任何一個(gè)當(dāng)前活躍角色都不互斥時(shí)，該角色才能成為該主體的另一個(gè)活躍角色(5)角色容量。在創(chuàng)建新角色時(shí)，要制定角色的容量。在一個(gè)特定的時(shí)間段內(nèi)，有一些角色只能由一定人數(shù)的用戶占用2.2.5基于角色的訪問控制技術(shù)第二章安全控制原理2.2訪問控制71/109RBAC的優(yōu)點(diǎn)：便于授權(quán)管理;便于根據(jù)工作需要分級(jí)便于賦予最小特權(quán);便于任務(wù)分擔(dān)便于分級(jí)管理;便于大規(guī)模實(shí)現(xiàn)RBAC靈活的表達(dá)和實(shí)現(xiàn)了企業(yè)的安全策略，使權(quán)限管理可以在企業(yè)的組織視圖這個(gè)較高的抽象集上進(jìn)行簡(jiǎn)化了權(quán)限設(shè)置的管理，很好的解決了企業(yè)管理信息系統(tǒng)中用戶數(shù)量多、變更頻繁的問題RBAC靈活性、方便性和安全性的特點(diǎn)，廣泛應(yīng)用于大型數(shù)據(jù)庫系統(tǒng)的權(quán)限管理，但仍處于發(fā)展階段，有待進(jìn)一步提高對(duì)復(fù)雜環(huán)境的管理問題2.2.5基于角色的訪問控制技術(shù)第二章安全控制原理2.2訪問控制72/1092.3.1信息流的一般概述信息流是由主體發(fā)起的對(duì)客體進(jìn)行操作而產(chǎn)生的主體對(duì)客體的操作會(huì)改變客體的狀態(tài)，進(jìn)而產(chǎn)生了信息的流動(dòng)一般而言可執(zhí)行語句都會(huì)產(chǎn)生信息的流動(dòng)，并改變系統(tǒng)的狀態(tài)，如交換兩個(gè)內(nèi)存單元的數(shù)據(jù)主體、信息(客體)、引起受控信息流入、流出策略覆蓋的受控主體的操作稱為信息流控制的三要素在信息系統(tǒng)中引起信息的流動(dòng)的方式可分為兩類：請(qǐng)求訪問方式客戶作為主體向服務(wù)器發(fā)出訪問請(qǐng)求，由服務(wù)器進(jìn)程代替客戶進(jìn)程實(shí)現(xiàn)對(duì)指定數(shù)據(jù)的訪問操作,包括：讀、寫、運(yùn)算處理、或它們的組合信息交換方式主要出現(xiàn)在以網(wǎng)絡(luò)連接的各個(gè)計(jì)算機(jī)節(jié)點(diǎn)之間的數(shù)據(jù)交換。首先建立連接，經(jīng)確認(rèn)身份后可進(jìn)行數(shù)據(jù)交換第二章安全控制原理2.3信息流控制73/109信息的流動(dòng)區(qū)域：本機(jī)：如從外存儲(chǔ)器調(diào)入到內(nèi)存網(wǎng)絡(luò)：本地網(wǎng)絡(luò)(局域網(wǎng)中的客戶端訪問服務(wù)器)、遠(yuǎn)程網(wǎng)絡(luò)(Internet郵件)從CC觀點(diǎn)看信息的流動(dòng)可歸結(jié)為三種：信息在信息系統(tǒng)內(nèi)部(評(píng)估對(duì)象TOE的內(nèi)部)流動(dòng)從信息系統(tǒng)外部流向內(nèi)部，可理解為向系統(tǒng)“寫”從內(nèi)部流向外部，可認(rèn)為是從信息系統(tǒng)中“讀”只要信宿客體確實(shí)知道了信源客體中的某些信息，就說明有信息流存在2.3.1信息流的一般概述第二章安全控制原理2.3信息流控制74/109信息流可能表現(xiàn)為兩種方式：顯式流：是指生成這個(gè)流操作不依賴于變量的值如賦值語句、I/O語句顯式流有兩種形式：直接信息流，如賦值，信源客體y中的數(shù)據(jù)直接流向信宿客體x；間接信息流，信息流通過了一個(gè)中間的變?cè)Ｈ?z:=x;y:=z”隱式流：是指操作要依賴于變量的值如條件語句y:=1；Ifx=0theny=0結(jié)果無論then是否執(zhí)行都有x=y2.3.1信息流的一般概述第二章安全控制原理2.3信息流控制75/1092.信息流的信道信息沿著三種信道流動(dòng)(1)正規(guī)信道legitimatechannels：是指通過設(shè)計(jì)者制定的信息傳送渠道在程序或進(jìn)程間傳送信息該類信道的安全防護(hù)最簡(jiǎn)單(2)存儲(chǔ)信道storagechannels：是指由多個(gè)進(jìn)程或程序共享的客體，如通過共享文件或程序中的全局變量傳遞信息防護(hù)困難，每一客體(文件、變?cè)蜖顟B(tài)比特)都需要保護(hù)(3)隱蔽信道covertchannels：是指不被設(shè)計(jì)者或用戶所知道的泄漏系統(tǒng)內(nèi)部信息的信道，例如通過觀察某個(gè)進(jìn)程的操作規(guī)律，判斷這個(gè)進(jìn)程在干什么唯一技術(shù)解決辦法是要求作業(yè)事先說明它們的資源，所求的資源都交給作業(yè)控制，即使作業(yè)未完，系統(tǒng)也必須精確地在制定時(shí)間內(nèi)把這些資源收回完全封閉該信道是不可能的2.3.1信息流的一般概述第二章安全控制原理2.3信息流控制76/1092.3.2信息流的控制機(jī)制1.系統(tǒng)的信息安全性狀態(tài)系統(tǒng)中的信息可以按照相應(yīng)的安全屬性(機(jī)密性、完整性等)的敏感程度將其分成不同的安全等級(jí)，同一安全等級(jí)的信息稱為一個(gè)安全類SC(securityclass)系統(tǒng)的信息安全性狀態(tài)是由系統(tǒng)中每一個(gè)客體的值和安全類描述的，簡(jiǎn)稱安全狀態(tài)?？腕wx的安全類可表示為SC(x)對(duì)于固定類的客體，在x的生命期中，SC(x)都是常數(shù)，稱為x的靜態(tài)約束對(duì)于可變類的客體，SC(xs)依賴于xs，稱為x的動(dòng)態(tài)約束第二章安全控制原理2.3信息流控制77/1092.信息流控制策略信息流控制策略與對(duì)所要保護(hù)的信息流的安全屬性密切相關(guān)從對(duì)信息流的機(jī)密保護(hù)出發(fā)，對(duì)于給定客體x和y，要保證此信息流安全的條件是：信息從x流到y(tǒng)是授權(quán)的，當(dāng)且僅當(dāng)SC(x)SC(y)，即信息流不能流向低安全級(jí)處從完整性角度考慮，則應(yīng)該是相反的策略，要保證信息流的完整性的條件是：信息從x流到y(tǒng)是授權(quán)的，當(dāng)且僅當(dāng)SC(x)SC(y)，即信息流不能流向高處2.3.2信息流的控制機(jī)制第二章安全控制原理2.3信息流控制78/1093.信息流控制機(jī)制信息流控制機(jī)制是指對(duì)信息流安全控制的實(shí)現(xiàn)方法與技術(shù)。有兩種設(shè)計(jì)和實(shí)施方法：一是在編譯時(shí)刻就對(duì)程序安全性進(jìn)行檢查與驗(yàn)證的機(jī)制二是把對(duì)信息流的安全性的驗(yàn)證與檢查放到執(zhí)行時(shí)刻進(jìn)行利用程序正確性證明技術(shù)去驗(yàn)證程序的安全性，這種方法可以給出一個(gè)更為精確的安全性實(shí)施機(jī)制。2.3.2信息流的控制機(jī)制第二章安全控制原理2.3信息流控制79/1092.4.1安全模型概述安全策略安全策略是指一組有關(guān)管理、保護(hù)和發(fā)布敏感信息的法律、規(guī)定和實(shí)施細(xì)則。安全模型是為實(shí)現(xiàn)安全策略服務(wù)的安全策略分類：一般的，操作系統(tǒng)的安全需求主要包括機(jī)密性、完整性、可追究性(accountability)、可用性(availability)等，所以基于系統(tǒng)安全的定義和內(nèi)涵可將系統(tǒng)的安全策略分為兩大類:訪問控制策略：反映系統(tǒng)的機(jī)密性和完整性要求，它確立相應(yīng)的訪問控制規(guī)則訪問支持策略：反映系統(tǒng)的可追究性和可用性要求，它以支持訪問控制策略的面貌出現(xiàn)(如：一種安全機(jī)制正確執(zhí)行的保障機(jī)制，如審計(jì)、防病毒等)第二章安全控制原理2.4安全模型80/109系統(tǒng)安全的內(nèi)涵所謂一個(gè)系統(tǒng)是安全的，就是指系統(tǒng)的實(shí)現(xiàn)達(dá)到了當(dāng)初設(shè)計(jì)時(shí)所制定的安全策略在系統(tǒng)安全設(shè)計(jì)中，達(dá)不到預(yù)想的安全性通常有兩個(gè)原因1.系統(tǒng)的安全控制中有漏洞通過與技術(shù)相關(guān)的軟件工程手段來解決2.與系統(tǒng)安全策略的定義和描述有關(guān)通過定義精確的安全模型來解決安全策略模型是指如何用形式化或者非形式化的方法來描述安全策略典型的安全策略模型有三種，他們是描述安全模型的理論基礎(chǔ)狀態(tài)機(jī)模型、訪問控制模型、信息流模型2.4.1安全模型概述第二章安全控制原理2.4安全模型81/109(1)狀態(tài)機(jī)（StateMachine）模型系統(tǒng)所有可能的狀態(tài)和所有可能的狀態(tài)之間轉(zhuǎn)換構(gòu)成狀態(tài)機(jī)模型處于特定時(shí)刻系統(tǒng)的快照便是一種狀態(tài)(State)，如果這種狀態(tài)滿足安全策略的要求，我們就可以認(rèn)為它是安全的許多活動(dòng)會(huì)導(dǎo)致系統(tǒng)狀態(tài)的改變，稱之為狀態(tài)轉(zhuǎn)換（Statestransaction），如果這些活動(dòng)都是系統(tǒng)所允許而且不會(huì)威脅到系統(tǒng)安全的，則系統(tǒng)執(zhí)行的便是安全的狀態(tài)機(jī)模型（SecureStateMachine）。一個(gè)安全狀態(tài)機(jī)模型總是從安全的狀態(tài)啟動(dòng)，并且在所有狀態(tài)的轉(zhuǎn)換中保證安全，并只允許行為的實(shí)施者以符合安全策略要求的形式去訪問資源。2.4.1安全模型概述第二章安全控制原理2.4安全模型82/109(2)訪問控制模型訪問控制模型將系統(tǒng)的安全狀態(tài)表示成一個(gè)大的ACM矩陣在實(shí)際應(yīng)用中由于訪問矩陣多位稀疏矩陣，常用能力表或訪問控制表取代ACM訪問控制模型是狀態(tài)機(jī)模型的變形狀態(tài)變量包括主體和客體集狀態(tài)轉(zhuǎn)移函數(shù)描述訪問矩陣及相關(guān)變量的變化描述系統(tǒng)安全狀態(tài)的另一個(gè)方法是從主體與客體的安全屬性的角度來進(jìn)行’主體對(duì)客體的訪問是通過比較它們的安全屬性來決定!2.4.1安全模型概述第二章安全控制原理2.4安全模型83/109(3)信息流（Informationflow）模型是訪問控制模型的具體化，在這個(gè)模型中，信息的傳遞被抽象成流的形式。信息流模型由對(duì)象，狀態(tài)轉(zhuǎn)換和信息流策略所組成，其中的對(duì)象可以是用戶，每個(gè)對(duì)象都會(huì)根據(jù)信息流策略分配一個(gè)安全等級(jí)和具體化的數(shù)值。信息流不單可以處理信息流的流向，同時(shí)它還可以處理信息流的種類——在BLP模型中，信息流模型處理的便是保密性，而在Biba模型中信息流所處理的則變成完整性。信息流模型主要用于防止未授權(quán)的、不安全的或受限制的信息流動(dòng)，信息只能夠在安全策略允許的方向上流動(dòng)2.4.1安全模型概述第二章安全控制原理2.4安全模型84/109安全模型基于給定的安全策略模型對(duì)安全策略的具體描述就構(gòu)成了安全模型安全模型就是對(duì)安全策略所表達(dá)的安全需求的簡(jiǎn)單、抽象和無歧義的描述，它為安全和實(shí)現(xiàn)機(jī)制之間的關(guān)聯(lián)提供了一種框架(什么樣的安全需求，應(yīng)采用什么樣機(jī)制)安全模型描述了對(duì)某個(gè)安全策略需要用哪種機(jī)制來滿足；特別是安全模型在實(shí)現(xiàn)對(duì)信息的安全屬性的保護(hù)方面具有指導(dǎo)意義，不同屬性針對(duì)的目標(biāo)不同可用性、不可否認(rèn)性、可控性是信息利用的安全可追究性是對(duì)信息使用主體的責(zé)任機(jī)密性和完整性是最為重要的屬性，而二者又存在沖突2.4.1安全模型概述第二章安全控制原理2.4安全模型85/109安全模型的目的就在于明確地表達(dá)了系統(tǒng)的安全需求，為設(shè)計(jì)開發(fā)安全系統(tǒng)提供方針狀態(tài)機(jī)模型和信息流模型的進(jìn)一步具體化就得到了具體的安全模型安全模型的種類：具體安全模型的發(fā)展是隨著人們對(duì)保證信息資產(chǎn)的三個(gè)元素：保密性，完整性和可用性（CIA）認(rèn)識(shí)的順序逐漸出現(xiàn)的首先是針對(duì)保密性的BLP模型針對(duì)完整性的Biba模型和Clark-Wilson模型針對(duì)可用性等服務(wù)的研究中出現(xiàn)了訪問控制矩陣(表)模型、ChinaWall模型、Lattice模型等等2.4.1安全模型概述第二章安全控制原理2.4安全模型86/109比較有名的安全模型主要有如下幾種：(1)BLP模型既是狀態(tài)機(jī)模型，也是信息流模型，針對(duì)保密性(2)Lattice模型BLP模型的擴(kuò)展，既是狀態(tài)機(jī)模型，也是信息流模型，針對(duì)保密性(3)Biba模型狀態(tài)機(jī)模型，針對(duì)完整性2.4.1安全模型概述第二章安全控制原理2.4安全模型比較有名的安全模型主要有如下幾種：(4)Clark-Wilson模型狀態(tài)機(jī)模型，針對(duì)完整性(5)非干涉模型狀態(tài)機(jī)模型，針對(duì)業(yè)務(wù)流的機(jī)密性(6)Brewer和Nash模型也稱ChinaWall模型，訪問控制模型(7)Graham-Denning模型訪問控制模型87/1092.4.2BLP模型1.模型介紹Bell-LaPadula模型，簡(jiǎn)稱BLP模型，是D.ELLiottBellLeonardJ.LaPudula于1973年提出的適用于軍事安全策略的計(jì)算機(jī)操作系統(tǒng)安全模型，它是最早、也是最常用的一種計(jì)算機(jī)多級(jí)安全模型之一。BLP模型是最有名的關(guān)于機(jī)密性保護(hù)的多級(jí)安全策略的數(shù)學(xué)模型，用于定義安全狀態(tài)機(jī)的概念、訪問模式以及訪問規(guī)則，所以常把多級(jí)安全概念與BLP模型等同。BLP中的主體：能發(fā)起行為的實(shí)體，如進(jìn)程；BLP中的客體：被動(dòng)的實(shí)體，主體行為的承擔(dān)者，如數(shù)據(jù)、文件等第二章安全控制原理2.4安全模型88/109BLP中的操作：r(只讀)、w(讀寫)、a(只寫)、x(執(zhí)行)以及c(控制)等其中c是指該主體用來授予或撤銷另一主體對(duì)某一個(gè)客體的訪問權(quán)限能力。系統(tǒng)中用戶具有不同的訪問級(jí)（clearance）(一般指密級(jí))系統(tǒng)處理的數(shù)據(jù)也有不同的類別（classification）(指信息類)信息分類決定了應(yīng)該使用的處理步驟。這些分類合起來構(gòu)成格（lattice）BLP首先是一種狀態(tài)機(jī)模型，模型中用到主體、客體、訪問操作（讀、寫和讀/寫）以及安全等級(jí)。主要任務(wù)是定義使得系統(tǒng)獲得“安全”狀態(tài)的集合。檢查所有狀態(tài)變化始于一個(gè)“安全狀態(tài)”，并終止于另一個(gè)“安全狀態(tài)”。BLP也是一種信息流安全模型，嚴(yán)格控制信息流向。2.4.2BLP模型第二章安全控制原理2.4安全模型89/109BLP模型的安全策略包括兩部分：自主安全策略和強(qiáng)制安全策略，二者結(jié)合自主安全策略使用一個(gè)ACM訪問矩陣表示強(qiáng)制安全策略包括“簡(jiǎn)單安全特性”和“*特性”系統(tǒng)對(duì)所有主體和客體都分配一個(gè)訪問類屬性，包括主體和客體的密級(jí)和范疇，系統(tǒng)通過比較主體與客體的訪問類屬性控制主體對(duì)客體的訪問自主安全策略的實(shí)施是在滿足強(qiáng)制安全策略前提下才能進(jìn)行的2.4.2BLP模型第二章安全控制原理2.4安全模型90/109BLP形式化的定義了系統(tǒng)、系統(tǒng)狀態(tài)以及系統(tǒng)狀態(tài)間的轉(zhuǎn)換規(guī)則；BLP模型定義了安全概念；制定了一組安全特性基本安全定理以上的形式化定義對(duì)系統(tǒng)狀態(tài)和狀態(tài)轉(zhuǎn)換規(guī)則進(jìn)行限制和約束，使得對(duì)于一個(gè)系統(tǒng)而言，如果它的初始狀態(tài)是安全的，并且所經(jīng)過的一系列規(guī)則轉(zhuǎn)換都保持安全，那么可以證明系統(tǒng)是安全的。2.4.2BLP模型第二章安全控制原理2.4安全模型91/1092.模型元素BLP對(duì)模型中涉及的元素進(jìn)行了數(shù)學(xué)形式上的定義1)模型元素的意義(如圖)92/1092)安全系統(tǒng)的定義在信息系統(tǒng)中，主體對(duì)客體的訪問應(yīng)該遵循下面的過程：在系統(tǒng)的某個(gè)狀態(tài)下，主體(S)對(duì)當(dāng)前客體(O)發(fā)起訪問的請(qǐng)求(R)，而系統(tǒng)應(yīng)該判定(D)此種訪問的請(qǐng)求(R)是否可以實(shí)施。訪問請(qǐng)求(R)包含了訪問屬性：只讀(r)、讀寫(w)、只寫(a)和執(zhí)行(x)系統(tǒng)識(shí)別當(dāng)前主體的保密級(jí)別和相應(yīng)的范疇集：識(shí)別當(dāng)前客體的樹型結(jié)構(gòu)。對(duì)于給定的一個(gè)請(qǐng)求和當(dāng)前的狀態(tài)，系統(tǒng)依據(jù)規(guī)則產(chǎn)生一個(gè)響應(yīng)和下一個(gè)狀態(tài)。判斷(D)此請(qǐng)求是否可執(zhí)行：“yes”請(qǐng)求被執(zhí)行“no”請(qǐng)求不能被執(zhí)行“error”表示有多個(gè)規(guī)則適用于這一請(qǐng)求“？”規(guī)則不能處理此請(qǐng)求2.4.2BLP模型第二章安全控制原理2.4安全模型93/1093.BLP模型最基本的規(guī)則(有11條規(guī)則)1)自主策略規(guī)則如果不是強(qiáng)制訪問控制，主體對(duì)客體的讀寫權(quán)限是由訪問控制矩陣來決定的，強(qiáng)制訪問控制是前提2)強(qiáng)制策略規(guī)則(1)簡(jiǎn)單安全特性規(guī)則。一個(gè)主體對(duì)客體進(jìn)行讀訪問的必要條件是主體的安全級(jí)支配客體的安全級(jí)，即主體的保密級(jí)不低于客體的保密級(jí)別，主體的范疇集包含了客體的全部范疇。即主體只能向下讀，不能向上讀(2)*特性規(guī)則。一個(gè)主體對(duì)客體進(jìn)行寫訪問的必要條件是客體的安全級(jí)支配主體的安全級(jí)，即客體的保密級(jí)別不小于主體的保密級(jí)別，客體的范疇包含了主體的全部范疇。即主體只能向上寫，不能向下寫這兩條是BLP的強(qiáng)制策略中最基本的規(guī)則2.4.2BLP模型第二章安全控制原理2.4安全模型94/109對(duì)于“*特性”規(guī)則，BLP模型規(guī)定了一些主體稱為可信主體，不受“*特性”規(guī)則的約束，可信主體可以下寫（可信主體安全級(jí)最大，因此不存在上讀限制）一些術(shù)語的內(nèi)涵：保密級(jí)：如可公開，不宜公開，秘密，機(jī)密，絕密范疇：信息類別，如人事處，銷售處等支配：一種偏序關(guān)系，類似于“大于或等于”或“不小于”的含義“*”規(guī)則允許一個(gè)主體向一個(gè)高保密級(jí)的客體寫入信息，從完整性角度來考慮，向上寫可能會(huì)導(dǎo)致高完整性級(jí)別的信息的破壞2.4.2BLP模型第二章安全控制原理2.4安全模型95/1094.BLP模型的分析BLP模型的安全包括強(qiáng)制訪問控制和自主訪問控制強(qiáng)制訪問控制由簡(jiǎn)單安全特性和*特性組成，通過安全級(jí)強(qiáng)制性約束主體對(duì)客體的存取自主訪問控制通過訪問控制矩陣按用戶意圖進(jìn)行存取控制設(shè)置了可信主體，用于表示實(shí)際系統(tǒng)中不受*特性制約的主體，以保證系統(tǒng)正常的運(yùn)行和管理BLP模型已經(jīng)不能滿足各種各樣的安全需求2.4.2BLP模型2.4安全模型2.3信息流控制2.2訪問控制第二章安全控制原理2.1TCB概念和結(jié)構(gòu)96/109BLP模型存在以下問題：(1)設(shè)置了可信主體，權(quán)限太大，不符合最小特權(quán)的原則，應(yīng)對(duì)其操作權(quán)和應(yīng)用范圍進(jìn)一步細(xì)化將特權(quán)細(xì)分為一組細(xì)粒度的特權(quán)，分給系統(tǒng)中指定的用戶。多個(gè)特權(quán)用戶共同完成特權(quán)操作采用門限機(jī)制，共享特權(quán)(2)BLP模型注重的是信息保密性，對(duì)于完整性缺少控制，不能防止非授權(quán)修改系統(tǒng)信息對(duì)于軍用系統(tǒng)，更關(guān)心機(jī)密性，BLP比較適合對(duì)于民用系統(tǒng)，對(duì)于完整性要求相對(duì)較高