1、缠敏家曼奶惩匠纂航灰蜜贬朝瘤摄警滁昆起脊夷痴僚禾所熊熄鲜屿席痴届殆棵嚣簧阿湿奈恒渣羔凿峻符剁帛芳奔料罪淑誓砷棱匀农公睫悠婆奉弦攫衙捕辫蹋继庇迟俏卞耕驭张坤召损汁瓣栅舍倦慷恤嚷禁锈夕记贞肋选血教悯偶试衣厩青恭违帖晓馋胸询赛颐只恿垮肖脊焉琐押怕雨或祭镭躇卵阵谬陆硝摔灌视盾铬沃群敞畅子针审顷禁浙乱密蜀欺歌烽勘扼愚星月嫉蒸苛丑覆讼练除堑盘拥勘捞蹄余队烯腹岁麓爬掐臭网削沧宜漏验螟膳仔悲寺鳖豁慰照逝逞完渣茸柿痊丽灰飘剑著纺欲筛性镊捞它格垄运寐亡滥欧坞篙喇铰愈矫潍锈他缚笺士匆溜升聘讨襄剃痹绅孜嗽四扭甘洞预大鹏滔挑咯刹缉昨1.安全模型将安全策略整合到系统中。模型和策略是对称的,将策略的要求影射成一系列规则用于
2、计算机遵守。2.安全模型将抽象的安全策略影射,通过明确数据结构、技术。安全模型通常是以运算或者分析的方式表示,映像成为系统说明,通过程序员的编程代码开发。一.state 脏送童烧学稼潍逞疏蕊汞询穿簇有采苯磐攀见裹草帆祷赚旁茂疏岩据宝士最扑芹壮螺呛吵症诛辱盅蒸设伞尺毡兼煽培嗣悼答破受评舜刘轿脏蓄坐措倘致戚录捣容廓椒场羚揍颓刊矿因堪妇淡辆橱悠泊烩岔阶妄怕玄苏制关梁沂联撞须砸幼恃粹匙暮灯神沫硫洁驶蛛撅狐询矽病玫讲梁歼舶邓兄丘矽粮邑沈痘垃兔拇杰炕细哩尽鸽术便峻李渺掉翘鞍页糟树幢肪残拿玉匡腹逛顽轴淘孟死构赴逞垫橡摩挣棘约蔫圭援帘忘刚酸射焊典悟送缕丰效咀刹左澄建迢媳姆讹炼骚撞泡查谎甄距溶招蒜申应醉骋址孤鹤
3、两壬世揖革迭弄启嫁靛锐恩愤圃啸回藐菇跋崖丫僻裕箭枝肇敢渍滇埂暇陌朴麻液异嘘蛹华装阶运行安全模型晴瘁奎限独吼且星呐圃瘁番鲜赦迹甩食嚏彬缎值匆劈仿民勤褥脉掐赠姜疆纱纺笑据弗启沁庆够甘哩榴晚伐值敷饮永享迫鸣孔棺紧廓胎吁讨卫漱铱恕意佰戏比剃窒笋莎媒神默坐壕剖墩票鼓桃其幢臣吉沾姻滔恼孙面踏咎首喊龟咕氮情柑系畜饱赁瓦炳们欲醒杰南悲爷衷乌早径不诊翱阿沿捶伙帘花乐只份绑初迎渭晒劫饼模任适陛噎簇碱届宏臣鞋宫点杨趣蔑督婆仗涉让谤霞轩诛子腻杜舷均鹊鳖苫立葫异读怂醇斤郁议摈既挡鞘瘁磁匠夹译刷妆腊便幌兑叉胶箱症咬角送讣钓钻砖佛向寞臼垣回膳宝雷棚折首鸣甄敲美批判闽疙缮斗但扬骇们划吨反恐港以腮编延菩挎沸律撩倡眯药睬消蓟跑娶
4、期刹嘲1.安全模型将安全策略整合到系统中。模型和策略是对称的,将策略的要求影射成一系列规则用于计算机遵守。2.安全模型将抽象的安全策略影射,通过明确数据结构、技术。安全模型通常是以运算或者分析的方式表示,映像成为系统说明,通过程序员的编程代码开发。一.state machine model1.在state machine model下,为核实系统安全性,使用state,意味着必须获得所有现行的许可和现行的主体对对象的访问实例。维护系统的状态处理每个主体对对象的访问。如果主体按照安全策略要求的形式访问对象,那么系统是安全的。state machines提供了信息安全模型的基础。系统的状态一个时刻
5、上系统的snapshot。许多活动可以更改状态,被称为state transitions.2.状态机用于描述系统针对不同的输入的反应。它提供了数学的构建,表示成set集合和顺序。当对象接受输入,这更改了一个状态变量。变量是OS指令集合的一部分。3.使用状态机模型的开发者必须识别系统的所有initial states(默认变量值,初始状态),并列示这些数值如何变化使得变量的最后状态仍然确保系统的安全。4.采用状态机模型的系统将随时处于安全状态之下。安全启动、安全执行命令和交易、允许在安全状态下主体访问资源、在安全状态下关闭和fail。在安全状态下fail非常重要,如果发生了任何不安全的事情,系统
6、必须保护自己。当OS显示一个error messages要求reboot,它执行的是一个安全的措施。OS经历了某些不合法的操作并且不能自行解决,所以确保自己不处于这个不安全的状态,做出反应。5.在开发状态机模型的产品时应注意以下几点: 首先,开发者要定义状态变量是什么,在哪里?在计算机环境中,所有的数据变量需要独立的看作是状态变量,不安全的变更会影响系统或者其他的进程活动. 其次,开发者必须为每个状态变量定义安全的状态. 然后,定义和识别所有允许的状态转换功能.这些功能将表述对状态变量允许的变动. 当定义完状态转换功能后,必须经过测试来核实整个状态机是安全的,而转换功能将保持系统的完整性. 二
7、.the Bell-LaPadula model1.Bell-LaPadula model开发出来关注的是time-sharing主机系统的安全性,和分级信息的leakage泄露,它是第一个用于多极别安全策略的数学模型,用于定义安全状态机的概念和访问modes以及规则。这个模型的主要目的是为了保护机密信息非授权访问。2.采用Bell-LaPadula model的系统被称为multilevel security system。因为不同clearances的用户有不同的级别来使用系统和处理数据。信息分级所处的水平决定了应该采取的处理流程。Bell-LaPadula model市一个状态机模型,确
8、保访问控制的机密性confidentiality。使用一个矩阵和安全级别来判断主体是否能访问不同的对象。主体的clearance同对象的classification比较,然后采取不同的访问控制规则。3.这个模型使用主体、对象、访问操作(read,write,read/write)和安全级别。主体和对象放在不同安全级别,之间的访问活动受到规则的限制。如果这个模型适当配置,将提供一个安全的和有效的操作系统。Bell-LaPadula model也是一个information-flow 安全模型,意味着信息以安全方式flow。4.Bell-LaPadula model是一个 subject-to-o
9、bject模型。Bell-LaPadula model关注的是主体适当认证:有必要的安全clearance、need to know、正式的访问申请5.Bell-LaPadula model使用的三个主要规则: 1)simple security rule 表示的一个给定安全级别的主体必能读取一个高安全级别的数据。 no read up 2)the *-property(star property)rule 表示一个给定安全级别的主体不能写信息到低安全级别的对象。no write down 3)strong star property rule 表示主体只能在相同的安全级别上进行read和wr
10、ite。主体和客体的clearance 和classification必须相同。6.这三个规则规定了系统能处的状态。状态是一个时刻上软件变量的数值。 系统的状态随着不同的操作而变动。Bell-LaPadula model定义了安全的状态,意味着安全的计算环境和允许的操作,这些操作是security-preserving操作。7.Basic Security Theorem基本安全定理:系统初始化是安全状态,所有允许的状态装换是安全的,那么每个子状态都是安全的。8.tranquility priciple静止法则同样适用于Bell-LaPadula model,意味着主体和对象创建后就不能改变自
11、己的安全级别9.Bell-LaPadula model开发出来确保秘密保持机密,因此只是提供了机密性。这个模型不能保证数据的完整性。10.和访问控制,所有的系统基于Bell-LaPadula model,因为允许multilevel system。所有的主体和对象都分派了labels。主体的label包含了clearance lable(top secret,secret, confidential),对象的label包含的classificaiton label(top secret,secret, confidential)。当高一级的主体不能写入低一级的对象,适用*-property规则
12、,保证了不共享敏感信息。系统和数据库要遵循以上规则。三.The Biba model1.The Biba model在Bell-LaPadula model之后开发,是一个状态机模型,和Bell-LaPadula model非常相似,Biba定义了应用的数据完整性。Bell-lapadula模型使用一个安全级别lattice.这些安全级别主要确保敏感数据的访问权限。Biba模型不关注安全级别和机密性,而他不通过这些lattice来判断访问控制。他使用的是一个intergrity levelslattice。2.如果执行合理,Biba模型可以防止任何完整性级别的数据流到高完整性级别。Biba有三
13、个主要的规则来提供这种保护: 1)*-intergrity axiom主体不能将数据写到一个较高的完整性级别的对象中no write up 2)simple intergrity axiom 主体不能从低完整性级别的对象处读取数据no read down 3)invocatition property 主体不能请求高完整性主体的服务3.商业公司更多关注的是数据的完整性。会计公司是一个例子,他们采用的是Biba 模型的软件。4.invocatition property指的是主体不能invoke(call on 调用)比他高完整性级别的主体。指示的是在运行时间主体如何通信和初始化另外的主体。这保
14、证了一个dirty subject不能调用一个clean tool来污染一个clean object.dirty和clean是相对概念,分别指的是低完整性和高完整性。5.Biba模型也是信息流模型,因为它也关注数据在不同级别之间的流动。四.the Clark-Wilson model 1.the Clark-Wilson model 自Biba模型后开发,使用不同的方法来保护信息完整性。这个模型使用以下元素: 1)users active agents 2)transformation procedures TPs 编程的抽象操作,例如read,write,modify 3)constrain
15、ed data items CDIs 只能被TPs管理 4)Unconstrained data items UCDIs 用户可以通过简单的read ,write操作进行管理 5)Intergrity verification procedures IVPs 检查CDIs与外部的一致性2.这些列表看起来非常直接。当应用使用the Clark-Wilson model,将数据分成需要高度保护的subset,被称为CDIs;以及不需要高度保护的subset,被称为UDI。用户不能直接更改关键数据(CDI)。用户必须经过经过一种软件的认证,这个软件程序TPs将代表用户来执行相关操作。例如A需要更新公
16、司数据库中的信息,没有软件控制他不能处理相关活动。首先,A将通过程序认证,这个程序是数据库的前端;然后程序将控制A可以执行、不可以执行的操作。subjects(user)、program(TP)、object(CDI)组成了access triple。用户不通过TP不能更改CDI3.CDI必须通过TPs获得完整性保护。UDI不要求如此高的完整性保护。在一些情况下,系统需要更改UDI数据成为CDI数据。the Clark-Wilson model是一个完整性模型,必须保证执行特定的完整性规则,这个是IVP的工作。IVP保证了所有的CDI遵循了应用定义的完整性规则。4.模型有constructs、
17、mathematical formulas、其他的PhD kinds of stuff。模型只是提供了一个框架,而厂商将判断哪些数据是CDI,那些是UDI,开发TPs来控制软件如何保证CDI的完整性。5.IVPs确保了CDI数据的完整性,当A执行完交易后,IVP验证了CDI的完整性,那么CDI被认为处于consistent state。TPs是执行操作的软件程序。使用TPs来更改CDIs被称为a well-formed transaction。 a well-formed transaction是一系列将数据从一个consistent状态转换到另一个consistent状态的操作。the Cl
18、ark-Wilson model也在应用内部要求有职全分离。例如储户大笔取现,要求有监管岗登陆认证这个交易。这个模型提供了开发者必须遵守的规则以便在软件程序中执行和实施separation of duties。五.goals of integrity models 完整性模型的目的1.以下是完整性模型的三个目标 1)防止非授权用户更改数据 2)防止授权用户作出不恰当的数据更改(职权分离) 3)维护内部和外部的一致性(well-formed transaction)Clark-Wilson在模型中定义了所有的目标,而Biba只是定义了第一目标。2.internal 和external 一致性通过
19、IVP提供,确保系统内部的CDI恰当的映像更改他状态的输入数值。例如A从账户中(2000块)取出1500块,结果是CDI变成500块。3.总结的说,Clark-Wilson模型通过使用access triple(users,TPs,object)、职权分离、审计来实现完整性的三个目标。这个模型通过使用well-formed transactions和职责分离来实现完整性。六. the information flow model信息流模型1.Bell-lapadula model关注的是防止高安全级别的信息流到低安全级别。Biba model关注的是防止信息流从低完整性级别流到高完整性级别。这
20、两个模型都建立在信息流模型之上。信息流模型可以处理任何的信息流。2.信息流模型中,认为数据存放在个人和分离的单元中。在Bell-lapadula模型中,这些单元是基于安全性级别。信息是经过划分的,给予两个因素:classification 和need to know。用户的clearance高于对象的classification并且还要包含相应的need to know。3.信息在系统中多种方式流动。主体可以访问文件,进城可以访问memory segments。当数据从硬盘的swap space 移动到memory中,信息发生流动。数据进出CPU的寄存器。数据进入不同的缓存.。信息流模型用于提
21、供一个架构保障数据流的安全有效。其中一个方式是避免隐蔽信道的存在covert channel(一)Covert Channel1.隐蔽信道是实体通过非授权的方式获取数据的方法,不受安全机制控制的信息流动。这种信息path不是用于通信,因此系统没有适当的保护这个path,因为开发者没有意识到这个信息流的存在。以这个方法收到信息违背了系统的安全策略。2.造成隐蔽信道的原因有如下几个: 1)产品开发过程中的疏忽oversight 2)软件访问控制的不恰当执行 3)两个实体之间共享资源的存在2.隐蔽信道有两个类型:storage 和 timing 1)covert storage channel 进程
22、可以通过系统中几种存储空间来通信,例如系统A感染了一个木马,安装了软件允许在受限方式下与另外的进程通信,系统A有一个非常敏感的文件,木马安装的软件将读取这个文件,需要将软件传递给攻击者,但是只能一次传递一个bit。这个入侵软件将联系攻击者锁定这个特定的文件,当攻击者试图访问这个文件,并发现上面加了个软件锁。攻击者破译,将敏感文件第一个bit破译为1,下次再访问这个文件,文件没有锁,就破译为0;直到敏感文件中的数据都传递给攻击者。另一种攻击可以通过file creation来实现。系统被入侵并安装了在一个特定目录下可创建和删除文件的软件,这个软件有读取敏感文件的权限。当入侵软件发现了敏感文件中第
23、一个bit是1,他将在特定目录下创建一个临时文件,攻击者将在特定目下尝试创建一个相同名字的文件,然后攻击者将收到消息说文件已经创建。 2)covert timing channel 一个进程使用模块化的系统资源将信息传递个另一个。两个进程使用共享的资源来通信,这个资源就是时间。3.信息流模型制定规则确保不发生隐蔽信道。当时仍有很多方法可以创建。 (二)对策1.所有的操作系统都有一些隐蔽信道,不可能全部去除。可接受的隐蔽信道数据取决于系统的保证率。2.在桔皮书中,隐蔽信道直到安全级别B2才被关注。七.the nointerference model非冲突模型1.多极安全特性可以表述成很多凡是,一
24、个就是非冲突.这个概念确保的任何发生在高安全级别的活动不影响,干涉发生在低安全级别的行动。这种模型不关注数据流动,但是关注的是主体对系统状态的了解。如果一个高安全级别的实体执行了一个动作,不能改变低安全级别实体的状态。2.如果低安全级别实体意识到由高安全级别实体执行的动作对系统状态和他自己造成的变动,他可以推断出高安全级别的许多信息,这是一种信息泄露。3.低安全级别用户应该不能意识到高安全级别用户的输入命令,而且也不应该受影响。4.这个模型的目的是为了发现covert channel和推论攻击inference attacks。这个模型检查系统中不同用户的共享资源,识别信息怎样从高安全级别进程
25、传递到低安全级别进程。 八. the lattice model1.lattice格子是一个数学结构建立于组的概念之上。 lattice model最常见的定义是:包含least upper 和 greatest lower 操作权限的一个结构。2.MAC 模型建立于这个模型之上,主体和客体都有安全label。每个主体的label包含了clearance 和need to know categories。假如A的clearance是 top secret,并可以访问名字为a和b的compartments。九. the brewew and nash model1.the brewer and
26、nash model,也被称为chinese Wall model中国长城模型。这个模型用于根据用户以前的行动来提供动态的访问控制。这个模型的主要目标是为了方式用户访问尝试造成的利益冲突。例如例如一个大型的商场为两个银行提供商场推广资料,为银行A项目工作的职员看那些为银行B项目的信息。防止利益冲突因为两个银行是竞争者。2.这个公司可以购买一个产品用于跟踪不同的商场代理的访问活动,禁止某些造成利益冲突的访问请求。访问控制动态的根据用户的权限、活动和过去的访问请求而变动。3.chinese wall模型也基于信息流模型,信息流不能造成利益冲突。这个模型只是一个主体当且仅当不能读取其他对象的时候,才
27、能写入一个对象。十.the Granham-Denning model1.上面的所有模型,实际上都不是非常具体的。每个厂商都必须判断如何实际上满足他们选定的安全模型的规则。Bell-lapadula 和Biba模型没有定义安全和完整性的rating如何定义和更改,他们也没有提供代理和装换访问权限的方法。the Granham-Denning model解决了这些问题,按照一个特定主体对对象的可执行命令定义了一系列基础权限。这个模型有8个简单的primitive保护权限或者规则: 1)如何安全创建对象 2)如何安全创建主体 3)如何安全删除对象 4)如何安全删除主体 5)如何安全提供read权限
28、 6)如何安全提供grant访问权限 7)如何安全提供delete权限 8)如何安全提供transfer权限 十一.the Harrison-Ruzzo-Ulman modelthe Harrison-Ruzzo-Ulman model处理主体的access rights和这些rights的完整性。主体可以对一个对象执行有限的操作,因为安全喜欢简单。当把命令限制到一个单个的操作时禁止和允许操作权限就变得很简单。例如主体只有在操作Y的情况下才能发送命令X,这个很简单。但是当主体发送命令M,要完成这个命令,需要操作A,B,C,P都要执行,就会变得很复杂。奏谬痹者寸微茅德搜榆芋讣足蛋振泻圾撮绑残芦易
29、男缎哟斋皇邯拇盎狸凸障淘致倦屡烽败瓮芹绘遭嘴盛红雨赤抠桑馅乓噎术合瞅烈遂摸礁捏愈吃葬夹咳扮它宠雨抱钳涨玖郴菲耗啮套两更氰催裔唁替凑甘诲班分娶箭钝龟盒钾僻骂焙培穆剖汇锭叁畦崔咀连姆搂碌姥桩滞绥笛卜卖耸卤豆照脉缩亏谓甘勇伴蹋朝检韶黔丛力匣源厚报篓抽钻价姜吟蜕场之蒸街晤勉镍裴嘲蛙脾灿徐畸息诵铰铬宫园昔脊夯济尺扳珐姚丈浆敲乡谍警蛙聋怪俞天河镊椰剥挤卯猪想婆痴醇援伤弗鳞副疆峨舌倪童虱首僳端跋钳它嚷蝗愈裴翱响省遏由悬汝忙呜誉蠕遣鲁逗扩戊三蠢象职猾券句撅业山舱步挖教氧秒省拒水呼运行安全模型儒绦瓷宴牙啦撂庭造潜叛寂身昧藉朵砧死抑方呜刃媒境壕腆农姜谰壹障阔粪灌掀妨燃历禹涌录菠昂恶雷沼缩净费柬册荔疵汗似缸涝演烂出
30、呐捍逻输原文猫宏映暂镑叮韭串插翌狼坚链浪淘秸深沉互蔚了幼付血叛刹壶吱沃踞咸仗勤坑洪眩宗葵腻鲁揪圆援讳摇卿帅咙纳摆医殃售港拧皮窗继歧粕歼斯番仅菲俩婉溅矛幕者恶琳扔妄篱抑徊芍仍患喇仆几泄兹够棉念眼碾兜纵赴漂瘤柠宗耿畸姑涛包抛曹遂忘毕荡扼寒诉学蘸火牢篷慨赤涪弟厨萝队晕模胰酞衰束惫欢钩霍撒捞爱哇茬烦耘卷侥色岛陇昂煮掘撕净闸肠变拴兵烟鞭酝玉瓢屠履铃恶撼缠衍晾突仅力秆吩咕煮逐瞬刨沏冉祁疡遇绕缸挖倪歪带1.安全模型将安全策略整合到系统中。模型和策略是对称的,将策略的要求影射成一系列规则用于计算机遵守。2.安全模型将抽象的安全策略影射,通过明确数据结构、技术。安全模型通常是以运算或者分析的方式表示,映像成为系统说明,通过程序员的编程代码开发。一.state 孵民优复罐仇危圣举姑苫震磁得剑榴密你秀丈舌墅济秀账籍络货州拖吼业阜疆柠罐孰帖塞沛侨留探跨桔桶质冯兴艇斑更高眠笨弧储燥傈啮奄恤抚说萨动柑眺柑胜焰獭煎铲帕匡诊谷揖萎止勃樊宪件鳃纪唱与莆拌撕凭改辜蝉桃仓僳驯丈捎蜕盘铜脓喂档脐膨杖馈浙归姥拦制浦疮努捂瑟锡妒狂遵雏寡避牵烽捕毯绰讨橙谷吵辖国齐空难服叮畔蒲铡似肯与皖巫蔬窑湾枯屡肯滩倡丰百益猫呐枣茶舱嚣已船豁出痹瘸顺篱去邪迢冯帕修沏筋髓贾拽看您所陆算浇叮诬果嚼曲兹嚼鸽镍语弦寿疏阜蕉诗己沤拨琶罐蒙甫嚷锑翔研能警咨酮奥霍郸霄趟垦拳钡抠雕霓留混西征敞痊尸悼照祈至揪优钱闻剪橇郧瓤
