操作系統(tǒng)安全(第二部分理論篇)

2023/12/221第二部分理論篇第5章安全策略與安全模型第6章安全體系結(jié)構(gòu)第7章安全保證技術(shù)2023/12/222第5章安全策略與安全模型安全需求：從有關(guān)管理、保護(hù)和發(fā)布敏感信息的法律、規(guī)定、和實施細(xì)則中導(dǎo)出，一般包括機(jī)密性、完整性、可追究性和可用性；安全策略，是對安全需要求的形式化和非形式化描述，分為：訪問控制策略：反映機(jī)密性和完整性訪問支持策略：反映可追究性和可用性安全策略模型：就是對安全策略所表達(dá)的安全需求的簡單、抽象、無歧義的描述。安全模型的目標(biāo)——明確表達(dá)安全需求，為設(shè)計開發(fā)安全系統(tǒng)提供方針；2023/12/2235.1安全策略5.1.1安全策略概述安全策略：安全策略是一種聲明，它將系統(tǒng)的狀態(tài)劃分為兩個集合：一個是已經(jīng)授權(quán)狀態(tài)集合，即安全狀態(tài)集合，一個是未授權(quán)狀態(tài)集合，即不安全狀態(tài)集合。安全系統(tǒng)：是這樣一個系統(tǒng)，它開始于一個授權(quán)狀態(tài)，且在任何轉(zhuǎn)換操作之后都不會進(jìn)入一個未授權(quán)狀態(tài)。安全性背離：當(dāng)一個系統(tǒng)進(jìn)入一個未授權(quán)狀態(tài)時，我們就說它出現(xiàn)一次安全狀態(tài)性背離5.1安全策略5.1.2安全策略類型機(jī)密性策略完整性策略混合型/中立型策略2023/12/2255.1安全策略5.1.3策略表達(dá)語言高層策略語言：用于表達(dá)對系統(tǒng)中抽象實體的無歧義的精確表達(dá)。描述了對一個系統(tǒng)中的實體和行為的限制，策略獨(dú)立于機(jī)制。采用數(shù)據(jù)的或程式化的表示形式，如數(shù)學(xué)語言表達(dá)策略、DTE策略語言低層策略語言：用于將一組輸入或參數(shù)簡化為在一個系統(tǒng)上進(jìn)行設(shè)置、檢查或限制的命令。

例：Xhost+groucho-chico：設(shè)置系統(tǒng)允許來自主機(jī)groucho的連接，而不允許來自主機(jī)chico的連接2023/12/2265.2安全模型5.2.1安全模型作用和特點(diǎn)作用：明確表達(dá)安全需求，為設(shè)計開發(fā)安全系統(tǒng)提供方針特點(diǎn)：精確、無歧義簡易，抽象，易理解安全相關(guān)的，即只涉及安全性質(zhì)，不限制系統(tǒng)功能及其實現(xiàn)是安全策略的顯示表示安全模型分為形式化的安全模型和非形式化的安全模型；22十二月20237所謂形式化方法，指的是使用特定的語言和推理來描述事物的方法。相對而言，非形式化的方法則是以自然語言和基于人們的常識來描述事物的方法。使用形式化的表示方法，尤其是使用一套簡單易懂的語義學(xué)符號來描述事物之間的關(guān)系，可以大大提高描述安全策略的精度，使用形式化的證明可以從理論上確保系統(tǒng)的安全策略能夠滿足系統(tǒng)的安全需求。5.2.2形式化安全模型設(shè)計目標(biāo)與要求22十二月20238開發(fā)一個形式化的安全模型必須滿足：完備性：所有安全策略必須包括在模型的斷言中，而且也要求所有包含在模型中的斷言必須是從安全策略中導(dǎo)出的。正確性：要求模型的安全全性定義是一個從安全策略的導(dǎo)出的相關(guān)安全斷言的精確描述一致性：要求各條安全策略是內(nèi)在一致辭的，即各條安全策略的形式化表示之間沒有數(shù)學(xué)矛盾簡明性：模型是簡單的而且沒有額外的細(xì)節(jié)，但必須包括足夠多的細(xì)節(jié)使得它不是含糊的5.2.2形式化安全模型設(shè)計目標(biāo)與要求22十二月20239通常，系統(tǒng)的不安全性源自于對用戶安全需求的錯誤理解或源自于系統(tǒng)的實現(xiàn)缺陷。保證系統(tǒng)安全性的主要策略是，制定一個符合用戶安全需求的安全策略模型，該模型必須同時考慮安全策略和其在自動信息系統(tǒng)中的實現(xiàn)過程安全策略模型應(yīng)由：對安全的定義一套操作的規(guī)則。5.2.2形式化安全模型設(shè)計目標(biāo)與要求22十二月202310形式化模型，指的是用形式化的方法來描述如何實現(xiàn)系統(tǒng)的安全要求，包括機(jī)密性、完整性和可用性。一個安全的計算機(jī)系統(tǒng)可以分為如下幾大部分：數(shù)據(jù)結(jié)構(gòu)進(jìn)程用戶信息I/O設(shè)備被控實體的安全屬性5.2.2形式化安全模型設(shè)計目標(biāo)與要求22十二月202311標(biāo)識被控實體在設(shè)計一個安全模型中占據(jù)著重要地位，對于達(dá)到TCSEC規(guī)定的B2級或以上安全級的系統(tǒng)來說，被控實體必須包括所有的系統(tǒng)資源。系統(tǒng)包括顯式被控實體和隱式被控實體。數(shù)據(jù)結(jié)構(gòu)是一個數(shù)據(jù)倉庫，包含標(biāo)明系統(tǒng)內(nèi)部狀態(tài)的數(shù)據(jù)和值。系統(tǒng)中進(jìn)程可以利用系統(tǒng)事先明確定義的允許的操作來對這些數(shù)據(jù)或值進(jìn)行讀或?qū)懺L問。一個最小的數(shù)據(jù)結(jié)構(gòu)，同時也是顯式被控實體的存儲客體，存儲客體的安全屬性可能包括安全級和用戶訪問權(quán)限。在包含安全級的模型中，在最小化的情況下，存儲客體具有唯一的安全級，存儲客體可能被組合起來形成多級數(shù)據(jù)結(jié)構(gòu)，其中每個客體被賦予自己的安全級5.2.2形式化安全模型設(shè)計目標(biāo)與要求22十二月202312進(jìn)程可創(chuàng)建、刪除存儲客體及其他進(jìn)程以及與它們交互，還可以與I/O設(shè)備交互。顯式被控進(jìn)程稱為“主體”。通常具有多種與它關(guān)聯(lián)的安全屬性，可能包括安全級、硬件安全屬性。用戶信息：在支持角色的程序中，系統(tǒng)用戶可履行制定角色的職責(zé)，一個用戶可以擁有多個角色，一個角色也可以包含多個用戶。I/O設(shè)備：用戶與系統(tǒng)設(shè)備的交互行為在模型中體現(xiàn)對I/O設(shè)備的約束。外部策略要求系統(tǒng)只有允許授權(quán)用戶才能訪問相應(yīng)的I/O設(shè)備。I/O設(shè)備封裝在TCB軟件內(nèi)，并被看作是被動實體。安全屬性可以顯式地與顯式受控實體相關(guān)聯(lián)，還有一些與系統(tǒng)環(huán)境相關(guān)的安全屬性。5.2.2形式化安全模型設(shè)計目標(biāo)與要求2023/12/22135.2.2形式化安全模型設(shè)計目標(biāo)與要求開發(fā)安全模型的一般性步驟：確定外部接口需求：明確系統(tǒng)主要的安全需求，并把它們與其它問題隔離開，主要是給出系統(tǒng)安全的確切定義，提出支持可信對象的各種條件及描述安全需要求的各種機(jī)制和方法，構(gòu)造一個外部模型。確定內(nèi)部安全需求：對系統(tǒng)控制對象進(jìn)行限制，這些限制往往就形成了模型安全性定義，這一步實質(zhì)就是把安全需求與系統(tǒng)抽象進(jìn)行結(jié)合，提出合理的模型變量，構(gòu)造一個內(nèi)部模型設(shè)計策略執(zhí)行的操作規(guī)則：安全策略規(guī)則化，以確保系統(tǒng)在有效完成系統(tǒng)任務(wù)的同時，系統(tǒng)始終處于安全狀態(tài)中。2023/12/22145.2.2形式化安全模型設(shè)計目標(biāo)與要求開發(fā)安全模型的一般性步驟（續(xù)）確定已知元素：選擇適當(dāng)?shù)男问揭?guī)范語言，開發(fā)相應(yīng)的形式驗證工具，看看是否有可直接使用中進(jìn)行二次開發(fā)的形式驗證工具，盡量優(yōu)化設(shè)計開發(fā)過程。論述一致性和正確性：模型的評論階段。主要包括：安全需求的表達(dá)是否準(zhǔn)確、合理：安全操作規(guī)則是否與安全需求協(xié)調(diào)一致，安全需要求是否在模型中得到反映，模型的形式化與模型之間對應(yīng)性論證等論述關(guān)聯(lián)性：實施階段，即功能設(shè)計。分層次進(jìn)行，首先是實現(xiàn)模型，其次是實現(xiàn)架構(gòu)；再其次是模型架構(gòu)里的解釋；最后是實現(xiàn)的對應(yīng)性論證。2023/12/22155.2.3狀態(tài)機(jī)安全模型的一般開發(fā)方法狀態(tài)機(jī)是將一個系統(tǒng)描述為一個抽象的數(shù)學(xué)狀態(tài)機(jī)器，其中狀態(tài)變量表示機(jī)器的狀態(tài)，轉(zhuǎn)換或者是操作規(guī)則用以描述狀態(tài)變量的變化開發(fā)一個狀態(tài)機(jī)安全模型包含確定模型要素（變量、函數(shù)、規(guī)則等）和安全初始狀態(tài)。一旦證明了初始狀態(tài)是安全的并且所有函數(shù)也都是安全的，精確的推導(dǎo)會表明此時不論調(diào)用這些函數(shù)的哪一個，系統(tǒng)都將保持在安全狀態(tài)。2023/12/22165.2.3狀態(tài)機(jī)安全模型的一般開發(fā)方法開發(fā)一個狀態(tài)機(jī)模型的步驟：定義安全相關(guān)的狀態(tài)變量：表示系統(tǒng)的主體和客體、它們的安全屬性，以及主體與客體之間的存取權(quán)限。定義安全狀態(tài)的條件：表達(dá)狀態(tài)在轉(zhuǎn)換期間狀態(tài)變量的數(shù)值所必須始終保持的關(guān)系定義狀態(tài)轉(zhuǎn)換函數(shù)：描述狀態(tài)變量可能發(fā)生的變化，即操作規(guī)則。限制系統(tǒng)可能產(chǎn)生的類型，系統(tǒng)不能以函數(shù)不允許的方式修改狀態(tài)變量。檢查函數(shù)否維持了安全狀態(tài)：要求如果系統(tǒng)運(yùn)行之前處于安全狀態(tài)，那么系統(tǒng)運(yùn)行后仍將保護(hù)在安全狀態(tài)定義初始狀態(tài)：選擇每個狀態(tài)的值，這些值模擬系統(tǒng)最初的安全狀態(tài)中是如何啟動的。依據(jù)安全狀態(tài)的定義，證明初始狀態(tài)安全2023/12/2217安全模型的分類按實現(xiàn)策略分機(jī)密性模型：BLP模型完整性模型：Biba模型、Clark－Wilson模型混合型模型：中國墻模型按實現(xiàn)方法分訪問控制模型信息流模型一些主要的模型機(jī)密性訪問控制信息流DAC自主MAC強(qiáng)制完整性RBACBLPChineseWall（非干擾性，非觀察性）BibaClark-Wilson基本模型：HRU強(qiáng)制訪問控制模型（MAC）

特點(diǎn)：

1）將主體和客體分級，根據(jù)主體和客體的級別標(biāo)記來決定訪問模式。如，絕密級，機(jī)密級，秘密級，無密級。

2）其訪問控制關(guān)系分為：上讀/下寫，下讀/上寫

（完整性）

（機(jī)密性）

3）通過梯度安全標(biāo)簽實現(xiàn)單向信息流通模式。

4）與DAC相比：強(qiáng)耦合，集中式授權(quán)。2023/12/22205.3機(jī)密性策略與模型--BLPBLP模型是1973年D.ElliottBell和LeonardJ.LaPadula提出的一個計算機(jī)多級安全模型之一，是對應(yīng)軍事類型安全密級分類的計算機(jī)操作系統(tǒng)模型是第一個可證明的安全系統(tǒng)的數(shù)學(xué)模型，實際上是一個形式化的狀態(tài)機(jī)模型；主體對客體的訪問：讀r,讀寫w,只寫a,執(zhí)行e,控制c包括有兩部分安全策略：自主安全策略和強(qiáng)制安全策略；2023/12/22215.3機(jī)密性策略與模型--BLPBLP模型是對安全策略形式化的第一個數(shù)學(xué)模型，是一個狀態(tài)機(jī)模型，用狀態(tài)變量表示系統(tǒng)的安全狀態(tài)，用狀態(tài)轉(zhuǎn)換規(guī)則來描述系統(tǒng)的變化過程。它形式化地定義了系統(tǒng)、系統(tǒng)狀態(tài)以及系統(tǒng)間的轉(zhuǎn)換規(guī)則，定義了安全概念，制定了一組安全特性，以及對系統(tǒng)狀態(tài)和狀態(tài)轉(zhuǎn)換規(guī)則進(jìn)行限制和約束，使得對于一個系統(tǒng)而言，如果它的初始狀態(tài)是安全的，并且所經(jīng)過的一系列規(guī)則轉(zhuǎn)換都保持安全，那么可以證明該系統(tǒng)最終也是安全的。2023/12/22225.3機(jī)密性策略與模型--BLP一個基本安全等級分類系統(tǒng)（例），其中：S為主體，O為客體第3層絕密S1

O1（O1A，O1B，O1C）第2層機(jī)密S2

O2（O2A，O2B）第1層秘密S3

O3（O3A，O3B，O3C）第0層內(nèi)部S4

O4（O4A，O4B，O4C）2023/12/22235.3機(jī)密性策略與模型--BLP則上述基本安全等級分類系統(tǒng)可以用以下的簡單安全條件、*-屬性以及基本安全定理描述簡單安全條件：當(dāng)且僅當(dāng)O所處層次<=S所處層次時，S可以讀O，即S對O具有自主型讀權(quán)限（下讀）*-屬性：當(dāng)且僅當(dāng)O所處層次>=S所處層次時，S可以寫O，即S對O具有自主型寫權(quán)限（上寫）該模型是可信系統(tǒng)的狀態(tài)轉(zhuǎn)換模型。定義所有可以使系統(tǒng)“安全”的狀態(tài)集，檢查所有狀態(tài)的變化均開始于一個“安全狀況”并終止另一個“安全狀態(tài)”，并檢查系統(tǒng)的初始狀態(tài)是否為“安全狀態(tài)”。每個主體均有一個安全級別，并由許多條例約束其對具有不同密級的客體的訪問操作。模型定義的主客體訪問規(guī)則：使用狀態(tài)來表示系統(tǒng)中主體對客體的訪問方式可向下讀，不可下寫可上寫，不可上讀5.3機(jī)密性策略與模型--BLP系統(tǒng)狀態(tài)：V＝｛B×M×F×H｝B：訪問集合，是S×O×A的子集，定義了所有主體對客體當(dāng)前的訪問權(quán)限。函數(shù)F:S∪O→L，語義是將函數(shù)應(yīng)用于某一狀態(tài)下的訪問主體與訪問客體時，導(dǎo)出相應(yīng)的安全級別。Fs：主體安全級別Fo：客體安全級別Fc：主體當(dāng)前安全級別Fs>Fc狀態(tài)集V在該模型中表現(xiàn)為序偶（F，M）的集合，M是訪問矩陣。變遷函數(shù)T：V×R→V。R請求集合，在系統(tǒng)請求執(zhí)行時，系統(tǒng)實現(xiàn)狀態(tài)變遷；D是請求結(jié)果的集合。類似于HRU模型，BLP模型的組成元素包括訪問主體、訪問客體、訪問權(quán)限和訪問控制矩陣。但BLP在集合S和O中不改變狀態(tài)與HRU相比，多了安全級別、包含請求集合的變遷函數(shù)。5.3機(jī)密性策略與模型--BLP定義4.1：狀態(tài)(F,M)是“讀安全”（也稱為“simplesecurity”）的充分必要條件是定義4.2：狀態(tài)(F,M)是“寫安全”（也稱為“*-property”）的充分必要條件是定義4.3：狀態(tài)是“狀態(tài)安全”（statesecure）的充分必要條件是它既是“讀安全”又是“寫安全”。定義4.4：系統(tǒng)(v0,R,T)是安全的充分必要條件是初始狀態(tài)v0是“狀態(tài)安全”的，并且由初始狀態(tài)v0開始通過執(zhí)行一系列有限的系統(tǒng)請求R可達(dá)的每個狀態(tài)v也是“狀態(tài)安全”的。5.3機(jī)密性策略與模型--BLP定理4.3：系統(tǒng)(v0,R,T)是安全的充分必要條件是 其中，T為轉(zhuǎn)移函數(shù)，是指由初始狀態(tài)v0通過執(zhí)行一系列有限的系統(tǒng)請求R到達(dá)可達(dá)狀態(tài)v。5.3機(jī)密性策略與模型--BLP“讀安全”禁止低級別的用戶獲得高級別文件的讀權(quán)限。

“寫安全”防止高級別的特洛伊木馬程序把高級別文件內(nèi)容拷貝到低級別用戶有讀訪問權(quán)限的文件。缺點(diǎn)：未說明主體之間的訪問，不能適用于網(wǎng)絡(luò)5.3機(jī)密性策略與模型--BLP2023/12/2229狀態(tài)轉(zhuǎn)換規(guī)則：BLP模型定義了11條狀態(tài)轉(zhuǎn)換的規(guī)則：規(guī)則1（R1）：當(dāng)符合以下條件下，主體Si可以對客體Oi進(jìn)行“只讀”訪問主體Si訪問屬性中有對客體的“只讀”權(quán)限主體的安全級支配客體的安全級主體是可信主體或主體當(dāng)前的安全級支配客體安全級。5.3機(jī)密性策略與模型--BLP2023/12/2230狀態(tài)轉(zhuǎn)換規(guī)則：BLP模型定義了11條狀態(tài)轉(zhuǎn)換的規(guī)則：規(guī)則2（R2）：當(dāng)符合以下條件下，主體Si可以對客體Oi進(jìn)行“只與”訪問主體Si訪問屬性中有對客體的“只寫”權(quán)限主體是可信主體或客體當(dāng)前的安全級支配主體安全級。5.3機(jī)密性策略與模型--BLP2023/12/2231狀態(tài)轉(zhuǎn)換規(guī)則：BLP模型定義了11條狀態(tài)轉(zhuǎn)換的規(guī)則：規(guī)則3（R3）：當(dāng)符合以下條件下，主體Si可以對客體Oi進(jìn)行“執(zhí)行”訪問主體Si訪問屬性中有對客體的“執(zhí)行”權(quán)限5.3機(jī)密性策略與模型--BLP2023/12/2232狀態(tài)轉(zhuǎn)換規(guī)則：BLP模型定義了11條狀態(tài)轉(zhuǎn)換的規(guī)則：規(guī)則4（R4）：當(dāng)符合以下條件下，主體Si可以對客體Oi進(jìn)行“讀寫”訪問主體Si訪問屬性中有對客體的“讀寫”權(quán)限主體Si的安全級支配客體的安全級主體是可信主體或主體當(dāng)前的安全級等于客體安全級。5.3機(jī)密性策略與模型--BLP2023/12/2233狀態(tài)轉(zhuǎn)換規(guī)則：BLP模型定義了11條狀態(tài)轉(zhuǎn)換的規(guī)則：規(guī)則5（R5）：表示主體釋放對客體的訪問屬性：如果請求不在定義域范圍內(nèi)，則不會發(fā)生狀態(tài)的變化（？）；否則將從主體Si的訪問屬性中去除對客體的訪問部屬性x5.3機(jī)密性策略與模型--BLP2023/12/2234狀態(tài)轉(zhuǎn)換規(guī)則：BLP模型定義了11條狀態(tài)轉(zhuǎn)換的規(guī)則：規(guī)則6（R6）：表示授予另一主體對客體的訪問屬性：當(dāng)符合以下條件時，主體Sλ可以授予另一主體Si對客體Oj的訪問權(quán)限客體Oj不是層次樹的根結(jié)點(diǎn)，主體Sλ的訪問屬性有對Oj的父結(jié)點(diǎn)的讀寫權(quán)限客體Oj是層次樹的根結(jié)點(diǎn)，并且主體Sλ有權(quán)在當(dāng)前狀態(tài)下授予對Oj的訪問權(quán)限5.3機(jī)密性策略與模型--BLP2023/12/22355.3機(jī)密性策略與模型--BLP狀態(tài)轉(zhuǎn)換規(guī)則：BLP模型定義了11條狀態(tài)轉(zhuǎn)換的規(guī)則：規(guī)則7（R7）：表示撤銷另一主體對客體的訪問屬性：當(dāng)符合以下條件時，主體Sλ可以撤銷另一主體Si對客體Oj的訪問權(quán)限客體Oj不是層次樹的根結(jié)點(diǎn)，主體Sλ的訪問屬性有對Oj的父結(jié)點(diǎn)的“讀寫”權(quán)限客體Oj是層次樹的根結(jié)點(diǎn)，并且主體Sλ有權(quán)在當(dāng)前狀態(tài)下撤銷對Oj的訪問權(quán)限2023/12/2236狀態(tài)轉(zhuǎn)換規(guī)則：BLP模型定義了11條狀態(tài)轉(zhuǎn)換的規(guī)則：規(guī)則8（R8）：表示創(chuàng)建一客體：當(dāng)符合以下條件時，主體Si可以創(chuàng)建安全級為Lh，父結(jié)點(diǎn)為Oj的客體Onew(h)主體Si當(dāng)前可以以“讀寫”權(quán)限或“只寫”權(quán)限訪問客體Oj安全級Lh支配這Oj的安全級5.3機(jī)密性策略與模型--BLP2023/12/2237狀態(tài)轉(zhuǎn)換規(guī)則：BLP模型定義了11條狀態(tài)轉(zhuǎn)換的規(guī)則：規(guī)則9（R9）：表示刪除一組客體：當(dāng)符合以下條件時，主體Si可以刪除Oj（包括下面所有客體）：當(dāng)前主體Si對客體Oj的父結(jié)點(diǎn)有“讀寫”權(quán)限并且客體Oj不是根結(jié)點(diǎn)5.3機(jī)密性策略與模型--BLP2023/12/2238狀態(tài)轉(zhuǎn)換規(guī)則：BLP模型定義了11條狀態(tài)轉(zhuǎn)換的規(guī)則：規(guī)則10（R10）：改變主體當(dāng)前安全級：當(dāng)符合以下條件時，主體Si可以改變其當(dāng)前安全級Lu：主體Si是可信主體，或它的安全級被改變?yōu)長u，且導(dǎo)致的狀態(tài)滿足*特性主體Si的安全級支配Lu對客體Oj的父結(jié)點(diǎn)有“讀寫”權(quán)限并且客體Oj不是根結(jié)點(diǎn)5.3機(jī)密性策略與模型--BLP2023/12/2239狀態(tài)轉(zhuǎn)換規(guī)則：BLP模型定義了11條狀態(tài)轉(zhuǎn)換的規(guī)則：規(guī)則11（R11）：改變客體的安全級：當(dāng)符合以下條件時，主體Si可以改變客體Oj的安全級至Lu：主體Si是可信主體并且其當(dāng)前安全級支配客體Oj的安全級，或主體Si的安全級支配Lu，而Lu又支配客體Oj的安全級如果有主體Si當(dāng)前正以只讀或讀寫的模式訪問客體Oj，那么應(yīng)保證該主體Si的當(dāng)前安全級支配Lu客體Oj的安全級被改變?yōu)長u且導(dǎo)致的狀態(tài)滿足*特性?？腕wOj的安全級被改變?yōu)長u且導(dǎo)致的狀態(tài)滿足兼容性主體Si有權(quán)改變Oj的安全級5.3機(jī)密性策略與模型--BLP2023/12/2240幾個重要公理：簡單安全性（simple-secureproperty）、*-特性、自主安全性（discretionary-security）、兼容性（compatibility）

定義了11條狀態(tài)轉(zhuǎn)換規(guī)則和11條重要定理；特點(diǎn)支持的是信息的保密性；是通過防止非授權(quán)信息的擴(kuò)散來保證系統(tǒng)的安全；不能防止非授權(quán)修改系統(tǒng)信息。問題沒有考慮數(shù)據(jù)完整性的控制可信主體的訪問權(quán)限太大，不受*-屬性約束，不符合系統(tǒng)安全中的最小特權(quán)原則對文件共享機(jī)制沒有描述，不能有效地解決隱蔽通道的問題5.3機(jī)密性策略與模型--BLP2023/12/22415.4完整性策略與模型－BibaBLP模型通過防止非授權(quán)信息的擴(kuò)散保證系統(tǒng)的安全，但它不能防止非授權(quán)修改系統(tǒng)信息，于是biba等人在1977年提出的第一個完整性安全模型，從商業(yè)角度出發(fā)，對系統(tǒng)每個主體和每個客體分配一個完整級別（包含兩部分——密級和范疇）；密級｛極重要C，非常重要VI，重要I｝，范疇的定義與BLP類似。5.4完整性策略與模型－Biba完整性安全模型的目標(biāo)防止被非授權(quán)用戶修改(機(jī)密性)維護(hù)內(nèi)外部的一致性(一致性)防止授權(quán)用戶不確當(dāng)?shù)男薷?邏輯一致性)2023/12/22435.4完整性策略與模型－Biba模型有四種存取方式：Modify：向客體中寫信息Invoke：僅用于主體，若兩個主體間有此權(quán)限，則兩主體允許相互通信Observe：從客體中讀信息Execute：執(zhí)行一個客體2023/12/22445.4完整性策略與模型－BibaBiba安全策略分為兩大類，強(qiáng)制安全策略與自主安全策略強(qiáng)制安全策略：1）對于主體的下限標(biāo)記策略：一個主體能夠持有對給定客體modify的訪問方式，僅當(dāng)此主體的完整性級別支配該客體的安全級別一個主體能夠持有對別一主體的invoke的訪問方式，僅當(dāng)?shù)谝粋€主體的完整性級別支第二個的安全級別一個主體能夠持有對任何客體observe的訪問方式，當(dāng)主體執(zhí)行了對客體的Observe操作之后，主體的完整性級別被置為執(zhí)行前主體和客體的完整性級別的最小上限。2）對于客體的下限標(biāo)記策略：一個主體能夠?qū)哂腥魏瓮暾约墑e客體持有modify存取方式。當(dāng)主體執(zhí)行了對客體的modify操作之后，客體的完整性級別被置為執(zhí)行前主體和客體的完整性級別的最大下界。2023/12/22455.4完整性策略與模型－BibaBiba安全策略分為兩大類，強(qiáng)制安全策略與自主安全策略強(qiáng)制安全策略：3）下限標(biāo)記完整審計策略：一個主體能夠modify具有任何完整性級別的客體。如果一個主體modify一個具有更高或不可比的完整級別的客體，這一違備安全的操作將被記錄審計追蹤記錄中。4）環(huán)策略：主體和客體的完整級別在其生命周期中均是固定的。一個主體能夠持有對另一客體modify的訪問方式，僅當(dāng)此主體的完整性級別支配客體的安全級別一個主體能夠持有對另一主體的invoke的訪問方式，僅當(dāng)?shù)谝粋€主體的完整性級別受支第二個的安全級別支配主體對具有任何安全級別的客體均能夠持有observe的訪問方式。2023/12/22465.4完整性策略與模型－BibaBiba安全策略分為兩大類，強(qiáng)制安全策略與自主安全策略強(qiáng)制安全策略：5）嚴(yán)格完整性策略：完整性*特性：一個主體能夠持有對另一客體modify的訪問方式，僅當(dāng)主體的完整性級別支配客體的安全級別援引規(guī)則：一個主體能夠持有對另一主體的invoke的訪問方式，僅當(dāng)?shù)谝粋€主體的完整性級別支配第二個的安全級別簡單完整條件：一個主體能夠?qū)α硪豢腕w持有observe訪問方式，僅當(dāng)客體的完整性級別支配主體的完整級別。2023/12/22475.4完整性策略與模型－BibaBiba安全策略分為兩大類，強(qiáng)制安全策略與自主安全策略自主安全策略：1）訪問控制列表：對每個客體分配一個訪問控制表，指明能夠訪問該客體的主體和每個主體能夠?qū)Υ丝腕w執(zhí)行的訪問方式?？腕w的訪問控制列表可以被對此客體持有modify的訪問方式的主體修改。2）客體層次結(jié)構(gòu)：笿體組織成層次結(jié)構(gòu)，此層次結(jié)構(gòu)是一棵帶根的樹。一個客體的先驅(qū)結(jié)點(diǎn)持有observe訪問方式3）環(huán)：對于每一個主體分配一個權(quán)限屬性，稱之為環(huán)。環(huán)是數(shù)字的，低數(shù)字的環(huán)表示高的權(quán)限。此策略下規(guī)則成立：一個主體僅在環(huán)允許的范圍內(nèi)對客體持有modify的訪問方式。一個主體僅在環(huán)允許的范圍內(nèi)持有對另一個具有更高權(quán)限的主體的invoke存取方式，一個主體能夠?qū)θ魏尉哂休^低或相同權(quán)限的主體持有invoke訪問方式。一個主體僅在環(huán)允許的范圍內(nèi)持有對客體的Observe訪問方式2023/12/22485.4完整性策略與模型－Biba優(yōu)點(diǎn)：簡單、可以和BLP模型相結(jié)合。不足之處：完整標(biāo)簽確定的困難性；在有效保護(hù)數(shù)據(jù)一致性方面是不充分的；不能保證事務(wù)處理本身的完整性；不能抵御病毒攻擊，難以適應(yīng)復(fù)雜應(yīng)用；2023/12/22495.4完整性策略與模型－Clark－Wilson1987年DavidClark和DavidWilson提出的具有里程碑意義的數(shù)據(jù)完整性模型；C-W用受約束數(shù)據(jù)項CDI來表達(dá)他們的策略，CDI由轉(zhuǎn)變程序TP進(jìn)行處理。TP就像一個監(jiān)控器，對特定種類的數(shù)據(jù)項執(zhí)行特定的操作；只有TP才能對這些數(shù)據(jù)項進(jìn)行操作。TP通過確認(rèn)這些操作已經(jīng)執(zhí)行來維持?jǐn)?shù)據(jù)項的完整性。C-W將這個策略定義為訪問三元組：<userID,TPi,{CDIj,CDIk,...}>，通過他將TP、一個或多個CDI以及用戶識別結(jié)合起來，其中用戶是指已經(jīng)被授權(quán)且以事務(wù)程序的方式操作數(shù)據(jù)項的人。2023/12/22505.4完整性策略與模型－Clark－WilsonC-W核心：良構(gòu)事務(wù)（well-formaltransaction）和任務(wù)分隔機(jī)制良構(gòu)事務(wù)處理機(jī)制：用戶不能任意處理數(shù)據(jù)，而必須以確保數(shù)據(jù)完整性的受限方式來對數(shù)據(jù)進(jìn)行處理任務(wù)分隔機(jī)制：將任務(wù)分成多個子集，不同的子集由不同的人來完成。2023/12/2251定義：受限定的數(shù)據(jù)項CDI：完整性被安全模型保護(hù)起來的任何數(shù)據(jù)項。不受約束的數(shù)據(jù)項UDI：不被安全模型控制的任何數(shù)據(jù)項。完整性驗證過程IVP：掃描數(shù)據(jù)項并證實數(shù)據(jù)完整性的過程。轉(zhuǎn)換過程TP：將系統(tǒng)數(shù)據(jù)從一個有效狀態(tài)轉(zhuǎn)換為另一個有效狀態(tài)的過程。5個證明規(guī)則和4個實施規(guī)則5.4完整性策略與模型－Clark－Wilson完整性模型－Clark-Wilson訪問控制方法定義可以針對每一個數(shù)據(jù)完成的訪問操作定義可以由主體完成的訪問操作保護(hù)方法完整性確認(rèn)：確認(rèn)數(shù)據(jù)處于一種有效的狀態(tài)轉(zhuǎn)換過程：將數(shù)據(jù)從一種有效狀態(tài)轉(zhuǎn)變到另一種有效狀態(tài)如果只有一個轉(zhuǎn)換過程就能改變數(shù)據(jù)，則數(shù)據(jù)是完整的。系統(tǒng)記錄所有轉(zhuǎn)換過程，并提供對數(shù)據(jù)改變的審計跟蹤C(jī)lark-Wilson驗證性規(guī)則C1(IVPCertification)：系統(tǒng)中由IVP

對CDI的完整性進(jìn)行驗證C2(Validity)

–對CDI應(yīng)用TP，必須保持CDI的完整性C3

：一個CDI只能被一個TP改變，TP必須實現(xiàn)權(quán)限分離與最小特權(quán)原理C4(JournalCertification)：TP必須必須寫入一個只允許添加的日志文件中C5：TP在作用于UDI時，必須保證導(dǎo)出有效的CDI受限定的數(shù)據(jù)項CDI不受約束的數(shù)據(jù)項UDI完整性驗證過程IVP轉(zhuǎn)換過程TPClark－wilson強(qiáng)制規(guī)則E1：系統(tǒng)必須維持在C2中的關(guān)系列表，并且確保對任何CDI的唯一操作都是TP產(chǎn)生的，同時TP作用CDI是由一些關(guān)系所確定的。E2：必須具有并保護(hù)該形式的表：｛UserID，TP，｛CDIa，CDIb，CDIc……｝｝其關(guān)聯(lián)了一個用戶、一個TP和該用戶的TP可以引用的數(shù)據(jù)客體，必須確保僅僅在上邊一個關(guān)系中定義了的執(zhí)行中可以被執(zhí)行受限定的數(shù)據(jù)項CDI不受約束的數(shù)據(jù)項UDI完整性驗證過程IVP轉(zhuǎn)換過程TPClark－wilson強(qiáng)制規(guī)則E3：系統(tǒng)必須認(rèn)證每一個試圖去執(zhí)行一個TP的用戶的身份E4：只有被允許去認(rèn)證實體的代理可以更改一個實體和其它實體間的關(guān)聯(lián)列表，特別是這個實體和一個TP的關(guān)聯(lián)，一個可以認(rèn)證一個實體的代理不可以具有任何有關(guān)那個實體的執(zhí)行權(quán)限。即對TP具有訪問規(guī)則的主體能修改表中的項，但這個主體沒有執(zhí)行TP的權(quán)限。受限定的數(shù)據(jù)項CDI不受約束的數(shù)據(jù)項UDI完整性驗證過程IVP轉(zhuǎn)換過程TPClark－wilson強(qiáng)制規(guī)則Clark－wilson強(qiáng)制規(guī)則完整性：保證CDI只能按受約束的方式被修改并產(chǎn)生有效的CDI。規(guī)則C1、C2、C5、E1和E4實現(xiàn)完整性目標(biāo)訪問控制：實現(xiàn)資源的訪問的控制機(jī)制，規(guī)則C3、E2和E3實現(xiàn)訪問控制目標(biāo)。審計：確認(rèn)對CDI的修改并保證系統(tǒng)的有效狀態(tài)，規(guī)則C1和C4實現(xiàn)審計目標(biāo)。核查：用戶與活動綁定，規(guī)則E3實現(xiàn)用戶的鑒別認(rèn)證。受限定的數(shù)據(jù)項CDI不受約束的數(shù)據(jù)項UDI完整性驗證過程IVP轉(zhuǎn)換過程TP2023/12/2258優(yōu)點(diǎn)能有效表達(dá)完整性的3個目標(biāo)久經(jīng)考驗的商業(yè)方法；局限性性能問題；不利于把對數(shù)據(jù)的控制策略從數(shù)據(jù)項中分離；沒有形式化；5.4完整性策略與模型－Clark－Wilson2023/12/22595.5混合型/中立型安全策略與模型中國墻模型在信息流處理中，在一些情況下不是阻止信息流從高層流向低層，而是要阻止信息在不同的部分橫向流動，這種系統(tǒng)在信息處理系統(tǒng)中占有很大的比例，因此提出了多邊安全（MultilateralSecure）的概念。CW（ChineseWall）模型就屬于一種多邊安全模型。2023/12/22605.5混合型/中立型安全策略與模型中國墻模型CW模型由Brewer和Nash發(fā)布，常被用于金融機(jī)構(gòu)的信息處理系統(tǒng)，為市場分析家提供更好的服務(wù)。訪問數(shù)據(jù)不是受限于數(shù)據(jù)的屬性（密級），而是受限于主體獲得了對哪些數(shù)據(jù)的訪問權(quán)限。CW模型的主要設(shè)計思想是將一些可能會產(chǎn)生訪問沖突的數(shù)據(jù)分成不同的數(shù)據(jù)集，并強(qiáng)制所有的主體最多只能訪問一個數(shù)據(jù)集，而選擇哪個數(shù)據(jù)集并未受到強(qiáng)制規(guī)則的限制，這種策略無法用BLP模型完整表述。即根據(jù)主體已經(jīng)具有的訪問權(quán)力來確定是否可以訪問當(dāng)前數(shù)據(jù)，即只允許主體訪問與其所擁有的信息沒有利益沖突的數(shù)據(jù)集內(nèi)的信息。全體客體的集合（O）ABC頂層：興趣沖突組由具有競爭關(guān)系的企業(yè)數(shù)據(jù)集組成。FGHIJKLMNOPQ中層：公司數(shù)據(jù)集企業(yè)數(shù)據(jù)集，客體按所屬的企業(yè)分組底層：標(biāo)識單個企業(yè)的數(shù)據(jù)項（獨(dú)立數(shù)據(jù)項）5.5混合型/中立型安全策略與模型中國墻模型根據(jù)歷史訪問情況，來限制主體對客體的訪問5.5混合型/中立型安全策略與模型中國墻模型訪問客體的控制：與主體曾經(jīng)訪問過的信息屬于同一公司數(shù)據(jù)集合的信息，即墻內(nèi)信息可以訪問。屬于一個完全不同的興趣沖突組的可以訪問。主體能夠?qū)σ粋€客體進(jìn)行寫的前提，是主體未對任何屬于其他公司數(shù)據(jù)集的訪問。定理1：一個主體一旦訪問過一個客體，則該主體只能訪問位于同一公司數(shù)據(jù)集的客體或在不同興趣組的客體定理2：在一個興趣沖突組中，一個主體最多只能訪問一個公司數(shù)據(jù)集角色的概念： 角色的抽象定義是指相對于特定的活動的一系列行動和職責(zé)集合，角色面向于用戶組，但不同于用戶組，角色包含了用戶集和權(quán)限集。RBAC特點(diǎn)：

角色控制相對獨(dú)立，根據(jù)配置可使某些角色接近DAC，某些角色接近MAC

5.5混合型/中立型安全策略與模型基于角色的訪問控制模型基本模型RBAC0角色分級模型RBAC1角色限制模型RBAC2統(tǒng)一模型RBAC3

RBAC3RBAC1RBAC2RBAC05.5混合型/中立型安全策略與模型基于角色的訪問控制模型RBAC模型－RBAC0RBAC0：定義了能構(gòu)成一個RBAC控制系統(tǒng)的最小的元素集合。包含用戶、角色、目標(biāo)、操作、許可權(quán)五個基本數(shù)據(jù)元素，權(quán)限被賦予角色,而不是用戶，當(dāng)一個角色被指定給一個用戶時，此用戶就擁有了該角色所包含的權(quán)限。會話sessions是用戶與激活的角色集合之間的映射。RBAC0與傳統(tǒng)訪問控制的差別在于增加一層間接性帶來了靈活性，模型如圖:RBAC模型－RBAC1RBAC1：引入角色間的繼承關(guān)系，角色間的繼承關(guān)系可分為一般繼承關(guān)系和受限繼承關(guān)系。一般繼承關(guān)系僅要求角色繼承關(guān)系是一個絕對偏序關(guān)系，允許角色間的多繼承。而受限繼承關(guān)系則進(jìn)一步要求角色繼承關(guān)系是一個樹結(jié)構(gòu)。角色繼承時繼承角色的所有操作權(quán)限。RBAC1模型如圖：RBAC模型－RBAC2RBAC2：模型中添加了責(zé)任分離關(guān)系。RBAC2的約束規(guī)定了權(quán)限被賦予角色時,或角色被賦予用戶時,以及當(dāng)用戶在某一時刻激活一個角色時所應(yīng)遵循的強(qiáng)制性規(guī)則。責(zé)任分離包括靜態(tài)責(zé)任分離和動態(tài)責(zé)任分離。約束與用戶-角色-權(quán)限關(guān)系一起決定了RBAC2模型中用戶的訪問許可。RBAC2模型如圖：RBAC模型－RBAC3RBAC3：包含了RBAC1和RBAC2，既提供了角色間的繼承關(guān)系，有提供了責(zé)任分離關(guān)系。RBAC3模型如圖:RBAC模型－改進(jìn)的RBAC某些情況下需要對某個用戶授予特殊的權(quán)限時，RBAC就顯得有些不夠靈活，如果授予用戶所擁有的某種角色，則擁有該角色的所有用戶都會擁有該權(quán)限或被授予角色的用戶會擁有該角色的所有權(quán)限，顯然這不符合需求，如果為了實現(xiàn)這一需求而單獨(dú)創(chuàng)建一個角色又顯得不合常理，因此，改進(jìn)的訪問控制模型綜合了RBAC的理論，結(jié)合企業(yè)需要單獨(dú)對用戶授予權(quán)限的需要，設(shè)計了既可對角色授權(quán)又可對用戶單獨(dú)授權(quán)的訪問控制模型如圖RBAC模型－改進(jìn)的RBAC用戶角色優(yōu)先級：是指當(dāng)給一個用戶賦予多個角色時，角色之間有沖突的權(quán)限處理，高優(yōu)先級的角色權(quán)限覆蓋低優(yōu)先級的角色權(quán)限，如一個員工既是系統(tǒng)管理員，又是研發(fā)人員，則對于系統(tǒng)管理的權(quán)限，系統(tǒng)管理員角色的權(quán)限覆蓋研發(fā)人員角色權(quán)限。這種既可以對角色授權(quán)，又可以對用戶授權(quán)的模型中，如果用戶和角色之間的權(quán)限沖突時，也需要制定權(quán)限優(yōu)先級。RBAC模型－優(yōu)勢便于授權(quán)管理便于角色劃分便于賦予最小特權(quán)便于職責(zé)分擔(dān)便于目標(biāo)分級5.6其他模型信息流模型：隱通道：訪問控制模型通過對訪問主體與訪問客體的控制實施安全策略，但惡意的用戶仍然可能利用系統(tǒng)的副作用（邊際效應(yīng)）形成從高安全級別到低安全級別的通道。信息流模型：不對訪問主體與客體實施控制，而是直接控制用戶間的信息流

信息流概念：信息流可表述為“從對象a流向?qū)ο骲的信息（信息流）是指對象b的值按某種方式依靠對象a的值”。例如：ifa=0thenb:=c, informationflowsexplicitlyfromctob(whena=0)andimplicitlyfromatob(whenb≠

c).信息流模型－特點(diǎn)對于程序語言代碼（理論上）我們可以通過枚舉所有程序變量間的信息流，從而驗證是否存在不合法信息流。信息流模型的形式化是狀態(tài)機(jī)模型，因此可以形成一系列信息流“斷言”，信息流“斷言”也稱為安全性質(zhì)，安全性質(zhì)包括非干擾性(noninterference)和非觀察性(nonobservability)等描述工具使用Hoare邏輯的SPA語言（SecurityProcessAlgebra–SPA）（trace）

2023/12/2274其他模型（續(xù)）無干擾模型是1982年J.Goguen和J.Meseguer提出的基于自動機(jī)理論和域隔離的安全系統(tǒng)事項方法；總結(jié)：安全模型是建立安全操作系統(tǒng)的一個基本要求；多級安全系統(tǒng)中最廣泛的模型是BLP機(jī)密性安全模型等，這些模型都各具特點(diǎn)；2023/12/2275習(xí)題五安全模型在安全操作系統(tǒng)開發(fā)中的作用？簡單描述BLP安全模型Biba模型和Clark-Wilson模型的區(qū)別？中國墻模型可以完全模擬BLP模型嗎？22十二月202376第6章操作系統(tǒng)安全體系結(jié)構(gòu)學(xué)習(xí)內(nèi)容: ①了解操作系統(tǒng)安全體系結(jié)構(gòu)的含義及其類型 ②了解系統(tǒng)安全體系結(jié)構(gòu)設(shè)計的基本原則 ③掌握Flask安全體系結(jié)構(gòu)本章重點(diǎn)：

Flask安全體系結(jié)構(gòu)22十二月2023776.1體系結(jié)構(gòu)的任務(wù)建立一個計算機(jī)系統(tǒng)，往往需要滿足許多要求，如安全性要求，性能要求、可擴(kuò)展性要求、容量要求、方便性要求和成本要求等，但這些要求往往是相互沖突的，為了把他們協(xié)調(diào)地納入一個系統(tǒng)中并有效實現(xiàn)，對所有要求都予以最大可能的滿足通常是很困難，有時也是不可能的。因此系統(tǒng)對各種要求的滿足程度必須在各種要求之間進(jìn)行全局性地折中考慮，并通過恰當(dāng)?shù)膶崿F(xiàn)方式表達(dá)出來，使系統(tǒng)在實現(xiàn)時對各項要求有輕重之分，這就是體系結(jié)構(gòu)要完成的主要任務(wù)22十二月2023786.1含義及其類型1.含義：所謂計算機(jī)系統(tǒng)的安全體系結(jié)構(gòu)，包括如下幾個方面：①詳細(xì)描述系統(tǒng)中安全相關(guān)的所有方面。包括可能提供的安全服務(wù)及保護(hù)自身安全的所有安全措施。描述語言可以是自然語言也可以用形式語言②在一定的抽象層次上描述各個安全相關(guān)模塊之間的關(guān)系（用邏輯框圖）③提出指導(dǎo)設(shè)計的基本原理；④提出開發(fā)過程的基本框架及對應(yīng)于該框架體系的層次結(jié)構(gòu)。22十二月2023796.1含義及其類型安全體系結(jié)構(gòu)在整個系統(tǒng)的開發(fā)過程中，必須扮演指導(dǎo)者的角色，確立其中心地位，所有開發(fā)者在開發(fā)前對安全體系結(jié)構(gòu)必須達(dá)成共識，并在開發(fā)過程中自覺服從于安全體系結(jié)構(gòu)，從而達(dá)到在它的指導(dǎo)下協(xié)同工作的目的。安全體系結(jié)構(gòu)只能是一個概要設(shè)計，而不能是系統(tǒng)功能的描述，不應(yīng)當(dāng)限制不影響安全的設(shè)計方法。22十二月2023806.1含義及其類型2.分類:美國國防部“目標(biāo)安全體系DoD”中，把安全體系劃分為一下四類：抽象體系：從描述安全需求開始，定義安全功能及其提供的安全服務(wù)，確定系統(tǒng)實現(xiàn)安全的指導(dǎo)原則及其基本概念。通用體系：基于抽象體體系的決策，在已有的安全功能和相關(guān)安全服務(wù)配置的基礎(chǔ)上，定義系統(tǒng)分量類型及可用的實現(xiàn)這些安全功能的有關(guān)安全機(jī)制。22十二月2023816.1含義及其類型邏輯體系:是滿足某個假設(shè)的需求集合的一個設(shè)計，顯實了一個把通用體系應(yīng)用于具體環(huán)境時的基本情況。是一個假想體系。是為理解或其它目的提出的，不以實現(xiàn)為意圖，無需實施開銷分析。特殊體系:要表達(dá)系統(tǒng)分量、接口、標(biāo)準(zhǔn)、性能和開銷；表明如何把所有被選擇的信息安全分量和機(jī)制結(jié)合起來以滿足我們正在考慮的特殊系統(tǒng)的安全需求。是一個實際體系。22十二月2023826.2設(shè)計的基本原則與目標(biāo)在安全體系結(jié)構(gòu)的設(shè)計中應(yīng)該遵守的基本規(guī)律：（1）從系統(tǒng)設(shè)計之初就考慮安全性（2）應(yīng)盡量考慮未來可能面臨的安全需求，考慮潛在的安全屬性，便于以后實施安全增強(qiáng)。系統(tǒng)要實施安全增強(qiáng)包括兩方面的問題一是改進(jìn)系統(tǒng)原有的安全性二是給系統(tǒng)增加新的安全屬性。在考慮未來安全要求時應(yīng)注意：不能把“預(yù)設(shè)的”安全問題定的太特殊或太具體；要從適當(dāng)?shù)某橄髮哟蝸砝斫獍踩珕栴}即從問題在的角度理解安全問題，而不是具體問題；設(shè)計計劃必須特別關(guān)注安全策略的定義。22十二月2023836.2設(shè)計的基本原則與目標(biāo)（3）隔離安全控制，并使其極小化。設(shè)計時應(yīng)注意：①并不是所有的從軟件工程的角度看有效的設(shè)計原則都能很好地適用于操作系統(tǒng)安全部分的設(shè)計。如機(jī)制的經(jīng)濟(jì)性。②在系統(tǒng)中的安全相關(guān)機(jī)制應(yīng)盡量簡潔，易于確認(rèn)，且相對獨(dú)立，這樣有利于實現(xiàn)附加的控制來保護(hù)它們；③數(shù)據(jù)隔離必須適度，不能走極端。22十二月2023846.2設(shè)計的基本原則與目標(biāo)（4）實施特權(quán)最小化：無論在系統(tǒng)的什么部分，只要是執(zhí)行某個操作，執(zhí)行該操作的進(jìn)程除能獲得執(zhí)行該操作所需的特權(quán)外不能獲得其他的特權(quán)。從而限制因錯誤軟件或惡意軟件造成的危害。22十二月2023856.2設(shè)計的基本原則與目標(biāo)（5）結(jié)構(gòu)化安全相關(guān)的功能：系統(tǒng)體系應(yīng)該可以比較容易地確定與系統(tǒng)安全相關(guān)的方面，以便可以很快地對系統(tǒng)的大部分進(jìn)行檢驗，這對安全系統(tǒng)非常重要的。一個好的安全體系必須滿足：安全控制是隔離、極小化的、對安全相關(guān)的功能有一個清晰的且易于規(guī)范化的接口。22十二月2023866.2設(shè)計的基本原則與目標(biāo)（6）使安全相關(guān)的界面友好：在設(shè)計安全機(jī)制時，應(yīng)遵循：安全不應(yīng)當(dāng)對服從安全規(guī)則的用戶造成功能上的影響給予用戶訪問應(yīng)該是容易的限制用戶訪問應(yīng)該是容易的建立合理的默認(rèn)規(guī)則（7）不要讓安全依賴于一些隱藏的東西22十二月2023876.2設(shè)計的基本原則設(shè)計目標(biāo)：對安全策略的支持研可以分為四個階段：支持單一安全策略：為系統(tǒng)指定的是一個由諸如MAC、DAC等子策略構(gòu)成的一個統(tǒng)一的安全策略。這些子策略緊密地結(jié)合一起形成一個單一的系統(tǒng)安全策略支持多級安全策略：側(cè)重于支持策略的多樣性，系統(tǒng)具有多安全策略的支持框架，。如GFAC支持安全策略可變通性：在支持策略多樣性的基礎(chǔ)上支持可變通性如Flask支持安全策略環(huán)境適應(yīng)性：是指多安全策略的支持框架能夠根據(jù)相應(yīng)環(huán)境的變化而實時切換安全策略。22十二月2023886.2設(shè)計的基本原則多級安全目標(biāo)：1992年，hosmer首次對多級安全策略問題進(jìn)行了全面的闡述，提到多級安全策略適應(yīng)于四種情況系統(tǒng)的安全目標(biāo)通常不唯一的：如既有保密性要求，又有完整性要求系統(tǒng)為多個成員服務(wù)，每個成員有各自的安全目標(biāo)和計劃，如在北約組織中既有美國，又有歐盟，還有其它成員國系統(tǒng)由不同的評價部分組成，如既有多級安全數(shù)據(jù)庫又有多級網(wǎng)絡(luò)訪問控制等。系統(tǒng)必須適應(yīng)變化的環(huán)境，如和平時和戰(zhàn)爭時期采用不同的安全策略22十二月2023896.2設(shè)計的基本原則安全策略的可變通性：可變通性的要求包括：系統(tǒng)必須支持對底層客體的細(xì)粒度訪問，以實施由安全策略控制的高層功能系統(tǒng)必須確保訪問權(quán)限的傳遞與安全策略保持一致安全策略通常情況下是不固定的。為處理策略變化或動態(tài)策略，系統(tǒng)擁有一種可以撤銷已經(jīng)被授予的訪問權(quán)限機(jī)制目前，業(yè)界已經(jīng)提出一種支持安全策略可變通性的的安全體系結(jié)構(gòu)flask，而且在Linux系統(tǒng)實現(xiàn)了支持flask的通用訪問控制框架LSM。6.3GFAC通用訪問控制框架GFAC框架是一種用于在單一系統(tǒng)中實現(xiàn)多種安全策略支持的方法。其可以在Unix/Linux內(nèi)核中集成細(xì)粒度的DAC策略，基于BLP的機(jī)密性MAC策略以及基于Biba模型的完整性MAC策略，結(jié)合原有的基于保護(hù)的DAC機(jī)制，使得其訪問控制能力加強(qiáng)，從而提高了安全性能。GFAC是一種新型的用于構(gòu)造一個可信計算機(jī)系統(tǒng)的架構(gòu)，它實質(zhì)是一種規(guī)則集模型化方法。GFAC將系統(tǒng)描述成一個的數(shù)學(xué)狀態(tài)狀態(tài)機(jī)，其中狀態(tài)變量表征機(jī)器的狀態(tài)，狀態(tài)轉(zhuǎn)移函數(shù)描述狀態(tài)變量可能發(fā)生的變化，即操作規(guī)則。6.3GFAC通用訪問控制框架在GFAC方法中，訪問控制實施部件（AEF)所對應(yīng)的是對系統(tǒng)的操作，它截獲主體對客體的訪問，向訪問控制判定部件（ADF）發(fā)出訪問判定請求，并根據(jù)請求結(jié)果來控制對客體的訪問。6.3GFAC通用訪問控制框架主體發(fā)出訪問請求AEF接收到請求，通知訪問控制信息模塊查找此次訪問控制屬性，向訪問判斷模塊發(fā)送判斷請求，其中傳遞的參數(shù)包括訪問模式、主體標(biāo)識符及想要訪問的客體類型等。ADF參照從訪問控制信息ACI查到的信息執(zhí)行判斷。向AEF返回判斷決定。AEF再根據(jù)判斷的結(jié)果，向發(fā)出請求的主體返回允許或拒絕信息。如果允許請求，AEF在完成請求后通知ADF。ADF根據(jù)需要，更新ACI中的安全屬性在完成更新任務(wù)后向AEF發(fā)出確認(rèn)通知。AEF實施訪問。2023/12/22936.4Flask體系結(jié)構(gòu)與LSM框架具有策略靈活性的系統(tǒng)必須能夠支持多種安全策略。在策略變更后受控操作的交叉間必須存在有效的原子操作。解決這個難點(diǎn)的關(guān)鍵在于：該原子操作是否能夠確保先前授予的權(quán)限可以根據(jù)策略變更的需要而被撤銷。撤銷機(jī)制必須保證所有已經(jīng)傳遞的權(quán)限能被真正地撤銷。當(dāng)進(jìn)程中的操作已經(jīng)接受檢查，撤銷權(quán)限就變得更加復(fù)雜，此時，可能使用如下的三種方法：中斷進(jìn)程中的操作，返回一個出錯狀態(tài)；可以重新啟動該操作，允許另外的檢查來撤銷權(quán)限；等待操作完成22十二月2023946.4Flask體系結(jié)構(gòu)與LSM框架Flask結(jié)構(gòu)包括一個安全策略服務(wù)器來控制訪問控制的決議，一個微內(nèi)核和系統(tǒng)其他客體管理器框架來執(zhí)行訪問控制的決議。雖然原型系統(tǒng)是基于微內(nèi)核的，但安全機(jī)制并不依賴于微內(nèi)核結(jié)構(gòu)，在沒有微內(nèi)核的情況下也能很容易實現(xiàn)。22十二月2023956.4Flask體系結(jié)構(gòu)與LSM框架Flask體系的設(shè)計與實現(xiàn)1.目標(biāo)：結(jié)構(gòu)的基本目標(biāo)：提供安全策略的可變通性，確保子系統(tǒng)不管決策如何產(chǎn)生、如何隨時變化都有一致的策略判定。其次目標(biāo)：包括應(yīng)用透明性、深度防御、保護(hù)的易操作性和最小的性能影響。執(zhí)行安全策略決策的組件提供安全決策的組件22十二月2023966.4Flask體系結(jié)構(gòu)與LSM框架Flask安全結(jié)構(gòu)為客體管理器提供了三個主要要素：①提供從一個安全服務(wù)器獲得訪問、標(biāo)記和多實例決策的接口。訪問決策規(guī)定在兩個實體間的一個特定的許可權(quán)是否被允許；標(biāo)記決策規(guī)定分配給客體的安全屬性。多實例決策規(guī)定多實例資源集的哪個成員能夠被特定的請求訪問。②提供一個訪問向量緩存AVC模塊，允許客體管理器緩存訪問決策來以減小性能損耗；③提供客體管理器注冊接受安全策略的改變通知能力。22十二月2023976.4Flask體系結(jié)構(gòu)與LSM框架客體管理器負(fù)責(zé)（1）定義為其客體分配標(biāo)記的機(jī)制。（2）必須定義并實現(xiàn)一種控制策略，來規(guī)定安全決策如何用于控制客體管理器所提供的服務(wù)的。這種控制策略解除各種威脅，方式是對客體管理器提供的所有服務(wù)進(jìn)行控制，并允許這些控制根據(jù)不同的威脅進(jìn)行配置。（3）定義為響應(yīng)策略變化而需要調(diào)用的處理操作（4）針對多實例化的使用，每個客體管理器必須定義可以用于實現(xiàn)適當(dāng)資源實例選擇的機(jī)制。22十二月2023986.4Flask體系結(jié)構(gòu)與LSM框架2.常規(guī)支持機(jī)制客體標(biāo)記：由安全策略控制的所有客體都是由策略中的一個安全屬性集來標(biāo)識的。即安全上下文。Flask結(jié)構(gòu)的一個基本問題就是如何維持客體和安全上下文的關(guān)聯(lián)。簡單的解決辦法是定義一個簡單的與策略無關(guān)的數(shù)據(jù)類型作為每個對象相關(guān)聯(lián)的數(shù)據(jù)的一部分。22十二月2023996.4Flask體系結(jié)構(gòu)與LSM框架在Flask中為標(biāo)記提供了兩種策略無關(guān)的數(shù)據(jù)類型。①安全上下文，是一個長度可變的字符串，能被任何了解安全策略的應(yīng)用或用戶解釋。可以由幾個屬性組成，如用戶標(biāo)識、安全級、角色、類型實施策略中的域等。②安全標(biāo)記符SID，固定值32位整數(shù)，只能被安全服務(wù)器解釋并由安全服務(wù)器映射到一個特定的安全上下文。22十二月20231006.4Flask體系結(jié)構(gòu)與LSM框架一個客戶需要從安全管理器創(chuàng)建一個新對象，微內(nèi)核為對象管理器提供客戶的SID。以客戶的SID、相關(guān)對象的SID和對象類型作為參數(shù)，向安全管理服務(wù)器請求一個新對象的SID。22十二月20231016.4Flask體系結(jié)構(gòu)與LSM框架2)客戶端和服務(wù)器鑒別當(dāng)SID作為安全策略組成部分時，客體管理器必須能鑒別請求客戶端的SID。同時使客戶能鑒別服務(wù)器的SID以利于確保其所請求的服務(wù)是發(fā)自一個適當(dāng)?shù)姆?wù)器。所以Flask結(jié)構(gòu)需要底層系統(tǒng)為進(jìn)程間通信（IPC）提供某些形式客戶端和服務(wù)器的鑒別機(jī)制。Flask微內(nèi)核將提供的鑒別服務(wù)直接作為IPC處理的一部分。微內(nèi)核將客戶端的SID和客戶端的的請求一起提供給服務(wù)器。客戶端利用IPC發(fā)送一個內(nèi)核調(diào)用來鑒別服務(wù)器SID。之后，客戶端可以指定一個不同的SID作為有效的SID覆蓋它與服務(wù)器的鑒別，服務(wù)器也可以指定一個有效的SID。有效SID的許可權(quán)由安全服務(wù)器決定，并由內(nèi)核執(zhí)行。22十二月20231026.4Flask體系3)請求和緩存安全決策為減少服務(wù)器因決策的計算和傳遞的通信而造成的性能降低，F(xiàn)lask體系在對象管理器內(nèi)提供了緩存決策的機(jī)制。緩存訪問向量AVC模塊提供了客體管理器和安全服務(wù)器之間的協(xié)作支持，它是所有對象管理器共享的一個公共資源庫。既處理了來自對象管理器對策略決策的請求，又處理了來自服務(wù)器對策略變更的請求。在Flask體系中，控制操作是某個對象管理器必須做出決定主體是否允許訪問具有某些許可權(quán)的對象，還是一組許可權(quán)的對象。22十二月20231036.4Flask體系客戶端請求修改對象管理器中一個存在的客體，客體管理器先查詢AVC模塊以獲得三元組（客戶端SID，客體SID，請求的許可）對應(yīng)的訪問裁決結(jié)果。若其中無有效項，則AVC模塊向安全服務(wù)器發(fā)送一個訪問請求，安全服務(wù)器根據(jù)策略邏輯中的訪問規(guī)則，產(chǎn)生一個訪問裁決結(jié)果，并且返回該訪問裁決結(jié)果給AVC模塊。22十二月20231046.4Flask體系4)支持多實例化通過多實例化某資源及按集合劃分客戶端，使得每個集合中的客戶端能共享該資源的相同實例化客體，從而限制固定資源在客戶端間的共享。Flask支持多實例化是通過提供一個接口來實現(xiàn)的，安全服務(wù)器利用該接口可以區(qū)分哪個實例化客體可以被一個特定的客戶端訪問。客戶端和實例化都是由SID唯一確定，這些實例化的客體被稱為成員。選擇一個成員的過程如下圖所示：22十二月20231056.4Flask體系客戶端通過客體管理器請求創(chuàng)建一個新客體，而且微內(nèi)核為客體管理器提供客戶端的SID，客體管理器向安全服務(wù)器請求這個成員客體的SID，該請求以客戶端SID，多實例化客體SID及客體類型為參數(shù)，安全服務(wù)器依據(jù)策略邏輯中的多實例化規(guī)則，為該成員客體決定上下文。并返回對應(yīng)安全上下文的一個SID，最后，客體管理器基于返回的SID選擇一個成員，并作為該成員的一個孩子來創(chuàng)建此客體。22十二月20231066.4.4微內(nèi)核特定屬性內(nèi)存本身在微內(nèi)核中不是一個對象，但微內(nèi)核為內(nèi)存管理及每個內(nèi)存段綁定SID提供基礎(chǔ)。每個內(nèi)核對象的SID和與之對應(yīng)的內(nèi)存段的SID是一致的。在內(nèi)存標(biāo)簽和該內(nèi)核相關(guān)的內(nèi)核對象的標(biāo)簽之間的這種關(guān)系允許實現(xiàn)Flask微內(nèi)核對控制器件的控制，它是現(xiàn)存的Fluke的保護(hù)模型。Flask通過基于地址空間的SID和內(nèi)存段的SID，把每個訪問模式與Flask許可權(quán)結(jié)合起來，為內(nèi)存訪問模式的傳播提供直接的安全策略控制。當(dāng)初次訪問內(nèi)存映射時，微內(nèi)核驗證是否安全策略已經(jīng)明確地授予了對每個被請求的訪問模式的許可權(quán)。Flask中，內(nèi)存的許可權(quán)并不是在任意接口的層面上都被計算，而只是在出現(xiàn)頁錯誤時才計算。22十二月20231076.4.5撤銷支持機(jī)制在Flask體系中，最難處理的就是客體管理器要高效地保存一些安全決策的副本。安全策略的改變要求在安全服務(wù)器和客體管理器之間進(jìn)行協(xié)調(diào)，以確保安全服務(wù)器和客體管理器之間對策略表達(dá)是一致的。通過在系統(tǒng)上實施兩個基本要求，可以獲得有效的原子性需求。①在策略變動完成后，客體管理器的行為必須反映該變化；在沒有完成后續(xù)的策略變更的情況下，要求被撤銷許可的一個受控制操作將不再允許被執(zhí)行。②要求客體管理器必須采用實時的方式完成策略變化。22十二月20231086.4.5撤銷支持機(jī)制第一個要求僅就客體管理器而言，但是當(dāng)用一個合理定義的協(xié)議把客體管理器和安全服務(wù)器聯(lián)系起來，它將給出系統(tǒng)級策略的有效原子性。該協(xié)議分為三個實施步驟：①安全服務(wù)器讓所有客體管理器注意到任何以前提供的現(xiàn)已改變的策略。②每個客體管理器更新內(nèi)部狀態(tài)以反映發(fā)生的變化。③每個客體管理器讓安全服務(wù)器注意到改變的完成。序列號用于指示提供給客體管理器的策略決策的信息與請求改變策略的信息之間的交互?？腕w管理器的實時性要求協(xié)議提供的原子形式是合理的。通用的AVC模塊的功能是，處理所有策略變更請求的初始進(jìn)程且適當(dāng)?shù)剡M(jìn)化緩存22十二月20231096.4.5撤銷支持機(jī)制FlukeAPI的兩個性質(zhì)簡化了微內(nèi)核的吊銷機(jī)制：提供了線程狀態(tài)的及時、完全的輸出，且確保所有內(nèi)核的操作或是原子的或是清楚地被劃分為用戶可視的原子階段。第一條性質(zhì)允許內(nèi)核吊銷機(jī)制訪問內(nèi)核的狀態(tài)，包括當(dāng)前進(jìn)程中的操作。第二條性質(zhì)允許將Flask的許可檢查象它控制的服務(wù)一樣裝入同樣的原子操作中，這樣可以避免在吊銷完成之后服務(wù)的重啟。22十二月20231106.4.6安全服務(wù)器在Flask體系中，安全服務(wù)器提供安全策略的決策，保持SID和安全上下文之間的映射，為新創(chuàng)建的對象提供SID，提供成員對象的SID，控制對象管理器的訪問向量緩存。此外還提供策略的載入和改變的功能。除了客體管理器中的緩存機(jī)制外，在安全服務(wù)器中設(shè)計一個自己的緩存機(jī)制很有好處，它用來保存訪問計算的結(jié)果。安全服務(wù)器是一個對所提供的服務(wù)的策略強(qiáng)制執(zhí)行者。首先，如果安全服務(wù)器對改變策略提供了接口，它必須對主體能夠訪問的接口強(qiáng)制執(zhí)行安全策略。其次，它必須限制能夠獲取策略信息的主體。22十二月20231116.4.6安全服務(wù)器被Flask安全服務(wù)器封裝的安全策略是通過對它的代碼或策略數(shù)據(jù)庫的綁定來定義的。當(dāng)前Flask安全服務(wù)器原型實現(xiàn)了4個安全子策略：多級安全MLS、類型實施、基于標(biāo)識的訪問控制和基于角色的動態(tài)訪問控制。安全服務(wù)器提供的訪問決策需要符合每個子策略。22十二月20231126.4.7其他Flask對象管理器1.文件服務(wù)器Flask的文件服務(wù)器提供4種類型的可控制對象：文件系統(tǒng)、目錄、文件和文件描述符。因為文件系統(tǒng)、目錄和文件是永久性對象，所以賦予它們的標(biāo)簽也必須是永久性的。Flask文件服務(wù)器定義了對每個文件或目錄狀態(tài)進(jìn)行監(jiān)測和修改的權(quán)限。文件服務(wù)器支持重新為文件或目錄賦安全標(biāo)簽的操作。①已經(jīng)轉(zhuǎn)移的文件的權(quán)限可能會再被取消；②主體也必須有對路徑上每個目錄的遍歷權(quán)限；③重置標(biāo)簽的操作不僅僅通過客戶端主體和文件的SID控制，而且也關(guān)系到最近被申請的SID。22十二月20231136.3.7其他Flask