主讲教师：董庆宽研究方向：密码学与信息安全 Email ： [email protected] 手机： 15339021227

主讲教师：董庆宽研究方向：密码学与信息安全Email ： [email protected]手机： 15339021227

网教院培训课程：信息系统安全

第二章安全控制原理

mailto:[email protected]

2/109

2.1 可信计算基的结构与评测准则2.2 访问控制2.3 信息流控制2.4 安全模型

内容提要

3/109

2.1.1 可信计算基的结构第二章安全控制原理2.1 可信计算基的结构与评测准则

信息系统可信计算基 TCB 的定义：信息系统是由计算机及相关的和配套的设备和设施构成的定义：可信计算基 (TCB) 是指信息系统内保护装置的总体，包括相关的软件、硬件、固件及相关的管理等

其中，固件是具有独立功能和作用的软硬件的集合体。在信息系统中那些为了用户能安全地使用信息系统并完成信息使命的资源和机制就构成了信息系统的 TCB 它建立了一个基本的保护环境，并提供一个可信计算系统所要求的附加用户服务 TCB (Trust Computing Base) 是 1983 年《可信计算机系统评测准则》 TCSEC 中提出的概念， TCSEC 侧重于操作系统安全，而对操作系统的安全要求可以推广到整个信息系统

4/109

TCB 是个很广泛的概念，可以由以下 ( 但不限于 )要素构成操作系统和数据库中的安全内核应用软件中与安全相关的部分具有特权的程序和命令处理敏感信息的程序，如系统管理命令 TCB 实施安全策略的文件其他可信的软件、硬件、固件和设备。（关于故障）负责系统管理的人员。（误操作或恶意操作）保障正确的相关程序和诊断软件（评测）

第二章安全控制原理2.1 可信计算基的结构与评测准则2.1.1 可信计算基的结构

5/109

信息系统 TCB 的逻辑结构

访问监控器

服务

信息系统安全策略TSP

安全功能策略SFP

信息系统的安全功能TSF

信息系统

控制

资源



.

.

.

.

SF安全功能

SF安全功能

SF安全功能

TSF

的控制范围

TSC

主体

操作

客体

主体

操作

客体

主体

操作

客体

访问确认机制

信息系统中的TCB示意图

TCB

TCB 分为安全策略 TSP 和安全功能 TSF 两个层次可分别抽象为访问监控器和访问确认机制这些策略通过安全功能控制所有主体对客体的操作（控制范围 TSC ）

安全信息系统的工作机理信息系统中信息服务系统和安全策略通过一定的控制手段对进程、服务、数据等资源进行有效控制，以期达到安全有效的使用资源的目的 ( 实现信息使命及安全使命 )


6/109

由上可见， TCB 提供安全功能的思想在于：① 信息系统规定了信息安全策略 TSP

② TSP 定义了一些规则 TSP 可以由多个安全功能策略 SFP 模块构成，每个 SFP 都有自

己的控制范围，在其中定义了该 SFP 控制下的主体、客体和操作。 SFP 是通过安全功能 SF 实现的

③ 信息系统以安全功能为载体通过这些规则控制任何主体对其资源的访问，这样信息系统就控制了所有信息与服务，确信对资源进行安全保护而达到对信息的安全保护


7/109

TCB 的安全策略，简称 TSP(TCB Security Policy) 是对 TCB 中的资源进行管理、保护和分配的一组规则。

它是所有 SFP 的总和其中，安全功能策略 SFP(Security Function Policy ) ，

是由多个安全策略 SP组成的针对某些特定安全功能的策略，通过安全功能 SF 模块实现

TSP 可抽象为访问监控器访问监控器是信息系统中实施访问控制策略的抽象机，

是安全功能模块在执行安全功能时的依据，比如访问控制的规则等


8/109

TCB 的安全功能，简称 TSF(TCB Security function) 是正确实施 TCB 安全策略的全部硬件、固件、软件所提供的功能。它包括了一个 TCB 的所有安全功能模块 SF ，通常是一个或多个安全功能策略 SFP 的实现 TSF 中可能包括一个访问确认机制和其他一些安全功能

访问确认机制是访问监控器概念的实现，它具有防拆卸、一直运行、简单到能够进行彻底的分析与测试，如访问控制的执行单元，操作系统的安全内核等 TCB 中所有 TSF 构成一个安全域，以防止不可信实体的干扰和篡改，这个安全域实际上是 TCB 操作及其所涉及的主体和客体，也被称为 TSF 的控制范围 TSC 。

TCB 中的非 TSF 部分构成非安全域


9/109

TSF 的实现有两种方法设置前端过滤器，如防火墙，登陆认证，防止非法进入系统设置访问监督器，如安全审计系统、防止越权访问

TSF 的两种实现方法实际上给出了信息系统安全的访问控制模型该模型对非授权访问有两道防线：

第一道防线是守卫者：基于通行字的登录程序和屏蔽程序，分别用于拒绝非授权的访问、检测和拒绝病毒：外部访问控制，具有前端过滤器的功能第二道防线由一些内部控制部件构成，管理系统内部的各项操作和分析所存有的信息，检查是否有未授权的入侵者。内部访问控制、安全管理和审计，具有访问监督器的作用

第二章安全控制原理2.1 可信计算基的结构与评测准则

外部攻击者访问通道

守卫者

计算机资源(处理器、存储器，I/O)数据、程序、软件

内部安全控制

2.1.1 可信计算基的结构

10/109

在信息系统或产品中的数据、资源和实体的相关概念信息系统中处理的数据，有两大类：

用户数据：用户完成信息使命时产生和处理的，是信息系统安全保障的根本目标，存储在信息系统资源中 TSF 数据：用于保护用户数据所需的数据，在作出 TSP决策时 T

SF 使用的信息，如安全属性、鉴别数据，访问控制表 ACL 内容等都是 TSF 数据的例子。又可分为鉴别数据与保密数据信息系统的资源用于存储和处理信息，它们是由存储介质、外围设备和计算能力构成的。

TSF 的主要目标是完全并正确的对信息系统所控制的资源与信息，实施信息系统的安全策略 TSP 信息系统资源可以用不同的方式构成和利用


11/109

信息系统中的实体 entity ，由资源产生，有两类：(1) 主动实体，称为主体 subject ，指用户和其它任何代理用户行为的实体 (例如设备、进程、作业和程序 ) 它是信息系统内部行为发起的原因，并导致对信息的操作；但不一定是执行者 ( 可能是代理程序 )

信息系统内有三类实体： (1)代表遵从 TSP 所有规则的已授权用户，如 UNIX 进程 (2) 作为专用功能进程，可以轮流代表多个用户，如 C/S 结构中可以找到的功能 (3) 作为信息系统本身的一部分，如可信进程 ( 如 OS 的进程 )

最初始的主体一定是人类用户


12/109

(2)被动实体，称为客体 object ，指信息的载体或从其他主体或客体接收信息的实体。是发出或接收信息的容器 (介质 ) 客体不受它所依存的系统的限制

可以包括记录、数据块、存储页、存储段、文件、目录、目录树、库表、邮箱、消息、程序等还可以包括位、字节、字、字段、变量、处理器、通信信道、时钟、网络节点等

最终的客体一定是记录介质上的信息 ( 数据 ) 受控的主体或子进程也是一种客体

操作系统中的进程 ( 包括用户进程和系统进程 ) 有着双重身份，既用户的客体，又是访问对象的主体


13/109

实体的权限与授权权限：是指与计算机上或网络上的对象 ( 文件或文件夹 )

关联的规则，权限确定是否可以访问某个对象以及可以对它执行哪些操作

授权：是对主体赋予以上这种能力用户进程的权限：是固定为某一用户服务的，其权限应与

所代表的用户相同系统进程的权限：是动态的为所有用户提供服务的，因而

它的权限是随着服务对象的变换而变化的，需要将用户权限与为其服务的进程权限动态相关联


14/109

TCB 中用于数据保护的安全功能策略 SFP 有 3种：访问控制 SFP

其实现机制基于控制范围内的主体、客体和操作的属性做出策略决定的。这些属性被用于一组规则中，以便控制各主体对客体的操作。主体、客体和访问控制规则为三要素信息流控制 SFP

信息流是主体对客体操作而引起的信息在客体间的流动，信息流控制要控制信息的流向等方面的问题其实现机制是基于控制范围内的主体和信息的属性，并支配主体对信息操作的一组规则作出策略决策的信息的属性与信息相随，它可能与存储介质的属性相关联主体、信息属性、支配主体对信息操作的规则 (三要素 )


15/109

推理控制 SFP 是指客体信息内容之间推理通道的控制，防止信息泄漏与信息内容之间的逻辑关系有关，主要用在数据库领域

因此，信息系统的安全控制就主要分为三种：访问控制：针对存储在信息容器中的静态信息信息流控制：针对在信道中的动态信息推理控制：针对信息内容，信息之间的逻辑关系

主体对客体的访问操作至少包含如下几种：读：允许信息从被读的客体中流向读它的主体写：允许信息从写主体流向被写的客体执行：运行程序或文件控制：一个主体用来授予或撤销另一主体的对某一客体的访问权限的能力


16/109

对 TCB 的测评可以评估 TCB 的强度，目前最为典型的测评标准就是六国七方制定的通用准则标准 CC(Common Criteria) ISO/IEC 15408-1999 GB/T18336-2001 《信息技术安全技术信息技术安全性评估准则》

桔皮书（ TCSEC ） 1985英国安全标准 198

9德国标准法国标准

加拿大标准1993(CTCPEC)

联邦标准草案 1993ITSEC

1991 通用标准 CCV1.0 1996V2.0 1998V2.1 1999

2.1.2 TCB 的国际测评标准 CC


17/109

CC 定义了作为评估信息技术产品和系统安全性的基础准则，提出了目前国际上公认的表述信息技术安全性的结构 CC 源于 TCSEC （ TCSEC针对操作系统安全的安全功能单元进行评估）并改进了 TCSEC ，考虑了与信息技术安全性有关的所有因素它把安全要求分为规范产品和系统安全行为的安全功能要求以及如何正确有效的实施这些功能的安全保证要求 CC 的另一个核心思想是安全工程的思想，即通过对信息安全产品的开发、评价、使用全过程的各个环节实施安全工程来确保产品的安全性。评估对象（ Target of Evaluation简称 TOE ）：作为评估主体的

IT产品及系统以及相关的管理员和用户指南文档 CC 的评估结果受到技术水平的限制，比如漏洞检测能力等



18/109

CC 的特点通用性：即给出通用表达式；用户、 TOE开发者、评估者、认可者等目标读者，都使用 CC语言，则相互之间更容易理解沟通具有内在的完备性和实用性：见 PP 和 ST 的介绍 CC明确指出不在其范围的内容

行政管理的安全措施；信息技术安全性的物理方面；密码算法的质量 CC 评估的效益

CC评估过程对最初需求、开发过程、最终产品以及操作环境将产生强烈的积极影响评估过程能发现开发者可以纠正的 TOE错误或弱点，从而减少将来操作中安全失效的可能性另一方面为了通过严格的评估，开发者在 TOE 设计和开发时也将更加细心



19/109

CC 分为三个部分：简介和一般模型、安全功能要求、安全保证要求 CC 的第一部分：“简介和一般模型”

包括 CC 有关的术语、基本概念和一般模型以及与评估有关的一些框架；描述 CC 的每一部分对每一目标读者的用途；附录部分主要介绍保护轮廓 (PP) 和安全目标 (ST) 的基本内容

PP 是对某一类产品的安全保护说明，比如防火墙 ST 是在 PP 的基础上，通过将安全要求进一步针对性具体化，解决了这些要求的具体实现。比如面向安卓智能手机的防火墙



20/109

保护轮廓（ Protect Profile简称 PP ） : 满足特定用户需求、与一类 TOE 的实现无关的一组安全要求。 PP 是抽象层次较高的安全要求说明书， CC 对它的格式

有明确的规定它可以使用 CC 中定义好的组件或由这些组件构成的组

件包，同时，也可以使用自行定义的要求组件。在安全产品的开发过程中， PP 通常是在 ST 的定义中引

用。它应包括一个评估保证级别（ EAL ）



21/109

保护轮廓 (Protection Profile) 主要用于表达一类产品或系统的用户需求，主要内容：对该类产品或系统的界定性描述，即确定需要保护的对象（ PP引言和 TOE描述）确定 TOE 安全环境，即指明安全问题－需要保护的资产、已知的威胁、用户的组织的安全策略产品或系统的安全目的，即对安全问题的响应对策－－技术性和非技术性的措施信息技术 (IT) 安全要求，包括功能要求、保证要求和环境安全要求，这些要求通过满足安全目的，进一步提出具体在技术上如何解决安全问题基本原理，指明安全要求对安全目的、安全目的对安全环境是充分的且必要的以及附加的补充说明信息（ PP 应用注解）

保护轮廓 PP描述结构保护轮廓

PP

PP引言PP标识

PP概述TOE描述

TOE安全环境

假设

威胁

组织性安全策略

安全目的TOE安全目的

环境安全目的

IT安全要求 TOE安全要求

IT环境安全要求

TOE安全功能要求

TOE安全保证要求

PP应用注解

基本原理安全目的基本原理

安全要求基本原理



22/109

安全目标（ Security Target简称 ST ）：作为指定的 TOE 评估基础的一组安全要求和规范。在保护轮廓的基础上，通过将安全要求进一步针对性具体化，解决了要求的具体实现。常见的实用方案就可以当成“安全目标”对待。 ST 是一份安全要求与概要设计说明书，是进行 CC 评估的重要基础， CC 对它的格式有明确的规定。 ST 的安全要求定义与 PP非常相似，不同的是 ST 的安全要求是为了某一特定安全产品而定义的。 ST 包括一系列安全要求，可以通过引用一个（或多个） PP来定义，直接引用 CC 中的功能或保证组件，或明确说明，也可以采用与定义 PP 相同的方法从头定义。一个 ST 包含 TOE 的概要规范，安全要求和目的，以及它们的基本原理 ST 是所有团体间就 TOE 应提供什么样的安全性达成一致的基础

安全目标描述结构安全目标

ST

ST引言ST标识ST概述

TOE描述

TOE安全环境

假设威胁组织性安全策略

安全目的TOE安全目的环境安全目的

IT安全要求 TOE安全要求

IT环境安全要求

TOE安全功能要求

TOE安全保证要求

基本原理安全目的基本原理

安全要求基本原理

CC一致性声明

TOE概要规范

TOE安全功能保证措施

PP声明PP声明PP裁减PP附加项



23/109

CC 的第二部分：“安全功能要求” 提供了表示 TOE 安全功能要求的标准方法

对满足安全需求的诸安全功能提出了详细的要求，包含良好定义的且较易理解的安全功能要求目录，它将作为一个表示 IT产品和系统安全要求的标准方式。该部分按“类—族—组件”的方式提出安全功能要求。

共列出了 11 个类、 66 个族 (子类 ) 和 135 个安全功能组件另外，如果有超出第二部分的安全功能要求，开发者可以根据“类 -族 -组件 -元素”的描述结构表达其安全要求，并附加在其 ST 中



24/109

CC 的 11 个安全功能类：安全审计类 FAU 通信类 FCO( 主要指身份真实性和抗抵赖 ) 密码支持类 FCS 用户数据保护类 FDP 标识与鉴别类 FIA 安全管理类 ( 与 TSF 有关的管理 )FMT 隐秘类 ( 保护用户隐私 )FPR

前 7类安全功能是提供给信息系统使用的后 4类安全功能是为确保安全功能模块 (TSF) 的自身安全而设置的，可以看成是对安全功能模块自身安全性的保证。

TSF 保护类 (TOE 自身安全保护 )FPT 资源利用类 (从资源管理角度确保 TSF 安全 )FAU TOE 访问类 (从对 TOE 的访问控制确保安全性 )FTA 可信路径 / 信道类 FTP



25/109

CC 的第三部分：安全保证要求也称安全保障 (assurance)要求，它包括 : (1) 用以衡量保证级别的评估保证级别 (Evaluation As

surance Levels ： EAL) ，包含了 7 个递增的评估保证级。 EAL1 ：功能测试； EAL2 ：结构测试； EAL3 ：系统的测试和检查； EAL4 ：系统的设计、测试和复查； EAL5 ：半形式化设计和测试； EAL6 ：半形式化验证的设计和测试； EAL7 ：形式化验证的设计和测试。



26/109

(2) 用以组成保证级别的每个保证组件 (3) 以及 PP 和 ST 的评估准则

包含建立保证组件所用到的一个目录，它可被作为表示 IT产品和系统保证要求的标准方式 CC 第三部分也被组织为与第二部分同样的“类—族—组件”结构。

所谓“保证”就是对实现系统安全功能的保障，安全保障是对安全功能实现的措施安全功能是信息系统或 IT产品应该实现的安全策略和安全机制安全保证是通过一定的方法保证信息系统或 IT产品的安全功能得到确实的要求



27/109

CC 的第三部分是评估方法部分，提出了 PP 、 ST 、 TOE三种评估，共包括 10 个类，但其中的 APE类 (PP评估 )与 ASE类 (ST评估 )分别介绍了 PP 与 ST 的描述结构及评估准则 ; 维护类 AMA 提出了保证评估过的受测系统或产品运行于所获得的安全级别上的要求只有七个安全保证类是 TOE 的评估类别

ACM类：配置管理 ADO类：分发与操作 ADV类：开发 AGD类：指导性文档 ALC类：生命周期支持 ATE类：测试 AVA类：脆弱性评定



28/109

2.1.3我国的 TCB 测评标准 (1) 《计算机信息系统安全等级划分准则》

GB17859-1999参考 TCSEC编制的

(2) 《信息技术安全技术信息技术安全性评估准则》 GB/T18336-2001我国的 CC,几乎等同于 ISO/IEC 15408－ 1999 ，但对安全功能和安全保证技术的组件的看法不同目前使用的是 GB/T18336-2008


29/109

2.2 访问控制访问控制是指防止或者限制未经过授权而对任何客体进行的访问。 ( 控制主体对客体的存取 )

未授权访问包括未经授权的使用、泄漏、修改、销毁以及颁发指令等。访问控制直接支持机密性、完整性、可用性及合法使用的客体主体、客体和访问规则构成访问控制的三要素

访问控制的目标是对抗涉及信息系统非授权操作的威胁该目标在 ISO/IEC10181-3(开放系统互联，开放系统的安全框架 :

“ 访问控制框架” ) 部分进行了描述它决定了开放系统环境中允许 / 限制 /禁止使用哪些客体，并如何阻止未授权访问的问题。

在访问控制中，访问可以对一个系统 (即对一个系统通信部分的一个实体 ) 或在一个系统内部进行

第二章安全控制原理2.2 访问控制

30/109

访问控制是信息系统安全控制的主要内容，包括 3 个任务 (1) 确定存取权限 (读、写、执行、删除、追加等存取方式的组合 ) ，

(即有哪些种类的存取操作被允许 ) (2) 实施存取权限 (授权 ) (3) 控制外界对系统存取 ( 对访问的控制 )

访问控制主要涉及如下四类情况对数据、不同进程或其他计算资源进行处理 ( 可以是人类行为或其他进程 ) 的访问控制一个安全区域内或者多个安全区域之间的访问控制根据上下文 ( 与环境参数有关 ) 进行的访问控制对访问过程中的授权变化作出反应的访问控制

2.2 访问控制第二章安全控制原理2.2 访问控制

31/109

1) 访问控制的一般模型如图所示，该模型表示主体试图访问一些客体

在访问控制机制中，通常由发起者提出访问目标的请求，系统根据决策规则由实施功能对访问请求进行分析、处理，在授权的范围内，允许发起者对目标进行有限的访问访问请求是指读、写、执行、控制等操作请求

访问控制实施模块

访问控制决策模块

主体(访问发起者)

客体(资源)

2.2.1 访问控制的一般原理第二章安全控制原理2.2 访问控制

32/109

模型中包含一个实施功能模块和决策功能模块实施功能模块执行访问控制机制决策功能模块表示一组访问控制规则和策略

决策功能控制着主体的访问许可限制其在何种条件下，为了什么目的，可以访问哪些客体这些决策以某一访问控制策略的形式反映出来

两种功能模块分别可由一个或多个访问控制组件构成访问控制实施功能配置在每个主体－客体实例之间，以便主体通过访问控制实施功能作用于客体访问决策功能组件可以配置在访问控制实施功能组件中访问控制实施功能组件可使用一个或多个访问决策功能组件


访问控制实施模块

访问控制决策模块

主体(访问发起者)

客体(资源)

33/109

访问控制组件的分布主要有以下几种： ① 客体上使用访问控制组件

由在客体端部署的访问控制来检查访问请求是否被允许 ② 在本地对主体使用访问控制组件

在主体端部署的访问控制机制对主体访问安全区域进行控制，比如是否能够访问外网，而不管访问的客体是什么 ③ 在主体和客体之间对访问使用访问控制组件。

访问控制实施功能插在主体和客体之间。插入访问控制实施功能可强加访问控制策略。这些访问控制策略可以独立于主体和客体安全区域访问控制策略 ④ 跨多个安全区域的访问组件分布

安全区域之间可以建立某种联系，使得一个安全区域的资源可被另外的安全区域所访问


34/109

2 ）粒度与容度粒度是指：访问控制策略可在不同级别上定义客体

例如，可以对数据库服务器的访问控制作为整体进行控制，也就是说，要么完全拒绝主体访问，要么允许它访问服务器上的任何东西另一种策略是，可以将访问控制细分到个人文件、文件中的记录，甚至记录中的数据条目。

容度用来控制对客体组的访问只有能对一个包含客体的客体组进行访问时，才允许对客体组内的这些客体进行访问容度也用在大群组里包含的主体的子群组。通常情况下，容度概念用在互相关联的客体中例如，要访问数据库记录中的数据条目，首先必须要有访问该数据库的权力，


35/109

3 ）访问控制类型从不同角度出发，访问控制可以有不同的分类方法 1) 阻止非授权用户访问客体在该类型下，访问控制可以分为过滤和分离两种类型。

过滤是通过检查主体是否被准予请求的方式访问客体，访问请求可以到达客体，但是否被过滤由主体的访问权限来确定。分离是防止此授权用户有机会去访问敏感的客体。路由控制可以看成一种通信访问控制的格式，它是一个支撑分离的访问控制机制。比如隔离机制

2) 自主式策略和强制式策略自主式策略就是由客体的属主自主决定将该客体的相应的访问权限转授给其它主体的访问控制策略。强制式策略被最终的权威机构采用和执行，无法绕过，它基于能自动实施的规则


36/109

2.2.2 基本访问控制模型主要按照访问控制决策功能模块实现的不同来分类

基本访问控制模型有访问控制矩阵 (ACM)

访问目录表 (针对主体建立 )

访问控制表 ACL(针对客体建立 )

高级的访问控制模型能力机制 (更细粒度的访问控制，制定对客体操作的某一权力 )

面向过程的访问控制 ( 设立保护层，对客体的访问必须经过专门的代理 )


37/109

1. 访问控制矩阵 ACM 访问控制矩阵 (access control matix ， ACM ) 模型的基本思想就是将所有的访问控制信息存储在一个矩阵中集中管理。当前的访问控制模型一般都是在它的基础上建立起来的。访问控制矩阵中，行代表主体，列代表客体，每个矩阵元素说明每个用户的访问权限。如表 3.1 ， O属主， R只读， W只写， X执行访问控制矩阵 ACM 是稀疏的，空间浪费较大，在操作系统中使用不多。适用于主体集合和客体集合之间每个主体对应 50% 以上客体的情况；在数据库管理系统中较常见

FILE1 FILE2 FILE3 FILE4USER-A ORW OX RUSER-B R EUSER-C RW ORW RWUSER-D X O

2.2.2 基本访问控制模型第二章安全控制原理2.2 访问控制

38/109

2. 访问目录表实际上是按访问控制矩阵的行实施对系统中客体的访问控制

在系统中把用户分为系统管理员、文件主 (拥有者 ) 和一般用户

系统管理员具有最高的权限。他可以为用户分配或撤销文件的访问权，也有权把自己文件的访问权分配给其他用户或将其收回

A

用户U1目录

文件名权限

OR

B OX

C R

D

C

用户U2目录

ORW

D RW

B RW

文件名(客体) O: OwnerR: Read W: WriteX: Execute

A

B

C

D

访问目录表示例

本列说明每一个文件有哪些用户可以访问通常为每个用户建立一张访问目录表，其中存放有权访问的文件名及其访问权限 ( 如图 )


39/109

访问目录机制容易实现，但存在三个问题需要解决 (1)共享客体的控制

共享客体会存入每个用户的目录表中，如果共享的客体太多 ( 如子程序库 ) ，用户的目录表将会很长，增加了处理时间 (2) 访问权的收回问题。

若允许信任关系传递，客体的访问权会被多次转授，最初的用户希望收回所有用户对该客体的访问权时，必须搜索所有用户的目录表，如果系统中用户数量较大，将要花费很多时间 (3) 多重许可权问题。文件重名问题可引起此问题

乙用户将甲用户转给他的 A 文件改名存储后忘记了，过了一段时间又向甲用户申请 A 文件的访问权，甲可能对乙更加信任，就把A 文件更高的访问权授予乙，于是造成乙用户对甲的 A 文件有多重访问权的问题


40/109

3. 访问控制表 ACL按 ACM矩阵的列实施对系统中客体的访问控

制访问目录表和访问控制表分别将访问控制设施

设置在用户端和客体端，这两种控制方式需要管理的表项的总数量是相同的，它们的差别在于管理共享客体的方法上，访问控制表技术易于实现对共享客体的管理。


41/109

每个客体都有一张 ACL ，用于说明可以访问该客体的主体及其访问权限。对某个共享客体，操作系统只要维护一张 ACL即可。 ACL 对于大多数用户都可以拥有的某种访问权限，可

以采用默认方式表示 ( 通配符 ) ， ACL 中只存放各用户的特殊访问要求。这样对于那些被大多数用户共享地程序或文件等客体就用不着在每个用户的目录中都保留一项

如“ *E” 就表示任何客体都可以执行该客体客体i id1RW id2RE ... *E

ACL表的一般结构


42/109

4. 能力机制实际有这样的需求：主体不仅应该能够创立新的客体，而且还应该能制定对这些客体的操作权限，即客体权限的动态变化

比如主体对客体的访问权限因不同的上下文环境而不同由 Dennis 和 Van Horn 提出的能力机制是可以满足这些要求的更高的访问控制机制能力的最基本形式是对一个客体的访问权力的索引

他的基本内容是每一个”客体 - 权力”对被认为是一个单独的实体。如果一个主体拥有这个”客体 - 权力”对，就说这个主体拥有访问该客体某项权力的能力。能力机制需要结合访问控制表 ( 或 ACM)技术实现， OS将根据访问控制表来为主体创建能力，能力应存储在用户程序访问不到的区域。


43/109

主体具有的能力是一种权证，类似“入场券”，是在用户向系统登陆时，由操作系统赋予的一种权限标记，它不可伪造，用户凭借该标记对客体进行许可的访问。

能力机制的显著优点是更容易提供给主体对客体的多重访问权限，因为主体可以有不同的能力，而这些能力可以对某个客体有不同的访问权限，这样就容易实现一个主体在不同的进程中对一个客体不同的访问能力。不过，虽然能够直接判断一个主体是否拥有某种能力，但不能直接得到主体、客体间的关系，这样不断追加能力后，再对其进行修改就变得比较困难。


44/109

5.面向过程的访问控制是指在主体访问客体的过程中对主体的访问操作进行监视与限制。例如只有“读”权的主体，就要控制它不能对客体进行修改

不仅要控制主体是否有“读”的权限，还要控制怎么“读”操作要实现面向过程的访问控制就要建立一个对客体访问进行控制的过程，该过程能够自己进行用户认证，以此加强 OS 的基本认证能力该访问控制过程实际上是为被保护的客体建立一个保护层，它对外提供一个可信赖的接口，所有对客体的访问都必须通过这个接口才能完成例如，操作系统中用户的帐户信息 ( 其中包含用户口令 ) 是系统安全的核心文档，对该客体既不允许用户访问，也不允许一般的操作系统进程访问，只允许对用户帐户表进行增加、删除、与核查三个进程对这个敏感性的客体访问。这三个进程就是保护层，在控制面板中


45/109

访问控制矩阵、访问目录表、访问控制表、能力机制和面向过程的控制等五种访问控制机制的实现复杂性是逐步递增的实现能力机制需要对每次访问进行检查而访问目录表方式实现比较容易，它只需要在主体对客体第一次访问时进行检查。

实现复杂的保护方式提高了系统的安全性，但降低了系统的响应速度，安全和效率之间需要平衡


46/109

下面介绍和分析几种被广泛接受的主流访问控制技术 ( 包括权限管理、策略模型等等 ) ，包括自主访问控制 DAC

强制访问控制 MAC

基于角色的访问控制 RBAC


47/109

2.2.3 自主访问控制技术自主访问控制机制 DAC 是目前使用最普遍的访问

控制机制。是自主访问控制策略的实施方法。定义：

由客体的属主对自己的客体进行管理。由属主自己决定是否将自己客体的访问权和部分访问权授予其他主体，这种可能告知方式是自主的，称为自主访问控制 (discretionary access ， DAC)

在自主访问控制下，一个用户可以自主选择哪些用户可以共享它的文件。


48/109

访问控制矩阵是实现 DAC 策略的基本数据结构基于行的访问控制（访问目录表）

由于存在着多方面的缺点，很少使用基于列的访问控制机制

有两种实现方式：保护位方式和访问控制表方式，分述如下：

1. 保护位机制保护位 (protection bit) 对所有主体、主体组以及该客体的拥有者指定了一个访问权限的集合

第二章安全控制原理2.2 访问控制2.2.3 自主访问控制技术

49/109

UNIX利用了这种保护位机制。如某个文件，指定其访问权限的集合为只读和执行，则

所有主体、主体组以及该客体的拥有者只能进行只读和执行的操作，除非拥有者改变其权限

当然实际上 UNIX 系统的保护位要比以上稍微细致一些，文件权限有三位组成， 1位读， 2位写， 3位执行，构成的数字有三部分第 1 部分属主的权限，第 2 部分同组人权限，第 3 部分其它人权限。如属主可读写执行，同组人读执行，其它人读则是 754

由于保护位的长度有限，用这种机制完全表示访问矩阵实际上是不可能的。一般很少用

2.2.3 自主访问控制技术第二章安全控制原理2.2 访问控制

50/109

2. 访问控制表机制在访问控制机制中每个客体附带了访问矩阵中可访问它自己的所有主体的访问权限信息表 (即 ACL表 ) 。该表中的每一项包括主体的身份和对该客体的访问权。主体与客体数量非常多时， ACL表将变得很长占用存储空间，降低性能

id1RW表示 id1 对客体 i 具有读 R 和写W 的权限如果利用组或通配符的概念，可以使 ACL表缩短。各种访问控制技术中， ACL 是实现批策略的最好方法

客体i id1RW id2RE ... idnE

ACL表的一般结构


51/109

图 3.4 是采用通配符和主体组概念的 ACL表结构示意图

从该表可以看出属于它 Math组的所有成员对客体 FILE1 都具有读与执行权；只有 Liwen 个人对 FILE1 有读、写与执行的访问权限。任何组的用户 Zhang 对 FILE1 有读访问权除此之外，对于其他任何组的任何主体对 FILE1 都没有任何访问权限。

从这个例子可看出，利用分组与通配符的方法确实显著地减少了表的空间，而且也满足了访问控制地需要

客体FILE1 Liwen. Math.REW *.Math.RE Zhang*.R *.*null

带通配符的ACL表的一般结构


52/109

3. 访问许可权与访问操作权在 DAC 策略下，访问许可 (access permission) 权和访问操作权是两个有区别的概念。访问操作表示有权对客体进行一些具体操作，如读、写、执行等访问许可则表示可以改变访问权限的能力或把这种能力转授给其他主体的能力。如改变该客体的 ACL表及这种权力的转授。简而言之，许可权是主体对客体 (也可以是另一主体 )的一种控制能力，访问权限则是指对客体的操作。

在一个系统中不仅主体对客体有控制关系，主体与主体之间也有控制关系，这就涉及许可权限的管理问题。这个问题很重要，因为它与 ACL表的修改问题有关。


53/109

DAC 机制的缺点 1.允许用户自主地将自己客体访问操作权转授给其他主体，多次转授后，可能因转授给了不可信实体而导致客体信息泄漏 2.无法抵御木马攻击。用户可以任意运行程序来修改自己文件的访问控制信息，系统无法区分修改来自用户还是木马 3.无法防止木马利用共享客体或隐蔽信道把信息从一个进程传送给另一个进程 4. 用户无意或不负责任的操作而造成敏感信息的泄漏

DAC 不适合高安全性系统，而强制访问控制机制 MAC(mandatory access control) 可以有效解决以上问题


54/109

2.2.4 强制访问控制技术 1. MAC 机制的实现方法

(1) 访问控制策略要符合 MAC 的原则对客体访问权的修改和对该访问权的控制权的转授交给系统权利最高和最受信任的安全管理员。系统安全管理员修改、授予或撤销主体对某客体的访问权的管理要受到严格审核与监控

(2) 对主体和客体进行安全标记系统中每一主体和客体必须分配一个安全属性，包括敏感等级和访问权限必须采取固定措施使安全标记不可随意修改设置必要的不可更改的访问限制规则

(3)创建客体要受到严格控制可以阻止某个进程通过创建共享文件的方式向其它进程传递信息


55/109

MAC 的适用场景主要针对专用和军用系统及网络 TCSEC 中从 B1级开始考虑MAC ， B2级要

求更为严格，也是军用要求的最低级通用系统一般以 DAC 为主，适当增加 MAC

如： UNIX 、 Linux 、 Win2000 等

2.2.4 强制访问控制技术第二章安全控制原理2.2 访问控制

56/109

2.支持MAC 的措施除了部署MAC 机制，还需要管理控制措施支持

防止恶意程序 (木马等 ) 通过窃取访问权或隐蔽信道获取敏感信息

(1)防止恶意程序从外部进入系统尽量避免 USB 、 CD 、网络下载 download 、或安装不干净软

件严防缓冲区溢出漏洞

(红色代码：利用微软的 IIS4.0 或 5.0存在的缓冲区漏洞装入木马 )

谨慎或不使用远程登陆加强多方位的管理，即使采用正版软件也不一定可靠


57/109

(2)消除利用系统自身的支持而产生木马的可能性即使在 MAC 下，合法用户也可以利用自己的权限在系

统编程工具的支持下编写木马去掉编程工具，命令处理器等防止木马通过网络接口从另一个有编程能力计算机系统装入本

机系统对于商用的通用系统没有太好办法对于专用计算机系统则可实现， ( 不需要用户开发，军队指挥网络、银行事务处理系统等 ) ，物理隔离


58/109

2.2.5 基于角色的访问控制技术 Internet 的广泛应用使网上信息的完整性要求超过了机密性要求，而 DAC难以提供这方面支持。 1992 年， David Fe

rraiolo 和 Rick Kuhn 提出基于角色的访问控制模型框架 RBAC(role-based access control)

1. RBAC 的基本概念在商业部门中，终端用户不拥有所能访问的信息，这些信息由公司所有。此时访问控制应该基于职员的职务而不是基于信息的拥有者

即访问控制是由各个用户在部门中所担任的角色来确定的。例如：员工、经理、财务、网管、老板…

RBAC 的优点是简化了各种环境下的授权管理基本元素包括用户、角色和权限。所谓角色是指一个或一群用户在组织内可执行的操作的集合，是主客体之间的桥梁


59/109

RBAC 的原理核心思想：将访问权限分配给角色，系统的用户担任

一定的角色与用户相比角色是相对稳定的，对角色授权

用户A

用户B

用户C

用户D

用户E

医生

护士

药剂师

DD={诊断病情，开处方，给出治疗方案，填写医生值班记录}

DN={换药，填写护士值班记录}

DP={配药，发药}

用户角色权限

2.2.5 基于角色的访问控制技术第二章安全控制原理2.2 访问控制

60/109

角色由系统管理员定义只有系统管理员有权定义和分配角色一个人可以在同一部门中担任多种职务，担任相同职务

的也可以不止一人用户、角色、操作与客体之间关系

成员资格用户1

用户2

用户3

客体1

客体2

角色1成员资格

成员资格

操作1

操作2


61/109

2. RBAC 96 模型 Ravi Sandhu 等人于 1996 年提出了著名的 RBAC96 模

型该模型是一个模型簇，包括四个子模型

RBAC0 ， RBAC1 ， RBAC2 ， RBAC3

RBAC0 是基本模型，描述任何支持 RBAC 的系统的最小要求，包含四个基本要素：用户、角色、会话和访问权限用户在一次会话中激活所属角色的一个子集，获得一组访问权限，即可对相关客体执行规定的操作

任何非显式授予的权限都是绝对禁止的


62/109

RBAC1 是对 RBAC0 的扩充，增加了角色等级的概念实际组织中职权重叠现象客观存在通过角色等级，上级角色继承下级角色的访问权限，再被授予自身特有的权限构成该角色的全部权限，方便权限管理如销售部经理有销售部职员的访问权限，同时还具有普通职员

不具备的权限，如制定销售计划等。


63/109

RBAC2也是对 RBAC0 的扩充，但与 RBAC1不同， RBAC2 加进了约束的概念职责分离机制，如在一个组织中，会计和出纳不能由同一个人担当。

RBAC2 的约束规则主要有以下内容最小权限。用户被分配的权限不能超过完成其职责所需的最小权限，否则会导致权力滥用

互斥角色。一个用户最多只能属于一组互斥角色中的某一个，否则破坏职责分离

权限分配也同样有互斥约束，同一权限只能授予其中之一


64/109

基数约束与角色容量基数约束是指：分配给一个用户的角色数目以及一个角色拥有的权限数目作为安全策略加以限制角色容量是指：一个角色对应的用户数，它也有限制，如总经理只能由一人担当

先决条件一个用户要获得某个角色必须具备某些条件

如总会计必须是会计一个用户必须先拥有某一权限才能获得另一权限，

如文件系统中先有读目录的权限，才能有写文件的权限


65/109

RBAC3 是 RBAC1 和 RBAC2 的结合将角色等级和约束结合起来就产生了等级结构上的约束

等级间的基数约束。给定角色的父角色 (直接上级 )或子角色(直接下级 )的数量限制

等级角色的互斥。两个给定角色是否可以有共同的上级角色或下级角色。特别是两个互斥角色是否可以有共同的上级角色，如一个项目小组中程序员和测试员是互斥角色，那么项目主管角色如何解释 (它是程序员和测试员的上级 )

RBAC0基本模型

RBAC1角色等级

RBAC2约束

RBAC3等级间的基数约束与互斥


66/109

3.RBAC97 模型 (Administration RBAC model) RBAC96 中只有一个系统管理员 SO 进行系统安全策略

和管理而大系统中，用户和角色众多，通常制定一组 SO ：如首席安全员 CSO 、系统级安全员 SSO 、部门级安全员DSO 等，因此提出了 RBAC96 的管理模型 RBAC97 (1) 用户－角色分配管理。描述管理角色如何实施常规角色的用

户成员分配与撤销问题。 (2) 权限－角色分配管理。讨论常规角色访问权限的分配与撤销

问题 (3)角色－角色分配管理。讨论常规角色的角色成员分配规则以

及构成角色等级的问题


67/109

4. NIST RNBAC 建议标准 2001 年 8月 NIST发表了 RBAC 建议标准，包括两个部分： RBAC参考模型和功能规范

参考模型定义了 RBAC 的通用术语和模型构件，界定了标准所讨论的 RBAC领域范围。功能规范定义了 RBAC 的管理操作。

RBAC参考模型和功能规范 ,均包括四个部分 (1) 基本 RBAC(core RBAC) 包括任何 RBAC 系统都应具有的要素，如用户、角色、权限、会话等，基本思想是通过角色建立用户和访问权限的多对多关系，用户由此获得访问权限 (2) 等级 RBAC(hierarchical RBAC). 在基本 RBAC 上增加对角色等级的支持。角色等级是一个严格意义上的半序关系，上级角色继承下级角色的权限，下级角色获得上级角色的用户。


68/109

(3)静态职责分离 (static separation of duties,SSD).用于解决角色系统中潜在的利益冲突，利益冲突源于用户被授予相互冲突的角色发生互斥，角色只取其一

(4)动态职责分离 (dynamc separation of duties,DSD) 。限制可提供给用户的访问权限，实现机制不同，DSD 在用户会话中对可激活的当前角色进行限制。用户可被授予多个角色，包括有冲突的角色，但它们不能在同一个会话中被激活。允许存在互斥，但不能在同一个会话中同时被激活

(3) 和 (4)实际上是约束的概念


69/109

5. RBAC 的特点 (1) 以角色作为访问控制的主体 (2)角色继承。很自然的把角色组织起来，能够反映组织内部人员之间的职权、责任关系

(3)最小特权原则 (least privilege theorem).最小特权原则是系统安全中最基本的原则之一。是指“在完成某种操作时赋予网络中每个主体 ( 用户或进程 )的必不可少的特权”，也可以限制拥有最高角色的主体按需运用，避免无意错误或入侵伪造


70/109

(4)职责分离 ( 主体与角色分离 ) ，对于某些特定的操作集，某个角色或用户不可能同时独立完成所有这些操作。可以有静态和动态两种方式静态职责分离：只有当一个角色与用户所属的其他角色彼此不互斥时，这个角色才能授权给该用户动态职责分离：只有当一个角色与一个主体的任何一个当前活跃角色都不互斥时，该角色才能成为该主体的另一个活跃角色

(5)角色容量。在创建新角色时，要制定角色的容量。在一个特定的时间段内，有一些角色只能由一定人数的用户占用


71/109

RBAC 的优点：便于授权管理 ; 便于根据工作需要分级便于赋予最小特权 ; 便于任务分担便于分级管理 ; 便于大规模实现 RBAC灵活的表达和实现了企业的安全策略，使权限管理可以在企业的组织视图这个较高的抽象集上进行简化了权限设置的管理，很好的解决了企业管理信息系统中用户数量多、变更频繁的问题

RBAC灵活性、方便性和安全性的特点，广泛应用于大型数据库系统的权限管理，但仍处于发展阶段，有待进一步提高对复杂环境的管理问题


72/109

2.3.1 信息流的一般概述信息流是由主体发起的对客体进行操作而产生的

主体对客体的操作会改变客体的状态，进而产生了信息的流动一般而言可执行语句都会产生信息的流动，并改变系统的状态，如交换两个内存单元的数据主体、信息 ( 客体 ) 、引起受控信息流入、流出策略覆盖的受控主体的操作称为信息流控制的三要素

在信息系统中引起信息的流动的方式可分为两类：请求访问方式

客户作为主体向服务器发出访问请求，由服务器进程代替客户进程实现对指定数据的访问操作 , 包括：读、写、运算处理、或它们的组合信息交换方式

主要出现在以网络连接的各个计算机节点之间的数据交换。首先建立连接，经确认身份后可进行数据交换

第二章安全控制原理2.3 信息流控制

73/109

信息的流动区域：本机：如从外存储器调入到内存网络：本地网络 (局域网中的客户端访问服务器 ) 、远程网络 (Internet邮件 )

从 CC观点看信息的流动可归结为三种：信息在信息系统内部 ( 评估对象 TOE 的内部 ) 流动从信息系统外部流向内部，可理解为向系统“写” 从内部流向外部，可认为是从信息系统中“读”

只要信宿客体确实知道了信源客体中的某些信息，就说明有信息流存在

2.3.1 信息流的一般概述第二章安全控制原理2.3 信息流控制

74/109

信息流可能表现为两种方式：显式流：是指生成这个流操作不依赖于变量的值

如赋值语句、 I/O语句显式流有两种形式：

直接信息流，如赋值，信源客体 y中的数据直接流向信宿客体 x；间接信息流，信息流通过了一个中间的变元。如 "z:=x; y:=z”

隐式流：是指操作要依赖于变量的值如条件语句 y:=1； If x=0 then y=0

结果无论 then 是否执行都有 x=y


75/109

2. 信息流的信道信息沿着三种信道流动 (1) 正规信道 legitimate channels ：是指通过设计者制定的信息传送渠道在程序或进程间传送信息

该类信道的安全防护最简单 (2)存储信道 storage channels ：是指由多个进程或程序共享的客体，如通过共享文件或程序中的全局变量传递信息

防护困难，每一客体 ( 文件、变元和状态比特 ) 都需要保护 (3)隐蔽信道 covert channels ：是指不被设计者或用户所知道的泄漏系统内部信息的信道，例如通过观察某个进程的操作规律，判断这个进程在干什么

唯一技术解决办法是要求作业事先说明它们的资源，所求的资源都交给作业控制，即使作业未完，系统也必须精确地在制定时间内把这些资源收回完全封闭该信道是不可能的


76/109

2.3.2 信息流的控制机制 1. 系统的信息安全性状态

系统中的信息可以按照相应的安全属性 ( 机密性、完整性等 ) 的敏感程度将其分成不同的安全等级，同一安全等级的信息称为一个安全类 SC(security class)

系统的信息安全性状态是由系统中每一个客体的值和安全类描述的，简称安全状态。客体 x 的安全类可表示为 SC(x) 对于固定类的客体，在 x 的生命期中， SC(x)都是常数，称为

x 的静态约束对于可变类的客体， SC(xs)依赖于 xs，称为 x 的动态约束

第二章安全控制原理2.3 信息流控制

77/109

2. 信息流控制策略信息流控制策略与对所要保护的信息流的安全属性密切

相关从对信息流的机密保护出发，对于给定客体 x 和 y ，要

保证此信息流安全的条件是：信息从 x 流到 y 是授权的，当且仅当 SC(x)SC(y) ，即信息流

不能流向低安全级处从完整性角度考虑，则应该是相反的策略，要保证信息

流的完整性的条件是：信息从 x 流到 y 是授权的，当且仅当 SC(x)SC(y) ，即信息流

不能流向高处

2.3.2 信息流的控制机制第二章安全控制原理2.3 信息流控制

78/109

3. 信息流控制机制信息流控制机制是指对信息流安全控制的实现方法与技术。有两种设计和实施方法：

一是在编译时刻就对程序安全性进行检查与验证的机制二是把对信息流的安全性的验证与检查放到执行时刻进行

利用程序正确性证明技术去验证程序的安全性，这种方法可以给出一个更为精确的安全性实施机制。

2.3.2 信息流的控制机制第二章安全控制原理2.3 信息流控制

79/109

2.4.1 安全模型概述安全策略

安全策略是指一组有关管理、保护和发布敏感信息的法律、规定和实施细则。安全模型是为实现安全策略服务的

安全策略分类：一般的，操作系统的安全需求主要包括机密性、完整性、可追究性 (accountability) 、可用性 (availability) 等，所以基于系统安全的定义和内涵可将系统的安全策略分为两大类 : 访问控制策略：反映系统的机密性和完整性要求，它确立相应的访问控制规则访问支持策略：反映系统的可追究性和可用性要求，它以支持访问控制策略的面貌出现 ( 如：一种安全机制正确执行的保障机制，如审计、防病毒等 )

第二章安全控制原理2.4 安全模型

80/109

系统安全的内涵所谓一个系统是安全的，就是指系统的实现达到了当初设计时所制定的安全策略

在系统安全设计中，达不到预想的安全性通常有两个原因 1. 系统的安全控制中有漏洞

通过与技术相关的软件工程手段来解决 2. 与系统安全策略的定义和描述有关

通过定义精确的安全模型来解决安全策略模型

是指如何用形式化或者非形式化的方法来描述安全策略典型的安全策略模型有三种，他们是描述安全模型的理论基础

状态机模型、访问控制模型、信息流模型

2.4.1 安全模型概述第二章安全控制原理2.4 安全模型

81/109

(1)状态机（ State Machine ）模型系统所有可能的状态和所有可能的状态之间转换构成状态机模型处于特定时刻系统的快照便是一种状态 (State) ，如果这种状态满足安全策略的要求，我们就可以认为它是安全的许多活动会导致系统状态的改变，称之为状态转换（ St

ates transaction ），如果这些活动都是系统所允许而且不会威胁到系统安全的，则系统执行的便是安全的状态机模型（ Secure State Machine ）。一个安全状态机模型总是从安全的状态启动，并且在所有状态的转换中保证安全，并只允许行为的实施者以符合安全策略要求的形式去访问资源。


82/109

(2) 访问控制模型访问控制模型将系统的安全状态表示成一个大的 ACM矩阵在实际应用中由于访问矩阵多位稀疏矩阵，常用能力表或访问控制表取代 ACM 访问控制模型是状态机模型的变形状态变量包括主体和客体集状态转移函数描述访问矩阵及相关变量的变化

描述系统安全状态的另一个方法是从主体与客体的安全属性的角度来进行’主体对客体的访问是通过比较它们的安全属性来决定 !


83/109

(3) 信息流（ Information flow ）模型是访问控制模型的具体化，在这个模型中，信息的传递被抽象成流的形式。信息流模型由对象，状态转换和信息流策略所组成，其中

的对象可以是用户，每个对象都会根据信息流策略分配一个安全等级和具体化的数值。

信息流不单可以处理信息流的流向，同时它还可以处理信息流的种类——在 BLP 模型中，信息流模型处理的便是保密性，而在 Biba 模型中信息流所处理的则变成完整性。

信息流模型主要用于防止未授权的、不安全的或受限制的信息流动，信息只能够在安全策略允许的方向上流动


84/109

安全模型基于给定的安全策略模型对安全策略的具体描述就构成了安全模型安全模型就是对安全策略所表达的安全需求的简单、抽象和无歧义的描述，它为安全和实现机制之间的关联提供了一种框架 (什么样的安全需求，应采用什么样机制 )

安全模型描述了对某个安全策略需要用哪种机制来满足；特别是安全模型在实现对信息的安全属性的保护方面具有指导意义，不同属性针对的目标不同

可用性、不可否认性、可控性是信息利用的安全可追究性是对信息使用主体的责任机密性和完整性是最为重要的属性，而二者又存在冲突


85/109

安全模型的目的就在于明确地表达了系统的安全需求，为设计开发安全系统提供方针状态机模型和信息流模型的进一步具体化就得到了具体的安全模型

安全模型的种类：具体安全模型的发展是随着人们对保证信息资产的三个元素：保密性，完整性和可用性（ CIA ）认识的顺序逐渐出现的

首先是针对保密性的 BLP 模型针对完整性的 Biba 模型和 Clark-Wilson 模型针对可用性等服务的研究中出现了访问控制矩阵 (表 ) 模型、 Chin

a Wall 模型、 Lattice 模型等等


86/109

比较有名的安全模型主要有如下几种： (1) BLP 模型

既是状态机模型，也是信息流模型，针对保密性 (2) Lattice 模型

BLP 模型的扩展，既是状态机模型，也是信息流模型，针对保密性 (3) Biba 模型

状态机模型，针对完整性


比较有名的安全模型主要有如下几种： (4) Clark-Wilson 模型

状态机模型，针对完整性 (5) 非干涉模型

状态机模型，针对业务流的机密性 (6) Brewer 和 Nash 模型

也称 China Wall 模型，访问控制模型 (7) Graham-Denning 模型

访问控制模型

87/109

2.4.2 BLP 模型 1. 模型介绍

Bell-LaPadula 模型，简称 BLP 模型，是 D.ELLiott Bell Leonard J.LaPudula 于 1973 年提出的适用于军事安全策略的计算机操作系统安全模型，它是最早、也是最常用的一种计算机多级安全模型之一。

BLP 模型是最有名的关于机密性保护的多级安全策略的数学模型，用于定义安全状态机的概念、访问模式以及访问规则，所以常把多级安全概念与 BLP 模型等同。 BLP 中的主体：能发起行为的实体，如进程； BLP 中的客体：被动的实体，主体行为的承担者，如数据、文件等


88/109

BLP 中的操作： r(只读 ) 、 w(读写 ) 、 a(只写 ) 、 x(执行 ) 以及 c( 控制 ) 等其中 c 是指该主体用来授予或撤销另一主体对某一个客体的访问权限能力。

系统中用户具有不同的访问级（ clearance ） ( 一般指密级 ) 系统处理的数据也有不同的类别（ classification ） ( 指信息类 )

信息分类决定了应该使用的处理步骤。这些分类合起来构成格（ lattice ）

BLP首先是一种状态机模型，模型中用到主体、客体、访问操作（读、写和读 /写）以及安全等级。主要任务是定义使得系统获得“安全”状态的集合。检查所有状态变化始于一个“安全状态”，并终止于另一个“安全状态”。

BLP也是一种信息流安全模型，严格控制信息流向。

2.4.2 BLP 模型第二章安全控制原理2.4 安全模型

89/109

BLP 模型的安全策略包括两部分：自主安全策略和强制安全策略，二者结合自主安全策略使用一个 ACM 访问矩阵表示强制安全策略包括“简单安全特性”和“ * 特性”

系统对所有主体和客体都分配一个访问类属性，包括主体和客体的密级和范畴，系统通过比较主体与客体的访问类属性控制主体对客体的访问

自主安全策略的实施是在满足强制安全策略前提下才能进行的


90/109

BLP形式化的定义了系统、系统状态以及系统状态间的转换规则； BLP 模型定义了安全概念；制定了一组安全特性

基本安全定理以上的形式化定义对系统状态和状态转换规则进行限

制和约束，使得对于一个系统而言，如果它的初始状态是安全的，并且所经过的一系列规则转换都保持安全，那么可以证明系统是安全的。


91/109

元素集元素说明

S (S1, S2, …, Sn) 主体，进程

S¢ S的子集受*特性控制的主体

Sr S-S¢ 可信主体

O (O1, O2, …, Om) 客体：数据、文件等

C (C1, C2, …, Cq)(C1>C2>…>Cq) 密级

K (K1, K2, …, Kr) 范畴

L (L1, L2, …, Lp)L=(Cj, K) 安全级

A r w e a 访问属性

RA (g, r)请求元素g：get，give

r：release，rescind

R

请求51

)(

i

iR 其中

R(1)=RA×S×O×AR(2)=S×RA×S×O×AR(3)=RA×S×O×LR(4)=S×OR(5)=S×L

R(1) ：请求get/release访问R(2) ：请求give/rescind访问

R(3) ：请求产生一个新的客体R(4) ：请求删除一个客体R(5) ：请求改变安全级

D (yes, no, error) 判定

T {1, 2, …, t, …} 时刻

F

访问类函数fs：主体安全级函数fo：客体安全级函数fc：主体当前安全级函数

FÍLS×LO×LC

任意一元素记为f=(fs, fo, fc)

X RT，其中X中的任一元素记为x 请求序列

Y DT，其中Y中的任一元素记为y 判定序列

M M1, M2, …, Mmax 访问矩阵

VP(S×O×A)×M×F

状态V中的任一元素记为v

Z VT，其中Z中的任一元素记为z 状态序列

2. 模型元素 BLP 对模型中涉及的元素进行了数学形式上的定义

1) 模型元素的意义 ( 如图 )

92/109

2) 安全系统的定义在信息系统中，主体对客体的访问应该遵循下面的过程：

在系统的某个状态下，主体 (S) 对当前客体 (O)发起访问的请求(R) ，而系统应该判定 (D)此种访问的请求 (R) 是否可以实施。访问请求 (R)包含了访问属性：只读 (r)、读写 (w)、只写 (a)和执行 (x)

系统识别当前主体的保密级别和相应的范畴集：识别当前客体的树型结构。对于给定的一个请求和当前的状态，系统依据规则产生一个响应和下一个状态。判断 (D)此请求是否可执行： “yes” 请求被执行 “no” 请求不能被执行 “error”表示有多个规则适用于这一请求 “？” 规则不能处理此请求


93/109

3. BLP 模型最基本的规则 ( 有 11条规则 ) 1) 自主策略规则

如果不是强制访问控制，主体对客体的读写权限是由访问控制矩阵来决定的，强制访问控制是前提 2) 强制策略规则

(1) 简单安全特性规则。一个主体对客体进行读访问的必要条件是主体的安全级支配客体的安全级，即主体的保密级不低于客体的保密级别，主体的范畴集包含了客体的全部范畴。即主体只能向下读，不能向上读

(2) * 特性规则。一个主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级，即客体的保密级别不小于主体的保密级别，客体的范畴包含了主体的全部范畴。即主体只能向上写，不能向下写

这两条是 BLP 的强制策略中最基本的规则


94/109

对于“ * 特性”规则， BLP 模型规定了一些主体称为可信主体，不受“ * 特性”规则的约束，可信主体可以下写（可信主体安全级最大，因此不存在上读限制）

一些术语的内涵：保密级：如可公开，不宜公开，秘密，机密，绝密范畴：信息类别，如人事处，销售处等支配：一种偏序关系，类似于“大于或等于”或“不小于”的含义

“*” 规则允许一个主体向一个高保密级的客体写入信息，从完整性角度来考虑，向上写可能会导致高完整性级别的信息的破坏


95/109

4. BLP 模型的分析 BLP 模型的安全包括强制访问控制和自主访问控制

强制访问控制由简单安全特性和 * 特性组成，通过安全级强制性约束主体对客体的存取自主访问控制通过访问控制矩阵按用户意图进行存取控制

设置了可信主体，用于表示实际系统中不受 * 特性制约的主体，以保证系统正常的运行和管理 BLP 模型已经不能满足各种各样的安全需求

2.4.2 BLP 模型2.4 安全模型2.3 信息流控制2.2 访问控制第二章安全控制原理2.1 TCB概念和结构

96/109

BLP 模型存在以下问题： (1) 设置了可信主体，权限太大，不符合最小特权的原则，应对其操作权和应用范围进一步细化

将特权细分为一组细粒度的特权，分给系统中指定的用户。多个特权用户共同完成特权操作采用门限机制，共享特权

(2)BLP 模型注重的是信息保密性，对于完整性缺少控制，不能防止非授权修改系统信息对于军用系统，更关心机密性， BLP比较适合对于民用系统，对于完整性要求相对较高，模型不太适合

(3)BLP 模型并不能有效地控制隐蔽信道的产生，不能解决文件共享问题


97/109

2.4.3 其它模型简介 1. Biba 模型

Biba 等人 1977 年提出了第一个完整性安全模型－ Biba 模型。类似于 BLP 模型的规则来保护信息的完整性。

对系统中的每一个主体和客体均分配一个级别，称完整性级别，是一种状态机模型每个完整性级别由两部分组成：重要性级别与范畴。

重要性级别：极重要 (Crucial ， C) 、非常重要 (Very important ， VI) 、重要 (Important ， I) 等级别

范畴：与 BLP同这些级别存在全序关系，即 C>VI>I 支配关系：与 BLP 的支配关系一样，均为“大于或等于”


98/109

模型定义了 4种存取方式 (1)Modify: 向客体中写信息，类似于“写” (2)Invoke:调用。此操作权仅限于主体，两个主体间有 Invoke 权限，则允许这两个主体相互通信 (3)Observe:从客体中读信息，类似于“读” (4)Execute:执行一个客体 ( 程序 )

模型定义了状态转换规则 Biba 模型不是一个唯一的安全策略，而是一个安全策略系列，每种安全策略采用不同的条件保证信息的完整性。可分为两大类：

非自主安全策略与自主安全策略

2.4.3 其它模型简介第二章安全控制原理2.4 安全模型

99/109

1)非自主安全策略 (强制的 ) 基于主体和客体各自的安全级别，确定主体对客体可执行的存取方式。模型提供如下的非自主安全级别

(1) 对于主体的下限标记策略 (low-watermark policy for subjects), (2) 对于客体的下限标记策略 ((low-watermark policy for objects), (3) 下限标记完整审计策略 (low-watermark integrity audit policy), (4) 环策略 (ring policy), 在这一策略中主体和客体的完整级别在其生命周期中均是固定的 (5)严格完整性策略 (strict integrity policy) ，类似于 BLP 模型中的简单安全特性和 * 特性

严格完整策略规则可总结为两个基本规则： No Read-Down 完整规则； No Write-Up 完整规则


100/109

2) 自主安全策略 Biba 模型考虑了如下不同的自主存取控制策略

(1) 存取控制列表 (access control list) 。 (2) 客体层次结构 (object hierarchy) 。模型将客体组织成层次结构，此层次结构是一个带根的树。 (3) 环 (ring) 。对于每个主体分配一个权限属性，称为环。环是数字的，低数字的环表示高的权限。

3. Biba 模型分析 Biba 定义了一个与 BLP 模型完全相反的模型。 Biba 模型的优势在于其简单性以及和 BLP 模型相结合的可能性。不足之处 : (1) 完整性标签确定的困难性 ; （ 2 ）在有效保护数据一致性方面是不充分的； (3) Biba 模型和 BLP 模型的结合 , 很容易出现进程不能存取任何数据的局面 ;同 BLP 一样不能抵御病毒攻击


101/109

非干涉模型状态机模型，针对业务流的机密性模型自身不关注数据流，而是关注主体对系统

的状态有什么样的了解，以避免较高安全等级内的一个实体所引发的一种活动，被低等级的实体感觉到

能有效抗击隐蔽信道属于一种基于隔离机制的访问控制类型


102/109

多边安全模型 -Chinese Wall 在信息流处理中，有些情况下不仅需要阻止信息流从高层流向低层，而且要实现信息在不同的部门之间的横向流动。这种系统在信息处理系统中占有很大的比例，因此提出了多边安全 (Multilateral Secure) 的概念。 Chinese Wall 模型就属于多边安全模型中的一种。

该模型也称 Brewer 和 Nash 模型，由 Brewer 和 Nash 于 1989 年发布，经常被用于金融机构的信息处理系统，为市场分析家提供了很好的服务

模型的主要功能就是防止用户访问被认为是利益冲突的数据。比如：你为一个公司做业务咨询，那么就不能为该公司的竞争者提供相关的服务


103/109

1 密码技术 1.1 密码学基本概念 1.2 流密码 1.3 分组密码 1.4 公钥密码 1.5 认证算法 1.6 密钥管理体制和 PKI

1.7 安全协议 1.8 信息隐藏技术简介

支撑信息系统安全防护的各种安全技术 2 系统安全防御技术

2.1 防火墙 2.2 入侵检测 2.3 安全审计 2.4 安全网关 2.5 可信计算技术

3. 网络可生存性 4. 信任度量技术

104/109

2 系统安全防御技术安全机制安全组件

收集、检测、扫描、渗透、审计

信息系统

分析、预测、识别、评估、决策

过滤、预警、响应、防护、恢复、隔离、控制、修补、调整、加密、认证

安全功能组件

安全保障组件

安全标准

安全功能和安全保障技术组件，如：防火墙、IDS、IPS、漏洞扫描、CA、防病毒软件、漏洞扫描、安全审计系统、安全网管、隔离网关、渗透性测

试工具、评估工具、软件狗、加密硬盘、认证/授权系统等等。

状态层

分析层

知识层

105/109

第二章 1. 1. 什么是信息系统的可信计算基什么是信息系统的可信计算基 TCBTCB 2. TSF2. TSF 的实现由哪两种方法的实现由哪两种方法 3.3. 用于数据保护的安全功能策略 SFP 有哪三种 ________ 、 _________和 _______ 4. 4. 给出可信计算基的两个典型的评测标准：给出可信计算基的两个典型的评测标准：

TCSECTCSEC 和和 CCCC

5. 5. 下面那些属于下面那些属于 CCCC 中的安全保证技术要求？中的安全保证技术要求？ AA 通信类、通信类、 BB 密码支持类、密码支持类、 CC隐秘类、隐秘类、 DD 可信路径、可信路径、 EE脆弱性评定脆弱性评定

6.6. 信息系统实现安全的基本方法是控制，那么对存储在信息容器中的静态信息系统实现安全的基本方法是控制，那么对存储在信息容器中的静态信息采用什么保护方法？对信道中的信息采用什么保护方法？对信息内容信息采用什么保护方法？对信道中的信息采用什么保护方法？对信息内容的保护采用什么控制方法？的保护采用什么控制方法？ 7. 7. 在系统中运行的进程是主体还是客体？最初的主体和最终的客体分别在系统中运行的进程是主体还是客体？最初的主体和最终的客体分别是？是？ 8.8. 访问控制的三要素是什么？试说明访问控制的一般模型，访问控制的三要素是什么？试说明访问控制的一般模型， ACMACM 和和 ACAC

LL？访问控制的粒度和容度是指什么？？访问控制的粒度和容度是指什么？

106/109

09. 在 DAC 中访问许可权和访问操作权的区别是什么？中访问许可权和访问操作权的区别是什么？什么是属主型的访问许可权？什么是属主型的访问许可权？ 10 系统进程的权限是随着服务对象的变换而变化的 ( ) 11 信息流控制的三要素 ______ 、 ______ 和 ______ 12 在阻止非授权访问类的访问控制技术中，防止授权用户有机会去访问敏感的客体的方法属于 ________ 访问控制类型 13 已知在 DAC 访问控制中，某一客体的访问控制表如下，那么如下用户的访问权限分别是 ____ 、 ____ 、 ____

1 ） zhang liang.math 2 ） liu ying. History 3) zhangliang. history客体FILE1 Liwen. Math.REW *.Math.RE Zhang*.R *.*null

带通配符的ACL表的一般结构

107/109

14 14 按按 ACMACM 矩阵的列实施访问控制的模型是矩阵的列实施访问控制的模型是 ______________

A A 访问目录表访问目录表 B ACL C B ACL C 能力机制能力机制 DD 面向过程的访问控制面向过程的访问控制 15. 15. 在在 RBACRBAC 中，用户、角色和权限之间的关系是什么中，用户、角色和权限之间的关系是什么 16. RBAC9616. RBAC96 四个子模型之间的关系，四个子模型之间的关系， RNBACRNBAC 中的静态职责分离中的静态职责分离和动态职责分离的涵义？和动态职责分离的涵义？ 17. 17. 在基于角色的访问控制中同一个用户的多个角色一定不能出现在基于角色的访问控制中同一个用户的多个角色一定不能出现互斥的情况互斥的情况 ( )( )

18. 18. 试说明在授权策略当中的最小特权原则的含义和意义试说明在授权策略当中的最小特权原则的含义和意义 19. 19. 信息流在系统里可以沿着哪三种信道流动？信息流在系统里可以沿着哪三种信道流动？ 20.20. 从安全模型的作用来看，从安全模型的作用来看， BLPBLP 和和 BibaBiba 分别针对什么安全属性，分别针对什么安全属性， BLPBLP 模型中基本安全定理是？模型中基本安全定理是？

108/109

21. BLP21. BLP 模型中强制策略中最基本的两个规则是什么模型中强制策略中最基本的两个规则是什么 22. 在 BLP 模型中，如下用户和数据的安全级下，用户对 Data1 和 Data2 的读访问结果分别是 ______

A. 禁止 B. 允许 C. 受限制访问 User 是机密级用户，可访问信息类为 C1 ， C2 和 C3 要访问的数据 Data1 是秘密级数据，所属信息类为 C4 要访问的数据 Data2绝密级数据，所属信息类为 C2 自主访问控制规则：所有用户均可访问 C2 ， C3 和 C4类数据

23. BLP 模型中基本的强制安全策略规则是 _______ A. 无上读 B. 无下读 C. 无上写 D.无下写

109/109

谢谢！

Documents

主讲教师 ：董庆宽 研究方向 ：密码学与信息安全 Email ： [email protected] 手 机 ： 15339021227

主讲教师：董庆宽研究方向：密码学与信息安全 Email ： [email protected] 手机： 15339021227