25
Chinese Wall模型
• 中国墙策略组合了商业的自主和法律上的强 制控制。其⺫标是阻止引起利益冲突的信息 流。业务服务员可以代表在同一个业务部⻔ 的几个客户，这将引起利益冲突。!
– Brewer and Nash (1989)
• BLP模型通常假设访问权限是静态的；中国 墙模型则对于每次访问操作主体的访问权限 是动态改变的。
– 干泛应用于军队、政府等对安全要求较高的组 织
– 标签
• 安全标签是限制在⺫标上的一组安全属性信息项， 可用于支持多级访问控制策略
9
访问控制策略
• 机密性模型!
– Bell-Lapadula机密性模型
• 完整性模型!
– Biba完整性模型 – Clark-Wilson模型
• 动态模型!
– Chinese Wall模型
– 访问控制列表机制最适合于有相对少的需要被 区分的用户，并且这些用户中的绝大多数是稳 定的情况。如果访问控制列表太大或经常改变， 维护访问控制列表会成为最主要的问题
– 不同于其它的机制，对于大范围的⺫标粒度访 问控制列表均适用，包括非常好的粒度
– 另一个优点是一个⺫标的拥有者或管理者可以 很容易地废除以前授予的许可
29
访问控制策略
• 基于角色的策略!
– 基于角色的访问控制是一个复合的规则，可以 被认为是基于身份策略和基于规则策略的变体
– 基本思路：管理员创建角色，给角色分配权限， 给角色分配用户，角色所属的用户可以执行相 应的权限
30
访问控制策略
• 基于角色的策略!
– 角色的定义
• 每个角色与一组用户和有关的动作相互关联，角色 中所属的用户可以有权执行这些操作
14
Bell-Lapadula 模型
绝密 机密 秘密
绝密 机密 秘密
15
Bell-Lapadula 模型
O5 Write
Sensitivity of Objects
!
Trust of Subjects
Read
S2
O4
Write
O3 Read Write
Read
S1
O2
Write
Read O1
16
26
Chinese Wall模型
• 问题:
– Tony为American Bank 做投资咨询，Citibank Bank也请Tony做投资咨询。这就出现了一个利 益冲突，因为Tony对任何一家银行的投资建议 都会受到他与另外一家银行交换的信息的影响。
27
Chinese Wall模型
• 所以，当Tony访问了Bank of America的数据，就不 能再访问CitiBank的数据，反之亦然
系统中的每个主体和客体均分配一个称为完 整性等级的密级。
20
Biba模型
O5 Read
Read
S2
O4
Write
O3 Write Read
Read
S1
O2
Write
Write O1
21
Biba模型
process
AU
Trojan
!! Trojan
BU
process
process
AU
Trojan
!! Trojan
Bell-Lapadula 模型
process
AU
Trojan
!! Trojan
BU
process
process
AU
Trojan
!! Trojan
BU
process
17
Bell-Lapadula 模型
• 模型存在的问题!
– 只涉及机密性，而没有涉及完整性 – 没有解决访问控制的管理问题 – 包含隐蔽通道
• 主体(subject)：是这样的一种实体，它引起信息在 客体之间的流动。通常，这些实体是指人、进程 或设备等，一般是代表用户执行操作的进程。如 编辑一个文件时，编辑进程是存取文件的主体， 而文件是客体。
• 客体(object)：系统中被动的主体行为承担者。对 一个客体的访问隐含着对其所含信息的访问。客 体的实体类型有记录、程序块、⻚面、段、文件、 ⺫录、⺫录树和程序，还有位、字节、字、字段、 处理器、视频显示器、键盘、时钟、打印机和⺴ 络节点等。
• 问题2：间接的信息流动
– 通过Gas公司的信息流动
Bank of America a
Citibank Bank of the West
c
b
Shell Oil Standard Oil
s
e
Union '76 u
ARCO n
28
Chinese Wall模型
• 所以，如果Tony处理A公司业务，那么仅当 客体不能被处理与A公司利益冲突信息的主 体访问的时候，允许A对该客体进行写操作
访问控制策略与模型
Access Control
1
访问控制过程
为什么要知道你是谁？ 为什么需要证明身份？ 依照什么进行授权？
2
访问控制矩阵
– 任何访问控制策略最终均可被模型化为访问矩 阵形式。由于访问矩阵过大和元素稀疏，很少 直接应用，但是一种很有用的概念模型
目标 用户 用户a
用户b
用户c
用户d
目标x
或时间共享。隐蔽存储通道（covert storage channel）使 用共享资源的属性。隐蔽定时通道（ covert timing channel ）使用在对共享资源访问中的时态或排序关系
19
Biba模型
• Biba等人在1977年提出的! • 保护信息的完整性! • 基于主体、客体以及它们的完整性密级，对
10
Bell-Lapadula 模型
• 基于安全标签的访问控 制
– 应用环境
– 根据主体的许可级与客体 非可信组件环境
密级来确定访问许可
客体
主体
– 在处理一个访问请求时，
⺫标环境比较请求上的许 主体
!
客体
可级和⺫标上的标签，应
可信计算基
用策略规则决定是允许还 是拒绝访问
客体
主体
主体
客体
11
Bell-Lapadula 模型
目标y
目标z
读、修改、管理
读、修改、管理
读、修改、管理
读
读、修改
读
读、修改
3
访问控制策略
4
访问控制策略
• 分类
访问控制策略
基于身份 策略
基于规则 策略
基于角色 策略
5
访问控制策略
• 基于身份的策略!
– 属于自主式策略，根据主体的身份及允许访问 的权限进行决策
– 适用于安全要求较低的环境 – 缺点：信息在移动过程中其访问权限关系会被
– 角色与组的区别
• 组：一组用户的集合 • 角色：一组用户的集合+一组操作权限的集合
31
访问控制策略
• 基于角色的策略!
–例
• 在银行环境中，角色可分为出纳员、系统管理员、 顾客、管理者和审计员
– 特点
• 通过增加一层间接性提高了灵活性 • 易于被非技术性的组织策略制定者理解，也易于映
射到基于组的策略及使用访问控制矩阵实现 • 一个用户可以具有多个角色
39
访问控制实现机制
• 能力模型!
– 能力模型适合于⺫标联系相对少，对发起者访 问控制决策容易实现的情况。能力模型的实施 需要依赖于在系统间安全传递能力的方法
– 能力的缺点是⺫标的拥有者和管理者不容易废 除以前授予的许可
40
!
？
41
– 类别的集合C是系统中非层次的元素集合的一个子集。 该集合中的元素依赖于所考虑的环境和应用领域。
13
Bell-Lapadula 模型
• 主体的安全等级称为许可级（ clearance）! • 客体的安全等级称为密级（classification）! • 安全级别的集合形成一个满足偏序关系的格，
此偏序关系称为支配（dominate） ≥关系。
BU
process
22
模型对比
BLP
Biba
机密性
信息向上流 动！
完整性
信息向下流 动！
23
模型对比
• BL与Biba的信息流模型
24
Chinese Wall模型
• 重点用于商业应用! • 设计⺫标!
– 防止导致利益冲突的信息流动
• 起源!
– 1929美国股灾后的立法
• 特点!
– Screen
18
隐蔽通道（Covert Channel）
• 隐蔽通道是一个不受安全机制控制的信息流；它 违反MAC策略，从高安全等级的主体向低安全等 级的主体泄漏信息。
– 隐蔽通道涉及两个程序，其中一个必须是特洛伊木⻢。 – 隐蔽通道通常具有复杂的机制，实现较困难。 – 隐蔽通道利用共享资源作为通信通路。这要求空间共享
12
Bell-Lapadula 模型
• 敏感性标签(sensitivity label)：用以表示客体安全 级别并描述客体数据敏感性的一组信息，在可信 计算基中把敏感性标记作为强制访问控制决策的 依据
• 每个安全等级是一个二元组：L=(sl, C)，其中
– 密级（classification） sl是集合{绝密(Top Secret)，机密 (confidential)，秘密(Secret)，公开 (unclassification)}中 的任何一个元素；此集合是全序的
7
访问控制策略
• 强制访问控制（Mandatory Access Control)
– 以包含在客体中的信息敏感性和访问这些敏感 性信息的主体的正式授权信息为基础，对访问 进行限制的策略。 （TCSEC，1985）