操作系统安全模型
• 存取矩阵模型
– 在实际的计算机系统中.当把存取矩阵作为一个二维数组来实现 时,它往往会成为一个稀疏矩阵。于是,实际中对存取矩阵的存 放,很自然地采用按行存放或者按列存放。按行存放。每个主体 在其属性数据结构中部有若干客体及它对它们各自的存取权限, 这种方法叫能力表(Capability List)法。按列存放,则是在每 个客体的属性数据结构中存放着系统中每个主体对该客体的存取 权限,这种方法叫访问控制表(Access Control List,简称 ACL)。典型地,系统中每个文件都有一个相应的ACL表来控制各 个主体对它的存取权限。比如在UNIX
• 状态机模型 – 状态机模型的两个基本特征是状态和状态转移函数,它的数学原 理是这样的: • 安全的初始状态; • 安全的状态转移函数; • 用归纳法可以证明系统是安全的。 – 只要该模型的初始状态是安全的,并且所有的转移函数也是安全 的(即一个安全状态通过状态转移函数只能达到新的安全状态), 那么数学推理的必然结果是:系统只要从某个安全状态启动,无 论按哪种顺序调用系统功能,系统将总是保持在安全状态。
2.安全模型的分类
• 2.1 状态机模型 – 用状态机语言将安全系统描述成抽象的状态机,用状态变量表示 系统的状态,用转换规则描述变量变化的过程。 – 状态机模型用于描述其他系统早就存在,但用于描述通用操作系 统的所有状态变量几乎是不可能的。 – 状态机安全模型通常只能描述安全操作系统中若干与安全相关的 主要状态变量。 – 相当多的安全模型其实质都是状态机模型。它将系统描述成一个 抽象的数学状态机,其中状态变量(state variables)表征机器 状态,转移函数(transition functions)描述状态变量如何变 化。
3.安全模型实例
• 3.1 BLP模型 • 3.2 Biba模型 • 3.3 Clark-Wilson模型 • 3.4 Chinese Wall模型 • 3.5 RBAC模型
• BLP模型 – BLP模型是一个请求驱动的状态机模型。它在某一状态接受请求, 然后输出决定,进入下一个状态。 – BLP模型可以归结为三方面的内容:元素、属性和规则。 – 下面分别作简单介绍。 • 主体(Subject,S):指引起信息流动的访问发起者。用户登 录到系统后,由进程代表用户执行具体访问操作,系统中只有 进程向客体发出访问请求。 • 客体(Object,O):指信息流动中的访问承受者。客体包括 文件、目录、进程、设备、进程间通信结构等。
信息安全技术 操作系统安全概述:
操作系统安全模型
主要内容
1.操作系统安全模型概述 2.安全模型的分类 3.安全模型实例
1.操作系统安全模型概述
•
J.P.Anderson指出,要开发安全系统,首先必须建立系统的安全
模型。
•
安全模型给出安全系统的形式化定义,正确地综合系统的各类因
素。这些因素包括:系统的使用方式、使用环境类型、授权的定义、
• 2.2 存取矩阵模型 – 存取矩阵模型(Access Matrix Model)是状态机模型的一种。它 将系统的安全状态表示成一个大的矩形阵列:每个主体拥有一行, 每个客体拥有一列,交叉项表示主体对客体的访问模式。存取矩 阵定义了系统的安全状态,这些状态又被状态转移规则(即上文 的状态转移函数)引导到下一个状态。这些规则和存取矩阵构成 了这种保护机制的核心。 – 这种模型只限于为系统提供机制,具体的控制策略则包含在存取 矩阵的当前状态中,使得依之实现一个系统时可实现机制和策略 的很好分离。
• BLP模型 • 敏感标记:指主体或客体的安全标记,是系统进行保密性访问 控制的依据,包括等级分类和非等级类别两部分。其中,等级 分类指主体或客体的密级,由一个整数代表;非等级类别指主 体可以访问的客体范围,由一个集合表示。 • 权限:指主体对客体的访问操作,比如读、写、执行等。 • 属性:指模型的安全性质。 • 规则:描述模型状态之间的状态转换规则。
• 文件系统中,将用户分成用户主、用户组和其它用户三类,分别标明 各类用户对文件的存取权限。一般而言,能力表法或ACL法往往将主 体对客体的存取权限交给客体的拥有者去制订,从而使这两种方法, 尤其ACL法,常常是和自主存取控制策略联系在一起。
3.1 BLP模型
• 3.1 BLP模型 – Bell和Lapadula在1973年提出BLP模型,然后于1974年至1976年对 该模型进行了进一步的充实和完善。 – BLP模型是最具有代表性的形式化信息安全模型,它是根据军方的 安全策略设计的,用于控制对具有密级划分的信息的访问。 – 它所关注的是信息的保密性,主要用于军事领域。 – 它是定义多等级安全(MLS)的基础。
• BLP模型 – 简单安全特性(ss-特性):如果(主体,客体,可读)是当前访 问,那么一定有: level(主体)≥level(客体) – 其中,level表示安全级别。这个特性表示的是主体只能读取自己 的敏感标记可以支配其敏感标记的客体,也就是不上读的特性。
• BLP模型 – 星号安全特性(*-特性):在任意状态,如果(主体,客体,方 式)是当前访问,那么一定有: • 若方式是a,则:level(客体)≥current-level(主体) • 若方式是w,则:level(客体)=current-level(主体) • 若方式是r,则:current-level(主体)≥level(客体) – 其中,current-level表示当前安全级别。它表示的是主体只能写 敏感标记支配自己的敏感标记的客体,也就是不下写的特性。
共享的客体(系统资源)、共享的Байду номын сангаас型和受控共享思想等。
•
这些因素应构成安全系统的形式化抽象描述,使得系统可以被证
明是完整的、反映真实环境的、逻辑上能够实现程序的受控执行的。
•
完成安全系统的建模之后,再进行安全核的设计与实现。
• 安全策略用来描述用户对系统安全的要求。一般来说,用户对信息系 统的安全需求基于以下几个方面: – 机密性要求(confidentiality):防止信息泄露给未授权的用户; – 完整性要求(integrity):防止未授权用户对信息的修改; – 可记账性(accountability):防止用户对访问过某信息或执行 过某一操作进行否认; – 可用性(availability):保证授权用户对系统信息的可访问性。
