《信息安全模型》PPT课件.ppt

信息安全模型,信息安全模型,安全模型用于精确地和形式地描述信息系统的安全特征，以及用于解释系统安全相关行为的理由。安全模型的作用准确描述安全的重要方面与系统行为的关系提高对成功实现关键安全需求的理解层次“安全模型”的表达能力有其局限性，形式的语法多于形式的语义。,模型抽象过程,1）: 标识外部接口需求 External Interface.(input,output,attribute.)2）: 标识内部需求Internal Requirements3）: 设置策略强制的操作规则4）: 判定 What is Already Known.5）:论证 (Demonstrate)一致性与正确性6）: 论证是适当的（ Relevance）,一些主要的模型,系统安全保障模型：PDR、PPDR、OSI,基本模型：HRU,1、基本模型Lampson,Lampson模型的结构被抽象为状态三元组( S, O, M )， S 访问主体集， O 为访问客体集（可包含S的子集）， M 为访问矩阵，矩阵单元记为Ms,o，表示主体s对客体o的访问权限。所有的访问权限构成一有限集A。状态变迁通过改变访问矩阵M实现。 该安全模型尽管简单，但在计算机安全研究史上具有较大和较长的影响，Harrison、Ruzzo和Ullman提出HRU安全模型以及Bell LaPadula提出BLP安全模型均基于此。,2、基本模型 HRU(1),系统请求的形式if a1 in M s1 ; o1 and a2 in M s2 ; o2 and . am in M sm ; om then op1 . opn,基本模型 HRU(2),系统请求分为条件和操作两部分，其中ai A，并且opi属于下列六种元操作之一（元操作的语义如其名称示意）：enter a into (s, o), （矩阵）delete a from (s, o), create subject s , （主体） destroy subject s , create object o , （客体）destroy object o 。,基本模型 HRU(3),系统的安全性定义：若存在一个系统，其初始状态为Q0，访问权限为a，当从状态Q0开始执行时，如果不存在将访问矩阵单元不包含的访问权限写入矩阵单元的系统请求，那么我们说Q0对权限a而言是安全的。系统安全复杂性基本定理：对于每个系统请求仅含一个操作的单操作请求系统（mono-operational system-MOS），系统的安全性是可判定的；对于一般的非单操作请求系统（NMOS）的安全性是不可判定的。与此相关，由于用户通常不了解程序实际进行的操作内容，这将引起其他的安全问题。例如，用户甲接受了执行另一个用户乙的程序的权利，用户甲可能不知道执行程序将用户甲拥有的与用户乙完全不相关的访问权限转移给用户乙。类似的，这类表面上执行某功能（如提供文本编辑功能），而私下隐藏执行另外的功能（如扩散被编辑文件的读权限）的程序称为特洛伊木马程序。,强制访问控制模型（MAC）,特点： 1） 将主体和客体分级，根据主体和客体的级别标记来 决定访问模式。如，绝密级，机密级，秘密级，无密级。 2） 其访问控制关系分为：上读/下写 ， 下读/上写 （完整性） （机密性） 3）通过梯度安全标签实现单向信息流通模式。 4）与DAC相比：强耦合，集中式授权。,3、MAC多级安全模型BLP（1）,该模型是可信系统的状态转换模型定义所有可以使系统“安全”的状态集，检查所有状态的变化均开始于一个“安全状况”并终止另一个“安全状态”，并检查系统的初始状态是否为“安全状态”。每个主体均有一个安全级别，并由许多条例约束其对具有不同密级的客体的访问操作。模型定义的主客体访问规则使用状态来表示系统中主体对客体的访问方式可向下读，不可下写可上写，不可上读,MAC多级安全模型BLP （2）,系统状态： VBMFHB：访问集合，是SOA的子集，定义了所有主体对客体当前的访问权限。函数 F: S O L，语义是将函数应用于某一状态下的访问主体与访问客体时，导出相应的安全级别。Fs：主体安全级别Fo：客体安全级别Fc：主体当前安全级别 FsFc 状态集V在该模型中表现为序偶（F，M）的集合，M是访问矩阵。变迁函数T：VRV。 R请求集合，在系统请求执行时，系统实现状态变迁；D是请求结果的集合。类似于HRU模型，BLP模型的组成元素包括访问主体、访问客体、访问权限和访问控制矩阵。但BLP在集合S和O中不改变状态与HRU相比，多了安全级别、包含请求集合的变迁函数。,MAC多级安全模型BLP(3),定义4.1： 状态 ( F, M ) 是“读安全”（也称为“simple security”）的充分必要条件是 定义4.2： 状态 ( F, M ) 是“写安全”（也称为“*-property”）的充分必要条件是 定义4.3： 状态是“状态安全”（state secure）的充分必要条件是它既是“读安全”又是“写安全”。定义4.4： 系统 ( v0 , R , T ) 是安全的充分必要条件是初始状态v0是“状态安全”的，并且由初始状态v0开始通过执行一系列有限的系统请求R可达的每个状态v也是“状态安全”的。,MAC多级安全模型BLP(4),定理4.3：系统 (v0 ,R ,T )是安全的充分必要条件是其中，T为转移函数，是指由初始状态v0通过执行一系列有限的系统请求R到达可达状态v。,MAC多级安全模型BLP（5）,“读安全”禁止低级别的用户获得高级别文件的读权限。 “写安全”防止高级别的特洛伊木马程序把高级别文件内容拷贝到低级别用户有读访问权限的文件。缺点未说明主体之间的访问，不能适用于网络,4、MAC多级安全模型Chinese Wall,在信息流处理中，在一些情况下不是阻止信息流从高层流向低层，而是要阻止信息在不同的部分横向流动，这种系统在信息处理系统中占有很大的比例，因此提出了多边安全（Multilateral Secure）的概念。CW（Chinese Wall）模型就属于一种多边安全模型。CW模型由Brewer和Nash发布，经常被用于金融机构的信息处理系统，为市场分析家提供更好的服务。与BLP模型不同的是，访问数据不是受限于数据的属性（密级），而是受限于主体获得了对哪些数据的访问权限。CW模型的主要设计思想是将一些可能会产生访问冲突的数据分成不同的数据集，并强制所有的主体最多只能访问一个数据集，而选择哪个数据集并未受到强制规则的限制，这种策略无法用BLP模型完整表述。,全体客体的集合（O）,A,B,C,顶层：兴趣冲突组,F,G,H,I,J,K,L,M,N,O,P,Q,中层：公司数据集,底层：客体（独立数据项）,Chinese wall安全属性,访问客体的控制：与主体曾经访问过的信息属于同一公司数据集合的信息，即墙内信息可以访问。属于一个完全不同的兴趣冲突组的可以访问。主体能够对一个客体进行写的前提，是主体未对任何属于其他公司数据集的访问。定理1：一个主体一旦访问过一个客体，则该主体只能访问位于同一公司数据集的客体或在不同兴趣组的客体定理2：在一个兴趣冲突组中，一个主体最多只能访问一个公司数据集,5、自主访问控制模型（DAC）,特点： 根据主体的身份和授权来决定访问模式。 与MAC相比：松耦合，分布式授权缺点： 信息在移动过程中，其访问权限关系会被改变。实现机制： ACL(s,o) Capabilities（s,s) s主体 o客体主体可以改变客体的权限。,6、RBAC模型,角色的概念： 角色的抽象定义是指相对于特定的活动的一系列行动和职责集合，角色面向于用户组，但不同于用户组，角色包含了用户集和权限集。RBAC特点： 角色控制相对独立，根据配置可使某些角色接近DAC，某些角色接近MAC,RBAC模型层次,基本模型RBAC0角色分级模型RBAC1角色限制模型RBAC2统一模型RBAC3,RBAC3RBAC1 RBAC2 RBAC0,RBAC模型RBAC0,RBAC模型RBAC1,RBAC模型RBAC2,RBAC模型RBAC3,RBAC模型优势,便于授权管理便于角色划分便于赋予最小特权便于职责分担便于目标分级,7、 信息流模型,隐通道：访问控制模型通过对访问主体与访问客体的控制实施安全策略，但恶意的用户仍然可能利用系统的副作用（边际效应）形成从高安全级别到低安全级别的通道。信息流模型：不对访问主体与客体实施控制，而是直接控制用户间的信息流 信息流概念： 信息流可表述为“从对象a流向对象b的信息（信息流）是指对象b的值按某种方式依靠对象a的值”。 例如：if a = 0 then b := c,information flows explicitly from c to b (when a = 0) and implicitly from a to b (when b c).,信息流模型示例,信息流模型特点,对于程序语言代码（理论上）我们可以通过枚举所有程序变量间的信息流，从而验证是否存在不合法信息流。信息流模型的形式化是状态机模型，因此可以形成一系列信息流“断言”，信息流“断言”也称为安全性质，安全性质包括非干扰性(noninterference)和非观察性(nonobservability)等描述工具使用Hoare逻辑的SPA语言（Security Process Algebra SPA）（trace）,完整性模型概述,数据完整性信息保护，Database（如：域，实体，引用，应用语义，并发控制） 系统完整性系统保护，硬件保护，容错技术完整性目标防止被非授权用户修改 (机密性)维护内外部的一致性 (一致性)防止授权用户不确当的修改 (逻辑一致性),完整性原理,1 标识 Identity2 约束 Constraints 3 职责 Obligation4 可审计Accountability5 授权Authorization6 最小特权Least Privilege7 权限分离Separation8 监视Monitoring9 报警Alarms,10 不可逆Non-Reversible Actions11 冗余Redundancy12 最小化 Minimization变量最小化Variable数据最小化 Data目标值最小化Target Value 访问时间最小化 Access Time,8、完整性多边安全模型ClarkWilson,偏重于满足商业应用的安全需求信息完整性保护组织完善的事务：用户不能随意处理信息，只能在限定的权限和范围清晰的责任划分：一项任务需要两个以上的人完整，进行任务划分，避免个人欺骗系统完整性保护防止非授权修改维护内部与外部的一致性访问授权但不恰当的修改,完整性模型Clark-Wilson,Clark-Wilson模型定义的四个要素: CDI (constrained data items) 有约束数据项，完整性保护的客体UDI (unconstrained data items) 无约束数据项，不需保护的客体 IVP (integrity verification procedures ) 完整性验证过程 TP (transformation procedures ) 转换（迁移）过程九条规则（5C, 4E）分为验证性规则(C) certification 与强制性规则(E) enforcement C规则 由安全官员、系统拥有者、管理者实施完整性策略E规则 由系统强制实现,完整性模型Clark-Wilson,访问控制方法定义可以针对每一个数据完成的访问操作定义可以由主体完成的访问操作保护方法完整性确认：确认数据处于一种有效的状态转换过程：将数据从一种有效状态转变到另一种有效状态如果只有一个转换过程就能改变数据，则数据是完整的。系统记录所有转换过程，并提供对数据改变的审计跟踪,Clark-Wilson验证性规则,C1 (IVP Certification) 系统中有IVP 对 CDI的完整性进行验证. C2 (Validity) 对CDI应用TP 必须保持CDI的完整性C3 一个CDI只能被一个 TP改变，TP必须实现权限分离与最小特权原理C4 (Journal Certification) - TP 必须必须写入一个只允许添加的日志文件中C5 - TP 在作用于 UDI 时，必须保证导出有效的 CDI,Clarkwilson强制规则,E1：必须具有并保护经证明被TP访问过的CDI的表E2：必须具有并保护用户可以执行的描述TP的表E3：必须鉴别每一个用户执行TP的请求E4：对TP具有访问规则的主体能修改表中的项，但这个主体没有执行TP的权限。,Clark-Wilson规则目标,完整性 完整性用于保证CDI只能按受约束的方式被修改并产生有效的CDI 。规则 C1、C2、C5、E1和 E4 实现完整性目标 访问控制 实现资源的访问的控制机制，规则C3、E2和E3实现访问控制目标。 审计 （auditing） 确认对CDI的修改并保证系统的有效状态，规则C1和C4实现审计目标。 核查（Accountability） 用户与活动绑定，规则E3实现用户的鉴别认证。,9、完整性安全模型Biba,简介一个计算机系统由多个子系统构成子系统按照功能或权限将系统（主体、客体）进行划分系统完整性的威胁来源内部威胁：一个组件是恶意的或不正确的函数外部威胁：通过提供错误数据或不正确的函数调用来修改另一个子系统完整性安全模型的目标防止被非授权用户修改 (机密性)维护内外部的一致性 (一致性)防止授权用户不确当的修改 (逻辑一致性),完整性模型BIBA,S : 主体集O : 客体集 ( S、O交集为空 )I : 完整性级别集il : S O = I; 完整性函数，定义主体和客体的完整性级别leq : (I I 的子集) 完整性级别的偏序关系min : POWERSET(I) = I, 下确界（最大下界）o : 可观察(observe)关系(S O 的子集) s o o，s可观察om : 可修改(modify)关系(S O 的子集) s m o ，s可修改oi : 可调用(invoke)(S S 的子集) s1 i s2，即一个主体s1调用另一个主体s2,完整性模型BIBA策略,BIBA认为内部威胁已经由程序测试与验证技术作了充分地处理；BIBA模型仅针对外部威胁。低限策略 Low-Water Mark Policy针对客体的低限策略 Low-Water Mark Policy for Objects低限的完整性审计策略 Low Water Mark Integrity Audit Policy环策略 Ring Policy严格的完整性策略 Strict Integrity Policy,完整性模型BIBA低限策略,最低点：被主体做“观察”访问的客体的最小完整性级别。 s m o = il(o) leq il(s) SMO:可修改关系、leq：偏序关系 s1 i s2 = il(s2) leq il(s1)il：完整性函数如果主体s访问客体o，那么 il(s) = min il(s), il(o) 这里 il(s) 紧随访问之后的完整性级别,BIBA对于客体的最低点策略,除修改主体的完整性级别外，还假设客体的完整性级别也被修改对主体s对可以o的每一次观察访问， il(s) = min il(s), il(o)对主体s对客体o的每一次修改访问， il(o) = min il(s), il(o),BIBA模型的缺点,定义的完整性是一个相对的，而不是绝对的度量。没有使用明确的属性来判断系统是否具有完整性没有明确的信息分级标准,10、系统安全技术框架IATF,安全策略,安全管理,安,全,管,理,安全管理,安,全,管,理,系统安全保障模型 PPDR模型,在PDR基础上，增加了安全策略综合运用防护工具和检测工具，分析和评估系统的安全状态，将系统调到“最安全”和“风险最低”。P：安全策略P：防护D：检测R：反应上述四者构成一个完成的动态的安全循环适用于动态的、多维的互联网环境,系统安全保障模型 PPDR模型,公式1：PtDt+RtPt：设置各种安全防护后的防护时间Dt：系统能够检测到入侵的时间Rt：从入侵开始，到系统调整到正常状态的时间公式2： EtDtRt 假设：Pt0Et：系统的暴露时间基本描述： 安全风险分析执行策略系统实施漏洞监测实时响应是动态的防护，安全策略是依据发挥管理机制的原则运用安全保护工具,IATF安全目标,可用性：合法用户的正常请求能及时、正确、安全地得到服务或回应。完整性：信息在存储和传输时不被篡改、破坏，或避免信息包的丢失、乱序等不破坏信息的正确性和完整性。保密性：静态信息防止非授权访问和/或动态信息防止被窃听、解密。可靠性：指信息的可信度，包括信息完整性、准确性和发送人的身份的可信度。,IATF保护对象和技术,网络和基础设施的防御骨干网可用性无线网安全框架VPN和紧耦合连接边界防御网络访问控制远程访问多级别安全计算环境防御端用户环境应用系统安全支撑性基础设施KMI/PKI监视和响应,11、信息系统多维安全模型,12 基于OSI的安全体系结构,五种安全服务,鉴别：提供对通信中的对等实体和数据来源的鉴别。访问控制：提供保护以对抗开放系统互连可访问资源的非授权使用。可应用于对资源的各种不同类型的访问（例如，使用通信资源，读、写或删除信息资源，处理资源的操作），或应用于对某种资源的所有访问数据机密性：对数据提供保护使之不被非授权地泄露数据完整性：对付主动威胁。在一次连接上，连接开始时使用对某实体鉴别服务，并在连接的存活期使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证，为这些数据单元的完整性提供确证。抗抵赖：可取有数据原发证明的抗抵赖、有交付证明的抗抵赖两种形式，或两者之一,八种安全机制（1）,加密：加密既能为数据提供机密性，也能为通信业务流信息提供机密性。数字签名：确定两个过程：对数据单元签名和验证签过名的数据单元。访问控制：为了决定和实施一个实体的访问权，访问控制机制可以使用该实体已鉴别的身份，或使用有关该实体的信息（例如它与一个已知的实体集的从属关系），或使用该实体的权力。数据完整性：包括单个数据单元或字段的完整性以及数据单元流或字段流的完整性,八种安全机制（2）,鉴别交换机制：可以提供对等实体鉴别。如果在鉴别实体时，这一机制得到否定的结果，就会导致连接的拒绝或终止，也可能使在安全审计跟踪中增加一个记录，或给安全管理中心一个报告。通信业务填充机制：能用来提供各种不同级别的保护，对抗通信业务分析。路由选择控制机制：路由能动态地或预定地选取，以便只使用物理上安全的子网络、中继站或链路。在检测到持续的操作攻击时，端系统可希望指示网络服务的提供者经不同的路由建立连接。公证机制：有关在两个或多个实体之间通信的数据的性质，如它的完整性、原发、时间和目的地等能够借助公证机制而得到确保。,例：clarkwilson模型的体现NT安全基本组件,登录进程（Logon process） 局部安全中心LSA (Local Security Authority)安全帐号管理SAM( Security Account Manager)安全引用监视器SRM（Security Reference Monitor） 强制实现LSA的安全策略安全标识SID（Security Identifiers）用户不能直接访问资源：如 processes, files, shares, and printers 在NT中可以作为客体资源，主体对客体的访问只能通过NT的代理。,Clarkwilson 模型的NT解释,谢谢Question？,