安全模型 - 南京大學計算機科學與技術系

安全模型

南京大學計算機系黃皓教授

2006年12月8日

Contents

1.BasicConcept

2.TheGeneralizedFrameworkforAccessControl(GFAC)

3.BellLaPadulaModel

4.Bibamodel

5.DionModel

6.Clark-WilsonModel

7.ChineseWallModel

8.RoleBasedAccessControlModel

9.TaskBasedAccessControlModel

io.Non-interferenceModel

2006年12月8日星期五南京大學計算機系講義2

參考文獻

I.SimoneFischer-Hiibner,IT-SecurityandPrivacy,LectureNotesin

ComputerScience1958.

II.D.ElliottBellandLeonardJ.LaPadula,SecureComputerSystems:

MathematicalFoundations.

ill.D.ElliottBellandLeonardJ.LaPadula,SecureComputerSystems:

MathematicalModel.

IV.K.J.Biba,IntegrityConsiderationsforSecureComputerSystems,USAF

ElectronicSystemsDivision,Bedford,Mass.,April1977.

v.LukeC.Dion,ACompleteProtectionModel,Proceedingsofthe1981IEEE

SymposiumonSecurityandPrivacy,pp49-55.

VI.DavidD.Clark,DavidII.Wilson,AComparisonofCommercialand

MilitarYcomputerSecurityPolicies,IEEESymposiumonSecurityand

PrivacyApril27-29,1987,ppl84-194.““

vii.D.Brewer,M.Nash,TheChineseWallSecurityPolicy,Proceedingsofthe

1989IEEESymposiumonSecurityandPrivacy,Oakland,May1989.

VIII.JohnRushby,Noninterference,Transitivity,andZChannel-ControlSecurity

Policies,ComputerScienceLaboratorySRIInternationalMenloParkCA

94025USA.

2006年12月8日星期五南京大學計算機系講義3

1.BasicConcept

2006年12月8日星期五南京大學計算機系講義4

IT-Security

■View:protectionofthesystem,protectionfromthesystem;

■Aims:confidentiality,integrity,availability,reliability,

functionality,anonymity,pseudonymity,unobservability,

unlinkablity;

■Securitymodels

■Securityfunctions:I&A,AC,Audit,Objectreuse,reliability

ofservice,

■Securitymechanism:password,ACL,cryptography,

physicalcontrol,etc.

2006年12月8日星期五南京大學計算機系講義5

■Anonymity

Anonymityofausermeansthattheusermayusearesource

orservicewithoutdisclosingtheuser'sidentity.Electronic

cash.

■Pseudonymity

Pseudonymityofausermeansthattheusermayusea

resourceorservicewithoutdisclosingitsuseridentity,butcan

stillbeaccountableforthatuse.

■Unobservability

ensuresthatausermayusearesourceorservicewithout

others,especiallythirdparties,beingabletoobservethatthe

resourceorserviceisbeingused.

2006年12月8日星期五南京大學計算機系講義6

2006年12月8日星期五南京大學計算機系講義7

Proofthesecuritymodelenforces

thesecuritypolicy

i.Definitionofsecurity-relevantstatevariables(subjects,objects,

securityattributes,accessrights)

ii.Definitionofconditionsforasecurestate(invariants,security

properties);

ill.Definitionofstatetransitionfunction;

iv.Proofthatthefunctionsmaintainthesecurestate;

v.Definitionoftheinitialstate;

vi.Proofthattheinitialstateissecure;

M.Gasser,Buildingasecurecomputersystem,vanNostrand

Reinhold,1988.

2006年12月8日星期五南京大學計算機系講義8

2.TheGeneralisedFrameworkfor

AccessControl(GFAC)

■Animprovedframeworkforexpressingandintegratingmultiplepolicy

components.

■Themainobjectivesare

Makeiteasytostate,formalise,andanalysediverseaccess

controlpolicies

Makeitfeasibletoconfigureasystemwithsecuritypolicies

chosenfromavendorprovidedsetofoptionswithconfidence

thatthesystem'ssecuritypolicymakessenseandwillbe

properlyenforced.

□Constructthemodelinamannerthatallowsonetoshowthat

itsatisfiesanaccepteddefinitionofeachsecuritypolicyit

represents.

2006年12月8日星期五南京大學計算機系講義9

GFAC5spremise

■GFACisbasedonthepremise

□allaccesscontrolpoliciescanbeviewedasrulesexpressed

intermsofattributesbyauthorities;

■Authorities:Anauthorisedagentthat

□definessecuritypolicies;

□identifiesrelevantsecurityinformation;

□assignsvaluestoattributes.

■Attributes

Characteristicsorpropertiesofsubjectsandobjectsdefined

withinthecomputersystemforaccesscontroldecision

making;

■Rule:Asetofformalizedexpressions

definetherelationshipsamongattributesandothersecurity

informationforaccesscontroldecisionsinthecomputer

system;

reflectingthesecuritypoliciesdefinedbyauthority.

2006年12月8日星期五南京大學計算機系講義10

ACI&ACR

■accesscontrolinformation(ACI)

□securityattributesandotheraccesscontroldata;

■Accesscontrolrules(ACR).

therulesthatimplementthetrustpoliciesofa

system

2006年12月8日星期五南京大學計算機系講義11

adjudicationandenforcement

■Theagentthatadjudicatesaccesscontrolrequestsiscalled

accesscontroldecisionfacility(ADF);

□ADFcorrespondstotheaccesscontrolruleswithintheTCB

thatembodythesystem'ssecuritypolicy.

■TheagentthatenforcestheADFsdecisioniscalledaccess

controlenforcementfacility(AEF);

□AEFcorrespondstothesystemfunctionsofthetrusted

computingbase(TCB)

2006年12月8日星期五南京大學計算機系講義12

OverviewofGFAC

Subject

accessI

requestsI

decisionrequest

AEF用ADF

accessl^^decision

update*-refersto▼

Object：ACIRules

2006年12月8日星期五南京大學計算機系講義13

Rule-SetModellingapproach

■Intraditionalsecuritymodelingapproaches,thesecuritymodelrules

describebothaccesspolicyandsystembehavior;

■Therulesetmodellingapproachseparatesthedecisioncriteria(access

rules)fromthestatetransition(systemoperations)

■AEFcorrespondstoamodelofthesystemoperations,calledstate-

machinemodel

□abstractlydefinestheinterfaceofprocessestotheTCB;

■ADFcorrespondstoapolicymodel,calledtherule-setmodel

definesthesecuritypoliciesofthetrustedcomputersystem.

2006年12月8日星期五南京大學計算機系講義14

3.Bell-LaPadula模型

Bell-LaPadula模型對應軍事類型的安全

密級分類。

該模型影響了許多其他模型的發(fā)展，甚至

很大程度上影響了計算機安全技術的發(fā)展。

3.1非形式化描述

■最簡單的保密性分類形式是按照線性（全）排列的安全等

級。

■每一個主體都有一個安全許可（Clearance）。在下圖中，

Claire的安全許可是C（保密），Thomas的安全許可是TS（頂

級機密）。

■每個客體都有一個敏感等級，電子郵件文件的敏感等級

是S（秘密），電話清單文件的敏感等級為UC（公開）。

■當我們同時指主體的許可和客體的密級時，用術語“密

級”oBell—Lapadula安全模型的目的是要防止主體讀取

安全密級比它的安全許可更高的客體。

2006年12月8日星期五南京大學計算機系講義16

■亶一非形式化描述

安全許可敏感級別

2006年12月8日星期五南京大學計算機系講義17

mdula模型一非形式化描述

■設L(s)4是主體s的安全許可，并設L(o)=/。是客體。的敏

感等級。對于所有安全級別i=o,…,k-1,有

h+i°

■簡單安全條件S可以讀0,當且僅當/。＜/,且S對。具

有自主型讀權限。

■例如，在上圖中，Claire和Clarence不能讀人事文件，但

Tamara和Sally可以讀活動日志文件(而且，實際上根據(jù)

Tamara的安全許可，她可以讀任何文件在此假設自主型

訪問控制允許Tamara和Sally的訪問)。

2006年12月8日星期五南京大學計算機系講義18

mdula模型一非形式化描述

■如果Tamara(TopSecret)決定將人事文件的內(nèi)容復制到活

動日志文件里，并設置適當?shù)淖灾髟L問權限，那么

Claire(Confidential)就可以讀這些人事文件了。這樣，

Claire可能會讀取到具有更高安全等級的文件。

■*-屬性(星號屬性s可以寫o,當且僅當乙＜/。。且s

對。具有自主型寫權限。

■這時因為活動日志文件的安全密級為C,Tamara的安全

許可為TS,所以她不能寫活動日志文件。

2006年12月8日星期五南京大學計算機系講義19

模型一非形式化描述

基本安全定理

設系統(tǒng)￡的某一個初始安全狀態(tài)為。0,T是狀態(tài)轉(zhuǎn)換的

集合。如果T的每個元素都遵守簡單安全條件和*—屬

性，那么對于每個i三。，狀態(tài)。j都是安全的。

2006年12月8日星期五南京大學計算機系講義20

型一非形式化描述

類別

■通過給每個安全密級增加一套類別，每種類別都描述一

種信息，可以將模型進行擴展。屬于多個類別的客體擁

有所有屬于這些類別的信息。

■這些類別來自于“需要知道''原則，它規(guī)定，除非主

體為了完成某些功能而需要讀取客體，否則就不能讀取

這些客體。某人可以訪問的類別集合就是類別集合的賽

集。

■例如，如果類別是NUC,EUR和US,那么某人可以訪問

的類別集合就是以下集合之一：

■空集），{NUC},{EUR},{US},

{NUC,EUR}{EUR,US}{NUC,Us}{NUC,EUR,US}

這些類別集合在操作q（子集關系）下形成一個格。

2006年12月8日星期五南京大學計算機系講義21

mdula模型一非形式化描述

2006年12月8日星期五南京大學計算機系講義22

mdula模型一非形式化描述

■安全級別和類別形成一個安全等級。

■主體在某安全等級上有安全許可(或歸于此安全等級、屬

于此安全等級)

■客體處于安全等級的級別(或者屬于某個安全等級)。

■例如，William可能歸于等級(SECRET,{EUR}),George

歸于等級(TOPSECRET,{NUC,US})o一個文檔可能

會被歸于等^(CONFIDENTIAL,{EUR})。

2006年12月8日星期五南京大學計算機系講義23

型一非形式化描述

■類別基于'需要知道'原則，所以預先假設對類別集合

{NUC,US}有訪問權的人沒有必要訪問類別EUR里元

素。因此，即便該主體的安全許可高于客體的安全密

級，讀訪問也應該被拒絕。

■定義一種新的關系來體現(xiàn)安全密級和類別集合的結(jié)合。

定義dom（dominates支配）關系。

■定義5.1安全等級（L,C）支配安全等級（L'，C’）,當且

僅當L'WL,C'1Co

■關系為安全等級集合上引入了一個格。

2006年12月8日星期五南京大學計算機系講義24

型一非形式化描述

■簡單安全條件S可以讀O,當且僅當SdomO,且

S對。具有自主型讀訪問權限。

■*屬性S可以寫O,當且僅當OdomS且S對。具

有自主寫權限。

■基本安全定理設系統(tǒng)、的某一個初始安全狀態(tài)為。0,T

是狀態(tài)轉(zhuǎn)換的集合。如果T的每個元素都遵守簡單安全條

件和*—屬性，那么對于每個i>0,狀態(tài)“都是安全的。

2006年12月8日星期五南京大學計算機系講義25

2.2BellLaPadula的形式化描述

2006年12月8日星期五南京大學計算機系講義26

^^■adula模型一形式化描述

GeneralSystems

■SoXxY

□ThesystemSisarelationontheabstractsetsX

andY.

■S:XfY

SisafunctionfromXtoY

□TheelementsofX:inputs

TheelementsofY:outputs

□Sexpressesafunctionalinput-outputrelationship.

2006年12月8日星期五南京大學計算機系講義27

mdula模型一非形式化描述

Example

■Considerasavingaccountinabankwhich

compoundsinterestquarterly

■bk=(bk4+pk)-(l+ik)(1.1)

□bk:thebalanceafterthecomputationofinterestat

theendofthek-thquarter.

□pk:thenettransactionintheaccountduringthek-th

quarter.

□ik:thequarterlyinterestrateattheendofthek-th

quarter.

2006年12月8日星期五南京大學計算機系講義28

.Ela模型一非形式化描述

Example(continues)

■Aseven-yearhistoryofsuchasavingsaccountisrepresentedbya

system

■S(b0)cPxIxB

b0:theinitialbalanceintheaccount

P=R28:thetwenty-eighttransactions

I=R28:thetwenty-eightquarterlyinterestrates

□B=R28：thetwenty-eightsuccessivebalances

■(p,i,b)eS(b0)iff(1.1)holdforeverykfrom1to28

2006年12月8日星期五南京大學計算機系講義29

^^■aclula模型一非形式化描述

SecureComputerSystems

■Problemsofsecurity

□Howtoguaranteethatunauthorizedaccess(byaprocess)

toinformation(file,program,data)doesnotoccur.

2006年12月8日星期五南京大學計算機系講義30

mdula模型一非形式化描述

FoundationsofaMathematicalModel

■模型的元素

集合元素語義

S{S1,S2,???,Sn}主體：進程

O{01,02,???,Om}客體：數(shù)據(jù)、文件、程序、設備等。

C{C1,C2,???,Cq}級別：主體的安全許可，客體的敏感級別。

{Cl>C2>???>Cq

K{K1,K2,??*,Kr}類別：訪問權限范圍。

2006年12月8日星期五南京大學計算機系講義31

型一非形式化描述

ElementsoftheModel(2)

A{r,w,e,a,c}訪問屬性：read,write,append,

execute,andcontrol

RA{g,r,c,d}請求兀素：

g:get,give

r:release,rescind

c:change,create

d:delete

RS+XRAXS+X0XX請求：

其中：s+=suwinputs,

X=AU{(I)}UF;commands,

requestsforaccesstoobjectsby

一個請求的元素記為R

ksubjects

D(yes,no.error,?}決定

D的元素記為Dm

2006年12月8日星期五南京大學計算機系講義32

ghdula模型一非形式化描述

ElementsoftheModel(2)

FCsxC°x(PK)Sx(PK)°classification/need-to-knowvectors：

anarbitraryelementoffl:subject-classificationfunction

Fiswrittenf=f2:object-classificationfunction

(fl,f2,f3,f4)f3:subject-categoryfunction

f4:object-categoryfunction

XRTrequestsequences

anarbitraryelementof

Xiswrittenx

YDTdecisionsequences

anarbitraryelementof

Yiswritteny

2006年12月8日星期五南京大學計算機系講義33

ghdula模型一非形式化描述

ElementsoftheModel(4)

M{Ml,M2,???,Mc},accessmatrices

C=(25)n?m；1.

anelementofM,sayMk,isannXm

matrixwithentriesfromPA;the

(i,j)-entryofMkshowsS/saccess

attributesrelativeto0j

VP(SxOxA)xMxFstates

anarbitraryelementofViswrittenv

ZVTstatesequences

anarbitraryelementofziswrittenz;?

Gzisthet-thstateinthestatesequencez

2006年12月8日星期五南京大學計算機系講義34

mdula模型一非形式化描述

StatesoftheSystem

■AstatevGVisa3-tuple(b,M,f)where

(1)b

bGP(Sx0xA),indicatingacurrentaccess

setwhichrepresentingaccessmode.

acurrentaccessisrepresentbyatriple:(subject,

object,access-attribute)

thecurrentaccesssetbisasetofsuchtriples

representingallcurrentaccesses.

2006年12月8日星期五南京大學計算機系講義35

模型一非形式化描述

(2)M

mGM,indicatingtheentriesoftheaccessmatrixinthe

statev;

^^^^Object0j

Subject

S1叫ePA

2006年12月8日星期五南京大學計算機系講義36

mdula模型一非形式化描述

(3)f

■fGF,indicatingtheclearancelevelofallsubjects,

theclassificationlevelofallobjects,andthecategories

associatedwitheachsubjectandobjectinthestatev.

□Clearanceorclassificationusuallydenotedby

unclassified,confidential,secret,topsecret

□CategoryusuallydenotedbyNuclear,NATO,Crypto,...

□Atotalsecuritydesignationispair:

(classification,setofcategory)

2006年12月8日星期五南京大學計算機系講義37

mdula模型一非形式化描述

State-TransitionRelation

■WeRxDxVxv

■ThesystemZ(R,D,W,z°)oXxYxZisdefinedby

(x,y,z)GS(R,D5W,Z0)ifandonlyif

(xt,yt,zt,zt_-()GWforeachtGT

□wherez0isaspecifiedinitialstateusuallyofthe

form((|),M,f)5where0denotestheemptyset.

2006年12月8日星期五南京大學計算機系講義38

mdula模型一非形式化描述

SECURITYCONDITION

(S,O,x)GSxOxAsatisfiesthesecurity

conditionrelativetof(SCrelf)iff

(i)x=eorx=aorx=c,or

(ii)(x=rorx=w)and

(fi(S)>f2(O)and

f3(S)3f4(O)).

2006年12月8日星期五南京大學計算機系講義39

mdula模型一非形式化描述

SECURITYCONDITION

■Astatev=(b,M,f)GVisasecurestateiffeach

(S,O,x)￡bsatisfiesSCrelf.

■Astatevisacompromisestate(compromise)iffit

isnotasecurestate.

■AstatesequencezGZhasacompromiseiffztis

acompromiseforsometGT.

■zisasecurestatesequenceiffztisasecurestate

foreachtGT.

2006年12月8日星期五南京大學計算機系講義40

真型一非形式化描述

SECURITYCONDITION

■E(R,D,W,z0)isasecuresystemiffevery

appearanceofE(R,D,W,z0)issecure.

■S(R,D,W,z0)hasacompromiseiffsome

appearanceofZ(R,D,W,z°)hasacompromise.

2006年12月8日星期五南京大學計算機系講義41

真型一非形式化描述

,PROPERTY

■Letb(s:x,y,...,z)denotetheset

{o:oeOand[(s,o,x)Gbor(s,o,y)Gbor???or(s,o,z)eb]}.

■Astatev=(b,M,f)GVsatisfies*-propertyiffforeachsG

Sthefollowingpropositionistrue:

[b(s:w,a)半巾andb(s:r,w)豐巾]implies

上⑼)>f2(O2)andf4(Ox)of4(O2),

forallO]inb(s:w,a),O2inb(s:r,w)]

■Astatevviolates"-propertyiffvdoesnotsatisfy*-

property.

2006年12月8日星期五南京大學計算機系講義42

mdula模型一非形式化描述

,PROPERTY

■AstatesequencezGZsatisfies"-propertyiffzt

satisfies*-propertyforeachtGT.

■(x,y,z)GE(R,D,W,z0)satisfies*-propertyiffz

satisfies*-property.

■E(R,D,W,zO)satisfies*-propertyiffevery

appearanceofE(R,D,W,z0)satisfies*-property.

2006年12月8日星期五南京大學計算機系講義43

mdula模型一非形式化描述

discretionarysecurityproperty

■Astatev=(b，M，f)GVsatisfiesds-property

if

■Astatesatisfiestheds-propertyprovidedthatevery

currentaccessispermittedbythecurrentaccess

matrixM:

(S?Oj,x)Gb今xGMg

2006年12月8日星期五南京大學計算機系講義44

模型一非形式化描述

Rules

■Aruleisafunctionr:RxV—>DxV.

givenarequestandastate,aruledecidesa

responseandastatechange.

■Arulerissecurity-preservingifftheproposition

[[r(Rk,v)=(Dm,v*)andvissecure]implies

[v*issecure]]

holdsforallelements(Rk,v)eRxV.

2006年12月8日星期五南京大學計算機系講義45

mdula模型一非形式化描述

Rules

■Aruleris"-property-preservingifftheproposition

[[r(Rk,v)=(Dm,v*)andvsatisfies*-property]

implies[v*issecure]]

holdsforallelements(Rk,v)GRxV.

2006年12月8日星期五南京大學計算機系講義46

mdula模型一非形式化描述

Action

■(Ri,Dj,v*,v)eRxDxVxVisanactionof

E(R,D,W,z0)iff

□thereisanappearance(x,y,z)ofE(R5D,W,z0)

□andsometGTsuchthat

(Ri，Dj,v*,v)=(xt,yt,zt,zt.1)

2006年12月8日星期五南京大學計算機系講義47

mdula模型一非形式化描述

Theorems

■Theorem1(R,D,W,z0)issecureforanysecurestatez()iff

Wsatisfiesthefollowingconditionsforeveryaction(Ri,Dj,

(b,M,f)):

(i)every(S,O,x)Gb*-bsatisfiesSCrelf*;

(ii)every(S,O,x)GbwhichdoesnotsatisfySCrelf*

isnotinb*.

2006年12月8日星期五南京大學計算機系講義48

mdula模型一非形式化描述

CovertChannels

■CovertChannel:acommunicationschannelthatallows

transferofinformationinamannerthatviolatesthe

system"ssecuritypolicy.

□Storagechannels:e.g.throughoperatingsystemmessages,

filenames,etc.

Timingchannels:e.g.throughmonitoringsystemperformance

■CovertchannelsarenotdetectedbyBLPmodeling.

2006年12月8日星期五南京大學計算機系講義49

型一非形式化描述

關于BLP模型的爭論

■McLean的上屬性和基本安全定理

b(s:a)豐0今[Vo€b(s:a)[fc(s)domfo(o)]]

b(s:w)。。今[Vo￡b(s:w)[fc(s)=fo(o)]]

b(s:r)豐0今[Vo€b(s:r)[fc(s)domfo(o)]]

■McLean證明了定理：

X(R,D,W,z0)相對于對S'is任何安全狀態(tài)z0滿足t-屬性，當且

僅當對于任何行為(r,d,(b,m,f),,(b',m',f'))和每個s€S,W都滿足

條件：

對任意的(s,o,a)€b-b'滿足關于S'的f-屬性；

(s,o,a)￡b'中不滿足關于S'的f屬性的元素都不屬于b。

2006年12月8日星期五南京大學計算機系講義50

mdula模型一非形式化描述

■McLean的基本安全定理：

S(R,D,W5Z。)是一個安全系統(tǒng)，當且僅當是一個安

全狀態(tài)，并且W滿足關于簡單安全屬性、?安全屬

性和自主訪問控制ds的安全屬性。

■顯然McLean的系統(tǒng)、(R,D,W,z0)是不安全的,

因為這個系統(tǒng)的規(guī)則允許信息向下流動。

■但是這系統(tǒng)滿足基本安全定理。

2006年12月8日星期五南京大學計算機系講義51

型一非形式化描述

■Bell的基本安全定理表明的是如果系統(tǒng)的行為滿足給定

的條件，則系統(tǒng)的狀態(tài)的屬性能得以保持。

■系統(tǒng)狀態(tài)的屬性的內(nèi)容與模型是獨立的。

■如果把McLean的「屬性中的條件

b(s:a)+0今[Vo€b(s:a)[fc(s)domfo(o)]]

解釋為主體的完整性級別(可信程度)高于客體的完整性

級別時，主體才可以寫客體o,則的確McLean的屬性表

達了另一個安全目標。

McLean的基本安全定理也就表明了在什么條件下，系統(tǒng)

的系統(tǒng)的安全屬性得以保持。

2006年12月8日星期五南京大學計算機系講義52

4.Biba模型

■KJ.Biba,IntegrityConsiderationsforSecure

ComputerSystems,USAFElectronicSystems

Division,Bedford,Mass.,April1977.

□thefirstsecuritymodeltoaddressintegrity

2006年12月8日星期五南京大學計算機系講義53

Biba模型的元素

■s：主體集合；

■o：客體的集合

■I:完整性等級集合；I

關系v11xI,(i[,i2)￡＜當且僅當i1完整性等級高

于i2的完整性等級。

■函數(shù)i:SU0-I的值是主體或客體的完整性等

級。

2006年12月8日星期五南京大學計算機系講義54

完整性登記的含義

■等級越高，程序正確執(zhí)行（或者根據(jù)程序輸入和程序的執(zhí)

行停止來檢測出問題）的可靠性就越高。

■高等級的數(shù)據(jù)比低等級的數(shù)據(jù)具備更高的精確性和可靠

性（根據(jù)不同的測量方法）。

■此外，這種模型隱含地融入了“信任”這個概念。事實

上，用于衡量完整性等級的術語是“可信度”。例如，

一個進程所處等級比某個客體的等級要高，則可以認為

進程比該客體更“可信”。

2006年12月8日星期五南京大學計算機系講義55

Biba靜態(tài)的完整性策略

■簡單完整性策略如果主體S可以寫入客體0,則

i(s)>i(o)

■完整性策略：如果主體S可以讀客體O,則S

能寫客體。,必須要滿足i(o)2i(o')

■調(diào)用策略：一個'不那么可信'的主體"不能

通過調(diào)用主體與：來破壞一個客體。主體”可以

調(diào)用力僅當i(Si)2i(s2)

■No—ReadDown

■No—WriteUp

2006年12月8日星期五南京大學計算機系講義56

對于主體的下限標記策略

(Low-watermarkpolicyforsubjects)

■一個主體能夠持有對給定客體的“modify”訪問方式，僅

當此主體的完整級別支配該客體的完整級別。

■一個主體能夠持有對另一主體的“invoke''訪問方式，

僅當?shù)谝粋€主體的完整級別支配第二個主體的完整級

別。

■一個主體能夠持有對任何客體的“observe”訪問方式。

當主體s擾行了對客體。的“observe”操作之后，主襪的

完整級別被置為訪問之前主體和客體的完整級別的最大

下界gib.(心以似O

■由于主體的完整性等級是非遞增的，所以，它可能很快

就不能訪問完整性登記較高的客體了。

2006年12月8日星期五南京大學計算機系講義57

環(huán)策略(Ringpolicy)

■一個主體能夠持有對給定客體的“modify”訪問方式，

僅當此主體的完整級別支配該客體的完叁級別。

■一個主體能夠持有對另一主體的“invoke''訪問方式,

僅當?shù)谝粋€主體的完整級別支配第二個主體的完整級

別。

■主體對具有任何完整級別的客體均能夠持有“observe”

訪問方式

■一個具有高完整性級別主體能夠“observe”一個具有較

低完整級別的客體，然后“modify”具有自己安全級別

客體，這樣信息就從低完整級別流向高或不可比完整級

別。

2006年12月8日星期五南京大學計算機系講義58

5.第昂(Dion)模型

■LukeC.Dion,ACompleteProtectionModel)

Proceedingsofthe1981IEEESymposiumon

SecurityandPrivacy,pp49-55.

2006年12月8日星期五南京大學計算機系講義59

第昂(Dion)模型

■Object/objectcomputationalmodel.

■Migration/corruptionlevels.

■Read/writeLevels.

■Integratedview.

2006年12月8日星期五南京大學計算機系講義60

■BLPmodelprevent:

□asubjectreadingdataresidingatahighersecurity

level;

□asubjectwritingdatatoalowersecuritylevel.

■TheintegrityextensiontoBLPprevent:

□asubjectwritingtoahigherintegritylevel;

□asubjectreadingfromalowerintegritylevel;

2006年12月8日星期五南京大學計算機系講義61

IntegrityLevel

■Allobjectsandsubjectsofthesystemhavean

associatedintegritylevel.

■Thesetofallpossibleintegritylevelsispartially

ordered.

2006年12月8日星期五南京大學計算機系講義62

■ExplicitConnection

□WhenasubjectwishestotranaferdatabetweenobjectOd

andobjectO2,itmustestablishanexplicitconnection

betweentheobjects.

□Onceanexplicitconnectionisestablishedbetweentwo

objects,asubjectcanthencausedatatoflowbymakingthe

appropriatesystemcalls.

■ImplicitConnection

□Ifasubjectisallowedtosimultaneouslymaintainmorethan

onesegment,thenwhenaddinganewsegmentanimplicit

connectionmustbemadebetweenthenewsegmentand

everysegmentfromwhich(ortowhich)datamayflow.

□Thatis,nosubjectisallowedtoartificiallyconstructa

connection(usingsegments)whichbypasses(explicit)

connectionestablishmentprotocol.

2006年12月8日星期五南京大學計算機系講義63

■Eachobjecthasthreesecurityandthreeintegritylevels

■MigrationLevel

□Themigrationlevel(ML)ofanobjectisthehighest

securitylevel(MSL)andthelowestintegritylevel(MIL)to

whichdataintheobjectmayflow.

■AbsoluteLevel

□Theabsolutelevel(AL)ofanobjectisthesecuritylevel

(ASL)andtheintegritylevel(AIL)atwhichthedatainthe

objectisclassified.

■CorruptionLevel

Thecorraptlonlevel(CL)ofanobjectisthelowest

securitylevel(CSL)orthehighestintegritylevel(CIL)

fromwhichdatamayflowintothatobject.

2006年12月8日星期五南京大學計算機系講義64

Additionalrestrictions

■Theadditionofmigrationandcorruptionlevelstothe

integrityextendedBell&LaPadulamodeladdsenforced

upward(forsecurity)anddownward(forintegrity)data

flowrestrictions.

2006年12月8日星期五南京大學計算機系講義65

Read/writelevels

■Controlledsecurityviolationbyprivilegedsubjects.

■Eachsubjecthasthreesecurityandintegritylevels.

■ReadLevel

□Thereadlevel(RL)ofasubjectisthehighestsecuritylevel

(RSL)andlowestintegritylevel(RIL)fromwhichthesubjectis

allowedtoread.

■AbsoluteLevel

□Theabsolutelevel(AL)ofasubjectisthesecuritylevel(ASL)

andintegritylevel(AIL)giventhesubjectuponcreation.

■WriteLevel

□Thewritelevel(WL)ofasubjectisthelowestsecuritylevel

(WSL)andhighestintegritylevel(WIL)towhichthesubjectis

allowedtowrite.

2006年12月8日星期五南京大學計算機系講義66

Controledviolations

■Ifthereadsecuritylevelofasubjectishigherthanits

absolutesecuritylevel,orifthewritesecuritylevelofa

subjectislessthanitsabsolutesecuritylevel,thenthesubject

possessestheabilitytoperformcontrolledsecurityviolations.

2006年12月8日星期五南京大學計算機系講義67

Integratedview

■ThefollowinginequalitiesmustbetrueforPtoestablish

aconnectionfromOxtoO2:

OiMSL三O2MSL(SI)

OjCSL2O2CSL(S2)

PRSLNO]ASL(S3)

O2ASL^