节构建安全模型.pptVIP

3.4 安全模型的构建 3.4.1 建模的方法步骤 下面要建立的安全模型是由访问矩阵与访问监控器组成的，访问矩阵反映了系统的安全状态。 保护系统可以抽象地用几个要素及其相互关系来描述：系统中包括主体集合与客体集合，主体包括用户或完成用户任务的进程，客体是指系统中所有可以被访问的对象。 为了建立一个简洁的体现上述概念的安全模型，在安全模型中要尽量减少，甚至不包括那些与安全无关的功能与状态或其他因素。 模型中包括：安全状态变量（访问矩阵）和状态转换函数。 建立模型的步骤 （1）确定系统的安全策略，及其形式描述。 （2）定义系统的安全状态，确定访问矩阵 其他辅助安全变量， 指定变量初始值，定义初始状态。 （3）定义安全状态不变式，它表明在安全状态中，状态变量值之间必须保持的关系； （4）定义状态转换函数（或称操作命令），它描述了安全状态变量的值发生变化而引起的系统安全状态的变化。 （5）证明转换函数能够维持系统安全状态，即证明转换函数在执行前与执行后系统都处于安全状态。 为了确保维持系统的安全状态，常常需要对转换函数增加约束条件。 （6）证明初始状态是安全的。 如果能够证明该初始状态是安全的，然后证明所有的状态转换函数能够保持系统的安全状态，那么根据数学推理就可以保证，无论按什么顺序调用系统功能，系统将总是能够保持安全状态的。 3.4.2.1 安全策略的描述 策略（a）只有当某用户对某文件有访问关系时，该用户才能按规定的访问权对该文件进行访问； 策略（b）只有系统管理员才能够创建与删除用户和修改它们的安全属性与访问权限； 策略（c）每个用户都有权创建与删除自己的文件，并可以赋予或修改它们的安全属性或访问权限。 策略（d）只有当某用户是某文件的主人时，该用户才有权把对该文件的访问权转授其他用户或撤消其他用户对自己文件的访问权。 为了保证在系统中实施多级安全，我们在模型中增加了两条带有强制性的控制策略，这两条策略分别对应于BLP模型的简单安全性与*-特性： 策略（e）只有当用户的敏感级不低于文件的敏感级时，用户才可以阅读该文件或者执行该文件。 策略（f）只有当文件P的敏感级不低于文件o的敏感级时，读过文件o的用户才能够写文件P。 为了在安全模型中体现安全策略的要求，需要给出安全策略的形式化描述，为此，首先从系统的需求分析者对策略的自然语言描述中抽象出一些概念，并把它们计算机术语化。表4-22反映了这种对应关系，但没有穷尽。 表符号栏内的“t?A[s, o]”表示t为矩阵项A[s, o]中的某个访问权，SC表示安全类，是Security Class的缩写。 性质（a）仅当某主体对某客体有访问关系，该主体才能按规定的访问权访问该客体。 性质（b）仅当主体是系统管理员时才有权创建与删除主体和修改主体的安全属性与访问权限。 性质（c）每个主体都有权创建与删除自己的客体，并可以赋予或修改自己客体的安全属性或访问权限。 性质（d）仅当某主体是某客体的拥有者时，该主体才有权把对该客体的访问权转授其他主体或撤消其他主体对自己客体的访问权。 性质（e）仅当某主体的安全类不低于某客体的安全类时，该主体才可以读该客体或执行该客体。 性质（f）仅当客体P的安全类不低于客体o的安全类时，读过客体o的主体s才能够写客体P。 3.4.2.2 实例模型的定义 下面根据上一小节介绍的安全策略的要求定义系统的安全模型，其中包括定义状态变量、安全状态（包括初态）和状态之间的转换函数。 1、定义模型的状态变量 系统的状态由系统中所有的状态变量所决定，系统在某一时刻的状态由该时刻下所有状态变量的值决定的。 系统的安全状态则是由系统中所有与安全有关的状态变量所决定的。这些状态变量的值发生了变化，安全状态也就随着发生了变化。 为了使模型简洁，最重要的一点就是尽量减少模型所使用的安全状态变量的数量，与安全无关的变量尽量不列入模型中。 模型（也就是系统）的安全状态由表中这些状态变量的集合组成，可以表示为： security_state={S, O, A[S,O], SC(s), SC(o), contents(o), live} 其中矩阵A[S,O]是最重要的状态变量，SC(s)与SC(o)可以认为它们分别是附着在矩阵A[S,O]中的一行与一列。由于主体也可能是受访问控制的对象，因此在矩阵的列中也包括所有主体。 contents和live状态变量是与安全相关的辅助状态变量 2、定义安全状态不变式 安全状态不变式表明了系统对安全状态的要求， 其含义表示，不论系统的安全状态如何转换，如果安全不变式的要求仍能得到满足，那么系统总是处于安全状态。 安全不变式应该是简洁的，但却又应该是保证系统处于安全状态的最关键的和最低要求。 在任何状态下