课件8：第4-~2节信息流控制.ppt

第4章 信息流控制原理 概述 信息的泄漏原因： 1、访问控制机制有缺陷 2、缺乏适当的信息流策略 3、缺乏实现信息流策略的适当机制。 信息流控制策略： 1、规定信息的安全类和客体安全类之间的关系 2、不同安全类客体之间信息的流动关系。 4.1 信息流的格模型 格模型是Denning D.E.于1975年在他的博士论文“计算机系统中的安全信息流”中发表的。 格模型是用来描述信息流的信道与策略，但不是指定信息从一个客体流向另一个客体。 格模型也是状态转移类模型：通过格结构的流动策略、状态和状态转换对信息流系统进行形式化。 4.1.1 格与信息流动策略 1、格的定义：如果（L，≤）是一个偏序集合，L中每一对元素a和b都有最大下界与最小上界，则称二元组（L，≤）是格。 格中的最大下界和最小上界分别用a⊙b和a?b表示。（L，≤）是一个偏序集合，蕴涵着关系≤具有以下性质（其中A、B、C是L中的元素）： 1）自反的：A≤A。 2）传递的：若A≤B且B≤C，则A≤C。 3）反对称的：若A≤B且又有B≤A，则有A=B。 2、有限格 在保护系统中，主体、客体（包括存储段、变量单元等）的个数是有限的。研究有限格是必要的。有限格还有以下性质： 1）任何有限格都存在最小上界（也称为最大元素，记为HIGH）和最大下界（也称为最小元素，记为LOW）。设L={a1,a2,…,an}，根据最大元素与最小元素的定义有： (1) LOW= a1⊙a2⊙…⊙an (2) HIGH= a1?a2?…?an 2）且对于任意元素A∈L有A?LOW=A，A⊙HIGH=A，即LOW为?运算的幺元素，HIGH为⊙运算的幺元素。 3、线性格与子集格 1）线性格：在N个元素的集合S上，这N个元素之间的关系是一个线性序的关系。对于所有的S中的元素a和b都有： （1）a?b=max(a,b) （2）a⊙b=min（a,b） （3）LOW元素对应于位于线性序最低端元素，而HIGH元素对应于最高端元素。 2）子集格：给定一个有限集合S，可以由S上的所有子集集合上的一个非线性排序形成一个子集格。 有序关系≤对应于子集间的包含关系； 最大元素对应于所有子集的并（∪），是全集S本身； 最小元素对应于所有子集的交（∩），是空集{ }。 4、格的乘积 格的代数系统形式： 设(L，⊙，?)是一个代数系统，⊙和?是集合L上的二元运算。 如果运算⊙和?都满足交换律、结合律，并且也满足吸收律(即有a⊙(a?b)=a和a?a⊙b=a)，则代数系统(L，⊙，?)也是格。 例如：设(L，⊙，?)和(S，∧，∨)是两个格，定义一个代数系统(L×S，·，+)如下： 对于任意的（a1,b1）、(a2，b2)? L×S有： (a1,b1)·(a2，b2)=(a1⊙a2，b1∧b2) (a1,b1)+(a2，b2)=(a1?a2，b1∨b2)，则称 (L×S，·，+)是格(L，⊙，?)和(S，∧，∨)的积代数。 两个格的积代数也是一个格，因为在L×S上运算·和+都是封闭的，并且满足交换律、结合律和吸收律。 图4-2中是图4-1中的两个格的积代数。 二、信息流动策略 每一个信息流动策略都可以用一有限格（SC，≤）描述，SC是安全类的集合。 如果A、B∈SC，且A≤B，则说明信息A的安全类低于B的安全类。 根据安全策略的要求，只能允许信息在一个类内或向高级别的类流动，但不允许向下或流向无关的类。 任何一个信息流动策略都可以找到一个格来描述。 如果你给出的流动策略不符合一个格的要求，可以按照格的定义重新把它修改成一个格. 例如，可把图4-3（a）所示非格策略，改变成图4-3（b）的格图。 改变的方法如下： 4.1.2 系统的信息安全性状态 系统的信息安全性状态(简称为信息状态)是由系统中每一个客体的值和安全性类描述的。 客体可能是一个逻辑结构，诸如一个文件、记录、记录中的字段和程序变元； 或可能是一个物理结构，诸如存储器单元（区）、寄存器（包括地址或指令寄存器）、或一个用户。 符号说明：对于一个客体x， x：代表x的名字与它的值， SC(x)：表示它的安全类。 xs：强调x在信息状态s中的值 SC(xs)：强调x在信息状态s中的安全类 客体安全类SC(x)可是一个常量或变元。 静态约束：对于固定类的客体，在x的生命期中，SC(x)都是常数，即对于所有的信息状态s和s’都有SC(xs)= SC(xs’)。 动态约束：对于可变类的客体，x的安全类SC(x)随着x的内容而变化，即SC(xs)依赖于xs。 信息流的控制机制需要支持固定类和