操作系统安全(第二部分理论篇)教程.pptx

2016/4/20;2016/4/20;2016/4/20;5.1安全策略;2016/4/20;2016/4/20;2016年4月20日星期三;2016年4月20日星期三;2016年4月20日星期三;2016年4月20日星期三;2016年4月20日星期三;2016年4月20日星期三;2016/4/20;2016/4/20;2016/4/20;2016/4/20;2016/4/20;一些主要的模型;强制访问控制模型（MAC）;2016/4/20;2016/4/20;2016/4/20;2016/4/20;该模型是可信系统的状态转换模型。定义所有可以使系统“安全”的状态集，检查所有状态的变化均开始于一个“安全状况”并终止另一个“安全状态”，并检查系统的初始状态是否为“安全状态”。每个主体均有一个安全级别，并由许多条例约束其对具有不同密级的客体的访问操作。模型定义的主客体访问规则： 使用状态来表示系统中主体对客体的访问方式 可向下读，不可下写 可上写，不可上读;系统状态： V＝｛B×M×F×H｝ B：访问集合，是S×O×A的子集，定义了所有主体对客体当前的访问权限。 函数 F: S ∪ O →L，语义是将函数应用于某一状态下的访问主体与访问客体时，导出相应的安全级别。 Fs：主体安全级别 Fo：客体安全级别 Fc：主体当前安全级别 FsFc 状态集V在该模型中表现为序偶（F，M）的集合，M是访问矩阵。 变迁函数T：V×R→V。 R请求集合，在系统请求执行时，系统实现状态变迁；D是请求结果的集合。 类似于HRU模型，BLP模型的组成元素包括访问主体、访问客体、访问权限和访问控制矩阵。但BLP在集合S和O中不改变状态 与HRU相比，多了安全级别、包含请求集合的变迁函数。;定义4.1： 状态 ( F, M ) 是“读安全”（也称为“simple security”）的充分必要条件是 定义4.2： 状态 ( F, M ) 是“写安全”（也称为“*-property”）的充分必要条件是 定义4.3： 状态是“状态安全”（state secure）的充分必要条件是它既是“读安全”又是“写安全”。 定义4.4： 系统 ( v0 , R , T ) 是安全的充分必要条件是初始状态v0是“状态安全”的，并且由初始状态v0开始通过执行一系列有限的系统请求R可达的每个状态v也是“状态安全”的。 ;定理4.3：系统 (v0 ,R ,T )是安全的充分必要条件是 其中，T为转移函数，是指由初始状态v0通过执行一系列有限的系统请求R到达可达状态v。 ; ??读安全”禁止低级别的用户获得高级别文件的读权限。 “写安全”防止高级别的特洛伊木马程序把高级别文件内容拷贝到低级别用户有读访问权限的文件。 缺点：未说明主体之间的访问，不能适用于网络;2016/4/20;2016/4/20;2016/4/20;2016/4/20;2016/4/20;2016/4/20;2016/4/20;2016/4/20;2016/4/20;2016/4/20;2016/4/20;2016/4/20;2016/4/20;5.4 完整性策略与模型－Biba;2016/4/20;2016/4/20;2016/4/20;2016/4/20;2016/4/20;2016/4/20;2016/4/20;2016/4/20;2016/4/20;完整性模型－Clark-Wilson;Clark-Wilson验证性规则;Clark－wilson强制规则;Clark－wilson强制规则;Clark－wilson强制规则;Clark－wilson强制规则;2016/4/20;2016/4/20;2016/4/20;全体客体的集合（O）;5.5混合型/中立型安全策略与模型中国墙模型;角色的概念： 角色的抽象定义是指相对于特定的活动的一系列行动和职责集合，角色面向于用户组，但不同于用户组，角色包含了用户集和权限集。 RBAC特点： 角色控制相对独立，根据配置可使某些角色接近DAC，某些角色接近MAC ;基本模型RBAC0 角色分级模型RBAC1 角色限制模型RBAC2 统一模型RBAC3 ;RBAC模型－RBAC0 ;RBAC模型－RBAC1 ;RBAC模型－RBAC2;RBAC模型－RBAC3 ;RBAC模型－改进的RBAC;RBAC模型－改进的RBAC;RBAC模型－优势;5.6其他模型;信息流模型－特点;2016/4/20;2016/4/20;2016年4月20日星期三;2016年4月20日星期三;2016年4月20日星期三;2016年4月20日星期三;2016年4月20日星期三;2016年4月20日星期三;2016年4月20日星期三;2016年