浙江大学：《信息安全原理》课程教学资源（PPT课件）第七章 安全模型理论

第七章安全模型理论

第七章 安全模型理论

安全模型理论 访问控制 访同控制机制 自主访间控制 强制访间控制 访间控制矩阵 保护状态 访问控制矩阵模式 保护状态转交 条件价令 接贝,拥有和特权的弱化 总结

安全模型理论 • 访问控制 – 访问控制机制 – 自主访问控制 – 强制访问控制 • 访问控制矩阵 – 保护状态 – 访问控制矩阵模式 – 保护状态转变 – 条件命令 – 拷贝，拥有和特权的弱化 – 总结

安全模型理论 完整性策略 标 Bb完整性模式 L1e的完整性矩阵模式 Clarkewilso完整性模式 混合性政策 中国长城模式 临床信息系统安全政策 创建者控制访问控制 基子任务的控制 ●审查

安全模型理论 • 完整性策略 – 目标 – Biba 完整性模式 – Lipner的完整性矩阵模式 – Clark-Wilson 完整性模式 – 小结 • 混合性政策 – 中国长城模式 – 临床信息系统安全政策 – 创建者控制访问控制 – 基于任务的控制 – 小结 • 审查

间控 访间控制是计算机保护中极其重要的一环。 它是在身份识别的基础上,根据身份对提出的资 源访间请求加以控制。 )访间控制中三个元素: 访问的发起者称为主体,通常为进程,程序或用户。 包括各种资源称为客体,如文件,设备,信号量等 保护规则,它定义了主体与客体可能的相互作用途径

访问控制 • 访问控制是计算机保护中极其重要的一环。 • 它是在身份识别的基础上，根据身份对提出的资 源访问请求加以控制。 • 访问控制中三个元素： – 访问的发起者称为主体，通常为进程，程序或用户。 – 包括各种资源称为客体，如文件，设备，信号量等。 – 保护规则，它定义了主体与客体可能的相互作用途径

保护域 每一主体(进程)都在一特定的保护域下工作。 保护域规定了进程可以访问的资源。 每一域定义了一组客体及可以对客体采取的操作 可对客体操作的能力称为访问权( Access Right),访 司权定义为有序对的形式。 个域是访问权的集合

访问控制机制 • 保护域： – 每一主体（进程）都在一特定的保护域下工作。 – 保护域规定了进程可以访问的资源。 – 每一域定义了一组客体及可以对客体采取的操作。 – 可对客体操作的能力称为访问权（Access Right），访 问权定义为有序对的形式。 – 一个域是访问权的集合

有重叠的保护域 保护域Ⅹ 商家证书 文件A,{读,写} 文件B,{执行}> 打印机{写} 文件C读

访问控制机制 • 有重叠的保护域 保护域 X 商家证书 持卡 人证书 离线根证书 机构签名

主体(进程)在某一特定时刻可以访间的 客体(软件,硬件)的集合称为客体。 客体可以是静态的,即在进程生命期中保 持不变,或动态改变。 为使进程对自身或他人可能造成的危害最 小,最好在所有时间里进程都运行在最小 客体下

访问控制机制 • 主体（进程）在某一特定时刻可以访问的 客体（软件，硬件）的集合称为客体。 • 客体可以是静态的，即在进程生命期中保 持不变，或动态改变。 • 为使进程对自身或他人可能造成的危害最 小，最好在所有时间里进程都运行在最小 客体下

一般客体的保护机制有两种: 自主访间控制( Discretionary Access Control) 用户可以按自己的意愿对系统的参数做适当修改以决定哪些用 户可以访问他们的文件,亦即一个用户可以有选择地与其它用 户共享他的文件。用户有自主的决定权。 强制访问控制( Mandatory Access Control) ●用户与文件都有一个固定的安全属性。系统用该安全属性来决 定一个用户是否可以访问某个文件。安全属性是强制性的规定 它是由安全管理员,或者是操作系统根据限定的规则确定的 用户或用户的程序不能加以修改

访问控制机制 • 一般客体的保护机制有两种： – 自主访问控制（Discretionary Access Control）： • 用户可以按自己的意愿对系统的参数做适当修改以决定哪些用 户可以访问他们的文件，亦即一个用户可以有选择地与其它用 户共享他的文件。用户有自主的决定权。 – 强制访问控制（Mandatory Access Control）： • 用户与文件都有一个固定的安全属性。系统用该安全属性来决 定一个用户是否可以访问某个文件。安全属性是强制性的规定， 它是由安全管理员，或者是操作系统根据限定的规则确定的， 用户或用户的程序不能加以修改

伤间制 为了实现完备的自主访问控制系统,由访 间控制矩阵提供的信息必须以某种形式存 放在系统中。 访间矩阵中的每行表示一个主体,每一列 则表示一个受保护的客体,而矩阵中的元 素,则表示主体可以对客体的访问模式。 实际上常常是基于矩阵的行或列来表达访 问控制信息

自主访问控制 • 为了实现完备的自主访问控制系统，由访 问控制矩阵提供的信息必须以某种形式存 放在系统中。 • 访问矩阵中的每行表示一个主体，每一列 则表示一个受保护的客体，而矩阵中的元 素，则表示主体可以对客体的访问模式。 • 实际上常常是基于矩阵的行或列来表达访 问控制信息

访间控制基于行的自里访向制 基于行的自主访间控制: 一所谓基于行的自主访问控制是在每个主体上都 附加一个该主体可访问的客体的明细表 权限字 权限字是一个提供给主体对客体具有特定权限的不 可伪造标志。主体可以建立新的客体,并指定这些 客体上允许的操作。它作为一张凭证,允许主体对 某一客体完成特定类型的访问

自主访问控制－ 基于行的自主访问控制 • 基于行的自主访问控制： – 所谓基于行的自主访问控制是在每个主体上都 附加一个该主体可访问的客体的明细表。 – 权限字： • 权限字是一个提供给主体对客体具有特定权限的不 可伪造标志。主体可以建立新的客体，并指定这些 客体上允许的操作。它作为一张凭证，允许主体对 某一客体完成特定类型的访问