在信息安全中,模型提供了一种把安全策略形式化的手段。这些模型可以是抽象的,也可以是直观的,但全都是为了提出一套可供计算机遵守,用于执行构成安全策略的基本安全概念、进程和规程的明确规则
安全模型(security model):使设计人员得以把抽象陈述投射到令牌、能力和标签为构建硬件和软件规定了必要算法和数据结构的安全策略中
令牌、能力和标签
安全令牌(token):是与资源关联的独立客体,描述了资源的安全属性
能力列表(capability list):为每个受控客体各保存一列安全属性信息
安全标签(security label) :通常是附着在客体上的一个永久部分,提供了另外一种防篡改保护措施,而这是令牌和能力列表都没有提供的。
8.3.1 可信计算基
可信计算基(trusted computing base, TCB):设计原则是硬件、软件和控制的集合体,它们协同工作,构成了执行安全策略的可信根基。
在安全策略的遵守和执行方面,TCB是系统中唯一一个可以信任的部分
1. 安全边界
系统的安全边界(security perimeter):是一个假想的边界,可将 TCB 与系统的其余部分分隔开来(见图 8.2)
可信路径(trusted path) :TCB若要与系统的其余部分通信,则必须创建安全信道,也叫可信路径
可信壳(trusted shell) :安全边界还允许使用可信壳 。可信壳可使主体在不给 TCB 或主体带来风险的情况下进行命令行操作
2. 参考监视器和内核
参考监视器(reference monitor) :TCB 中负责在授权访问请求之前验证对每个资源的访问的部分被称作参考监视器
安全内核(security kernel) :TCB 中用于执行参考监视器功能的组件集合被称为安全内核
8.3.2 状态机模型
状态机模型(state machine model):描述了一个无论处于什么状态都始终安全的系统,它基 于有限状态机(finite state machine, FSM)的计算机科学定义
状态转换(state transition) :接受输入或产生输出时会发生转换。转换总会产生新的状态
如果一个状态的所有方面都达到安全策略的要求,则可认为这个状态是安全的
安全状态机(secure statemachine) :如果每个可能的状态转换都产生了另一个安全状态
8.3.3 信息流模型(多级模型)
信息流模型(information flow model)专注于控制信息的流动
信息流模型的设计往往可以在不同安全级别之间防止未经授权、不安全或受限制的信息流(通常被称为多级模型)
信息流表明了一个对象从一个时间点的一种状态到另一时间点的另一状态的转换
8.3.4 无干扰模型
无干扰模型(noninterference model):大致基于信息流模型
无干扰模型关注的并不是信息流,而是较高安全级别主体的动作会对系统状态或较低安全级别主体的动作产生的影响
主体A(高级别)的动作不应影响主体 B(低级别)的动作,甚至不应引起主体B 的注意
可以提供一种防止木马、后门、 rootkit 等恶意程序造成损害的保护手段
三种组合理论
级联(cascading) :一个系统的输入来自另一系统的输出。
反馈(feedback) :一个系统向另一系统提供输入,由后者进行角色互换(即系统 A 首先为系统 B 提供输入,然后系统 B 向系统 A 提供输入)。
连接(hookup) :一个系统在把输入发送给另一系统的同时还将其发送给了外部实体。
8.3.5 获取-授予模型
获取-授予模型(take-grant model):用一个定向图(见图 8.3)规定应该怎样把权限从一个主体传递给另一个主体或者从一个主体传递给一个客体
这个模型的要点在于,使用这些规则后,你将能确定何时可以更改系统相关权限,以及什么位置发生了泄露(指无意间分配了权限)。
简单来说,拥有授予权的主体(X)可把自已拥有的任何权限授予另一主体仅)或另一客体(Z)
同样,拥有获取权的主体(X)可从另一主体(Y)处获取权限。
8.3.6 访问控制矩阵
访问控制矩阵(access control matrix,ACM):是一个由主体和客体组成的表格,标明了每个主体可
对每个客体执行的操作或功能
访问控制列表(Access Control List,ACL):矩阵的每一列都是依照客体排列的访问控制列表
8.3.7 Bell-LaPadula 模型(保密性)
美国国防部于 20 世纪 70 年代根据其多级安全政策开发了 Bell-LaPadula 模型。多级安全政策规定,具有任何级别许可权的主体可以访问该许可权级别或低于该级别的资源。然而在许可权级别内,也只能按因需可知(need-to~know)原则授予对分隔开的客体的访问权。
Bell-LaPadula 模型建立在状态机概念和信息流模型之上,还采用了强制性访问控制和基于格子的访问控制概念
三个基本属性
简单安全属性(Simple Security Property):规定主体不可读取更高敏感度级别的信息(不可向上读)。
*安全属性(*Security Property):规定主体不可把信息写进较低敏感度级别的客体(不可向下写)。这也被称为限定属性(Confinement Property)
自主安全属性(Discretionary Security Property):规定系统通过一个访间矩阵执行自主访问控制,主体基于其工作或角色按需访问客体
Bell-LaPadula 模型有一个例外规定一”可信主体”不受*安全属性约束
8.3.8 Biba 模型(完整性)
Biba模型也建立在状态机概念上,基于信息流,而且是一个多级模型,侧重于完整性
Biba 模型的属性
简单完整性属性(Simple Integrity Property):规定主体不能读取较低完整性级别的客体(不可向下读)
*完整性属性(*Integrity Property):规定主体不能修改较高完整性级别的对象(不可向上写)
Biba模型缺点
它专注于使客体免受外部威胁侵扰,但是假定内部威胁会以程序化方式被处理。
它没有涉及访问控制管理,也没有提供分配或更改客体或主体定密级别的方式
8.3.9 Clark-Wilson 模型
Clark-Wilson 模型:通过一种涉及诸多方面的方法实现数据的完整性。定义了每个数据项并且只允许通过一个受限或受控中间程序或接口进行修改。Clark-Wilson 模型执行了职责分离。可确保数据不会被任何未经授权的用户更改
三元组(access control triplet) :主体/程序/客体(或主体/交易/客体)的三方
主体只能通过程序、接口或访问门户访问客体(见图 8.7) 。
Clark-Wilson模型的设计成为商业领域/应用的通用模型
8.3.10 Brewer and Nash 模型
创建 Brewer and Nash 模型:是为了让访问控制可以根据用户先前的活动动态地作出改变(这也使其成为一种状态机模型),解决利益冲突
中国墙/中国长城模型:只要提到解决利益冲突就选这个
8.3.11 Goguen-Meseguer 模型
Goguen-Meseguer 模型:是一个完整性模型,非干涉性模型,这个模型被认为是非干涉性概念理论的基础
Goguen-Meseguer 模型以主体可访问的预先确定的客体集或域(即一个列表)为基础
Goguen-Meseguer 模型以主体可访问的预先确定的客体集或域(即一个列表)为基础。模型的根基是自动控制理论和域隔离。
8.3.12 Sutherland 模型
Sutherland 模型:是一个完整性模型,专注于通过防止干扰来支持完整性
基于状态机模型和信息流模型。但是它并没有直接指明保护完整性的具体机制。是一种理念:对一组系统状态、初始状态和状态转换给出明确定义
使用 Sutherland 模型的一个常见例子是:防止隐蔽信道被用来影响进程或活动的结果。
8.3.13 Graham-Denning 模型
Graham-Delllling 模型:专注于主体和客体的安全创建与删除
主体在一组客体上执行某些操作的具体能力或权限通常被定义在一个访问矩阵(也叫访问控制矩阵)中。
8.3.14 Harrison-Ruzzo-Ullman 模型
Harrison-Ruzzo-Ulhnan(HRU)模型:专注于给主体分配客体的访问权限以及这些被分配权
限的韧性,它是 Graham-Denning 模型的扩展
HRU下的访问权限状态可用一个矩阵表示,其中行是主体,列是客体(里面还会包含主体,因为主体也可以是客体)。每行和每列的交集朼包含允许每个主体针对每个客体执行的具体规程
有限命令或基元(primitive)集,以便控制授权主体修改矩阵的方式
