访问控制技术课件

访问控制技术

AccessControlTechnologies引言二十一世纪，信息化已成为国民经济和社会发展的倍增器。信息技术作为推动信息化进程的核心动力，正以其广泛的渗透性和无与伦比的先进性与传统产业进行着紧密的结合，推动了国家现代化和社会文明的快速发展。Page*信息安全产生的背景目前许多行业系统对信息安全框架的构造只停留在网络防护，而忽略了基础安全平台这一基本要素，这如同将坚硬的堡垒建立在沙丘之上，安全隐患极大。由于信息技术本身的特殊性，特别是网络的开放性，使得在整个信息化进程中，存在着巨大的信息安全风险：技术因素环境因素Page*对信息保密性的攻击监听窃听截听纸上信息电子信息访问攻击Page*信息安全无处不在物理安全通信安全辐射安全计算机安全网络安全Page*有关Internet1996/8/17美国司法部的网络服务器遭到黑客入侵

主页改为美国不公正部/部长照片换成了希特勒/司法部徽章换成纳粹党徽/色情女郎变成部长助手1988/11/2病毒入侵计算机网络事件

美国6000多台计算机被病毒感染/病毒作者CORNELLU.RobertT.Morris/231994末俄罗斯黑客佛拉基米尔.利文攻击CITIBANK,通过电子转帐方式,窃取1100万元美金1991/5由于网络系统被攻破在BISCAY海湾发生沉船事故1993/6黑客修改了美国一家医院的测试数据,许多被测者误以为自己患上了癌症1998/8/22江西省169台被黑客攻击瘫痪1998/4/25黑客攻击CHINANET贵州站点的WWW主机,使得WEB页面不堪入目

在现在的INTERNET上没有任何事情是可以绝对相信的,从远方的一个IP地址到收到的一份电子邮件,我们不能相信它是真实的。Page*瑞星全球反病毒检测网2006年11月17日发布消息称，中国银联官方网站被黑客攻陷，其首页被植入后门程序，并在服务器上放置了“黑洞2005”。

2006年11月18日中国银联有关负责人表示，银联卡交易网络未受影响。银联网站被黑不影响交易Page*CERT有关安全事件的统计

年份事件报道数目19886198913219902521991406199277319931334199423401995241219962573199721341998373419999859200021756200152658200282,0942003137,529Page*信息安全事件统计CERT有关安全事件的统计年度报道事件数目与软件漏洞相关事件数目2003114,8553784200282,094412920015265824372000217561090Page*CNCERT/CC来自国内外安全事件报告一览月份蠕虫网页恶意代码木马网络欺诈拒绝服务攻击网页篡改扫描主机入侵垃圾邮件其他合计11301917221432812412614176335735186937121226841116357025461220852313326104353112410421174401295617211110991100251157总计19732205561240629723189136302003年上半年4675，下半年8639Page*一、计算机信息系统面临的安全威胁

计算机信息系统是由计算机及其相关的和配套设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输等处理的人机系统。

Page*

威胁的几种类型1窃取

:对数据和服务的窃取

2篡改:对数据和服务的篡改

3拒绝服务

4伪造：伪造虚假数据

5重放

6冒充：冒充身份

7抵赖Page*二、计算机犯罪1、以破坏计算机系统资源为目标

①“硬”攻击手段

②“软”攻击手段

③以强的电磁场干扰计算机的工作

2、利用计算机系统作为犯罪工具

①窃取计算机中有价值的数据

②贪污和诈骗

③破坏计算机中的信息Page*三、计算机犯罪的特点1.是一种高技能、高智能和专业性强的犯罪2.造成的损失严重，危害大，影响广

3.难以发现和侦破四、信息战Page*信息战InformationWarfare（IW)这个名词已经变得广为接受，相应地还有Cyberwar,I-War，infowar,C4I等名词诞生根据IASIW(INSTITUTEFORTHEADVANCEDSTUDYOFINFORMATIONWARFARE)的定义，信息战争指：使用信息或信息系统的攻击和防御，以利用、恶化、摧毁对手的信息和信息系统，同时保障自身的信息和信息系统Page*信息战常识信息战的发起可以从任何地方，信息战的武器包括各个方面：病毒，特洛伊木马，邮件炸弹，电磁干扰等信息战要素C4I:Command,Control,CommunicationsandIntelligence+Computer信息战的层次个人之间企业之间政府之间网上的偷盗行为盛行，使得许多银行、商家推迟网上交易计划

Page*信息战争演习英美专家策划举行信息战争演习，假想敌人是计算机“黑客”美国政府“建议一些分析性的演习，以检验21世纪早期的Cyberwar以及不同的模式”在美国举行的一些演习证明：少数几个计算机“黑客”即可使美国的股票市场、军事系统和机场陷于瘫痪Page*五、计算机信息系统的脆弱性1.硬件设施的脆弱性

温度、湿度、灰尘、电磁场2.软件的脆弱性3.网络通信的脆弱性Page*信息安全无处不在物理安全通信安全辐射安全计算机安全网络安全Page*计算机安全和网络安全的含义—网络安全网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏更改泄漏,系统连续可靠正常地运行，网络服务不中断。

Page*计算机安全和网络安全的含义—物理安全

物理安全风险主要是指信息系统中的网络设施和计算机硬件设施所可能遭受的物理破坏或损坏，造成物理风险的原因包括：（1）地震、火灾、水灾等意外环境事故；（2）电源故障；（3）人为操作失误或错误；（4）设备被盗、被毁。Page*计算机安全和网络安全的含义—运行安全运行安全风险是指系统组件在不存在物理损坏的前提下因为某些原因而不能正常运行的问题，运行风险包括：（1）停电；（2）设备故障；（3）电磁干扰；（4）病毒。Page*计算机安全和网络安全的含义—管理安全

管理安全风险主要是指因为管理不善的原因而造成的上述各类风险，管理风险主要关注的是系统中的各类人员。责权不明、管理混乱；安全管理制度不健全；缺乏可操作性。Page*计算机安全和网络安全的含义—信息安全

信息安全包括信息的保密性、完整性和可用性。而信息安全风险则是指信息的保密性、完整性和可用性遭受破坏的问题，信息风险虽然关注的是信息的安全，但是这些风险却完全可能是因为网络、计算机软硬件等自身存在的缺陷所引起的。Page*计算机安全和网络安全的含义

具体的信息安全风险包括：机密信息泄漏未经授权的访问破坏信息完整性假冒，包括：

假冒领导或机构发布命令和调阅密件；假冒合法主机和用户欺骗其他主机和用户；假冒网络控制程序套取或修改使用权限、通行字、密钥等信息，越权使用网络设备和资源；接管合法用户欺骗系统，占用合法用户资源。破坏系统的可用性，包括：

使合法用户不能正常访问网络资源；使有时间要求的服务不能及时得到响应；使信息系统瘫痪。Page*信息安全的定义信息安全是一个复杂而巨大的系统工程。长期以来，人们把信息安全理解为对信息的机密性、完整性、可用性和可控性的保护。一般而言，信息安全的基本内容包括访问控制、数据存储安全、传输安全及管理措施四个方面，而所涉及的安全问题又要依靠密码技术、数字签名技术、身份认证技术、安全审计、灾难恢复、防火墙、防病毒、防黑客入侵等安全机制（措施）加以解决。Page*安全网络的特征保密性信息不泄漏给非授权的用户、实体和过程，或供其利用的特性数据保密性就是保证只有授权用户可以访问数据，而限制其他人对数据的访问。数据保密性又分为网络传输保密性和数据存储保密性保密性：对抗对手的被动攻击，保证信息不泄漏给未经授权的对象Page*安全网络的特征完整性数据未经授权不能进行改变的特性，保证数据和信息处于一种完整和未受损害的状态，不影响数据的可用性。可用性当需要数据时，指能否存取和访问所需的信息如网络环境下的拒绝服务、系统不能正常运行【蠕虫大量复制和传播，占用大量CPU时间，系统慢，网络最后崩溃。网站费用陡增】可控性对信息的传播和信息内容能够控制完整性：对抗对手的主动攻击，防止信息被未经授权的篡改可用性：保证信息及信息系统确实为授权使用者所用可控性：对信息及信息系统实施安全监控Page*信息安全分类及基本功能

根据国家计算机安全规范，我们可以把信息安全大致分为三类：●实体安全，包括机房、线路，主机等；●网络与信息安全，包括网络的畅通、准确及其网上的信息安全；●应用安全，包括程序开发运行、输入输出、数据库等的安全。Page*网络安全的结构层次Page*信息安全风险分析及对策风险安全对策用户风险身份假冒身份认证身份窃取身份认证非授权访问访问授权管理重放攻击鉴别、记录、预警否认审计、记录深度入侵预警、阻断数据风险窃取实体安全、加密篡改完整性检验毁坏灾难恢复有害数据侵入(包括病毒等)所造成的破坏检测、过滤、分析、捕获应用和服务风险非授权访问访问授权身份假冒身份认证密钥管理漏洞CA、KDC、PKI数据库自身的漏洞检测、打补丁、升级操作系统自身的漏洞漏洞检测、打补丁、升级服务的脆弱性及漏洞检测、打补丁、更新应用系统自身的缺陷更新完善Page*信息安全风险分析及对策服务器风险入侵探测实时监测、预警、回火非授权访问访问控制策略漏洞策略管理、检查系统配置缺陷系统版本检测、更新系统平台评测、选择实体安全缺陷防辐射、防橇、防雷击服务器所存在的陷门和隐通道尚无相应的解决技术及产品网络风险入侵探测检测、预警、回火设备攻击实时监测、管理、维护通道保密强度采用高强度加密产品网络设备配置缺陷定期检测、加强配置管理、日志、审计网络设备物理安全缺陷更新网络设备存在的陷门和隐通道尚无相应的解决技术及产品网络设备实体的安全防盗、防辐射、防雷击Page*可信计算机评估标准D级(最低安全形式)无系统访问、数据访问限制属于这个级别的OS有：DOS/WINDOWS/MACINTOSHSYSTEN7.1C1级注册帐号、口令/用户识别、规定程序及信息访问权C2级除C1外包括访问控制环境如身份验证级别、审计日志C2级的常见OS有UNIX/XENIX/NOVELL3.X/WINDOWSNTB1级第一个多级安全级别/强制访问控制/系统不允许文件的拥有者改变其许可权限B2级又称结构保护/系统中所有对象均加标签，设备分配多个级别B3级安全域级别/使用安装硬件的方式来加强域/要求用户通过一条可信任途径链接到系统上A级包括了一个严格的设计、控制和验证过程。设计须验证（数学），并通过秘密和可信任分布（硬件、软件在传输过程中已受到保护）的分析Page*信息安全产品类型按应用类别一般可分为以下四种：信息保密产品用户认证授权产品安全平台/系统网络安全检测监控设备Page*信息安全产品类型安全平台/系统安全操作系统安全数据库系统Web安全平台安全路由器与虚拟专用网络产品安全授权认证产品数字证书管理系统用户安全认证卡智能IC卡鉴别与授权服务器网络病毒检查预防和清除产品安全检测与监控产品网络安全隐患扫描检测工具网络安全监控及预警设备网络信息远程监控系统网情分析系统密钥管理产品高性能加密芯片产品密码加密产品数字签名产品信息保密产品Page*网络安全体系模型安全模型MPDRRMRPDRManagement安全管理Recovery安全恢复Reaction安全响应Detection入侵检测Protect安全保护访问控制机制安全管理机制备份与恢复机制安全响应机制入侵检测机制Page*安全体系模型的解释Protect安全保护Detection入侵检测Reaction安全响应Recovery安全备份Management安全管理Page*常用安全技术安全技术屏蔽布线Nordon防病毒防火墙存储加密访问控制入侵检测系统（IDS）身份鉴别隔离卡VLAN

安全OSIBMOS/400数据通信加密安全审计Page*用信息安全理论与技术实现的案例Page*用信息安全理论与技术实现的案例Page*用信息安全理论与技术实现的案例Page*信息安全保密身份鉴别访问控制信息加密电磁泄露发射防护信息完整性校验抗抵赖安全审计网络安全保密性能检测入侵监控操作系统安全数据库安全Page*身份鉴别鉴别次数不成功鉴别尝试达到一定次数系统须采取行动鉴别方式采取口令方式进行身份鉴别采用IC卡或采用口令进行身份鉴别采用一次性口令或生理特征等强身份鉴别在规定时段内用户未做任何操作和访问系统应提供重鉴别机制口令强度口令保护组成复杂不易猜测口令必须加密存储口令文件安全口令存放载体的物理安全口令更换周期及更换记录口令须加密传输IC卡物理保护按规定放置Page*访问控制访问控制策略memo安全域划分根据信息密级和重要性划分系统安全域同一安全域中再进行划分[根据信息密级、重要性和授权]访问控制措施不同安全域需互连互通时应进行边界防护[FW、保密网关]实施访问控制按用户类别、信息类别控制/控制到单个用户、单个文件须采用强制访问控制访问控制规则设置的安全Page*入网访问控制入网访问控制—为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。网络管理员可以控制和限制普通用户的账号使用、访问网络的时间和方式。用户账号应只有系统管理员才能建立。用户名和口令验证有效之后，再进一步履行用户账号的缺省限制检查。网络应对所有用户的访问进行审计。Page*权限控制网络的权限控制—针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。可以根据访问权限将用户分为以下几类：特殊用户（即系统管理员）；一般用户，系统管理员根据他们的实际需要为他们分配操作权限；审计用户，负责网络的安全控制与资源使用情况的审计。Page*目录级安全控制网络应允许控制用户对目录、文件、设备的访问。对目录和文件的访问权限一般有八种：系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限。一个网络管理员应当为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。Page*属性安全控制网络上的资源都应预先标出一组安全属性。当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。属性往往能控制以下几个方面的权限：向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。Page*服务器安全控制网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；可以设定服务器登录时间限制。Page*目前信息系统安全加固，采下述思路：非法人员或黑客进不来进来了偷不走偷走了读不懂Page*应用级及产品层面另一种说法密码理论与技术认证识别理论与技术（PKI技术）授权与访问控制理论与技术审计追踪技术入侵检测技术网间隔离与访问代理技术虚拟专用网技术防病毒技术数据库安全技术Page*认证识别、授权与访问控制理论主要包括：1.身份鉴别

:防止非法用户进入系统

①验证用户知道什么

②验证用户拥有什么

③验证用户的生物特征

④验证用户下意识的动作用户口令UPage*2.访问控制

:防止非法用户对系统资源的非法访问

自主访问控制强制访问控制基于角色的访问控制基于任务的访问控制Page*54第二讲传统的访问控制

访问控制的基本任务是：防止非法用户进入系统及合法用户对系统资源的非法使用，它保证主体对客体的所有直接访问都是经过授权的。55一基本概念

1.访问控制不考虑身份鉴别的话，其内容主要包括非法用户禁止访问合法数据2.客体

是一种能够从其它客体或主体接收信息的实体3.主体

是一种可以使信息在客体之间流动的实体56

每张表及数据项均可看作为一个客体姓名性别年龄班级宿舍号码

它们可被访问、修改或删除如网络节点、内存段(类似房间）574.访问权限(访问模式)

是指主体对客体可进行的特定访问操作

读(r)写(w)添加(a)执行(e)删除(d)

c控制权

o拥有权:决定别的主体能否访问这个客体的权限以上表为例插入记录，其他信息看不见UoC决定其它客体的被访问权585．自主访问控制是指对某个客体具有拥有权（或控制权）的主体能够将对该客体的一种访问权或多种访问权自主地授予其它主体，并在随后的任何时刻将这些权限回收。6．强制访问控制

系统根据主体被信任的程度和客体所包含的信息的机密性来决定主体对客体的访问权，这种控制往往可以通过对主体和客体赋以安全标记来实现。59例：教务处查分。但要在学校的规定下进行。班主任可以看，不能给学生看。必须有一些条件限制。会计和出纳规定不能由同一个人担任。一个机构，即使一个文件是你起草的，但这个文件有一个较高的密级，不具备资格或权限看的人亦不能给他看。60二自主访问控制1.自主访问控制的矩阵模型系统状态用一个有序三元组表示Q=(S,O,A)，其中

S——主体的集合

O——客体的集合

A——访问矩阵，行对应于主体，列对应客体设S={s1,s2},O={m1,m2,f1,f2,s1,s2}

m1

m2

f1

f2

s1

s2

úûùêëé=},,{e}w,{r,{r}w}r,{c,{r}e}w,{r,21ercssA61626364矩阵是动态增大的创建一个客体就增加一个列进来一个主体就增加一个行例m1m2f1s1{r,w}{r}{a.e}s2{r}{r,w,a}m1m2f1f2s1{r,w}{r}{a.e}s2{r}{r,w,a}m1m2f1f2s1{r,w}{r}{a.e}s2{r}{r,w,a}s3{r,w,a}65收回授权的情况，状态本身也在变化例m1m2f1s1{r,w}{r}{a.e}s2{r}{r,w,a}m1m2f1s1{r}{r}{a.e}s2{r}{r,a}应该有一个控制程序：访问或不允许访问存储结构是一个大稀疏矩阵6667访问能力表(CL)

Obj1OwnRWOObj2

R

OObj3

RWOUserA每个主体都附加一个该主体可访问的客体的明细表。二元组(x,y)（客体，{O,R,W})68例：2.1M1M2F1F2P1P2P1{r,w,e}{r,w,a,d,e}P2{r,a}{r,w,a,d}697071访问控制表(ACL)

userAOwnRWOuserB

R

OuserCRWOObj1每个客体附加一个它可以访问的主体的明细表。7273742.自主访问控制的实现方法

⑴基于行的自主访问控制—权力表

(2)基于列的自主访问控制—授权表

S1的权力表{r,w}{r}{a,e}m1m2f1POm1的授权表{r,w}{r}S1S2PSskip75S1的权力表{r,w}{r}{a,e}m1m2f1POm1的授权表{r,w}{r}S1S2PSm1m2f1s1{r,w}{r}{a.e}s2{r}{r,w,a}大表拆成多张小表skip76访问控制矩阵按列看是访问控制表内容按行看是访问能力表内容目标xR、W、OwnR、W、Own目标y目标z用户a用户b用户c用户dRRR、W、OwnR、WR、W

目标用户

773.授权的管理方式⑴集中式管理

一个主体si在创建某个客体oj后，该主体就获得了对这一客体的c权和其它所有可能权限。c权意味着可以将它对oj所有其它（除c权以外）的访问权限授予系统中任何一个主休，也可以撤销系统中任何主体对oj的其它访问权限。其它主体因为对oj不具有c权，因此即使他们对oj具有某些访问权限，但它们也无权将这些权限转授给别的主体、或撤销别的主体对oj的任何访问权限——在这种管理模式下，对于任一客体oj，哪些主体可以对其进行访问，可以进行什么样的访问，完全由oj的拥有者决定。

对于任一客体oj，完全由oj的拥有者决定78⑵分散式管理

在分散式管理模式下，客体的拥有者不但可将对该客体的访问权授予其它客体，而且可同时授予他们对该客体相应访问权的控制权（或相应访问权的授予权）。（1）允许传递授权（2）当一个主体撤销它所授予的对某个客体的某种访问权限时，必须将由于这一授权而引起的所有授权都予以撤销。79例在数据库中，对关系表的访问权限包括：READ读表中的行，利用关系查询，定义基于关系的视图INSERT行DELETE行UPDATE列DROP删除表80创建数据库表的一个例子CREATETABLEpublishers(pub_idchar(4)NOTNULL

CONSTRAINTUPKCL_pubindPRIMARYKEYCLUSTEREDCHECK(pub_idIN('1389','0736','0877','1622','1756')ORpub_idLIKE'99[0-9][0-9]'),

pub_namevarchar(40)NULL,cityvarchar(20)NULL,statechar(2)NULL,countryvarchar(30)NULL

DEFAULT('USA'))81显示居住在加利福尼亚州且姓名不为McBadden的作者列。

SELECTau_fname,au_lname,phoneASTelephoneFROMauthorsWHEREstate='CA'andau_lname<>'McBadden'82INSERTINTOT1(column_4)VALUES('Explicitvalue')INSERTINTOT1(column_2,column_4)VALUES('Explicitvalue','Explicitvalue')INSERTINTOT1(column_2,column_3,column_4)VALUES('Explicitvalue',-44,'Explicitvalue')SELECT*FROMT183一个带有WHERE条件的修改语句。

UPDATEauthorsSETstate='PC',city='BayCity'

WHEREstate='CA'ANDcity='Oakland'

84GRANT语句是授权语句，它可以把语句权限或者对象权限授予给其他用户和角色。DENY语句用于拒绝给当前数据库内的用户或者角色授予权限，并防止用户或角色通过其组或角色成员继承权限。85REVOKE语句是与GRANT语句相反的语句，它能够将以前在当前数据库内的用户或者角色上授予或拒绝的权限删除。86下图表示数据库中对某个关系x的授权情况（课本P22

）ADCB

10R(y),I(y)20R(y),I(y)

30

R(y),I(y)15R(n)除了控制权外，其它都可以授出去87关系X的授权表用户表授予者READINSERT控制BXA1010yDXA150nCXB2020yDXC3030y88在t＝40用户A撤销了对B的授权后ADCB15R(n)89在t＝40用户A撤销了对B的授权后关系X的授权表的变为：用户表授予者READINSERT控制DXA150n90⑶受限的分散式管理

受限的分散式管理模式，是将系统中对客体的访问权限限制在一定的主体范围内，要求根据客体拥有者的意愿进行。例发放黑令牌

客体o的拥有者可对系统内不允许对客体o进行写访问的主体发放黑令牌，阻止其它有权对o进行写访问的主体将这一访问权授予这些主体。例某一机构的组织结构。顶级节点可看作系统管理员/系统安全员/系统中所有资源的拥有者,他对资源的访问具有绝对的控制权。91922.3强制访问控制与安全策略自主访问控制保证系统资源不被非法访问一种有效手段保护用户个人资源的安全为目标以个人的意志为转移这种自主性满足了个人的安全需求为用户提供了灵活性但对系统安全的保护力度是相当薄弱的93系统资源自主性满足了用户个人资源的安全要求自主访问控制禁止对非法访问以个人的意志为转移用户个人资源的安全一种有效手段94对系统安全的保护力度相当薄弱有利于个人用户不利于系统安全当系统中有大量数据,数据宿主是国家,是整个组织或整个公司时,谁来对他们的安全负责?95为了保护系统的整体安全,须采取更强有力的访问控制手段控制用户对资源的访问强制访问控制962.3.1强制访问控制在一个实施了强制访问控制的系统中主体客体被允许访问可进行什么样的访问972.3.2安全策略98第三讲安全策略与安全模型

一数学基础

1.集合元素子集

a∈AHS2.集合的幂集

2A=P(A)={HA}3.笛卡尔积

A×B={(a,b)|a∈A,b∈B}4.集合A上的关系的性质

设

是A上的关系,a∈A

均aa自反

设

是A上的关系,a,b∈A若a

b,则ab与ba不能同时出现

反对称

设

是A上的关系,a,b,c∈A若ab,bc则一定有ac

可传递的99偏序关系：集合A

上的关系ρ

，如果它是自反、反对称且可传递的，则称ρ为A

上的一个偏序关系。“偏序关系”也叫做“偏序”，用“≤”符号表示。可比：设≤是集合A

上的偏序，对于a、b∈A，若有a≤b

或b≤a，则称a和b是可比的，否则称a和b是不可比的全序：一个集合A

上的任意两个元素之间都满足偏序关系，则称该偏序为A

上的一个全序。良序：一个集合A

上的偏序，若对于A

的每一个非空子集S

A，在S

中存在一个元素as（称为S

的最小元素），使得对于所有的s∈

S，有as≤s，则称它为A上的一个良序。5.集合上的偏序关系1006.次序图

ab若存在ac,cb则a,b无边

由于偏序是反对称的，关系图上每两个节点之间，若要有边，只有一条边，一个方向。例1：A＝{2，3，4，6，8，12，36，60}上的整除关系ρ是一个偏序，其关系图如图1：可以用结点的上下位置代替边的方向，省略箭头，如图236061223648图263421283660图110136061223648图3图3是偏序ρ的关系图的一种特殊形式。它虽然省略了箭头和许多边，却仍然很明确地表示了集合上所有元素间的整除关系，而且更加简单明了把偏序的关系图中省略了箭头和间接方向的图称为次序图。还把可以间接到达的路省略。于是得到图336061223648图263421283660图1102注：⑴次序图是偏序关系的关系图的一种特殊表示形式。它只能表示有限集合上的偏序关系。⑵次序图用结点的上下位置表示元素之间的偏序关系，所以在次序图不能有水平线⑶次序图中，能间接到达的两个结点之间不要连一边，因此，次序图中不能有三角形1037.一个有用的结论

命题:若<A;≤1>和<B;≤2>是两个偏序集,在笛卡尔积A×B上定义关系≤,对任意(a1,b1),(a2,b2)∈A×B当且仅当

a1≤1a2,b1≤2b2时,有(a1,b1)≤(a2,b2)

可以证明:<A×B;≤>也是一个偏序集。

104因为<A;≤1>、<B;≤2>为偏序关系，所以

a1

∈A

有a1≤1

a1，b1

∈B

有b1≤1

b1所以（a1,b1)≤(a1,b1)自反由（a1,b1)≤(a2,b2)（a2,b2)≤(a1,b1)，可得a1≤1a2,a2≤1a1

可得a1＝a2；同理有b1＝b2，此即（a2,b2)=(a1,b1)

反对称又由（a1,b1)≤(a2,b2)（a2,b2)≤(a3,b3)，此即a1≤1a2,a2≤1a3

可得a1≤1a3同理：b1≤2b2,b2≤2b3可得b1≤2b3

最后有（a1,b1)≤(a3,b3)传递性105亦即(i)(a,b)∈A×B,均有(a,b)≤(a,b)(ii)(a1,b1),(a2,b2),∈A×B,若(a1,b1)

(a2,b2),

则(a1,b1)≤(a2,b2)

与(a2,b2)≤(a1,b1)

不能同时出现

(iii)(a1,b1),(a1,b1),(a1,b1)∈A×B,若(a1,b1)≤(a2,b2),(a1,b1)≤(a2,b2)

则一定有(a1,b1)≤(a2,b2)设是A上的关系,a∈A均aa自反设是A上的关系,a,b∈A若a

b,则ab与ba不能同时出现

反对称设是A上的关系,a,b,c∈A若ab,bc则一定有ac

可传递的106如果有aρb且bρc成立，则有bβa且cβb成立由β的可传递性，有cβa成立，因而aρc成立∴ρ是可传递的∴ρ是A

上

的一个偏序关系原命题成立107偏序的逆关系也是一个偏序证明：设β

是任意集合A

上

的偏序关系，

ρ是β

的逆关系对任意a∈A∵有aβa∴有aρa∴ρ是自反的如果有aρb成立，且b≠a则有bβa由β

具有反对称性知，aβb不成立∴bρa不成立∴ρ是反对称的如果有aρb且bρc成立，则有bβa且cβb成立由β的可传递性，有cβa成立，因而aρc成立∴ρ是可传递的∴ρ是A

上

的一个偏序关系108二安全策略1.安全策略的概念计算机系统的安全策略是为了描述系统的安全需求而制定的对用户行为进行约束的一整套严谨的规则。这些规则规定系统中所有授权的访问,是实施访问控制的依据。1092.安全策略举例

①军事安全策略中的强制访问控制策略:

系统中每个主体和客体都分配一个安全标准

(安全级)

客体的安全级表示客体所包含的信息的敏感程度主体的安全级表示主体在系统中受信任的程度

110②安全标准由两部分组成

(密级,部门(或类别)集)eg:密级分为4个级别:一般秘密机密绝密

(UCSTS)令A={U,C,S,TS},则<A;≤>是A上的全序,构成偏序集<A;≤>例:令B={科技处,干部处,生产处,情报处},PB=2B={H|HB},显然<PB;>构成一个偏序集

class(O1)=(C,{科技处})class(u)=(S,{科技处,干部处})

class(O2)

=(TS,{科技处,情报处,干部处})class(O3)=(C,{情报处})111在实施多级安全策略的系统中,系统为每一个主体和每一个客体分配一个安全级。(密级,部门(或类别)集)或(密级,{部门或类别})

若某主体具有访问密级a的能力,则对任意b≤a,该主体也具有访问b的能力。若某主体具有访问密级a的能力,则对任意b≥a,该主体不具有访问b的能力。112(密级,{部门或类别或范畴})理解：对于客体来说，{部门或类别或范畴}可定义为该客体所包含的信息所涉及的范围部门或所具有的类别属性对于主体来说，{部门或类别或范畴}可定义为该主体能访问的信息所涉及的范围或部门例：2005年财务报表（S，{财务处，总裁办公室，党办，财经小组})113例：2005年财务报表（S，{财务处，总裁办公室，党办，财经小组})肯定不会写成：（S，{财务处，三车间，大门})例：车间主任（C，{三车间，仓库})肯定不会写成：（S，{财务处，党办，财经小组})114主体、客体安全级定义以后，就可以通过比较主客体安全级，来决定主体对客体的访问以及什么样的访问。前面讲过，在实施多级安全策略的系统中,系统为每一个主体和每一个客体分配一个安全级。若某主体具有访问密级a的能力,则对任意b≤a,该主体也具有访问b的能力。若某主体具有访问密级a的能力,则对任意b≥a,该主体不具有访问b的能力。那么，b≤a或b≥a如何进行比较呢？115定义A={U,C,S,TS}

B={部门或类别或范畴}例：B=

{科技处,干部处,生产处,情报处}

PB=2B={H|H

B}在A×PB上定义一个二元关系“≤”：

A×PB={(a,H)|a∈A且H

PB}(a1,H1),(a2,H2)∈A×PB,当且仅当

a1≤a2,H1

H2时,有

(a1,H1)≤(a2,H2)可以证明:≤是A×PB上的一个偏序关系即<A×PB;≤>构成一个偏序集。116可利用命题:若<A;≤1>和<B;≤2>是两个偏序集,在笛卡尔积A×B上定义关系≤,对任意(a1,b1),(a2,b2)∈A×B当且仅当

a1≤1a2,b1≤2b2时,有(a1,b1)≤(a2,b2)

可以证明:<A×B;≤>也是一个偏序集。证明:≤是A×PB上的一个偏序关系即<A×PB;≤>构成一个偏序集。117在A={U,C,S,TS}上定义<A;≤>,由于

UCSTS,所以≤是一个全序,显然构成一个偏序集在PB上定义<PB;>,容易看出,它也是一个偏序

B={科技处,干部处,生产处,情报处}再在A×PB上定义一个二元关系“≤”：

A×PB={(a,H)|a∈A且H

PB}(a1,H1),(a2,H2)∈A×PB,当且仅当

a1≤a2,H1

H2时,有

(a1,H1)≤(a2,H2)根据上述命题,<A×PB;≤>构成一个偏序集。118例:class(O1)=(C,{科技处})class(u)=(S,{科技处,干部处})class(O2)=(TS,{科技处,情报处,干部处})class(O3)=(C,{情报处})

O1uO2O3其安全级如何?可以看出:class(O1)=(C,{科技处})≤(S,{科技处,干部处})=class(u)class(u)=(S,{科技处,干部处})≤class(O2)==(TS,{科技处,情报处,干部处})class(u)与class(O3)不可比119在一偏序集<L;≤>中,

l1,12∈L,若l1≤12,则称12支配l1。class(O1)≤class(u)

：主体u的安全级支配客体O1的安全级class(u)≤class(O2）：客体O2的安全级支配主体u的安全级class(u)与class(O3)不可比：主体u与客体O3的安全级相互不可支配。

120③访问控制策略

一个主体仅能读安全级比自已安全级低或相等的客体一个主体仅能写安全级比自己高或相等的客体即“向下读向上写”④安全级如何比较高低

(a1,H1)(a2,H2)当且仅当a1

a2,H1

H2

所以u对O1可读,对O2可写,对O3既不可读也不可写121“向下读向上写”安全策略执行的结果是信息只能由低安全级的客体流向高安全级的客体，高安全级的客体的信息不允许流向低安全级的客体。若要使一个主体既能读访问客体，又能写访问这个客体，两者的安全级必须相同。122多级安全策略适合（保护信息的机密性）：军事系统政府及企业的办公自动化系统具有层次结构的组织机构123(2)商业安全策略

①良形事务

用户对数据的操纵不能任意进行,而应该按照可保证数据完整性的受控方式进行,即数据应该用规定的程序,按照定义好的约束进行处理。例:保存记录(包括修改数据的前后记录)，事后被审计双入口规则：数据修改部分之间保持平衡内部数据的一致性特别地，签发一张支票与银行帐号户头上的金额变动必须平衡

——可由一个独立测试帐簿是否平衡的程序来检查124②职责分散

把一个操作分成几个子操作,不同的子操作由不同的用户执行,使得任何一个职员都不具有完成该任务的所有权限,尽量减少出现欺诈和错误的机会。eg:购买订单——记录到货——记录货发票——付款美入境签证125职责分散的最基本规则是，被允许创建或验证良性事务的人，不能允许他去执行该良性事务。【至少需要两个人的参与才能进行】【职员不暗中勾结，职责分散有效】【随机选取一组职员来执行一组操作，减少合谋机会】126良性事务与职责分散是商业数据完整性保护的基本原则专门机制被商业数据处理计算机系统用来实施良性事务与职责分散规则。（a）保证数据被良性事务处理数据只能由一组指定的程序来操纵程序被证明构造正确、能对这些程序的安装能力、修改能力进行控制、保证其合法性（b）保证职责分散每一个用户必须仅被允许使用指定的程序组、用户执行程序的权限受控127商业数据完整性控制与军事中的数据机密性差别：（a）数据客体不与特定的安全级别相关只与一组允许操纵它的程序相联系（b）用户直接读写数据被禁止被授权去执行与某一数据相关的程序【一个用户即便被授权去写一个数据客体，他也只能通过针对那个数据客体定义的一些事务去做。】128商业安全策略也是一种强制访问控制但它与军事安全策略的安全目标、控制机制不相同商业安全策略强制性体现在：（a）用户必须通过指定的程序来访问数据（b）允许操纵某一数据客体的程序列表和允许执行某一程序的用户列表不能被系统的一般用户所更改军事与商业安全相同点：（1）一种机制被计算机系统用来保证系统实施了安全策略中的安全需求（2）系统中的这种机制必须防止窜改和非授权的修改129(3)军事安全策略与商业安全策略的比较①军事安全策略——数据的机密性

商业安全策略——数据的完整性

②军事安全策略——将数据与一个安全级相联系,通过数据的安全级来控制用户对数据的访问

商业安全策略——将数据与一组允许对其进行操作的程序相联系,通过这组程序来控制用户对数据的访问③军事安全策略——用户对数据的操纵是任意的

商业安全策略——用户对数据的操纵是受限的

130三安全模型安全模型是对安全策略所表达的安全需求简单、抽象和无歧义的描述分为：1.非形式化的安全模型

2.形式化的安全模型

1312.形式化的安全模型安全系统的开发过程安全需求分析制定安全策略建立形式化的安全模型安全性证明安全功能132四

Bell-LaPadula模型

简称BLP模型应用最早也最广泛的一个安全模型DavidBell和LeonardLaPadula模型目标：计算机多级操作规则安全策略：多级安全策略常把多级安全的概念与BLP相联系其它模型都尝试用不同的方法来表达多级安全策略133四

Bell-LaPadula模型

BLP模型是一个形式化模型使用数学语言对系统的安全性质进行描述BLP模型也是一个状态机模型它反映了多级安全策略的安全特性和状态转换规则BLP模型定义了系统、系统状态、状态间的转换规则安全概念、制定了一组安全特性对系统状态、状态转换规则进行约束如果它的初始状态是安全的，经过一系列规则都是保持安全的，那么可以证明该系统是安全的134ABCDEaaaaabbbbb状态机模型例135四

Bell-LaPadula模型

(一)模型的基本元素

S={s1,s2,…,sn}主体集O={o1,o2,…,om}客体集C={c1,c2,…,cq}密级的集合

c1<c2<…<cq

K={k1,k2,…,kr}部门或类别的集合

A={r,w,e,a,c}访问属性集

r:只读;w:读写;e:执行;a:添加;c:控制RA={g,r,c,d}请求元素集

g:get,give;

r:release,rescind

c:change,create;d:delete

D={yes,no,error,?}yes－请求被执行;no－请求被拒绝

error－系统出错;?－请求出错

136μ={M1,M2,…,Mp}访问矩阵集BA={f|f:A→B}F=Cs×Co×(Pk)s×(Pk)o

Cs={f1|f1:S→C}f1给出每个主体的密级Co={f2|f2:O→C}f2给出每个客体的密级(Pk)s={f3|f3:S→Pk}f3给出每个主体的部门集(Pk)o={f4|f4:O→Pk}f4给出每个客体的部门集

f∈Ff=(f1,f2,f3,f4)12345679108

f：AB((f1(si),f3(si))主体si的安全级((f2(oj),f4(oj))客体oj的安全级137(二)系统状态V=P(S×O×A)×μ×F

状态集对v∈Vv=(b,M,f)表示某一状态

b

S×O×A

表示在当前时刻,哪些主体获得了对哪些客体的权限b={(s1,o1,r),(s1,o2,w),(s2,o2,a)…….}M－当前状态访问控制矩阵

f－当前时刻所有主体和客体的密级和部门集138系统在任何一个时刻都处于某一种状态v，即对任何时刻t，必有状态vt与之对应随着用户对系统的操作，系统的状态不断地发生变化关心的问题系统在各个时刻的状态，与状态相对应的访问集b是否能保证系统的安全性显然只有每一个时刻状态是安全的，系统才可能安全。BLP模型对状态的安全性进行了定义139(三)安全特性BLP模型的安全特性定义了系统状态的安全性，体现了BLP模型的安全策略。(1)自主安全性

状态v=(b,M,f)满足自主安全性iff

对所有的(si,oj,x)∈b,有x∈Mij

此条性质是说，若(si,oj,x)∈b，即如果在状态v，主体si获得了对客体oj的x访问权，那么si必定得到了相应的自主授权。140(三)安全特性如果存在(si,oj,x)∈b,但主体si并未获得对客体oj的x访问权的授权，则v被认为不符合自主安全性。

(2)简单安全性

状态v=(b,M,f)满足简单安全性iff对所有的(s,o,x)∈b,有（i）x=e或x=a或x=c

或(ii)(x=r或x=w)且(f1(s)≥f2(o),f3(s)

f4(o))

SOe,c,aS(高)O(低)r

w在BLP模型中,w权表示可读、可写，即主体对客体的修改权141(3)*—性质

状态v=(b,M,f)满足*—性质,当且仅当对所有的s∈S,若o1∈b(s:w,a),o2∈b(s:r,w),则f2(o1)≥f2(o2),f4(o1)

f4(o2),其中符号b(s:x1,x2)表示b中主体s对其具有访问特权x1或x2的所有客体的集合。理解如下4个图所示:142

S

o1(高)

O2(低)a

rSO1(高)O2(低)awSO1(高)O2(低)wrSO1O2ww

(级别)(级别)相等流向143例：b＝{(s1,o1,r),(s2,o2,a),(s1,o2,w),(s2,o2,r),(s1,o3,a)}考虑b(s:x1,x2):b(s1:r,w)b(s1:w,a)b(s3:r,w)b(s1:r,w)={o1,o2}b(s1:w,a)={o2,o3}b(s3:r,w)={}=Φ144*—性质重要安全特性o1∈b(s:w,a),意味着s对o1有w权或a权,此时信息经由s流向o1o2∈b(s:r,w),意味着s对o1有r权或w权,此时信息可由o2流向s因此,在访问集b中以s为媒介,信息就有可能由o2流向o1。所以要求o1的安全级必须支配o2安全级当s对o1，o2均具有w权时，两次运用该特性，f2(o1)≥f2(o2),f4(o1)

f4(o2)及,f2(o2)≥f2(o1),f4(o2)

f4(o1)，则要求o1的安全级必须等于o2安全级显然它放反映了BLP模型中信息只能由低安全级向高安全级流动的安全策略145(四)请求集

R=S+×RA×S+×O×X

请求集,它的元素是一个完整的请求,不是请求元素集其中S+=S{}

X=A{}FR中的元素是一个五元组,表示为

(1,,2,Oj,x)

1,,2

S+分别是主体1,主体2

RA

表示某一请求元素

o

j

O表示某一客体

xX

是访问权限or是空or是主客体的安全级146(五)状态转换规则

P:R×V→D×V

其中

R是请求集,D是判断集,V是状态集

对请求(Rk,vn)R×V,在函数的作用下

(Rk,v)=(Dm,v*)系统对请求Rk的反应是Dm,状态由v转换成v*147提示:V=P(S×O×A)×μ×F

状态集对v∈Vv=(b,M,f)表示某一状态

b

S×O×A

表示在当前时刻,哪些主体获得了对哪些客体的权限b={(s1,o1,r),(s1,o2,w),(s2,o2,a)…….}M－当前状态访问控制矩阵

f－当前时刻所有主体和客体的密级和部门集148十条规则:规则1～规则4用于主体请求对某客体的访问权形式(φ,g,Si,Oj,r)

规则5

用于主体释放它对某客体的访问权规则6-7

分别用于主体授予和撤消另一主体对客体的访问权规则8

用于改变静止客体的密级和部门集规则9-10

分别用于创建和删除一个客体149规则1：主体si请求得到对客体oj的r访问权get-read

1(Rk,v)≡

ifσ1

φorγ

gorx

rorσ2=φ

then

1(Rk,v)=(?,v)

ifr

Mijor(f1(si)<f2(oj)orf3(si)

f4(oj))

then

1(Rk,v)=(no,v)

if

U

1

={o|o

b(si:w,a)and[f2(oj)>f2(o)orf4(oj)

f4(o)]}=φ

then

1(Rk,v)=(yes,v*=(b

{(si,oj,r)},M,f))

else

1(Rk,v)=(no,v)

end

150规则1对主体si的请求作了如下检查:(1)主体的请求是否适用于规则1;主体请求对某客体的访问权形式(φ,g,Si,Oj,r)ifσ1

φorγ

gorx

rorσ2=φ

then

1(Rk,v)=(?,v)151(2)oj的拥有者或控制者是否授予了si对oj的读访问权

r

Mij之检查(3)si的安全级是否支配oj的安全级

f1(si)<f2(oj)orf3(si)

f4(oj)152(4)在访问集b中,若si对另一客体o有w/a访问权,是否一定有o的安全级支配oj的安全级

{o|o

b(si:w,a)and[f2(oj)>f2(o)orf4(oj)

f4(o)]}=φNOT[f2(oj)>f2(o)orf4(oj)

f4(o)][f2(oj)<=f2(o)andf4(oj)

f4(o)]153

SiO(高)Oj(低)awSiO(高)Oj(低)wrSiOOjww

(级别)(级别)相等Si

o(高)

Oj(低)a

r流向154若上述4项检查有一项通不过,则系统拒绝执行si的请求,系统状态保持不变通过检查