当前位置:文档之家 › 第6章 形式化方法与安全模型

第6章 形式化方法与安全模型

  • 格式:ppt
  • 大小:272.00 KB
  • 文档页数:46

下载文档原格式

  / 46

合集下载

形式化验证讲义课件-PPT

形式化验证讲义课件-PPT

形式化求精
形式化求精是Carroll Morgan(现为新南威尔士大学教授) 在1990年提出来的,最初是基于程序设计的概念,但在之 后逐步发展为一种通用的设计理论,也就是逐步细化的方 式。
形式化求精是将自动推理和形式化方法相结合而形成的一 门新技术,它研究从抽象的形式规格推演出具体的面向计 算机的程序代码的全过程。
含糊性等情况; 利用有限自动机,通过执行一些原子动作进行状态间的变迁
同如时果, 需软要 件多质次软量投得入件到硬了币生很?大命的提高周,软期件的模故障型率仅将为0. 整个软件开发过程分解为一系列 的阶段,并为每个阶段赋予明确的任务。虽然在不同 基于严格定义的数学概念和语言。
事实:软件开发正在从朴素的、非形式的设计方法,向着更加严格、更加形式化的方向转变
文档是非形式化的,只能由人阅读和理解,难以严格 分析和推理;
形式化的程序有严格的形式和语义。程序的所有静态
和动态性质都蕴藏在程序正文中。但程序包含过多 语言细节和实现细节,进行验证的成本极高;
需求和设计以及最终实现的程序的一致性难以判定; 测试不可能完全,发现问题的能力很有限,不能成为
评判标准。 因此,需要把前期的设计过程也形式化。
形式化验证讲义
主要内容
软件开发过程和问题 形式化方法简介 形式化方法历史 主要的形式化证明工具 形式化方法的应用举例 结论
软件开发过程
一般来说,软件开发的主要步骤大致如下:
提出问题并进行需求分析; 设计:包括功能和结构设计; 编码和构建; 调试; 发布,维护和升级。
常用的开发模型:如传统的瀑布模型,较 新近的快速原型、迭代式开发模型等等
它的基本思想是用一个抽象程度低、过程性强的程序去代 替一个抽象程度高、过程性弱的程序,并保持它们之间功 能的一致。

信息系统安全需求、安全策略及安全模型的内涵及关系。

信息系统安全需求、安全策略及安全模型的内涵及关系。

信息系统安全需求、安全策略及安全模型的内涵及关系。

1.引言1.1 概述概述信息系统安全需求、安全策略及安全模型是构建和维护一个安全的信息系统的核心概念。

在当前数字化时代,信息系统面临着各种威胁和风险,因此,确保信息系统的安全性成为了一个至关重要的任务。

本文将围绕信息系统安全需求、安全策略及安全模型展开探讨,为读者提供对这些概念的深入理解。

首先,我们将对这些概念进行定义和解释,明确它们的内涵和作用。

接着,我们将分别介绍信息系统安全需求、安全策略和安全模型的主要内容和特点,并探讨它们之间的关系。

信息系统安全需求是指信息系统所需要满足的基本安全性要求。

这些需求包括但不限于保密性、完整性、可用性和可靠性等方面。

保密性要求确保信息只能被授权的人员访问和使用,防止信息泄露;完整性要求保证信息在传输和处理过程中不被篡改或损坏;可用性要求确保信息系统能够始终处于可用状态,不受故障或攻击影响;可靠性要求保证信息系统的工作效果和性能稳定可靠。

安全策略是指为了实现信息系统安全需求而制定的行动方案和计划。

它包括了一系列的措施和方法,旨在保护信息系统的安全。

安全策略的选择和实施必须基于对信息系统的风险评估和安全需求的了解。

常见的安全策略包括网络安全措施、身份认证和访问控制、数据加密和备份等。

安全模型是指用于描述和分析信息系统安全的理论模型。

它提供了一种形式化的描述方式,帮助我们理解信息系统的安全机制和漏洞。

安全模型主要包括访问控制模型、机密性模型和完整性模型等。

通过建立安全模型,我们可以更全面地认识和评估信息系统的安全性,并采取相应的措施来提升其安全性。

本文旨在帮助读者深入了解信息系统安全需求、安全策略及安全模型的内涵和关系。

通过对这些概念的研究和理解,我们可以更好地保护信息系统的安全,防范各种威胁和风险对信息系统的侵害。

在接下来的章节中,我们将进一步探讨信息系统安全需求、安全策略及安全模型的具体内容和应用。

1.2 文章结构文章结构部分的内容可以包括以下内容:在本篇文章中,将对信息系统安全需求、安全策略及安全模型的内涵及关系进行探讨和分析。

安全体系结构与模型

安全体系结构与模型

04
安全体系结构的重要性
满足法律法规和行业标准的要求
保护信息系统免受攻击和破坏
确保数据的完整性、机密性和可用性
05
提高组织的竞争力和信誉度
06
保障业务连续性和可持续发展
降低安全风险和损失
安全体系结构的设计原则
完整性:确保系统数据的完整性和可靠性
1
机密性:保护系统数据的机密性和隐私性
2
可用性:确保系统在需要时能够正常使用
演讲人
安全体系结构与模型
目录
01
安全体系结构的概念
02
安全模型的分类
03
安全模型的设计方法
04
安全模型的应用案例
安全体系结构的概念
安全体系结构的定义
安全体系结构是一种系统的、整体的安全设计方法
01
旨在保护信息系统免受各种威胁和攻击
02
包括物理安全、网络安全、系统安全、应用安全等多个方面
03
安全体系结构需要根据具体的业务需求和安全目标进行设计和实施
应用安全:保护应用程序和系统免受恶意软件和漏洞的威胁
云安全:保护云计算环境和数据免受攻击和泄露
物联网安全:保护物联网设备和系统免受攻击和破坏
移动安全:保护移动设备和应用程序免受攻击和泄露
工业控制系统安全:保护工业控制系统和设备免受攻击和破坏
安全合规:确保组织遵守相关法规和标准,降低法律风险
安全审计:评估和改进组织的安全状况,降低安全风险
设计安全策略:制定相应的安全策略和措施
实施安全措施:按照安全策略实施相应的安全措施
测试和评估:对安全模型进行测试和评估,确保其有效性和可靠性
维护和更新:定期对安全模型进行维护和更新,以适应不断变化的安全形势

第6章操作系统安全技术

第6章操作系统安全技术

传递性: 传递性: 若a≤b且b≤c,则a≤c 且 , 非对称性: 非对称性 若a≤b且b≤a,则a=b 且 , 代表实体, 代表主体, 代表敏 若引入符号 O 代表实体,S 代表主体,≤代表敏 感实体与主体的关系,我们有: 感实体与主体的关系,我们有 O≤S 当且仅当 密级 密级 并且 隔离组 隔 密级O≤密级 密级S 隔离组O≤隔 离组S 离组 关系≤限制了敏感性及主体能够存取的信息内容 限制了敏感性及主体能够存取的信息内容, 关系 限制了敏感性及主体能够存取的信息内容, 只有当主体的许可证级别至少与该信息的级别一样 高,且主体必须知道信息分类的所有隔离组时才能 够存取. 够存取.
单层模型模型有一定的局限性, 单层模型模型有一定的局限性 , 在现代操作系统 的设计中,使用了多级安全模型, 的设计中 , 使用了多级安全模型 , 信息流模型在其 中得到了深入的应用.如著名的Bell-LaPadula模型 中得到了深入的应用 . 如著名的 模型 模型. 和Biba模型. 模型
2. 多层网格模型
6.2 操作系统的 安全设计
开发一个安全的操作可分为如下四个阶段: 开发一个安全的操作可分为如下四个阶段:建立安 全模型,进行系统设计,可信度检查和系统实现. 全模型,进行系统设计,可信度检查和系统实现. 实现安全操作系统设计的方法有两种:一种是专门 实现安全操作系统设计的方法有两种: 针对安全性面设计的操作系统; 针对安全性面设计的操作系统 ;另一种是将安全特性 加入到期目前的操作系统中. 加入到期目前的操作系统中.
(3)加拿大的评价标准(CTCPEC) )加拿大的评价标准( ) 加拿大的评价标准(CTCPEC)的适用范围:政府部 门.该标准与ITSCE相似,将安全分为两个部分:功能 性需求和保证性需求 (4)美国联邦准则(FC) )美国联邦准则( ) 美国联邦准则(FC)是对TCSEC的升级,在该标准中引 入了"保护轮廓"(PP)的概念,其每个保护轮廓包括: 功能,开发保证和评价. (5)国际通用准则(CC) )国际通用准则( ) 国际通用准则(CC)是国际标准化组织对现行多种安全 标准统一的结果,是目前最全面的安全主价标准.CC的 第一版是在1966年6月发布的,第二版是在1999年6月发 布的,1999年10月发布了CC V2.1版,并成为ISO标准. 该标准的主要思想和框架结构取自ITSEC和FC,并允分 突出"保护轮廓"的相思.CC将评估过程分为:功能和 保证;评估等级分为:EAL1~EAL7

软件测试中的模型验证与形式化方法

软件测试中的模型验证与形式化方法

软件测试中的模型验证与形式化方法软件测试是一项重要的质量保证活动,它旨在发现和修复软件中的错误和缺陷。

为了提高测试的效率和准确性,研究人员和测试人员一直在探索新的方法和技术。

模型验证和形式化方法是软件测试中一种被广泛研究和应用的方法,它们能够提供严格的证明和分析,以确保系统的正确性和可靠性。

模型验证是一种基于模型的测试方法,它利用形式化规范来描述系统的行为和属性,然后使用数学工具来验证这些规范是否被满足。

模型验证可以帮助测试人员找到系统中可能存在的问题,并且能够提供形式化的证据来支持这些问题的存在。

例如,模型验证可以帮助测试人员发现系统中的死锁、资源争用和安全漏洞等问题,并且能够提供清晰的证明来支持这些问题的存在。

形式化方法是一种利用数学符号和形式化语言来表示和分析软件系统的方法。

通过使用形式化方法,测试人员可以对系统的行为和属性进行精确的描述,并且能够使用数学工具来进行验证和分析。

形式化方法的一个重要应用是规约和约束的描述,这样测试人员可以通过实例化和验证来验证系统是否满足特定的规约和约束。

例如,测试人员可以使用形式化方法来验证系统的数据结构是否满足特定的约束条件,或者验证系统的算法是否满足特定的性质。

模型验证和形式化方法在软件测试中具有重要的作用。

它们能够提供严格的证明和分析,以确保系统的正确性和可靠性。

通过使用模型验证和形式化方法,测试人员可以更加准确地发现和修复软件中的错误和缺陷。

模型验证和形式化方法还可以帮助测试人员提高测试的效率,减少测试的时间和成本。

通过使用这些方法,测试人员能够系统地分析系统的行为和属性,并且能够更好地选择测试用例和执行测试活动。

然而,模型验证和形式化方法在软件测试中也存在一些挑战和限制。

使用模型验证和形式化方法需要具备一定的数学和形式化领域的知识和技能。

对于复杂的系统和大规模的软件,模型验证和形式化方法可能会导致验证问题的爆炸,使得验证变得困难和耗时。

模型验证和形式化方法还可能无法覆盖系统的所有方面,导致无法发现系统中的隐藏错误和缺陷。

操作系统安全模型

操作系统安全模型

• 存取矩阵模型
– 在实际的计算机系统中.当把存取矩阵作为一个二维数组来实现 时,它往往会成为一个稀疏矩阵。于是,实际中对存取矩阵的存 放,很自然地采用按行存放或者按列存放。按行存放。每个主体 在其属性数据结构中部有若干客体及它对它们各自的存取权限, 这种方法叫能力表(Capability List)法。按列存放,则是在每 个客体的属性数据结构中存放着系统中每个主体对该客体的存取 权限,这种方法叫访问控制表(Access Control List,简称 ACL)。典型地,系统中每个文件都有一个相应的ACL表来控制各 个主体对它的存取权限。比如在UNIX
• 状态机模型 – 状态机模型的两个基本特征是状态和状态转移函数,它的数学原 理是这样的: • 安全的初始状态; • 安全的状态转移函数; • 用归纳法可以证明系统是安全的。 – 只要该模型的初始状态是安全的,并且所有的转移函数也是安全 的(即一个安全状态通过状态转移函数只能达到新的安全状态), 那么数学推理的必然结果是:系统只要从某个安全状态启动,无 论按哪种顺序调用系统功能,系统将总是保持在安全状态。
2.安全模型的分类
• 2.1 状态机模型 – 用状态机语言将安全系统描述成抽象的状态机,用状态变量表示 系统的状态,用转换规则描述变量变化的过程。 – 状态机模型用于描述其他系统早就存在,但用于描述通用操作系 统的所有状态变量几乎是不可能的。 – 状态机安全模型通常只能描述安全操作系统中若干与安全相关的 主要状态变量。 – 相当多的安全模型其实质都是状态机模型。它将系统描述成一个 抽象的数学状态机,其中状态变量(state variables)表征机器 状态,转移函数(transition functions)描述状态变量如何变 化。
3.安全模型实例

《操作系统安全》课程教学大纲

《操作系统安全》课程教学大纲课程名称操作系统安全课程编码131530019 课程类型(学院内)跨专业课程适用范围信息安全学分数 3 先修课程操作系统、数据结构学时数48 其中实验学时其中实践学时考核方式考试制定单位数学与信息科学学院执笔者审核者一、教学大纲说明(一)课程的性质、地位、作用和任务操作系统安全是信息领域重要的核心技术, 在信息安全领域有着非常重要的地位。

《操作系统安全》对培养学生抽象思维能力和信息安全的分析能力有着重要作用;也是信息安全专业高年级学生开设的一门重要课程, 其为全面了解操作系统的安全机制、安全设计、操作系统评测和安全应用提供一些入门方法, 使学生对操作系统安全有一个清晰和完整的认识。

(二)课程教学的目的和要求通过本课程的学习, 学生具有操作系统安全基础知识, 具备对操作系统安全进行分析的基本专业素质和能力。

了解:操作系统安全的有关概念及相关问题, 包括Windows、UNIX等流行操作系统的存在的安全问题, 了解高安全级别操作系统的有关安全机制, 了解操作系统安全评测、安全操作系统的应用和国外在安全操作系统领域的新进展。

理解: 操作系统安全模型、安全体系结构和操作系统安全形式化规范与验证以及安全操作系统设计一般过程。

掌握: 操作系统安全的基本概念、操作系统的安全机制、操作系统设计主要的安全模型和安全体系结构、Unix系统安全策略及安全机制、隐蔽通道分析和处理方法。

(三)课程教学方法与手段教学方法: 本课程采用老师讲授、结合学生自学的方法;教学手段:采用多媒体教学, 教师口授结合电脑演示。

(四)课程与其它课程的联系本课程涉及到信息安全基础、数据结构、计算机网络和操作系统等知识, 因而在开设本课程之前需要为学生开设预备课程: 数据结构、密码学原理、计算机网络和操作系统。

(五)教材与教学参考书教材: 卿斯汉等著, 操作系统安全(第2版), 清华大学出版社, 2011。

教学参考书:1.卿斯汉等著, 操作系统安全, 清华大学出版社, 2004。

信息安全概论访问控制理论

信息安全概论第六章访问控制理论目 录Contents Page01访问控制矩阵模型02 Bell-LaPadula模型03 RBAC模型04 授权与访问控制实现框架通过对访问控制矩阵模型的介绍引进一些基本概念;揭示访问控制的研究对象和方法。

访问控制理论本章主要内容6.1 访问控制矩阵模型访问控制模型是用来描述系统保护状态,以及描述安全状态的一种方法。

把所有受保护的实体(如数据、文件等)的集合称为客体(Object)集合,记为O ;而把能够发起行为的实体集合(如人、进程等)称为主体(Subject)集合,记为S 。

主体是行为的发起者,处于主动地位;而客体是行为承担者,处于被动地位。

在计算机系统中,常见的访问是r (只读)、w (读写)、a (只写)、e (执行)、c (控制)等,它们被称为权限(Right)集合,记为R 。

访问控制理论对于一个主体 和一个客体 ,用 来表示当前允许s对o 实施的所有访问权限集合。

这样可以得到以S 中元素为行指标,O 中元素为列指标,表值为 的一个矩阵A ,称为访问控制矩阵。

这时,系统的保护状态可以用三元组(S ,O ,A )来表示。

访问控制理论表6.1表示了一个主体集合S ={张三,李四,进程1},客体集合O ={文件1,文件2,进程1}的一个访问控制表(矩阵)。

访问权限集合为R ={r (只读),a (只写),ww (读写),e (执行),app (添加),o (拥有)}。

本示例中,一个用户对文件的读、写权限,对进程的执行权限比较容易理解。

李四对进程1的写权限可以定义为,李四给进程1发送数据,实现通信。

同样,张三对进程1的读权限可以定义为,张三接收进程1发来的数据,实现通信。

而进程1对自身没有任何操作权限,但对两个文件则有读权限。

值得注意的是,随着系统的不同,可能一个相同名字的权限会有不同的含义。

如在一些系统中张三对进程1的读权限有可能会表示复制这个进程。

访问控制理论访问控制理论表6.1访问控制矩阵示例一客体文件 1文件 2进程 1主体张三{w}{r}{e,r}李四{a,e}{w,o,app}{a}进程1{r}{r}Φ表6.2给出访问控制矩阵的又一示例。

形式化验证方法浅析

形式化验证方法浅析随着信息技术的不断发展,软件系统已经成为现代社会和经济的基础设施之一。

软件系统的正确性和可靠性越来越受到重视,因为软件错误会带来巨大的经济损失和安全隐患。

为了提高软件系统的质量和可靠性,形式化验证方法逐渐成为了重要的研究领域。

本文将对形式化验证方法进行一定的浅析,介绍其基本概念、原理和应用。

一、形式化验证方法的基本概念形式化验证是一种基于数学逻辑的方法,通过数学语言描述待验证系统的行为规范或性质,然后利用自动化或手工化的技术对系统进行验证。

形式化验证方法主要包括模型检测、定理证明和符号执行等技术,其中模型检测和定理证明是相对常见和成熟的技术。

模型检测是一种自动化验证技术,它通过穷举系统的所有可能状态来检测系统是否满足给定的性质。

模型检测的核心就是构建系统的状态转移模型,然后利用状态空间搜索算法进行验证。

常用的状态空间搜索算法包括符号模型检测、显式状态搜索和隐式状态搜索等。

模型检测方法的优点是自动化程度高,能够发现系统中的错误和性质违反情况,但是其缺点是状态空间爆炸问题,对于大规模的系统往往难以处理。

定理证明是一种手工化验证技术,它通过数学推理和演绎来证明系统是否满足给定的性质。

定理证明的核心是将系统的行为规范或性质转化为逻辑公式,然后利用数学推理规则和定理证明工具来验证系统。

定理证明方法的优点是能够处理复杂的性质和系统,但是其缺点是依赖于人工的推理和分析,效率较低并且受到形式化规约的限制。

1. 系统建模:形式化验证的第一步是对系统进行建模,将系统的行为规范或性质形式化描述。

系统建模可以采用多种形式化语言和工具,如时序逻辑、Petri网、状态机和模型检测工具等。

建模的目的是将系统的行为抽象化和形式化,为后续的验证工作奠定基础。

2. 性质描述:形式化验证的第二步是对系统的性质进行描述,通常包括功能性要求和安全性要求。

功能性要求是描述系统的期望行为,如正确性、完备性和一致性等;安全性要求是描述系统的禁止行为,如死锁、饥饿和冲突等。

第6章 网络安全基础


6.2.4建立网络安全策略
1.网络安全策略的定义
所谓安全策略,是针对那些被允许进入访问网络资源的人所规定的、 必须遵守的规则,是保护网络系统中软、硬件资源的安全、防止非法的或 非授权的访问和破坏所提供的全局的指导,或者说,是指网络管理部门根 据整个计算机网络所提供的服务内容、网络运行状况、网络安全状况、安 全性需求、易用性、技术实现所需付出的代价和风险、社会因素等许多方 面因素,所制定的关于网络安全总体目标、网络安全操作、网络安全工具、安全策略改变的能力以及对安全系统实施审计、管理和漏洞检
查等措施。当系统一旦出现了问题,审计与监控可以提供问题的再现、责任 追查和重要数据恢复等保障。
6.2.2 ISO的网络安全体系结构标准 安全体系结构的目的是从技术上保证安全目标全部准确地实现,包括 确定必要的安全服务、安全机制和技术管理以及它们在系统上的配置。 国际标准化组织在ISO7498-2中描述的开放系统互连OSI安全体系结 构确立了5种基本安全服务和8种安全机制。
受控的访问控制 存取控制以用户为单位,广泛的审计 选择的安全保护 有选择的存取控制,用户与数据分离,数据的 保护以用户组为单位 保护措施很少,没有安全功能
D
D1
最小保护
美国国防部的标准自问世以来,一直是评估多用户主机和小型操作 系统的标准。其他方面,如数据库安全、网络安全也一直是通过这本美 国国防部标准的桔皮书进行解释和评估的,如可信任网络解释(Trusted Network Interpretation)和可信任数据库解释(Trusted Database Interpretation)等。
6.1.3网络安全要素
1.保密性 2.完整性 3.可用性 4.可控性 5.不可否认性
6.1.4网络安全面临的主要威胁
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
其中,α是命令名,X1,…,Xk 是形式参数,每个opi 是以下 α X1 … Xk opi 原语操作之一: ①输入权限r到(Xs,Xo)中; ②从(Xs,Xo)中删除权限r; ③创建主体Xs; ④创建客体Xo; ⑤取消主体Xs; ⑥取消客体Xo。 r(r1, …, rm )是普通权限,s(s1, …, sm)和o(o1, …, om) 是1 至k 间的整数。
2011年8月9日星期二 12
信息安全系 张柱
第6章 形式化方法与安全模型
6.3.1 Lampson访问控制矩阵模型
系统中状态的改变取决于访问矩阵M的改变,独立的状态机构成 一个系统,因此访问矩阵也可称为系统的“状态保护”。 Lampson模型中访问控制矩阵如图:
主体 (Subjects) Sunny Clone Richard 客 体(Objects) file1 Own/Read/Write Read Read file2 Read Own/Read/Write Write file3 Write Read Own/Read/Write
2011年8月9日星期二
2
信息安全系 张柱
第6章 形式化方法与安全模型(8课时)
6.1 形式化方法
1.定义 所谓形式化方法,指的是使用特定的语言和推理来描述事物的 方法。相对而言,非形式化的方法则是以自然语言和基于人 们的常识来描述事物的方法。 使用形式化的表示方法,尤其是使用一套简单易懂的语义学符 号来描述事物之间的关系,可以大大提高描述安全策略的精 度,使用形式化的证明可以从理论上确保系统的安全策略能 够满足系统的安全需求。 2.通常,系统的不安全性源自于对用户安全需求的错误理解或源 自于系统的实现缺陷。 保证系统安全性的主要策略是,制定一个符合用户安全须由的 安全策略模型,该模型必须同时考虑安全策略和其在自动信 息系统中的实现过程。
2011年8月9日星期二 10
信息安全系 张柱
第6章 形式化方法与安全模型(8课时)
6.2 形式化安全模型
安全策略的主要方面反映在安全模型中包括策略的目标、策略 实施的场合和强度以及用户分类的粒度等。在将安全策略进 行形式化时,这些方面将反映在受控实体的安全属性上。 信息的策略是用来维护信息的安全属性供系统和用户使用,而 访问控制的策略限制系统中的主体对系统资源和资源所包含 的信息的访问。 访问控制属性可以根据其控制的内容进行分类: 不严格的访问控制属性,只和受控实体相关; 严格的访问控制属性则不仅与实体相关,还与其所包含的信息 相关。 大多数的安全策略是集中授权和分布式授权的混合体。
安全操作系统原理与技术
安徽理工大学计算机科学与工程学院 信息安全系 张柱 讲师
2011年8月9日星期二
第6章 形式化方法与安全模型
学习内容: ①了解什么是形式化方法 ②了解形式化安全模型 ③掌握基于访问控制矩阵的安全模型 ④掌握基于格的安全模型 ⑤了解其他安全模型 本章重点: 基于访问控制矩阵的安全模型、基于格的安全模型
主 体 Xs1 Xs2 Xs3 … 客体 Xs1 控制 Xs2 拥有/挂起/恢复 控制 控制 读/写 Xs3 Xo1 拥有 Xo2 拥有 扩展 写 Xo3 读/扩展 拥有 读
2011年8月9日星期二 7
信息安全系 张柱
第6章 形式化方法与安全模型(8课时)
6.1 形式化方法
除了得到形式化语义学的证明外,通过机器证明器的方法不大 可能获得太高的的安全级别保证。在这种情况下,一个公式 A是一系列公式集B的有效结果,当且仅当每个满足公式集B 的解释同样满足公式A。即不经过形式化语义学的证明,证 明器可能不够安全并且有可能接受错误的假设。 形式化语义学包括对公式功能的解释以及对系统的证明方法是 正确的相关证明。
2011年8月9日星期二
8
信息安全系 张柱
第6章 形式化方法与安全模型(8课时)
6.2 形式化安全模型
形式化模型,指的是用形式化的方法来描述如何实现系统的安 全要求,包括机密性、完整性和可用性。 一个安全的计算机系统可以分为如下几大部分:数据结构、进 程、用户信息、I/O设备以及被控实体的安全属性。 标识被控实体在设计一个安全模型中占据着重要地位,对于达 到TCSEC规定的B2级或以上安全级的系统来说,被控实体必 须包括所有的系统资源。系统包括显式被控实体和隐式被控 实体。 数据结构是一个数据仓库,包含标明系统内部状态的数据和值。 系统中进程可以利用系统事先明确定义的允许的操作来对这 些数据或值进行读或写访问。 一个最小的数据结构,同时也是显式被控实体的存储客体,存 储客体的安全属性可能包括安全级和用户访问权限。
end
2011年8月9日星期二
17
信息安全系 张柱
第6章 形式化方法与安全模型
6.3.3 HRU模型
在HRU模型中,将系统的保护基于三元组(S,O,P),其中,S 表示 系统当前的主体集,O表示当前系统的客体集,并且S包含 于O,p表示访问控制矩阵,此矩阵中,行表示主体,列表示 客体,P[S,O]是权限集R的一个子集,表示主体S对客体O拥 有的权限,HRU模型中的访问控制矩阵。
6.1 形式化方法
高层策略目标 外部接口需求 内部需求 操作规则 高层设计规范 低层设计规范 代码实现及硬件描述 正 确 性 依 赖
具体描述
2011年8月9日星期二
4
信息安全系 张柱
第6章 形式化方法与安全模型(8课时)
6.1 形式化方法
高层策略目标:用来指定设计和使用计算机系统来实现什么目 标; 外部接口需求:是将高层策略目标应用于计算机系统的外部接 口。 内部需求:用来约束系统实体或部件相互之间的关系。对安全 的形式化定义,通常包含内部需求和外部接口两个方面。 操作规则:用来解释内部需求是如何通过指定的访问检查和相 关的行为措施来保证内部需求的正确实施。 高层设计:用来指定系统部件或被控的实体的行为以及TCB接口 的复杂功能描述。 代码编写,涉及到硬件接口的代码,必须详细了解硬件接口规 范。
A[x,o]中为“拥有者” A[x,s]中为“控制” A[x,s]中的为“控制” A[x,o]中为“拥有者” A[x,s]中的为“控制” 或A[x,o]为“拥有者” A[x,o]中为“拥有者” A[x,o]中为r*
2011年8月9日星期二
15
信息安全系 张柱
第6章 形式化方法与安全模型 6.3 基于访问控制矩阵的安全模型 6.3.3 HRU模型 HRU模式是Graham-Denning模型的变体,在HRU模型中,基于 “命令”来描述对主客体的访问控制机制,其中每个命令含 有“条件”和“基本操作”。命令结构如下: command α (X1 , X 2 , L, X k ) if r1 in (X s1 , X o1 ) and
2011年8月9日星期二 14
信息安全系 张柱
第6章 形式化方法与安全模型
命令 创立目标o 创立主体s 删除目标o 删除主体s S对o读访问权 删除s对o的访问权r 给s授予对o的访问权r 转移对o的访问权r或r*给s 条件 -- --
6.3.2 Graham-Denning模型
作 用 在A中增加一个关于o的列, 在A[x,o]处放入“拥有者” 在A中增加一个关于s的行,在 A[x,s]处放入“控制” 删除o对应的列 删除s对应的行 将A[s,o]拷贝给x 从A[s,o]中去掉r 从A[s,o]中增加r 从A[s,o]中增加r或r*
2011年8月9日星期二
6
பைடு நூலகம்
信息安全系 张柱
第6章 形式化方法与安全模型(8课时)
6.1 形式化方法
机器证明依赖于使用机器化的证明器,“检查机”具有如下的 特性: ①接受输入; ②决定输出; ③如果成功,则该推测是该系列假设的有效结果。 证明器能够潜在的提升用户效率。在操作系统的安全策略模型 中,经常需要自动机的协助。典型地,对安全的定义包含许 多需求,这些需求通常以状态不变式和状态转换约束的形式 出现。 特别地,一个需求只处理几个状态元素,任何操作规则对这些 元素的细微的修改都会导致对需求的违反,因此,至多90% 的必需的引理都可能是非常重要的。
2011年8月9日星期二 5
信息安全系 张柱
第6章 形式化方法与安全模型(8课时)
6.1 形式化方法
高层目标指定的恰当性对设计一个计算机系统尤其重要,其是 否合适的判断标准是,能否抵御威胁并且可以加以实现。 系统的安全策略是否合适是使用该系统的组织的安全策略能否 成功实施的关键。如果一个系统的安全策略的实施能够达到 系统事先制定的安全目标,则该安全策略就是适当的。 有三种“形式化证明”方法: ①数学证明; ②机器证明; ③Hilbert证明。 数学证明依赖于使用数学语言来进行模型或范型的形式化,不 允许自动化。
r2 in (X s2 , X o2 ) and L rm in (X sm , X om ) then op1 , op 2 , L , op n end
2011年8月9日星期二 16
信息安全系 张柱
第6章 形式化方法与安全模型 或者,如果m为0,命令格式为:
6.3.3 HRU模型
command α (X1 , X 2 , L, X k ) op1 , op 2 , L , op n
2011年8月9日星期二
13
信息安全系 张柱
第6章 形式化方法与安全模型 6.3 基于访问控制矩阵的安全模型 6.3.2 Graham-Denning模型 在Graham-Denning模型中,对主体集合S、目标集合O、权利集 合R和访问控制矩阵A进行操作。矩阵中每个主体一行,每 个主体以及每个目标均有一列。一个主体对于另一个主体, 或者一个目标的权利利用矩阵元素的内容来表示。 对于每个目标,标明为“拥有者”的主体,有特殊的权利;对 于每个主体,标明为“控制者”的另一个主体,有特殊权利。 在Graham-Denning模型中,有八个基本的保护权,这些权利被 表示成主体能够发出的命令,作用于其他主体或目标。 ①创建目标; ⑤删除访问权; ②创立主体,删除目标,删除主体; ⑥转移访问权。 ③读访问权; 这些规则如图所示。 ④授予访问权;