安全模型
时间:2023年3月28日 星期二
作者:小王
一、描述对象安全属性的方法
1.安全令牌(token)
与资源关联并描述其安全属性的单独对象,可以在请求访问实际对象之前传递有关对象的安全信息。
2.能力表(capability)
为每个受控对象维护一行安全属性。
3.安全标签(label)
分配给对象的自定义安全属性,通常无法更改。
二、可信计算基础
考试大概率碰不到
可信计算基础(TCB)设计原则是硬件、软件和控制的组合,它们共同构成一个可信基础,以执行组织的安全策略。TCB组件的职责是确保系统在所有情况下都能正常运行,在所有情况下都遵守安全策略。
1.安全边界(security perimeter)
是TCB与系统其余部分间的假想边界,TCB与系统其余部分通信必须创建安全通道,即可信路径(trusted paths)。
2.参考监视器(reference monitors)
TCB中负责访问控制的执行。
3.安全内核(security kernel)
TCB中实现参考监视器功能的组件集合。操作系统的内核是一起工作以实现安全,可靠的操作系统的组件的集合。内核包含可信计算库(TCB)和参考监视器。
三、状态机模型
系统受外部输入影响会改变系统状态,保障系统所有转换的状态都是安全的,这就称为安全状态机模型。
四、信息流模型
基于状态机模型,关注信息的流向,通过识别正常信息流路径解决隐蔽通道问题。
五、非干扰模型
基于信息流模型,关注较高安全级别主体的行为如何影响系统状态或较低安全级别主体的行为,只要不产生影响就是非干扰模型。
六、组合理论
一些属于信息流范畴的模型建立在多个系统之间输入和输出的概念上,这些被称为组合理论。
1.级联(Cascading):A的输出是B的输入。
2.反馈(Feedback):A的输出是B的输入,B的输出是A的输入。
3.连接(Hookup):A的输出不仅是B的输入,而且也是C的输入。
以下模型记名字+特点
七、Take-Grant模型
1.获取规则:主体A可以从主体B获取权限;
2.授予规则:主体A可以将权限授予主体B或客体C;
3.创建规则:主体A创建新权限;
4.删除规则:主体A删除其权限。
八、访问控制矩阵
能力表是行(关注主体),访问控制列表是列(关注客体),两者组成访问控制矩阵。
九、Bell-LaPadula模型
专注于维护机密性,采用强制访问控制和格子概念。
1.简单安全属性:不准向上读;
2.*安全属性:不准向下写;
3.自由安全属性:使用访问控制矩阵实现自主访问控制。
十、Biba模型
专注于维护完整性,适用于非军事组织。
1.简单完整性属性:不准向下读;
2.*完整性属性:不准向上写。
十一、BL和Biba模型组合记忆
做题方法:
1.BL涉及机密性,其属性全是安全属性;
2.Biba涉及完整性,其属性全是完整性属性;
3.简单属性肯定是读操作,*属性肯定是写操作。
十二、Clark-Wilson模型
专注于维护完整性,采用三元组(主体/程序/客体)架构,主体无法直接访问对象,这被称为约束接口(restrictive interface)。
1.受约束数据项(CDI):受保护的数据;
2.无约束数据项(UDI):不受保护的数据;
3.完整性验证过程(IVP):扫描数据并确认其完整性的过程;
4.转换过程(TP):唯一允许修改CDI的过程。
UDI经过IVP转换成CDI,CDI不能被直接修改,必须经过TP才能修改。
十三、Brewer and Nash模型
别名为Chinese Wall,基于用户行为动态分配主体的权限。其实是将客体进行分类、隔离并添加逻辑判断规则以实现动态的权限分配。如A和B是竞争对手,那么C在访问A的数据后,就不能再访问B的数据,避免出现利益冲突。
十四、Goguen-Meseguer模型
专注于维护完整性,是非干涉模型的基础。
十五、Sutherland 模型
专注于维护完整性,可防止隐蔽通道。
十六、Graham-Denning模型
专注于主体和客体的安全创建与删除,共有八个规则:
1.安全地创建对象
2.安全地创建主体
3.安全地删除对象
4.安全地删除主体
5.安全地提供读取访问权限
6.安全地提供授予访问权限
7.安全地提供删除访问权限
8.安全地提供转移访问权限
十七、Harrison–Ruzzo–Ullman模型
Graham-Denning模型的扩展,着重于对象访问权的分配以及这些分配权利的弹性。