|
|
|
安全模型定义了执行策略以及技术和方法,通常这些模型是经过时间证明为有效的数学模型。如果一个模型未经数学证明,则称为非正式安全模型,否则就称为正式安全模型。常用的正式安全模型主要有Bell-LaPadule、Biba和Clark-Wilson等模型。
|
|
|
|
(1)Bell-LaPadule。Bell-LaPadule(BLP)模型是基于机密性的访问模型,模型对安全状态进行了定义,并具有一个特殊的转换函数,能够将系统从一个安全状态转换到另一个安全状态。BLP模型还定义了关于读写的基本访问模式以及主体如何对客体进行访问。
|
|
|
|
安全状态是指根据一定的安全策略,只有经过允许的访问模型是可用的。BLP模型基于对主体和客体的分类级别来判断对客体的访问权限,包括只读、只写以及读写3种权限。
|
|
|
|
BLP模型基于2种属性,分别是简单安全属性(simple security property)和星属性(star property)。简单安全属性指出高保密性的客体(文件)不能被低保密性的主体(进程)读取,低保密性的客体可以被高保密性的主体读取,这称为“不能从上读”,这样就保证了高保密级别的内容不被窃取。星属性指出主体只能向相同级别以及更高级别的客体中写信息,这称为“不能向下写”。以这种方式,就可以防止主体从一个级别向一个更低的级别中复制信息,从而保证了高保密性的内容不会泄漏。
|
|
|
|
(2)Biba。Biba模型是基于完整性的访问模型,完整性模型通常会与机密性模型相互冲突。Biba模型主要是建立在具有不同级别的完整性程度的单元之上,每个单元的元素是主动的主体的集合或者是被动的客体的集合。Biba模型的主要目的就是为了解决完整性的问题,防止未授权用户对信息的修改。
|
|
|
|
Biba模型基于3种属性,分别是简单安全属性、星属性和请求属性。简单安全属性规定,低完整性的主体可以读取(访问)高完整性的客体,高完整性主体不可以读取(访问)低完整性的客体。星属性规定,低完整性的主体不能写(修改)高完整性的客体,高完整性的主体可以写(修改)低完整性的客体。请求属性规定,低完整性的主体不能向高完整性的客体发送消息。
|
|
|
|
(3)Clark-Wilson。Clark-Wilson模型也是基于完整性的访问模型,与Biba不同的是,Clark-Wilson模型主要有3个完整性目标:阻止未授权的用户修改信息;维护内部和外部的一致性;阻止授权的用户对信息进行不适当的修改。
|
|
|
