第六章訪問控制技術第六章1第一節訪問控制概述第二節訪問控制的類型第三節安全模型第四節訪問控制模型的實現第六章訪問控制技術第一節訪問控制概述第二節訪問控制的類型第三節安全2一訪問控制的基本任務

訪問控制的基本任務是對計算機及其網絡系統采取有效的安全防范措施，防止非法用戶進入系統及合法用戶對系統資源的非法使用。第一節訪問控制概述第六章訪問控制技術一訪問控制的基本任務是對計算機及其網絡系統采取有效的3認證就是證實用戶的身份，認證必須和標識符共同起作用。一訪問控制的基本任務

第一節訪問控制概述1．用戶身份認證第六章訪問控制技術認證就是證實用戶的身份，認證必須和標識符共同起作用。一4

系統正確認證用戶以后，根據不同的ID分配給不同的使用資源，這項任務稱作授權。授權的實現是靠訪問控制完成的。一訪問控制的基本任務

第一節訪問控制概述2．授權第六章訪問控制技術系統正確認證用戶以后，根據不同的ID分配給不同5如何決定用戶的訪問權限：（1）用戶分類用戶特殊用戶一般用戶作審計的用戶作廢用戶一訪問控制的基本任務

第一節訪問控制概述第六章訪問控制技術如何決定用戶的訪問權限：（1）用戶分類用戶特殊用戶一般用戶6如何決定用戶的訪問權限：（2）資源及使用磁盤與磁帶上的數據集、遠程終端信息管理系統的事物處理組、顧客（用戶）信息管理系統事物處理組和程序說明塊（PSB）、數據庫中的數據、應用資源等。一訪問控制的基本任務

第一節訪問控制概述第六章訪問控制技術如何決定用戶的訪問權限：（2）資源及使用磁盤與磁帶7如何決定用戶的訪問權限：訪問規則規定若干條件，在這些條件下可準許訪問一個資源。一般地講，規則使用戶和資源配對，然后指定該用戶可在該資源上執行哪些操作。一訪問控制的基本任務

第一節訪問控制概述第六章訪問控制技術（3）訪問規則如何決定用戶的訪問權限：訪問規則規定若干條件，在這8對該文件提供附加保護，使非授權用戶不可讀，對于有時可能被截獲的文件的附加保護是對文件進行加密。一訪問控制的基本任務

第一節訪問控制概述第六章訪問控制技術

3．文件保護對該文件提供附加保護，使非授權用戶不可讀，對于有時可能9記錄用戶的行動，以說明安全方案的有效性。審計是記錄用戶使用系統所進行的所有活動的過程，即記錄用戶違反安全規定的時間、日期以及用戶活動。一訪問控制的基本任務

第一節訪問控制概述第六章訪問控制技術4．審計記錄用戶的行動，以說明安全方案的有效性。審計是記錄用10二訪問控制的層次

權限控制目錄級安全控制屬性安全控制服務器安全控制入網訪問控制訪問控制第一節訪問控制概述第六章訪問控制技術二權限目錄級屬性安全服務器入網訪問第一節訪問控制概述第六11

訪問控制是指主體依據某些控制策略或權限對客體本身或其他資源進行的不同授權訪問。訪問控制包括三個要素：主體、客體和控制策略。第一節訪問控制概述第六章訪問控制技術三訪問控制的要素

訪問控制是指主體依據某些控制策略或權限對客體本身或其12

訪問控制策略是計算機安全防范和保護的核心策略之一，其任務是保證計算機信息不被非法使用和非法訪問，為保證信息基礎的安全性提供一個框架，提供管理和訪問計算機資源的安全方法，規定各部門要遵守的規范及應負的責任，使得計算機網絡系統的安全有了可靠的依據。第一節訪問控制概述第六章訪問控制技術四訪問控制策略

訪問控制策略是計算機安全防范和保護的核心策略之131.訪問控制策略的實施原則最小特權原則最小泄漏原則多級安全策略第一節訪問控制概述第六章訪問控制技術四訪問控制策略

1.訪問控制策略的實施原則最小特權原則第一節訪問控制概142.訪問控制策略的實現基于身份的安全策略基于規則的安全策略第一節訪問控制概述第六章訪問控制技術四訪問控制策略

2.訪問控制策略的實現基于身份的安全策略第一節訪問控制15第一節訪問控制概述第二節訪問控制的類型第三節安全模型第四節訪問控制模型的實現第六章訪問控制技術第六章訪問控制技術第一節訪問控制概述第二節訪問控制的類型第三節安全16第二節訪問控制的類型訪問控制機制可以限制對系統關鍵資源的訪問，防止非法用戶進入系統及合法用戶對系統資源的非法使用。第六章訪問控制技術第二節訪問控制的類型訪問控制機制可以限制對系17第二節訪問控制的類型第六章訪問控制技術自主訪問控制（DAC）強制訪問控制（MAC）基于角色的訪問控制（RBAC）第二節訪問控制的類型第六章訪問控制技術自主訪問控18一自主訪問控制

自主訪問控制是基于對主體及主體所屬的主體組的識別來限制對客體的訪問。第六章訪問控制技術第二節訪問控制的類型一自主訪問控制是基于對主體及主體所屬的主體組的識別來191．自主訪問控制的實現方法（1）基于行的自主訪問控制權力表（capabilitieslist）前綴表（profiles）

口令(password)第六章訪問控制技術第二節訪問控制的類型一自主訪問控制

1．自主訪問控制的實現方法（1）基于行的自主訪問控制權力表（201．自主訪問控制的實現方法（2）基于列的自主訪問控制保護位(protectionbits)訪問控制表(accesscontrollist)第六章訪問控制技術第二節訪問控制的類型一自主訪問控制

1．自主訪問控制的實現方法（2）基于列的自主訪問控制保護位(212．自主訪問控制的類型等級型(hierarchical)有主型（owner）

自由型（laissez-faire）第六章訪問控制技術第二節訪問控制的類型一自主訪問控制

2．自主訪問控制的類型等級型(hierarchical)有主223．自主訪問控制模式①讀—拷貝②寫—刪除③運行④無效第六章訪問控制技術第二節訪問控制的類型一自主訪問控制

（1）文件3．自主訪問控制模式①讀—拷貝第六章訪問控制技233．自主訪問控制模式③對目錄與文件都實施訪問控制。第六章訪問控制技術第二節訪問控制的類型一自主訪問控制

（2）目錄①對目錄而不對文件實施訪問控制；②對文件而不對目錄實施訪問控制；3．自主訪問控制模式③對目錄與文件都實施訪問控制。第六章24二強制訪問控制

強制訪問控制是指用戶和文件都有一個固定的安全屬性，系統利用安全屬性來決定一個用戶是否可以訪問某個文件。第六章訪問控制技術第二節訪問控制的類型二強制訪問控制是指用戶和文件都有一個固定的安全屬性，25二強制訪問控制

（2）過程控制第六章訪問控制技術第二節訪問控制的類型1.防止特洛伊木馬的強制訪問控制（1）限制訪問控制的靈活性二（2）過程控制第六章訪問控制技術第二節訪問控制26二強制訪問控制②僅當用戶的安全級不高于文件的安全級時，該用戶才能寫該文件。第六章訪問控制技術第二節訪問控制的類型2.Unix文件系統的強制訪問控制（1）Multics方案①僅當用戶的安全級不低于文件的安全級時，該用戶才能讀該文件。二②僅當用戶的安全級不高于文件的安全級時，該用戶才能寫該文件27③文件訪問與文件名的隱蔽第六章訪問控制技術第二節訪問控制的類型2.Unix文件系統的強制訪問控制二強制訪問控制（2）TimThomas方案①文件名的安全級②隱蔽文件名的實現③文件訪問與文件名的隱蔽第六章訪問控制技術第二節28三、基于角色的訪問控制

基于角色的訪問控制是指在訪問控制系統中，按照用戶所承擔的角色的不同而給予不同的操作集。其核心思想就是將訪問權限與角色相聯系，通過給用戶分配合適的角色，讓用戶與訪問權限相聯系。第六章訪問控制技術第二節訪問控制的類型三、基于角色的訪問控制是指在訪問控制系統中，按照用戶29第一節訪問控制概述第二節訪問控制的類型第三節安全模型第四節訪問控制模型的實現第六章訪問控制技術第六章訪問控制技術第一節訪問控制概述第二節訪問控制的類型第三節安全30一概述

第三節安全模型設計安全模型的主要目的是確定系統安全訪問控制策略、決定系統內部主體對客體的訪問和監控方式等。第六章訪問控制技術1.設計安全模型的目的一第三節安全模型設計安全模型的主要目的是確定系統安31（1）能充分體現預定的安全需要，應清楚地、準確地表達安全策略。（2）模型的安全表達是無二意性的。（3）模型應該是簡單的、抽象的、易于理解和實現，而且易于驗證。（4）安全模型應當只涉及安全性質，對系統的其他功能及實現不能有影響和太大的削弱。第六章訪問控制技術第三節安全模型一概述

2.安全模型的特點（1）能充分體現預定的安全需要，應清楚地、準確地表達安全策略32形式化描述是表達安全模型的安全狀態和約束條件的形式，需要用一種描述語言及相應自動工具完成。第六章訪問控制技術第三節安全模型一概述

3.形式化描述形式化描述是表達安全模型的安全狀態和約束條件的形式，需33安全模型的數學描述方法是將系統的安全對象、安全規則加以抽象和轉換，用數學上的變量、函數和數學表達式來描述。第六章訪問控制技術第三節安全模型一概述

4.數學描述安全模型的數學描述方法是將系統的安全對象、安全規則加以34二安全模型的類型它的實現技術是將系統的安全狀態表示成一個大的訪問矩陣A，其中矩陣的每一行表示系統中的一個主體而矩陣的每一列表示系統的一個客體，矩陣中的元素aij表示第i個主體對第j個客體的訪問模式。第六章訪問控制技術第三節安全模型1.訪問型模型二它的實現技術是將系統的安全狀態表示成一個大的訪問矩陣A35信息流控制模型的著眼點，是信息根據某種因果關系的流動。規定信息可以流通的安全有效路徑。關鍵技術在于信息流模型需要進行徹底的信息流分析，找出系統所有的信息流并根據信息流的安全要求，判定是否為異常流，依此反復修改系統描述或模型，直到所有信息流都不是異常流為止。第六章訪問控制技術第三節安全模型二安全模型的類型2.信息流模型信息流控制模型的著眼點，是信息根據某種因果關系的流動36無干擾型模型的主要技術是將各個主體相互隔離，使其在不同的領域中運行，以便防止相互干擾。第六章訪問控制技術第三節安全模型二安全模型的類型3.無干擾型模型無干擾型模型的主要技術是將各個主體相互隔離，使其在不37狀態機模型是將系統描述成一個抽象的數學狀態機。在這種模型中，用狀態變量表示機器安全操作對象的狀態，用狀態轉換函數或操作規則描述這些狀態變量是怎么變化的,系統的安全狀態變量和狀態轉換函數構成狀態機安全模型的總體。第六章訪問控制技術第三節安全模型二安全模型的類型4.狀態機模型狀態機模型是將系統描述成一個抽象的數學狀態機。在這種38多級安全模型是對訪問或信息流的控制分級分層次的結構。其多級安全規則的目的是防止混淆隔離集的界限，防止主體得到超過其密級許可等級的客體信息。第六章訪問控制技術第三節安全模型二安全模型的類型5.多級安全模型多級安全模型是對訪問或信息流的控制分級分層次的結構。39三典型安全模型介紹（1）信息流模型的組成信息流模型客體集合進程集合安全類集合類間復合操作符流關系第六章訪問控制技術第三節安全模型1．信息流模型三（1）信息流模型的組成信息流模型客體集合進程集合安全類集合40信息流動策略規定：信息必須由低安全類向高安全類或同安全類間流動，而不允許信息由高類向低類或無關類流動。

第六章訪問控制技術第三節安全模型三典型安全模型介紹（2）信息流動策略信息流動策略規定：信息必須由低安全類向高安全類或同安41流控制規則包括信息流的安全性、完備性和流動信道的概念以及明流、暗流安全性的實現和安全流的訪問控制規則等。第六章訪問控制技術第三節安全模型三典型安全模型介紹（3）流控制規則流控制規則包括信息流的安全性、完備性和流動信道的概念42狀態機模型的關鍵技術是將系統的操作對象的狀態抽象為狀態變量，對系統的運作抽象為狀態轉換函數或操作規則。第六章訪問控制技術第三節安全模型三典型安全模型介紹2．狀態機模型狀態機模型的關鍵技術是將系統的操作對象的狀態抽象為狀43

2．狀態機模型定義狀態變量定義安全狀態定義狀態轉換函數證明轉換函數是否可保證安全狀態

定義并證明初始狀態第六章訪問控制技術第三節安全模型三典型安全模型介紹（1）構造狀態機模型的步驟 2．狀態機模型定義狀態變量定義安全狀態定義狀態轉換函數44（2）構造狀態機安全模型舉例一般按以下步驟設計：①抽象描述安全系統并定義狀態變量②定義安全狀態 ③定義轉換函數 ④證明轉換函數的安全性 ⑤定義初始狀態并證明安全性 第六章訪問控制技術第三節安全模型三典型安全模型介紹（2）構造狀態機安全模型舉例一般按以下步驟設計：第六章訪45BLP模型是遵守軍事安全策略的多級安全模型。其技術實質是一種形式化的、描述一組訪問規則的狀態轉換模型，它將系統實體抽象為主體和客體兩類集合，定義了安全狀態的概念并證明狀態變換的安全性。第六章訪問控制技術第三節安全模型三典型安全模型介紹

3．Bell＆LaPadula安全模型BLP模型是遵守軍事安全策略的多級安全模型。其技術實46第一節訪問控制概述第二節訪問控制的類型第三節安全模型第四節訪問控制模型的實現第六章訪問控制技術第六章訪問控制技術第一節訪問控制概述第二節訪問控制的類型第三節安全47一訪問控制模型的實現機制

第四節訪問控制模型的實現是以文件為中心建立的訪問權限表。訪問控制表的優點在于實現簡單，任何得到授權的主體都可以有一個訪問表。第六章訪問控制技術1．訪問控制表一第四節訪問控制模型的實現是以文件為中心建立的訪48一訪問控制模型的實現機制

第四節訪問控制模型的實現對每個主體而言，都擁有對哪些客體的哪些訪問權限；而對客體而言，又有哪些主體對它可以實施訪問；將這種關聯關系加以闡述，就形成了控制矩陣。第六章訪問控制技術2．訪問控制矩陣一第四節訪問控制模型的實現對每個主體而言，都擁有對49一訪問控制模型的實現機制

第四節訪問控制模型的實現指請求訪問的發起者所擁有的一個有效標簽，它授權標簽表明的持有者可以按照何種訪問方式訪問特定的客體。訪問控制能力表是以用戶為中心建立訪問權限表。第六章訪問控制技術3.能力一第四節訪問控制模型的實現指請求訪問的發起者所擁有50一訪問控制模型的實現機制

第四節訪問控制模型的實現限制和附屬在主體或客體上的一組安全屬性信息。安全標簽的含義比能力更為廣泛和嚴格，因為它實際上還建立了一個嚴格的安全等級集合。第六章訪問控制技術4．安全標簽一第四節訪問控制模型的實現限制和附屬在主體或客51一訪問控制模型的實現機制

第四節訪問控制模型的實現（1）接入訪問控制（2）資源訪問控制（3）網絡端口和節點的訪問控制第六章訪問控制技術5．訪問控制實現的具體類別一第四節訪問控制模型的實現（1）接入訪問控制第六章訪52二訪問控制模型的實現方法1．SystemV/MLS實現方法2．Lipner實現方法3．BK實現方法第六章訪問控制技術第四節訪問控制模型的實現二1．SystemV/MLS實現方法第六章訪問53演講完畢，謝謝觀看！演講完畢，謝謝觀看！54第六章訪問控制技術第六章55第一節訪問控制概述第二節訪問控制的類型第三節安全模型第四節訪問控制模型的實現第六章訪問控制技術第一節訪問控制概述第二節訪問控制的類型第三節安全56一訪問控制的基本任務

訪問控制的基本任務是對計算機及其網絡系統采取有效的安全防范措施，防止非法用戶進入系統及合法用戶對系統資源的非法使用。第一節訪問控制概述第六章訪問控制技術一訪問控制的基本任務是對計算機及其網絡系統采取有效的57認證就是證實用戶的身份，認證必須和標識符共同起作用。一訪問控制的基本任務

第一節訪問控制概述1．用戶身份認證第六章訪問控制技術認證就是證實用戶的身份，認證必須和標識符共同起作用。一58

系統正確認證用戶以后，根據不同的ID分配給不同的使用資源，這項任務稱作授權。授權的實現是靠訪問控制完成的。一訪問控制的基本任務

第一節訪問控制概述2．授權第六章訪問控制技術系統正確認證用戶以后，根據不同的ID分配給不同59如何決定用戶的訪問權限：（1）用戶分類用戶特殊用戶一般用戶作審計的用戶作廢用戶一訪問控制的基本任務

第一節訪問控制概述第六章訪問控制技術如何決定用戶的訪問權限：（1）用戶分類用戶特殊用戶一般用戶60如何決定用戶的訪問權限：（2）資源及使用磁盤與磁帶上的數據集、遠程終端信息管理系統的事物處理組、顧客（用戶）信息管理系統事物處理組和程序說明塊（PSB）、數據庫中的數據、應用資源等。一訪問控制的基本任務

第一節訪問控制概述第六章訪問控制技術如何決定用戶的訪問權限：（2）資源及使用磁盤與磁帶61如何決定用戶的訪問權限：訪問規則規定若干條件，在這些條件下可準許訪問一個資源。一般地講，規則使用戶和資源配對，然后指定該用戶可在該資源上執行哪些操作。一訪問控制的基本任務

第一節訪問控制概述第六章訪問控制技術（3）訪問規則如何決定用戶的訪問權限：訪問規則規定若干條件，在這62對該文件提供附加保護，使非授權用戶不可讀，對于有時可能被截獲的文件的附加保護是對文件進行加密。一訪問控制的基本任務

第一節訪問控制概述第六章訪問控制技術

3．文件保護對該文件提供附加保護，使非授權用戶不可讀，對于有時可能63記錄用戶的行動，以說明安全方案的有效性。審計是記錄用戶使用系統所進行的所有活動的過程，即記錄用戶違反安全規定的時間、日期以及用戶活動。一訪問控制的基本任務

第一節訪問控制概述第六章訪問控制技術4．審計記錄用戶的行動，以說明安全方案的有效性。審計是記錄用64二訪問控制的層次

權限控制目錄級安全控制屬性安全控制服務器安全控制入網訪問控制訪問控制第一節訪問控制概述第六章訪問控制技術二權限目錄級屬性安全服務器入網訪問第一節訪問控制概述第六65

訪問控制是指主體依據某些控制策略或權限對客體本身或其他資源進行的不同授權訪問。訪問控制包括三個要素：主體、客體和控制策略。第一節訪問控制概述第六章訪問控制技術三訪問控制的要素

訪問控制是指主體依據某些控制策略或權限對客體本身或其66

訪問控制策略是計算機安全防范和保護的核心策略之一，其任務是保證計算機信息不被非法使用和非法訪問，為保證信息基礎的安全性提供一個框架，提供管理和訪問計算機資源的安全方法，規定各部門要遵守的規范及應負的責任，使得計算機網絡系統的安全有了可靠的依據。第一節訪問控制概述第六章訪問控制技術四訪問控制策略

訪問控制策略是計算機安全防范和保護的核心策略之671.訪問控制策略的實施原則最小特權原則最小泄漏原則多級安全策略第一節訪問控制概述第六章訪問控制技術四訪問控制策略

1.訪問控制策略的實施原則最小特權原則第一節訪問控制概682.訪問控制策略的實現基于身份的安全策略基于規則的安全策略第一節訪問控制概述第六章訪問控制技術四訪問控制策略

2.訪問控制策略的實現基于身份的安全策略第一節訪問控制69第一節訪問控制概述第二節訪問控制的類型第三節安全模型第四節訪問控制模型的實現第六章訪問控制技術第六章訪問控制技術第一節訪問控制概述第二節訪問控制的類型第三節安全70第二節訪問控制的類型訪問控制機制可以限制對系統關鍵資源的訪問，防止非法用戶進入系統及合法用戶對系統資源的非法使用。第六章訪問控制技術第二節訪問控制的類型訪問控制機制可以限制對系71第二節訪問控制的類型第六章訪問控制技術自主訪問控制（DAC）強制訪問控制（MAC）基于角色的訪問控制（RBAC）第二節訪問控制的類型第六章訪問控制技術自主訪問控72一自主訪問控制

自主訪問控制是基于對主體及主體所屬的主體組的識別來限制對客體的訪問。第六章訪問控制技術第二節訪問控制的類型一自主訪問控制是基于對主體及主體所屬的主體組的識別來731．自主訪問控制的實現方法（1）基于行的自主訪問控制權力表（capabilitieslist）前綴表（profiles）

口令(password)第六章訪問控制技術第二節訪問控制的類型一自主訪問控制

1．自主訪問控制的實現方法（1）基于行的自主訪問控制權力表（741．自主訪問控制的實現方法（2）基于列的自主訪問控制保護位(protectionbits)訪問控制表(accesscontrollist)第六章訪問控制技術第二節訪問控制的類型一自主訪問控制

1．自主訪問控制的實現方法（2）基于列的自主訪問控制保護位(752．自主訪問控制的類型等級型(hierarchical)有主型（owner）

自由型（laissez-faire）第六章訪問控制技術第二節訪問控制的類型一自主訪問控制

2．自主訪問控制的類型等級型(hierarchical)有主763．自主訪問控制模式①讀—拷貝②寫—刪除③運行④無效第六章訪問控制技術第二節訪問控制的類型一自主訪問控制

（1）文件3．自主訪問控制模式①讀—拷貝第六章訪問控制技773．自主訪問控制模式③對目錄與文件都實施訪問控制。第六章訪問控制技術第二節訪問控制的類型一自主訪問控制

（2）目錄①對目錄而不對文件實施訪問控制；②對文件而不對目錄實施訪問控制；3．自主訪問控制模式③對目錄與文件都實施訪問控制。第六章78二強制訪問控制

強制訪問控制是指用戶和文件都有一個固定的安全屬性，系統利用安全屬性來決定一個用戶是否可以訪問某個文件。第六章訪問控制技術第二節訪問控制的類型二強制訪問控制是指用戶和文件都有一個固定的安全屬性，79二強制訪問控制

（2）過程控制第六章訪問控制技術第二節訪問控制的類型1.防止特洛伊木馬的強制訪問控制（1）限制訪問控制的靈活性二（2）過程控制第六章訪問控制技術第二節訪問控制80二強制訪問控制②僅當用戶的安全級不高于文件的安全級時，該用戶才能寫該文件。第六章訪問控制技術第二節訪問控制的類型2.Unix文件系統的強制訪問控制（1）Multics方案①僅當用戶的安全級不低于文件的安全級時，該用戶才能讀該文件。二②僅當用戶的安全級不高于文件的安全級時，該用戶才能寫該文件81③文件訪問與文件名的隱蔽第六章訪問控制技術第二節訪問控制的類型2.Unix文件系統的強制訪問控制二強制訪問控制（2）TimThomas方案①文件名的安全級②隱蔽文件名的實現③文件訪問與文件名的隱蔽第六章訪問控制技術第二節82三、基于角色的訪問控制

基于角色的訪問控制是指在訪問控制系統中，按照用戶所承擔的角色的不同而給予不同的操作集。其核心思想就是將訪問權限與角色相聯系，通過給用戶分配合適的角色，讓用戶與訪問權限相聯系。第六章訪問控制技術第二節訪問控制的類型三、基于角色的訪問控制是指在訪問控制系統中，按照用戶83第一節訪問控制概述第二節訪問控制的類型第三節安全模型第四節訪問控制模型的實現第六章訪問控制技術第六章訪問控制技術第一節訪問控制概述第二節訪問控制的類型第三節安全84一概述

第三節安全模型設計安全模型的主要目的是確定系統安全訪問控制策略、決定系統內部主體對客體的訪問和監控方式等。第六章訪問控制技術1.設計安全模型的目的一第三節安全模型設計安全模型的主要目的是確定系統安85（1）能充分體現預定的安全需要，應清楚地、準確地表達安全策略。（2）模型的安全表達是無二意性的。（3）模型應該是簡單的、抽象的、易于理解和實現，而且易于驗證。（4）安全模型應當只涉及安全性質，對系統的其他功能及實現不能有影響和太大的削弱。第六章訪問控制技術第三節安全模型一概述

2.安全模型的特點（1）能充分體現預定的安全需要，應清楚地、準確地表達安全策略86形式化描述是表達安全模型的安全狀態和約束條件的形式，需要用一種描述語言及相應自動工具完成。第六章訪問控制技術第三節安全模型一概述

3.形式化描述形式化描述是表達安全模型的安全狀態和約束條件的形式，需87安全模型的數學描述方法是將系統的安全對象、安全規則加以抽象和轉換，用數學上的變量、函數和數學表達式來描述。第六章訪問控制技術第三節安全模型一概述

4.數學描述安全模型的數學描述方法是將系統的安全對象、安全規則加以88二安全模型的類型它的實現技術是將系統的安全狀態表示成一個大的訪問矩陣A，其中矩陣的每一行表示系統中的一個主體而矩陣的每一列表示系統的一個客體，矩陣中的元素aij表示第i個主體對第j個客體的訪問模式。第六章訪問控制技術第三節安全模型1.訪問型模型二它的實現技術是將系統的安全狀態表示成一個大的訪問矩陣A89信息流控制模型的著眼點，是信息根據某種因果關系的流動。規定信息可以流通的安全有效路徑。關鍵技術在于信息流模型需要進行徹底的信息流分析，找出系統所有的信息流并根據信息流的安全要求，判定是否為異常流，依此反復修改系統描述或模型，直到所有信息流都不是異常流為止。第六章訪問控制技術第三節安全模型二安全模型的類型2.信息流模型信息流控制模型的著眼點，是信息根據某種因果關系的流動90無干擾型模型的主要技術是將各個主體相互隔離，使其在不同的領域中運行，以便防止相互干擾。第六章訪問控制技術第三節安全模型二安全模型的類型3.無干擾型模型無干擾型模型的主要技術是將各個主體相互隔離，使其在不91狀態機模型是將系統描述成一個抽象的數學狀態機。在這種模型中，用狀態變量表示機器安全操作對象的狀態，用狀態轉換函數或操作規則描述這些狀態變量是怎么變化的,系統的安全狀態變量和狀態轉換函數構成狀態機安全模型的總體。第六章訪問控制技術第三節安全模型二安全模型的類型4.狀態機模型狀態機模型是將系統描述成一個抽象的數學狀態機。在這種92多級安全模型是對訪問或信息流的控制分級分層次的結構。其多級安全規則的目的是防止混淆隔離集的界限，防止主體得到超過其密級許可等級的客體信息。第六章訪問控制技術第三節安全模型二安全模型的類型5.多級安全模型多級安全模型是對訪問或信息流的控制分級分層次的結構。93三典型安全模型介紹（1）信息流模型的組成信息流模型客體集合進程集合安全類集合類間復合操作符流關系第六章訪問控制技術第三節安全模型1．信息流模型三（1）信息流模型的組成信息流模型客體集合進程集合安全類集合94信息流動策略規定：信息必須由低安全類向高安全類或同安全類間流動，而不允許信息由高類向低類或無關類流動。

第六章訪問控制技術第三節安全模型三典型安全模型介紹（2）信息流動策略信息流動策略規定：信息必須由低安全類向高安全類或同安95流控制規則包括信息流的安全性、完備性和流動信道的概念以及明流、暗流安全性的實現和安全流的訪問控制規則等。第六章訪問控制技術第三節安全模型三典型安全模型介紹（3）流控制規則流控制規則包括信息流的安全性、完備性和流動信道的概念96狀態機模型的關鍵技術是將系統的操作對象的狀態抽象為狀態變量，對系統的運作抽象為狀態轉換函數或操作規則。第六章訪問控制技術第三節安全模型三典型安全模型介紹2．狀態機模型狀態機模型的關鍵技術是將系統的操作對象的狀態抽象為狀97

2．狀態機模型定義狀態變量定義安全狀態定義狀態轉換函數證明轉換函數是否可保證安全狀態

定義并證明初始狀態第六章訪問