Clark-Wilson模型定义
Clark-Wilson模型将数据划分为两类:限制数据项(Cons trained Data Items,CDI)和非限制数据项( Unconstrainecl Data Items,UDI),CDI是需要进行完整性控制的客体,而UDI 则不需要进行完整性控制。
Clark-Wilson模型还定义了两种过程,一个是完整性验证过程(Integrity Verification Procedure,IVP),确认限制数据项处于一种有效状态,如果IVP检验CDI符合完整性约束,
则称系统处于一个有效状态;另一个是转换过程( Transformation Procedure,TP),将数据项从一种有效状态改变至另一种有效状态。
为了达到并保持完整性,Clark-Wilson模型提出了证明规则和实施规则,证明规则由管理员来执行,实施规则是由系统执行。
证明规则l( CRl):当任意一个IVP在运行时,它必须保证所有的CDI都处于有效状态
证明规则2( CR2):对于某些相关联的CDI集合,TP必须将那些CDI从一个有效状态转换到另一个有效状态
实施规则l( ERl):系统必须维护所有的证明关系,且必须保证只有经过证明可以运行该CDI的TP才-能操作该CDI
实施规则2( ER2):系统必须将用户与每个TP及一组相关的CDI关联起来。TP可以代表相关用户来访问这些CDI。如果用户没有与特定的TP及CDI相关联,那么这个TP将不台黾代表那个用户对CDI进行访问
证明规则3( CR3):被允许的关系必须满足职责分离原则所提出的要求实施规则3( ER3):系统必须对每一个试图执行TP的用户进行认证
证明规则4( CR4):所有的TP必须添加足够多的信息来重构对一个只允许添加的CDI的操作
证明规则5( CR5):任何以UDI为输入的TP,列‘于该UDI的所有可能值,只禽&执行有效的转换,或者不进行转换。这种转换要么是拒绝该UDI,要么是将其转化为一个CDI
实施规则4( ER4):只有TP的证明者可以改变与该TP相关的一个实体列表。TP的证明者,或与TP相关的实体的证明者都不会有对该实体的执行许可
Clark-Wilson模型分析
Clark-Wilson模型确保完整性的安全属性如下:
(1)完整性:确保CDI只能由限制的方法来改变并生成另一个有效的CDI,该属性由规则CR1、CR2、CR5、ER1和ER4来保证;
(2)访问控制:控制访问资源的能力由规则CR3、ER2和ER3来提供;
(3)审计:确定CDI的变化及系统处于有效状态的功能由规则CR1和CR4来保证;
(4)责任:确保用户及其行为唯一对应由规则ER3来保证。
想了解更多IT资讯,请访问中培教育官网:中培教育