3、Java平台安全：模型、加密与认证全解析

Java平台安全：模型、加密与认证全解析

1. 安全模型的动态特性

在安全领域，安全策略并非一成不变，而是具有动态性。初看时，安全策略似乎是静态的，比如员工对文件 x 要么有读取权限，要么没有，没有第三种情况。但实际上，随着时间推移，安全策略会发生变化。例如，员工调到不同部门后，可能会获得之前被拒的文件访问权限。在强制访问控制（MAC）模型中，数据的敏感级别和人员的许可级别也会改变，数据可升级或降级，人员的安全许可级别也可能增减。

有几个显著的安全模型体现了这种动态性：
- 高水位线模型 ：数据的敏感级别会根据访问该数据人员的许可级别不断上升。
- 中国墙模型 ：常用于咨询公司和金融机构，通过建立“中国墙”避免利益冲突。例如，石油行业的顾问可为公司 A 或 B 提供咨询，但一旦访问了 A 的资料，就会因利益冲突被禁止访问 B 的资料。
- 克拉克 - 威尔逊完整性模型 ：源于金融行业，用于建模金融交易的安全要求。如超过一定金额的交易必须由两人按特定顺序共同签署。该模型是首个广泛引用的、明确展示军事和政府机构之外安全模型需求的模型。

2. 使用安全模型的考虑因素

安全模型可用于驱动或分析计算机系统的设计，或作为系统运行的基础。在实际应用中，会产生一些值得研究的问题：
- 可判定性 ：给定真实系统的通用安全模型和特定安全要求（如员工不得直接或间接访问文件 x），能否判定系统是否安全？一般情况下答案是否定的。后续研究主要通过限制模型的通用性来使问题可判定，但回答该问题的计算