2.1.2 模型的分类

形式化安全模型是信息安全理论研究的基础，也是开发高安全级别系统不可缺少的形式化描述和验证技术。一般的安全模型都可以用一种称为格（Lattice）的数学表达式来表示。

格是一种定义在集合SC上的偏序关系，是一个集合S和关系R的组合，并且满足如下条件。

• R是自反、反对称和传递的。

■ 自反性：任意a∈S，有aRa。

■ 反对称：任意a，b∈S，由aRb和bRa可推出a=b。

■ 传递性：任意a，b，c∈S，由aRb和bRc可推出aRc。

• 对任意S，t∈S，存在最大下界。

• 对任意S，t∈S，存在最小上界。

在一种多级安全策略模型中，SC表示有限的安全类集合，其中每个安全类可用一个二元组（A，C）来表示，A表示权限级别（Authority level），C表示类别集合（Category）。权限级别共分成四级。

• 0级：普通级（Unclassified）。

• 1级：秘密级（Confidential）。

• 2级：机密级（Secret）。

• 3级：绝密级（Top Secret）。

对于给定的安全类（A，C）和（A，C′），当且仅当A≤A且C≤C′时，（A，C）≤（A′，C′），称（A，C）受（A′，C′）的支配。例如，假设一个文件F的安全类为{Seet；NATO，NUCLEAR}，如果一个用户的安全类为{Top Secret；NATO，NUCLEAR，CRYPTO}，则该用户就可以访问文件F，因为该用户拥有比文件F更高的权限级别，并且在其类别集合中包含了文件F的所有类别。如果一个用户的安全类为{Top Secret；NATO，CRYPTO}，则该用户就不能访问文件F，因为该用户缺少NUCLEAR类别。这种多级安全策略模型是对军事安全的抽象，其模型的表示方法被广泛用于其他各种安全模型中。

人们提出了各种信息安全模型，包括信息保密性模型、信息完整性模型、信息流控制模型和混合策略模型等。