下载

2下载券

加入VIP
  • 专属下载特权
  • 现金文档折扣购买
  • VIP免费专区
  • 千万文档免费下载

上传资料

关闭

关闭

关闭

封号提示

内容

首页 密码学第三讲 BLP模型

密码学第三讲 BLP模型.doc

密码学第三讲 BLP模型

rachel
2018-09-06 0人阅读 举报 0 0 暂无简介

简介:本文档为《密码学第三讲 BLP模型doc》,可适用于IT/计算机领域

第三章BLP模型(BellLaPadula模型)是对安全策略形式化的第一个数学模型是一个状态机模型用状态变量表示系统的安全状态用状态转换规则来描述系统的变化过程。一、模型的基本元素模型定义了如下的集合:S={s,s,…,sn}主体的集合主体:用户或代表用户的进程能使信息流动的实体。O={o,o,…,om}客体的集合客体:文件、程序、存贮器段等。(主体也看作客体SO)C={c,c,…,cq}主体或客体的密级(元素之间呈全序关系),c≤c≤…≤cqK={k,k,…,kr}部门或类别的集合A={r,w,e,a,c}访问属性集其中r:只读w:读写e:执行a:添加(只写)c:控制。RA={g,r,c,d}请求元素集g:get(得到)give(赋予)r:release(释放)rescind(撤销)c:change(改变客体的安全级)create(创建客体)d:delete(删除客体)D={yes,no,error,}判断集(结果集)其中yes:请求被执行no:请求被拒绝error:系统出错有多个规则适合于这一请求:请求出错规则不适用于这一请求。μ={M,M,…,Mp}访问矩阵集其中元素Mk是一n×m的矩阵Mk的元素MijA。F=CS×CO×(PK)S×(PK)O其中CS={f|f:S→C}f给出每一主体的密级CO={f|f:O→C}f给出每一客体的密级(PK)S={f|f:S→PK}f给出每一主体的部门集(PK)O={f|f:O→PK}f给出每一客体的部门集。其中PK表示K的幂集(PK=K)。F的元素记作f=(f,f,f,f)给出在某状态下每一主体的密级和部门集每一客体的密级和部门集即主体的许可证级(f,f)客体的安全级(f,f)。二、系统状态V=P(S×O×A)×μ×F是状态的集合状态v=(b,M,f)用有序三元组表示其中bS×O×A是当前访问集。M是访问矩阵它的第i行第j列的元素MijA表示在当前状态下主体Si对客体Oj所拥有的访问权限。f=(f,f,f,f)其中f(s)和f(s)分别表示主体s的密级和部门集f(s)和f(s)分别表示客体O的密级和部门集。三、安全特性⑴自主安全性状态v=(b,M,f)满足自主安全性当且仅当对所有的(si,oj,x)∈b有x∈Mij。⑵简单安全性状态v=(b,M,f)满足简单安全性当且仅当对所有的(s,o,x)∈b有(i)x=e或x=a或x=c或(ii)(x=r或x=w)且(f(s)≥f(o)f(s)≥f(o))。⑶*性质状态v=(b,M,f)满足*性质当且仅当对所有的s∈S若o∈b(S:w,a)o∈b(S:r,w),则f(o)≥f(o)f(o)f(o)其中符号b(S:x,…,xn)表示b中主体s对其具有访问特权xi(≤i≤n)的所有客体的集合。解释:一个状态v如果满足上述三条性质那么v才是安全状态。四、请求R=S×RA×S×O×X请求集(不是请求元素集)它的元素是一个完整的请求。其中S=S{}X=A{}F。R中的元素是一个五元组代表一次请求或一个操作。T={,,…,t,…}离散时刻的集合(标识)。用作请求序列结果序列和状态序列的下标X=RT={x|x:T→R}其中元素x可表示为x=x​xx…xt…是一个请求序列每一时刻有一请求构成一个请求序列因此X是请求序列的集合Y=DT={y|y:T→D}其中元素y=yyy…yt…是一个结果序列每一时刻的请求导致一个判断(或结果)构成一个结果序列Y是结果序列的集合Z=VT={z|z:T→V}其中元素z=zzz…zt…是一个状态序列每一zt∈V表示时刻t时系统的状态。Z是状态序列的集合五、状态转换规则系统状态的转换由一组规则定义一个规则P定义为:R×V→D×V。其中:R是请求集D为判断集V是状态集。也就是说P规定对于给定的一个状态和一个请求系统产生一个判断和下一个状态只有当D的取值为“yes”时请求才被执行状态才发生转换。BLP模型定义了十条基本规则(后来又有所扩充):规则~规则分别用于主体请求对客体的读(r)添加(a)执行(e)和写(w)的访问权。(φ,g,si,oj,r),(φ,g,si,oj,a),(φ,g,si,oj,e),(φ,g,si,oj,w)。规则用于主体释放它对某客体的访问权(包括r或a或e或w)。(φ,r,si,oj,x)规则和规则分别用于授予和撤销另一个主体对某客体的访问权。(sλ,g,si,oj,r)(sλ,r,si,oj,r)规则用于改变静止客体的密级和类别集。(φ,c,φ,oj,f*)规则和规则分别用于创建和删除(使之成为静止)一个客体。(φ,c,sj,oj,e)(φ,d,si,oj,φ)(φ,c,si,oj,φ)规则:主体si请求得到对客体oj的r访问权getreadP(Rk,v)ifσφorγgorxrorσ=φthenP(RK,v)=(,v)ifrMijor(f(si)<f(oj)orf(si)f(oj))thenP​(RK,v)=(no,v)if={o|ob(si:w,a)andf(oj)>f(o)orf(oj)f(o)}=φthenP​(RK,v)=(yes,v*=(b{(si,oj,r)},M,f))elseP​(RK,v)=(no,v)end规则:主体si请求得到对客体oj的a访问权getappend:P(RK,v)如果σφorγgorxaorσ=φ则P(RK,v)=(,v)如果aMij则P(RK,v)=(no,v)如果={o|ob(si:r,w)andf(oj)<f(o)orf(oj)f(o)}=φ则P(RK,v)=(yes,v*=(b{(si,oj,a)},M,f))否则P(RK,v)=(no,v)end规则:主体si请求得到对客体oj的e访问权getexecute:P(RK,v)ifσφorγgorxeorσ=φthenP(RK,v)=(,v)ifeMijthenP(RK,v)=(no,v)elseP(RK,v)=(yes,v*=(b{(si,oj,e)},M,f))end规则:主体si请求得到对客体oj的w访问权getwrite:P(RK,v)ifσφorγgorxworσ=φthenP(RK,v)=(,v)ifwMijorf(si​)<f(oj)orf(si)f(oj)thenP(RK,v)=(no,v)if={o|ob(si:r)andf(oj​)<f(o)orf(oj​)f(o)}{o|ob(si:a)andf(oj​)>f(o)orf(oj​)f(o)}{o|ob(si:w)andf(oj​)f(o)orf(oj​)f(o)}=φthenP(RK,v)=(yes,v*=(b{(si,oj,w)},M,f))elseP(RK,v)=(no,v)end规则:主体si请求释放对客体oj的r或w或e或a访问权releasereadwriteappendexecute:P(RK,v)if(σφ)or(γr)or(xr,w,aande)or(σ=φ)thenP(RK,v)=(,v)elseP(RK,v)=(yes,v*=(b{(si,oj,x)},M,f))end规则:主体sλ请求授予主体si对客体oj的r或w或e或a访问权givereadwriteappendexecuteP(RK,v)if(σS)or(γg)or(xr,w,aande)or(σ=φ)thenP(RK,v)=(,v)ifxMλjorcMλjthenP(RK,v)=(no,v)elseP(RK,v)=(yes,(b,Mxij,f))end规则:主体sλ请求撤销主体si对客体oj的r或w或e或a访问权rescindreadwriteappendexecute:P(RK,v)if(σS)or(γr)or(xr,w,aande)or(σ=φ)thenP(RK,v)=(,v)ifxMλjorcMλjthenP(RK,v)=(no,v)elseP(RK,v)=(yes,(b{(si,oj,x)},Mxij,f))end规则:改变静止客体的安全级changef:P(RK,v)if(σφ)or(γc)or(σφ)orxFthenP(RK,v)=(,v)ifEMBEDEquationforEMBEDEquationfor(oj)f(oj)or(oj)f(oj)forjA(m)注:A(m)表示活动客体的集合thenP(RK,v)=(no,v)elseP(RK,v)=(yes,(b,M,f*))end规则:主体s请求创建客体ojcreateobject:P(RK,v)ifσφorγcorσ=φor(xeandφ)thenP(RK,v)=(,v)ifjA(m)thenP(RK,v)=(no,v)ifx=φthenP(RK,v)=(yes,(b,M{r,w,a,c}ij,f))elseP(RK,v)=(yes,(b,M{r,w,a,c,e}ij,f))end规则:主体s请求删除客体ojdeleteobject:P(RK,v)ifσφorγdorσ=φorxφthenP(RK,v)=(,v)ifcMijthenP(RK,v)=(no,v)elseP(RK,v)=(yes,(b,M{r,w,a,c,e}ij,≤i≤n,f))end六、系统的定义.R×D×V×V={(rK,dm,v*,v)|rKR,dmD,v*,vV}即任意一个请求任意一个结果(判断)和任意两个状态都可组成一个上述的有序四元组这些有序四元组便构成集合R×D×V×V。.设ω={P,P,…Ps}是一组规则的集合定义W(ω)R×D×V×V⑴(rk,,v,v)W(ω)iff对每个i,≤i≤s,Pi(rk,v)=(,v)⑵(rk,error,v,v)W(ω)iff存在i,i,≤i,i≤s,使得对于任意的v*V有Pi(rk,v)(,v*)且Pi(rk,v)(,v*)。⑶(rk,dm,v*,v)W(ω),dm,dmerroriff存在唯一的i≤i≤s使得对某个v*和任意的v**vPi(rk,v)(,v**)Pi(rk,v)=(dm,v*)。以上定义说明W(ω)只包含R×D×V×V中一部分四元组或某些特定的四元组。若某(rk,dm,v*,v)W(ω)则说明该四元组一定满足上述定义中(条)的某一条亦即意味着在状态v下发出某请求rk后按照某条规则其结果为dm状态v转换成状态v*。因此W(ω)是由ω中的一组规则所定义的有序四元组所组成。.X×Y×Z={(x,y,z)|xX,yY,zZ},其中x=xx…xt…是请求序列X是请求序列集y=yy…yt…是结果序列Y是结果序列集z=zz…zt…是状态序列Z是状态序列集。任意一个请求序列任意一个结果序列和任意一个状态序列均可组成一个有序三元组X×Y×Z即由所有这样的有序三元组所构成。.系统表示为∑(R,D,W(ω),z)定义为:∑(R,D,W(ω),z)X×Y×Z,只含有其中一部分有序三元组X×Y×Z中的有序三元组(x,y,z)∑(R,D,W(ω),z),iff对每一个tT(xt,yt,zt,zt)W(ω)。z是系统的初始状态通常表示为(φ,M,f)令x=xx…xt…是请求序列y=yy…yt…是结果序列z=zz…zt…是状态序列。若(x,y,z)∑(R,D,W(ω),z)则意味着对于所有的tT(xt,yt,zt,zt)W(ω)即符合ω所规定的操作规则。因此系统∑(R,D,W(ω),z)是一个状态机它从一个特定的初始状态z开始接受用户的一系列请求按照W(ω)的规则给出相应的结果并进行相应的状态转换符合上述条件的所有可能的(x,y,z)组成系统∑。系统R就是由所有这些有序三元组(x,y,z)所组成。从初始状态z出发任何一个请求序列均可导致出一结果序列和状态序列引起一系列的状态转换。七、系统安全的定义.安全状态一个状态v=(b,M,f)V若它满足自主安全性简单安全性和*性质那么这个状态就是安全的。.安全状态序列设zZ是一状态序列若对于每一个tTzt都是安全状态则z是安全状态序列。.系统的一次安全出现(x,y,z)∑(R,D,W(ω),z)称为系统的一次出现。若(x,y,z)是系统的一次出现且z是一安全状态序列则称(x,y,z)是系统∑(R,D,W(ω),z)的一次安全出现。.安全系统若系统∑(R,D,W(ω),z)的每次出现都是安全的则称该系统是一安全系统。八、模型中的有关安全的结论BLP模型中证明了:.这十条规则都是安全性保持的。(即若v是安全状态则经过这十条规则转换后的状态v*也一定是安全状态).若z是安全状态ω是一组安全性保持的规则则系统∑(R,D,W(ω),z)是安全的。说明BLP模型所描述的系统是一个安全的系统。九、对BLP安全模型的评价BLP模型是最早的一种安全模型也是最有名的多级安全策略模型。它给出了军事安全策略的一种数学描述用计算机可实现的方式定义。它已为许多操作系统所使用。由于它描述的是军事安全策略受到美国国防部的特别推崇以致于在很长一段时期人们将多级安全策略等同于强制访问控制策略。优点:①是一个最早地对多级安全策略进行描述的模型②是一个严格形式化的模型并给出了形式化的证明③是一个很安全的模型既有自主访问控制又有强制访问控制。④控制信息只能由低向高流动能满足军事部门等一类对数据保密性要求特别高的机构的需求。.总的来说BLP模型“过于安全”。①上级对下级发文受到限制②部门之间信息的横向流动被禁止③缺乏灵活、安全的授权机制。不安全的地方:①低安全级的信息向高安全级流动可能破坏高安全客体中数据完整性被病毒和黑客利用。②只要信息由低向高流动即合法(高读低)不管工作是否有需求这不符合最小特权原则。③高级别的信息大多是由低级别的信息通过组装而成的要解决推理控制的问题。.仔细分析BLP模型其描述上尚有不安全的地方还有待改进缺乏记忆造成不安全性。例如:设o>o>o>oS的安全级同o又例如:改进:针对过安全:.允许高安全级的主体在受控的情况下创建低安全级的客体。(解决从上到下流的问题)。2.对客体安全级的动态约束如(秘级部门级时限)。随客体内容进行动态约束(解决自上向下和横向)。3.给主体发临时许可证如(密级部门级时限)或(客体权限时限)。针对不安全问题:1.可否用“推”和“拉”来解决。用“拉”而不用“推”。在计算机中“推”和“拉”如何实现?  “同级写”2.基于语义的动态控制3.问题比较复杂。SOe,c,ar,wO(低)S(高)raO(低)O(高)SwaO(低)O(高)SrwO(低)O(高)SwwOOS(级别)(级别)相等zzzztztxxxtyyytSro高低or时刻t时刻t释放对oo的访问权时刻tro低高oaSS已含有o和o的信息此时S可将o的信息传送到o(无记忆)低as更高高srooPAGEunknownunknownunknownunknownunknownunknownunknownunknownunknownunknownunknownunknownunknownunknownunknownunknownunknownunknownunknownunknownunknownunknownunknown

用户评价(0)

关闭

新课改视野下建构高中语文教学实验成果报告(32KB)

抱歉,积分不足下载失败,请稍后再试!

提示

试读已结束,如需要继续阅读或者下载,敬请购买!

文档小程序码

使用微信“扫一扫”扫码寻找文档

1

打开微信

2

扫描小程序码

3

发布寻找信息

4

等待寻找结果

我知道了
评分:

/8

密码学第三讲 BLP模型

VIP

在线
客服

免费
邮箱

爱问共享资料服务号

扫描关注领取更多福利