《信息安全概论第13讲.ppt》由会员分享,可在线阅读,更多相关《信息安全概论第13讲.ppt(18页珍藏版)》请在三一文库上搜索。
1、信息安全概论,第13讲 2008年x月y日,第5章 访问控制理论,上节课重要概念回顾: 访问控制矩阵 安全级(密级、范畴) 信息流安全策略(读低、写高) 自主访问控制策略与强制访问控制策略,5.2.2 B-L模型的形式化描述,BLP模型是一个有限状态机模型,定义了系统、系统状态以及系统状态间的转移规则,指定了一组安全特性,并形式化地定义了安全概念,以此对系统状态和状态转移规则进行限制和约束。使得对于一个系统,如果它的初始状态是安全的,并且经过满足特定规则的转移,那么系统将保持安全性。,1. 有限状态机,一个有限状态机可以用图5.1表达。即需要描述一个输出函数,和一个状态转移函数,图中下指标 i
2、 指示时刻 i 的输入、输出和状态。,图5.1有限状态机示意图,可以把输出函数和状态转移函数合并为一个规则函数来表示: 规则,既表示了输出函数也表示了状态转移。对规则的解释为: 给定一个请求和一个状态,规则 决定系统产生的一个输出和下一状态。其中R为请求集,V为状态集,D为输出集。,2. 模型元素的含义,状态(保护状态)由主体、客体、访问属性、访问矩阵以及标识主体和客体的安全级函数组成。状态用 表示所有的状态集合。 由一个有序的三元组(b , M , f)表示。其中:,表示在某个特定的状态下,哪些主体以何种访问属性(访问权限)访问哪些客体,b的元素称为访问向量。其中S是主体集,O为客体集,A=
3、r , w , a , e 是访问属性集;允许接受的访问输入集,表示访问矩阵,其中元素 表示主体 对客体 具有的访问权限集;,表示安全级函数,记作 ,其中 表示主体的最高安全级函数(包括主体的密级 和范畴等级 ), 表示主体的当前安全级函数(包括主体的密级 和范畴等级 ;其中 表示客体的安全级函数(包括客体的密级 和范畴等级 .,);,输入(请求)集 中可能包括的元素包括5个类型: get类: 包括get-read/write/append/execute, release-read/write/append/execute。用来请求和释放访问。 give类: 包括give-read/writ
4、e/append/execute, rescind- read/write/append/execute。用来实现一个主体对另一个主体的授权或取消授权。 change-object-security-level类: 包括change-object-security-level,create-object。用来改变客体的安全级或创建客体。 delete-object-group类: 仅包括delete-object-group。用来删除一个或一组客体。 change-subject-current-security-level类: 仅包括change-subject-current-securi
5、ty-level。用来改变主体的当前安全等级。,输出(判定)集 中可能包括的元素有:“yes”,“no”,“error”和“?”。 用来表示在当前状态下,对请求所作出的响应。判定“yes”表示请求被执行,“ no”表示请求被拒绝,“error”表示有多个规则适用于这一请求-状态对,“?”表示规则 不能识别此请求。 关于模型中这些请求和判定元素的描述,将不详细展开讨论,其作用可参看安 全系统的定义及表5.6。,3. 安全系统的定义,N是正整数集合,用来表示时间。,表示请求序列的集合,其元素为 ,表示一个请求 序列;,表示判定序列的集合,其元素为 ,表示一个判定 序列;,表示状态序列的集合,其元素
6、为 ,表示一个状态 序列。,B-L模型的形式化描述,上述三个序列可以解释为: 在状态 下,一个主体对系统作出请求 ,系统将按照规则 作出响应(判定) ,同时系统将按照规则 转移到状态 。 一个系统实际上由初始状态 、输入序列 、输出序列和判定序列组成。 系统还可以形式地表示为一种关系 当且仅当 对于所有的 ,关系式 成立。而 称为系统 的一个实现。,表5.6 BLP模型元素说明,4. 基本安全定理,基本安全定理综合了简单安全特性(SSP)、*-特性(*-P)以及自主安全特性(DSP)。下面我们先给出这三个安全特性的形式化定义。,定义1:访问向量 相对于安全级函数 称为具有简单安全特性(SSP)
7、,如果下列条件成立: (1) ; (2) ,且,该定义是说主体s的安全级只有控制客体的安全级时,才允许进行读访问。一个状态(b , M , f)称为满足SSP,如果b的每一个元素相对于安全级函数 都具有SSP。一个系统称为满足SSP,如果它的每一个状态都满足SSP。,4. 基本安全定理,该定义是说主体s的安全级只有受控于客体的安全级时,才允许进行写访问。一个状态(b , M , f)称为满足*-P,如果b的每一个元素相对于安全级函数 都具有*-P。一个系统称为满足*-P,如果它的每一个状态都满足*-P。,定义2:访问向量 相对于安全级函数 称为称为具有*-特性(*-P),如果下列条件成立: (
8、1) ; (2) ,且,4. 基本安全定理,定义3:一个状态(b , M , f)称为满足自主安全特性(DSP),如果对每一个访问向量 ,都有 。 该定义是说主体s对客体o的访问必需满足访问控制矩阵的要求。一个系统称为满足DSP,如果它的每一个状态都满足DSP。 相对于自主安全特性来说,上面定义的简单安全特性和*-特性合称为一个状态的强制安全特性(MSP)。,有了上面的准备,我们现在可以给出安全系统的定义: 定义4:一个系统(状态)称为是安全的如果它满足SSP、*-P和DSP。 下面我们不加证明地叙述下列的安全定理:,4. 基本安全定理,定理1:从简单安全特性初始状态 出发,系统 总具有简单安全特性,当且仅当对于 的每一个实现和每个正整数 , 和 满足: (1) ,相对于 满足SSP; (2)若 相对于 不满足SSP,则,。,4. 基本安全定理,。,4. 基本安全定理,定理3:从自主安全特性初始状态 出发系统 总具有自主安全特性,当且仅当对于 的每一个实现和每个正整数 , 和 满足: (1) ,满足DSP; (2)若 不满足DSP,则 。,基本安全定理:系统 如果满足定理1、定理2和定理3的条件,则该系统是安全的。,作业,1.降低客体的密级违反了BLP模型中的*特性。提升客体的密级是否会违反该模型的任何安全特性?为什么?,