《信息安全概论第13讲》由会员分享,可在线阅读,更多相关《信息安全概论第13讲(18页珍藏版)》请在金锄头文库上搜索。
1、信息安全概论第13讲 2008年x月y日第5章 访问控制理论上节课重要概念回顾:访问控制矩阵 安全级(密级、范畴) 信息流安全策略(读低、写高) 自主访问控制策略与强制访问控制策略5.2.2 B-L模型的形式化描述BLP模型是一个有限状态机模型,定义了系统、系统状态以及系统状态间的 转移规则,指定了一组安全特性,并形式化地定义了安全概念,以此对系统状态和状 态转移规则进行限制和约束。使得对于一个系统,如果它的初始状态是安全的, 并且经过满足特定规则的转移,那么系统将保持安全性。1. 有限状态机一个有限状态机可以用图5.1表达。即需要描述一个输出函数和一个状态转移函数图中下指标 i 指示时刻 i
2、 的输入、输出和状态。图5.1有限状态机示意图可以把输出函数和状态转移函数合并为一个规则函数来表示:规则既表示了输出函数也表示了状态转移。对规则的解释为:给定一个请求和一个状态,规则 决定系统产生的一个输出和下一状态。其中R为 请求集,V为状态集,D为输出集。2. 模型元素的含义状态(保护状态)由主体、客体、访问属性、访问矩阵以及标识主体和客体的安全级函数 组成。状态用 表示所有的状态集合。 由一个有序的三元组(b , M , f)表示 。其中: 表示在某个特定的状态下,哪些主体以何种访问属性(访问权限)访问哪些 客体,b的元素称为访问向量。其中S是主体集,O为客体集,A=r , w , a
3、, e 是访问属性 集;允许接受的访问输入集 表示访问矩阵,其中元素 表示主体 对客体 具有的访问权 限集; 表示安全级函数,记作 ,其中 表示主体的最高安全级函数 (包括主体的密级 和范畴等级 ), 表示主体的当前安全级函数(包括 主体的密级 和范畴等级 ;其中 表示客体的安全级函数(包括客体的 密级 和范畴等级 .);输入(请求)集 中可能包括的元素包括5个类型: get类: 包括get-read/write/append/execute, release-read/write/append/execute。用来请求和释放 访问。 give类: 包括give-read/write/appe
4、nd/execute, rescind- read/write/append/execute。用来实现一个 主体对另一个主体的授权或取消授权。 change-object-security-level类: 包括change-object-security-level,create-object。用来改变客体的安全级或创建客体。 delete-object-group类: 仅包括delete-object-group。用来删除一个或一组客体。 change-subject-current-security-level类: 仅包括change-subject-current-security-le
5、vel。用来改变主体的当前安全等级。输出(判定)集 中可能包括的元素有:“yes”,“no”,“error”和“?”。用来表示在当前状态下,对请 求所作出的响应。判定“yes”表示请求被执行,“ no”表示 请求被拒绝,“error”表示有多个规则适用于这一请求-状态对,“?”表示规则 不能 识别此请求。 关于模型中这些请求和判定元素的描述,将不详细展开讨论,其作用可参看安全系统的定义及表5.6。3. 安全系统的定义N是正整数集合,用来表示时间。表示请求序列的集合,其元素为 ,表示一个请求 序列;表示判定序列的集合,其元素为 ,表示一个判定 序列;表示状态序列的集合,其元素为 ,表示一个状态
6、序列。B-L模型的形式化描述上述三个序列可以解释为:在状态 下,一个主体对系统作出请求 ,系统将按照规则 作出响应( 判定) ,同时系统将按照规则 转移到状态 。一个系统实际上由初始状态 、输入序列 、输出序列和判定序列组成。系统还可以形式地表示为一种关系当且仅当 对于所有的 ,关系式成立。而 称为系统 的一个实现。表5.6 BLP模型元素说明元素集 元 素说 明Ss1,s2,sn主体:进程等Oo1,o2,om客体:数据、文件等Ll1,l2,lp其中l1l2lp密级Cc1,c2,cq范畴LC(li,cj)安全级A r , w , e , a 访问属性Rget, release, give, r
7、escind, change-object-security-level , create-object, delete-object-group, change-subject-current-security-level 请求元素Dyes, no, error, ? 判定N1, 2, ,n, 时刻F访问类函数: fs:主体安全级函数 fo:客体安全级函数 fc:主体当前安全级函数XRN,其中X中的任意一元素记为x请求序列YDN,其中Y中的任意一元素记为y判定序列MM1,M2,,Mi ,访问矩阵V , V中的任意一元素记为v状态,其中2U表示U的幂集ZVN,其中Z中的任意一元素记为z状态序列
8、4. 基本安全定理基本安全定理综合了简单安全特性(SSP)、*-特性(*-P)以及自主 安全特性(DSP)。下面我们先给出这三个安全特性的形式化定义。定义1:访问向量 相对于安全级函数 称为具有简单安全特性( SSP),如果下列条件成立: (1) ;(2) ,且该定义是说主体s的安全级只有控制客体的安全级时,才允许进行读访问。一个状态(b , M , f)称为满足SSP,如果b的每一个元素相对于安全级函数 都具有SSP。一个系统称 为满足SSP,如果它的每一个状态都满足SSP。4. 基本安全定理该定义是说主体s的安全级只有受控于客体的安全级时,才允许进行写访问。一 个状态(b , M , f)
9、称为满足*-P,如果b的每一个元素相对于安全级函数 都具有 *-P。一个系统称为满足*-P,如果它的每一个状态都满足*-P。 定义2:访问向量 相对于安全级函数 称为称为具有*-特性(*-P ),如果下列条件成立: (1) ;(2) ,且4. 基本安全定理定义3:一个状态(b , M , f)称为满足自主安全特性(DSP),如果对每一个访 问向量 ,都有 。该定义是说主体s对客体o的访问必需满足访问控制矩阵的要求。一个系 统称为满足DSP,如果它的每一个状态都满足DSP。相对于自主安全特性来说,上面定义的简单安全特性和*-特性合称为一 个状态的强制安全特性(MSP)。有了上面的准备,我们现在可
10、以给出安全系统的定义:定义4:一个系统(状态)称为是安全的如果它满足SSP、*-P和DSP。 下面我们不加证明地叙述下列的安全定理:4. 基本安全定理定理1:从简单安全特性初始状态 出发,系统 总具有简单安全特性,当 且仅当对于 的每一个实现和每个正整数 ,和满足: (1) ,相对于 满足SSP; (2)若 相对于 不满足SSP,则。4. 基本安全定理定理2:从*-特性初始状态 出发系统总具有*-特性,当且仅当对于 的每一个实现和每个正整数 ,和满足:(1) ,相对于 满足*-P; (2)若 相对于 不满足*-P,则 。4. 基本安全定理定理3:从自主安全特性初始状态 出发系统 总具有自主安全特性,当且 仅当对于 的每一个实现和每个正整数 ,和满足: (1) ,满足DSP; (2)若 不满足DSP,则 。基本安全定理:系统 如果满足定理1、定理2和定理3的条件,则该系 统是安全的。作业1.降低客体的密级违反了BLP模型中的*特性。提升客体的密级是否会违反该 模型的任何安全特性?为什么?
