chap4：BLP多级安全模型-B.pptVIP

* * * * * * * * * * * * * * * * * * * * * * Thank you! * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 在模型中定义了一个访问类结构，由访问类集合与各访问类之间的关系组成。每个访问类包括一个敏感级与一个信息类，访问类集合实际上是由等级森严的敏感级集合与信息类集合的乘积形成的 访问类之间的关系定义为偏序关系，描述访问类之间的支配关系，当然两个访问类之间也可能存在不可比的关系。 西安电子科技大学 计算机学院 * * 为了使这种偏序关系满足格的要求，又增加了两个性质和两个重要的访问类。这两个重要性质是：对于给定的任意两个访问类A和B(不管它们是否可比)： 在由A和B支配的所有访问类的集合中，存在惟一的最大下界(GLB)，它受所在集合中所有其他访问类的支配。 在由A和B支配的所有访问类的集合中，存在惟一的最小上界(LUB)，它支配集合中所有其他访问类。 西安电子科技大学 计算机学院 * * BLP模型的安全策略 BLP模型的安全策略包括两部分：自主安全策略和强制安全策略 自主安全策略使用一个访问矩阵来表示，主体只能按照在访问矩阵中被授予的对客体的访问权限对客体进行相应的访问 强制安全策略包括简单安全性和*-特性，系统对所有的主体和客体都分配有一个访问类属性，它包括主体和客体的密级和范畴，系统通过比较主体与客体的访问类属性来控制主体对客体的访问。 西安电子科技大学 计算机学院 * * 模型元素 为了对访问控制机制进行形式化的阐述，Bell-LaPadula模型从形式化的角度出发，对模型中涉及到的元素进行了数学形式上的定义 。 模型元素的含义 系统状态表示 安全系统的定义 西安电子科技大学 计算机学院 * * 模型元素的含义 下表给出了BLP模型中定义的部分元素及相应的说明。 西安电子科技大学 计算机学院 * * * * 系统状态表示 状态是系统中元素的表示，由主体、客体、访问属性、访问矩阵以及标识主体和客体的访问类属性的函数组成。 状态 由一个有序的四元组 所表示， 其中： 西安电子科技大学 计算机学院 * * 安全系统的定义 定义如下： 西安电子科技大学 计算机学院 * * 模型几个重要的公理 为了解释什么样的状态是一个安全状态，什么样的系统是一个安全系统，BLP模型制定了一组安全公理(特性)： 简单安全性(simple-security property)： *-特性(*-property)： 自主安全性(discretionary-security)： 兼容性公理(Compatibility)： 西安电子科技大学 计算机学院 * * 模型几个重要的公理 参见 西安电子科技大学 计算机学院 * * 模型几个重要的公理 参见 西安电子科技大学 计算机学院 * * 状态转换规则 参见 西安电子科技大学 计算机学院 * * 状态转换规则 参见 西安电子科技大学 计算机学院 * * BLP模型几个重要的定理 BLP模型为了证明系统为安全状态及转换保持安全状态，证明了十个重要的定理： 参见 西安电子科技大学 计算机学院 * * BLP模型几个重要的定理 参见 西安电子科技大学 计算机学院 * * BLP模型几个重要的定理 参见 西安电子科技大学 计算机学院 * * Bell-LaPadula 模型评价 从本质上来说， Bell-LaPadula模型是从访问控制的角度来处理在一个安全操作系统环境下，如何既保证主体(即用户进程)能有效地访问客体(即资源)，又使得系统的安全性不致遭到破坏，造成信息的非法泄露。 BELL-LaPadula模型的最初设计目的是针对MUltics一类的操作系统的，因此它并没有严格地定义一个理想的安全模型，而是从实现的角度来设计模型，因而使得基于此模型来实现所有的操作。 西安电子科技大学 计算机学院 * * 然而，可以根据实际情况的需要对模型规则加以相应的扩展，即可得到我们所需要的转换规则12、13、14、等等。 因此可以说，到目前为止，Bell-LaPadula模型仍是信息安全领域最为重要的模型之一，也是目前最为流行的一种多级安全模型。当然，任何事物都具有两面性，在信息安全领域首次提出“多级安全”概念的BELL-LaPadula模型也由于种种原因，不可避免地也有其相应的局限性。 西安电子科技大学 计算机学院 * * BELL-LaPadula模型的局限性 一般认为，BELL-LaPadula模型的局限性主要有如下几个方面： 如果BELL-LaPadula模型