计算机系统安全 zl第4章 BELL-LAPADULA多级安全模型.pptVIP

第4章 BELL-LAPADULA多级安全模型 4.1 军用安全格模型 4.2 BLP模型介绍 4.3 BLP模型元素 4.4 BLP模型几个重要的公理 4.5 BLP状态转换规则  4.6 BLP 模型几个重要的定理 4.7 BELL-LAPADULA 模型的局限性 习题  引言 在一些系统中，一些信息的泄露并不是由于访问控制机制有缺陷造成的，而是由于缺乏适当的信息流策略或缺乏实现信息流策略的适当机制造成的。 本章将研究基于信息流的安全策略。信息流策略规定了主体能够存储的信息的安全类和客体安全类之间的关系，不同安全类客体之间信息的流动关系。 实际信息系统中，信息要划成多种保密级别，这些要求可利用格模型来描述。本章介绍几个以格理论为基础的多级信息流安全模型，如军用安全格模型、BLP、Biba，实际上是通用信息流格模型的特例。 4.1 军用安全模型 在军事信息系统中， 对于敏感信息的使用(访问)， 一般遵照“最小特权(Least Privilege)”和“知其所需(Need to know)”这两个原则对用户进行管理。 最小特权(Least Privilege):仅赋予该主体最低需要的许可权限。 知其所需(Need to know):是对主体了解信息范围的限制，即使允许一个主体访问机密级信息，也不代表该主体可以访问系统所有的机密信息，主体只应该知道为他工作所需的那些机密、秘密级别的信息。（该主体允许知道的信息形成一个集合，其中可能包括不同等级的信息） 在军事信息系统中，所有的信息被划分为：无密、秘密、机密、绝密四个互不相交的敏感级别；一个主体是有权限的，他能访问的信息可能包括不同级别中的部分信息。（军事信息系统对信息的控制要求） 军事信息系统是一个多级安全系统。 例如， 军队系统本身是一个庞大的信息系统， 涉及到的信息种类很多， 可以划分为不同的信息主题， 如军队的编制情况、 作战计划、 思想状况、 文艺活动、 军民共建、 英雄事迹、 训练情况、 装备清单、 后勤供应、 住房情况等。 这些信息主体或它们的不同组合(称为信息类)会形成不同的敏感级别的信息范围。 例如： 密级(级别号) 信息范围 ? 绝密(4) {作战计划} 绝密(4) {编制情况， 作战计划， 装备清单} 机密(3) {训练情况， 装备清单} 秘密(2) {思想状况} 无密(1) {文艺活动， 军民共建， 英雄事迹} 同时， 军队系统又是一个庞大的组织系统， 由不同职能的人员组成， 如司令员、 政委、 参谋长、 作战部长、 训练部长、 后勤部长、 宣传部长、 营房处长等。 根据最小特权和知其所需原则， 这些人的权限是划分等级的， 他们需要知道的信息范围也是各不相同的。 权限的等级与信息范围的敏感级之间有对应关系。 例如: 主体 权限等级 信息范围 ? 司令员 4 (最高)全部信息 参谋长 4 {编制情况， 作战计划， 训练情况， 装备清单， 后勤供应} 作战部长 3 {编制情况， 作战计划， 装备清单， 后勤供应} 训练部长 3 {编制情况， 训练信息， 装备清单} 后勤部长 3 {编制情况， 后勤供应， 装备清单， 住房情况} 宣传处长 3 {思想状况， 文艺活动， 军民共建， 英雄事迹}? 营房助理 1 {住房情况} 宣传干事 1 {文艺活动} 乘积格： 针对军事信息系统对信息的控制要求，可用“两个格的乘积”描述这种多级安全需求，一个是由“绝密、机密、秘密、无密”四个信息安全类组成的线性格；另一个是由信息主体集合的子集组成的子集格，乘积格中的每个节点形成一个安全类，可用（R,C）表示。R表示权限，它与敏感级对应；C表示信息范围，是信息主体的集合。 对安全类(R,C）有两种解释，一是针对信息分类而言，C表示信息范围，R表示该范围的密级；二是针对主体的权限等级而言，R表示职权等级，C表示某个主体有权知道的信息范围。 假定两个安全类分别为(R1, C1)和(R2, C2)， 则在乘积格中有以下结论成立： (1) (R1, C1)≤(R2, C2)当且仅当R1≤R2， C1C2： 规定了安全类之间信息流的关系， 只能允许在一个类内或向高级别的