信息安全概论 徐茂智 邹维 信息安全概论第13讲新.pptVIP

信息安全概论 第13讲 2008年x月y日 第5章 访问控制理论 5.2.2 B-L模型的形式化描述 1. 有限状态机 2. 模型元素的含义 3. 安全系统的定义 B-L模型的形式化描述 表5.6 BLP模型元素说明 4. 基本安全定理 4. 基本安全定理 4. 基本安全定理 4. 基本安全定理 4. 基本安全定理 4. 基本安全定理 作业 * * 上节课重要概念回顾： 访问控制矩阵 安全级（密级、范畴） 信息流安全策略（读低、写高） 自主访问控制策略与强制访问控制策略 BLP模型是一个有限状态机模型，定义了系统、系统状态以及系统状态间的转移规则,指定了一组安全特性,并形式化地定义了安全概念,以此对系统状态和状态转移规则进行限制和约束。使得对于一个系统，如果它的初始状态是安全的，并且经过满足特定规则的转移，那么系统将保持安全性。 一个有限状态机可以用图5.1表达。即需要描述一个输出函数 和一个状态转移函数 图中下指标 i 指示时刻 i 的输入、输出和状态。 图5.1有限状态机示意图 可以把输出函数和状态转移函数合并为一个规则函数来表示： 规则 既表示了输出函数也表示了状态转移。对规则的解释为: 给定一个请求和一个状态，规则 决定系统产生的一个输出和下一状态。其中R为请求集，V为状态集，D为输出集。 状态（保护状态）由主体、客体、访问属性、访问矩阵以及标识主体和客体的安全级函数组成。状态用 表示所有的状态集合。 由一个有序的三元组（b , M , f）表示。其中： 表示在某个特定的状态下，哪些主体以何种访问属性（访问权限）访问哪些客体，b的元素称为访问向量。其中S是主体集，O为客体集，A={r , w , a , e }是访问属性集；———允许接受的访问输入集 表示访问矩阵，其中元素 表示主体 对客体 具有的访问权限集； 表示安全级函数，记作 ，其中 表示主体的最高安全级函数（包括主体的密级 和范畴等级 ), 表示主体的当前安全级函数（包括主体的密级 和范畴等级 ；其中 表示客体的安全级函数（包括客体的密级 和范畴等级 . ）； 输入（请求）集 中可能包括的元素包括5个类型： get类： 包括get-read/write/append/execute, release-read/write/append/execute。用来请求和释放访问。 give类： 包括give-read/write/append/execute, rescind- read/write/append/execute。用来实现一个主体对另一个主体的授权或取消授权。 change-object-security-level类： 包括change-object-security-level，create-object。用来改变客体的安全级或创建客体。 delete-object-group类： 仅包括delete-object-group。用来删除一个或一组客体。 change-subject-current-security-level类： 仅包括change-subject-current-security-level。用来改变主体的当前安全等级。 输出（判定）集 中可能包括的元素有：“yes”,“no”,“error”和“?”。 用来表示在当前状态下，对请求所作出的响应。判定“yes”表示请求被执行，“ no”表示请求被拒绝，“error”表示有多个规则适用于这一请求-状态对，“？”表示规则 不能识别此请求。 关于模型中这些请求和判定元素的描述，将不详细展开讨论，其作用可参看安 全系统的定义及表5.6。 N是正整数集合，用来表示时间。 表示请求序列的集合，其元素为 ，表示一个请求 序列； 表示判定序列的集合，其元素为 ，表示一个判定 序列； 表示状态序列的集合，其元素为 ，表示一个状态 序列。 上述三个序列可以解释为： 在状态 下，一个主体对系统作出请求 ，系统将按照规则 作出响应（判定） ，同时系统将按照规则 转移到状