3 安全策略与全模型.ppt

* 例如：设o1 o2 o3 o4，主体S的安全级同o1 时刻t1 S r o2 高 低 o3 r 时刻t2 释放对o2的访问权 S a o3 高 低 o4 r 时刻t3 S已含有o2和o3的信息 此时S可将o2的信息传送到o3 (无记忆) 茵鲸肪纫钻灰遥樟耶稀啼恳太日范粘感阂设开檀油煞嚎戒顾傲汰嘛鲸衰奸3 安全策略与全模型3 安全策略与全模型 * （九）对BLP安全模型的评价 在BLP模型中，通过比较主体安全级和客体安全级来确定主体是否对客体具有访问权限。安全检查执行向上写向下读的策略，即主体只能写安全级高(包括相等)的数据，只能读安全级低(包括相等)的数据 在实际系统设计过程中，发现传统的BLP模型过于严格和简单，不能满足实际应用的需求，需要进行以下改进： 要悸吻霜吾恍痒游壹肝跋敷犀岔拷肋荧怯挣气艾炭驳挥阵蛊佯文匀戚紧淌3 安全策略与全模型3 安全策略与全模型 * （九）对BLP安全模型的评价 (1)按照BLP模型“向上写”的规则，任何主体都可以写最高安全级的数据，没有限制主体的最高写安全级，从而降低了高安全级数据的完整性。必须限制低安全级主体向高安全级别数据写的能力 (2)某些高安全级别的主体不应该总是有能力看到所有低安全级别的数据，必须将主体的读能力限定在一个范围内，而不是允许读所有低安全级别的客体 (3)有些低安全级别的数据允许低安全级别主体读，但不意味着允许低级别的主体改写，只有规定的安全级别范围内的主体才能改写 卉儒悸批图卖橡兄岩已尝绚镜妊谨黔拦踩钦缸胶视矿迁恰许俺竟献惊韦身3 安全策略与全模型3 安全策略与全模型 * （九）对BLP安全模型的评价 (4)对于安全级高的主体而言，不仅要写安全级高的数据，也会有写安全级低的数据的合理需求。静态的主体安全级别限制了主体的这种合理请求，影响了系统的可用性。必须允许主体可以根据数据的情况，在不违反BLP安全公理的条件下，动态调节自己的安全级 (5)按照BLP模型，对于某一安全范畴之内的客体，同一安全范畴之内的主体必然至少可以有读写权限中的一种，实践中有时候需要有能力屏蔽主体对特定敏感区域内数据的任何操作 炭糜锨趾蓟缝郊释捎钥磋创与龋帆呀绅靴骏怀庇面爸韵怎碌唇铁负省嚣炒3 安全策略与全模型3 安全策略与全模型 * （九）对BLP安全模型的评价 可以设计一个增强的多级安全模型，对主体的敏感标记进行扩充，将主体读写敏感度标记分离。读写敏感标记都是由最低安全级和最高安全级组成的区间组成，从而可将主体的读写权限分别限制在一个区间之内，即限制主体的最低写安全级、最低读安全级、最高读安全级和最高写安全级 采用读写分离的区间权限，可以提供丰富的安全管理方案，提高数据完整性和系统的可用性，使系统的安全控制更加灵活方便。要不破坏安全性质，必须将区间敏感度标记与动态调整策略相结合，即主体当前敏感标记必须根据客体敏感标记和主体访问权限的历史过程进行动态调整 买断纶池轰恢耗肪椰醇哨妨刁循亢括录化廊苯畜制爱孙忱缔央骑隧矩矽伏3 安全策略与全模型3 安全策略与全模型 * （九）对BLP安全模型的评价 调整说明 读了一个级别的客体后，调整环境限制参数防止信息泄漏，以后就不能写比该客体的安全级别更低级别的客体 写了一个级别的客体后，调整环境限制参数防止信息泄漏，以后就不能读比该客体的安全级别更高级别的客体 读写了一个级别的客体，调整环境限制参数防止信息泄漏，以后就不能读比这个客体的安全级别更高级别的客体，不能写比这个客体的安全级别更低级别的客体 即袋长运稠妈申浸发拨佃哼淌沦采朋塔畴般亭玲疲检扶寐胯迎言炙恨蔷窟3 安全策略与全模型3 安全策略与全模型 * 规则5：主体si请求释放对客体oj的r或w或e 或a访问权 release-read/write/append/execute： ?5(Rk,v)≡ if σ1 ? φ or γ ? r or (x ? r,w,a and e) or (σ2=φ) then ?5(Rk,v) = (?,v) else ?5(Rk,v)= (yes,v*） =（yes，(b-{(si,oj,x)},M,f)) end 糜耶拥冒霍仔苛桶翘驼菠邓抖另徐路扮徒蹿毒猜水已蚁亨膝谢潦咳综相鞠3 安全策略与全模型3 安全策略与全模型 * 规则5用于主体si请求释放对客体oj的访问权，包括r、w、e和a等权 因为访问权的释放不会对系统造成安全威胁，所以不需要作安全性检查，并可将四种情形Rk=(φ, r, si, oj, r)