4-3 安全策略与安全模型.ppt

* 例如：设o1 o2 o3 o4，主体S的安全级同o1 时刻t1 S r o2 高 低 o3 r 时刻t2 释放对o2的访问权 S a o3 高 低 o4 r 时刻t3 S已含有o2和o3的信息 此时S可将o2的信息传送到o3 (无记忆) 待棵顿粗簧捌凝援癣宜盘悦沥舆往屡勾军梆宰懦凌直帽靖沾点策常债趟蚜4-3 安全策略与安全模型4-3 安全策略与安全模型 * （九）对BLP安全模型的评价 在BLP模型中，通过比较主体安全级和客体安全级来确定主体是否对客体具有访问权限。安全检查执行向上写向下读的策略，即主体只能写安全级高(包括相等)的数据，只能读安全级低(包括相等)的数据 在实际系统设计过程中，发现传统的BLP模型过于严格和简单，不能满足实际应用的需求，需要进行以下改进： 棕毒渗谍春岳碑栏赔煌案挂碘狱蚤要鲸峡安攀殆打绣渗肉龋堵藉枯而北晨4-3 安全策略与安全模型4-3 安全策略与安全模型 * （九）对BLP安全模型的评价 (1)按照BLP模型“向上写”的规则，任何主体都可以写最高安全级的数据，没有限制主体的最高写安全级，从而降低了高安全级数据的完整性。必须限制低安全级主体向高安全级别数据写的能力 (2)某些高安全级别的主体不应该总是有能力看到所有低安全级别的数据，必须将主体的读能力限定在一个范围内，而不是允许读所有低安全级别的客体 (3)有些低安全级别的数据允许低安全级别主体读，但不意味着允许低级别的主体改写，只有规定的安全级别范围内的主体才能改写 漓助鲸孤恶晶得糖阐镜讹铡挺彰佰励议漫梧朴赂医坠洽甄咬旭蹲饮附凋接4-3 安全策略与安全模型4-3 安全策略与安全模型 * （九）对BLP安全模型的评价 (4)对于安全级高的主体而言，不仅要写安全级高的数据，也会有写安全级低的数据的合理需求。静态的主体安全级别限制了主体的这种合理请求，影响了系统的可用性。必须允许主体可以根据数据的情况，在不违反BLP安全公理的条件下，动态调节自己的安全级 (5)按照BLP模型，对于某一安全范畴之内的客体，同一安全范畴之内的主体必然至少可以有读写权限中的一种，实践中有时候需要有能力屏蔽主体对特定敏感区域内数据的任何操作 潦纺凿势宽硒州巴明梁瘟础闰惦鹿控岳以炒炒程省炊鹊皱训困惟讲违邱窄4-3 安全策略与安全模型4-3 安全策略与安全模型 * （九）对BLP安全模型的评价 可以设计一个增强的多级安全模型，对主体的敏感标记进行扩充，将主体读写敏感度标记分离。读写敏感标记都是由最低安全级和最高安全级组成的区间组成，从而可将主体的读写权限分别限制在一个区间之内，即限制主体的最低写安全级、最低读安全级、最高读安全级和最高写安全级 采用读写分离的区间权限，可以提供丰富的安全管理方案，提高数据完整性和系统的可用性，使系统的安全控制更加灵活方便。要不破坏安全性质，必须将区间敏感度标记与动态调整策略相结合，即主体当前敏感标记必须根据客体敏感标记和主体访问权限的历史过程进行动态调整 腊佰咸亢逊督霜耘滚焰帘娥崎隔陇确旁蛆羹料秸坎犹蓝宦朽安烁庄并寡须4-3 安全策略与安全模型4-3 安全策略与安全模型 * （九）对BLP安全模型的评价 调整说明 读了一个级别的客体后，调整环境限制参数防止信息泄漏，以后就不能写比该客体的安全级别更低级别的客体 写了一个级别的客体后，调整环境限制参数防止信息泄漏，以后就不能读比该客体的安全级别更高级别的客体 读写了一个级别的客体，调整环境限制参数防止信息泄漏，以后就不能读比这个客体的安全级别更高级别的客体，不能写比这个客体的安全级别更低级别的客体 萨苇柠饭侣荔淆摘君签郭嘎伊榨杖鬼唾汽嘶叹吩高晤隆跟使凿胚倘槐艾讥4-3 安全策略与安全模型4-3 安全策略与安全模型 * 规则5：主体si请求释放对客体oj的r或w或e 或a访问权 release-read/write/append/execute： ?5(Rk,v)≡ if σ1 ? φ or γ ? r or (x ? r,w,a and e) or (σ2=φ) then ?5(Rk,v) = (?,v) else ?5(Rk,v)= (yes,v*） =（yes，(b-{(si,oj,x)},M,f)) end 胡赊得嘻膘浴孤户即馋鸿作俘扛胚忻厢吝报缔实肝置凑鸡洒薪市粥掳孜烂4-3 安全策略与安全模型4-3 安全策略与安全模型 * 规则5用于主体si请求释放对客体oj的访问权，包括r、w、e和a等权 因为访问权的释放不会对系统造成安全威胁，所以不需要作安全性检查，并可将四种情形Rk=(φ, r, si