第4章安全模型1.pptVIP

4.4 安全模型 4.4.1 安全模型概述 安全模型应具有以下特点: (1) 它是精确的,无歧义的 (2) 它是简单的,抽象,也是易于理解的 (3) 它仅涉及安全性质,不过分限制系统的功能与实现 4.4.1 安全模型概述 非形式化的安全模型 形式化的安全模型 4.4.1 安全模型概述 一 非形式化的安全模型 它是用自然语言对系统的安全需求进行描述,这种描述方法直观,易于理解,但不够严谨,容易产生歧异,并且不简洁. 对于安全性要求不高,或改造一个已存在的系统,增强其安全性时,可以使用这种描述方法. 4.4.1 安全模型概述 二 形式化的安全模型 它使用数学符号精确描述系统的安全需求,这种描述方法较非形式化描述方法显得抽象和较难理解,但这种描述方法的最大优点是简洁,准确,严谨,不会出现歧义,并可以对其进行形式化的验证或证明. 4.4.2 Bell-La Padula 安全模型 一 模型的基本元素 S = {s1,s2, …,sn} 主体的集合 O = {o1,o2, …,on} 客体的集合 C = {c1,c2, …,cn} 主体或客体的密级 (元素之间为偏序关系c1c2…cq) K = {k1,k2, …,kn} 部门或类别的集合 A = {r ,w ,e ,a ,c} 访问属性集 (r:只读 w:读/写 e:执行 a:添加 c:控制) 4.4.2 Bell-La Padula 安全模型 一 模型的基本元素 RA = {g ,r ,c ,d} 请求元素集 ( g: get(得到) / give(赋予) r: release(释放) / rescind(撤消) c: change(改变) / create(创建) d: delete(删除) ) D = {yes ,no , error ,? } 结果集(/判断集) ( yes: 请求被执行 no: 请求被拒绝 error: 系统出错,有多个规则适合于这一请求 ? : 请求出错, 规则不适用于这一请求 ) 4.4.2 Bell-La Padula 安全模型 一 模型的基本元素 U = {M1,M2, …,MP} 访问距阵的集合 (Mk: n × m的距阵, Mk中第i行,第j列的元素记为M i j 且M i j属于A, 由A中的元素组成,可以为空 ) F = CS×CO×PKS×PKO 是4个集合的笛卡儿积 CS = {f1|f1: S → C} f1给出系统中每个主体的密级 CO = {f2|f2: O → C} f2给出系统中每个客体的密级 PKS = {f3|f3: S → PK} f3给出系统中每个主体的部门集 (即范畴) 4.4.2 Bell-La Padula 安全模型 二 系统状态 V = P(S×O×A) ×U×F ( P(S×O×A) = 2 (S×O×A) ) 是系统状态的集合. V中的元素v=(b, M ,f)表示系统的某个状态. 其中: b∈ P(S×O×A), 4.4.2 Bell-La Padula 安全模型 三 安全特性 (安全策略) BLP模型的安全特性定义了系统状态的安全性,也集中体现了BLP模型的安全策略. 4.4.2 Bell-La Padula 安全模型 三 安全特性 (安全策略) 自主安全性 状态v = (b, M ,f) 满足自主安全性 iff 对任意的(si ,oj ,x) ∈b,有 x ∈ M i j. 4.4.2 Bell-La Padula 安全模型 三 安全特性 (安全策略) (2) 简单安全性 状态v = (b, M ,f) 满足简单安全性 iff 对任意的(s ,o ,x) ∈b, 有 (ⅰ) x = e 或 x = a 或 x = c 或 (ⅱ) (x=r 或 x=w） 4.4.2 Bell-La Padula 安全模型 三 安全特性 (安全策略) (3) *―性质 状态v=(b ,M ,f)满足*―性质当且仅当对所有的s∈S,若 o1 ∈b(S: w, a), o2 ∈b(S: r, w) 4.4.2 B