BLP的分析与应用.docVIP

BLP的分析与应用 赵政康 2008022434 信息安全的形式化理论模型是系统安全策略的精确描述，有无歧义、简单抽象的特点，在安全系统设计和开发过程中有重要作用。BLP模型是在1973年由D．Bell和J．LaPadula在《Mathematical founda-ons and model》提出并加以完善，它根据军方的安全政策设计，解决的本质题是对具有密级划分信息的访问控制，是第一个比较完整地形式化方法对系统安全进行严格证明的数学模型，被广泛应于描述计算机系统的安全问题。 BLP模型定义了系统、系统状态、状态间的转换规则，安全概念、制定了一组安全特性，对系统状态、状态转换规则进行约束，l如果它的初始状态是安全的，经过一系列规则都是保持安全的，那么可以证明该系统是安全的。 BLP是安全访问控制的一种模型，是基于自主访问控制和强制访问控制两种方式实现，处理基于此之上的权利继承转让等等关系，为大型系统的访问控制提供一个安全保证。BLP一开始作为军方的一个安全模型出台，对于数据间的权利转让而产生变化的访问权限，提供一系列安全检查，避免权利的过度转让产生的模糊泛滥。BLP模型是一个形式化模型，使用数学语言对系统的安全性质进行描述，lBLP模型也是一个状态机模型，它反映了多级安全策略的安全特性和状态转换规则 BLP模型的基本元素 S={s1,s2,…,sn} 主体集 　　O={o1,o2,…,om} 客体集 　　C={c1,c2,…,cq} 密级的集合 c1c2…cq 　　K={k1,k2,…,kr} 部门或类别的集合 　　A={r,w,e,a,c} 访问属性集 　　r:只读; w:读写; e:执行; a:添加; c:控制 　　RA={g,r,c,d} 请求元素集 　　g:get，give; r: release，rescind; c: change, create ; d: delete 　　D={yes,no,error,?} 　　yes:请求被执行; no:请求被拒绝; error:系统出错; ？:请求出错 　　μ={M1,M2,…,Mp} 访问矩阵集 　　BA={f| f:A→B} 　　F= Cs ×Co× (Pk)s× (Pk)o 　　Cs ={f1| f1:S →C} f1给出每个主体的密级 　　Co ={f2| f2:O→C} f2给出每个客体的密级 　　(Pk)s={f3| f3:S →Pk} f3给出每个主体的部门集 　　(Pk)o ={f4| f4:O →Pk} f4给出每个客体的部门集 　　f ∈F f=(f1,f2,f3,f4) 系统状态 　　V= P(S×O×A) × μ ×F 状态集 　　对v∈V v=(b,M,f)表示某一状态 　　b Iacute; S×O×A 表示在当前时刻,哪些主体获得了对哪些客体的权限 　　b={(s1,o1,r),(s1,o2,w),(s2,o2,a)…….} 　　M－当前状态访问控制矩阵 　　f－当前时刻所有主体和客体的密级和部门集 　　系统在任何一个时刻都处于某一种状态v，即对任何时刻t，必有状态vt与之对应， 随着用户对系统的操作，系统的状态不断地发生变化，只有每一个时刻状态是安全的，系统才可能安全。 安全特性 BLP模型的安全特性定义了系统状态的安全性，体现了BLP模型的安全策略。 　　1.自主安全性 　　状态v=(b,M,f)满足自主安全性if对所有的(si,oj,x)∈b,有x∈Mij 　　此条性质是说，若(si,oj,x)∈b，即如果在状态v，主体si获得了对客体oj的x访问权，那么si必定得到了相应的自主授权。如果存在(si,oj,x)∈b,但主体si并未获得对客体oj的x访问权的授权，则v被认为不符合自主安全性。 　　2.简单安全性 　　状态v=(b,M,f)满足简单安全性iff对所有的(s,o,x)∈b,有（i）x=e或x=a或x=c. 　　或(ii) (x=r或x=w)且(f1(s)≥f2(o),f3(s)Ecirc;f4(o))。 　　3. *—性质 　　状态v=(b,M,f)满足*—性质,当且仅当对所有的s∈S,若o1∈b(s:w,a),o2∈b(s:r,w),则f2(o1)≥f2(o2),f4(o1) Ecirc; f4(o2),其中符号b(s:x1,x2)表示b中主体s对其具有访问特权x1或x2的所有客体的集合。 BLP模型的优缺点 优点：1.是一种严格的形式化描述; 　　2.控制信息只能由低向高流动，能满足军事部门等一类对数据保密性要求特别高的机构的需求。 缺点：1.上级对下级发文受到限制; 　　2.部门之间信息的横向流动被禁止; 　　3.缺乏灵活、安全的授权机制。