最新BLP安全模型安全分析汇总
多级安全数据库BLP模型分析与改进
文献标识码 : A
文章编号 : 1 0 0 6 - 4 3 1 1 ( 2 0 1 3) O 1 — 0 2 0 9 — 0 2
0 引言 自主确定 ,强制访 问控制 的权 限由特定 的安 全管理 员确 随着信息技术特别是计算机 网络 技术 的飞速发展 , 网 定, 由系 统 强 制 实施 。
关键词 :多级安全数据库; B L P模型; 访 问控制
Ke y wo r d s : mu h i - l e v e l s e c u r e d a t a b a s e ; B L P mo d e l ; a c c e s s c o n t r o l
中图分类号 : T P 3 9 2
赵海燕 Z H A O Ha l — y a n ; 赵静 Z HA O J i n g
( 西安通信学院 , 西安 7 1 0 1 0 6 ) ( X i ' a n C o m mu n i c a t i o n I n s t i t u t e , X i ' a n 7 1 0 1 0 6 , C h i n a J
络攻击事件不断增加 ,信息安全越来越 受到人们 的重视。 数据库管理 系统担 负着 大量信息 的管理使命 , 是各类信息 网络 的主要组成部 分, 因此其安全性在整个 网络安 全 中占 有 的 举 足 轻 重 的 地 位 。 多 级 安 全 数 据 库 管 理 系 统 ( Mu l t i l e v e l S e c u r e D a t a b a s e Ma n a g e me n t S y s t e m, M L S / D B MS ) 【 q是指 实现 了强制访 问控制 的数据库 管理 系统 , 它 与普通数 据库 的区别在 于 多级 安全 数据 库 中的数据被 赋 予 了不同的密级 , 同时数据库 的用户也被赋予 了不同的密 级, 只有具有相 应权 限 的用户才能访 问相应 的数据。 1 现有 的 B L P模型 B e l 1 . D . E和 L a P a d u l a 1 9 7 3年提出的著名的 B L P 模型[ 2 1 , 是最早 的一个 完全 的、 形 式化 的多级安全模 型 , 是计 算机 安全理 论研究 的开端 , 当前很 多 M A C模 型都是 对 B L P模 型直接或者间接的改进。 B L P模 型是一个状 态机模 型 ,它形 式化 地定 义 了系 统、 系统状 态以及状 态间的转换规则 , 引入 安全级 的概 念 , 并制定 了一组 安全规 则, 以此对系统状 态和 状态转换规则 进行 限制和 约束。对于 一个 系统 , 如 果它的初始状态 是安 全的 , 并且所 经过 的一 系列 的规则都 保持安 全特 性 , 那么 可以证 明该 系统 是安 全的。 在B L P模 型 中每个 主体具有最 大安全级和 当前安 全 级, 每个客体有一个安 全级。 主体对客体有 四种存取 方式 : 只读 、 只 写、 执行 、 读 写。B L P模 型满足以下三个特性 :
BLP安全模型安全分析
BLP安全模型安全分析BLP(Biba-LaPadula)安全模型是一种常用的用于安全分析的数学模型。
它广泛应用于计算机系统和网络安全领域,用于评估和验证系统的机密性、完整性和可用性。
本文将从BLP模型的基本概念开始,介绍其安全策略和安全性质,然后讨论安全分析的方法和挑战。
BLP模型的基本概念包括:主体(Subjects)、客体(Objects)和安全级别(Security Levels)。
主体指系统中的用户、程序或进程,客体指系统中的资源、文件或数据。
安全级别用于表示主体和客体的机密性(Confidentiality)和完整性(Integrity)要求。
机密性级别(Confidentiality Level)用于标识主体和客体的访问控制策略,完整性级别(Integrity Level)用于标识主体和客体的修改控制策略。
在BLP模型中,安全策略用于描述主体对客体的访问和修改规则。
最常用的策略是禁止泄露机密性信息,也称为不可写低(No Write Down)策略和禁止篡改完整性信息,也称为不可写高(No Write Up)策略。
该策略确保主体只能读取和修改比其安全级别低的客体,以防止信息的泄露和篡改。
BLP模型还定义了几个安全性质,用于评估系统的安全性。
不可泄漏性(No Leakage)要求系统不能从高级主体泄漏信息给低级主体。
不可篡改性(No Tampering)要求系统不能被低级主体篡改高级主体的信息。
不可写入信任性(No Write Down Trust)要求系统不能将不可信的信息写入可信的客体。
不可写入冲突性(No Write Up Conflict)要求系统中的任何主体不得修改高于其安全级别的客体。
安全分析的目标是验证系统是否满足BLP模型的安全性质。
安全分析的方法通常包括构建系统的安全状态图和进行形式化验证。
安全状态图显示了系统中主体和客体之间的访问和修改关系。
通过对状态图进行分析,可以识别潜在的安全漏洞和风险。
深入分析比较8个安全模型
深入分析比较8个安全模型深入分析比较八个信息安全模型(1)状态机模型:无论处于什么样的状态,系统始终是安全的,一旦有不安全的事件发生,系统应该会保护自己,而不是是自己变得容易受到攻击。
(2)Bell-LaPadula模型:多级安全策略的算术模型,用于定于安全状态机的概念、访问模式以及访问规则。
主要用于防止未经授权的方式访问到保密信息。
系统中的用户具有不同的访问级(clearance),而且系统处理的数据也有不同的类别(classification)。
信息分类决定了应该使用的处理步骤。
这些分类合起来构成格(lattice)。
BLP是一种状态机模型,模型中用到主体、客体、访问操作(读、写和读/写)以及安全等级。
也是一种信息流安全模型,BLP的规则,Simplesecurityrule,一个位于给定安全等级内的主体不能读取位于较高安全等级内的数据。
(-propertyrule)为不能往下写。
Strongstarpropertyrule,一个主体只能在同一安全登记内读写。
图1-1 Bell-Lapodupa安全模型解析图基本安全定理,如果一个系统初始处于一个安全状态,而且所有的状态转换都是安全的,那么不管输入是什么,每个后续状态都是安全的。
不足之处:只能处理机密性问题,不能解决访问控制的管理问题,因为没有修改访问权限的机制;这个模型不能防止或者解决隐蔽通道问题;不能解决文件共享问题。
(3)Biba模型:状态机模型,使用规则为,不能向上写:一个主体不能把数据写入位于较高完整性级别的客体。
不能向下读:一个主体不能从较低的完整性级别读取数据。
主要用于商业活动中的信息完整性问题。
图1-2 Biba安全模型解析图(4)Clark-Wilson模型:主要用于防止授权用户不会在商业应用内对数据进行未经授权的修改,欺骗和错误来保护信息的完整性。
在该模型中,用户不能直接访问和操纵客体,而是必须通过一个代理程序来访问客体。
BLP模型
BLP 模型BLP 模型对安全性进行分级,用格作为描述系统安全性级别的数学工具,由函数:F S O L C ⋃→⨯产生主体和客体的安全级别,其中,S 和O 分别是主体和客体的集合,L 是格结构,C 是安全级别的集合。
BLP 模型抽象出的访问权限有四种,分别是只可读re 、只可写a 、可读写w 和不可读写(可执行)e (记作{, , , }R re a w e =)。
BLP 模型也涉及主体、客体、访问矩阵等概念,但是BLP 模型与HRU 模型之间存在明显的区别,如主体和客体不再随着系统的状态变化:BLP 模型是一个状态机模型,包含状态的集合V (其元素用二元组(, )F B 表示)、一个初始状态0v (0v V ∈)、请求的集合{, , |, , }Q s o r s S o O r R =〈〉∈∈∈以及一个转移函数: T V R V ⨯→。
当请求被执行,T 改变系统的状态,R 或者F 发生变化。
BLP 模型提出了系统安全的充要条件是满足以下两个公理(特性):特性1 简单安全性(ss-性质):状态v 满足简单安全性,当且仅当对于s S ∀∈,o O ∀∈,[,]()()r A s o F s F o ∈⇒>;特性 2 星号安全性(*-性质):状态v 满足星号安全性,当且仅当对于s S ∀∈,o O ∀∈,[,]()()w A s o F o F s ∈⇒>。
符号“>”表示前者支配后者,定义为:定义(支配):安全级别(, )L C 支配安全级别(', ')L C ,当且仅当'L L ≤,'C C ⊆。
BLP 模型的原理总结为:不能向上读,不能向下写,即主体不能读安全级别比自己高的客体,不能写安全级别比自己低的客体。
定义(自主安全性,ds-特性):状态v 满足自主安全性,当且仅当对于任意的(, , )i j s o x Q ∈,ij x M ∈。
ss-性质和*-性质处理的是强制访问控制,而ds-特性处理自主访问控制。
BLP模型
BLP模型(Bell-La Padula模型)是对安全策略形式化的第一个数学模型,是一个状态机模型,用状态变量表示系统的安全状态,用状态转换规则来描述系统的变化过程。
一、模型的基本元素模型定义了如下的集合:S={s1,s2,…,sn} 主体的集合,主体:用户或代表用户的进程,能使信息流动的实体。
O={o1,o2,…,om} 客体的集合,客体:文件、程序、存贮器段等。
(主体也看作客体S O)C={c1,c2,…,cq} 主体或客体的密级(元素之间呈全序关系),c1≤c2≤…≤cq.K={k1,k2,…,kr} 部门或类别的集合A={r,w,e,a,c} 访问属性集,其中,r:只读;w:读写;e:执行;a:添加(只写);c:控制。
RA={g,r,c,d} 请求元素集g:get(得到),give(赋予)r:release(释放),rescind(撤销)c:change(改变客体的安全级),create(创建客体)d:delete(删除客体)D={yes,no,error,?} 判断集(结果集),其中yes:请求被执行;no:请求被拒绝;error:系统出错,有多个规则适合于这一请求;?:请求出错,规则不适用于这一请求。
μ={M1,M2,…,Mp} 访问矩阵集,其中元素Mk是一n×m的矩阵,Mk的元素Mij A。
F=CS×CO×(PK)S×(PK)O,其中,CS={f1|f1:S→C} f1给出每一主体的密级;CO={f2|f2:O→C} f2给出每一客体的密级;(PK)S={f3|f3:S→PK} f3给出每一主体的部门集;(PK)O={f4|f4:O→PK} f4给出每一客体的部门集。
其中,PK表示K的幂集(PK=2K)。
F的元素记作f=(f1,f2,f3,f4),给出在某状态下每一主体的密级和部门集,每一客体的密级和部门集,即主体的许可证级(f1,f3),客体的安全级(f2,f4)。
深入分析比较8个安全模型
深入分析比较八个信息安全模型(1)状态机模型:无论处于什么样的状态,系统始终是安全的,一旦有不安全的事件发生,系统应该会保护自己,而不是是自己变得容易受到攻击。
(2)Bell-LaPadula模型:多级安全策略的算术模型,用于定于安全状态机的概念、访问模式以及访问规则。
主要用于防止未经授权的方式访问到保密信息。
系统中的用户具有不同的访问级(clearance),而且系统处理的数据也有不同的类别(classification)。
信息分类决定了应该使用的处理步骤。
这些分类合起来构成格(lattice)。
BLP是一种状态机模型,模型中用到主体、客体、访问操作(读、写和读/写)以及安全等级。
也是一种信息流安全模型,BLP的规则,Simplesecurityrule,一个位于给定安全等级内的主体不能读取位于较高安全等级内的数据。
(-propertyrule)为不能往下写。
Strongstarpropertyrule,一个主体只能在同一安全登记内读写。
图1-1 Bell-Lapodupa安全模型解析图基本安全定理,如果一个系统初始处于一个安全状态,而且所有的状态转换都是安全的,那么不管输入是什么,每个后续状态都是安全的。
不足之处:只能处理机密性问题,不能解决访问控制的管理问题,因为没有修改访问权限的机制;这个模型不能防止或者解决隐蔽通道问题;不能解决文件共享问题。
(3)Biba模型:状态机模型,使用规则为,不能向上写:一个主体不能把数据写入位于较高完整性级别的客体。
不能向下读:一个主体不能从较低的完整性级别读取数据。
主要用于商业活动中的信息完整性问题。
图1-2 Biba安全模型解析图(4)Clark-Wilson模型:主要用于防止授权用户不会在商业应用内对数据进行未经授权的修改,欺骗和错误来保护信息的完整性。
在该模型中,用户不能直接访问和操纵客体,而是必须通过一个代理程序来访问客体。
从而保护了客体的完整性。
基于BLP的Web系统多级安全策略模型
中图分类 号 :P 9 .8 T 3 30
Mu t e e e u i o iy Mo e o e y t m a e n B P l lv lS c r y P l d l rW b S se B s d o L i t c f
q i me tt a h e y t m s e e si h e u esae, n n l omu ae eW e y tm ,s se sae n ur e n h tte W b s se mu t me t wh n i i n t es c r t t a d f a yf r l tst b s s t il h e y t m tt sa d
摘 要 We b系统 的广 泛应 用使 其安 全 问题 日益 突 出。通 过分 析 当前 We b系统存 在
的安全 隐患 , We 在 b资 源的访 问控 制上 引入 了 多级 安 全 策略 , We 从 b系统 的功 能 需 求和 安 全 需求 出发 , 分析 了 B P模 型直接 应 用 于 We L b系统 时导致 的 问题 。在 B P模型 的基础 上 , L 提 出了 We b系统 的 多级 安 全 策略 模 型 , We 对 b系统 中 的概 念 、 象和 操 作 进 行 抽 象和 提 对 炼 , 究 了 We 研 b系统 处于安 全状 态 时应 当满足 的 安全 条 件 , 并在 此 基础 上 , We 对 b系统 、 系
L o g u , IZh n x e CHEN a W ng
( , et f oi i l nom t nE gne n , E C o g ig4 0 hn ; . a o a U i r t 1 D p,o g t a If ai n ier g L U, h n qn ,0 0 C ia 2 N t nl nv s y L sc r o i 1 6 i e i o D fneT c n l y Ifr a o ytm ad M n gm n A a e y C a gh 0 3 C ia f e s eh o g , n m t nS s n a ae e t cd m , h ns a 1 7 , hn ) e o o i e 40
BLP模型
BLP 模型BLP 模型对安全性进行分级,用格作为描述系统安全性级别的数学工具,由函数:F S O L C ⋃→⨯产生主体和客体的安全级别,其中,S 和O 分别是主体和客体的集合,L 是格结构,C 是安全级别的集合。
BLP 模型抽象出的访问权限有四种,分别是只可读re 、只可写a 、可读写w 和不可读写(可执行)e (记作{, , , }R re a w e =)。
BLP 模型也涉及主体、客体、访问矩阵等概念,但是BLP 模型与HRU 模型之间存在明显的区别,如主体和客体不再随着系统的状态变化:BLP 模型是一个状态机模型,包含状态的集合V (其元素用二元组(, )F B 表示)、一个初始状态0v (0v V ∈)、请求的集合{, , |, , }Q s o r s S o O r R =〈〉∈∈∈以及一个转移函数: T V R V ⨯→。
当请求被执行,T 改变系统的状态,R 或者F 发生变化。
BLP 模型提出了系统安全的充要条件是满足以下两个公理(特性):特性1 简单安全性(ss-性质):状态v 满足简单安全性,当且仅当对于s S ∀∈,o O ∀∈,[,]()()r A s o F s F o ∈⇒>;特性 2 星号安全性(*-性质):状态v 满足星号安全性,当且仅当对于s S ∀∈,o O ∀∈,[,]()()w A s o F o F s ∈⇒>。
符号“>”表示前者支配后者,定义为:定义(支配):安全级别(, )L C 支配安全级别(', ')L C ,当且仅当'L L ≤,'C C ⊆。
BLP 模型的原理总结为:不能向上读,不能向下写,即主体不能读安全级别比自己高的客体,不能写安全级别比自己低的客体。
定义(自主安全性,ds-特性):状态v 满足自主安全性,当且仅当对于任意的(, , )i j s o x Q ∈,ij x M ∈。
ss-性质和*-性质处理的是强制访问控制,而ds-特性处理自主访问控制。
BLP模型的分析与改进
BLP模型的分析与改进随着网络化和计算机技术的飞速发展,对PC的安全性和易用性提出了越来越高的要求,传统的PC系统结构以效率优先而不是以安全优先原则设计的,因此现有的PC系统越来越容易遭受黑客、间谍软件和病毒的攻击。
针对传统PC系统结构安全性方面的缺陷,结合当今可信计算技术和终端平台虚拟化技术,研究先进的多域安全虚拟个人计算机系统,以解决我国日益突出的个人计算机信息安全的该关键问题,为我国政府、军队等关键部门提供可信的个人计算机系统。
而安全文件系统是多域安全虚拟个人计算机系统的核心组成部分,通过一般的树型结构平面文件系统不易于实现高安全标准的要求。
通过充分借鉴银河麒麟操作系统层次式内核的成功经验,在BLP模型的基础上提出了一种基于时间限制的多级安全模型,并将该模型应用到安全文件系统的设计中来,既充分利用了BLP模型的安全策略,又极大的提高了安全文件系统的灵活性。
BLP(Bell-LaPadula)模型由Bell和LaPadula于1973年提出来,被认为是多级安全领域的经典模型,它为安全操作系统的研究奠定了良好的基础。
它通过一系列的形式化定义描述了系统状态,并制定了系统状态的转换规则。
BLP模型主要通过三个属性来约束主体对客体的访问。
并且一个系统只有当初始状态安全,且每次状态转换都满足以下三个属性时才是安全的。
自主安全属性:主体对客体的访问权限必须包含于当前的访问控制矩阵。
简单安全属性:只有主体的安全级别高于客体的安全级别时,主体才拥有对客体的读/写权限。
随着对BLP模型的深入研究和工程应用,越来越多的问题暴露了出来。
BLP模型已经不能满足各种各样的安全需求。
(1)BLP模型的平稳性原则限制了系统的灵活性。
客体的安全等级有一定的时效性,超过保密期限应予以调整;高级别主体可能产生公开信息,而BLP模型禁止其向低级别流动。
(2)可信主体不符合最小特权原则。
由于可信主体不受*-属性约束,导致了权限过大。
基于BLP的安全操作系统信息安全模型
基于BLP的安全操作系统信息安全模型
黄益民;王维真
【期刊名称】《计算机工程》
【年(卷),期】2005(031)019
【摘要】提出并设计了一个安全操作系统的信息安全模型.该模型消除了仅以用户作为主体存在的不安全隐患,除保密性指标外考虑了完整性指标,限制了隐蔽通道,限制了可信主体以满足最小权限原则,进行了域隔离,缩小了理论模型与实际应用的差距,并应用到自主开发的安全操作系统WXSSOS中.
【总页数】3页(P133-135)
【作者】黄益民;王维真
【作者单位】浙江大学计算机科学与技术学院,杭州,310027;南京大学商学院,南京,210093
【正文语种】中文
【中图分类】TP309
【相关文献】
1.局域网络中的L-BLP安全模型 [J], 司天歌;张尧学;戴一奇
2.基于BLP安全模型的嵌入式硬件防火墙研究 [J], 刘丽萍;王强;王霖
3.对BLP模型的改进--多级安全模型BLP在办公自动化中的应用探讨 [J], 崔树芹;曹玉枝
4.BLP安全模型及其发展 [J], 王昌达;鞠时光
5.BLP安全模型的改进设计方案 [J], 申翀;马季兰
因版权原因,仅展示原文概要,查看原文内容请购买。
信息安全深入分析比较八个信息安全模型
深入分析比较八个信息安全模型信息安全体系结构的设计并没有严格统一的标准,不同领域不同时期,人们对信息安全的认识都不尽相同,对解决信息安全问题的侧重也有所差别。
早期人们对信息安全体系的关注焦点,即以防护技术为主的静态的信息安全体系。
随着人们对信息安全认识的深入,其动态性和过程性的发展要求愈显重要。
国际标准化组织(ISO)于1989年对OSI开放系统互联环境的安全性进行了深入研究,在此基础上提出了OSI 安全体系结构:ISO 7498-2:1989,该标准被我国等同采用,即《信息处理系统-开放系统互连-基本参考模型-第二部分:安全体系结构GB/T 9387.2-1995》。
ISO 7498-2安全体系结构由5类安全服务(认证、访问控制、数据保密性、数据完整性和抗抵赖性)及用来支持安全服务的8 种安全机制(加密机制、数字签名、访问控制机制、数据完整性机制、认证交换、业务流填充、路由控制和公证)构成。
ISO 7498-2 安全体系结构针对的是基于OSI 参考模型的网络通信系统,它所定义的安全服务也只是解决网络通信安全性的技术措施,其他信息安全相关领域,包括系统安全、物理安全、人员安全等方面都没有涉及。
此外,ISO 7498-2 体系关注的是静态的防护技术,它并没有考虑到信息安全动态性和生命周期性的发展特点,缺乏检测、响应和恢复这些重要的环节,因而无法满足更复杂更全面的信息保障的要求。
P2DR模型源自美国国际互联网安全系统公司(ISS)提出的自适应网络安全模型ANSM(Adaptive NetworkSe cur ity Mode l)。
P2DR 代表的分别是Polic y (策略)、Protection (防护)、Detection (检测)和Response(响应)的首字母。
按照P2DR 的观点,一个良好的完整的动态安全体系,不仅需要恰当的防护(比如操作系统访问控制、防火墙、加密等),而且需要动态的检测机制(比如入侵检测、漏洞扫描等),在发现问题时还需要及时做出响应,这样的一个体系需要在统一的安全策略指导下进行实施,由此形成一个完备的、闭环的动态自适应安全体系。
信息安全工程师真题考点:BLP安全模型
信息安全工程师真题考点:BLP安全模型BLP是安全访问控制的一种模型,是基于自主访问控制和强制访问控制两种方式实现的。
它是一种严格的形式化描述,控制信息只能由低向高流动。
它反映了多级安全策略的安全特性。
采用BLP模型的系统之所以被称为多级安全系统,是因为使用这个系统的用户具有不同的许可,而且系统处理的数据也具有不同的分类。
在存在受信任主体的情况下,BLP模型可能会产生从高机密文档到低机密文档的信息流动。
受信任主体不受属性的限制,但必须证明其在安全策略方面是值得信任的。
该安全模型针对访问控制,并被描述为:“下读,上写”。
信息自下而上流入在BLP模型中,用户只能在其自己的安全级别或更高的安全级别上创建内容(如,秘密研究人员可以创建秘密或绝密文件,但不能创建公共文件;不能下写)。
相反,用户只能查看在其自己的安全级别或更低的安全级别的内容(如,秘密研究人员可以查看公共或秘密文件,但不能查看绝密文件;不能上读)。
历年信息安全工程师BLP安全模型知识真题:
以下关于BLP安全模型的表述中,错误的是()。
A.BLP模型既有自主访问控制,又有强制访问控制
B.BLP模型是一个严格形式化的模型,并给出了形式化的证明
C.BLP模型控制信息只能由高向低流动
D.BLP是一种多级安全策略模型
参考答案:C。
多级安全BLP模型
多级安全BLP模型1 基本概念主体(Subject):引起信息流动或改变系统状态的主动实体。
如用户,程序,进程等。
客体(Object):蕴含或接收信息的被动实体, 信息的载体。
如DB、表、元组、视图、操作等。
安全级(Security Level):主体和客体的访问特权, 一般主体安全级表示主体对客体敏感信息的操作能力, 客体安全级表示客体信息的敏感度。
自主型访问控制(Discretionary Access Control):是基于一种访问控制规则实现主体对客体的访问。
这种控制规则是自主的,自主是指某一主体能直接或间接的将访问权或访问权的某些子集授予其他主体。
用户对信息的控制是基于用户的鉴别和存取访问规则的确定。
强制型访问控制(Mandatory Access Control):通过无法回避的存取限制来防止各种直接的或间接的攻击。
系统给主体分配了不同的安全属性,并通过主体和客体的安全属性的匹配比较决定是否允许访问继续进行。
2 自主型访问控制(Discretionary Access Control)自主型访问控制基于用户的身份和访问控制规则。
自主保护策略管理用户的存取,这些信息是以用户的身份和授权为基础的,它们详细说明了对于系统中的每一个用户(或用户组)和每一个客体,允许用户对客体的存取模式(例如读,写或执行)。
根据指定的授权,用户存取客体的每一个要求都被检查。
如果存在授权状态,则用户可以按指定的模式存取客体,存取被同意,否则被拒绝。
DAC之所以被称为自主的,是因为它允许用户将其访问权力赋予其它的用户。
而且对于一个客体的否定授权高于对同一客体的肯定授权。
自主策略的灵活性使它们适合于多种系统和应用。
由于这些原因,在多种执行中,自主策略被广泛地应用,尤其在商业的和工业的环境中。
2.1 自主访问控制的实现自主访问控制的实现主要有三种方式:1.访问控制表(ACL);2 .访问能力表(Capability) 3.授权关系表。
chap4:BLP多级安全模型-B-wc 西安电子科技大学计算机安全基础课件
2020/9/19
西安电子科技大学 计算机学院
29
然而,可以根据实际情况的需要对模型规则加以相应的 扩展,即可得到我们所需要的转换规则。
因此可以说,到目前为止,Bell-LaPadula模型仍是信息安 全领域最为重要的模型之一,也是目前最为流行的一种 多级安全模型。当然,任何事物都具有两面性,在信息 安全领域首次提出“多级安全”概念的Bell-LaPadula模型 也由于种种原因,不可避免地也有其相应的局限性。
32
➢ “向上写”造成的应答盲区。当一个低安全级的进程向一 个高安全级的进程发送一段数据后,这显然不违背BellLaPadula模型的原则,但由于不能“向下写”,高级别的 进程无法向低级别的进程发送诸如“已收到”、“操作成 功”等回应;而对于低级别的进程来说,它永远无法知道 它所发送的信息是否正确地到了目的地,信息就如传送到 了一个“黑洞”中,消失得无影无踪。
性,当且仅当对于任意的
(si, o,j, x)Q
x
M
。
ij
兼容性公理(Compatibility): 状态v=(b, M, f, H)满足
兼容性,当且仅当对所有的o ∈O,有
o1 ∈H(o)=〉fo(o1)〉fo(o)
BLP模型安全性
ss-性质和*-性质处理的是强制访问控制; ds-特性处理自主访问控制; 强制访问控制的权限由特定的安全管理员确定,由系
1.检测一个特定策略的完善性和一致性 2.对策略进行验证; 3.有助于构思和设计一个实现; 4.检测一个实现是否满足要求。
2020/9/19
西安电子科技大学 计算机学院
13
在一些系统中,信息的泄露不是访问控制有缺陷造成的,
而是由于缺乏适当的信息流策略或缺乏实现信息流策略的
BLP模型及其改进方向
BLP模型及其改进方向作者:张蓉来源:《电脑知识与技术》2013年第35期摘要:BLP模型在整个计算机安全模型的发展过程中起到一个奠基性的作用,被看成是基础安全公理。
BLP模型采用形式化安全许可的分类描述来研究信息的安全性。
论文简单介绍了BLP 模型及其公理系统,总结了该模型目前存在的安全缺陷和问题,并针对这些问题分析了BLP 模型的改进方向。
关键词:BLP;模型;安全中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)35-8107-021 绪论提到安全模型,最具有代表性的形式化信息安全模型为Bell-LaPaula模型,简称BLP模型,这个模型是被David Bell和Leonard La Padula两人在1973年首次提出,而后在1976年最终修改并完善的一种安全模型。
他们二人致力于研究出这样一种可以用于模拟军事完全策略的这种安全计算机操作系统的安全模型,从系统的安全性角度出发在有效地确保了保密性方面的同时细致地描述了不同秘密级别的主体和客体之间的联系,它是多级安全模型的基础,是公认的基本安全公理,也是最早的、最常使用的一种模型。
2 BLP模型BLP 模型标明了相关主体、客体、安全等级函数、状态、系统等定义,定义了 4 个特性,定义了系统状态机状态间转换规则,并制定了一组约束系统状态间转换规则的安全理论,包括10 个定理、 11 个规则,给出了形式化表示,并进行了证明。
BLP模型元素表如表1。
BLP 模型是一个状态机模型,它形式化地定义了系统、系统状态以及状态间的转换规则,使得对于一个安全的系统,经过的一系列规则转换后,可以证明该系统仍是安全的。
以下三个其代表性的安全公理。
简单安全性公理:当且仅当以下一条成立:1)x=a或x=e; 2)x=w或x=r且fs(s)=fo (o)。
*特性:当且仅当s满足下列三个条件:1)s[∈]S [⇒] O[∈]b(S:a )[⇒](fo(O)>fc (S))2)s[∈]S [⇒] O[∈]b(S:w )[⇒](fo(O)=fc (S))3)s[∈]S [⇒] O[∈]b(S:w )[⇒](fo(O)兼容性:当且仅当对于每个o[∈]O,有o1[∈] h(o)且fo(o1)支配fo(o)BLP模型的信息流向如图1。
BLP模型的安全性分析与研究
1 L P模型简介 B
B lL P d l模 型( L 模型) D..el LJ a aua e .a a ua 1 BP 是 EB l和 .L P d l . 于 17 年创立 的模拟军事安全策略的计算机安全模 型, 最 93 是
2 L P模型存在的缺陷 B
按照 B P模型的公理和规 则, L 存在 的安仝缺陷 卜 要有安
分析 ,提 I r “ I j 最近读、最 近写 ”的原 则,较为有效地 改进 ' B P r L 模型 的安全惟和完整性
关健词 :B P L 模型 ;模型 ;安全
An l ssa d Re e r h o eS c rt fBLP M o e a y i n s a c ft e u i o h y dl
维普资讯
第3 卷 第2 期 2 2
VL2 o 3
・
计
算
机
工
程 —— —
20 0 6年 1 1月
No e b r2 0 v m e 0 6
No 2 .2
Co p t rEn i e r n m u e gn e i g
安全技术 ・
i mpr v st e BLP mo e r fe tv e u iy a d i tg i . o e h dl mo e e c i e s c rt n n e r t y
[ e o d lB lL P d l m d l L ) dlSc ry K y r s e —a aua o e B P; e; eui w l ( Mo t
GU Qini , a j n WAN u l GY e
( rs e t f e f e igIsi t o e h oo y B in 0 0 Pei n i in tue f c n lg , e ig10 8 ) d Ofc o B j n t T j I
blp的强制安全策略基本原则
blp的强制安全策略基本原则
1.保障人员安全:BLP强制安全策略的首要原则是保障人员的安全。
这意味着在系统设计和实施过程中,必须考虑到可能的安全威胁,并采取相应的措施来防范和应对这些威胁。
此外,必须确保系统的运行和维护过程不会对人员造成任何危害。
2. 策略强制执行:BLP强制安全策略的另一个重要原则是策略的强制执行。
这意味着系统将对用户进行身份验证,并确保它们只能访问其所需的信息和资源。
此外,系统还将监控用户的行为,以确保它们不会违反安全策略。
3. 安全级别分离:BLP强制安全策略的第三个原则是安全级别分离。
这意味着系统将将信息和资源分为不同的安全级别,并限制用户只能访问其所需的级别。
此外,系统还将确保用户不能从高级别的资源中提取低级别的信息。
4. 最小授权原则:BLP强制安全策略的第四个原则是最小授权原则。
这意味着系统将仅向用户提供其所需的最少权限。
这可以防止用户获取对系统和数据的未经授权的访问权限。
5. 审计和日志记录:BLP强制安全策略的最后一个原则是审计和日志记录。
这意味着系统将记录所有用户的活动,并将其存储在安全的位置中。
这可以帮助检测和响应安全事件,并强制用户遵守安全策略。
- 1 -。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
B L P安全模型安全分
析
BLP安全模型安全分析
摘要:随着IT技术的发展与普及,企业及政府等相关部门信息化程度的逐渐加快,越来越的多应用被部署到我们的信息系统中,随之而来的安全风险也逐渐增加。
为了实现信息系统的安全,安全界设计了多种多样的安全模型并开发了相应的技术。
本文从Bell-Lapadula 模型出发,对此模型的特点进行分析,了解它的安全性特点
关键词:信息安全安全模型
1 前言
信息是指事务运动的状态和方式,是事物的一种属性,在引入必要的约束条件后可以形成特定的概念体系,通常可以理解为消息、信号、数据、情报和知识等。
对于企业而言,信息承载着企业的各种商业数据和机密情报,如专利技术,交易记录等,所以信息是一种资产,其价值地位不低于甚至高于设备资产,所以保证企业信息资产的安全就显得尤为重要。
从安全角度考虑,要保证信息资产的安全,主要关注信息的保密性,可用性和完整性,这个三个属性被成为信息安全的三元组。
其中:
保密性(Confidentiality)是确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体;
可用性(Availability)是确保授权用户或实体对信息及资源的正常使用不被异常拒绝,允许其可靠而及时地访问信息。
完整性是(Integrity)是确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。
2. Bell-Lapadula模型介绍
孤立的信息是没有价值的,信息只有在需要被识别,被传递及被访问才能产生价值,所以信息的安全,实际上访问控制的安全,即哪些信息可以被哪些群体访问,哪些信息被访问时完整性没有被破坏的,哪些信息是保密的不可以被随便访问。
围绕信息安全的三个重要属性,国内外安全界开发了多种安全模型。
其中最为著名的是Bell-Lapadula模型。
Bell-lapadula是20世纪70年代,美国军方提出的用于解决分时系统的信息安全和保密问题,该模型主要用于防止保密信息被未授权的主体访问。
使用Bell-lapadula模型的系统
会对系统的用户(主体)和数据(客体)做相应的安全标记,因此这种系统又被称为多级安全系统,级别和模型用于限制主体对客体的访问操作,该模型用于加强访问控制的信息保密性。
Bell-lapadula使用主体,客体,访问操作(读,写,读/写)以及安全级别这些概念,当主体和客体位于不同的安全级别时,主体对客体就存在一定的访问限制。
实现该模型后,它能保证信息不被非授权主体所访问。
其访问机制如下图所示:
图 Bell-lapadula模型
1.安全级别为“机密”的主体访问安全级别为“绝密”的客体时,主体对客体可写不可读(no read up);
2.当安全级别为“机密”的主体访问安全级别为“机密”的客体时,主体对客体可写可读;
3.当安全级别为“机密”的主体访问安全级别为“秘密”的客体时,主体对客体可读不可写(no write down);
BLP模型是一种访问控制模型,它通过制定主体对客体的访问规则和操作权限来保证系统的安全性。
BLP模型中基本的安全控制方法有两种。
一种是自主访问控制(DAC):它是一种普遍采用的访问控制手段。
它使用户可以按
自己的意愿对系统参数作适当修改,以决定哪些用户可以访问他们的系统资源。
这里的“自主”,即资源的所有者可以决定对资源的访问权,而且这种访问权可以按“工作需要”的原则动态地转让和回收。
它往往用以限制数据在同一密级或同一部分内未经许可的流动。
自主访问控制有多种方法,如权力表、口令、访问控制表等。
另一种是强制访问控制(MAC),它是一种强有力的访问控制手段。
它使用户与文件
都有一个固定的安全属性,系统利用安全属性来决定一个用户是否可以访问某种资源。
这种访问控制方式也叫指定型访问控制方式,它对用户、资源按密级和部门进行划分,对访问的类型也按读、写等划分。
所谓“指定”,就是对资源的访问权不是由资源的所有者来决定,而是由系统的安全管理者来决定,往往用以限制数据从高密级流向低密级,从一个部门流向另一个部门。
它可以保证系统的保密性和完整性。
3.Bell-LaPadula模型的优缺点
4. BLP模型是最早的一种安全模型,也是最有名的多级安全策略模型。
它给出了军事安全策略的一种数学描述,用计算机可实现的方式定义。
它已为许多操作系统所使用。
5. 由于它描述的是军事安全策略,受到美国国防部的特别推崇,以致于在很长一段时期人们将多级安全策略等同于强制访问控制策略。
6. 1.优点:
7. ①是一个最早地对多级安全策略进行描述的模型;
8. ②是一个严格形式化的模型,并给出了形式化的证明;
9. ③是一个很安全的模型,既有自主访问控制,又有强制访问控制。
10. ④控制信息只能由低向高流动,能满足军事部门等一类对数据保密性要求特别高的机构的需求。
11. 2.缺点:
12. (1)过于安全:
13. ①上级对下级发文受到限制;
14. ②部门之间信息的横向流动被禁止;
15. ③缺乏灵活、安全的授权机制。
16. (2)不安全的地方:
17. ①低安全级的信息向高安全级流动,可能破坏高安全客体中数据完整性,被病毒和黑客利用。
18. ②只要信息由低向高流动即合法(高读低),不管工作是否有需求,这不符合最小特权原则。
19.③高级别的信息大多是由低级别的信息通过组装而成的,要解决推理控制的问题4小结
BLP模型能够成为分级系统最流行的安全模型是因为在BLP模型状态的描述中可以证明,只要初始状态是安全状态,并且所有的转移函数也是安全的,那么当系统从某个安全
状态启动,无论按何种顺序调用系统功能,系统总是保持在安全状态。
但是BLP模型在数据的完整性和可用性方面的改进也是今后研究的重点。