认证与访问控制(崔永泉)访问控制第四章-访问控制与安全模型.pptVIP

认证与访问控制(崔永泉)访问控制第四章-访问控制与安全模型.ppt

  1. 1、本文档共126页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
* BLP模型中的有关安全结论 1.这十条规则都是安全性保持的 即:若v是安全状态,则经过这十条规则转换后的状态v*也一定是安全状态 2.若z0是安全状态,ω是一组安全性保持的规则,则系统∑(R,D,W(ω),z0)是安全的。 * 对BLP安全模型的评价 1.BLP模型的优缺点: 优点: ① 是一种严格的形式化描述; ②控制信息只能由低向高流动,能满足军事部门等一类对数据必威体育官网网址性要求特别高的机构的需求 缺点:BLP“过于安全” ①上级对下级发文受到限制; ②部门之间信息的横向流动被禁止; ③缺乏灵活、安全的授权机制。 * Page: * BLP模型——模型局限性 在实际实现Bell-LaPadula模型中也会碰到一些问题 例如对于系统内存的管理:它们必须在任何状态下对任何级别的进程可读可写,而这明显与Bell-LaPadula模型相违背。 “向上写”会造成应答盲区 信息的安全级是动态变化的 BLP提到的宁静性原则 * 2. BLP中不安全的地方: ①低安全级的信息向高安全级流动,可能破坏高安全客体中数据完整性,被病毒和黑客利用。 ②只要信息由低向高流动即合法(高读低),不管工作是否有需求,这不符合最小特权原则。 ③高级别的信息大多是由低级别的信息通过组装而成的,要解决推理控制的问题。 BLP模型——模型局限性 * Page: * 强制访问控制与BLP模型——模型局限性 虽然对每一个状态序列点的所有操作都符合BLP模型的特性,但它不能保证信息的非法泄露 BLP模型只是从独立的系统状态的角度来考虑系统的安全性,认为“系统的每一个状态是安全的,那么整个系统就是安全的”,而没有考虑到信息的流失有可能发生在两个安全状态之间 Bell-LaPadula模型是针对当时的Multics操作系统设计的, 将访问属性只分为“只读(r)”、 “只写(a)”、 “读写(w)”和“执行(x)”四类, 而在现今的操作系统中这样的分类远远不能满足要求。 * 例如:设o1 o2 o3 o4,主体S的安全级同o1 时刻t1 S r o2 高 低 o3 r 时刻t2 释放对o2的访问权 S a o3 高 低 o4 r 时刻t3 S已含有o2和o3的信息 此时S可将o2的信息传送到o3 (无记忆) * 对BLP安全模型的完善与增强 在BLP模型中,通过比较主体安全级和客体安全级来确定主体是否对客体具有访问权限。安全检查执行向上写向下读的策略,即主体只能写安全级高(包括相等)的数据,只能读安全级低(包括相等)的数据 在实际系统设计过程中,发现传统的BLP模型过于严格和简单,不能满足实际应用的需求,需要进行以下改进: * (1)按照BLP模型“向上写”的规则,任何主体都可以写最高安全级的数据,没有限制主体的最高写安全级,从而降低了高安全级数据的完整性。必须限制低安全级主体向高安全级别数据写的能力 (2)某些高安全级别的主体不应该总是有能力看到所有低安全级别的数据,必须将主体的读能力限定在一个范围内,而不是允许读所有低安全级别的客体 (3)有些低安全级别的数据允许低安全级别主体读,但不意味着允许低级别的主体改写,只有规定的安全级别范围内的主体才能改写 对BLP安全模型的完善与增强 * (4)对于安全级高的主体而言,不仅要写安全级高的数据,也会有写安全级低的数据的合理需求。静态的主体安全级别限制了主体的这种合理请求,影响了系统的可用性。必须允许主体可以根据数据的情况,在不违反BLP安全公理的条件下,动态调节自己的安全级 (5)按照BLP模型,对于某一安全范畴之内的客体,同一安全范畴之内的主体必然至少可以有读写权限中的一种,实践中有时候需要有能力屏蔽主体对特定敏感区域内数据的任何操作 对BLP安全模型的完善与增强 * 可以设计一个增强的多级安全模型,对主体的敏感标记进行扩充,将主体读写敏感度标记分离。读写敏感标记都是由最低安全级和最高安全级组成的区间组成,从而可将主体的读写权限分别限制在一个区间之内,即限制主体的最低写安全级、最低读安全级、最高读安全级和最高写安全级 采用读写分离的区间权限,可以提供丰富的安全管理方案,提高数据完整性和系统的可用性,使系统的安全控制更加灵活方便。要不破坏安全性质,必须将区间敏感度标记与动态调整策略相结合,即主体当前敏感标记必须根据客体敏感标记和主体访问权限的历史过程进行动态调整 对BLP安全模型的完善与增强 * 调整说明 读了一个级别的客体后,调整环境限制参数防止信息泄漏,以后就不能写比该客体的安全级别更低级别的客体 写了一个级别的客体后,调整环境限制参数防止信息泄漏,以后就不能读比该客体的安全级别更高级别的客体 读写了一个级别的客体,调整环境限制参数防止信息泄漏,以后就不能读比这个客体的安全级别更

您可能关注的文档

文档评论(0)

1243595614 + 关注
实名认证
文档贡献者

文档有任何问题,请私信留言,会第一时间解决。

版权声明书
用户编号:7043023136000000

1亿VIP精品文档

相关文档