第三讲 安全策略与安全模型课件.ppt

4-3安全策略与安全模型*4．系统记作∑(R,D,W(ω),z0)，其定义为∑(R,D,W(ω),z0)?X×Y×Z?(x,y,z)?∑(R,D,W(ω),z0)iff对每一个t?T,(xt,yt,zt,zt-1)?W(ω)。z0是系统初始状态，记z0=(?,M,f)x1x2xty1y2ytz0z1z2zt-1zt此即BLP模型定义的系统4-3安全策略与安全模型*(七）系统安全的定义BLP模型定义了安全状态、安全状态序列以及系统的安全出现，最后说明了什么样的系统是安全系统1．安全状态 一个状态v=(b,M,f)，若它满足自主安全性，简单安全性和*—性质，那么这个状态就是安全的。2．安全状态序列 设z=z1z2…zt…是一状态序列，若对于每一个t?T，zt都是安全状态，则z是安全状态序列。4-3安全策略与安全模型*3．系统的一次安全出现(x,y,z)?∑(R,D,W(ω),z0)称为系统的一次出现。 若(x,y,z)是系统的一次出现，且z是一安全状态序列，则称(x,y,z)是系统∑(R,D,W(ω),z0)的一次安全出现。4．安全系统 若系统∑(R,D,W(ω),z0)的每次出现都是安全的，则称该系统是一安全系统。4-3安全策略与安全模型*（八）模型中的有关安全结论1．这十条规则都是安全性保持的即：若v是安全状态，则经过这十条规则转换后的状态v*也一定是安全状态2．若z0是安全状态，ω是一组安全性保持的规则，则系统∑(R,D,W(ω),z0)是安全的。4-3安全策略与安全模型*（九）对BLP安全模型的评价1.BLP模型的优缺点：优点：①是一种严格的形式化描述；②控制信息只能由低向高流动，能满足军事部门等一类对数据必威体育官网网址性要求特别高的机构的需求缺点：BLP“过于安全”①上级对下级发文受到限制；②部门之间信息的横向流动被禁止；③缺乏灵活、安全的授权机制。4-3安全策略与安全模型*2.BLP中不安全的地方：①低安全级的信息向高安全级流动，可能破坏高安全客体中数据完整性，被病毒和黑客利用。②只要信息由低向高流动即合法（高读低），不管工作是否有需求，这不符合最小特权原则。③高级别的信息大多是由低级别的信息通过组装而成的，要解决推理控制的问题。4-3安全策略与安全模型*例如：设o1o2o3o4，主体S的安全级同o1时刻t1Sro2高低o3r时刻t2释放对o2的访问权Sao3高低o4r时刻t3S已含有o2和o3的信息此时S可将o2的信息传送到o3(无记忆)4-3安全策略与安全模型*（九）对BLP安全模型的评价在BLP模型中，通过比较主体安全级和客体安全级来确定主体是否对客体具有访问权限。安全检查执行向上写向下读的策略，即主体只能写安全级高(包括相等)的数据，只能读安全级低(包括相等)的数据在实际系统设计过程中，发现传统的BLP模型过于严格和简单，不能满足实际应用的需求，需要进行以下改进：4-3安全策略与安全模型*规则3：主体si请求得到对客体oj的e访问权get-execute：?3(Rk,v)≡ ifσ1?φorγ?gorx?eorσ2=φthen?3(Rk,v)=(?,v)ife?Mijthen?3(Rk,v)=(no,v)else?3(Rk,v)=(yes,(b?{(si,oj,e)},M,f))end4-3安全策略与安全模型*规则3对si的请求只作类似与规则1中的(1)(2)两项检查(1)主体请求对某客体的访问权形式(φ,g,Si,Oj,e)(2)oj的拥有者或控制者是否授予了si对oj的读访问权r?Mij之检查Si对请求对Oj的执行权时不需作简单安全性和*—性质的安全检查4-3安全策略与安全模型*规则4：主体si请求得到对客体oj的w访问权get-write：?4(Rk,v)≡ ifσ1?φorγ?gorx?worσ2=φthen?4(Rk,v)=(?,v)ifw?Mijor[f1(si)f2(oj)orf3(si)?f4(oj)]then?4(Rk,v)=(no,v)ifU?4={o|o?b(si:r)and[f2(oj)f2(o)orf4(oj)?