多級安全BLP模型

1、多級安全 BLP 模型1 基本概念主體 (Subject) ：引起信息流動或改變系統(tǒng)狀態(tài)的主動實體。如用戶,程序 ,進程等?？腕w (Object) ：蘊含或接收信息的被動實體, 信息的載體。如DB 、表、元組、視圖、操作等。安全級 (Security Level)：主體和客體的訪問特權, 一般主體安全級表示主體對客體敏感信息的操作能力, 客體安全級表示客體信息的敏感度。自主型訪問控制 (Discretionary Access Control) ：是基于一種訪問控制規(guī)則實現(xiàn)主體對客體的訪問。 這種控制規(guī)則是自主的， 自主是指某一主體能直接或間接的將訪問權或訪問權的某些子集授予其他主體。用戶對信

2、息的控制是基于用戶的鑒別和存取訪問規(guī)則的確定。強制型訪問控制 (Mandatory Access Control) ：通過無法回避的存取限制來防止各種直接的或間接的攻擊。 系統(tǒng)給主體分配了不同的安全屬性， 并通過主體和客體的安全屬性的匹配比較決定是否允許訪問繼續(xù)進行。2 自主型訪問控制 (Discretionary Access Control)自主型訪問控制基于用戶的身份和訪問控制規(guī)則。自主保護策略管理用戶的存取，這些信息是 以用戶的身份和授權為基礎的，它們詳細說明了對于系統(tǒng)中的每一個用戶(或用戶組 )和每一個客體，允許用戶對客體的存取模式(例如讀，寫或執(zhí)行)。根據(jù)指定的授權，用戶存取客體的

3、每一個要求都被檢查。如果存在授權狀態(tài)，則用戶可以按指定的模式存取客體，存取被同意，否則被拒絕。DAC 之所以被稱為自主的，是因為它允許用戶將其訪問權力賦予其它的用戶。 而且對于一個客體的否定授權高于對同一客體的肯定授權。自主策略的靈活性使它們適合于多種系統(tǒng)和應用。由于這些原因，在多種執(zhí)行中，自主策略被廣泛地應用，尤其在商業(yè)的和工業(yè)的環(huán)境中。2.1 自主訪問控制的實現(xiàn)自主訪問控制的實現(xiàn)主要有三種方式 :1. 訪問控制表 (ACL);2 . 訪問能力表 (Capability) 3. 授權關系表。 綜合以上三種存取控制方法的優(yōu)缺點， 訪問控制表的方法以其在權限的授予和回收的方面的高效率，在商業(yè)軟件

4、中得到了廣泛應用。文件存取控制表：文件存取控制表ACL 的數(shù)據(jù)控制類型：ACL 的數(shù)據(jù)控制類型3 強制型訪問控制3.1 BLP 模型74D.E.Bell年改進 , 76和 L.J.La Padula年用于 Multics于 1973操作系統(tǒng)。年模擬軍事安全策略創(chuàng)建的計算機系統(tǒng)安全模型,1.Bell- LaPadula 模型是存取控制模型中典型的一種， 它用多級安全的概念對主體和客體的安全進行分級和標記， 并同時采用了 自主存取控制和強制存取控制的策略。 強制策略以系統(tǒng)中主體和客體的等級為基礎控制數(shù)據(jù)的存取。 與客體關聯(lián)的安全級別 反映了包含在客體內的信息的敏感性。 與用戶關聯(lián)的安全級別， 也稱

5、為許可權反映了用戶的可信賴性。 不同安全級的主體對客體的存取有一系列性質約束。其中最著名的是簡單安全性 (禁止向上讀 )和 *一性質 (禁止向下寫)。BLP模型的基本思想是:確保信息不向下流動，從而保證系統(tǒng)內的信息是安全的。BLP模型的信息不向下流動是通過下面兩個規(guī)則來保證的:(1) 簡單安全特性 : 當一個主體的安全級支配另一個客體的安全級時， 主體才 ,具有對客體進行 “讀 ”操作的權限 :(2) * 一特性 :當客體的安全級支配主體的安全級時，主體才具有對客體進行 “寫 ”操作的權限。BLP 模型圖 :BLP 模型滿足了上述兩個規(guī)則即控制了系統(tǒng)中信息的流動，保證所有安全級別上的主體只能訪

6、問其具有訪問權限的客體，從而保證信息不會向下流動。此外，系統(tǒng)還有一個自主安全規(guī)則:(3) ds 規(guī)則 :每個存取必須出現(xiàn)在存取矩陣中，即一個主體只能在獲得了所需的授權后才能執(zhí)行相應的存取。mn1mnnm11m1n存取矩陣：MAC 部分由簡單安全特性和*-特性組成， 通過安全級來強制性約束主體對客體的訪問。DAC 通過訪問控制矩陣按用戶的意愿限制主體對客體的訪問。3.2 BLP 模型實現(xiàn)當客戶與服務器相連后，客戶每發(fā)送一個SQL 語句給服務器，服務器首先分析、解釋該語句， 然后經分布式事務處理分解成其他站點上的消息發(fā)送給站點。當在某個站點上的用戶要訪問某個數(shù)據(jù)庫對象時，首先經過強制訪問控制安全檢

7、查，同時記錄審計信息:再經過自主訪問控制檢查，確認是否有訪問權限，同時也記錄審計信息;然后經資源分配，進入訪問具體的元組對象時，再做“向下讀 ”、“同級寫 ”強制訪問控制檢查，通過后面作具體的數(shù)據(jù)操作，并記錄審計信息?，F(xiàn)有的 DBMS 產品實現(xiàn)的客體標記粒度基本都為元組級。3.3 BLP 模型局限性BLP 模型產生于七十年代。直覺上，該模式是為了適應于軍方信息系統(tǒng)中依據(jù)軍銜、職務以及軍隊內部的組織層次。其缺點主要是它太嚴格，以至于在某些環(huán)境下不能應用。例如，在一個商用系統(tǒng)中，并不是總能為用戶分配一個允許密級，或為數(shù)據(jù)分配一個敏感級別。因此當前的一種趨勢是將強制存取控制策略和自主存取策略結合起來

8、建立安全模型。機密性、完整性和可用性是多級安全數(shù)據(jù)庫必須具備的三要素，然而BLP 模型在機密性、數(shù)據(jù)完整性和可用性方面都存在缺陷?？偨Y對該模型的理論研究的不同的觀點，一般認為，模型的局限性有如下幾個方面:首先， BLP 模型機密性不高。根據(jù)BLP 模型的 “向下讀，向上寫”原則，低安全級主體不能讀取高密級數(shù)據(jù)卻可以修改高密級數(shù)據(jù)，這樣敏感信息的機密性得不到保證。其次，高密級數(shù)據(jù)的數(shù)據(jù)完整性得不到保證。低安全級用戶能夠竄改高密級數(shù)據(jù)，因此高密級的數(shù)據(jù)有可能變成“垃圾 ”數(shù)據(jù)，所以高密級數(shù)據(jù)的數(shù)據(jù)完整性難以保證。再次， BLP 模型可用性差?！跋蛳伦x，向上寫”的策略能夠有效地防止低密級用戶獲取敏感

9、信息， 同時也限制了高密級用戶向非敏感客體寫數(shù)據(jù)的合理要求，降低了系統(tǒng)的可用性。當?shù)图墑e進程向高級別進程發(fā)送一段數(shù)據(jù)后，雖然不違背模型的原則，但由于不能“下寫 ”，高級別的進程就無法向低級別的進程發(fā)送諸如回應信息，而對于低級別的進程來說，它永遠無法知道它所發(fā)送的信息是否正確地轉送到了目的地，信息就如同送到了一個“黑洞 ”中。4 基于多級安全性分類級別標記的強制訪問控制4.1 BLP 模型的安全特性BLP 模型從形式化的角度描述了安全系統(tǒng)中所允許的信息流動路徑。1991 年 Jajodia和 Sandhu 提出基于多級安全性分類級別標記的多級安全數(shù)據(jù)庫。把用戶和數(shù)據(jù)分為若干個安全級別， 并禁止信

10、息從高處流向低處。典型的安全性級別分類：絕密 -TS(Top Secret)、機密 -S(Secret) 、可信 -C(confidential)、和無分類 -U(Unclassified)。一個安全數(shù)據(jù)庫系統(tǒng)，包括主體安全集合S ，客體集合O 對 S 中的每個主體s 和 O 中的每個客體o，存在固定的安全類SC(s),SC(o) 。具有一下兩個特性：（ 1）簡單安全特性：當且僅當SC(o) SC(s)時，主體 s 才可以讀客體 o （下讀）（ 2）特性：當且僅當 SC(s) SC(o)時主體 s 才可以寫客體 o（上寫）原因：一個擁有TS(Top Secret)許可證級別的用戶（主體），可能

11、會制作一個擁有TS 安全分類級別的客體拷貝，隨后把它作為一個新的客體以安全性分類級別U(unclassified)寫回，這就使得原來為安全分類級別TS 的這個客體，在整個系統(tǒng)中都變成可見的了。4.2 多級安全數(shù)據(jù)庫行和列作為對象：將關系 R(A1, A2, An) 擴展為 R(A1, C1, A2, C2, An, Cn, TC) 。并且每個每個元組T(Tuple) 的值是 T 中所有分類屬性值中的最高值。視在碼： 是一個屬性的集合。它由常規(guī)關系中的主碼形成。對于擁有不同許可證級別的主體，所包含的數(shù)據(jù)是不一樣。1 Employee 關系： (設 Name 是視在碼 )NameSalaryJob

12、PerformanceTCSmith(U)40000(C)Fair(S)SBrown(C)80000(S)Good(C)S2 具有許可證級別C 的用戶看到的Employee關系： (select * from Employee)NameSalaryJobPerformanceTCSmith(U)40000(C)Null(C)CBrown(C)Null(C)Good(C)C3 具有許可證級別U 的用戶看到的Employee關系： (select * from Employee)NameSalaryJobPerformanceTCSmith(U)Null(U)Null(U)U4 Smith 元組的

13、多重實例：一個帶有許可證級別C 的用戶發(fā)出如下SQL:Update Employee Set JobPerformance =,Excellent? Where Name = ,Smith?NameSalaryJobPerformanceTCSmith(U)40000(C)Fair(S)SSmith(U)40000(C)Excellent(C)CBrown(C)80000(S)Good(C)C如果一個S 級別的用戶要更新Brown 的 JobPerformance怎么辦？通過研究我們發(fā)現(xiàn)，用戶需要的讀寫權限往往不相同，一般要求讀權限要比寫權限大。因此，需要將讀寫權限分開 (相應地讀寫范圍也要分

14、開 )來提高系統(tǒng)的可用性。例如，可以定義一個讀權限為 S，寫權限為 C 的用戶來完成 UPDATE 。4.3 多級安全數(shù)據(jù)庫系統(tǒng)中的多實例問題所謂的多實例(Polyinstantiation),是指在 DBMS 中同時存在多個具有相同主鍵的同層次客體， 它們的安全級別是不同的。在數(shù)據(jù)庫系統(tǒng)中，實體完整性要求主鍵唯一標識關系中的一個元組， 并且不能為空。 但在多級安全語義下，主鍵的唯一性要求成為系統(tǒng)最為明顯的(信號) 隱蔽通道的來源。如低級別主體在插入某元組時獲得主鍵沖突的信息時，他就可以判斷有高級別的同主鍵元組存在。 自然地，避免產生這類隱蔽通道的方法就是對關系的主鍵進行擴展，使之包括元組的安

15、全標記，成為實際主鍵 .將用戶定義的主鍵稱為顯式主鍵，當一個多級關系包含多個具有相同顯式主鍵的元組時，則稱發(fā)生了多實例。因此，在多級關系中，真正的主鍵是顯式主鍵與元組安全標記的復合。 但由于不同的客體標記粒度， 復合主鍵的具體形式還有一些變化。一般認為， 高級別的多實例元組代表的是真實世界的描述。而低級別元組則是該事實的封皮 (Cover Story) 。總體而言， 多實例的目的是為了執(zhí)行多級安全策略，阻止隱蔽通道的發(fā)生。但多實例會在DBMS 中導致嚴重的復雜性和多義性(數(shù)據(jù)語義不確定性)，這一點在多級數(shù)據(jù)模型中表現(xiàn)最為明顯。4.4 多實例的商用系統(tǒng)解決方案三種 DBMS 產品 :Informix, Sybase和 ORACLE ，它們實現(xiàn)的客體標記粒度都為元組級，它們在處理多實例問題的時候各有特點下面簡要分析如下:Informix 的元組主鍵自動包括元組安全標記。因此，多實例情況可能發(fā)生并且不能抑止，對高級別主體和低級別主體導致的多實例沒有進行特殊處理，對多實例沒有提供消除的選項，問題的解決需要應用開發(fā)者根據(jù)應用邏輯的需要進行處理。Sybase 提供元組級標記，處理方式于I