第三講 安全策略與安全模型課件

4-3安全策略與安全模型1第三講安全策略與安全模型

一數(shù)學(xué)基礎(chǔ)

1.集合元素子集

a∈AHS2.集合的冪集

2A=P(A)={HA}3.笛卡爾積

A×B={(a,b)|a∈A,b∈B}

4.集合A上的關(guān)系的性質(zhì)

設(shè)

是A上的關(guān)系,a∈A

均aa--------自反

設(shè)

是A上的關(guān)系,a,b∈A若a

b,則ab與ba不能同時(shí)出現(xiàn)

--------反對(duì)稱

設(shè)

是A上的關(guān)系,a,b,c∈A若ab,bc則一定有ac---------可傳遞的4-3安全策略與安全模型2偏序關(guān)系：集合A

上的關(guān)系ρ

，如果它是自反、反對(duì)稱且可傳遞的，則稱ρ為A

上的一個(gè)偏序關(guān)系。

“偏序關(guān)系”也叫做“偏序”，用“≤”符號(hào)表示?？杀龋涸O(shè)≤是集合A

上的偏序，對(duì)于a、b∈A，若有a≤b

或b≤a，則稱a和b是可比的，否則稱a和b是不可比的5.集合上的偏序關(guān)系4-3安全策略與安全模型3全序：一個(gè)集合A

上的任意兩個(gè)元素之間都滿足偏序關(guān)系，則稱該偏序?yàn)锳

上的一個(gè)全序

良序：一個(gè)集合A

上的偏序，若對(duì)于A

的每一個(gè)非空子集S

A，在S

中存在一個(gè)元素as（稱為S

的最小元素），使得對(duì)于所有的s∈

S，有as≤s，則稱它為A上的一個(gè)良序5.集合上的偏序關(guān)系4-3安全策略與安全模型47.一個(gè)有用的結(jié)論

命題:若<A;≤1>和<B;≤2>是兩個(gè)偏序集,在笛卡爾積A×B上定義關(guān)系≤,對(duì)任意(a1,b1),(a2,b2)∈A×B當(dāng)且僅當(dāng)

a1≤1a2,b1≤2b2時(shí),有(a1,b1)≤(a2,b2)

可以證明:<A×B;≤>也是一個(gè)偏序集4-3安全策略與安全模型5因?yàn)?lt;A;≤1>、<B;≤2>為偏序關(guān)系，所以

a1

∈A

有a1≤1

a1，b1

∈B

有b1≤1

b1所以（a1,b1)≤(a1,b1)自反由（a1,b1)≤(a2,b2)（a2,b2)≤(a1,b1)，可得a1≤1a2,a2≤1a1

可得a1＝a2；同理有b1＝b2，此即（a2,b2)=(a1,b1)

反對(duì)稱又由（a1,b1)≤(a2,b2)（a2,b2)≤(a3,b3)，此即a1≤1a2,a2≤1a3

可得a1≤1a3同理：b1≤2b2,b2≤2b3可得b1≤2b3

最后有（a1,b1)≤(a3,b3)傳遞性4-3安全策略與安全模型6亦即(i)(a,b)∈A×B,均有(a,b)≤(a,b)(ii)(a1,b1),(a2,b2),∈A×B,若(a1,b1)

(a2,b2),

則(a1,b1)≤(a2,b2)

與(a2,b2)≤(a1,b1)

不能同時(shí)出現(xiàn)

(iii)(a1,b1),(a2,b2),(a3,b3)∈A×B,若(a1,b1)≤(a2,b2),(a2,b2)≤(a3,b3)

則一定有(a1,b1)≤(a3,b3)設(shè)是A上的關(guān)系,a∈A均aa--------自反設(shè)是A上的關(guān)系,a,b∈A若a

b,則ab與ba不能同時(shí)出現(xiàn)

--------反對(duì)稱設(shè)是A上的關(guān)系,a,b,c∈A若ab,bc則一定有ac---------可傳遞的4-3安全策略與安全模型7二安全策略1.安全策略的概念計(jì)算機(jī)系統(tǒng)的安全策略是為了描述系統(tǒng)的安全需求而制定的對(duì)用戶行為進(jìn)行約束的一整套嚴(yán)謹(jǐn)?shù)囊?guī)則。這些規(guī)則規(guī)定系統(tǒng)中所有授權(quán)的訪問,是實(shí)施訪問控制的依據(jù)。4-3安全策略與安全模型82.安全策略舉例

①軍事安全策略中的強(qiáng)制訪問控制策略:

系統(tǒng)中每個(gè)主體和客體都分配一個(gè)安全標(biāo)準(zhǔn)

(安全級(jí))

客體的安全級(jí)表示客體所包含的信息的敏感程度主體的安全級(jí)表示主體在系統(tǒng)中受信任的程度

4-3安全策略與安全模型9②安全標(biāo)準(zhǔn)由兩部分組成

(密級(jí),部門(或類別)集)eg:密級(jí)分為4個(gè)級(jí)別:一般秘密機(jī)密絕密

(UCSTS)令A(yù)={U,C,S,TS},則<A;≤>是A上的全序,構(gòu)成偏序集<A;≤>例:令B={科技處,干部處,生產(chǎn)處,情報(bào)處},PB=2B={H|HB},顯然<PB;>構(gòu)成一個(gè)偏序集

class(O1)=(C,{科技處})class(u)=(S,{科技處,干部處})

class(O2)

=(TS,{科技處,情報(bào)處,干部處})class(O3)=(C,{情報(bào)處})4-3安全策略與安全模型10在實(shí)施多級(jí)安全策略的系統(tǒng)中,系統(tǒng)為每一個(gè)主體和每一個(gè)客體分配一個(gè)安全級(jí)。(密級(jí),部門(或類別)集)或(密級(jí),{部門或類別})

若某主體具有訪問密級(jí)a的能力,則對(duì)任意b≤a,該主體也具有訪問b的能力若某主體具有訪問密級(jí)a的能力,則對(duì)任意b≥a,該主體不具有訪問b的能力4-3安全策略與安全模型11(密級(jí),{部門或類別或范疇})理解：對(duì)于客體來說，{部門或類別或范疇}可定義為該客體所包含的信息所涉及的范圍部門或所具有的類別屬性對(duì)于主體來說，{部門或類別或范疇}可定義為該主體能訪問的信息所涉及的范圍或部門例：2011年財(cái)務(wù)報(bào)表（S，{財(cái)務(wù)處，總裁辦公室，黨辦，財(cái)經(jīng)小組})4-3安全策略與安全模型12例：2011年財(cái)務(wù)報(bào)表（S，{財(cái)務(wù)處，總裁辦公室，黨辦，財(cái)經(jīng)小組})肯定不會(huì)寫成：（S，{財(cái)務(wù)處，三車間，大門})例：車間主任（C，{三車間，倉庫})肯定不會(huì)寫成：（S，{財(cái)務(wù)處，黨辦，財(cái)經(jīng)小組})4-3安全策略與安全模型13主體、客體安全級(jí)定義以后，就可以通過比較主客體安全級(jí)，來決定主體對(duì)客體的訪問以及什么樣的訪問。前面講過，在實(shí)施多級(jí)安全策略的系統(tǒng)中,系統(tǒng)為每一個(gè)主體和每一個(gè)客體分配一個(gè)安全級(jí)。若某主體具有訪問密級(jí)a的能力,則對(duì)任意b≤a,該主體也具有訪問b的能力。若某主體具有訪問密級(jí)a的能力,則對(duì)任意b≥a,該主體不具有訪問b的能力。那么，b≤a或b≥a如何進(jìn)行比較呢？4-3安全策略與安全模型14定義A={U,C,S,TS}

B={部門或類別或范疇}例：B=

{科技處,干部處,生產(chǎn)處,情報(bào)處}

PB=2B={H|H

B}在A×PB上定義一個(gè)二元關(guān)系“≤”：

A×PB={(a,H)|a∈A且H

PB}(a1,H1),(a2,H2)∈A×PB,當(dāng)且僅當(dāng)

a1≤a2,H1

H2時(shí),有

(a1,H1)≤(a2,H2)可以證明:≤是A×PB上的一個(gè)偏序關(guān)系即<A×PB;≤>構(gòu)成一個(gè)偏序集。4-3安全策略與安全模型15可利用命題:若<A;≤1>和<B;≤2>是兩個(gè)偏序集,在笛卡爾積A×B上定義關(guān)系≤,對(duì)任意(a1,b1),(a2,b2)∈A×B當(dāng)且僅當(dāng)

a1≤1a2,b1≤2b2時(shí),有(a1,b1)≤(a2,b2)

可以證明:<A×B;≤>也是一個(gè)偏序集。證明:≤是A×PB上的一個(gè)偏序關(guān)系即<A×PB;≤>構(gòu)成一個(gè)偏序集。4-3安全策略與安全模型16在A={U,C,S,TS}上定義<A;≤>,由于

UCSTS,所以≤是一個(gè)全序,顯然構(gòu)成一個(gè)偏序集在PB上定義<PB;>,容易看出,它也是一個(gè)偏序

B={科技處,干部處,生產(chǎn)處,情報(bào)處}再在A×PB上定義一個(gè)二元關(guān)系“≤”：

A×PB={(a,H)|a∈A且H

PB}(a1,H1),(a2,H2)∈A×PB,當(dāng)且僅當(dāng)

a1≤a2,H1

H2時(shí),有

(a1,H1)≤(a2,H2)根據(jù)上述命題,<A×PB;≤>構(gòu)成一個(gè)偏序集。4-3安全策略與安全模型17例:class(O1)=(C,{科技處})class(u)=(S,{科技處,干部處})class(O2)=(TS,{科技處,情報(bào)處,干部處})class(O3)=(C,{情報(bào)處})

O1uO2O3其安全級(jí)如何?可以看出:class(O1)=(C,{科技處})≤(S,{科技處,干部處})=class(u)class(u)=(S,{科技處,干部處})≤class(O2)=(TS,{科技處,情報(bào)處,干部處})class(u)與class(O3)不可比4-3安全策略與安全模型18在一偏序集<L;≤>中,

l1,12∈L,若l1≤12,則稱12支配l1。class(O1)≤class(u)

：主體u的安全級(jí)支配客體O1的安全級(jí)class(u)≤class(O2）：客體O2的安全級(jí)支配主體u的安全級(jí)class(u)與class(O3)不可比：主體u與客體O3的安全級(jí)相互不可支配。

4-3安全策略與安全模型19③訪問控制策略

一個(gè)主體僅能讀安全級(jí)比自已安全級(jí)低或相等的客體一個(gè)主體僅能寫安全級(jí)比自己高或相等的客體即“向下讀向上寫”④安全級(jí)如何比較高低

(a1,H1)(a2,H2)當(dāng)且僅當(dāng)a1

a2,H1

H2

所以u(píng)對(duì)O1可讀,對(duì)O2可寫,對(duì)O3既不可讀也不可寫4-3安全策略與安全模型20“向下讀向上寫”安全策略執(zhí)行的結(jié)果是信息只能由低安全級(jí)的客體流向高安全級(jí)的客體，高安全級(jí)的客體的信息不允許流向低安全級(jí)的客體。若要使一個(gè)主體既能讀訪問客體，又能寫訪問這個(gè)客體，兩者的安全級(jí)必須相同。4-3安全策略與安全模型21多級(jí)安全策略適合（保護(hù)信息的機(jī)密性）：軍事系統(tǒng)政府及企業(yè)的辦公自動(dòng)化系統(tǒng)具有層次結(jié)構(gòu)的組織機(jī)構(gòu)4-3安全策略與安全模型222商業(yè)安全策略

①良性事務(wù)

用戶對(duì)數(shù)據(jù)的操縱不能任意進(jìn)行,而應(yīng)該按照可保證數(shù)據(jù)完整性的受控方式進(jìn)行,即數(shù)據(jù)應(yīng)該用規(guī)定的程序,按照定義好的約束進(jìn)行處理。例:保存記錄(包括修改數(shù)據(jù)之前修改數(shù)據(jù)之后的記錄)，事后被審計(jì)雙入口規(guī)則：數(shù)據(jù)修改部分之間保持平衡內(nèi)部數(shù)據(jù)的一致性特別地，簽發(fā)一張支票與銀行帳號(hào)戶頭上的金額變動(dòng)必須平衡

——可由一個(gè)獨(dú)立測(cè)試帳簿是否平衡的程序來檢查4-3安全策略與安全模型23②職責(zé)分散

把一個(gè)操作分成幾個(gè)子操作,不同的子操作由不同的用戶執(zhí)行,使得任何一個(gè)職員都不具有完成該任務(wù)的所有權(quán)限,盡量減少出現(xiàn)欺詐和錯(cuò)誤的機(jī)會(huì)。eg:購買訂單——記錄到貨——記錄貨發(fā)票——付款美入境簽證4-3安全策略與安全模型24職責(zé)分散的最基本規(guī)則是，被允許創(chuàng)建或驗(yàn)證良性事務(wù)的人，不能允許他去執(zhí)行該良性事務(wù)?！局辽傩枰獌蓚€(gè)人的參與才能進(jìn)行】【職員不暗中勾結(jié)，職責(zé)分散有效】【隨機(jī)選取一組職員來執(zhí)行一組操作，減少合謀機(jī)會(huì)】4-3安全策略與安全模型25良性事務(wù)與職責(zé)分散是商業(yè)數(shù)據(jù)完整性保護(hù)的基本原則專門機(jī)制被商業(yè)數(shù)據(jù)處理計(jì)算機(jī)系統(tǒng)用來實(shí)施良性事務(wù)與職責(zé)分散規(guī)則。（a）保證數(shù)據(jù)被良性事務(wù)處理數(shù)據(jù)只能由一組指定的程序來操縱程序被證明構(gòu)造正確、能對(duì)這些程序的安裝能力、修改能力進(jìn)行控制、保證其合法性（b）保證職責(zé)分散每一個(gè)用戶必須僅被允許使用指定的程序組、用戶執(zhí)行程序的權(quán)限受控4-3安全策略與安全模型26商業(yè)數(shù)據(jù)完整性控制與軍事中的數(shù)據(jù)機(jī)密性差別：（a）數(shù)據(jù)客體不與特定的安全級(jí)別相關(guān)只與一組允許操縱它的程序相聯(lián)系（b）用戶直接讀寫數(shù)據(jù)被禁止被授權(quán)去執(zhí)行與某一數(shù)據(jù)相關(guān)的程序【一個(gè)用戶即便被授權(quán)去寫一個(gè)數(shù)據(jù)客體，他也只能通過針對(duì)那個(gè)數(shù)據(jù)客體定義的一些事務(wù)去做?！?-3安全策略與安全模型27商業(yè)安全策略也是一種強(qiáng)制訪問控制但它與軍事安全策略的安全目標(biāo)、控制機(jī)制不相同商業(yè)安全策略強(qiáng)制性體現(xiàn)在：（a）用戶必須通過指定的程序來訪問數(shù)據(jù)（b）允許操縱某一數(shù)據(jù)客體的程序列表和允許執(zhí)行某一程序的用戶列表不能被系統(tǒng)的一般用戶所更改軍事與商業(yè)安全相同點(diǎn)：（1）一種機(jī)制被計(jì)算機(jī)系統(tǒng)用來保證系統(tǒng)實(shí)施了安全策略中的安全需求（2）系統(tǒng)中的這種機(jī)制必須防止竄改和非授權(quán)的修改4-3安全策略與安全模型28(3)軍事安全策略與商業(yè)安全策略的比較①軍事安全策略——數(shù)據(jù)的機(jī)密性

商業(yè)安全策略——數(shù)據(jù)的完整性

②軍事安全策略——將數(shù)據(jù)與一個(gè)安全級(jí)相聯(lián)系,通過數(shù)據(jù)的安全級(jí)來控制用戶對(duì)數(shù)據(jù)的訪問

商業(yè)安全策略——將數(shù)據(jù)與一組允許對(duì)其進(jìn)行操作的程序相聯(lián)系,通過這組程序來控制用戶對(duì)數(shù)據(jù)的訪問③軍事安全策略——用戶對(duì)數(shù)據(jù)的操縱是任意的

商業(yè)安全策略——用戶對(duì)數(shù)據(jù)的操縱是受限的

4-3安全策略與安全模型29三安全模型安全模型是對(duì)安全策略所表達(dá)的安全需求簡單、抽象和無歧義的描述分為：1.非形式化的安全模型

2.形式化的安全模型

4-3安全策略與安全模型302.形式化的安全模型安全系統(tǒng)的開發(fā)過程安全需求分析制定安全策略建立形式化的安全模型安全性證明安全功能4-3安全策略與安全模型31四

Bell-LaPadula模型

簡稱BLP模型應(yīng)用最早也最廣泛的一個(gè)安全模型DavidBell和LeonardLaPadula模型目標(biāo)：計(jì)算機(jī)多級(jí)操作規(guī)則安全策略：多級(jí)安全策略常把多級(jí)安全的概念與BLP相聯(lián)系其它模型都嘗試用不同的方法來表達(dá)多級(jí)安全策略4-3安全策略與安全模型32四

Bell-LaPadula模型

BLP模型是一個(gè)形式化模型使用數(shù)學(xué)語言對(duì)系統(tǒng)的安全性質(zhì)進(jìn)行描述BLP模型也是一個(gè)狀態(tài)機(jī)模型它反映了多級(jí)安全策略的安全特性和狀態(tài)轉(zhuǎn)換規(guī)則BLP模型定義了系統(tǒng)、系統(tǒng)狀態(tài)、狀態(tài)間的轉(zhuǎn)換規(guī)則安全概念、制定了一組安全特性對(duì)系統(tǒng)狀態(tài)、狀態(tài)轉(zhuǎn)換規(guī)則進(jìn)行約束如果它的初始狀態(tài)是安全的，經(jīng)過一系列規(guī)則都是保持安全的，那么可以證明該系統(tǒng)是安全的4-3安全策略與安全模型33ABCDEaaaaabbbbb狀態(tài)機(jī)模型例4-3安全策略與安全模型34四

Bell-LaPadula模型

(一)模型的基本元素

S={s1,s2,…,sn}主體集O={o1,o2,…,om}客體集C={c1,c2,…,cq}密級(jí)的集合

c1<c2<…<cq

K={k1,k2,…,kr}部門或類別的集合

A={r,w,e,a,c}訪問屬性集

r:只讀;w:讀寫;e:執(zhí)行;a:添加;c:控制RA={g,r,c,d}請(qǐng)求元素集

g:get,give;

r:release,rescind

c:change,create;d:delete

D={yes,no,error,?}yes－請(qǐng)求被執(zhí)行;

no－請(qǐng)求被拒絕

error－系統(tǒng)出錯(cuò);?－請(qǐng)求出錯(cuò)

4-3安全策略與安全模型35μ={M1,M2,…,Mp}

訪問矩陣集BA={f|f:A→B}F=Cs×Co×(Pk)s×(Pk)o

Cs

={f1|f1:S→C}f1給出每個(gè)主體的密級(jí)Co

={f2|f2:O→C}f2給出每個(gè)客體的密級(jí)(Pk)s={f3|f3:S→Pk}f3給出每個(gè)主體的部門集(Pk)o

={f4|f4:O→Pk}f4給出每個(gè)客體的部門集

f∈Ff=(f1,f2,f3,f4)12345679108

f：AB((f1(si),f3(si))主體si的安全級(jí)((f2(oj),f4(oj))客體oj的安全級(jí)4-3安全策略與安全模型36(二)系統(tǒng)狀態(tài)V=P(S×O×A)×μ×F

狀態(tài)集對(duì)v∈Vv=(b,M,f)表示某一狀態(tài)

b

S×O×A

表示在當(dāng)前時(shí)刻,哪些主體獲得了對(duì)哪些客體的權(quán)限b={(s1,o1,r),(s1,o2,w),(s2,o2,a)…….}M－當(dāng)前狀態(tài)訪問控制矩陣

f－當(dāng)前時(shí)刻所有主體和客體的密級(jí)和部門集4-3安全策略與安全模型37系統(tǒng)在任何一個(gè)時(shí)刻都處于某一種狀態(tài)v，即對(duì)任何時(shí)刻t，必有狀態(tài)vt與之對(duì)應(yīng)隨著用戶對(duì)系統(tǒng)的操作，系統(tǒng)的狀態(tài)不斷地發(fā)生變化關(guān)心的問題系統(tǒng)在各個(gè)時(shí)刻的狀態(tài)，與狀態(tài)相對(duì)應(yīng)的訪問集b是否能保證系統(tǒng)的安全性顯然只有每一個(gè)時(shí)刻狀態(tài)是安全的，系統(tǒng)才可能安全。BLP模型對(duì)狀態(tài)的安全性進(jìn)行了定義4-3安全策略與安全模型38(三)安全特性BLP模型的安全特性定義了系統(tǒng)狀態(tài)的安全性，體現(xiàn)了BLP模型的安全策略。(1)自主安全性

狀態(tài)v=(b,M,f)滿足自主安全性iff

對(duì)所有的(si,oj,x)∈b,有x∈Mij

此條性質(zhì)是說，若(si,oj,x)∈b，即如果在狀態(tài)v，主體si獲得了對(duì)客體oj的x訪問權(quán)，那么si必定得到了相應(yīng)的自主授權(quán)。4-3安全策略與安全模型39(三)安全特性如果存在(si,oj,x)∈b,但主體si并未獲得對(duì)客體oj的x訪問權(quán)的授權(quán)，則v被認(rèn)為不符合自主安全性。

(2)簡單安全性

狀態(tài)v=(b,M,f)滿足簡單安全性iff對(duì)所有的(s,o,x)∈b,有（i）x=e或x=a或x=c

或(ii)(x=r或x=w)且(f1(s)≥f2(o),f3(s)

f4(o))SOe,c,aS(高)O(低)r

w在BLP模型中,w權(quán)表示可讀、可寫，即主體對(duì)客體的修改權(quán)4-3安全策略與安全模型40(3)*—性質(zhì)

狀態(tài)v=(b,M,f)滿足*—性質(zhì),當(dāng)且僅當(dāng)對(duì)所有的s∈S,若o1∈b(s:w,a),o2∈b(s:r,w),則f2(o1)≥f2(o2),f4(o1)

f4(o2),其中符號(hào)b(s:x1,x2)表示b中主體s對(duì)其具有訪問特權(quán)x1或x2的所有客體的集合。理解如下4個(gè)圖所示:4-3安全策略與安全模型41

S

o1(高)

O2(低)a

rSO1(高)O2(低)awSO1(高)O2(低)wrSO1O2ww

(級(jí)別)(級(jí)別)相等流向4-3安全策略與安全模型42例：b＝{(s1,o1,r),(s2,o2,a),(s1,o2,w),(s2,o2,r),(s1,o3,a)}考慮b(s:x1,x2):b(s1:r,w)b(s1:w,a)b(s3:r,w)b(s1:r,w)={o1,o2}b(s1:w,a)={o2,o3}b(s3:r,w)={}=Φ4-3安全策略與安全模型43*—性質(zhì)重要安全特性o1∈b(s:w,a),意味著s對(duì)o1有w權(quán)或a權(quán),此時(shí)信息經(jīng)由s流向o1o2∈b(s:r,w),意味著s對(duì)o1有r權(quán)或w權(quán),此時(shí)信息可由o2流向s因此,在訪問集b中以s為媒介,信息就有可能由o2流向o1。所以要求o1的安全級(jí)必須支配o2安全級(jí)當(dāng)s對(duì)o1，o2均具有w權(quán)時(shí)，兩次運(yùn)用該特性，f2(o1)≥f2(o2),f4(o1)

f4(o2)及,f2(o2)≥f2(o1),f4(o2)

f4(o1)，則要求o1的安全級(jí)必須等于o2安全級(jí)顯然它放反映了BLP模型中信息只能由低安全級(jí)向高安全級(jí)流動(dòng)的安全策略4-3安全策略與安全模型44(四)請(qǐng)求集

R=S+×RA×S+×O×X

請(qǐng)求集,它的元素是一個(gè)完整的請(qǐng)求,不是請(qǐng)求元素集其中S+=S{}X=A{}F

S={s1,s2,…,sn}主體集RA={g,r,c,d}

A={r,w,e,a,c}

F=Cs×Co×(Pk)s×(Pk)o

4-3安全策略與安全模型45R=S+×RA×S+×O×X={

(1,,2,Oj,x)}(1,,2,Oj,x)是一個(gè)五元組,表示

(1,,2,Oj,x)

R=S+×RA×S+×O×X

1,,2

S+分別是主體1,主體2

RA

表示某一請(qǐng)求元素

o

j

O表示某一客體

xX

是訪問權(quán)限or是空or是主客體的安全級(jí)4-3安全策略與安全模型46(五)狀態(tài)轉(zhuǎn)換規(guī)則

P:R×V→D×V

其中

R是請(qǐng)求集(S+×RA×S+×O×X),D是判斷集,V是狀態(tài)集

D={yes,no,error,?}V=P(S×O×A)×μ×F

狀態(tài)集對(duì)v∈Vv=(b,M,f)表示某一狀態(tài)

b

S×O×A

表示在當(dāng)前時(shí)刻,哪些主體獲得了對(duì)哪些客體的權(quán)限b={(s1,o1,r),(s1,o2,w),(s2,o2,a)…….}M－當(dāng)前狀態(tài)訪問控制矩陣

f－當(dāng)前時(shí)刻所有主體和客體的密級(jí)和部門集4-3安全策略與安全模型47

P:R×V→D×V對(duì)請(qǐng)求(Rk,vn)R×V,在函數(shù)的作用下

(Rk,v)=(Dm,v*)系統(tǒng)對(duì)請(qǐng)求Rk的反應(yīng)是Dm,狀態(tài)由v轉(zhuǎn)換成v*4-3安全策略與安全模型48十條規(guī)則:規(guī)則1～規(guī)則4用于主體請(qǐng)求對(duì)某客體的訪問權(quán)形式(φ,g,Si,Oj,r)規(guī)則5

用于主體釋放它對(duì)某客體的訪問權(quán)規(guī)則6-7

分別用于主體授予和撤消另一主體對(duì)客體的訪問權(quán)規(guī)則8

用于改變靜止客體的密級(jí)和部門集規(guī)則9-10

分別用于創(chuàng)建和刪除一個(gè)客體4-3安全策略與安全模型49規(guī)則1：主體si請(qǐng)求得到對(duì)客體oj的r訪問權(quán)get-read：

1(Rk,v)≡

if

σ1

φorγ

gorx

rorσ2=φ

then

1(Rk,v)=(?,v)

if

r

Mijor(f1(si)<f2(oj)orf3(si)

f4(oj))

then

1(Rk,v)=(no,v)

if

U

1={o|o

b(si:w,a)and[f2(oj)>f2(o)orf4(oj)

f4(o)]}=φ

then

1(Rk,v)=(yes,v*=(b

{(si,oj,r)},M,f))

else

1(Rk,v)=(no,v)

end

(φ,g,Si,Oj,r)

(1,,2,Oj,x)4-3安全策略與安全模型50規(guī)則1對(duì)主體si的請(qǐng)求作了如下檢查:(1)主體的請(qǐng)求是否適用于規(guī)則1的請(qǐng)求格式;主體請(qǐng)求對(duì)某客體的訪問權(quán)形式(φ,g,Si,Oj,r)(1,,2,Oj,x)if

σ1

φorγ

gorx

rorσ2=φ

then

1(Rk,v)=(?,v)4-3安全策略與安全模型51(2)oj的擁有者或控制者是否授予了si對(duì)oj的讀訪問權(quán)

r

Mij之檢查(3)si的安全級(jí)是否支配oj的安全級(jí)

f1(si)<f2(oj)orf3(si)

f4(oj)4-3安全策略與安全模型52(4)在訪問集b中,若si對(duì)另一客體o有w/a訪問權(quán),是否一定有o的安全級(jí)支配oj的安全級(jí)

{o|o

b(si:w,a)and[f2(oj)>f2(o)orf4(oj)

f4(o)]}=φNOT[f2(oj)>f2(o)orf4(oj)

f4(o)][f2(oj)<=f2(o)andf4(oj)

f4(o)]4-3安全策略與安全模型53

S

o1(高)

O2(低)a

rSO1(高)O2(低)awSO1(高)O2(低)wrSO1O2ww

(級(jí)別)(級(jí)別)相等流向4-3安全策略與安全模型54若上述4項(xiàng)檢查有一項(xiàng)通不過,則系統(tǒng)拒絕執(zhí)行si的請(qǐng)求,系統(tǒng)狀態(tài)保持不變通過檢查,則請(qǐng)求被執(zhí)行，（si，oj，r）添加到系統(tǒng)的訪問集b中，系統(tǒng)狀態(tài)v轉(zhuǎn)換成v*=(b

{(si,oj,r)},M,f))看得出來，檢查（2）是系統(tǒng)在實(shí)施自主訪問控制，檢查（3）（4）是系統(tǒng)在實(shí)施強(qiáng)制訪問控制只有檢查（2）－（4）通過了，才能保證狀態(tài)轉(zhuǎn)換時(shí)，仍然保持其安全性4-3安全策略與安全模型55規(guī)則2：主體si請(qǐng)求得到對(duì)客體oj的a訪問權(quán)

get-append：

2(Rk,v)≡

ifσ1

φorγ

gorx

aorσ2=φ

then

2(Rk,v)=(?,v) ifa

Mij

then

2(Rk,v)=(no,v) ifU2

={o|o

b(si:r,w)and[f2(oj)<f2(o)orf4(oj)

f4(o)]}=φ then

2(Rk,v)=(yes,(b

{(si,oj,a)},M,f)) else

2(Rk,v)=(no,v)

end4-3安全策略與安全模型56規(guī)則2對(duì)主體si的請(qǐng)求所作的檢查類似規(guī)則1不同的是，當(dāng)si請(qǐng)求以Append方式訪問oj時(shí)，無需做簡單安全性檢查。狀態(tài)v=(b,M,f)滿足簡單安全性iff對(duì)所有的(s,o,x)∈b,有（i）x=e或x=a或x=c或(ii)

(x=r或x=w)且(f1(s)≥f2(o),f3(s)

f4(o))4-3安全策略與安全模型57規(guī)則3：主體si請(qǐng)求得到對(duì)客體oj的e訪問權(quán)get-execute：

3(Rk,v)≡

ifσ1

φorγ

gorx

eorσ2=φ

then

3(Rk,v)=(?,v)if

e

Mij

then

3(Rk,v)=(no,v)

else

3(Rk,v)=(yes,(b

{(si,oj,e)},M,f))end4-3安全策略與安全模型58規(guī)則3對(duì)si的請(qǐng)求只作類似與規(guī)則1中的(1)(2)兩項(xiàng)檢查(1)主體請(qǐng)求對(duì)某客體的訪問權(quán)形式(φ,g,Si,Oj,e)(2)oj的擁有者或控制者是否授予了si對(duì)oj的讀訪問權(quán)

r

Mij之檢查

Si對(duì)請(qǐng)求對(duì)Oj的執(zhí)行權(quán)時(shí)不需作簡單安全性和*—性質(zhì)的安全檢查4-3安全策略與安全模型59規(guī)則4：主體si請(qǐng)求得到對(duì)客體oj的w訪問權(quán)get-write：

4(Rk,v)≡

ifσ1

φorγ

gorx

worσ2=φthen

4(Rk,v)=(?,v)ifw

Mijor[f1(si)<f2(oj)orf3(si)

f4(oj)]then

4(Rk,v)=(no,v)ifU4

={o|o

b(si:r)and[f2(oj)<f2(o)orf4(oj)

f4(o)]} ∪{o|o

b(si:a)and[f2(oj)>f2(o)orf4(oj)

f4(o)]}∪{o|o

b(si:w)and[f2(oj)

f2(o)orf4(oj)

f4(o)]}=φ then

4(Rk,v)=(yes,v*）

=（yes，(b

{(si,oj,w)},M,f)) else

4(Rk,v)=(no,v)end4-3安全策略與安全模型60規(guī)則4的安全性檢查類似于規(guī)則1(1)請(qǐng)求對(duì)某客體的訪問權(quán)形式(φ,g,Si,Oj,w)(2)oj的擁有者或控制者是否授予了si對(duì)oj的讀訪問權(quán)

r

Mij之檢查(3)si的安全級(jí)是否支配oj的安全級(jí)

f1(si)<f2(oj)orf3(si)

f4(oj)(4)在訪問集b中,若si對(duì)另一客體o有w/a訪問權(quán),是否一定有o的安全級(jí)支配oj的安全級(jí)

{o|o

b(si:w,a)and[f2(oj)>f2(o)orf4(oj)

f4(o)]}=φ4-3安全策略與安全模型614-3安全策略與安全模型62規(guī)則4的＊—性質(zhì)檢查較為復(fù)雜：U

4={o|o

b(si:r)and[f2(oj)<f2(o)orf4(oj)

f4(o)]}∪{o|o

b(si:a)and[f2(oj)>f2(o)orf4(oj)

f4(o)]}∪{o|o

b(si:w)and[f2(oj)

f2(o)orf4(oj)

f4(o)]}=φ4-3安全策略與安全模型63規(guī)則5：主體si請(qǐng)求釋放對(duì)客體oj的r或w或e

或a訪問權(quán)release-read/write/append/execute：

5(Rk,v)≡

ifσ1

φorγ

ror(x

r,w,aande)or(σ2=φ) then

5(Rk,v)=(?,v) else

5(Rk,v)=(yes,v*）

=（yes，(b-{(si,oj,x)},M,f))end4-3安全策略與安全模型64規(guī)則5用于主體si請(qǐng)求釋放對(duì)客體oj的訪問權(quán)，包括r、w、e和a等權(quán)因?yàn)樵L問權(quán)的釋放不會(huì)對(duì)系統(tǒng)造成安全威脅，所以不需要作安全性檢查，并可將四種情形Rk=(φ,r,si,oj,r)

或(φ,r,si,oj,w)

或(φ,r,si,oj,a)

或(φ,r,si,oj,e)，用同一條規(guī)則來處理4-3安全策略與安全模型65規(guī)則6：主體sλ請(qǐng)求授予主體si對(duì)客體oj的r或

w或e或a訪問權(quán)請(qǐng)求的五元組Rk=(sλ,g,si,oj,r)或(sλ,g,si,oj,w)或(sλ,g,si,oj,a)或(sλ,g,si,oj,e)，系統(tǒng)的當(dāng)前狀態(tài)v=(b,M,f)

give-read/write/append/execute：

6(Rk,v)≡

if(σ1

sλ

S)or(γ

g)or(x

r,w,aande)or(σ2=φ)

then

6(Rk,v)=(?,v)ifx

Mλjorc

Mλj

Mλj=｛x,c,…｝

then

6(Rk,v)=(no,v)

else

6(Rk,v)=(yes,(b,M

[x]ij,f))end

4-3安全策略與安全模型66規(guī)則6中M

[x]ij表示將x加入到訪問矩陣M的第i行第j列元素Mij中去。即用集合Mij∪

{x}替換M中Mij

由于sλ的請(qǐng)求只涉及自主訪問控制中的授權(quán)，因此規(guī)則6除了作請(qǐng)求是否適用于規(guī)則6的檢查外，僅作自主安全性有關(guān)的檢查。即sλ自身必須同時(shí)具有對(duì)客體oj的x權(quán)和控制c權(quán)，方能對(duì)si進(jìn)行相應(yīng)的授權(quán)

4-3安全策略與安全模型67規(guī)則6授權(quán)成功后，并不意味著si已獲得對(duì)oj的x訪問權(quán)之后si請(qǐng)求對(duì)oj的x訪問時(shí)，系統(tǒng)還要對(duì)其進(jìn)行簡單安全性和*—性質(zhì)的檢查4-3安全策略與安全模型68規(guī)則7：主體sλ請(qǐng)求撤銷主體si對(duì)客體oj的r或

w或e或a訪問權(quán)rescind-read/write/append/execute：

7(Rk,v)≡

if(σ1

sλ

S)or(γ

r)or(x

r,w,aande)or(σ2=φ)

then

7(Rk,v)=(?,v)ifx

Mλjorc

Mλj

then

7(Rk,v)=(no,v)

else

7(Rk,v)=(yes,(b-{(si,oj,x)},M

[x]ij,f))end

4-3安全策略與安全模型69系統(tǒng)執(zhí)行規(guī)則7時(shí)，不僅從訪問矩陣M的i行j列的元素Mij中將x刪除掉，而且訪問集b中也必須刪去三元組(si,oj,x)，這意味著主體si將喪失對(duì)oj的x訪問權(quán)

4-3安全策略與安全模型70規(guī)則8：改變靜止客體的安全級(jí)Rk=（φ,c,φ,oj,f*)change-f：

8(Rk,v)≡

if(σ1

φ)or(γ

c)or(σ2

φ)orx

F

then

8(Rk,v)=(?,v)iff1*

f1orf3*

f3or[f2*(oj)

f2(oj)orf4*(oj)

f4(oj)forsomej

A(m)]

注：A(m)表示活動(dòng)客體的下標(biāo)集A(m)＝{j|1<=j<=m且存在i,使Mij

φ}

then

8(Rk,v)=(no,v)

else

8(Rk,v)=(yes,(b,M,f*))end4-3安全策略與安全模型71iff1*

f1orf3*

f3

or[f2*(oj)

f2(oj)orf4*(oj)

f4(oj)forsomej

A(m)]

A(m)＝{j|1<=j<=m且存在i,使Mij

φ}注意：NOT（f1*

f1orf3*

f3

or[f2*(oj)

f2(oj)orf4*(oj)

f4(oj)

）=

（f1*=f1andf3*=

f3

）AND[f2*(oj)=f2(oj)andf4*(oj)

=f4(oj)

]

4-3安全策略與安全模型72A(m)＝{j|1<=j<=m且存在i,使Mij

φ}

M32={r,w,a}m1m2f1f2s1{r,w}{r}{a,e}s2{r}{r,w,a}s3m1m2f1f2s1{r,w}{r}{a,e}s2{r}{r,w,a}s3{r,w,a}4-3安全策略與安全模型73A(m)＝{j|1<=j<=m且存在i,使Mij

φ}A(4)＝{1，4|存在1、3,使M11

φM34

φ}o1o2o3o4s1{r,w}s2{r}s3{r,w,a}4-3安全策略與安全模型74所謂靜止客體是指被刪除了的客體，該客體名可以被系統(tǒng)中的主體重新使用例如某存儲(chǔ)器段或某個(gè)文件名。當(dāng)該客體被重新使用來存放數(shù)據(jù)時(shí)，客體的安全級(jí)不能被定義為創(chuàng)建這一客體的主體的安全級(jí)。顯然主體可以創(chuàng)建客體，但該客體的安全級(jí)必須由系統(tǒng)來定義，因此規(guī)則8中沒有主體

4-3安全策略與安全模型75A(m)是活動(dòng)客體的下標(biāo)集，即A(m)={j|1≤j≤m且存在i，使Mij非空}

規(guī)則8的安全性要求是，新定義的安全級(jí)f*=(f1*,f2*,f3*,f4*)，不能改變系統(tǒng)中主體的安全級(jí)，也不能改變活動(dòng)客體的安全級(jí)，只能改變靜止客體的安全級(jí)，在這種情形下，新狀態(tài)v*用f*代替原狀態(tài)v中的f4-3安全策略與安全模型76規(guī)則9：主體si請(qǐng)求創(chuàng)建客體ojRk=(,c,si,oj,e)或Rk=(,c,si,oj,φ)

create-object：

9(Rk,v)≡

ifσ1

φorγ

corσ2=φor(x

eandφ)then

9(Rk,v)=(?,v)ifj

A(m)then

9(Rk,v)=(no,v)ifx=φthen

9(Rk,v)=(yes,(b,M

[{r,w,a,c}]ij,f)) else

9(Rk,v)=(yes,(b,M

[{r,w,a,c,e}]ij,f))end4-3安全策略與安全模型77規(guī)則9要求主體si所創(chuàng)建的客體不能是活動(dòng)著的客體 當(dāng)客體創(chuàng)建成功后，系統(tǒng)便將對(duì)oj的所有訪問權(quán)賦予si，需要區(qū)分的是，當(dāng)oj不是可執(zhí)行程序時(shí)，e權(quán)不賦予si4-3安全策略與安全模型78規(guī)則10：主體si請(qǐng)求刪除客體ojRk=(,d,si,oj,φ)delete-object：

10(Rk,v)≡

ifσ1

φorγ

dorσ2=φorx

φthen

10(Rk,v)=(?,v)ifc

Mij

then

10(Rk,v)=(no,v) else

10(Rk,v)=(yes,(b,M

[{r,w,a,c,e}]ij,1≤i≤n,f))end4-3安全策略與安全模型79si必須對(duì)oj具有控制權(quán)才能刪除oj（在這里，擁有權(quán)和控制權(quán)是一致的）oj被刪除后，oj成為靜止客體。此時(shí)，訪問矩陣的第j列，即oj所對(duì)應(yīng)的列中各元素必須全部清空，不包含任何權(quán)限4-3安全策略與安全模型80規(guī)則1：主體si請(qǐng)求得到對(duì)客體oj的r訪問權(quán)規(guī)則2：主體si請(qǐng)求得到對(duì)客體oj的a訪問權(quán)規(guī)則3：主體si請(qǐng)求得到對(duì)客體oj的e訪問權(quán)規(guī)則4：主體si請(qǐng)求得到對(duì)客體oj的w訪問權(quán)規(guī)則5：主體si請(qǐng)求釋放對(duì)客體oj的r或w或e

或a訪問權(quán)4-3安全策略與安全模型81規(guī)則6：主體sλ請(qǐng)求授予主體si對(duì)客體oj的r或

w或e或a訪問權(quán)規(guī)則7：主體sλ請(qǐng)求撤銷主體si對(duì)客體oj的r或

w或e或a訪問權(quán)規(guī)則8：改變靜止客體的安全級(jí)Rk

=（φ,c,φ,oj,f*)

規(guī)則9：主體s請(qǐng)求創(chuàng)建客體oj

Rk=(,c,si,oj,e)或Rk=(,c,si,oj,φ)規(guī)則10：主體s請(qǐng)求刪除客體oj

Rk=(,d,si,oj,φ)4-3安全策略與安全模型82六系統(tǒng)的定義

1.R×D×V×V

={(Rk,Dm,v*,v)|Rk

R,Dm

D,v*,v

V}

R是請(qǐng)求集,D是判定集,V是狀態(tài)集即:任意一個(gè)請(qǐng)求,任意一個(gè)結(jié)果（判斷）和任意兩個(gè)狀態(tài)都可組成一個(gè)上述的有序四元組,這些有序四元組便構(gòu)成集合R×D×V×V

4-3安全策略與安全模型83提示:狀態(tài)轉(zhuǎn)換規(guī)則

:R×V→D×V

其中

R是請(qǐng)求集,D是判斷集,V是狀態(tài)集

對(duì)請(qǐng)求(Rk,vn)R×V,在函數(shù)的作用下

(Rk,v)=(Dm,v*)系統(tǒng)對(duì)請(qǐng)求Rk的反應(yīng)是Dm,狀態(tài)由v轉(zhuǎn)換成v*D={yes,no,error,?}yes－請(qǐng)求被執(zhí)行;no－請(qǐng)求被拒絕

error－系統(tǒng)出錯(cuò);?－請(qǐng)求出錯(cuò)4-3安全策略與安全模型84提示:V=P(S×O×A)×μ×F

狀態(tài)集對(duì)v∈Vv=(b,M,f)表示某一狀態(tài)

b

S×O×A

表示在當(dāng)前時(shí)刻,哪些主體獲得了對(duì)哪些客體的權(quán)限b={(s1,o1,r),(s1,o2,w),(s2,o2,a)…….}M－當(dāng)前狀態(tài)訪問控制矩陣

f－當(dāng)前時(shí)刻所有主體和客體的密級(jí)和部門集4-3安全策略與安全模型852.設(shè)ω={

1,

2,…

s}是一組規(guī)則的集合,定義

關(guān)系(四元組的集合)W(ω)

R×D×V×V⑴(Rk,?,v,v)

W(ω)iff

對(duì)每個(gè)i,1≤i≤s,

i(Rk,v)=(?,v)

⑵(Rk,error,v,v)

W(ω)iff

存在i1,i2,1≤i1<i2≤s,使得對(duì)任意的v*,v**

V有

i1(Rk,v)

(?,v*)且

i2(Rk,v)

(?,v**)

⑶(Rk,Dm,v*,v)

W(ω),Dm

?,Dm

error,iff

存在唯一的i,使得對(duì)某個(gè)v*和任意的v**

V,

i(Rk,v)

(?,v**)

i(Rk,v)=(Dm,v*)

4-3安全策略與安全模型86⑵(Rk,error,v,v)解釋設(shè)ω={

1,

2,…

s}是一組規(guī)則的集合error－系統(tǒng)出錯(cuò),亦即對(duì)請(qǐng)求Rk，存在有多條規(guī)則適合它則可設(shè)存在i1和i2，1<=i1<i2<s，v1*

和v2*，

i1(Rk,v)=(Dm,v1*)

i2(Rk,v)=(Dm,v2*)

上面可寫法：對(duì)任意v*

和v**,

i1(Rk,v)

(?,v*)且

i2(Rk,v)

(?,v**)此即存在i1,i2,1≤i1<i2≤s,使得對(duì)任意的v*,v**

V

i1(Rk,v)

(?,v*)且

i2(Rk,v)

(?,v**)

注：W(ω)=｛(Rk,?,v,v)

，(Rk,error,v,v)，(Rk,Dm,v*,v),k,m非負(fù)自然數(shù)4-3安全策略與安全模型87(1)請(qǐng)求Rk出錯(cuò),沒有一條規(guī)則適合于它(2)系統(tǒng)出錯(cuò),有多條規(guī)則適合于請(qǐng)求Rk(3)存在唯一一條規(guī)則適合于請(qǐng)求Rk任一四元組(Rk,Dm,v*,v)∈W(ω)必須滿足上述定義中某一條在狀態(tài)v下，若發(fā)出某請(qǐng)求Rk，必存在一判定Dm∈{?,error,yes,no},根據(jù)ω中的規(guī)則,將狀態(tài)v轉(zhuǎn)換為狀態(tài)v*,或保持狀態(tài)不變4-3安全策略與安全模型883.T={t1,t2,……..}是離散時(shí)刻集,用作請(qǐng)求序列、結(jié)果序列、狀態(tài)序列的下標(biāo)

X=RT={x|x:T→R},x可表示為x=x1x2…xt…是請(qǐng)求序列

X是請(qǐng)求序列集;時(shí)刻t時(shí)發(fā)出的請(qǐng)求用xt表示

Y=DT={y|y:T→D},y可表示為y=y1y2…yt…是結(jié)果序列

Y是結(jié)果序列集;時(shí)刻t時(shí)作出的判定用yt表示

Z=VT={z|z:T→V},z可表示為z=z1z2…zt…是狀態(tài)序列

Z是狀態(tài)序列集;時(shí)刻t的狀態(tài)用zt表示X×Y×Z={(x,y,z)|x

X,y

Y,z

Z},其中，

x=x1x2…xt… y=y1y2…yt… z=z1z2…zt…4-3安全策略與安全模型894．系統(tǒng)記作∑(R,D,W(ω),z0)，其定義為∑(R,D,W(ω),z0)

X×Y×Z

(x,y,z)

∑(R,D,W(ω),z0)iff對(duì)每一個(gè)tT,(xt,yt,zt,zt-1)

W(ω)。

z0

是系統(tǒng)初始狀態(tài)，記z0=(,M,f)x1x2xty1y2ytz0z1z2zt-1zt此即BLP模型定義的系統(tǒng)4-3安全策略與安全模型90(七）系統(tǒng)安全的定義BLP模型定義了安全狀態(tài)、安全狀態(tài)序列以及系統(tǒng)的安全出現(xiàn)，最后說明了什么樣的系統(tǒng)是安全系統(tǒng)1．安全狀態(tài)

一個(gè)狀態(tài)v=(b,M,f)，若它滿足自主安全性，簡單安全性和*—性質(zhì)，那么這個(gè)狀態(tài)就是安全的。2．安全狀態(tài)序列

設(shè)z=z1z2…zt…是一狀態(tài)序列，若對(duì)于每一個(gè)t

T，zt都是安全狀態(tài)，則z是安全狀態(tài)序列。

4-3安全策略與安全模型913．系統(tǒng)的一次安全出現(xiàn)

(x,y,z)

∑(R,D,W(ω),z0)稱為系統(tǒng)的一次出現(xiàn)。

若(x,y,z)是系統(tǒng)的一次出現(xiàn)，且z是一安全狀態(tài)序列，則稱(x,y,z)是系統(tǒng)∑(R,D,W(ω),z0)的一次安全出現(xiàn)。4．安全系統(tǒng)

若系統(tǒng)∑(R,D,W(ω),z0)的每次出現(xiàn)都是安全的，則稱該系統(tǒng)是一安全系統(tǒng)。

4-3安全策略與安全模型92（八）模型中的有關(guān)安全結(jié)論1．這十條規(guī)則都是安全性保持的即：若v是安全狀態(tài)，則經(jīng)過這十條規(guī)則轉(zhuǎn)換后的狀態(tài)v*也一定是安全狀態(tài)

2．若z0是安全狀態(tài)，ω是一組安全性保持的規(guī)則，則系統(tǒng)∑(R,D,W(ω),z0)是安全的。

4-3安全策略與安全模型93（九）對(duì)BLP安全模型的評(píng)價(jià)1.BLP模型的優(yōu)缺點(diǎn)：優(yōu)點(diǎn)：①是一種嚴(yán)格的形式化描述；②控制信息只能由低向高流動(dòng)，能滿足軍事部門等一類對(duì)數(shù)據(jù)保密性要求特別高的機(jī)構(gòu)的需求缺點(diǎn)：BLP“過于安全”①上級(jí)對(duì)下級(jí)發(fā)文受到限制；②部門之間信息的橫向流動(dòng)被禁止；③缺乏靈活、安全的授權(quán)機(jī)制。4-3安全策略與安全模型942.BLP中不安全的地方：①低安全級(jí)的信息向高安全級(jí)流動(dòng)，可能破壞高安全客體中數(shù)據(jù)完整性，被病毒和黑客利用。②只要信息由低向高流動(dòng)即合法（高讀低），不管工作是否有需求，這不符合最小特權(quán)原則。③高級(jí)別的信息大多是由低級(jí)別的信息通過組裝而成的，要解決推理控制的問題。4-3安全策略與安全模型95例如：設(shè)o1>o2>o3>o4，主體S的安全級(jí)同o1

時(shí)刻t1Sro2高低o3r時(shí)刻t2釋放對(duì)o2的訪問權(quán)Sao3高低o4r時(shí)刻t3S已含有o2和o3的信息此時(shí)S可將o2的信息傳送到o3(無記憶)4-3安全策略與安全模型96（九）對(duì)BLP安全模型的評(píng)價(jià)在BLP模型中，通過比較主體安全級(jí)和客體安全級(jí)來確定主體是否對(duì)客體具有訪問權(quán)限。安全檢查執(zhí)行向上寫向下讀的策略，即主體只能寫安全級(jí)高(包括相等)的數(shù)據(jù)，只能讀安全級(jí)低(包括相等)的數(shù)據(jù)在實(shí)際系統(tǒng)設(shè)計(jì)過程中，發(fā)現(xiàn)傳統(tǒng)的BLP模型過于嚴(yán)格和簡單，不能滿足實(shí)際應(yīng)用的需求，需要進(jìn)行以下改進(jìn)：4-3安全策略與安全模型97（九）對(duì)BLP安全模型的評(píng)價(jià)(1)按照BLP模型“向上寫”的規(guī)則，任何主體都可以寫最高安全級(jí)的數(shù)據(jù)，沒有限制主體的最高寫安全級(jí)，從而降低了高安全級(jí)數(shù)據(jù)的完整性。必須限制低安全級(jí)主體向高安全級(jí)別數(shù)據(jù)寫的能力(2)某些高安全級(jí)別的主體不應(yīng)該總是有能力看到所有低安全級(jí)別的數(shù)據(jù)，必須將主體的讀能力限定在一個(gè)范圍內(nèi)，而不是允許讀所有低安全級(jí)別的客體(3)有些低安全級(jí)別的數(shù)據(jù)允許低安全級(jí)別主體讀，但不意味著允許低級(jí)別的主體改寫，只有規(guī)定的安全級(jí)別范圍內(nèi)的主體才能改寫4-3安全策略與安全模型98（九）對(duì)BLP安全模型的評(píng)價(jià)(4)對(duì)于安全級(jí)高的主體而言，不僅要寫安全級(jí)高的數(shù)據(jù)，也會(huì)有寫安全級(jí)低的數(shù)據(jù)的合理需求。靜態(tài)的主體安全級(jí)別限制了主體的這種合理請(qǐng)求，影響了系統(tǒng)的可用性。必須允許主體可以根據(jù)數(shù)據(jù)的情況，在不違反BLP安全公理的條件下，動(dòng)態(tài)調(diào)節(jié)自己的安全級(jí)(5)按照BLP模型，對(duì)于某一安全范疇之內(nèi)的客體，同一安全范疇之內(nèi)的主體必然至少可以有讀寫權(quán)限中的一種，實(shí)踐中有時(shí)候需要有能力屏蔽主體對(duì)特定敏感區(qū)域內(nèi)數(shù)據(jù)的任何操作4-3安全策略與安全模型99（九）對(duì)BLP安全模型的評(píng)價(jià)可以設(shè)計(jì)一個(gè)增強(qiáng)的多級(jí)安全模型，對(duì)主體的敏感標(biāo)記進(jìn)行擴(kuò)充，將主體讀寫敏感度標(biāo)記分離。讀寫敏感標(biāo)記都是由最低安全級(jí)和最高安全級(jí)組成的區(qū)間組成，從而可將主體的讀寫權(quán)限分別限制在一個(gè)區(qū)間之內(nèi)，即限制主體的最低寫安全級(jí)、最低讀安全級(jí)、最高讀安全級(jí)和最高寫安全級(jí)

采用讀寫分離的區(qū)間權(quán)限，可以提供豐富的安全管理方案，提高數(shù)據(jù)完整性和系統(tǒng)的可用性，使系統(tǒng)的安全控制更加靈活方便。要不破壞安全性質(zhì)，必須將區(qū)間敏感度標(biāo)記與動(dòng)態(tài)調(diào)整策略相結(jié)合，即主體當(dāng)前敏感標(biāo)記必須根據(jù)客體敏感標(biāo)記和主體訪問權(quán)限的歷史過程進(jìn)行動(dòng)態(tài)調(diào)整4-3安全策略與安全模型100（九）對(duì)BLP安全模型的評(píng)價(jià)調(diào)整說明讀了一個(gè)級(jí)別的客體后，調(diào)整環(huán)境限制參數(shù)防止信息泄漏，以后就不能寫比該客體的安全級(jí)別更低級(jí)別的客體寫了一個(gè)級(jí)別的客體后，調(diào)整環(huán)境限制參數(shù)防止信息泄漏，以后就不能讀比該客體的安全級(jí)別更高級(jí)別的客體讀寫了一個(gè)級(jí)別的客體，調(diào)整環(huán)境限制參數(shù)防止信息泄漏，以后就不能讀比這個(gè)客體的安全級(jí)別更高級(jí)別的客體，不能寫比這個(gè)客體的安全級(jí)別更低級(jí)別的客體4-3安全策略與安全模型101（九）對(duì)BLP安全模型的評(píng)價(jià)缺點(diǎn)增加了強(qiáng)制存取控制的復(fù)雜性優(yōu)點(diǎn)增加了應(yīng)用中的靈活性，使得多級(jí)安全策略更具有實(shí)用性4-3安全策略與安全模型102五

其它幾種安全模型

1、安全信息流的格模型1976年D.Deming與BLP模型一致系統(tǒng)中任意操作序列的執(zhí)行所產(chǎn)生的