多級安全BLP模型

1、多級安全BLP模型1基本概念主體(Subject):引起信息流動或改變系統(tǒng)狀態(tài)的主動實(shí)體。如用戶，程序,進(jìn)程等。客體(Object):蘊(yùn)含或接收信息的被動實(shí)體，信息的載體。如DB、表、元組、視圖、操作等。安全級(SecurityLevel):主體和客體的訪問特權(quán)，一般主體安全級表示主體對客體敏感信息的操作能力，客體安全級表示客體信息的敏感度。自主型訪問控制(DiscretionaryAccessControl):是基于一種訪問控制規(guī)則實(shí)現(xiàn)主體對客體的訪問。這種控制規(guī)則是自主的，自主是指某一主體能直接或間接的將訪問權(quán)或訪問權(quán)的某些子集授予其他主體。用戶對信息的控制是基于用戶的鑒別和存取訪問規(guī)則的

2、確定。強(qiáng)制型訪問控制(MandatoryAccessControl):通過無法回避的存取限制來防止各種直接的或間接的攻擊。系統(tǒng)給主體分配了不同的安全屬性，并通過主體和客體的安全屬性的匹配比較決定是否允許訪問繼續(xù)進(jìn)行。2自主型訪問控制(DiscretionaryAccessControl)自主型訪問控制基于用戶的身份和訪問控制規(guī)則。自主保護(hù)策略管理用戶的存取，這些信息是以用戶的身份和授權(quán)為基礎(chǔ)的，它們詳細(xì)說明了對于系統(tǒng)中的每一個(gè)用戶(或用戶組)和每一個(gè)客體，允許用戶對客體的存取模式(例如讀，寫或執(zhí)行)。根據(jù)指定的授權(quán)，用戶存取客體的每一個(gè)要求都被檢查。如果存在授權(quán)狀態(tài)，則用戶可以按指定的模式存取

3、客體，存取被同意，否則被拒絕。DAC之所以被稱為自主的，是因?yàn)樗试S用戶將其訪問權(quán)力賦予其它的用戶。而且對于一個(gè)客體的否定授權(quán)高于對同一客體的肯定授權(quán)。自主策略的靈活性使它們適合于多種系統(tǒng)和應(yīng)用。由于這些原因，在多種執(zhí)行中，自主策略被廣泛地應(yīng)用，尤其在商業(yè)的和工業(yè)的環(huán)境中。2.1 自主訪問控制的實(shí)現(xiàn)自主訪問控制的實(shí)現(xiàn)主要有三種方式：1.訪問控制表(ACL);2.訪問能力表(Capability)3.授權(quán)關(guān)系表。綜合以上三種存取控制方法的優(yōu)缺點(diǎn)，訪問控制表的方法以其在權(quán)限的授予和回收的方面的高效率，在商業(yè)軟件中得到了廣泛應(yīng)用。文件存取控制表：ACL的數(shù)據(jù)控制類型：文件存取控制表屬性名稱類型.1描

4、述Int1掘有Select1ntInsertInt插入DelInt刪鼠1UpdateInt修改1EjtecInt執(zhí)行1rGrantInt授權(quán)NLILLInt無授權(quán)ACL的數(shù)據(jù)控制類型3強(qiáng)制型訪問控制3.1 BLP模型Padula于1973年模擬軍事安全策略創(chuàng)建的計(jì)算機(jī)系統(tǒng)安全模型,74年改進(jìn),76年用于Multics操作系統(tǒng)。1.nBell-LaPadula模型是存取控制模型中典型的一種，它用多級安全的概念對主體和客體的安全進(jìn)行分級和標(biāo)記，并同時(shí)采用了自主存取控制和強(qiáng)制存取控制的策略。強(qiáng)制策略以系統(tǒng)中主體和客體的等級為基礎(chǔ)控制數(shù)據(jù)的存取。與客體關(guān)聯(lián)的安全級別反映了包含在客體內(nèi)的信息的敏感性。與

5、用戶關(guān)聯(lián)的安全級別，也稱為許可權(quán)反映了用戶的可信賴性。不同安全級的主體對客體的存取有一系列性質(zhì)約束。其中最著名的是簡單安全性（禁止向上讀）和*一性質(zhì)（禁止向下寫）。BLP模型的基本思想是：確保信息不向下流動，從而保證系統(tǒng)內(nèi)的信息是安全的。BLP模型的信息不向下流動是通過下面兩個(gè)規(guī)則來保證的：(1)簡單安全特性：當(dāng)一個(gè)主體的安全級支配另一個(gè)客體的安全級時(shí)，主體才具有對客體進(jìn)行讀”操作的權(quán)限：(2) *一特性：當(dāng)客體的安全級支配主體的安全級時(shí)，主體才具有對客體進(jìn)行寫”操作的權(quán)限。BLP模型圖：H林敏熟作BLP模型滿足了上述兩個(gè)規(guī)則即控制了系統(tǒng)中信息的流動，保證所有安全級別上的主體只能訪問其具有訪問

6、權(quán)限的客體，從而保證信息不會向下流動。此外，系統(tǒng)還有一個(gè)自主安全規(guī)則(3) ds規(guī)則:每個(gè)存取必須出現(xiàn)在存取矩陣中，即一個(gè)主體只能在獲得了所需的授權(quán)后才能執(zhí)行相應(yīng)的存取。mnimnnmiminMAC部分由簡單安全特性和*-特性組成，通過安全級來強(qiáng)制性約束主體對客體的訪問。DAC通過訪問控制矩陣按用戶的意愿限制主體對客體的訪問。3.2 BLP模型實(shí)現(xiàn)當(dāng)客戶與服務(wù)器相連后，客戶每發(fā)送一個(gè)SQL語句給服務(wù)器，服務(wù)器首先分析、解釋該語句，然后經(jīng)分布式事務(wù)處理分解成其他站點(diǎn)上的消息發(fā)送給站點(diǎn)。當(dāng)在某個(gè)站點(diǎn)上的用戶要訪問某個(gè)數(shù)據(jù)庫對象時(shí)，首先經(jīng)過強(qiáng)制訪問控制安全檢查，同時(shí)記錄審計(jì)信息：再經(jīng)過自主訪問控制檢

7、查，確認(rèn)是否有訪問權(quán)限，同時(shí)也記錄審計(jì)信息；然后經(jīng)資源分配，進(jìn)入訪問具體的元組對象時(shí)，再做向下讀"、同級寫”強(qiáng)制訪問控制檢查，通過后面作具體的數(shù)據(jù)操作，并記錄審計(jì)信息?，F(xiàn)有的DBMS產(chǎn)品實(shí)現(xiàn)的客體標(biāo)記粒度基本都為元組級。3.3 BLP模型局限性BLP模型產(chǎn)生于七十年代。直覺上，該模式是為了適應(yīng)于軍方信息系統(tǒng)中依據(jù)軍銜、職務(wù)以及軍隊(duì)內(nèi)部的組織層次。其缺點(diǎn)主要是它太嚴(yán)格，以至于在某些環(huán)境下不能應(yīng)用。例如，在一個(gè)商用系統(tǒng)中，并不是總能為用戶分配一個(gè)允許密級，或?yàn)閿?shù)據(jù)分配一個(gè)敏感級別。因此當(dāng)前的一種趨勢是將強(qiáng)制存取控制策略和自主存取策略結(jié)合起來建立安全模型。機(jī)密性、完整性和可用性是多級安全數(shù)

8、據(jù)庫必須具備的三要素，然而BLP模型在機(jī)密性、數(shù)據(jù)完整性和可用性方面都存在缺陷?？偨Y(jié)對該模型的理論研究的不同的觀點(diǎn)，一般認(rèn)為，模型的局限性有如下幾個(gè)方面：首先，BLP模型機(jī)密性不高。根據(jù)BLP模型的向下讀，向上寫”原則，低安全級主體不能讀取高密級數(shù)據(jù)卻可以修改高密級數(shù)據(jù)，這樣敏感信息的機(jī)密性得不到保證。其次，高密級數(shù)據(jù)的數(shù)據(jù)完整性得不到保證。低安全級用戶能夠竄改高密級數(shù)據(jù)，因此高密級的數(shù)據(jù)有可能變成垃圾”數(shù)據(jù)，所以高密級數(shù)據(jù)的數(shù)據(jù)完整性難以保證。再次，BLP模型可用性差。向下讀，向上寫”的策略能夠有效地防止低密級用戶獲取敏感信息，同時(shí)也限制了高密級用戶向非敏感客體寫數(shù)據(jù)的合理要求，降低了系統(tǒng)的

9、可用性。當(dāng)?shù)图墑e進(jìn)程向高級別進(jìn)程發(fā)送一段數(shù)據(jù)后，雖然不違背模型的原則，但由于不能下寫”，高級別的進(jìn)程就無法向低級別的進(jìn)程發(fā)送諸如回應(yīng)信息，而對于低級別的進(jìn)程來說，它永遠(yuǎn)無法知道它所發(fā)送的信息是否正確地轉(zhuǎn)送到了目的地，信息就如同送到了一個(gè)黑洞”中。4基于多級安全性分類級別標(biāo)記的強(qiáng)制訪問控制4.1 BLP模型的安全特性BLP模型從形式化的角度描述了安全系統(tǒng)中所允許的信息流動路徑。1991年Jajodia和Sandhu提出基于多級安全性分類級別標(biāo)記的多級安全數(shù)據(jù)庫。把用戶和數(shù)據(jù)分為若干個(gè)安全級別，并禁止信息從高處流向低處。典型的安全性級別分類：絕密-TS(TopSecret)、機(jī)密-S(Secret

10、)、可信-C(confidential)、和無分類-U(Unclassfied)。一個(gè)安全數(shù)據(jù)庫系統(tǒng)，包括主體安全集合S,客體集合O對S中的每個(gè)主體s和。中的每個(gè)客體o,存在固定的安全類SC(s),SC(o)。具有一下兩個(gè)特性：(1)簡單安全特性：當(dāng)且僅當(dāng)SC(。尸SC(s)時(shí)，主體s才可以讀客體o(下讀)(2) *特性：當(dāng)且僅當(dāng)SC(s)wSC(o時(shí)主體s才可以寫客體o(上寫)原因：一個(gè)擁有TS(TopSecret)許可證級別的用戶(主體)，可能會制作一個(gè)擁有TS安全分類級別的客體拷貝，隨后把它作為一個(gè)新的客體以安全性分類級別U(unclassified)寫回，這就使得原來為安全分類級別TS

11、的這個(gè)客體，在整個(gè)系統(tǒng)中都變成可見的了。4.2 多級安全數(shù)據(jù)庫行和列作為對象：將關(guān)系R(A1,A2,，An)擴(kuò)展為R(A1,C1,A2,C2,，An,Cn,TC)。并且每個(gè)每個(gè)元組T(Tuple)的值是T中所有分類屬性值中的最高值。視在碼：是一個(gè)屬性的集合。它由常規(guī)關(guān)系中的主碼形成。對于擁有不同許可證級別的主體，所包含的數(shù)據(jù)是不一樣。1Employee關(guān)系：(設(shè)Name是視在碼)NameSalaryJobPerformanceTCSmith(U)40000(C)Fair(S)SBrown(C)80000(S)Good(C)S2具有許可證級別C的用戶看到的Employee關(guān)系：(select*f

12、romEmployee)NameSalaryJobPerformanceTCSmith(U)40000(C)Null(C)CBrown(C)Null(C)Good(C)C3具有許可證級別U的用戶看到的Employee關(guān)系：(select*fromEmployee)NameSalaryJobPerformanceTCSmith(U)Null(U)Null(U)U4Smith元組的多重實(shí)例：一個(gè)帶有許可證級別C的用戶發(fā)出如下SQL:UpdateEmployeeSetJobPerformance='ExcellentWhereName='Smith'NameSalaryJob

13、PerformanceTCSmith(U)40000(C)Fair(S)SSmith(U)40000(C)Excellent(C)CBrown(C)80000(S)Good(C)C如果一個(gè)S級別的用戶要更新Brown的JobPerformance怎么辦？通過研究我們發(fā)現(xiàn)，用戶需要的讀寫權(quán)限往往不相同，一般要求讀權(quán)限要比寫權(quán)限大。因此，需要將讀寫權(quán)限分開（相應(yīng)地讀寫范圍也要分開）來提高系統(tǒng)的可用性。例如，可以定義一個(gè)讀權(quán)限為S,寫權(quán)限為C的用戶來完成UPDATE。4.3 多級安全數(shù)據(jù)庫系統(tǒng)中的多實(shí)例問題所謂的多實(shí)例（Polyinstantiation）,是指在DBMS中同時(shí)存在多個(gè)具有相同主鍵的

14、同層次客體，它們的安全級別是不同的。在數(shù)據(jù)庫系統(tǒng)中，實(shí)體完整性要求主鍵唯一標(biāo)識關(guān)系中的一個(gè)元組，并且不能為空。但在多級安全語義下，主鍵的唯一性要求成為系統(tǒng)最為明顯的（信號）隱蔽通道的來源。如低級別主體在插入某元組時(shí)獲得主鍵沖突的信息時(shí)，他就可以判斷有高級別的同主鍵元組存在。自然地，避免產(chǎn)生這類隱蔽通道的方法就是對關(guān)系的主鍵進(jìn)行擴(kuò)展，使之包括元組的安全標(biāo)記，成為實(shí)際主鍵.將用戶定義的主鍵稱為顯式主鍵，當(dāng)一個(gè)多級關(guān)系包含多個(gè)具有相同顯式主鍵的元組時(shí)，則稱發(fā)生了多實(shí)例。因此，在多級關(guān)系中，真正的主鍵是顯式主鍵與元組安全標(biāo)記的復(fù)合。但由于不同的客體標(biāo)記粒度，復(fù)合主鍵的具體形式還有一些變化。一般認(rèn)為，高

15、級別的多實(shí)例元組代表的是真實(shí)世界的描述。而低級別元組則是該事實(shí)的封皮（CoverStory）?？傮w而言，多實(shí)例的目的是為了執(zhí)行多級安全策略，阻止隱蔽通道的發(fā)生。但多實(shí)例會在DBMS中導(dǎo)致嚴(yán)重的復(fù)雜性和多義性（數(shù)據(jù)語義不確定性），這一點(diǎn)在多級數(shù)據(jù)模型中表現(xiàn)最為明顯。4.4 多實(shí)例的商用系統(tǒng)解決方案三種DBMS產(chǎn)品Informix,Sybase和ORACLE，它們實(shí)現(xiàn)的客體標(biāo)記粒度都為元組級，它們在處理多實(shí)例問題的時(shí)候各有特點(diǎn)下面簡要分析如下：Informix的元組主鍵自動包括元組安全標(biāo)記。因此，多實(shí)例情況可能發(fā)生并且不能抑止，對高級別主體和低級別主體導(dǎo)致的多實(shí)例沒有進(jìn)行特殊處理，對多實(shí)例沒有提供消除的選項(xiàng)，問題的解決需要應(yīng)用開發(fā)者根據(jù)應(yīng)用邏輯的需要進(jìn)行處理。Sybase提供元組級標(biāo)記，處理方式于Infor