《計(jì)算機(jī)系統(tǒng)安全》課件第4章

第4章BELL-LAPADULA多級(jí)安全模型4.1軍用安全格模型4.2BLP模型介紹4.3BLP模型元素4.4BLP模型幾個(gè)重要的公理4.5BLP狀態(tài)轉(zhuǎn)換規(guī)則

4.6BLP模型幾個(gè)重要的定理4.7BELL-LAPADULA模型的局限性習(xí)題

4.1軍用安全模型在軍事信息系統(tǒng)中，對(duì)于敏感信息的使用(訪問(wèn))，一般遵照“最小特權(quán)(leastprivilege)”和“知其所需(needtoknow)”這兩個(gè)原則對(duì)用戶(hù)進(jìn)行管理。最小特權(quán)原則是指在確定主體訪問(wèn)目標(biāo)權(quán)限的時(shí)候，僅賦予該主體以最低需要的許可權(quán)限。例如一個(gè)主體只能查閱秘密級(jí)資料，就不能賦予他查閱機(jī)密級(jí)資料的權(quán)限。知其所需原則是指對(duì)主體了解信息范圍的限制，即使允許一個(gè)主體訪問(wèn)機(jī)密級(jí)信息，也并不代表該主體可以訪問(wèn)系統(tǒng)所有的機(jī)密信息，主體只應(yīng)該知道為他工作所需的那些機(jī)密和秘密級(jí)別的信息。該主體所允許知道的信息形成一個(gè)集合，其中可能包括不同等級(jí)的信息。在軍事信息系統(tǒng)中，一方面所有的信息被劃分為無(wú)密、秘密、機(jī)密和絕密四個(gè)互不相交的敏感級(jí)別，另一方面一個(gè)主體(用戶(hù)、進(jìn)程)本身是有權(quán)限的，所需要知道的信息范圍也不同，可能包括不同級(jí)別的部分信息。這主要是軍事信息系統(tǒng)對(duì)信息的控制要求，軍用安全模型應(yīng)該反映這種特點(diǎn)。很顯然，軍事信息系統(tǒng)是一個(gè)多級(jí)安全系統(tǒng)(政府部門(mén)的信息系統(tǒng)也是如此)。

例如，軍隊(duì)系統(tǒng)本身是一個(gè)龐大的信息系統(tǒng)，涉及到的信息種類(lèi)很多，可以劃分為不同的信息主題，如軍隊(duì)的編制情況、作戰(zhàn)計(jì)劃、思想狀況、文藝活動(dòng)、軍民共建、英雄事跡、訓(xùn)練情況、裝備清單、后勤供應(yīng)、住房情況等。這些信息主體或它們的不同組合(稱(chēng)為信息類(lèi))會(huì)形成不同的敏感級(jí)別的信息范圍。例如：密級(jí)(級(jí)別號(hào))信息范圍

絕密(4){作戰(zhàn)計(jì)劃}絕密(4){編制情況，作戰(zhàn)計(jì)劃，裝備清單}機(jī)密(3){訓(xùn)練情況，裝備清單}秘密(2){思想狀況}無(wú)密(1){文藝活動(dòng)，軍民共建，英雄事跡}

同時(shí)，軍隊(duì)系統(tǒng)又是一個(gè)龐大的組織系統(tǒng)，由不同職能的人員組成，如司令員、政委、參謀長(zhǎng)、作戰(zhàn)部長(zhǎng)、訓(xùn)練部長(zhǎng)、后勤部長(zhǎng)、宣傳部長(zhǎng)、營(yíng)房處長(zhǎng)等。根據(jù)最小特權(quán)和知其所需原則，這些人的權(quán)限是劃分等級(jí)的，他們需要知道的信息范圍也是各不相同的。權(quán)限的等級(jí)與信息范圍的敏感級(jí)之間有對(duì)應(yīng)關(guān)系。例如:主體權(quán)限等級(jí)信息范圍

司令員4(最高)全部信息參謀長(zhǎng)4{編制情況，作戰(zhàn)計(jì)劃，訓(xùn)練情況，裝備清單，后勤供應(yīng)}作戰(zhàn)部長(zhǎng){編制情況，作戰(zhàn)計(jì)劃，裝備清單，后勤供應(yīng)}訓(xùn)練部長(zhǎng){編制情況，訓(xùn)練信息，裝備清單}后勤部長(zhǎng){編制情況，后勤供應(yīng)，裝備清單，住房情況}宣傳處長(zhǎng){思想狀況，文藝活動(dòng)，軍民共建，英雄事跡}

營(yíng)房助理1{住房情況}宣傳干事1{文藝活動(dòng)}針對(duì)軍事信息系統(tǒng)對(duì)信息的控制要求，可以利用兩個(gè)格的乘積描述這種多級(jí)安全需求，其中一個(gè)是由絕密、機(jī)密、秘密和無(wú)密四個(gè)信息安全類(lèi)組成的線性格，另一個(gè)是由所有信息主體集合的子集組成的子集格。在該乘積格中，每個(gè)結(jié)點(diǎn)形成一個(gè)安全類(lèi)(訪問(wèn)類(lèi))，可用二元組(R，C)表示。其中：R表示權(quán)限(如職權(quán))，它與敏感級(jí)對(duì)應(yīng)；

C表示信息范圍，是信息主體的集合。對(duì)安全類(lèi)(R，C)的含義可以有兩種解釋?zhuān)阂皇轻槍?duì)系統(tǒng)中的信息分類(lèi)而言，C表示信息范圍，R表示該范圍的密級(jí)；二是針對(duì)系統(tǒng)中主體的權(quán)限等級(jí)而言，C表示某個(gè)主體有權(quán)知道的信息范圍，R表示職權(quán)等級(jí)。

假定兩個(gè)安全類(lèi)分別為(R1,C1)和(R2,C2)，則在乘積格中有以下結(jié)論成立：

(1)(R1,C1)≤(R2,C2)當(dāng)且僅當(dāng)R1≤R2，C1

C2：規(guī)定了安全類(lèi)之間信息流的關(guān)系，只能允許在一個(gè)類(lèi)內(nèi)或向高級(jí)別的類(lèi)流動(dòng)，但不允許向下或流向無(wú)關(guān)的類(lèi)。

(2)(R1,C1)

(R2,C2)=［max(R1,R2),C1∪C2］：最小上界的安全類(lèi)。(3)(R1,Ｃ1)⊙(R2,C2)=［min(R1,R2),C1∩C2］:最大下界的安全類(lèi)。

(4)LOW=(1,{})=(無(wú)密，{})：格中最小安全類(lèi)(幺元)。

(5)HIGH=(3,信息主題全集)=(絕密，信息主題全集)：格中最大安全類(lèi)。4.2

BLP模型介紹Bell-LaPadula安全模型(簡(jiǎn)稱(chēng)BLP模型)是最早的一種計(jì)算機(jī)多級(jí)安全模型，也是受到公認(rèn)的和最著名的多級(jí)安全模型。它是由D.Ellott.Bell和LeanardJ.LaPadula在1973年共同創(chuàng)立的一種模擬符合軍事安全策略的計(jì)算機(jī)操作的模型。Bell-LaPadula模型已經(jīng)成為多級(jí)安全策略的代名詞。在BLP模型中，將主體定義為能夠發(fā)起行為的實(shí)體，如進(jìn)程；而將客體定義為被動(dòng)的主體行為承擔(dān)者，如數(shù)據(jù)，文件等；將主體對(duì)客體的訪問(wèn)分為r(只讀)，w(讀寫(xiě))，a(只寫(xiě))，e(執(zhí)行)以及c(控制)等幾種訪問(wèn)模式。其中，c是指該主體用來(lái)授予或撤消另一主體對(duì)某一客體的訪問(wèn)權(quán)限的能力。后來(lái)，作者又進(jìn)一步對(duì)BLP模型進(jìn)行了優(yōu)化，將c權(quán)限隱含在客體樹(shù)形結(jié)構(gòu)(H)中，即將主體對(duì)客體oj

的訪問(wèn)控制權(quán)隱含在對(duì)oj的父結(jié)點(diǎn)客體的w訪問(wèn)權(quán)中。

BLP模型是基于保密性的多級(jí)信息流模型，該模型不僅描述了安全系統(tǒng)中許可的信息流路徑，還描述了不同敏感級(jí)別的主體與目標(biāo)之間容許的各種信息聯(lián)系，其目標(biāo)是通過(guò)檢查系統(tǒng)中各種可能的信息流，發(fā)現(xiàn)系統(tǒng)中是否有危害信息安全的信息流。利用該模型可以分析在同一臺(tái)機(jī)器上并行運(yùn)行的不同安全級(jí)別的數(shù)據(jù)處理程序的安全性問(wèn)題，可以檢驗(yàn)高密級(jí)處理程序是否把敏感數(shù)據(jù)泄露給了低密級(jí)處理程序，或低密級(jí)處理程序是否訪問(wèn)了高密級(jí)數(shù)據(jù)。BLP模型是處理多級(jí)敏感數(shù)據(jù)的系統(tǒng)設(shè)計(jì)的基礎(chǔ)。下面是關(guān)于BLP模型的一些主要思想與內(nèi)容。

BLP模型是一個(gè)狀態(tài)機(jī)模型，它形式化地定義了系統(tǒng)、系統(tǒng)狀態(tài)以及狀態(tài)間的轉(zhuǎn)換規(guī)則；定義了安全的概念；并制定了一組安全特性，以此對(duì)系統(tǒng)狀態(tài)和狀態(tài)轉(zhuǎn)換規(guī)則進(jìn)行限制和約束，使得對(duì)于一個(gè)系統(tǒng)，如果它的初始狀態(tài)是安全的，并且所經(jīng)過(guò)的一系列的規(guī)則都是保持安全的，那么可以證明該系統(tǒng)是安全的。在模型中定義了一個(gè)訪問(wèn)類(lèi)結(jié)構(gòu)，它由訪問(wèn)類(lèi)集合與各訪問(wèn)類(lèi)之間的關(guān)系組成。每個(gè)訪問(wèn)類(lèi)包括一個(gè)敏感級(jí)與一個(gè)信息類(lèi)，訪問(wèn)類(lèi)集合實(shí)際上是由等級(jí)森嚴(yán)的敏感級(jí)集合與信息類(lèi)集合的乘積形成的；訪問(wèn)類(lèi)之間的關(guān)系定義為偏序關(guān)系，以描述訪問(wèn)類(lèi)之間的支配關(guān)系，當(dāng)然，兩個(gè)訪問(wèn)類(lèi)之間也可能存在不可比的關(guān)系。為了使這種偏序關(guān)系滿(mǎn)足格的要求，又增加了兩個(gè)性質(zhì)和兩個(gè)重要的訪問(wèn)類(lèi)。

為了使這種偏序關(guān)系滿(mǎn)足格的要求，又增加了兩個(gè)性質(zhì)和兩個(gè)重要的訪問(wèn)類(lèi)。這兩個(gè)重要性質(zhì)是：對(duì)于給定的任意兩個(gè)訪問(wèn)類(lèi)A和B(不管它們是否可比)：

(1)在由A和B支配的所有訪問(wèn)類(lèi)的集合中，存在惟一的最大下界(GLB)，它受所在集合中所有其他訪問(wèn)類(lèi)的支配。

(2)在由A和B支配的所有訪問(wèn)類(lèi)的集合中，存在惟一的最小上界(LUB)，它支配集合中所有其他訪問(wèn)類(lèi)。4.3

BLP模型元素4.3.1模型元素的含義表4–1給出了BLP模型中定義的部分元素及相應(yīng)的說(shuō)明。表4-1BLP模型中定義的部分元素及相應(yīng)的說(shuō)明4.3.2系統(tǒng)狀態(tài)表示狀態(tài)是系統(tǒng)中元素的表示，由主體、客體、訪問(wèn)屬性、訪問(wèn)矩陣以及標(biāo)識(shí)主體和客體的訪問(wèn)類(lèi)屬性的函數(shù)組成。狀態(tài)v∈V,由一個(gè)有序的四元組(b,M,f,H)表示，其中：

b(S×O×A):表示在某個(gè)特定的狀態(tài)下，哪些主體以何種訪問(wèn)屬性訪問(wèn)哪些客體，其中S是主體集，O為客體集，A=｛r,w,a,e｝是訪問(wèn)屬性集。

M：表示訪問(wèn)矩陣，其中元素Mij

A表示主體si對(duì)客體oj具有的訪問(wèn)權(quán)限。

f∈F:表示訪問(wèn)類(lèi)函數(shù)，記作f=｛fs,fo,fc｝。其中:fs表示主體的安全級(jí)函數(shù)(包括主體的密級(jí)f1(s)和范疇

f3(s))；fo表示主體當(dāng)前的安全級(jí)函數(shù)(包括主體的密級(jí)f2(o)和范疇f4(o))；表示客體的安全級(jí)函數(shù)(包括客體的密級(jí)和范疇)。

f∈F:表示訪問(wèn)類(lèi)函數(shù)，記作f=｛fs,fo,fc｝。

H:表示當(dāng)前的層次結(jié)構(gòu)，即當(dāng)前客體的樹(shù)形結(jié)構(gòu)，oj∈Ｈ(o)表示在此樹(shù)形結(jié)構(gòu)中，oj為葉子結(jié)點(diǎn)，o為父結(jié)點(diǎn)。元素H(Po)o(其中Po表示o的冪子集)，當(dāng)且僅當(dāng)：

(1)oi≠oj

H(oi)∩H(oj)=φ;(2)不存在集合{o1,o2,…,}使得對(duì)每一個(gè)r，1≤r≤，都有or+1∈H(or),且≡o1。4.3.3安全系統(tǒng)的定義定義規(guī)則ρ為函數(shù)ρ:R×V→D×V，對(duì)規(guī)則的解釋為給定一個(gè)請(qǐng)求和一個(gè)狀態(tài)，規(guī)則ρ決定系統(tǒng)產(chǎn)生的一響應(yīng)和下一狀態(tài)。其中:R為請(qǐng)求集;V為狀態(tài)集;D為判定集｛yes,no,error,?｝，“yes”表示請(qǐng)求被執(zhí)行，“no”表示請(qǐng)求被拒絕，“error”表示有多個(gè)規(guī)則適用于這一請(qǐng)求-狀態(tài)二元組，“?”表示規(guī)則不能處理此請(qǐng)求。設(shè)ω=｛ρ１，ρ2,…,ρs｝是相對(duì)于R、D、V的一組規(guī)則集，關(guān)系W(ω)R×D×V×V定義為：

(Ｒk,Dm,v*,v)∈W(ω),當(dāng)且僅當(dāng)Dm≠?并且存在惟一的i，1≤i≤s，使得(Dm,v*)=ρi(Rk,v);系統(tǒng)∑(R,D,W,z0)X×Y×Z則定義為：

(x,y,z)∈∑(R,D,W,z0),當(dāng)且僅當(dāng)對(duì)每一個(gè)t∈T，(xt,yt,zt,zt-1)∈W，其中z0是初始狀態(tài)。系統(tǒng)∑(R,D,W,z0)是一安全系統(tǒng)，當(dāng)且僅當(dāng)系統(tǒng)的每一個(gè)狀態(tài)(z０,z1,…,zn)均為安全狀態(tài)。4.4

BLP模型的幾個(gè)重要公理(1)簡(jiǎn)單安全性(simple-securityproperty)：狀態(tài)v=(b,M,f,H)滿(mǎn)足簡(jiǎn)單安全性(記為ss-property)，當(dāng)且僅當(dāng)對(duì)所有的s∈S

［(o∈b(s:r,w))(fs(s)＞fo(o))］,其中:符號(hào)＞表示前者支配后者，即(f1(s)＞f2(o),f3(s)f4(o));b(s:x1,x2,…,xn)表示b中主體s對(duì)其具有訪問(wèn)權(quán)限x

i(1≤i≤n)的所有客體集合。(2)*-特性(*-property)：如前所述，S′是S的一個(gè)子集，狀態(tài)v=(b,M,f,H)滿(mǎn)足相對(duì)于S′的*-特性(記為*-propertyrelS′)，當(dāng)且僅當(dāng)對(duì)所有的(3)自主安全性(discretionary-securityproperty)：狀態(tài)v=(b,M,f,H)滿(mǎn)足自主安全性(記為ds-property)，當(dāng)且僅當(dāng)對(duì)所有的

(si,oj,x)∈b

x∈Mij

(4)兼容性公理(Compatibility)：狀態(tài)v=(b,M,f,H)滿(mǎn)足兼容性，當(dāng)且僅當(dāng)對(duì)所有的o∈O，有

o1∈H(o)fo(o1)＞fo(o)4.5BLP狀態(tài)轉(zhuǎn)換規(guī)則

如前所述，規(guī)則ρ定義為函數(shù)ρ:R×V→D×V。規(guī)則ρ保持系統(tǒng)安全狀態(tài)，當(dāng)且僅當(dāng)對(duì)所有的

ρ(Rk,v)=(Dm,v*)，有v是安全狀態(tài)v*是安全狀態(tài)。即：(1)規(guī)則ρ保持簡(jiǎn)單安全性(ss-property)：即對(duì)所有的ρ(Rk,v)=(Dm,v*)，有v保持簡(jiǎn)單安全性v*也保持簡(jiǎn)單安全性。

(2)規(guī)則ρ保持*-特性(*-propertyrelS′)：即對(duì)所有的ρ(Rk,v)=(Dm,v*)，有v保持*-特性v也保持*-特性。

(3)規(guī)則ρ保持自主安全性(ds-property)：即對(duì)所有的ρ(Rk,v)=(Dm,v*)，有v保持自主安全性v*也保持自主安全性。規(guī)則4－1：表示主體對(duì)客體請(qǐng)求“只讀訪問(wèn)(get-read)”。·

定義域：

Rk=(g,si,oj,r)∈R(1)(Rk的定義域記為dom(Rk))·*-特性函數(shù)：

*1(Rk,v)=TRUEfc(si)＞fo(oj)·規(guī)則：其他·

規(guī)則解釋?zhuān)寒?dāng)符合以下條件時(shí)，主體si可以對(duì)客體oj進(jìn)行“只讀”訪問(wèn):(1)主體si的訪問(wèn)屬性中有對(duì)客體的“只讀”權(quán)限；(2)主體的安全級(jí)支配客體的安全級(jí)；(3)主體是可信主體或主體當(dāng)前的安全級(jí)支配客體的安全級(jí)。規(guī)則4-2：表示主體對(duì)客體請(qǐng)求“只寫(xiě)訪問(wèn)(get-append)”：·

定義域：

Rk=(g,si,oj,a)∈R(1)·*-特性函數(shù)：*2(Rk,v)=TRUEfo(si)＞fc(Oj)·規(guī)則:其他·規(guī)則解釋?zhuān)寒?dāng)符合以下條件時(shí)，主體si可以對(duì)客體oj進(jìn)行“只寫(xiě)”訪問(wèn)：(1)主體si的訪問(wèn)屬性中有對(duì)客體的“只寫(xiě)”權(quán)限；(2)主體是可信主體的安全級(jí)支配主體的當(dāng)前安全級(jí)。

規(guī)則4-3：表示主體對(duì)客體請(qǐng)求“執(zhí)行訪問(wèn)(get-execute)”。

·

定義域：

Rk=(g,si,oj,e)∈R(1)

·*-特性函數(shù)：*3(Rk,v)=TRUE

·

規(guī)則：其他

·

規(guī)則解釋?zhuān)寒?dāng)符合以下條件時(shí)，主體si可以對(duì)客體oj進(jìn)行“執(zhí)行”訪問(wèn)：主體si的訪問(wèn)屬性中有對(duì)客體的“執(zhí)行”權(quán)限。

規(guī)則4-4：表示主體對(duì)客體請(qǐng)求“讀寫(xiě)訪問(wèn)(get-write)”：

·

定義域：

Rk=(g,sj,oj,w)∈R(1)

·*-特性函數(shù)：*4(Rk,v)=TRUEfc(si)=fo(oj)·規(guī)則：Rkdom(R4)Rk∈dom(R4)且w∈Mij

且fs(si)＞fo(oj)且［si∈sr或*4(Rk,v)］其他

·

規(guī)則解釋?zhuān)寒?dāng)符合以下條件時(shí)，主體可以對(duì)客體進(jìn)行“讀寫(xiě)”訪問(wèn)：

(1)主體si的訪問(wèn)屬性中有對(duì)客體的“只寫(xiě)”權(quán)限；

(2)主體si的安全級(jí)支配客體的安全級(jí)；

(3)主體為可信主體或主體的當(dāng)前安全級(jí)等于客體的安全級(jí)。

規(guī)則4-5：表示主體釋放對(duì)客體的訪問(wèn)屬性(release-readexecute/write/append)：

·

定義域：

Rk=(risj,oj,x)∈R(1)

x∈A

·*-特性函數(shù)：*5(Rk,v)=TRUE

·

規(guī)則：其他

·

規(guī)則解釋?zhuān)喝绻?qǐng)求不在定義域范圍內(nèi)，則不會(huì)發(fā)生狀態(tài)的變化(?)：否則將從主體的訪問(wèn)屬性中去除對(duì)客體oj的x訪問(wèn)屬性。

規(guī)則4-6：表示授予另一主體對(duì)客體的訪問(wèn)屬性(give-read/execute/write/append)。

·

定義域：

Rk=(sλg,si,oj,x)∈R(2)

x∈A

·*-特性函數(shù)：

*6(Rk,v)=TRUE

·規(guī)則：其他其中：os(j)表示oj的父結(jié)點(diǎn)；當(dāng)且僅當(dāng)ok=or或os(k)=or時(shí)，表達(dá)式give(sλ,ok,v)為真，表示sλ在狀態(tài)v下能夠授予對(duì)ok的訪問(wèn)權(quán)；符號(hào)“A＼B”表示命題A中的元素進(jìn)行了相應(yīng)的修改，如此題中即表示“訪問(wèn)矩陣M中的元素Mij以元素Mij∪｛x｝代替”。

·規(guī)則解釋?zhuān)寒?dāng)符合下列條件之一時(shí)，主體sλ可以授予另一主體si對(duì)客體oj的訪問(wèn)權(quán)限：

(1)客體oj不是層次樹(shù)的根結(jié)點(diǎn)，主體sλ的訪問(wèn)屬性中對(duì)oj的父結(jié)點(diǎn)os(j)具有“讀寫(xiě)”權(quán)限;(2)客體oj是層次樹(shù)的根結(jié)點(diǎn)，并且主體sλ有權(quán)在當(dāng)前狀態(tài)下授予si對(duì)oj的訪問(wèn)權(quán)。

規(guī)則4-7：表示撤銷(xiāo)另一主體對(duì)客體地訪問(wèn)屬性(rescind-read/execute/write/append)。

·

定義域：

Rk=(sλ,r,si,oj,x)∈R(2)

x∈A

·*-特性函數(shù)：*7(Rk,v)=TRUE·規(guī)則：其他

·

規(guī)則解釋?zhuān)寒?dāng)符合以下條件之一時(shí)，主體可以授予另一主體對(duì)客體的訪問(wèn)權(quán)限：

(1)客體oj不是層次樹(shù)的根結(jié)點(diǎn)，并且主體sλ的訪問(wèn)屬性中有對(duì)oj的父結(jié)點(diǎn)ox(j)的“讀寫(xiě)”權(quán)限；

(2)客體oj是層次樹(shù)的根結(jié)點(diǎn)，并且主體sλ有權(quán)在當(dāng)前狀態(tài)下撤銷(xiāo)對(duì)oj的訪問(wèn)權(quán)。

規(guī)則4-8：表示創(chuàng)建一客體(create-object)。

·定義域：

Rk=(g,si,oj,Lv)∈R(3)

·*-特性函數(shù)：*8(Rk,v)=TRUE·規(guī)則：其他

·

規(guī)則解釋?zhuān)寒?dāng)符合以下條件時(shí)，主體si可以創(chuàng)建安全級(jí)LU，父結(jié)點(diǎn)為si的客體oNEW(H)，即oNEW(H)∈H(Oj):(1)主體si當(dāng)前可以以“讀寫(xiě)”權(quán)限或“只寫(xiě)”權(quán)限訪問(wèn)客體oj；

(2)安全級(jí)LU支配客體oj的安全級(jí)。

規(guī)則4-9

：表示刪除一組客體(delete-object-group)。

·

定義域：

Rk=(si,oj)∈R(4)

·*-特性函數(shù)：*9(Rk,v)=TRUE·規(guī)則：其他

·規(guī)則解釋?zhuān)寒?dāng)符合以下條件時(shí)，主體si可以刪除客體oj(包括下面的所有客體)：主體si當(dāng)前對(duì)客體oj的父結(jié)點(diǎn)osj有“讀寫(xiě)”權(quán)限并且客體oj不是根結(jié)點(diǎn)。

規(guī)則4-10：表示改變主體當(dāng)前安全級(jí)(change-subject-current-security-level)。

·定義域：

Rk=(si,Lw)∈R(5)

·*-特性函數(shù)：*10(Rk,v)=TRUEoj∈b(si:a)fo(oj)＞Lw且

oj∈b(si:w

Lw=fo(oj)且

oj∈b(si:r

LM＞Φ(ov)·規(guī)則：

·

規(guī)則解釋?zhuān)寒?dāng)符合以下條件時(shí)，主體si可以改變其當(dāng)前的安全級(jí)至Lw:(1)主體si是可信主體或它的安全級(jí)被改變?yōu)長(zhǎng)w,且導(dǎo)致的狀態(tài)滿(mǎn)足*-特性；

(2)主體si的安全級(jí)支配Lw。

規(guī)則4-11：表示改變客體的安全級(jí)(change-object-security-level)。

·定義域：

Rk=(r,si,oj,LW)∈R(3)

·*-特性函數(shù)：*11(Rk,v)=TRUE任給sλ∈s′(sλ,oj,r)∈bLU＞fc(sλ)且(sλ,oj,w)∈bfc(sλ)=LU且(sλ,oj,r)∈bfc(sλ)＞LU·規(guī)則：［＜si∈sT且fc(si)＞fo(oj)＞or＜fc(si)＞LU＞fo(oj)＞］且［任給s［(oj∈b(s:r,w))(fs(s)＞LW］且［11(Rk,v)］且［COMPAT(v,oj,LW)］且［CHANGE(v,oj,LU)］其他

·

規(guī)則解釋?zhuān)寒?dāng)符合以下條件時(shí)，主體si可以改變客體oj的安全級(jí)至Lw：

(1)si是可信主體并且其當(dāng)前安全級(jí)支配客體oj的安全級(jí)，或主體si的安全級(jí)支配LW，而LW又支配客體oj的安全級(jí)；

(2)如果有主體S當(dāng)前正以“只讀”或“讀寫(xiě)”模式訪問(wèn)客體oj，那么應(yīng)該保證該主體S的當(dāng)前安全級(jí)支配LW；(3)客體oj的安全級(jí)被改變?yōu)長(zhǎng)W,且導(dǎo)致的狀態(tài)滿(mǎn)足一特性；

(4)客體oj的安全級(jí)被改變?yōu)長(zhǎng)W,且導(dǎo)致的狀態(tài)滿(mǎn)足兼容性；

(5)主體sj有權(quán)改變客體oj的安全級(jí)。4.6BLP模型幾個(gè)重要的定理

定理4-1

對(duì)每一個(gè)初始狀態(tài)z0，系統(tǒng)∑(R,D,W,z0)滿(mǎn)足簡(jiǎn)單特性(ss-property)，當(dāng)且僅當(dāng)對(duì)每一個(gè)行為(Ri,Dj,(b*,M*,f*,H*),(b，M，f，H))，關(guān)系W滿(mǎn)足：對(duì)任意(s,o,x)∈b*-b滿(mǎn)足相對(duì)于f*的簡(jiǎn)單安全性(sscrelf*)；對(duì)任意(s,o,x)∈b不滿(mǎn)足相對(duì)于f*的簡(jiǎn)單安全性的不在b*內(nèi)。

定理4-2

對(duì)每一個(gè)滿(mǎn)足相對(duì)于S的一個(gè)特性的初狀態(tài)z0，系統(tǒng)∑(R,D,W,z0)滿(mǎn)足相對(duì)于S的一個(gè)特性，當(dāng)且僅當(dāng)對(duì)每一個(gè)行為(Ri,Dj,(b*，M*，f*，H*),(b,M,f,H))，關(guān)系W滿(mǎn)足：對(duì)任意的s∈Ｓ，有

o∈(b*-b)(s:w)f*c(o)＞f*c(s)

o∈(b*-b)(s:a)f*c(o)＞f*c(s)

o∈(b*-b)(s:r)f*c(s)＞f*c(o)對(duì)任意的s∈S，有

o∈(b*-b)(s:a)&f*c(o)＞f*c(s)o

b*(s,a)

o∈(b*-b)(s:w)&f*c(o)＞f*c(s)o

b*(s,w)

o∈(b*-b)(s:r)&f*o(o)≠f*c(s)o

b*(s,r)

定理4-3

系統(tǒng)∑(R,D,W,z0)滿(mǎn)足自主安全特性(ds-property)，當(dāng)且僅當(dāng)z0滿(mǎn)足自主安全特性，并且對(duì)每一個(gè)行為(Ri,Dj,(b*,M*,f*,H*),(b,M,f,H))，關(guān)系Ｗ滿(mǎn)足：

對(duì)任意(si,oj,x)∈b

*-b

x∈M*ij

對(duì)任意(si,oj,x)∈b*-b&x

M*ij(si,oj,x)b*)

定理4-4

假設(shè)關(guān)系W是一套保持簡(jiǎn)單安全性的規(guī)則并且z0滿(mǎn)足簡(jiǎn)單安全性，則系統(tǒng)∑(R,D,W,z0)滿(mǎn)足簡(jiǎn)單安全性(ss-property)。定理4-5

假設(shè)關(guān)系W是一套保持*-特性并且z0滿(mǎn)足*-特性，則系統(tǒng)∑(R,D,W,z0)滿(mǎn)足*-特性(*-property)。

定理4-6

假設(shè)關(guān)系W是一套保持自主特性并且z0滿(mǎn)足自主特性，則系統(tǒng)∑(R,D,W,z0)滿(mǎn)足簡(jiǎn)單自主特性(ds-property)。

定理4-7

若v=(b,M,f,H)滿(mǎn)足簡(jiǎn)單安全特性，并且(s,o,x)b,b*=b∪｛(s,o,x)｝，則v*=(b*,M,f,H)滿(mǎn)足簡(jiǎn)單安全性，當(dāng)且僅當(dāng)(x=e或x=a)或［(x=r或x=w)且fs(s)＞fo(o)］。

定理4-8

若v=(b,M,f,H)滿(mǎn)足相對(duì)于S′S的*-特性，并且對(duì)任意S

S′有(s,o,x)b,b*=b∪｛(s,o,x)｝，則v*=(b*,M,f,H)滿(mǎn)足相對(duì)S′的一特性，當(dāng)且僅當(dāng)x=a

fo(o)＞fc(s)或x=w

fo(o)＞fc(s)或x=r

fc(s)＞fo(o)。定理4-9

若v=(b,M,f,H)滿(mǎn)足自主安全特性，并且(s,o,x)b,b*=b∪｛(s,o,x)｝，則v*=(b*,M,f,H)滿(mǎn)足自主安全性，當(dāng)且僅當(dāng)x∈Mij。定理4-10

設(shè)ρ為一規(guī)則并且ρ(Rk,v)=(Dm,v*),其中v=(b,M,f,H)，v*=(b*,M*,f*,H*)，則有：如果b*

b并且f*=f,則規(guī)則ρ保持簡(jiǎn)單安全性；如果b*

b并且f*=f,則規(guī)則ρ保持一特性；如果b*

b并且對(duì)任意的i，j有M*ij

Mij，則規(guī)則ρ保持安全狀態(tài)。4.7Bell-LaPadula模型的局限性

Bell-LaPadula模型是用來(lái)在計(jì)算機(jī)系統(tǒng)內(nèi)實(shí)施多級(jí)安全策略和自主安全策略的一種訪問(wèn)控制模型。從本質(zhì)上來(lái)說(shuō)，模型是從訪問(wèn)控制的角度來(lái)處理在一個(gè)安全操作系統(tǒng)環(huán)境下，如何既保證主體(即用戶(hù)進(jìn)程)有效地訪問(wèn)客體(即資源)，又使得系統(tǒng)的安全性不致遭到破壞，而造成信息的非法泄露。

Bell-LaPadula模型的最初設(shè)計(jì)目的是針對(duì)Multics一類(lèi)的操作系統(tǒng)的，因此它并沒(méi)有嚴(yán)格地定義一個(gè)理想的安全模型，而是從實(shí)現(xiàn)的角度來(lái)設(shè)計(jì)模型，并基于此模型來(lái)實(shí)現(xiàn)所有的操作。但我們可以根據(jù)實(shí)際情況的需要對(duì)模型規(guī)則加以相應(yīng)的擴(kuò)展，獲得我們所需要的轉(zhuǎn)換規(guī)則12、13、14……。因此可以說(shuō)，到目前為止，Bell-LaPadula模型仍是信息安全領(lǐng)域最為重要的模型之一，也是目前最為流行的一種多級(jí)安全模型。當(dāng)然，任何事物都具有兩面性，在信息安全領(lǐng)域首次提出“多級(jí)安全”概念的Bell-LaPadula模型也由于種種原因，不可避免地具有相應(yīng)的局限性。事實(shí)上，自從Bell-LaPadula模型于1973年被提出來(lái)后，就不斷地有人對(duì)此模型進(jìn)行理論上的研究并提出了不同的觀點(diǎn)，一般認(rèn)為，Bell-LaPadula模型的局限性主要有如下幾個(gè)方面：自從Bell-LaPadula于1973年提出來(lái)后，就不斷地有人對(duì)此模型進(jìn)行理論上的研究并提出了不同的觀點(diǎn)，一般認(rèn)為，Bell-LaPadula模型的局限性主要有如下幾個(gè)方面：(1)如果Bell-LaPadula模型不包含其相對(duì)于實(shí)際實(shí)現(xiàn)的11條規(guī)則，而只是包括自主安全性、*-特性及基本安全定理，那么模型本身并不能保證此模型的安全性;而如果認(rèn)為此11條轉(zhuǎn)換規(guī)則是模型的有機(jī)組成部分，那么模型的安全性仍不能僅僅通過(guò)此11條規(guī)則使其安全性得到完善。(2)在實(shí)際實(shí)現(xiàn)Bell-LaPadula模型中也會(huì)碰到一些問(wèn)題，例如對(duì)于系統(tǒng)內(nèi)存的管理：它們必須在任何狀態(tài)下對(duì)任何級(jí)別的進(jìn)程可讀可寫(xiě)，而這明顯與Bell-LaPadula模型相違背。

(3)“向上寫(xiě)”會(huì)造成應(yīng)答盲區(qū)。

(4)基于多級(jí)安全操作系統(tǒng)(MLS)上的許多應(yīng)用程序都要重新編寫(xiě)或要作相當(dāng)大的修改。

(5)在實(shí)際生活中，無(wú)論是用戶(hù)的安全級(jí)，還是信息的安全級(jí)都不是一成不變的。

(6)Bell-LaPadula模型不能解決隱通道問(wèn)題?！纠?-1】自主訪問(wèn)控制(DAC)的局限性。

(1)在系統(tǒng)中，有一屬于用戶(hù)Sunny的文件file，同時(shí)用戶(hù)Sunny只授予用戶(hù)Richard對(duì)此文件的“讀”權(quán)限(r)，而不授予Richard對(duì)此文件的“寫(xiě)”權(quán)限(w)。(2)同樣，與上例相同，如果在時(shí)刻T前，用戶(hù)Sunny將對(duì)文件file的“讀”、“寫(xiě)”權(quán)限均授予了用戶(hù)Richard，而在進(jìn)程ProcessA打開(kāi)文件file后，此時(shí)，用戶(hù)Sunny又撤消了Richard對(duì)此文件的所有權(quán)限，那么情況又會(huì)怎樣呢？根據(jù)Bell-LaPadula模型對(duì)自主訪問(wèn)控制的要求：在每一個(gè)狀態(tài)下，主體s是否對(duì)客體有相應(yīng)的訪問(wèn)權(quán)限x，當(dāng)且僅當(dāng)訪問(wèn)屬性x是否在此狀態(tài)下的訪問(wèn)矩陣M中。

【例4-2】

簡(jiǎn)單安全性的局限性。

(1)安全級(jí)為SECRET的進(jìn)程ProcessA欲以“寫(xiě)訪問(wèn)”的方式訪問(wèn)安全級(jí)為Confid