2022年BLP模型的分析与改进 2.pdf

《2022年BLP模型的分析与改进 2.pdf》由会员分享，可在线阅读，更多相关《2022年BLP模型的分析与改进 2.pdf（3页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、BLP模型的分析与改进随着网络化和计算机技术的飞速发展,对 PC的安全性和易用性提出了越来越高的要求,传统的 PC系统结构以效率优先而不是以安全优先原则设计的,因此现有的PC系统越来越容易遭受黑客、间谍软件和病毒的攻击。针对传统PC 系统结构安全性方面的缺陷,结合当今可信计算技术和终端平台虚拟化技术,研究先进的多域安全虚拟个人计算机系统,以解决我国日益突出的个人计算机信息安全的该关键问题,为我国政府、军队等关键部门提供可信的个人计算机系统。而安全文件系统是多域安全虚拟个人计算机系统的核心组成部分,通过一般的树型结构平面文件系统不易于实现高安全标准的要求。通过充分借鉴银河麒麟操作系统层次式内核的

2、成功经验,在 BLP模型的基础上提出了一种基于时间限制的多级安全模型,并将该模型应用到安全文件系统的设计中来,既充分利用了 BLP模型的安全策略,又极大的提高了安全文件系统的灵活性。BLP(Bell-LaPadula)模型由 Bell 和 LaPadula 于 1973 年提出来,被认为是多级安全领域的经典模型,它为安全操作系统的研究奠定了良好的基础。它通过一系列的形式化定义描述了系统状态,并制定了系统状态的转换规则。BLP模型主要通过三个属性来约束主体对客体的访问。并且一个系统只有当初始状态安全,且每次状态转换都满足以下三个属性时才是安全的。自主安全属性:主体对客体的访问权限必须包含于当前的

3、访问控制矩阵。简单安全属性:只有主体的安全级别高于客体的安全级别时,主体才拥有对客体的读/写权限。随着对 BLP 模型的深入研究和工程应用,越来越多的问题暴露了出来。BLP模型已经不能满足各种各样的安全需求。(1)BLP 模型的平稳性原则限制了系统的灵活性。客体的安全等级有一定的时效性,超过保密期限应予以调整;高级别主体可能产生公开信息,而 BLP模型禁止其向低级别流动。(2)可信主体不符合最小特权原则。由于可信主体不受*-属性约束,导致了权限过大。(3)隐通道问题。即使 BLP模型控制信息不能由高到低流动,不同安全级别的主体仍可以通过间接方式通信。在安全文件系统的设计过程中,很好的解决了以上

4、问题。在进行多域安全虚拟个人计算机系统设计时,对安全模型进行了设计.多域安全虚拟个人计算机系统的安全文件系统是在BLP模型分析的基础上,结合多域安全虚拟个人计算机系统的文件访问控制安全策略,修改建立的,记为 IBLP(Improved BLP).2.1 IBLP模型定义参照文献,定义模型元素如下:定义 1 S 为主体的集合,为可信主体集合,为非可信主体集合。O为客体的集合。C为安全级别的集合,包含了主体的安全许可和客体的敏感级别。K 为安全类别的集合。L 为安全等级的集合,其中,。为 L 上的偏序关系。T 为时间集合。为访问方式的集合,其中为只读,为读写,为追加,为执行。定义 2 在模型中增加

5、保密期限因素,以提高系统的灵活性,实现客体的密级调整,允许非密级信息的由高到低传递。系统状态V 为五元组。其中:为当前访问集合。其中,为 X的幂集。M为系统可能的访问控制矩阵的集合。f 为五元组。其中为主体的安全等级标记函数,为主体的当前安全等级标记函数,为客体的安全等级标记函数,为客体的当前安全等级标记函数,为客体的降密后的安全等级标记函数。,。的值取决于客体当前安全级检查函数的检查结果。H 为层次函数,的集合,这些函数有两个特征,设,那么:如果,则;不存在集合,使得对于每一个,有,且。TS 为时间的集合,为保密期开始时间,为保密期终止时间,为系统名师资料总结-精品资料欢迎下载-名师精心整理

6、-第 1 页，共 3 页 -当前时间。定义 3 保密期限集合DT,。定义 4 降级映射函数:。其中。由与客体安全级别相同的可信主体指定客体降密后的安全级别。定义 5 保密期限检查函数。其中。与客体安全级别相同的可信主体对客体进行保密期限检查,检查的结果有两种,表示客体的保密期限是永久的,用于一些设备或者是需要长期保密的文件类客体,表示客体的保密期限。定义 6 当前客体安全级检查函数。定义 7 涉密检查函数。其中。与客体安全级别相同的可信主体对客体进行涉密检查,检查的结果有两种,Y 表示通过检查,即该客体的内容未涉及该保密级的秘密信息,表示未通过检查,即该客体的内容涉及该保密级的秘密信息。定义

7、8 R 表示访问请求的集合。每个请求的可能结果有4 个:表示允许,表示不允许,表示非法请求,表示错误。用D 表示结果集合。集合是系统的行为集合。实体提交一个 R 里的请求,就会产生D 里的决策,使系统从V 里的一个状态转换到另一个状态。定义 9 系统通过如下内容确定,当且仅当对于所有,。其中,表示系统初始状态。2.2 IBLP模型属性定义 11 为客体的集合,其中 S 对客体具有的访问权限:。下面定义模型的三个安全属性,不同于BLP 模型,在安全属性中考虑了时间因素.客体的当前安全等级与时间有关,其值由客体当前安全等级标记函数确定.属性 1 状态满足简单安全属性,当且仅当对于每个,下面的式子成

8、立:属性 1 中主体的安全等级与客体的当前安全等级进行比较。客体的当前安全等级由当前客体安全级检查函数决定。属性 2 状态满足*-安全属性,当且仅当对于每个,下面的式子成立:属性 3 状态满足自主安全属性,当且仅当对于每个,。基于时间的多级安全模型的自主安全属性同BLP模型的自主安全属性,未发生变化。2.3 IBLP模型推论文献中的规则共有11 条,本模型主要影响了第8 条规则,其余规则只需要将替换为即可。客体创建规则:请求 R为主体 Si 请求创建一个安全级为Lu 的客体,在层次结构中为的直接上级。若请求格式不正确,则响应为,状态不发生改变。否则,对以下条件进行检查:推论 1 如果在当前访问

9、集合中,Si对 Oj 有或权限且Lu 支配客体Oj 的安全等级,响应为。状态改变如下:客体加入到层次结构中,直接位于之下。根据保密期限检查函数的结果,对新创建客体设安全级别和保密期限。如果,则,;如果,则,。推论 2 如果在当前访问集合中,Si对 Oj 只有权限,Lu 支配客体Oj 的安全等级且Lu 支配主体Si 的安全等级,则:a.创建,使的安全等级与Si 的安全等级相同;b.创建,使的安全等级与Si 的安全等级相同且在层次关系中位于下;c.如果,则响应为,状态不发生改变;否则,在 Oj 下创建,设置安全级别和保密期限,;d.调用文献中的规则9,删除和。推论 3 否则响应为,状态不发生改变以

10、下为文献中的规则9:删除客体组。请求的形式为,主体 Si 请求删除客体Oj。若成功将删除在层次结构中Oj 下属的所有客体。若请求格式不正确,则响应为,状态不发生改变。否则,对以下条件进行检查:Si在当前的访问列表中对客体Oj 的直接上级有写访问权限并且Oj 不是根客体。如果上述条件满足,响应为,状态变化如下:(1)在当前访问列表中对Oj 有访问权限的主体或Oj 的所有下属客体对Oj 的访问被删除。(2)在访问控制矩阵中对Oj 有访问权限的主体或Oj名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 3 页 -的所下属客体对Oj 的访问被删除。(3)Oj 和所有 Oj 的下属对象从层次

11、结构中被删除。否则,响应为,状态不发生变化。3 安全文件系统关键技术系统安全性经典BLP模型中,可信主体不符合最小特权原则,导致了权限过大。而多域安全虚拟计算机系统,通过可信技术的辅助,从系统加电启动,应用程序的运行,系统调用,内存更改,都做到了可信保证。使可信主体的操作做到真正的“可信”,从而使可信主体的权限过大问题做到最小化处理。设置了多级安全目录,按照不同密级进行了划分,文件资源的密级调整严格遵循时间限制和BLP模型的操作策略。很好的解决了隐通道问题,高级别的信息做到了有原则的向低级别流动。这主要依靠 IBLP 模型的改进。在保证文件系统安全性的前提下,通过策略库的文件操作策略存储,提高

12、了日常文件操作的过滤匹配操作。对文件的密级调整操作,按照“need to know”的原则,不会自动去对文件密级进行调整,而是有请求才会有调整,使安全性的开发对系统效率的影响降到最低。由于 hypervisor层的引入,避免了在实现安全文件系统时对系统内核做大的改动,系统的调用触发的功能实现都是基于hypervisor层。因此,应用程序可以无改动的在安全文件系统上运行,实现了很好的向上兼容性。BLP 模型作为经典安全模型,在实际应用中存在诸多不足和限制。本文通过设计IBLP 模型,并应用到安全文件系统中来,极大的改进了多域安全虚拟计算机系统的文件资源的访问灵活性,同时提供了极高的安全保证。名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 3 页 -