时间:2022-12-11 10:30:01 | 来源:信息时代
时间:2022-12-11 10:30:01 来源:信息时代
安全性模型 : 实现访问控制策略的一种机制。根据不同的访问控制策略来选用不同的安全性模型。对于具有二元性质的安全性,即: 被访问的客体要么是敏感的要么是非敏感的,访问的主体要么是授权的要么是非授权的,而且访问判决也只有“批准”或“拒绝”,对于这类安全策略通常选用监控器模型和信息流模型。对于安全性具有多级性质,即不论对主体或是客体都要考虑一定范围的敏感度,同时处理具有几种不同的敏感度。对于这类安全策略可以选用访问安全性的格模型。如果希望实现加强保密性的安全策略,可以选用Bell-La Padula模型,它也是实现多级安全性策略最常用的安全模型之一。
1. 监控器模型
监控器模型(monitor.model)是最简单的访问控制模型。一个监控器是用户与目标之间的门户,用户通过援引监控器来寻求对某个目标的特殊方式的访问,监控器接收用户的请求,查询必要的访问控制信息,允许或拒绝该项请求。
2.信息流模型
信息流模型(information flow model)像一个智能滤波器,它对用户请求进行分析,确保该用户得到有权访问的敏感数据,且不会得到未经授权的数据,然后将经过变换的请求传递给相应的敏感目标。
3.访问安全性的格模型
格(lattice)是在关系操作符下元素的一种数学结构,格元素在偏序关系“≤”下排序,它是传递的和反对称的,即: 对任何三个元素a,b,c有传递性: 若a≤b,b≤c,则a≤c; 反对称性: 若a≤b,b≤a,则a=b。因为格是递增顺序的一种自然表示,安全专家就选用格作为安全系统的一个基础,使用多级安全性分类标记,设计了实现访问安全性的格模型(access security lattice model)。例如,军用安全模型就是一个格模型。
4. BLP模型
BLP(Bell-La Padula)模型是由D.E.Bell和L.J.La Padula在1973年模拟军事安全策略创建的计算机系统安全模型。BLP模型的目标是精确地描述符合多级安全策略的系统及其中的操作。BLP模型是一个状态机模型,它形式化定义了模型中的概念,证明了其中的定理和结论并表明系统可通过数学推导证明其自身的安全性。BLP模型从形式化的角度描述了安全系统中所允许的信息流动路径,定义了同时处理不同敏感度数据的系统的安全需求,是多级安全数据库系统设计的基础。
BLP模型中的敏感度标记是一个由安全级别标记(label of security level)和安全范围标记(label of security category)所构成的二元组。安全级别标记是一个数字,它规定了主、客体的安全级别,在访问时只有主体级别与客体级别满足一定比较关系时,访问才能被允许。安全范围标记是一个集合,它规定了主体访问的范围,在访问时只有主体的范围标记与客体的范围标记满足一定包含关系时,访问才能被允许。BLP模型中的敏感度标记的偏序关系“≤”定义如下:L1 ≤L2当且仅当L2的安全级别标记大于或等于L1的安全级别标记,且L2的安全范围标记包含或等于L1的安全范围标记。
BLP模型制订了一组安全性公理,其中以下两个特性,说明了安全信息流的特点。
考虑一个安全数据库系统,包括主体集合S和客体集合O。对于S中的每个主体s和O中的每个客体o,存在固定的安全类SC(s)和SC(o),安全类满足偏序关系“≤”。则有:
(1)简单安全特性(simple security property): 当且仅当SC(o)≤SC(s)时,主体s才可以读客体o。
(2)*-特性(*-property): 当且仅当SC(s)≤SC(o)时,主体s才可以写客体o。
在线咨询
