简述BLP模型 |
您所在的位置:网站首页 › blp模型的主要内容 › 简述BLP模型 |
简述 BLP 模型
BLP 模型简介
BLP 模型从“访问控制”的角度研究如何既保证主体能有效地访问客体, 又得系统的安全性不致遭到破坏的性质和规则,是一种在计算机系统内实施多 极安全策略和自主安全策略的访问控制模型,通过制定主体对客体的访问规则 和操作权限来保证系统的安全性。
从本质上来说. BLP 模型是一个状态机模型,它形式化定义系统、系统状 态以及系统状态间的转换规则;定义安全的概念,并制定了一组安全特性。以 此对系统状态和状态转换规则进行限制和约束.使得对于一个系统,如果它的 初始状态是安全的,并且所经过的一系列的规则都保持安全特性,那么可以证 明该系统是安全的。
BLP 模型定义了系统、系统状态、状态间的转换规则,安全概念、制定了 一组安全特性,对系统状态、状态转换规则进行约束,如果它的初始状态是安 全的,经过一系列规则都是保持安全的,那么可以证明该系统是安全的。
BLP 模型的基本安全策略是“下读上写”,即主体对客体向下读、向上写。 主体可以读安全级别比他低或相等的客体,可以写安全级别比他高或相等的客 体。“下读上写”的安全策略保证了数据库中的所有数据只能按照安全级别从 低到高的流向流动,从而保证了敏感数据不泄露。
BLP 模型存在的主要问题
(1) 理论体系的争议:文献 Mclean J A comment on the basic security theorem of Bell and LaPadula 认为 BLP 模型对于实际系统的设计与实现指导意 义不大.由于没有提供安全条件的语义说明,模型中的基本安全定理( BST )并 不能对给定的任意属性集提供类似证明。文献 Mclean J A comment on the basic security theorem of Bell and LaPadula 与 Landwehr CE.Heitmeyer CL.McLean J A security model for military message systems 还认为,仅仅 通过定义安全状态来定义安全系统是不够的,需要考虑状态的转换。文献安全 Linux 操作系统及安全 Web 系统的形式化建模与实现则认为,如果 BLP 模型不包括 其相对于实际实现的规.那么模型本身并不能保证模型的安全性;但如果包含 这些规则,模型的安全性仍不能仅仅通过它们得以实现。
(2) 完整性问题:由于 BLP 模型当初以军事系统应用为背景,因此它只注重 考虑信息的机密性,并没有处理完整性问题。但对于大多数商业应用而言.信 息完整性意义更为重大。
(3) 灵活性问题: BLP 模型没有调整安全级的相关策略,即满足所谓“宁静 性原则”.与实际中主客体的安全级能够灵活调整的要求不符。虽然在后继工 作中加入了 Downgrade 和 Declassify 的概念,但仍不能很好地解决这一问题。 同时 BLP 模型没有涉及权限的管理。
(4) 可信主体问题:为了使模型得以实际应用, BLP 模型提出了可信主体, 但可信主体权限过大和过于集中正是 BLP 模型备受指责的原因之一。在实际系 统中,可信主体若不违背 BLP 模型的规则就不能正常完成所需任务.而 BLP 模 型对这些可信主体可能引起的泄露危机没有任何处理和避免的方法。
(5) 隐通道问题: BLP 模型不能避免隐通道。虽然该模型控制信息不能直接 由高向低流动,但是高级别主体仍然可以通过间接方式同低级别主体通信。
(6) 扩展性问题: BLP 模型为通用的计算机系统定义了安全性属性,即以一 组规则表示什么是一个安全的系统,但是它不能更一般地以语义的形式阐明安 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |