BLP模型（Bell-La Padula模型）-CSDN博客

第三章 BLP模型（Bell-La Padula模型）

是对安全策略形式化的第一个数学模型，是一个状态机模型，用状态变量表示系统的安全状态，用状态转换规则来描述系统的变化过程。

一、模型的基本元素

模型定义了如下的集合：

S={s₁,s₂,…,s_n} 主体的集合，主体：用户或代表用户的进程，能使信息流动的实体。

O={o₁,o₂,…,o_m} 客体的集合，客体：文件、程序、存贮器段等。（主体也看作客体S O）

C={c₁,c₂,…,c_q} 主体或客体的密级（元素之间呈全序关系）,c₁≤c₂≤…≤c_q.

K={k₁,k₂,…,k_r} 部门或类别的集合

A={r,w,e,a,c} 访问属性集，其中，r：只读；w：读写；e：执行；a：添加（只写）； c：控制。

RA={g,r,c,d} 请求元素集

g：get（得到），give（赋予）

r：release（释放），rescind（撤销）

c：change（改变客体的安全级），create（创建客体）

d：delete（删除客体）

D={yes,no,error,?} 判断集（结果集），其中

yes：请求被执行；

no：请求被拒绝；

error：系统出错，有多个规则适合于这一请求；

?：请求出错，规则不适用于这一请求。

μ={M₁,M₂,…,M_p} 访问矩阵集，其中元素M_k是一n×m的矩阵，M_k的元素M_ij A。

F=C^S×C^O×(P_K)^S×(P_K)^O，其中，

C^S={f₁|f₁：S→C} f₁给出每一主体的密级；

C^O={f₂|f₂：O→C} f₂给出每一客体的密级；

(P_K)^S={f₃|f₃：S→P_K} f₃给出每一主体的部门集；

(P_K)^O={f₄|f₄：O→P_K} f₄给出每一客体的部门集。

其中，P_K表示K的幂集（P_K=2^K）。

F的元素记作f=(f₁,f₂,f₃,f₄)，给出在某状态下每一主体的密级和部门集，每一客体的密级和部门集，即主体的许可证级（f₁,f₃），客体的安全级（f₂,f₄）。

二、系统状态

V=P_(S_×_O_×_A)×μ×F是状态的集合，状态v=(b,M,f)用有序三元组表示，其中

b S×O×A，是当前访问集。

M是访问矩阵，它的第i行，第j列的元素M_ij A表示在当前状态下，主体S_i对客体O_j所拥有的访问权限。

f=(f₁,f₂,f₃,f₄)，其中，f₁(s)和f₃(s)分别表示主体s的密级和部门集，f₂(s)和f₄(s)分别表示客体O的密级和部门集。

三、安全特性

⑴自主安全性

状态v=(b,M,f)满足自主安全性，当且仅当对所有的(s_i,o_j,x)∈b，有x∈M_ij。

⑵简单安全性

状态v=(b,M,f)满足简单安全性，当且仅当对所有的(s,o,x)∈b，有

（i）x=e或x=a或x=c

或(ii) (x=r或x=w)且(f₁(s)≥f₂(o)，f₃(s)f₄(o))。

e,c,a

(高)

(低)

r,w

⑶*—性质

O₁

(高)

O₂

(低)

O₁

(高)

O₂

(低)

状态 v=(b,M,f) 满足 * —性质，当且仅当对所有的 s ∈ S ，若 o₁ ∈ b(S:w,a) ， o₂ ∈ b(S:r,w), 则 f₂(o₁) ≥ f₂(o₂) ， f₄(o₁)f₄(o₂) ，其中符号 b(S:x₁, … ,x_n) 表示 b 中主体 s 对其具有访问特权 x_i(1 ≤ i ≤ n) 的所有客体的集合。

解释：

O₁

(高)

O₂

(低)

O₁

O₂

(级别)

相等

一个状态v如果满足上述三条性质，那么v才是安全状态。

四、请求

R=S⁺×RA×S⁺×O×X 请求集（不是请求元素集），它的元素是一个完整的请求。其中S⁺=S { }，X=A { } F。

R中的元素是一个五元组，代表一次请求或一个操作。

T={1,2,…,t,…} 离散时刻的集合（标识）。用作请求序列，结果序列和状态序列的下标；

X=R^T={x|x:T→R}，其中元素x可表示为x=x₁x₂x₃…x_t…是一个请求序列，每一时刻有一请求，构成一个请求序列，因此X是请求序列的集合；

Y=D^T={y|y:T→D}，其中元素y=y₁y₂y₃…y_t…是一个结果序列，每一时刻的请求导致一个判断（或结果），构成一个结果序列，Y是结果序列的集合；

Z=V^T={z|z:T→V}，其中元素z=z₁z₂z₃…z_t…是一个状态序列，每一z_t∈V，表示时刻t时系统的状态。Z是状态序列的集合

五、状态转换规则

系统状态的转换由一组规则定义，一个规则P定义为：R×V→D×V。其中：R是请求集，D为判断集，V是状态集。

也就是说，P规定对于给定的一个状态和一个请求，系统产生一个判断和下一个状态，只有当D的取值为“yes”时，请求才被执行，状态才发生转换。

BLP模型定义了十条基本规则（后来又有所扩充）：

规则1～规则4分别用于主体请求对客体的读（r），添加（a），执行（e）和写（w）的访问权。(φ,g,s_i,o_j,r), (φ,g,s_i,o_j,a), (φ,g,s_i,o_j,e), (φ,g,s_i,o_j,w)。

规则5用于主体释放它对某客体的访问权（包括r，或a，或e，或w）。(φ,r,s_i,o_j,x)

规则6和规则7分别用于一个主体授予和撤销另一个主体对某客体的访问权。

(s_λ,g,s_i,o_j,r) (s_λ,r,s_i,o_j,r)

规则8用于改变静止客体的密级和类别集。(φ,c,φ,o_j,f^*)

规则9和规则10分别用于创建和删除（使之成为静止）一个客体。

(φ,c,s_j, o_j,e) (φ,d, s_i,o_j,φ)

(φ,c, s_i,o_j,φ)

规则1：主体s_i请求得到对客体o_j的r访问权

get-read P₁(R_k,v)

if σ₁ φ or γ g or x r or σ₂=φ then

P₁(R_K,v)=(?,v)

if r M_ij or (f₁(s_i)<f₂(o_j) or f₃(s_i) f₄(o_j))

then P₁(R_K,v)=(no,v)

if ={o|o b(s_i:w,a) and [f₂(o_j)>f₂(o) or f₄(o_j) f₄(o)]}= φ

then P₁(R_K,v)=(yes,v^*=(b {(s_i,o_j,r)},M,f))

else P₁(R_K,v)=(no,v)

end

规则2：主体s_i请求得到对客体o_j的a访问权

get-append：P₂(R_K,v)

如果 σ₁ φ or γ g or x a or σ₂=φ，则P₂(R_K,v)=(?,v)

如果 a M_ij，则P₂(R_K,v)=(no,v)

如果 ={o|o b(s_i:r,w) and [f₂(o_j)<f₂(o) or f₄(o_j)f₄(o)]}=φ

则 P₂(R_K,v)=(yes,v^*=(b {(s_i,o_j,a)},M,f))

否则 P₂(R_K,v)=(no,v)

end

规则3：主体s_i请求得到对客体o_j的e访问权

get-execute：P₃(R_K,v)

if σ₁ φ or γ g or x e or σ₂=φ then P₃(R_K,v)=(?,v)

if e M_ij then P₃(R_K,v)=(no,v)

else P₃(R_K,v)=(yes,v^*=(b {(s_i,o_j,e)},M,f))

end

规则4：主体s_i请求得到对客体o_j的w访问权

get-write：P₄(R_K,v)

if σ₁ φ or γ g or x w or σ₂=φ then P₄(R_K,v)=(?,v)

if w M_ij or [f₁(s_i)<f₂(o_j) or f₃(s_i) f₄(o_j)]

then P₄(R_K,v)=(no,v)

if ={o|o b(s_i:r) and [f₂(o_j)<f₂(o) orf₄(o_j) f₄(o)]}

{o|o b(s_i:a) and [f₂(o_j)>f₂(o) or f₄(o_j) f₄(o)]}

{o|o b(s_i:w) and [f₂(o_j) f₂(o) or f₄(o_j) f₄(o)]}=φ

then P₄(R_K,v)=(yes,v^*=(b {(s_i,o_j,w)},M,f))

else P₄(R_K,v)=(no,v)

end

规则5：主体s_i请求释放对客体o_j的r或w或e或a访问权

release-read/write/append/execute：P₅(R_K,v)

if (σ₁ φ) or (γ r) or (x r,w,a and e) or (σ₂=φ)

then P₅(R_K,v)=(?,v)

else P₅(R_K,v)=(yes,v^*=(b-{(s_i,o_j,x)},M,f))

end

规则6：主体s_λ请求授予主体s_i对客体o_j的r或w或e或a访问权

give-read/write/append/execute P₆(R_K,v)

if (σ₁ S) or (γ g) or (x r,w,a and e) or (σ₂=φ)

then P₆(R_K,v)=(?,v)

if x M_λj or c M_λj then P₆(R_K,v)=(no,v)

else P₆(R_K,v)=(yes,(b,M [x]_ij,f))

end

规则7：主体s_λ请求撤销主体s_i对客体o_j的r或w或e或a访问权

rescind-read/write/append/execute：P₇(R_K,v)

if (σ₁ S) or (γ r) or (x r,w,a and e) or (σ₂=φ) then

P₇(R_K,v)=(?,v)

if x M_λj or c M_λj then P₇(R_K,v)=(no,v)

else P₇(R_K,v)=(yes, (b-{(s_i,o_j,x)},M [x]_ij,f))

end

规则8：改变静止客体的安全级

change-f：P₈(R_K,v)

if (σ₁ φ) or (γ c) or (σ₂ φ) or x F

then P₈(R_K,v)=(?,v)

if f₁ or f₃ or [ (o_j) f₂(o_j) or (o_j) f₄(o_j) for j A(m)]

注：A(m)表示活动客体的集合

then P₈(R_K,v)=(no,v)

else P₈(R_K,v)=(yes,(b,M,f^*))

end

规则9：主体s请求创建客体o_j

create-object：P₉(R_K,v)

if σ₁ φ or γ c or σ₂=φ or (x e and φ) then

P₉(R_K,v)=(?,v)

if j A(m) then P₉(R_K,v)=(no,v)

if x=φ then P₉(R_K,v)=(yes,(b,M [{r,w,a,c}]_ij,f))

else P₉(R_K,v)=(yes,(b,M [{r,w,a,c,e}]_ij,f))

end

规则10：主体s请求删除客体o_j

delete-object：P₁₀(R_K,v)

if σ₁ φ or γ d or σ₂=φ or x φ then

P₁₀(R_K,v)=(?,v)

if c M_ij then P₁₀(R_K,v)=(no,v)

else P₁₀(R_K,v)=(yes,（b,M [{r,w,a,c,e}]_ij,1_≤_i_≤_n,f))

end

六、系统的定义

1．R×D×V×V={(r_K,d_m,v^*,v) | r_K R,d_m D,v^*,v V}

即，任意一个请求，任意一个结果（判断）和任意两个状态都可组成一个上述的有序四元组，这些有序四元组便构成集合R×D×V×V。

2．设ω={P₁,P₂,…P_s}是一组规则的集合，定义W(ω) R×D×V×V.

⑴(r_k,?,v,v) W(ω) iff对每个i,1≤i≤s,P_i(r_k,v)=(?,v)

⑵(r_k,error,v,v) W(ω) iff存在i₁,i₂,1≤i₁,i₂≤s,使得对于任意的v^* V有P_i1(r_k,v) (?,v^*)且P_i2(r_k,v) (?,v^*)。

⑶(r_k,d_m,v^*,v) W(ω),d_m ?,d_m error，iff存在唯一的i，1≤i≤s，使得对某个v^*和任意的v^** v，P_i(r_k,v) (?,v^**)，P_i(r_k,v)=(d_m,v^*)。

以上定义说明W(ω)只包含R×D×V×V中一部分四元组，或某些特定的四元组。若某(r_k,d_m,v^*,v) W(ω)，则说明该四元组一定满足上述定义中（3条）的某一条，亦即意味着在状态v下，发出某请求r_k后，按照某条规则，其结果为d_m，状态v转换成状态v^*。因此W(ω)是由ω中的一组规则所定义的有序四元组所组成。

3．X×Y×Z={(x,y,z)|x X,y Y,z Z},其中，

x=x₁x₂…x_t…是请求序列，X是请求序列集；

y=y₁y₂…y_t…是结果序列，Y是结果序列集；

z=z₁z₂…z_t…是状态序列，Z是状态序列集。

任意一个请求序列，任意一个结果序列和任意一个状态序列均可组成一个有序三元组，X×Y×Z即由所有这样的有序三元组所构成。

4．系统表示为∑(R,D,W(ω),z₀)，定义为：

∑(R,D,W(ω),z₀) X×Y×Z,只含有其中一部分有序三元组，X×Y×Z中的有序三元组(x,y,z) ∑(R,D,W(ω),z₀),iff对每一个t T，(x_t,y_t,z_t,z_t-1) W(ω)。

z₀是系统的初始状态，通常表示为(φ,M,f)

令 x=x₁x₂…x_t…是请求序列；

y=y₁y₂…y_t…是结果序列；

z=z₁z₂…z_t…是状态序列。

若(x,y,z) ∑(R,D,W(ω),z₀)，则意味着对于所有的t T，(x_t,y_t,z_t,z_t-1) W(ω)，即符合ω所规定的操作规则。