Tải bản đầy đủ

Xây dựng hệ mật Bell la padula ATHDH_PTIT

Xây dựng mô hình đảm bảo tính bí mật Bell-La Padula.
Mô hình Bell-La Padula là mô hình luồng thông tin phổ biến nhất hướng tới việc bảo vệ tính bí mật. Để
thực hiện việc kiểm soát truy nhập, mô hình này định nghĩa mức độ an toàn cho các đối tượng dữ liệu.
Các đặc trưng của mô hình này như sau:
-

1.
-

Quyền truy nhập được định nghĩa thông qua ma trận truy nhập và thứ tự mức an toàn.
Các chính sách an toàn ngăn chặn luồng thông tin đi xuống từ mức an toàn cao xuống mức thấp
Mô hình này chỉ xem xét luồng thông tin xảy ra khi có sự thay đổi hay quan sát một đối tượng.

Mô tả các biến trạng thái
S = Tập các chủ thể
O = Tập các đối tượng(hay tài liệu)
sclass(s) = lớp truy nhập của chủ thể s
oclass(o) = lớp truy nhập của đối tượng o
A(s,o) = Tập các chế độ truy nhập, nhận các giái trị sau
o {r} Nếu chủ thể s có thể đọc đối tượng o
o {w} Nếu chủ thể s có thể ghi lên đối tượng o

o {r,w} Nếu cả đọc và ghi ∅ Nếu không được đọc cũng như ghi
o contents(o) = nội dung của đối tượng o
o subj = chủ thể hoạt động
2. Trạng thái hệ thống tại bất kỳ thời điểm nào được biểu diễn bằng tập giá trị của tất cả các biến
trạng thái
o {S,O,sclass,oclass,A,contents,subj}
3. Trạng thái an toàn chính là biểu diễn toán học của các mô tả thể hiện chính sách truy nhập
mong muốn. Trạng thái này thể hiện bất biến (invariant) của hệ thống. Hệ thống an toàn khi và
chỉ khi ∀s ∈ S, o ∈ O.
o r : sclass(s) ≥ sclass(o): để đọc được đối tượng(tài liệu) cần có mức an toàn chủ thể cao
hơn mức an toàn của đối tượng( no read up)
VD:Để đọc được đối tượng ở mức confidential thì mức an toàn của chủ thể phải ở mức
secret hoặc top secret.
o w : sclass(s) ≤ sclass(o) để ghi được đối tượng(tài liệu) cần có mức an toàn đối tượng cao
hơn mức an toàn của chủ thể( no write down)


VD:Để ghi được đối tượng ở mức confidential thì mức an toàn của chủ thể phải ở mức
public và mức an toàn để ghi vẫn là secret và top secret.
4. Các hàm dịch chuyển trạng thái
- Create_object (o,c) (tạo đối tượng o và lớp truy cập c).
Nếu o ∉ O
thì 'O = O ∪ {o} và
'oclass(o) = c và
Với mọi s ∈ S, 'A(s,o) = ∅.
- Set_access (s,o, modes) (thiết lập chế độ truy nhập cho chủ thể s tới đối tượng o.Với mode là
các nhãn an toàn)
Nếu s ∈ S và o ∈ O
và nếu {[r ∈ modes and sclass(s) ≥ oclass(o)] hoặc r ∉ modes) và
{[w ∈ modes và oclass(o) ≥ sclass(s)] hoặcr w ∉ modes}
thì 'A(s,o) = modes.
5. Trạng thái ban đầu thể hiện giá trị khởi tạo của các biến trong hệ thống :
{S0,O0,sclass0,oclass0,contents0,subj0}
hay có thể biểu diễn như sau:
∀s ∈ S0, o ∈ O0
sclass0(s) = c0
oclass0(o) = c0
A0(s,o) = {r,w}.
Ví dụ minh họa:
Ta có mô hình user s = { dog, pig, cat } có thể đọc hoặc ghi(hoặc cả 2)


a.< top secret; { dog }>
b.< secret; { dog }>
c.< secret; { dog, cow }>
d.< secret; { moose }>
e.< confidential; { dog, pig, cat }>

a.No read (as top secret > secret); no write (as { dog, cat, pig } ⊄ { dog })
b. Read (as secret = secret and {dog} ⊆ { dog, cat, pig }); no write (as { dog, cat, pig } ⊄ { dog })
c. No read (as { dog, cow } ⊄ { dog, cat, pig }); no write (as { dog, cat, pig } ⊄ { dog, cow })
d. No read (as { moose } ⊄ { dog, cat, pig }); no write{ dog, cat, pig } ⊄ { dog, moose })
e. Read (as confidential < secret and { dog, pig, cat } ⊆ { dog, cat, pig }); no write (as confidential < secret)



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay

×