BLP模型的分析与改进

,在BLP模型的基础上提出了一种基于时间限制的多级安全模型，并将该模型应用到安全文件系统的设计中来，既充分利用了BLP模型的安全策略，又极大的提高了安全文件系统的灵活性。BLP(Bell-LaPadula)模型由Bell和LaPadula于1973年提出来，被认为是多级安全领域的经典模型，它为安全操作系统的研究奠定了良好的基础。它通过一系列的形式化定义描述了系统状态，并制定了系统状态的转换规则。BLP模型主要通过三个属性来约束主体对客体的访问。并且一个系统只有当初始状态安全，且每次状态转换都满足以下三个属性时才是安全的。自主安全属性:主体对客体的访问权限必须包含于当前的访问控制矩阵。权限。简单安全属性:只有主体的安全级别高于客体的安全级别时，主体才拥有对客体的读/写随着对BLP模型的深入研究和工程应用，越来越多的问题暴露了出来。BLP模型已经不能满足各种各样的安全需求。(l)BLP模型的平稳性原则限制了系统的灵活性。客体的安全等级有一定的时效性超过保密期限应予以调整;高级别主体可能产生公开信息(2) 可信主体不符合最小特权原则。由于可信主体不受(3) 隐通道问题。即使BLP模型控制信息不能由高到低流动通过间接方式通信。在安全文件系统的设计过程中在进行多域安全虚拟个人计算机系统设计时人计算机系统的安全文件系统是在BLP模型分析的基础上统的文件访问控制安全策略，修改建立的，定义模型元素如下定义1S为主体的集合参照文献为安全级别的集合L为安全等级的集合合，其中为只读，而BLP模型禁止其向低级别流动。*-属性约束，导致了权限过大。，不同安全级别的主体仍可以，很好的解决了以上问题。对安全模型进行了设计.多域安全虚拟个，结合多域安全虚拟个人计算机系，记为IBLP(ImprovedBLP).2.1IBLP模型定义，为可信主体集合，为非可信主体集合。，包含了主体的安全许可和客体的敏感级别。，其中，。为L上的偏序关系。，为读写，为追加，为执行。定义2在模型中增加保密期限因素允许非密级信息的由高到低传递。系统状态中，为X的幂集。M为系统可能的访问控制矩阵的集合。全等级标记函数，为主体的当前安全等级标记函数体的当前安全等级标记函数0为客体的集合。K为安全类别的集合。T为时间集合。为访问方式的集，以提高系统的灵活性V为五元组。其中，实现客体的密级调整:为当前访问集合。其f为五元组。其中为主体的安为客体的安全等级标记函数为客，为客体的降密后的安全等级标记函数。，。的值取决于客BLP模型的分析与改进随着网络化和计算机技术的飞速发展，对pc的安全性和易用性提出了越来越高的要求传统的PC系统结构以效率优先而不是以安全优先原则设计的，因此现有的PC系统越来越容易遭受黑客、间谍软件和病毒的攻击。针对传统PC系统结构安全性方面的缺陷，结合当今可信计算技术和终端平台虚拟化技术，研究先进的多域安全虚拟个人计算机系统，以解决我国日益突出的个人计算机信息安全的该关键问题，为我国政府、军队等关键部门提供可信的个人计算机系统。而安全文件系统是多域安全虚拟个人计算机系统的核心组成部分，通过一般的树型结构平面文件系统不易于实现高安全标准的要求。通过充分借鉴银河麒麟操作系统层次式内核的成功经验体当前安全级检查函数的检查结果。H为层次函数对于每一个，的集合，这些函数有两个特征，设，有，且。TS为时间的集合，为保密期开始时间，那么:如果，则;不存在集合，为保密期终止时间使得为系统当前时间。定义3保密期限集合DT,。定义4降级映射函数:。其中。由与客体安全级别相同的可信主体指定客体降密后的安全级别。定义5保密期限检查函数。其中。与客体安全级别相同的可信主体对客体进行保密期限检查,检查的结果有两种,表示客体的保密期限是永久的需要长期保密的文件类客体,表示客体的保密期限。定义6当前客体安全级检查函数。定义7涉密检查函数。其中。与客体安全级别相同的可信主体对客体进行涉密检,用于一些设备或者是查,检查的结果有两种,Y表示通过检查，即该客体的内容未涉及该保密级的秘密信息表示未通过检查，即该客体的内容涉及该保密级的秘密信息。定义8R表示访问请求的集合。每个请求的可能结果有许，表示非法请求，表示错误。用D表示结果集合。集合是系统的行为集合。实体提交一个R里的请求，就会产生D里的决策，使系统从V里的一个状态转换到另一个状态。定义9系统通过如下内容确定，当且仅当对于所有，。其中，表示系统初始状态。2.2IBLP模型属性定义11为客体的集合，其中S对客体具有的访问权限:。下面定义模型的三个安全属性，不同于BLP模型,在安全属性中考虑了时间因素.客体的当前安全等级与时间有关，其值由客体当前安全等级标记函数确定.属性1状态满足简单安全属性，当且仅当对于每个，下面的式子成立:属性1中主体的安全等级与客体的当前安全等级进行比较。客体的当前安全等级由当前客体安全4个:表示允许，表示不允级检查函数决定。属性2状态满足*-安全属性，当且仅当对于每个属性3状态满足自主安全属性，当且仅当对于每个，下面的式子成立:，。基于时间的多级安全模型的自主安全属性同BLP模型的自主安全属性，未发生变化。2.3IBLP模型推论响应为。状态改变如下:客体加入到层次结构中,直接位于之下。根据保密期限检查函数的结果,对新创建客体设安全级别和保密期限。如果,则,;如果,则,。推论2如果在当前访问集合中,Si对Oj只有权限,Lu支配客体Oj的安全等级且Lu支配主体Si的安全等级，则：a.创建，使的安全等级与使的安全等级与Si的安全等级相同且在层次关系中位于下发生改变；否则，在Oj下创建，设置安全级别和保密期限和。Si的安全等级相同；b.创建;c.如果，则响应为，状态不,;d.调用文献中的规则9,删除推论3否则响应为，状态不发生改变以下为文献中的规则9：删除客体组。请求的形式为，主体Si请求删除客体Oj。若成功将删除在层次结构中Oj下属的所有客体。文献中的规则共有11条，本模型主要影响了第8条规则，其余规则只需要将替换为即可。客体创建规则:请求R为主体Si请求创建一个安全级为Lu的客体，在层次结构中为的直接上级。若请求格式不正确，则响应为，状态不发生改变。否则，对以下条件进行检查:推论1如果在当前访问集合中,Si对Oj有或权限且Lu支配客体Oj的安全等级，对以下条件进行检查:Si在当前Oj不是根客体。如果上述条件Oj有访问权限的主体或Oj的所Oj有访问权限的主体或Oj若请求格式不正确，则响应为，状态不发生改变。否则的访问列表中对客体Oj的直接上级有写访问权限并且满足，响应为，状态变化如下：(1)在当前访问列表中对有下属客体对Oj的访问被删除。(2)在访问控制矩阵中对的所下属客体对Oj的访问被删除。否则,响应为,状态不发生变化。(3)Oj和所有Oj的下属对象从层次结构中被删除。3安全文件系统关键技术系统安全性经典BLP模型中，可信主体不符合最小特权原则，导致了权限过大。而多域安全虚拟计算机系统，通过可信技术的辅助，从系统加电启动，应用程序的运行系统调用，内存更改，都做到了可信保证。使可信主体的操作做到真正的“可信”，从而使可信主体的权限过大问题做到最小化处理。设置了多级安全目录,按照不同密级进行了划分,文件资源的密级调整严格遵循时间限制和BLP模型的操作策略。,高级别的信息做到了有原则的向低级别流动。这主要很好的解决了隐通道问题依靠IBLP模型的改进。,通过策略库的文件操作策略存储,提高了日常，按照“needtoknow”的原则，不,而是有请求才会有调整,使安全性的开发对系统效率在保证文件系统安全性的前提下文件操作的过滤匹配操作。对文件的密级调整操作会自动去对文件密级进行调整的影响降到最低。由于hypervisor层的引入，避免了在实现安全文件系统时对系统内核做大的改动系统的调用触发的功能实现都是基于在安全文件系统上运行，实现了很好的向上兼容性。hyDpervisor层。因此，应用程序可以无改动的BLP模型作为经典安全模型IBLP模型，并应用到安全文件系统中来，在实际应用中存在诸多不足和限制。本文通过设计，极大的改进了多域安全虚拟计算机系统的文件资源的访问灵活性，同时提供了极高的安全保证。