一个修改BLP安全模型的设计及在SecLinux上的应用方案.PDFVIP

1000-9825/2002/13(04)0567-07 ©2002 Journal of Software 软 件 学 报 Vol.13, No.4 一个修改BLP 安全模型的设计及在SecLinux 上的应用 刘文清, 卿斯汉, 刘海峰 ( 中国科学院 软件研究所 信息安全技术工程研究中心,北京 100080) E-mail: lwq@ 摘要: 建立了一个面向最小特权管理的修改BLP 安全模型.该模型引入了角色管理、域隔离、隐蔽通道限制、 病毒防护等概念,并实际应用于自主开发的安全操作系统SecLinux 中. 关 键 词: 计算机安全模型;安全操作系统设计;最小特权管理;域隔离 中图法分类号: TP309 文献标识码: A 形式化的安全模型是设计开发高级别安全操作系统的前提.一个操作系统是安全的,是指它满足某一给定 的安全策略,安全模型则是对安全策略所表达的安全需求简单、抽象和无歧义的描述. 目前,人们只公认少数几 个安全模型,用于实际系统的就更少了. 建立计算机安全模型是一项十分困难的工作,既要具备一定的条件,又需付出很大的努力才能完成.但对于 安全操作系统开发者来说,可以对现有的几种安全模型作深入的研究,并面向自己的安全策略作修改, 以满足安 全需求[1,2],像BLP 模型就已经成功地应用在许多安全系统的设计中. 1 BLP 模型 1.1 BLP模型简介 [3~5] BLP(Bell-La Padula)模型是一个状态机模型 ,它由David Bell 和Leonard La Padula 于 1973 年创立,是模 拟符合军事安全策略的计算机操作的模型,也是最早和最常使用的一种模型.它形式化地定义了系统状态及状 态间的转换规则,并制定了一组约束系统状态间转换规则的安全公理. (1) 系统状态 系统状态是集合 V=(B ×M ×F ×H) 中的元素,其中 B⊆(S×O×A )为当前存取集,S 为主体的集合,O 为客体的集 合,A 为访问权限集合,它由以下元素组成:e(执行) 、r(读) 、a(追加写) 、w(写)和-(空);M 为存取控制矩阵,它由元 素m ∈A 组成,m 表示主体S 对客体 O 具有的访问权;F 为安全级函数, 由以下3 个分量组成:fm 为主体的最大 ij ij i j 安全级,fo 为客体的安全级,fs 为主体的当前安全级;H 为当前层次结构,即当前客体的树型结构. 系统任一状态v=(b,M ,f ,H) ∈V,其中b=(S ,O ,x) ∈B ,x⊆m ;f= (fm ,fo ,fs ) ∈F . i j ij (2) 状态转换规则 系统状态间的转换是由一组规则定义的,规则为函数,它说明对任意状态,输入(请求)所产生的下一状态及 输入(判定). 收稿日期: 2000-07-03; 修改日期: 2000-12-05 基金项目: 国家自然科学基金资助项目; 国家重点基础研究973 发展规划资助项目(G 1999035810); 中国科学院知识 创新工程资助项目(YC2K5609); 作者简介: 刘文清(1967 －), 男,河南虞城人,博士生,副研究员,主要研究领域为操作系统安全, 网络安全;卿斯汉(1939 －), 男,湖 南邵阳人,研究员,博士生导师,主要研究领域为信息系统安全理论与技术;刘海峰(1975 －), 男, 山东泰安人,博士生,主要研究领域为信 息系统安全理论与技术. 568 Journal of Software 软件学报 2002,13(4) 一个规则的定义为ρ:R×V→D ×V,R ×V 为系统中“请求-状态对”集合,D ×V 为系统中“判定-状态对”集合.R 为 请求集,D 为判定集.判定的结果为(Yes,No, ？)之一.“Yes”表示请求被执行,“No”表示请求被拒绝,“ ？”表示规则 不能处理该请求.