计算机安全论文：一个改进BLP模型及在安全文件系统上应用.docVIP

计算机安全论文：一个改进的BLP模型及在安全文件系统上的应用 摘要:BLP作为经典安全模型,在安全系统的设计与实现方面得到了广泛应用,但是其严格的遵循平稳性原则,限制了系统的灵活性,实用价值有限。本文对BLP模型进行了改进,设计了IBLP模型框架,并应用到多域安全虚拟个人计算机系统的设计实现中,极大的提高了文件系统的灵活性,同时提供了高安全保证。 关键词:BLP模型;多域安全虚拟计算机;文件系统;降密 引言 随着网络化和计算机技术的飞速发展,对PC的安全性和易用性提出了越来越高的要求,传统的PC系统结构以效率优先而不是以安全优先原则设计的,因此现有的PC系统越来越容易遭受黑客、间谍软件和病毒的攻击。 针对传统PC系统结构安全性方面的缺陷,结合当今可信计算技术和终端平台虚拟化技术,研究先进的多域安全虚拟个人计算机系统,以解决我国日益突出的个人计算机信息安全的该关键问题,为我国政府、军队等关键部门提供可信的个人计算机系统。而安全文件系统是多域安全虚拟个人计算机系统的核心组成部分,通过一般的树型结构平面文件系统不易于实现高安全标准的要求。 通过充分借鉴银河麒麟操作系统层次式内核的成功经验,在BLP模型的基础上提出了一种基于时间限制的多级安全模型,并将该模型应用到安全文件系统的设计中来,既充分利用了BLP模型的安全策略,又极大的提高了安全文件系统的灵活性。 1 BLP模型简介 BLP(Bell-LaPadula)模型由Bell和LaPadula于1973年提出来,被认为是多级安全领域的经典模型,它为安全操作系统的研究奠定了良好的基础。它通过一系列的形式化定义描述了系统状态,并制定了系统状态的转换规则。 BLP模型属性 BLP模型主要通过三个属性来约束主体对客体的访问。并且一个系统只有当初始状态安全,且每次状态转换都满足以下三个属性时才是安全的。 自主安全属性:主体对客体的访问权限必须包含于当前的访问控制矩阵。 简单安全属性:只有主体的安全级别高于客体的安全级别时,主体才拥有对客体的读/写权限。 *-属性:对非可信主体,主体的安全级别高于客体的安全级别,主体可以读客体;客体的安全级别高于主体的安全等级,主体可以写客体;主体的安全级别等于客体的安全级别,主体可以读/写客体。而可信主体可以不受*-属性约束。 1.2 BLP模型分析 随着对BLP模型的深入研究和工程应用,越来越多的问题暴露了出来。BLP模型已经不能满足各种各样的安全需求。 (1)BLP模型的平稳性原则限制了系统的灵活性。客体的安全等级有一定的时效性,超过保密期限应予以调整;高级别主体可能产生公开信息,而BLP模型禁止其向低级别流动。 (2)可信主体不符合最小特权原则。由于可信主体不受*-属性约束,导致了权限过大。 (3)隐通道问题。即使BLP模型控制信息不能由高到低流动,不同安全级别的主体仍可以通过间接方式通信。在安全文件系统的设计过程中,很好的解决了以上问题。 2 IBLP模型设计 在进行多域安全虚拟个人计算机系统设计时,对安全模型进行了设计.多域安全虚拟个人计算机系统的安全文件系统是在BLP模型分析的基础上,结合多域安全虚拟个人计算机系统的文件访问控制安全策略,修改建立的,记为IBLP(Improved BLP).2.1 IBLP模型定义 参照文献,定义模型元素如下: 定义1 S为主体的集合,为可信主体集合,为非可信主体集合。O为客体的集合。C为安全级别的集合,包含了主体的安全许可和客体的敏感级别。K为安全类别的集合。L为安全等级的集合,,,其中,。为L上的偏序关系。T为时间集合。为访问方式的集合,其中为只读,为读写,为追加,为执行。 定义2在模型中增加保密期限因素,以提高系统的灵活性,实现客体的密级调整,允许非密级信息的由高到低传递。系统状态V为五元组。其中:为当前访问集合。其中,为X的幂集。M为系统可能的访问控制矩阵的集合。f为五元组。其中为主体的安全等级标记函数,为主体的当前安全等级标记函数,为客体的安全等级标记函数,为客体的当前安全等级标记函数,为客体的降密后的安全等级标记函数。,。的值取决于客体当前安全级检查函数的检查结果。 H为层次函数,的集合,这些函数有两个特征,设,那么:如果,则;不存在集合,使得对于每一个,有,且。TS为时间的集合,为保密期开始时间,为保密期终止时间,为系统当前时间。 定义3保密期限集合DT,。 定义4降级映射函数:。其中。由与客体安全级别相同的可信主体指定客体降密后的安全级别。 定义5保密期限检查函数。其中。与客体安全级别相同的可信主体对客体进行保密期限检查,检查的结果有两种,表示客体的保密期限是永久的,用于一些设备或者是需要长期保密的文件类客体,表示客体的保密期限。 定义6当前客体安全级检查函数。 定义7涉密检查函数。其中。与客体安全