Bell_LaPadula模型研究综述.doc

模型研究综述* Bell-LaPadula 波a ，陈曙晖a ，邓劲生b 刘 ( 国防科学技术大学 a． 计算机学院; b． 信息中心，长沙 410073) 摘 要: 对 BLP( Bell-LaPadula) 模型进行了简单的描述，并从完整性、可用性、灵活性等几个方面归纳了该模型 的局限性; 讨论了目前国内外针对 BLP 模型这几个方面的不足进行的相关研究和改进，并进行了总结和展望。 关键词: BLP 模型; 完整性; 可用性; 灵活性; 隐通道 中图分类号: TP393． 08 文献标志码: A 文章编号: 1001-3695( 2013) 03-0656-05 doi: 10． 3969 / j． issn． 1001-3695． 2013． 03． 003 Survey of Bell-LaPadula model LIU Boa ，CHEN Shu-huia ，DENG Jin-shengb ( a． School of Computer Science，b． Information Center，National University of Defense Technology，Changsha 410073，China) Abstract: This paper firstly discribed the BLP model itself，and summarized the limitaions and problems in its integrity，usa- bility，flexibility，and so on． Then，it discussed the existing research and improvements aimed at these limitations． Finally， this paper concluded the present and the future work in the field of BLP model． Key words: BLP model; integrity; usability; flexibility; covert channel b) M 为访问控制矩阵，表示系统中所有主体对所有客体 所拥有的访问权限，其中元素 Mij 是 主 体 Si 对 客 体 Oj 的 访 问 权限; 信息技术的迅速发展使网络的互连互通成为不可逆转的趋 势，但同时又给网络的信息安全带来了威胁。从 20 世纪 70 年 代开始国外就出现了许多有关计算机信息安全 方 面 的 研 究［1 ～ 4］，它们从不同角度采用不同的方法来研究信息安全问题， 并给出了一定的安全策略来确保数据的安全。安全模型又称为 策略表达模型，是对安全策略表达的安全需求的简单、抽象和无 歧义的描述，它为安全策略的实现提供框架。1973 年 MITRE 公 司的 Bell 和 LaPadula［1］提出并于 1976 年整合完善［5］的 Bell-La- Padula 模型［1，5 ～ 8］( 简称 BLP 模型) 是最早的也是目前最流行的 保密性访问控制模型，它根据军方的安全政策设计，防止信息的 非授权泄露，是一种模拟军事安全策略的多级安全模型，目前被 广泛地应用于描述计算机系统的安全问题。 c) f∈F 表示访问类函数，记做 f = ( f ，f ，f ) ，其中 f 表示 s o c s 主体的安全级函数，fc 表示主体当前安全级函数，fo 表 示客体 的安全级函数; d) H 表示当前的层次结构，即当前客体的树型结构，Oj ∈ H( O) 表示在此树型结构中，Oj 为子节点，O 为父节点。 1. 1. 2 BLP 模型的公理 每一个主体都有一个安全许可，每一个客体都有一个安全 密级。设 L = { l ，l ，…，l } 是主体或客体的密级 ( 密级从高到 1 2 q 低有绝密、机密、秘 密、公 开 等) 。设 L ( S) 是 主 体 S 的 安 全 许 可，而 L( O) 是客体 O 的敏感等级，BLP 模型满足: a) 简单 安 全 属 性 ( ss-property ) 。 S 可 以 读 O，当 且 仅 当 L( O) ≤L( S) ，且 S对 O 具有自主型读权限，即一个主体只能读 不高于自身安全级别的客体。 b) * -属性( star-property) 。S 可以写 O，当且仅当 L( S) ≤ L( O) ，且 S 对 O 具有主动型写权限，即一个主体只能写不低于 自身安全级别的客体。 c) 基本安 全 定 理。设 系 统 Σ 的某一个初始安全状态为 σ0 ，T 是状态转换的