多级安全数据库BLP模型分析和改进.docVIP

多级安全数据库BLP模型分析和改进 　　摘要： 针对目前多级安全数据库BLP模型的缺陷，提出了对其密级、范围和访问规则的改进方法，以提高数据库的安全性。 　　Abstract： In view of the defects of current multi-level secure database BLP model， improved methods of its security classification， scope and access rules were proposed， in order to improve the security of the database. 　　关键词： 多级安全数据库；BLP模型；访问控制 　　Key words： multi-level secure database；BLP model；access control 　　中图分类号：TP392 文献标识码：A 文章编号：1006-4311（2013）01-0209-02 　　0 引言 　　随着信息技术特别是计算机网络技术的飞速发展，网络攻击事件不断增加，信息安全越来越受到人们的重视。数据库管理系统担负着大量信息的管理使命，是各类信息网络的主要组成部分，因此其安全性在整个网络安全中占有的举足轻重的地位。多级安全数据库管理系统（Multilevel Secure Database Management System，MLS/DBMS）[1]是指实现了强制访问控制的数据库管理系统，它与普通数据库的区别在于多级安全数据库中的数据被赋予了不同的密级，同时数据库的用户也被赋予了不同的密级，只有具有相应权限的用户才能访问相应的数据。 　　1 现有的BLP模型 　　Bel1.D.E和La Padula1973年提出的著名的BLP模型[2]， 　　是最早的一个完全的、形式化的多级安全模型，是计算机安全理论研究的开端，当前很多MAC模型都是对BLP模型直接或者间接的改进。 　　BLP模型是一个状态机模型，它形式化地定义了系统、系统状态以及状态间的转换规则，引入安全级的概念，并制定了一组安全规则，以此对系统状态和状态转换规则进行限制和约束。对于一个系统，如果它的初始状态是安全的，并且所经过的一系列的规则都保持安全特性，那么可以证明该系统是安全的。 　　在BLP模型中每个主体具有最大安全级和当前安全级，每个客体有一个安全级。主体对客体有四种存取方式：只读、只写、执行、读写。BLP模型满足以下三个特性： 　　①简单安全特性（ss-特性）：当且仅当一个主体s的安全级别Cs支配一个客体o的安全级别Co时，该主体s才具有对客体o的“读”访问权限：s可读oCs≥Co 　　②星号安全特性（*-特性）：当且仅当主体s的安全级别Cs不大于客体o的安全级别Co时，该主体s才具有对客体o的“写”访问权限：s可写oCs≤Co 　　③自主安全特性（ds-特性）：每个存取必须出现在存取矩阵中，即一个主体只能在获得了所需的授权后才能执行了相应的存取。 　　ds-特性处理的是自主访问控制，ss-特性和*-特性处理的是强制访问控制。自主访问控制的权限由客体的属主自主确定，强制访问控制的权限由特定的安全管理员确定，由系统强制实施。 　　2 BLP模型的改进方案 　　目前多数系统的多级安全访问控制还是在较粗粒度下进行的，并且采用“向下读，向上写”的原则，低安全级主体不能读取高密级数据却可以修改高密级数据，这样敏感信息的机密性得不到保证。因此，需要进一步探讨如何在更细粒度下有效地实施强制访问控制。 　　目前的多级安全数据库在设计时往往给一个用户赋一个密级和一个范围，但是一般用户“读”需求要比“写”需求大得多，所以给它们赋一个密级是不合理的，同样“读”与“写”的范围也不应该相同，如果保持目前BLP模型的 “向下读，向上写”策略不改变，系统的功能将受到限制，因此，需要将读写权限和读写范围分开来提高系统的可用性。 　　2．1 密级的改进 经由防火墙的网络访问，到达防火墙系统后，安全管理员根据防火墙系统的实际安全策略，通过客户端管理程序，对网络实体加以标记。如果把最高密级和最低密级分别记为H和L，密级就可以用区间[L，H]来表示。例如，通常的划分就可以用[公开（U），绝密（TS）]来表示。 　　分配给用户的密级，反映了防火墙系统对用户的置信度。现有多级安全模型一般采用给每个用户分配一个密级，读写采用统一密级，这种做法显然不够合理。因此，需要将用户的读写权限分开，分别标记为Cr（读权限）和Cw（写权限）。显然有Cr，Cw∈[L，H]，为了防止低密级用户恶意篡改敏感信息，必须遵守约束条件：用户的写权限不得高于读权限，即Cr≥Cw。 　　2．2 范围的