多级安全数据库BLP模型研究及改进.docxVIP

多级安全数据库BLP模型研究及改进 摘要：针对目前多级安全数据库BLP模型的缺陷，提出 了对其密级、范围和访问规则的改进方法，以提高数据库的 安全性。 Abstract : In view of the defects of current multi—level secure database BLP model , improved methods of its security classification, scope and access rules were proposed, in order to improve the security of the database. 关键词：多级安全数据库；BLP模型；访问控制 Key words： multi-level secure database； BLP model ； access control 中图分类号：TP392文献标识码：A文章编号： 1006-4311 (2013) 01-0209-02 0引言 随着信息技术特别是计算机网络技术的飞速发展，网络 攻击事件不断增加，信息安全越来越受到人们的重视。数据 库管理系统担负着大量信息的管理使命，是各类信息网络的 主要组成部分，因此其安全性在整个网络安全中占有的举足 轻重的地位。多级安全数据库管理系统(Mult订evel Secure Database Management System, MLS/DBMS) [1]是指实现了 强制访问控制的数据库管理系统，它与普通数据库的区别在 于多级安全数据库中的数据被赋予了不同的密级，同时数据 库的用户也被赋予了不同的密级，只有具有相应权限的用户 才能访问相应的数据。 1现有的BLP模型 Bell.D. E和La Padulal973年提出的著名的BLP模型 ⑵， 是最早的一个完全的、形式化的多级安全模型，是计算 机安全理论研究的开端，当前很多MAC模型都是对BLP模型 直接或者间接的改进。 BLP模型是一个状态机模型，它形式化地定义了系统、 系统状态以及状态间的转换规则，引入安全级的概念，并制 定了一组安全规则，以此对系统状态和状态转换规则进行限 制和约束。对于一个系统，如果它的初始状态是安全的，并 且所经过的一系列的规则都保持安全特性，那么可以证明该 系统是安全的。 在BLP模型中每个主体具有最大安全级和当前安全级， 每个客体有一个安全级。主体对客体有四种存取方式：只读、 只写、执行、读写。BLP模型满足以下三个特性： 简单安全特性（ss-特性）：当且仅当一个主体s的安 全级别Cs支配一个客体o的安全级别Co时，该主体s才具 有对客体。的读访问权限：s可读oCs2Co 星号安全特性（*-特性）：当且仅当主体S的安全级 别Cs不大于客体。的安全级别Co时，该主体S才具有对客 体。的写访问权限：s可写oCsWCo 自主安全特性（ds-特性）：每个存取必须出现在存取 矩阵中，即一个主体只能在获得了所需的授权后才能执行了 相应的存取。 ds-特性处理的是自主访问控制，ss-特性和*-特性处理 的是强制访问控制。自主访问控制的权限由客体的属主自主 确定，强制访问控制的权限由特定的安全管理员确定，由系 统强制实施。 2 BLP模型的改进方案 目前多数系统的多级安全访问控制还是在较粗粒度下 进行的，并且采用“向下读，向上写”的原则，低安全级主 体不能读取高密级数据却可以修改高密级数据，这样敏感信 息的机密性得不到保证。因此，需要进一步探讨如何在更细 粒度下有效地实施强制访问控制。 目前的多级安全数据库在设计时往往给一个用户赋一 个密级和一个范围，但是一般用户“读”需求要比“写”需 求大得多，所以给它们赋一个密级是不合理的，同样读” 与“写”的范围也不应该相同，如果保持目前BLP模型的 “向下读，向上写”策略不改变，系统的功能将受到限制， 因此，需要将读写权限和读写范围分开来提高系统的可用性。 2. 1密级的改进经由防火墙的网络访问，到达防火墙 系统后，安全管理员根据防火墙系统的实际安全策略，通过 客户端管理程序，对网络实体加以标记。如果把最高密级和 最低密级分别记为H和L,密级就可以用区间［L, H］来表示。 例如，通常的划分就可以用［公开（U）,绝密（TS）］来表示。 分配给用户的密级，反映了防火墙系统对用户的置信 度。现有多级安全模型一般采用给每个用户分配一个密级， 读写采用统一密级，这种做法显然不够合理。因此，需要将 用户的读写权限分开，分别标记为Cr （读权限）和Cw （写 权限）。显然有Cr, CwE［L, H］,为了防止低密级用户恶意 篡改敏感信息，必须遵守约束条件：用户的写权限不得高于 读权限，即Cr^Cwo 2. 2范围的改进 在多级安全防火墙系统中用户的权限