BLP模型的安全性分析与研究

BLP模型是最为经典的计算机多级安全模型。在进行BLP模型研究的基础上,对其存在的主要安全缺陷及不同的改进方案进行分析,提出了“最近读、最近写”的原则,较为有效地改进了BLP模型的安全性和完整性。

BLP模型的时域安全研究

对BLP(Bell-LaPadula)模型在时域的安全特性进行了深入分析,指出一种在时域上对BLP模型的错误理解,并给出新的模型安全性证明,表明BLP模型在时域上符合机密性要求,不存在安全漏洞。

基于可信等级的BLP改进模型

BLP模型存在完整性保护缺失、可信主体定义不明确和未考虑平台环境因素等问题。为此,提出一种基于可信等级的BLP改进模型TL-BLP。该模型引入主客体和平台的可信等级,并对BLP模型安全特性、主客体的敏感标记和状态转移规则进行改进,从而实现可信度的动态度量,保证访问操作平台的安全性,通过对BLP模型"下读上写"的限制,保证信息的完整性。分析结果表明,TL-BLP在保证信息机密性的基础上,能提高系统的完整性和可用性,实现基于可信度的访问控制。

基于BLP和Clark-Wilson策略的混合强制模型

BLP模型通过允许低安全级别到高安全级别的信息流动,保证了信息的机密性。但是不能解决普遍存在的下向信息流。而Clark-Wilson模型通过可监控的状态转换提供了完整性保护。提出的模型以BLP控制策略为基础,并在Clark-Wilson模型的监控下,允许下向信息流的流动。证明了该模型是安全的,可行的。

适用多级安全网络的BLP改进模型

为实现不同安全级网络间的互联互通,提出了一种适用于多级安全网络的安全策略模型SBLP,给出了其状态机模型定义和状态变化规则,并形式化地证明了其安全性。该模型通过为主客体添加可变的安全级标记,充分考虑了主体创建、主体违规追踪等问题,有效解决了等级化网络中BLP模型过于严格的问题,为等级化安全网络互联互通提供了必要的理论基础。最后,给出了该模型的一个简单的应用场景。

不同密级系统间基于BLP的访问控制机制

将传统的BLP(Bell-La Padula)模型扩展,提出了一种适用于网络访问控制的N-BLP模型,通过定义网络元素和构造新的状态转换规则,实现了主体间通信行为的控制,并采用有限状态机理论验证了N-BLP模型的安全性,同时,基于LSM(Linux Security Modules)架构和TCP/IP协议构造了一个符合N-BLP模型的网络访问控制系统原型.结果表明,该系统能够精确控制连接的建立和数据流的传输,保障了不同密级网络系统之间信息交换的安全性.

动态多级安全系统安全标记的格模型

分析了安全标记的概念,给出了安全标记的形式化定义,并建立了动态多级安全标记的格模型理论。格模型理论回答了动态多级安全系统的安全标记集合在数学上应形成格,解决了两安全标记比较时上、下确界的存在性问题,为多级安全性从静态安全政策,通过该策略的历史敏感性特征转化为动态安全政策奠定了理论基础。

计算机安全和安全模型

本文描述了计算机安全的总体概况，并对有穷状态机模型、存取矩阵模型、Ｂｅｌｌ－ＬａＰａｄｕｌａ模型以及信息流模型作了总体性论述。最后是特洛伊木马的例子。

基于行为的多级访问控制模型

通信、计算机、多媒体等技术的发展加速了信息的传播,网络上传播的数据呈现出多维化的特点.实行多级安全管理既可确保信息准确传递,又可保证数据的机密性和完整性.传统的多级安全模型已经与基于角色的访问控制(role-based access control,RBAC)等经典访问控制模型相结合,在一定程度上解决了多级安全访问控制的问题.但是,现有的多级安全访问控制机制缺少对时空要素的考虑,不适用于目前用户在任意时间、地点进行访问的多级授权管理,因此,如何实现具有时空特征的多级安全访问控制机制已成为亟待解决的问题.首先,针对性提出了一种基于行为的多级安全访问控制模型,实现了BLP模型与基于行为的访问控制(action-based access control,ABAC)模型的有机结合,将原有主体的安全等级、范畴的描述扩展到行为上.其次,为了解决用户权限依据时空伸缩的问题,在BLP模型的基础上细化了行为的安全级别,定义了行为读安全级别和行为写安全级别,同时描述了基本操作的安全规则,在保证数据机密性的基础上兼顾完整性.最后,结合提出的模型给出了相应的实施方案.基于行为的多级安全访问控制模型能够面向目前的复杂网络环境,结合时态、环境等时空因素,解决访问控制过程中用户、数据分级管理和访问控制问题.

一种基于角色的强制访问控制模型

提出了RBMAC模型,将BLP、BIBA和RBAC融合.RBMAC模型以组织机构的层次化结构描述信息类别和用户角色,以文件处理过程的关键节点描述完整性级别,引入可信主体、任务、角色扮演者和角色聘请的概念,满足重要信息系统的访问控制需求.文中给出了RBMAC模型的形式化描述和安全性定理,提出了模型预定义、任务分配、角色聘请和安全级别匹配4个阶段的操作模式.模型以可信主体调整文件保密级别、完整性级别和信息类别,与重要信息系统的管理运行模式一致,经实际系统试验证明,具有较高的实用性.

利用共享文件实现的网络隐蔽通道模型

网络隐蔽通道技术是一种利用网络通过绕过强制访问控制措施而建立起的违背BLP模型的信息泄露秘密信道,这给高密级信息的机密性造成了威胁。首先探讨了隐蔽通道与非自主访问控制模型的关系;然后在设想的情景模式和传输模式下,设计了不同共享文件数目情况下的网络隐蔽通道通信协议,形成了网络隐蔽通道模型;通过实验对利用这些协议形成的隐蔽通道模型的传输性能进行了比较研究,分别探讨了它们对系统机密性造成的威胁程度;最后,总结不同协议机制下隐蔽通道模型的传输特点和可能对系统造成的威胁,对防范此类隐蔽通道具有一定意义。

基于多维标识的文件分级保护模型

针对传统文件保护技术中普遍存在的分级管理差、管控粒度不细等问题,结合多维多密级的文件应用环境,提出基于多维标识的文件分级保护模型。该模型将静态特征标识和动态密级标识相结合,引入域标识的概念,并证明其安全性。经分析和应用表明,该模型能在不影响文件正常使用的基础上,使不同环境中的文件访问都能得到有效控制,从而保证文件的安全。

基于任务划分的防信息聚合泄密模型

针对BLP模型中存在的信息聚合泄密、可信主体权限过大以及模型完整性缺失的问题,结合文件分级保护的需求,提出了基于任务划分的防信息聚合泄密模型IALP。首先,探讨了信息聚合形成的原因及研究现状;然后,以任务划分为基础,对主体的信息可知度及客体所占信息权重进行量化,提出了相对可信主体的概念,给出了模型安全公理和状态转换规则。最后,经理论证明、应用举例和分析表明,该模型能够控制主体对具有聚合泄密关系的客体集合的可知程度,并在一定程度上限制可信主体权限以及增强完整性。

典型安全网关的形式化设计与证明

传统上依靠经验设计的安全网关侧重于功能实现,缺少严格的安全模型。对此,针对一种典型安全网关,首先根据其安全需求给出相应的安全策略,然后利用BLP模型对给出的安全策略进行形式化建模并对安全模型的内部一致性进行证明,最后对安全网关的功能规约和安全模型的一致性进行验证。为保证推理过程的正确性,使用定理证明器Isabelle/HOL对上述过程进行描述和推理,保证了安全网关顶层设计的安全性。研究结果为安全网关的形式化设计提供了一定的借鉴意义。

Formal Analysis on an Extended Security Model for Database Systems

In order to develop highly secure database systems to meet the requirements for class B2, the BLP （Bell-LaPudula） model is extended according to the features of database systems. A method for verifying security model for database systems is pro- posed. According to this method, an analysis by using Coq proof assistant to ensure the correctness and security of the extended model is introduced. Our formal security model has been verified secure. This work demonstrates that our verification method is effective and sufficient.

带可信度特征的多级安全模型行为风险分析

BLP(Bell-LaPadula)及其改进安全模型主要用于实现多级安全机密策略。改进模型在提高系统可用性的同时也带来了风险,但是研究者还没有深入研究其带来的安全问题。该文以带可信度特征的多级安全模型为基础,采用量化风险评估方法对行为进行分析,计算行为的预期危害度。该计算结果可以用来评判系统安全性,也可以作为系统判决是否允许该行为执行的依据,使得系统能够在提高可用性的同时实现危害可控。