BLP模型及其改进方向

摘要：BLP模型在整个计算机安全模型的发展过程中起到一个奠基性的作用， 被看成是基础安全公理。BLP模型采用形式化安全许可的分类描述来研究信息的安全性。论文简单介绍了BLP 模型及其公理系统， 总结了该模型目前存在的安全缺陷和问题， 并针对这些问题分析了BLP 模型的改进方向。

关键词：BLP；模型；安全

中***分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）35-8107-02

1 绪论

提到安全模型，最具有代表性的形式化信息安全模型为Bell-LaPaula模型，简称BLP模型，这个模型是被David Bell和Leonard La Padula两人在1973年首次提出，而后在1976年最终修改并完善的一种安全模型。他们二人致力于研究出这样一种可以用于模拟***事完全策略的这种安全计算机操作系统的安全模型，从系统的安全性角度出发在有效地确保了保密性方面的同时细致地描述了不同秘密级别的主体和客体之间的联系，它是多级安全模型的基础，是公认的基本安全公理，也是最早的、最常使用的一种模型。

2 BLP模型

BLP 模型标明了相关主体、客体、安全等级函数、状态、系统等定义，定义了 4 个特性，定义了系统状态机状态间转换规则，并制定了一组约束系统状态间转换规则的安全理论，包括 10 个定理、 11 个规则，给出了形式化表示，并进行了证明。BLP模型元素表如表1。

BLP 模型是一个状态机模型，它形式化地定义了系统、系统状态以及状态间的转换规则，使得对于一个安全的系统，经过的一系列规则转换后，可以证明该系统仍是安全的。以下三个其代表性的安全公理。

简单安全性公理：当且仅当以下一条成立：1）x=a或x=e； 2）x=w或x=r且fs（s）=fo（o）。

*特性：当且仅当s满足下列三个条件：

1）s[∈]S [?] O[∈]b（S：a ）[?]（fo（O）>fc （S））

2）s[∈]S [?] O[∈]b（S：w ）[?]（fo（O）=fc （S））

3）s[∈]S [?] O[∈]b（S：w ）[?]（fo（O）

兼容性：当且仅当对于每个o[∈]O，有o1[∈] h（o）且fo（o1）支配fo（o）

BLP模型的信息流向如***1。

3 BLP 模型存在的问题

由于BLP模型最早提出时适用于***事策略的安全模型而且当时提出的时候计算机网络技术发展较不成熟，所以BLP模型存在几个方面的问题。

1）BLP模型机密性差。如秘密级别的用户主体不能获取机密级别用户主体的数据信息，却可以修改机密级别主体用户数据；而*属性使得机密级用户主体信息只能流向秘密级别或者无密级别，这样虽然防止了信息泄露，但秘密级别的用户主体修改的数据信息的正确度及准确度难以衡量。

2）高密级数据的数据完整性得不到保证。比如机密级别用户可以修改绝密级别用户的文件甚至各种权限，这样的话，绝密级别的用户数据随时有可能变成没用的数据，从而难以保障数据的完整性。

3）BLP模型可用性不高。如无密级用户主体不能获取高密级的重要信息，但同时高密级用户向非敏感客体写数据这样的合理要求却也被限制，系统的可用性得不到保障；并且模型对文件共享机制未进行规定，无法解决隐蔽通道的问题。

4 BLP模型的改进方向

为解决上述三大问题，学者们加大了对BLP模型的深入研究并提出了多种对 BLP 模型的改进方案，其中影响较大的并且有所成果的主要从以下两方面着手：（一） 针对模型本身的改进。刘彦明等人提出了BLP模型的一个完整性增强模型-EIBLP模型[5]。该模型在不改变 BLP模型信息流方向（下读上写）的基础上对上行信息流增加了必要的限制，并对 BLP 模型安全公理、主客体访问控制标签、访问控制操作模式以及状态转移规则进行了改进，且对该模型的安全性进行了分析并给出了证明。结果表明，改进后的 EIBLP 模型不仅仍然满足 BLP 模型的基本安全特性，而且通过改进 BLP 模型信息上行约束条件、主客体的安全标签、扩展模型操作模式、完善模型状态转移规则等方法，有效提高了 BLP 模型的完整性，并在一定程度上提高了机密性。谷千***等人提出了一个增强的多级安全模型[6]，对主体的安全等级函数重新进行定义，总的读写原则是“低一级写、高一级读”，该模型增强了信息的安全性，提高了信息的完整性。（二） 为弥补自身的不足与其他模型的相互结合。胡明等人在分析BLP模型和RBAC模型及其相关衍生模型[7]的基础上，提出一种改进的模型。其实验结果表明，这种改善模型不但有效的对安全性做了较好的完善而且也大大增加了其可用性。陈进等人根据BLP模型“向上写”的原则[8]，虽然在信息上流上确保了其机密性但是不能解决普遍存在的向下读信息流的问题。而Clark-Wilson模型由于其本身的职责分离原则和良构事务原则很好的控制了数据的完整性。提出的模型以BLP模型为主， Clark-Wilson模型为辅，证明了该模型是安全的，可行的。

5 结束语

经典BLP模型是计算机各类系统模型的重要安全公理之一，对计算机系统中实现多级安全起到深远的影响，但是随着计算机网络的飞速发展以及实际商务应用系统中对安全系统的可用性需求，该模型在可用性需求上仍要作更深入的研究。该文简要分析了BLP模型原理及其存在的缺陷，然后重要分析了两大主流改进方向。BLP模型虽在信息安全性方面做得很好但其仍有待于在实际系统设计中应用完善。

参考文献：

[1] Bell D E，LaPadula L J.Secure Computer Systems：Mathematical Foundations and Model. Technical Report M74-244[J].Mitre Coporation，BelfordMA，1975.

[2] 卿斯汉，刘文清，温子红，刘海峰.操作系统安全[M].北京：清华大学出版社，2004.

[3] 卿斯汉，刘文清，刘海峰.操作系统安全导论[M].北京：科学出版社，2003.

[4] 贾春福，郑鹏.操作系统安全[M].武汉：武汉大学出版社，2006.

[5] 刘彦明，董庆宽，李小平.BLP模型的完整性增强研究[J].通信学报，2010，32（2）.

[6] 谷千***，王越.BLP模型的安全性分析与研究[J].计算机工程，2006，32（22）.

[7] 胡明，潘雪增，李文.改进的多级安全模型的设计与实现[J].计算机工程与应用，2011，47（4）.

[8] 陈进，吕红兵，潘雪增.基于BLP和Clark-Wilson策略的混合强制模型[J]. 计算机工程与应用，2011，47（5）.

转载请注明出处学文网 » BLP模型及其改进方向