劉愛軍，田祎

（1.商洛學(xué)院數(shù)學(xué)與計算機應(yīng)用學(xué)院，陜西商洛726000；2.商洛學(xué)院經(jīng)濟與管理學(xué)院，陜西商洛726000）

一個基于訪問歷史的BLP改進模型的修正

劉愛軍1，田祎2

（1.商洛學(xué)院數(shù)學(xué)與計算機應(yīng)用學(xué)院，陜西商洛726000；2.商洛學(xué)院經(jīng)濟與管理學(xué)院，陜西商洛726000）

為克服SLCF安全模型使用動態(tài)調(diào)整主體安全標(biāo)記方法不當(dāng)，造成信息泄漏的安全隱患問題，結(jié)合BLP基本安全準(zhǔn)則，分析指出該模型存在的不足，提出從信息流角度，根據(jù)訪問歷史記錄，對信息流入、流出標(biāo)記函數(shù)的變化規(guī)則進行修正的基本思想，給出了新的修正訪問控制規(guī)則，并通過實例，對修正效果的正確性進行分析驗證，結(jié)果表明該修正訪問控制規(guī)則，在確保應(yīng)用系統(tǒng)的可用性和靈活性的前提下，確實有效防止了信息的非法泄漏，增強了系統(tǒng)的安全性。

BLP；修正；機密性；可用性；SLCF

BLP模型是在計算機安全系統(tǒng)中實現(xiàn)多級安全（MLS）機密性策略的經(jīng)典模型,被視作基本安全公理的基石。BLP安全模型制定了一組約束系統(tǒng)狀態(tài)間轉(zhuǎn)換規(guī)則的安全理論，主要內(nèi)容包括4個特性公理，10個定理、11個規(guī)則[1]。

這些公理和規(guī)則雖然能很好地保證信息的機密性，防止信息的非授權(quán)泄漏,可隨信息安全領(lǐng)域的不斷發(fā)展，該經(jīng)典模型也存在明顯的不足。它的局限主要體現(xiàn)在完整性、可用性、靈活性、擴展性和隱通道問題。

針對以上局限，如何在保持安全性的前提下增加BLP模型的靈活性和可用性,最大限度保證信息的完整性，是近年來該領(lǐng)域研究改進的重點和熱點。其中，動態(tài)調(diào)整主客體的安全等級（又稱敏感標(biāo)簽）并修改模型的安全屬性和狀態(tài)轉(zhuǎn)換規(guī)則是增強BLP模型在實際系統(tǒng)中的靈活性和可用度的主要方法[2]。

Amon Ott[3]提出一種自適應(yīng)的（Adaptive）安全等級可動態(tài)調(diào)整規(guī)則，用于實現(xiàn)在滿足相關(guān)條件下可動態(tài)調(diào)整主體的當(dāng)前安全等級，以增加訪問控制的靈活性；石文昌等[4-5]提出了一種與文獻[3]相似的ABLP實施方法，該方法構(gòu)造內(nèi)外二層判斷空間，改進原有訪問規(guī)則，以主體當(dāng)前安全標(biāo)記、客體安全標(biāo)記和訪問方式為主要判斷參數(shù)條件，對允許訪問的主體的當(dāng)前敏感標(biāo)記進行合理調(diào)整；季慶光等[6]提出一個改進的機密性策略模型DBLP，將Amon Ott規(guī)則推廣為動態(tài)地調(diào)整敏感標(biāo)簽范圍，并指出文獻[3,5]中可信主體沒有給出準(zhǔn)確定義，文獻[5]ABLP模型證明不嚴(yán)格，幾個判斷參數(shù)初始值設(shè)置不當(dāng)，可能導(dǎo)致的隱通道問題；司天歌等[7]基于系統(tǒng)動作的不干擾模型,從信息流的角度引入一種對多級安全模型安全性的形式化分析方法，并以此分析方法對ABLP和DBLP改進模型進行分析，指出其證明的不完備性及可能的安全隱患；梁洪亮等[8]引入了訪問歷史的概念，并給出了一個新增的標(biāo)記函數(shù)集合,從信息流的角度記錄流入流出歷史，提出了一個與文獻[4]類似的基于靜態(tài)客體標(biāo)記和動態(tài)主體標(biāo)記的改進BLP模型框架SLCF（security label common framework）,通過重新定義模型的安全屬性和狀態(tài)轉(zhuǎn)換規(guī)則，動態(tài)調(diào)整主體當(dāng)前敏感標(biāo)記，增強系統(tǒng)的靈活性。

以上改進方法，結(jié)合實際需要改進了訪問規(guī)則，放寬了BLP經(jīng)典模型的嚴(yán)格訪問限制，一定程度上增強了模型的可用性和靈活性，但由于沒有得到嚴(yán)格安全證明驗證，因此使用中帶來了一定的安全隱患。SLCF框架模型也存在類似安全缺陷。

1 SLCF模型分析

1.1 SLCF模型介紹

針對BLP模型靈活性不足的特點，梁洪亮等[5]提出了一個基于歷史信息的動態(tài)主體安全標(biāo)記（即敏感級）BLP改進模型（簡稱SLCF）。改進模型認(rèn)為在一次會話過程中，主體標(biāo)記動態(tài)記錄著信息的流入流出變化情況，并有一個上下界閾值；客體標(biāo)記是固定不變的。改進模型在保持原主體、客體、標(biāo)記、訪問集合等概念外，主要引入如下內(nèi)容[5]：

1）增加了4個主體標(biāo)記函數(shù)（fil,fih,fol,foh），用于記錄主體的歷史訪問信息。fil,fih：流入信息的最低/最高標(biāo)記,初始值為LOW（系統(tǒng)的最小標(biāo)記值）；fol,foh：流出信息的最低/最高標(biāo)記,初始值為HIGH（系統(tǒng)的最大標(biāo)記值）。fih,fol用于實現(xiàn)多等級保密安全策略，foh,fil用于實現(xiàn)多等級完整性安全策略。

針對多等級保密安全策略，該方法對經(jīng)典BLP模型的主要改進是：根據(jù)標(biāo)記函數(shù)fih、fol和主體最大標(biāo)記函數(shù)fs、客體標(biāo)記函數(shù)fo的關(guān)系調(diào)整主體當(dāng)前標(biāo)記函數(shù)fc及信息流入/出標(biāo)記函數(shù)fih、fol標(biāo)記值。

2）SLCF的安全判定條件以及主體標(biāo)記規(guī)則具體描述如下：

規(guī)則1（讀訪問）a)若滿足條件fc≥fo，則允許主體S讀取客體O；b)否則繼續(xù)進行內(nèi)層判別:若滿足(fs≥fo)&&(fol≥fo)則fc=Max(fc,fo),fih= Max(fih,fo)，同時允許主體S讀取客體O；c)否則若以上條件均不滿足則拒絕主體S讀訪問客體O。

規(guī)則2（寫訪問）a)若滿足條件fo≥fc，則允許主體S添加客體O；b)否則繼續(xù)進行內(nèi)層判別:若滿足fo≥fih則fc=Min(fc,fo),fol=Min(fol,fo),同時允許主體添加客體O；c)否則若以上條件均不滿足,則拒絕主體S添加客體O。

規(guī)則3（讀寫雙向訪問）a)若滿足條件fc=fo,則允許主體S對客體O雙向讀寫訪問;b)否則繼續(xù)進行內(nèi)層判別:若滿足(fs≥fo)&&(fol≥fo) &&(fo≥fih),則fc=fo,fih=Max(fih,fo),fol=Min(fol,fo),允許主體S對客體O雙向讀寫訪問;c否則若以上條件均不滿足,則拒絕主體S對客體O雙向讀寫訪問。

1.2 SLCF框架安全性分析

本文在理論分析的基礎(chǔ)上，并根據(jù)SLCF模型規(guī)則舉例說明，結(jié)果進一步表明該模型存在以下明顯問題：

1）SLCF模型所引實例無法根據(jù)表1初始條件得到表2所示結(jié)論[8]，與實際規(guī)則執(zhí)行結(jié)果不符；

2）根據(jù)文獻[5]，fih,fol和foh,fil分別應(yīng)用于實現(xiàn)多等級保密安全策略和多等級完整性安全策略，而文獻所引實例僅用于說明多等級保密安全策略，故判定條件及實現(xiàn)規(guī)則與foh，fil無關(guān)；

3）經(jīng)理論分析及實例驗證說明SLCF框架不滿足機密性策略，存在信息從高密級向低密級泄漏的隱患。

如表1所示，針對1.2中1)仍然引用文獻[8]實例初始標(biāo)記值對所述結(jié)果進行分析。文獻[8]敘述執(zhí)行(process2,file2,r),(process2,file3,w)后 fih=2，而按其判斷規(guī)則1可知執(zhí)行(process2,file2,r)時，因滿足外層判斷條件fc(process2)≥fo(file2)，經(jīng)外層判斷即允許執(zhí)行,故fih值應(yīng)保持不變；再執(zhí)行(process2,file3,w)，也滿足fo(file3)≥fc(process2)外層條件，故無需進入內(nèi)層判斷即允許執(zhí)行,完成以上兩步操作fih仍保持原值，即fih=LOW，不應(yīng)為2。

表1 SLCF和修正的SLCF模型敏感級標(biāo)記值比較

針對1.2中3)信息非法泄漏問題，本文反例分析驗證，說明存在安全隱患。假設(shè)有某一系統(tǒng)機密性敏感級分為絕密、機密、秘密和無密四級，為方便表述分別用數(shù)值3,2,1,0代表4個對應(yīng)密級。如圖1所示，進程process1是一個特洛伊木馬，fc(process1)=3,文件file1和file2是系統(tǒng)中兩個客體，fo(file1)=3，fo(file2)=1，fc(process2)=1。

圖1 特洛伊木馬引起信息泄密實例

按照原SLCF模型規(guī)則依次完成以下三步操作：a）(process1,file1,r)；b)(process1,file2,a)；c)(process2,file2,r)。各步操作敏感級函數(shù)標(biāo)記值變化如表2所示。

步驟1：進程process1讀file1。因fc(process1)=fo(file1)=3,滿足規(guī)則1條件fc≥fo，故讀請求被允許,主客體各安全標(biāo)記值不變；

步驟2：進程process1將file1添加到file2。因fc(process1)=3,fo(file2)=1,不滿足規(guī)則2外層條件fo≥fc,繼續(xù)進入內(nèi)層判斷，滿足fo≥fih(fih= LOW),故寫請求被允許,各安全標(biāo)記值分別調(diào)整為:fc(process1)=Min(fc(process1),fo(file2))=1,fol(process1)=Min(fol(process1),fo(file2))=1,fih不變;

步驟3：進程process2讀file2。因fc(process2)=fo(file2)=1,滿足規(guī)則1條件fc≥fo,故允許完成將添加進文件file2的文件file1讀入到進程process2中。

表2 SLCF模型下各主客體標(biāo)記函數(shù)值變化

根據(jù)SLCF模型規(guī)則，由表2各時刻敏感級函數(shù)變化分析可以看出，含有特洛伊木馬的進程process1已將高敏感級文件file1通過文件file2間接地泄漏給了低敏感級的進程process2。顯然這違背了BLP的“上寫下讀”基本安全策略。

2 修正SLCF模型規(guī)則

2.1 修正原因

造成以上結(jié)果的根本原因是foh,fil作為主客體讀寫訪問歷史記錄，正確的訪問規(guī)則應(yīng)是只要允許訪問操作發(fā)生就要“記憶”信息流入流出記錄，并用作下次訪問判斷條件。具體來說，只要讀操作被允許就應(yīng)比較fih和fo的大小關(guān)系,并始終保證fih取fih和fo中最大值，而非僅僅考慮不滿足讀操作的外層條件(fc≥fo)時才考慮fih的變化。同理，只要寫操作被允許就要比較fo和fol的大小關(guān)系,并始終保持fol取fol和fo中最小值。即如讀操作被允許，則fih=Max(fih,fo)；如寫操作被允許，則fol=Min(fol,fo)。若讀寫操作雙向允許，則fih=Max(fih,fo)和fol=Min(fol,fo)。

2.2 修正規(guī)則

規(guī)則1（讀訪問）a)若滿足外層判斷條件fc≥fo，則允許主體S讀取客體O，同時讓fih=Max(fih,fo)；b)、c)保持不變。

規(guī)則2（寫訪問）a)若滿足外層判斷條件fo≥fc，則允許主體S添加客體O,同時讓fol=Min(fol,fo)；b)、 c)保持不變。

規(guī)則3（讀寫雙向訪問）a)若滿足外層判斷條件fc=fo,則允許主體S對客體O雙向讀寫訪問,同時讓fih=Max(fih,fo),fol=Min(fol,fo);b)、c)保持不變。

2.3 安全驗證

同樣，對修正規(guī)則依次完成以下操作，分析驗證其安全性。三步操作分別為：(process1,file1,r)，(process1,file2,a)，(process2,file2,r)，各時刻敏感級函數(shù)標(biāo)記值變化如表3所示。

第一步:進程process1讀file1。因fc(process1)=fo(file1)=3,滿足規(guī)則1外層條件fc≥fo，故讀請求被允許,同時執(zhí)行fih=Max(fih,fo)，則fih=3；

第二步:進程process1將file1添加到file2。因fc(process1)=3,fo(file2)=1,不滿足修正規(guī)則2外層條件fo≥fc,進入內(nèi)層判斷仍不滿足fo≥fih(fih=3),故寫請求被拒絕,各安全標(biāo)記函數(shù)值不變；

第三步：因第二步進程process1已被拒絕將file1添加到file2，故進程process2雖然可讀訪問file2，但卻無法通過file2讀取到file1高密級信息，從而有效防止了信息泄漏。

通過以上實例分析可見，在不改變BLP經(jīng)典模型“上寫下讀”基本原則的前提下，與原文獻方法相比該修正有效地避免了高密級信息向下的非法泄漏，并在保證安全性的前提下增強了原模型的靈活性，是對SLCF方法的有效改進。

表3 修正規(guī)則下各主客體標(biāo)記函數(shù)值變化

3 結(jié)論

本文針對BLP經(jīng)典模型的局限性，介紹了在實際系統(tǒng)應(yīng)用中增強BLP模型靈活性的各種改進方法。以實例方式對BLP模型的SLCF改進方法進行分析驗證，指出該方法存在的信息泄漏安全隱患。最后，提出改進思路，給出修正規(guī)則，并通過實例驗證了該修正方法的有效性。

最后必須強調(diào)，對BLP模型的靈活性和可用性改進，都應(yīng)以優(yōu)先考慮系統(tǒng)的安全性為前提，缺少了機密性保護而空談對BLP模型改進，就失去了改進的價值和意義。

[1]Bel D E,Lapadula J L.Secure computer systems: mathematical foundations,M74-244[R].Bedford:The MITRE Corporation,1973.

[2]劉波,陳曙暉,鄧勁生.Bell-LaPadula模型研究綜述[J].計算機應(yīng)用研究,2013,30(3):566-660.

[3]Ott A.Regel-basierte zugriffskontrolle nach dem generalized framework for access controlansatz am beispiel Linux[R].[S.L.]:Diplomarbeit Universitat Hamburg,1997．

[4]石文昌,孫玉芳,梁洪亮.經(jīng)典BLP安全公理的一種適應(yīng)性標(biāo)記實施方法及其正確性[J].計算機研究與發(fā)展,2001,38(11):1366-1372.

[5]石文昌,梁洪亮,孫玉芳.主體當(dāng)前敏感標(biāo)記動態(tài)確定方案研究[J].電子學(xué)報,2001,29(8):1046-1049.

[6]季慶光,卿斯?jié)h,賀也平.一個改進的可動態(tài)調(diào)節(jié)的機密性策略模型[J].軟件學(xué)報,2004,15(10):1547-1557．

[7]司天歌,譚智勇,戴一奇.一種對多級安全模型安全性的分析方法[J].計算機研究與發(fā)展,2008,45(10):1711-1717.

[8]梁洪亮,孫玉芳,趙慶松,等.一個安全標(biāo)記公共框架的設(shè)計與實現(xiàn)[J].軟件學(xué)報,2003,14(3):547-552.

（責(zé)任編輯：李堆淑）

A Correction in an Im proved BLP M odel Based on Access History

LIU Ai-jun1,TIAN Yi2

（1.College of Mathematics and Computer Application,Shangluo University,Shangluo 726000,Shaanxi; 2.College of Economic and Management,Shangluo Univerrsity,Shangluo 726000,Shaanxi)

The SLCF model can′t adjust the subject security label properly by using dynamic methods and may cause a variety of security risks such as information leakage.To circumvent above-mentioned problems，we point out the shortcomings in the present model and propose a new improvement access control rules by integrating BLP basic security policies.From the information transmission angle,the rules modify the information flow marking functionon the basis of access history.A living example is introduced to validate the accuracy of correction.The results show that our improvement access control rules can prevent illegal information leakage and enhance the security of the system on the premise ofavailability and flexibility.

BLP;correction;confidentiality;availability;SLCF

TP309

A

1674-0033（2015）06-0011-04

10.13440/j.slxy.1674-0033.2015.06.003

2015-10-15

陜西省教育廳專項科研計劃項目（14JK1221）

劉愛軍，男，陜西洛南人，碩士，副教授