多级安全数据库BLP模型分析与改进

摘要： 针对目前多级安全数据库blp模型的缺陷，提出了对其密级、范围和访问规则的改进方法，以提高数据库的安全性。

Abstract： In view of the defects of current multi-level secure database BLP model， improved methods of its security classification， scope and access rules were proposed， in order to improve the security of the database.

关键词： 多级安全数据库；BLP模型；访问控制

Key words： multi-level secure database；BLP model；access control

中图分类号：TP392 文献标识码：A 文章编号：1006-4311（2013）01-0209-02

0 引言

随着信息技术特别是计算机网络技术的飞速发展，网络攻击事件不断增加，信息安全越来越受到人们的重视。数据库管理系统担负着大量信息的管理使命，是各类信息网络的主要组成部分，因此其安全性在整个网络安全中占有的举足轻重的地位。多级安全数据库管理系统（Multilevel Secure Database Management System，MLS/DBMS）[1]是指实现了强制访问控制的数据库管理系统，它与普通数据库的区别在于多级安全数据库中的数据被赋予了不同的密级，同时数据库的用户也被赋予了不同的密级，只有具有相应权限的用户才能访问相应的数据。

1 现有的BLP模型

Bel1.D.E和La Padula1973年提出的著名的BLP模型[2]，

是最早的一个完全的、形式化的多级安全模型，是计算机安全理论研究的开端，当前很多MAC模型都是对BLP模型直接或者间接的改进。

BLP模型是一个状态机模型，它形式化地定义了系统、系统状态以及状态间的转换规则，引入安全级的概念，并制定了一组安全规则，以此对系统状态和状态转换规则进行限制和约束。对于一个系统，如果它的初始状态是安全的，并且所经过的一系列的规则都保持安全特性，那么可以证明该系统是安全的。

在BLP模型中每个主体具有最大安全级和当前安全级，每个客体有一个安全级。主体对客体有四种存取方式：只读、只写、执行、读写。BLP模型满足以下三个特性：

①简单安全特性（ss-特性）：当且仅当一个主体s的安全级别Cs支配一个客体o的安全级别Co时，该主体s才具有对客体o的“读”访问权限：s可读oCs≥Co

②星号安全特性（*-特性）：当且仅当主体s的安全级别Cs不大于客体o的安全级别Co时，该主体s才具有对客体o的“写”访问权限：s可写oCs≤Co

③自主安全特性（ds-特性）：每个存取必须出现在存取矩阵中，即一个主体只能在获得了所需的授权后才能执行了相应的存取。

ds-特性处理的是自主访问控制，ss-特性和*-特性处理的是强制访问控制。自主访问控制的权限由客体的属主自主确定，强制访问控制的权限由特定的安全管理员确定，由系统强制实施。

2 BLP模型的改进方案

目前多数系统的多级安全访问控制还是在较粗粒度下进行的，并且采用“向下读，向上写”的原则，低安全级主体不能读取高密级数据却可以修改高密级数据，这样敏感信息的机密性得不到保证。因此，需要进一步探讨如何在更细粒度下有效地实施强制访问控制。

目前的多级安全数据库在设计时往往给一个用户赋一个密级和一个范围，但是一般用户“读”需求要比“写”需求大得多，所以给它们赋一个密级是不合理的，同样“读”与“写”的范围也不应该相同，如果保持目前BLP模型的 “向下读，向上写”策略不改变，系统的功能将受到限制，因此，需要将读写权限和读写范围分开来提高系统的可用性。

2．1 密级的改进 经由防火墙的网络访问，到达防火墙系统后，安全管理员根据防火墙系统的实际安全策略，通过客户端管理程序，对网络实体加以标记。如果把最高密级和最低密级分别记为H和L，密级就可以用区间[L，H]来表示。例如，通常的划分就可以用[公开（U），绝密（TS）]来表示。

分配给用户的密级，反映了防火墙系统对用户的置信度。现有多级安全模型一般采用给每个用户分配一个密级，读写采用统一密级，这种做法显然不够合理。因此，需要将用户的读写权限分开，分别标记为Cr（读权限）和Cw（写权限）。显然有Cr，Cw∈[L，H]，为了防止低密级用户恶意篡改敏感信息，必须遵守约束条件：用户的写权限不得高于读权限，即Cr≥Cw。

2．2 范围的改进 在多级安全防火墙系统中用户的权限受到范围的限制，使得用户只能在其权限范围内进行读写。同密级一样，现有的多级安全系统中一般都没有把用户的读写范围分开，而是采用统一的范围。用户的读写范围往往也是不一样的，所以采用读写统一范围不够合理。因此，需要将用户读写范围分开，分别记为Sr（读范围）和Sw（写范围）。设全集为I，则Sr，Sw？哿I。为了防止低密级用户获取敏感数据，必须遵守约束条件：用户的写范围不得大于读范围，即Sr？勐Sw。

2．3 规则的改进 设D为一客体，L（D）=（C，S）称为客体的安全级，其中C为D的密级，S为D的范围。

设U为一用户，Lr=（Cr，Sr）称为U的读安全级，其中Cr为U的读密级，Sr为U的读范围；Lw（U）=（Cw，Sw）称为U的写安全级，其中Cw为U的写密级，Sw为U的写范围。

范围标记S1支配S2，当且仅当S1^S2=S2，记为S1≥S2。

范围标记S1等于S2，也就是S1^S2=S2并且S1^S2=S1，记为S1=D2。

密级标记C1支配C2，当且仅当C1≥C2，记为C1≥C2。

密级标记C1等于C2，也就是C1≥C2并且L2≥L1，记为L1=L2。

设两个用户U1、U2的读安全级分别为L1r=（C1r，S1r）和L2r=（C2r，S2r）。若C1r≥C2r且S1r＞S2r，则称U1的读安全级高于U2的读安全级，记为L1r≥L2r。设U1、U2的写安全级分别为L1w=（C1w，S1w）和L2w=（C2w，S2w），若C1w≥C2w且S1w≥S2w，则称U1的写安全级高于U2的写安全级，记为L1w≥L2w。

3 结束语

本文针对多级安全防火墙访问控制策略的不足，从密级、范围和规则等方面提出了改进方法，目的是进一步提高防火墙的安全性。目前大多数防火墙系统采用的是自主访问控制策略，但是一个系统中如果只有强制访问控制，那么很多资源将无法正常使用。因此，未来安全性比较高的系统将采用强制访问控制为主、自主访问控制为辅的访问控制策略。

参考文献：

[1]王辉.多级安全策略的Internet防火墙的设计与实施，中国科学院研究生院学报，2000.

[2]姬东耀.多级安全系统中访问控制新方案，JOURNAL OF COM PU TER RESEARCH &DEVELOPM ENT，2001.

[3]武立福.多级安全数据库系统的研究与实现，硕士学位论文，2004.

[4]王钢.应用网关防火墙，计算机安全，2004.