维普资讯 http://www.cqvip.com 第27卷第4期 2006年l2月 内 蒙古农业大学学报 V01.27 No.4 Dec.2oo6 Journal of Inner Mongolia Agricultural University 一种基于BLP模型的访问控制设计方案 岳兵。 刘 鹏 (天津大学信息管理与信息系统系,天津300072) 摘要: 操作系统作为信息系统的基础,其安全性不容忽视。实现操作系统的安全性需从多方面考虑。访问控制是 实现操作系统安全的重要手段。文章从规范系统内的信息流向出发,gl用经典的BLP安全模型,制订了1个小型系 统的访问控制设计方案。方案以访问动作为控制对象,着重体现了BLP模型所要求的机密性,同时也对完整性有所 考虑。 关键词: 操作系统安全;BLP模型: 访问控制: 安全格 中图分类号:TP273 文献标识码:A 文章编号:1009—3575(2006)04—0135—06 SCHEME OF ACCESS CONTROL BASED ON BLP MODEL YUE Bing,LIU Peng (Department ofInformation跏 m,Tianjin Unive ̄if, ̄njin 300072,China) Abstract:As the base of the information system,operating system is very important,especially it§security.Access control,one of several ways which can reinforce our OS,is a primary way to realize the objective.In the article,Classical BLP Model was introduced tO conifne the flow of ifnormation in order to implement one scheme of AC.Using the operating action as object of control,the scheme pay much attention to the confidentiality of BLP Model,and also slve consideration to the integrity. Key words:OS security;BLP model;access control;security lattice 在信息安全形势不断严峻的今天,作为系统基 即自主访问控制和强制访问控制。理解继承反常现 础的操作系统的安全不容忽视。操作系统通过身份 象。 识别,认证,访问控制等方式保护信息资源不被泄漏 1.1 Bell—LaPadula模型 和毁坏。“橙皮书”(TCSEC)标准是计算机系统安全 评估的第1个正式标准。TCSEC将计算机系统的安 全划分为4个等级、8个级别。其中,访问控制的实 BLP模型是最经典的安全公理之一。它由Da- rid Bell和Leonard La Padula于1973年提出并于 976年整理,完成。作为是定义多极安全性(MLS) 现属于c2级(访问控制保护)系统,像我们熟知的 1BLP模型是以军事部门的安全控制作为其 Windows NT就是该级别的操作系统。由于研究国 的基础,外商业操作系统的源码比较困难,我们搭建了1个 实现基础的。在计算机领域的应用中,尽管BLP模 小型的操作系统,其中访问控制的设计是我们设计 型在某些方面仍有缺陷,但其根本的思想仍然具有 的重点。 十分重要的指导意义。 1.2 BLP模型的安全控制 作为1种访问控制模型,BLP模型通过制定主 l 安全模型 本方案以经典的BLP模型为基础,以保证机密 性为主要目的,主要关注TCSEC所要求的安全 体对客体的访问规则和访问权限来保证系统信息的 作者简介:岳兵(薯晶羿 2岳0O兵6 一)10966一 ..男.博士.副教授,主要从事领域信息技术.网络安全的研究 维普资讯 http://www.cqvip.com 136 内 蒙 古 农 业 大 学 学 报 2006钜 安全性。强制访问控制(MAC)和自主访问控制 (b。M,f)满足半一property。此外,如果存在一个元 (DAC)是BLP模型实现控制手段的两种主要方法。 素(8,O,a)∈b,访问操作a是添加或写入,那么对于 强制访问控制通过引入“安全级”,“组集”和个 所有的客体o ,(s,o ,a )E b,aI是读或写,则必有f0 “格(Lattice)”的概念,为每个主体规定了一系列的 (o )≤f0(O)。 操作权限和范围。“安全级”通常由“普通,秘密,机 ●ds—property:如果对于每一个元素(s,O,a) 密,绝密”等几个不同的等级构成,用以表示主体的 E b,我们有a E Mso,那么状态(b,M,f)满足d8一 访问能力和客体的访问要求。“组集”就是主体能访 property 问或客体所从属的区域集合,如“部门”,“科室”, 基本安全定理:如果系统中所有的状态迁移都 “院系”等。通过“格”定义1种比较的规则,只有在 这种规则下主体控制客体时才允许主体访问客体。 强制访问控制是BLP模型的主要实现方法。 自主访问控制也是BLP模型中非常重要的实现 方法。它通过客体的属主自行决定访问范围和方式 的方法,实现对不同客体的访问控制。在BLP模型 中,自主访问控制是强制访问控制的重要完善和补 充。 1.3 BLP模型的描述 定义集合 ●主体集合:S。 ●客体集合:0。 ●访问操作集合:A={read,execute,append, write}。 ●具有部分排序≤的安全级别集合L。 ●B=P(S×0×A)是当前访问的集合。元素 b∈B是~组三元组(s,O,a),表示主体s当前正在客 体。上执行操作a。 ●M是访问许可矩阵M=(Mso)s∈S,O E 0的 集合。 ●F=Ls×Ls×IJa是安全级别分配的集合。元 素f∈F是一个三元组(fs,fe,fo),其中 ●fs:S一+L给出了每个主体可以拥有的最高安 全级别。 ●fc:s—L给出了每个主体可当前的安全级 别。 ●f0:O L给出了所有客体的分类。1个主体 的当前级别不能高于其最高级别,因此fc≤fs安全 策略 ●ss—property:如果对于每一个元素(S,O,a) E b,访问操作a是读或写,主体s的安全级别控制 客体。的分类,即fo(O)≤fs(s),那么状态(b,M,f) 满足ss—propetry。 ●jI|一property:如果对于每一个元素(8,O,a) E b,访问操作a是添加或书写,主体s的当前级别 被客体。的分类所控制,即fc(s)≤f0(O),那么状态 是安全的,并且系统的出世状态也是安全的,那么不 管输人情况如何,其后的每一个状态也都是安全的。 (基本安全定理是状态机模型的产物,而不是BLP模 型中选用的特定安全特性的结果。) 2方案设计 2.1系统信息流向 信息的产生:我们将信息分为两种,用户产生的 信息和系统信息。用户产生的信息,如用户的文件, 安装的程序等,生成后进人信息流动渠道。系统信 息由系统生成,包括系统的运行情况,用户工作情况 的审计等,生成后不进入信息流动渠道,直接提交管 理员并存档。 信息的基本流动方式:作为BLP模型的1种设 计,本方案贯彻了BLP模型集权化管理的特点, 实现信息的无条件纵向流动和有条件横向流动。用 户登录入不同的用户组,各组织间的信息不能直接 流动。在各组中,信息无条件向上流动,实现了BLP 模型所要求的‘向下读’;同时出于对信息完整性的 考虑,不允许‘向上写’,而是采取由上级读后提升文 件本身访问级别的方式来信息的反向流动。同 时,为了克服组间文件共享的不便,在各组设立可以 由其他组具有相应访问权限的用户访问的共享文件 夹。该文件夹存放由其他组送来供本组具有相应权 限用户查看的文件。这样就实现了用户组之间的有 条件的信息共享。关于信息的向下流动将作为系统 的1种特例情况存在,假设存在某一绝对可信的用 户执行密级的降低操作。 信息的消亡:这里的信息指用户信息。信息的 消亡有两种形式:自然消亡和存储消亡。自然消亡 指随着时间的流逝,信息失去了其自身的价值。没 有继续保密的需要。在这种情况下,操作系统可以 通过使用时间戳的方式识别该信息是否具有价值。 存储消亡是指文件作为操作系统管理下的磁盘存储 形式的消失,即脱离操作系统得管理的磁盘文件。 在某些情况下,存储消亡的文件并没有自然消亡。 维普资讯 http://www.cqvip.com 第4期 岳兵等: 一种基于BLP模型的访问控制设计方案 l37 低级主体可能通过使用磁盘扫描工具获得高于其访 是1种低级与高级的联系渠道的抽象。保证低级的 问权限的客体的信息,但由于该问题已脱离操作系 信息可以跨越相应得级别得到传递。 统得考虑范围,故不详述。 2.2主体和客体 根据在操作系统中所处的位置的不同,我们将 主体分为代表用户的用户进程,提供用户与操作系 统交互接口的系统调用进程,操作系统的服务进程 以及操作系统的内核进程几个层次;将客体分为设 备、系统信息和用户信息。 主体分别对应相应得客体的层次进行操作。如 用户进程不能直接操作设备,需调用系统调用进行 相关的操作。同样,系统信息(不包括审计信息)也 不能被用户进程直接或问接获得。主体各层次的操 作对象如下:用户进程按照访问控制的规则读取或 写入用户信息,或通过系统调用控制设备进行相关 的操作;系统信息为操作系统得服务进程所获得,从 而保持操作系统正常运行;内核进程负责中断响应 及进程问切换。以下所描述的访问规则及要求,均 就主体在各自对应范围内所进行的操作进程而言。 其中,当用户进程进行系统调用时,系统调用进程直 接继承用户进程所具有的权限,从而用户进程不能 通过系统调用获得其不应得到的信息。 2.3具体设计 方案以主体所进行的特定操作作为安全控制的 最小单位。主体各个操作属性的级别不同即体现的 了主体在系统中的级别,也体现了主体在系统中所 扮演角色的特征。例如,较高的读级别和较低的写、 创建级别是主要从事信息接受工作的主体的特征, 而相反的情况则对应相反的角色。较高的该密级别 和较低的读写级别的搭配则是系统安全员角色的表 现。同样,客体不同属性的搭配也体现了不同类别 客体的区别。低读高写是典型的‘公告’形信息,较 低的读级别保证了主体对信息的获得,而较高的写 级别则有效的保证了信息的完整性。而高读低写则 操作属性:读,写,创建,执行,删除,属性的设定 与修改(以下简称“属改”),密级的设定与修改(以 下简称“密改”) 操作属性的值即操作权限分为4级:公开,保 密。机密。绝密。 主体具有执行操作的特性,客体具有接受操作 的特性,因此,主客体的操作属性的结构是完全相同 的。主体登陆后所取得的操作属性由管理员提前分 配,客体的操作属性则由众多主体通过操作共同维 护。规则如下: 主体由用户与管理员两部分组成,用户的操作 级别由管理员提前设定。 客体的操作级别由创建时的属主的情况决定。 在维护过程中遵守以下规则: 2.3.1 强制访问控制 客体最初的操作级别与其 属主相同。在随后的存在过程中,随着外部环境的 变化,文件的各种属性也应随之而变化,这一变化是 由主体对客体操作属性的修改来实现的:密改高于 该客体的主体有权对客体的操作属性进行单向变 更,即提升该客体的操作属性的值直至与主体相同。 因此,属主并非理所当然的永远具有该文件的所有 权。由于文件可能存在多个副本,允许主体修改客 体的访问属性就造成了客体一致性的问题。为了保 证多个客体的一致性,操作系统将记录文件的复制 情况,一旦原文件的属性发生变更,则对其所有副本 进行同样的操作,以保证该文件的访问级别不会因 为副本的产生而下降。 主体发出调用系统功能的请求,同时提交自身 关于本次操作的属性和对象,操作系统进行主客体 之间操作级别的比较,当主体的操作级别达到或超 过客体所要求的级别,则允许调用,操作继续执行, 否则返回同时提示权限不足错误。 级别的比较实现了BLP模型所要求的“不上 读”,即简单安全公理的要求。为了实现“不下写”, 即实现“星特性”写访问控制得要求,系统设计为主 体进行写操作的同时,进行提升客体操作权限的动 作。从而保证高层发出的信息不会流向低层。 2.3.2 自主访问控制 系统中的自主访问控制仅 体现在工作组的划分上。各工作组之间的信息不能 直接流动,主体登录某一工作组后不会看到其他工 作组的客体并对其进行操作。系统结构图如下: 维普资讯 http://www.cqvip.com 138 内 蒙 古 农 业 大 学 学 报 2006年 \ 系 7 提交操作类型,对象和\ 统 /读取客体权限 主 艮 / 调 ‘\ 客 体 //‘ ./ 用(引 \ l 体 若允许,则返回调用结 用 根据比较结果决\ \ 则\ ’憷 眼小 监视器 定) 是否执行操作/ ? 2.4数据结构 group分别由不超过十个字符的英文字符串标识。 主体,安全相关属性包括name,操作权限的描 每一种操作的权限都由两个二进制位表示,由oo到 述,group,时间 11,分别对应操作的4种权限。但主体的时间为主 客体,安全相关属性包括name,操作权限的描 体登陆的时间,客体的时间为客体创建时的时间。 述,group,时间 主体的group属性可能不只一个,而客体必定属于单 主体和客体在结构上并非完全一样。Name和 一的某一个group。 主体结构如下: ’Na——me——— l读I写I—— ————— ————— —执行J——’— —删除I————— 属改l—————L————— —————————J————一密改l 时间 I Gmupl一 Jl Gorup2 Il Group3 Jl Group4 客体结构如下 Name I读I写I执行I删除l属改f密改f 时间 l Group J TimeStamp f Copy Index 2・5引用监控器 在我们的系统中,为了进一步减少系统开销,我 访问控制方案的实现大多是基于访问控制矩 们进一步分割访问控制矩阵,使每一个主体或客体 阵,随着系统中主体和客体的数量的增多,维护访问 自行携带本身的安全标识,只有在引用监视器进行 控制列表就成了1项很大的开销。因此,很多系统 访问合法性的判断时,才调用此类信息。引用监视 对访问控制矩阵进行了分割,实现按“行”或按“列” 器提取主客体的安全标识后,根据“格”中所定义的 存储,也就是所谓的“能力表”和“访问控制列表” 规则进行对其进行比较。根据比较结果返回相关信 (ACL)。UNIX和Windows NT都是采用了访问控制 息决定访问是否合法。监控器工作在服务进程级, 列表的方式来实现访问控制。 相关信息的获得由内核级调用提供。 维普资讯 http://www.cqvip.com 第4期 岳兵等: 一种基于BLP模型的访问控制设计方案 l39 2.5.1基于“格”的偏序比较规则 “格”的规范定义如下: 在本方案中,比较规则被定义为1个二元组的 偏序比较。二元组c(G,S),其中,对于主体而言。G 格(L,≤)由集合L和部分排序≤组成,对于任 为允许访问的工作组的集合,对客体而言,G为所属 意两个元素a,b E L,存在1个最小上界u E L和1个 的工作组;S为安全标识。G的比较规则为包含,只 最大上界l E L,也就是说: 有当主体的访问范围包含客体时才允许访问,即 (G3)≤(G2,G3)≤(Gl,G2,G3);S的比较规则为 线性排序,即公开≤保密≤机密≤绝密。只有当G S)时,称主体控制客体,并允许主体访问客体。例如 a≤u,b≤u,并且对所有v E L:(a≤v A b≤v) (u≤v) 一(k≤1) l≤u,l≤u,并且对所有k E L:(k≤a A k≤b) 和S同时满足Go≤Gs,So ̄Ss时,Co(G,S)≤cs(G, 在安全中,如果a≤b,则称“a受控于b”或“b控 下图所示,其中箭头指向表示控制: 制a”。 1.1 2.6操作原语 ite,OSCreat,OS—Delete。OS OSRead,OSWr————OS—Execute(varl,var2)作为客体为可执行文件 时。主体执行客体所调用的主要函数。其中两个参 terA,OS AlterC。 Execute,OSAl—数分别为主体的名称和客体的名称。OS—Execute函 OS—Read(varl,var2)作为主体执行读操作时调 数首先提交主体的执行访问级别和访问对象到引用 用的主要函数。其中两个参数分别为主体的名称和 监控器,若监控器允许则执行该程序,由此引发的进 客体的名称。OS—Read函数首先提交主体的读访问 程继承客体的相关权限。否则返回权限不足错误. 级别和访问对象到引用监控器,若监控器允许则打 OS—OS_AlterA(varl,var2)作为主体执行属性修改 开文件并读取文件的内容。否则返回权限不足错误 操作时调用的主要函数。其中两个参数分别为主体 Write(varl,var2)作为主体执行写操作时调 的名称和客体的名称。OS—AherA函数首先提交主 用的主要函数。其中两个参数分别为主体的名称和 体的属改访问级别和访问对象到引用监控器,若监 客体的名称。OS_Write函数首先提交主体的写访问 控器允许则打开文件并读取文件的内容。否则返回 级别和访问对象到引用监控器,若监控器允许则打 权限不足错误.开文件并读取文件的内容,当主体结束操作保存文 返回权限不足错误。 OS—OS—AlterC(varl,var2)作为主体执行密级修改 件时,更新文件的内容。同时提高文件的读写,否则 操作时调用的主要函数。其中两个参数分别为主体 的名称和客体的名称。OS—AherC函数首先提交主 Creat(varl,var2)作为主体执行写操作时调 体的密改访问级别和访问对象到引用监控器,若监 用的主要函数。其中参数2为待创建客体的名称。 控器允许则允许主体提升客体的访问要求直至与主 函数首先在内存中为文件名及属性分配内存空间, 体自身的级别相同。否则返回权限不足错误. 然会将主体的级别分别赋予客体的各个属性,将文 件添加入文件列表,然后调用OS—Write函数。 OSDelete(varl,vat2)作为主体执行删除操作 —3结束语 该方案以经典BLP模型为基础,去掉了BLP模 代之以上级读下级客体 时调用的主要函数。其中两个参数分别为主体的名 型中允许‘向上写’的规定,较好的保证了信息的 称和客体的名称。OS—Delete函数首先提交主体的 的方式实现信息的向上流动,删除访问级别和访问对象到引用监控器。若监控器 完整性,同时为主体和客体赋予多种操作各个不同 使访问控制的粒度更细。由于BLP模型固 允许则从文件表中删除文件。否则返回权限不足错 的权限,误。 (下转第179页) 维普资讯 http://www.cqvip.com 第4期 任少英: 彩色沥青混凝土路面的应用及展望 179 不同的路面颜色清晰地警示汽车驾驶员前方道路的 全性;也可起到标识不同车道的用途,对车流的引导 规范.JTG F40—2004北京:人民交通出版社,2004. 南[M].2005.12. 上海市市政工程管理局.彩色沥青混凝土路面施工指 安全状况,增强危险区域的交通警示,提高道路的安 [9]比在普通路面上画线效果更好,有利于交通的疏导 [1O] 马云朗.彩色沥膏混合料的生产和施工简介[J].市政 技术,2003,21(1). 和管理。彩色沥青的推广和使用符合城市建设“彩 化、绿化、亮化”的要求,将带给人们更多的和谐和美 [11] 许英明.彩色沥青混凝土路面施工质量控制[J】.市 政技术,2003,7:(4). 丽。因此,我们期待着不久的将来彩色沥清路面将 [12] 柚木邦夫(日).彩色路面的种类、材料及施工技术 快步走进我们的生活,融入城市现代化的怀抱。 【J].黑龙江交通科技.1994,58:(2). 参考文献: [13] 曹霞宋秀莲.彩色沥青路面在我国城市道路中的应 [1] 费德荣.沥青和沥青混凝土技术发展[C].第三届国际 用[J].天津建设科技2005,z1期. 道路和机场路面技术发展大会论文集.广州:华杰国际 [14] 陈激波,祝长康,赵冬兵.彩色沥青路面的工程应用 出版社. 研究[J].中国市政工程.2000:(3). [2] 郝培文,袁永长.彩色胶结料的开发与技术性能研究 [15] 谢福炯,陈志成.彩色沥青混凝土在城市道路中的应 [J].公路,2000:(4)北京:《公路》杂志出版,2000,4. 用[J]+市政技术,2003,21:(3). [3] 张有发.彩色沥青制备、中试和工程应用[D].硕士学 [16] 粱乃兴,韩森,屠书荣.现代路面与材料[M].北京:人 位论文.广州:华南理工大学,2004. 民交通出版社,2003. [4] 王利泉,谢素琴.彩色胶结料的研究与应用[S].市政 [17] 常奎和,高群.公路沥青路面养护新技术[M].北京: 技术.中华人民共和国行业标准.2003,21:(2). 人民交通出版社,2001. [5] 胡达平,李士杰.彩色路面混合料技术[E].市政技术 [18] 邓学钧.路基路面工程[M].北京:人民交通出版社. 文稿选登.2003,22(4). 20()3.1. [6] 公路工程沥青及沥青混合料试验规程[S].JTJ052— [19] 李立寒,张南鹭.道路建筑材料[M].上海:同济大学 2000北京:人民交通出版社,2000. 出版社,1999,111. [7] 中华人民共和国行业标准+公路工程集料试验规程 [20] 葛勇,张宝生.建筑材料[M].北京:中国建材工业出 [S].jTG E40—2005北京:人民交通出版社,2005. 版社。2oo2. [8] 中华人民共和国行业标准[S].公路沥青路面施工技术 (上接第139页) [5] J.H.Saltzer.Protection and the control of information 有的特征,方案没能解决BLP模型的访问控制管理 sharing in Muhics.Communications of hte ACM,17 pages 问题;尽管方案中允许主题更改客体的级别,但主体 388-402,1974. 的级别在主体登陆期间无法改变,因此维护主体的权 [6] B.Lampson,M.Abed/,M.Burrows,and E.Wobber. 限调度也是很大的开销。对于隐通道的问题,方案中 Authentication in distributed systems:Theory and Prac— 也未能给予解决,有待完善。 itce.ACM Transactions on Computer systent,10(4)pages 265~310.November 195I2. 参考文献: [7] 刘克龙,卿斯汉,冯登国.一种基干BLP模型的安全 [1] Bell D E,LaPadula L J C.Secure Computer systems: WEB服务器系统[J].计算机学报,2003,26(10):1280 Mathematical Foundations.The MITRE Corporation,Bed- —1287. f0rd,Massachusetts:Technical Report M74—244,1973, [8]Dieter Gollmann,华蓓,蒋凡,史杏荣等译.计算机安全 [2]Bell D E,LaPadula L J C.Secure Computer systems:A [M].北京:人民邮电出版社,2003. Mathematical Mode1.The MITRE Corporation,Bedford, [9]北京中科红旗软件技术有限公司,eRd Flag Server 4.0 Massachusetts:Technical Report M74—244,1973. 安全技术,2003. [3]Bell D E,LaPadula L J C.Secure Computer systems:Uni- [10] 王昌达,鞠时光.BLP安全模型及其发展[J].江苏大 lfed exposition and multies interpretation.The MITRE Cor- 学学报,2004,25(1):68—72. optation,Bedford,Massachusetts:Technical Report M74 [11] 李军,孙玉方.计算机安全和安全模型[J].计算机研 —244,1973. 究与发展,1996,33(4):312—320. [4] R.S,Sandhu.Lattice—based aecos8 control models. [12] 蒋韬,李信满,刘积仁.信息安全模型研究[J].小型微 IEEE Computer,26(11)pages 9—19,November 1993. 型计算机系统,2000,21(10):1078—1081.
