对两个改进的BLP模型的分析

微信服务号

微信订阅号

2025年5月14日 20:25 星期三

首页 > 过刊浏览>2007年第18卷第6期 >1501-1509

对两个改进的BLP模型的分析
DOI:
                        
                    
CSTR:
                        
                    
作者:
                        何建波何建波
中国科学院,软件研究所,基础软件国家工程研究中心,北京,100080;中国科学院,软件研究所,信息安全工程技术研究中心,北京,100080;中国科学院,研究生院,北京,100049
在期刊界中查找
在百度中查找
在本站中查找
卿斯汉卿斯汉
中国科学院,软件研究所,信息安全工程技术研究中心,北京,100080;北京中科安胜信息技术有限公司,北京,100086;北京大学,软件与微电子学院,北京,102600
在期刊界中查找
在百度中查找
在本站中查找
王超王超
中国科学院,软件研究所,信息安全工程技术研究中心,北京,100080;北京中科安胜信息技术有限公司,北京,100086;中国科学院,研究生院,北京,100049
在期刊界中查找
在百度中查找
在本站中查找

                    
作者单位:
作者简介:
通讯作者:
中图分类号:
基金项目:Supported by the National Natural Science Foundation of China under Grant No.60573042 (国家自然科学基金); the National Basic Research Program of China under Grant No.G1999035802 (国家重点基础研究发展计划(973)); the Beijing Natural Science Foundation of China under Grant No.4052016 (北京市自然科学基金)

Analysis of Two Improved BLP Models

Author:

HE Jian-Bo
HE Jian-Bo

在期刊界中查找
在百度中查找
在本站中查找
QING Si-Han
QING Si-Han

在期刊界中查找
在百度中查找
在本站中查找
WANG Chao
WANG Chao

在期刊界中查找
在百度中查找
在本站中查找

Affiliation:

Fund Project:

摘要

图/表

访问统计

参考文献 [29]

相似文献 [20]

引证文献

资源附件

文章评论

摘要:

安全性和灵活性是各种改进的BLP模型追求的目标.如何在保持安全性的前提下增加BLP模型的灵活性,一直是安全操作系统研究人员研究的重点.安全模型是系统设计的基础,如果在系统中实现了不安全的"安全模型",其后果是严重的.结合多级安全(MLS)的核心思想,通过实例列举的方式深入分析了两个改进的BLP模型--DBLP(dynamic BLP)和SLCF(security label common framework).尽管这两个模型都提出了在系统运行时动态地调整主体安全级的规则,但是分析表明,它们还是不安全的.在这两个模型的规则控制下,特洛伊木马可以通过显式地读和写操作将高安全等级的信息泄漏给低安全等级的主体,从而违反了多级安全(MLS)策略.研究结果为人们避免选用不安全的模型提供了有意义的理论支持.

关键词:安全性;灵活性;BLP模型;特洛伊木马;信息流

Abstract:

The security and flexibility are two goals that various improved BLP models attempt to achieve. How to enhance the flexibility of BLP model is a challenging problem that security researchers try to solve. However, the implementation of an insecure “security model” in the system will result in an insecure system. In this paper, two improved BLP models, for short DBLP (dynamic BLP) and SLCF (security label common framework), are analyzed. Although the designers of the two models claimed that their proposals can adjust the security level of the untrusted subject dynamically and accordingly improve the flexibility of the classical BLP model, the analytic results show that the two improved models are not secure at all. Under the rules of the two improved models a Trojan horse can “legally” read the high-level information and then write them to low-level objects, which violate the principle of multi-level security (MLS). This effort provides a theoretical foundation for avoiding the choice of insecure MLS model.

Key words:security; flexibility; BLP model; Trojan horse; information flow

参考文献

[1]Bell DE,La Padula LJ.Secure computer systems:Mathematical foundations.ESD-TR-73-278,I (AD) 770 768,Electronic Systems Division,Air Force System Command,Hanscom AFB.Bedford,1973.

[2]Bell DE,La Padula LJ.Secure computer systems:A mathematical model.ESD-TR-73-278,Ⅱ (AD) 771 543,Electronic Systems Division,Air Force System Command,Hanscom AFB.Bedford,1973.

[3]Gasser M.Building a Secure Computer System.New York:Van Nostrand Reinhold Company,1988.

[4]Bell DE.Secure computer system:A retrospective.In:Proc.of the 1983 IEEE Symp.on Security and Privacy.Oakland:IEEE Computer Society Press,1983.161-162.

[5]Bell DE,La Padula LJ.Secure computer system:Unified exposition and multics interpretation.Mitre Report,MTR-2997 Rev.1.1976.

[6]Waldhart NA.The army secure operating system.In:Proc.of the 1990 IEEE Symp.on Security and Privacy.Oakland:IEEE Computer Society Press,1990.50-60.

[7]Di Vito BL,Palmquist PH,Anderson ER,Johnston ML.Specification and verification of the ASOS kernel.In:Proc.of the 1990 IEEE Symp.on Security and Privacy.Oakland:IEEE Computer Society Press,1990.61-75.

[8]Terry VB.Analysis of a kernel verification.In:Proc.of the 1984 IEEE Symp.on Security and Privacy.Oakland:IEEE Computer Society Press,1984.125-133.

[9]Bell DE.Security policy modeling for the next-generation packet switch.In:Proc.of the IEEE Symp.on Security and Privacy.IEEE Computer Society Press,1988.212-216.

[10]Schell RR,Tao TF,Heckman M.Designing the GEMSOS security kernel for security and performance.In:Proc.of the 8th National Computer Security Conf.1985.108-119.

[11]Mayer FL.An interpretation of refined Bell-La Padula model for the TMach kernel.In:Proc.of the 4th Aerospace Computer Security Application Conf.IEEE Computer Society Press,1988.368-378.

[12]Secure Computing Corporation.Assurance in the fluke microkernel:Formal top-level specification.Technical Report,CDRL A004,Secure Computing Corporation,1999.

[13]Karger PA,Austel VR,Toll DC.A new mandatory security policy combining secrecy and integrity.IBM Research Report,RC 21717,2000.

[14]Loscocco P,Smalley S.Integrating flexible support for security policies into the linux operating system.Technical Report,NAI Labs,2001.

[15]McLean J.Reasoning about security models.In:Proc.of the 1987 IEEE Symp.on Security and Privacy.Oakland:IEEE Computer Society Press,1987.123-133.

[16]Ott A.Regel-Basierte Zugriffskontrolle nach dem generalized framework for access controlansatz am beispiel linux.Diplomarbeit Universitat Hamburg,1997.

[17]2006.http://www.rsbac.org/documentation/rsbac_handbook/security_models/mac

[18]Shi WC.Research on and enforcement of methods of secure operating systems development[Ph.D.Thesis].Beijing:Institute of Software,the Chinese Academy of Sciences,2001 (in Chinese with English abstract).

[19]Liang HL,Sun YF,Zhao QS,Zhang XF,Sun B.Design and implementation of a security label common framework.Journal of Software,2003,14(3):547-552 (in Chinese with English abstract).http://www.jos.org.cn/1000-9825/14/547.htm

[20]Ji QG,Qing SH,He YP.An improved dynamically modified confidentiality policies model.Journal of Software,2004,15(10):1547-1557 (in Chinese with English abstract).http://www.jos.org.cn/1000-9825/15/1547.htm

[21]Ji QG.Study on formalization design for high-level secure operating system[Ph.D.Thesis].Beijing:Institute of Software,the Chinese Academy of Sciences,2004 (in Chinese with English abstract).

[22]Bishop M.Computer Security:Art and Science.New York:Addison-Wesley,2002.

[18]石文昌.安全操作系统开发方法的研究与实施[博士学位论文].北京:中国科学院软件研究所,2001.

[19]梁洪亮,孙玉芳,赵庆松,张相锋,孙波.一个安全标记公共框架的设计与实现.软件学报,2003,14(3):547-552.http://www.jos.org.cn/1000-9825/14/547.htm

[20]季庆光,卿斯汉,贺也平.一个改进的可动态调节的机密性策略模型.软件学报,2004,15(10):1547-1557.http://www.jos.org.cn/ 1000-9825/15/1547.htm

[21]季庆光.高安全等级操作系统形式设计的研究[博士学位论文].北京:中国科学院软件研究所,2004. [1]在有关BLP模型的文献中,敏感级、安全级和安全标记通常具有相同的含义,本文延续了这一约定,在文中后面的部分将不区分这3个术语. [1]这里的可信与非可信是相对于进程是否允许超越BLP模型的*-属性来定义的.在文献

[5]的BLP模型的形式化描述中,BLP模型在进行访问仲裁时,先判断进程是否可信.如果是可信进程,则绕过BLP模型*-属性的限制,否则,根据安全级判断进程的访问权限.此外,用户可信和进程可信是两种不同的概念.代表可信用户执行操作的进程不一定是可信的,有可能隐藏特洛伊木马

[3]. [1]BLP模型主要是禁止主体通过读取和修改(写)客体的内容引起的非法信息流动,其目的是防止高安全级客体中的信息通过显式地读和写操作流向低安全级客体.正如Gasser在文献

[3]中所指出的,隐蔽信道产生的信息流不在BLP模型的控制内.

引用本文

何建波,卿斯汉,王超.对两个改进的BLP模型的分析.软件学报,2007,18(6):1501-1509

复制

文章指标

点击次数:5030
下载次数: 7818
HTML阅读次数: 0
引用次数: 0

历史

收稿日期:2005-12-16
最后修改日期:2006-05-18
录用日期:
在线发布日期:
出版日期:

微信服务号

微信订阅号

引用本文

相关视频

分享

文章指标

历史

文章二维码

微信服务号

微信订阅号

引用本文

相关视频

分享

微信扫一扫：分享

文章指标

历史

文章二维码