王 竹， 戴一奇

（清華大學 計算機科學與技術系，北京 100084）

0 引言

網(wǎng)絡技術的發(fā)展，在給人們工作、生活帶來便利的同時，安全問題也日益凸顯。愈演愈烈的網(wǎng)絡安全問題不僅為個人用戶帶來了損失與不便，也為企業(yè)和單位帶來了嚴重威脅。局域網(wǎng)作為網(wǎng)絡的最基礎單元，它的安全是全網(wǎng)安全的基礎，因此局域網(wǎng)安全性的研究也得到了越來越多的重視[1-4]。

1 背景

1.1 局域網(wǎng)安全簡介

目前，局域網(wǎng)安全的處理方式有基于身份認證為技術的安全系統(tǒng)和基于可信計算技術的安全系統(tǒng)，還有一些針對特定需求的安全系統(tǒng)，比如綜合利用實時病毒防治、入侵檢測、安全審計、訪問控制、防火墻等專有技術。隨著一系列安全事件的出現(xiàn)，基于網(wǎng)絡內(nèi)部安全假設的網(wǎng)絡外圍安全的研究已不夠，局域網(wǎng)內(nèi)部安全已受到了越來越多的關注。特別是對于一些有保密需求的企業(yè)，局域網(wǎng)內(nèi)部秘密信息泄露和信息的非法使用為企業(yè)和單位造成了巨大損失。針對于系統(tǒng)局部的安全防護需求，在現(xiàn)有操作系統(tǒng)和網(wǎng)絡協(xié)議上進行改造，單獨利用打補丁、堵漏洞的處理方法已不能從根本上解決安全問題，迫切需要的是從整體角度考慮安全問題，從體系結構入手研究局域網(wǎng)計算機系統(tǒng)的安全問題，以克服傳統(tǒng)局域網(wǎng)系統(tǒng)在結構上缺乏集中統(tǒng)一管理機制的不足，來滿足應用中的多種需求，從而為進一步解決網(wǎng)絡安全問題打下堅實的基礎。

基于不同應用領域進行的安全系統(tǒng)的設計，網(wǎng)絡具有各種不同的信息安全模型。比如基于角色請問控制模型（RBAC），基于時間的 PDR模型，基于策略的 P2DR模型，這些模型對于解決安全問題，保護信息的完整性和機密性都有較好的作用。BLP模型是在1973年，D. E. Bell 和L. J. LaPadula提出的一個可證明安全系統(tǒng)的數(shù)學模型[5]，在安全操作系統(tǒng)設計的時候常常被采納。

1.2 BLP模型

BLP模型是一個狀態(tài)機模型，它采用形式化方法定義了系統(tǒng)狀態(tài)以及系統(tǒng)各狀態(tài)間的轉換規(guī)則，并在此基礎上給出了定義系統(tǒng)狀態(tài)安全的安全特性，規(guī)定了一組用于約束系統(tǒng)狀態(tài)轉換規(guī)則的安全公理，并證明了系統(tǒng)的安全性，即在其約束規(guī)則下進行狀態(tài)轉換的系統(tǒng)如果初始狀態(tài)安全，則系統(tǒng)是安全的。

BLP模型的形式化描述如下。

(1) 基本元素

S是主體集合，S包括非可信主體集合和可以違反*-屬性的可信主體集合；ST是可信主體集合，S ' = S ST，O是客體集合，T為時序集合。A是訪問方式集合。

C是安全等級集合，K是安全范疇集合，L是安全標記集合，安全標記是安全等級和安全范疇的二元組，即L = C × K 。

定義 L上的二元關系≥,對 Li, Lj∈L,Ci, Cj∈C， Ki, Kj∈K，Li= ( Ci, Ki)，Lj= ( Cj, Kj)，Li≥ Lj:= ( Ci≥ Cj) ? ( Ki?Kj)，表示Li支配Lj。

B = P (S × O × A )為當前訪問集合。P(X)表示集合X的冪集。

M = { M }為訪問矩陣集合，矩陣 M中元素 Mij表示主體Si對客體Oj的訪問方式。

F ={( fS, fO, fC) |? s ∈ S , fS(s) ≥ fC(s )}為 敏 感標記函數(shù)集合，fS是主體最大敏感標記函數(shù)，fO是客體敏感標記函數(shù)，fC是主體當前敏感標記函數(shù)。

H = { H}是客體層次關系集合。

系統(tǒng)狀態(tài)集合V=B× M × F× H 。

(2) 安全特性

系統(tǒng)狀態(tài)v是安全狀態(tài) iff 狀態(tài)v滿足以下3個安全特性。

簡單安全特性(ss-特性)：

一個主體可以讀一個客體，則客體的安全級不能比該主體的最大安全級高。

狀態(tài) v = ( b, M, f, H )滿足 ss-特性 iff?( Si, Oj,x) ∈ b ，x=r或w ?fS(Si) ≥ fO( Oj)

*-特性：

主體對客體有“只寫”權限，則客體的安全級至少和主體的當前安全級一樣高；主體對客體有“讀”權限，則客體的安全級不會比主體當前安全級高；主體對客體有“讀寫”權限，則客體的安全級等于主體的當前安全級。

狀態(tài) v = ( b, M, f, H )滿足*-特性 iff?( Si, Oj, x) ∈ b ,Si∈S '

自主安全特性(ds-特性)：

狀態(tài) v = ( b, M, f, H )滿足 ds-特性 iff?( Si, Oj, x) ∈b ? x∈Mij

此條性質(zhì)是說，若(Si, Oj,x)∈b，即如果在狀態(tài)v，主體 Si獲得了對客體 Oj的x訪問權，那么 Si必定得到了相應的自主授權。如果存在(Si, Oj,x)∈b,但主體Si并未獲得對客體Oj的x訪問權的授權，則v被認為不符合自主安全性。

(3) 狀態(tài)轉換規(guī)則

R是請求集合，D是判定集合。

狀態(tài)轉換規(guī)則定義為 ρ : R × V → D × V ，判定結果取值為 Yes、No或 ?，分別表示請求被執(zhí)行、請求被拒絕或請求不能被處理。

對Rk∈R，Dm∈D，規(guī)則ρ(Rk,v) = (Dm,v*)保持安全狀態(tài) iff 狀態(tài)v與v*是安全狀態(tài)。

(4) 基本安全公理

如果系統(tǒng)的初始狀態(tài)是安全的，并且所有的轉換規(guī)則是安全的，那么該系統(tǒng)是安全的。

BLP模型控制方法如下。

BLP模型是一種訪問控制模型，它通過制定主體對客體的訪問規(guī)則和操作權限來保證系統(tǒng)的安全性。BLP模型中，基本安全控制方法有兩種：

（1）強制訪問控制（MAC）。它主要是通過“安全級”來進行，安全級是由“密級”和“部門集”構成的一個二元組，密級包括無密、秘密、機密、絕密 4個等級。作為實施強制型安全控制的依據(jù)，主體和客體均要求被賦予一定的“安全級”。其中，人作為安全主體，其部門集表示他可以涉及哪些范圍內(nèi)的信息，而一個信息的部門集則表示該信息所涉及到的范圍。有3點要求：①主體的安全級高于客體，當且僅當主體的密級高于客體的密級，且主體的部門集包含客體的部門集；②主體可以讀客體，當且僅當主體安全級高于或等于客體；③主體可以寫客體，當且僅當主體安全級低于或等于客體。

（2）自主訪問控制（DAC）。主體對其擁有的客體，有權決定自己和他人對該客體應具有怎樣的訪問權限。

最終的結果是，在 BLP模型的控制下，主體要獲取對客體的訪問，必須同時通過MAC和DAC兩種安全控制設施。

BLP模型的提出對安全操作系統(tǒng)的研究帶來了巨大的影響，從模型被提出開始至今，BLP模型已經(jīng)被應用到多個安全操作系統(tǒng)之中，包括Multics、UCLA Data Secure Unix 等，Xenix[6]、安全 UNIS[7]、ASOS[8]等系統(tǒng)和支持多政策的 DTOS系統(tǒng)，以及支持動態(tài)政策的 SE-Linux等安全操作系統(tǒng)。同時也衍生出多種改進模型，如支持動態(tài)密級的 ABLP模型、DBLP模型，以及把基于角色的訪問控制策略和 BLP的強制性訪問控制策略結合工作[9]等。

2 多級安全局域網(wǎng)的結構

多級安全局域網(wǎng)系統(tǒng)以擴展 BLP星形網(wǎng)絡拓撲結構作為安全模型。該模型在經(jīng)典 BLP模型的基礎上，通過在系統(tǒng)中增加動態(tài)監(jiān)控單元，構造了新的狀態(tài)轉換規(guī)則，實現(xiàn)對主體間通信行為的控制，解決局域網(wǎng)內(nèi)數(shù)據(jù)的安全性問題。該系統(tǒng)有安全服務器、可控動態(tài)交換機和安全終端組成，其結構如圖1所示。

圖1 多級安全局域網(wǎng)結構

2.1 安全服務器

安全服務器作為信息安全管理平臺，集中數(shù)據(jù)管理，分級監(jiān)控并全局把握局域網(wǎng)內(nèi)信息安全。它包括系統(tǒng)服務器和數(shù)據(jù)服務器，系統(tǒng)服務器上存儲了為維持安全終端運行的操作系統(tǒng)鏡像和各種應用軟件；數(shù)據(jù)服務器存儲了用戶需要的信息數(shù)據(jù)目錄文件，以及終端用戶的各種身份信息、終端用戶行為的訪問控制策略數(shù)據(jù)等。安全服務器為安全終端提供系統(tǒng)和數(shù)據(jù)服務，并通過與可控的多級安全交換機聯(lián)動，對終端用戶間，以及用戶和外網(wǎng)間的各種通信行為進行集中統(tǒng)一控制。

除了基本的安全服務器外，還設置了應用服務器，提供其他的網(wǎng)絡服務功能，如 Web服務、網(wǎng)絡打印服務、電子郵件系統(tǒng)服務等。

2.2 可控動態(tài)交換機

可控動態(tài)交換機，作為分級動態(tài)安全局域網(wǎng)系統(tǒng)的關鍵部件，它能夠根據(jù)局域網(wǎng)內(nèi)安全終端當前安全級別的變化，動態(tài)控制其網(wǎng)絡通信行為，保障局域網(wǎng)內(nèi)數(shù)據(jù)安全。

安全局域網(wǎng)采用基于 BLP模型的星型拓撲結構，要求網(wǎng)絡中的每個受控終端都直接與可控動態(tài)交換機相連，可控動態(tài)交換機可采用級聯(lián)等方式進行拓展。由于可控動態(tài)交換機處于網(wǎng)絡信息交換的中間節(jié)點，負責轉交系統(tǒng)所有的數(shù)據(jù)交換，包括局域網(wǎng)內(nèi)和局域網(wǎng)內(nèi)外之間的信息交換。

與傳統(tǒng)交換機不同的是它增加了 3層控制功能，能夠根據(jù)服務器發(fā)送的信息自動修改規(guī)則策略，改變主機間的通信關系。它由以下模塊組成：

服務器連接建立模塊。完成與服務器的認證，以及連接的建立，連接建立成功后，信息接收模塊開始正常工作。

服務器指令接收模塊。接收服務器發(fā)送的主機等級變化信息。

指令生成模塊。根據(jù)服務器發(fā)送的主機安全等級變化信息，根據(jù)預先設定的安全策略，自動生成交換機控制指令。

交換機控制模塊。將指令生成模塊生成的指令應用于交換機的各個端口，使指令生效。

該系統(tǒng)采用了交換控制器配合現(xiàn)有成熟交換機的方法來實現(xiàn)安全動態(tài)控制過程。交換控制器負責與認證中心和服務器進行信息交互，取得連接在交換機上的終端標識信息，并按照標識，根據(jù)安全策略，生成交換機控制指令，然后將指令發(fā)送給相應交換機，交換機執(zhí)行指令，實現(xiàn)動態(tài)劃分和安全隔離。

2.3 安全終端

安全終端沒有獨立的外部存儲器，它只能運行來自安全服務器上的操作系統(tǒng)、應用軟件，只能訪問和操作安全服務器上存儲的目錄文件數(shù)據(jù)。用戶在使用安全終端時，無論是使用操作系統(tǒng)、運行應用軟件、操作各種數(shù)據(jù)，還是透過本機的驅(qū)動程序（集成在操作系統(tǒng)中）操縱本機的各種設備，都需要向安全服務器請求。

3 多級安全局域網(wǎng)系統(tǒng)的安全策略

系統(tǒng)中引入了可控動態(tài)交換機和安全服務器，并要求所有的終端實體必須與可控動態(tài)交換機直接相連。采用星型的網(wǎng)絡拓撲有利于對網(wǎng)絡實施安全控制，也是在系統(tǒng)中實施擴展的BLP安全策略的必要條件。

系統(tǒng)設計的安全策略如下：

1）系統(tǒng)內(nèi)的所有用戶身份是經(jīng)過身份認證的，經(jīng)過身份鑒別的用戶具有兩個敏感標記，即最高敏感標記和當前敏感標記。

2）用戶所使用的終端上的計算環(huán)境是安全可信的，安全終端只能運行和處理來自安全服務器上的操作系統(tǒng)、程序和數(shù)據(jù)，不能向私有存儲設備保存任何數(shù)據(jù)信息，不能非法拷貝文件。

3）對數(shù)據(jù)的訪問控制采用強制性的訪問控制策略。用戶對敏感標記不高于最高敏感標記的數(shù)據(jù)資源可以進行只讀訪問；對敏感標記不低于當前敏感標記的數(shù)據(jù)資源進行只寫訪問。

4）系統(tǒng)在終端下載的操作系統(tǒng)內(nèi)核中嵌入了終端監(jiān)控模塊，監(jiān)控終端內(nèi)部發(fā)生的各種行為。當終端監(jiān)控模塊攔截到系統(tǒng)需要控制的動作請求時，首先在終端內(nèi)部掛起動作請求，然后向策略服務器詢問是否授權本次動作，根據(jù)策略服務器返回的系統(tǒng)響應情況，再決定是否允許通過本次動作請求。

5）可控動態(tài)交換機、終端監(jiān)控模塊與安全服務器共同實現(xiàn)了對安全局域網(wǎng)系統(tǒng)內(nèi)各種行為的監(jiān)控。

4 多級安全局域網(wǎng)的功能與特性

4.1 保證信息交換的雙方是可信賴的

多級安全局域網(wǎng)對信息進行訪問控制，同時保證數(shù)據(jù)的機密性，使得不該看的不能看，想看也看不到。能夠主動制止違規(guī)行為，可以實現(xiàn)實時監(jiān)控和事后審計。多級安全局域網(wǎng)使用集中統(tǒng)一存儲各種數(shù)據(jù)的方式，通過對用戶、文件數(shù)據(jù)進行分級，采用“無上讀、無下寫”的安全控制策略，實現(xiàn)了不同等級的信息可控；通過監(jiān)管用戶各種操作，根據(jù)用戶行為改變用戶狀態(tài)，實現(xiàn)動態(tài)控制；同時主動監(jiān)控主機間網(wǎng)絡通信、主機內(nèi)對移動存儲設備的操作，保障信息安全。

4.2 信息資源統(tǒng)一管理

安全局域網(wǎng)系統(tǒng)中實現(xiàn)了對用戶資源的集中統(tǒng)一存儲，用戶的資源訪問操作和進程創(chuàng)建等行為均受到控制服務器的監(jiān)控與管理，實現(xiàn)了對敏感信息的多級訪問控制，同時保證惡意代碼不被運行，由服務器為可信終端提供各種資源（操作系統(tǒng)、程序和數(shù)據(jù)），對可信終端進行訪問權限控制。具有統(tǒng)一存儲，集中管理各種資源的特點。多級安全局域網(wǎng)系統(tǒng)實現(xiàn)了基于角色的訪問控制。主要包括以下內(nèi)容：用戶角色的管理；支持多種控制策略，包括信息等級控制，訪問操作權限控制等；同時包含多種控制對象，如數(shù)據(jù)訪問行為、進程創(chuàng)建行為、網(wǎng)絡通信關系等。多級安全局域網(wǎng)系統(tǒng)還可以提供多種網(wǎng)絡服務，如內(nèi)網(wǎng)的 Web信息系統(tǒng)、打印服務器、郵件服務器等，除此之外，還可以提供其他基于內(nèi)網(wǎng)的服務。其特點為在不影響安全性的前提下，提高了系統(tǒng)整體可用性。

4.3 操作行為可控可管

安全局域網(wǎng)系統(tǒng)中用戶的網(wǎng)絡信息交換受到服務器的動態(tài)監(jiān)管，并且只具備訪問控制策略所允許的通信能力，系統(tǒng)對各終端之間的網(wǎng)內(nèi)通信和終端與外網(wǎng)的通信行為都進行了監(jiān)管，以保證終端獨自或合謀的方式泄露網(wǎng)內(nèi)的敏感信息，而傳統(tǒng)局域網(wǎng)用戶可以進行任意的網(wǎng)絡信息交換，可以監(jiān)管可信終端的各種數(shù)據(jù)訪問行為，控制可信終端的網(wǎng)絡通信，實現(xiàn)動態(tài)的安全隔離，具有多級安全體制，強制性訪問控制，集中監(jiān)控。多級安全局域網(wǎng)可實現(xiàn)有效的歷史操作記錄審計，服務器監(jiān)管的所有用戶操作記錄(合法、非法)；同時進行實時監(jiān)管，包括在終端上部署監(jiān)視代理，管理員可通過監(jiān)視代理對終端進行實時監(jiān)管，以及獲取當前網(wǎng)內(nèi)所有用戶的信息、密級等。

4.4 可信終端安全接入

安全局域網(wǎng)系統(tǒng)中的終端是基于透明計算技術的可信終端，這類終端沒有本地存儲能力，其外部存儲器在邏輯上被部署在服務器端，只能運行和處理來自安全服務器上的操作系統(tǒng)、程序和數(shù)據(jù)，本地不能保存任何文件，安全服務器可監(jiān)控可信終端上的數(shù)據(jù)訪問操作。具有不能私自拿到任何東西，不能越權訪問或傳遞任何信息的特點。多級安全局域網(wǎng)系統(tǒng)終端的操作系統(tǒng)來自于網(wǎng)絡，用戶無法修改；針對用戶進程，已初步實現(xiàn)服務器對終端待創(chuàng)建進程的鑒別與校驗和新進程創(chuàng)建行為控制的主動監(jiān)控。

5 結語

多級安全局域網(wǎng)系統(tǒng)從安全體系出發(fā)，全面考慮局域網(wǎng)內(nèi)信息的安全性，構建了適用于局域網(wǎng)的以安全標記為基礎的多級安全訪問控制模型，實現(xiàn)了無上讀無下寫的控制規(guī)則和對終端行為的全程監(jiān)控。與傳統(tǒng)局域網(wǎng)的對比，該多級安全局域網(wǎng)具有以可信終端為安全終端，資源訪問操作受到監(jiān)控與管理，動態(tài)監(jiān)控的網(wǎng)絡信息交換，終端行為是受控的，以便于認證、訪問控制和審計的特性。

[1] 趙興文,李菲,李暉.以 IEEE 802.10標準設計安全局域網(wǎng)[J].通信技術,2003(12)：100-102,108.

[2] 李方偉,何成勇.一種適用于 Ad Hoc網(wǎng)絡的密鑰管理方案[J].通信技術,2008,41(01)：105-106,142.

[3] 王曉,劉乃琦,王榕.利用 Netfilter/IPTables構建安全局域網(wǎng)[J].信息安全與通信保密,2006(10)：120-122.

[4] 鄭勇,謝永強.無線局域網(wǎng)安全技術及漏洞分析[J].信息安全與通信保密,2007(04)：66-68.

[5] BELL D E, LAPADULA L J. Secure Computer System：Mathematical Foundations[R].MA：ESD/AFSC,1973.

[6] GLIGOR V D, BURCH E L, CHANDERSEKARAN C S, et al.On the Design and the Implementation of Secure Xenix Workstations[C]// Proceedings of the 1986 IEEE Symposium on Security and Privacy. USA： IEEE Computer Society Press, 1986：102-117.

[7] GRENIER G L, HOLT R C, FUNKENHAUSER M. Policy vs Mechanism in the Secure TUNIS Operating System[C]//Proceedings of 1989 IEEE Symposium on Security and Privacy. USA： IEEE Computer Society Press,1989：84-93.

[8] WALDHART N A. The Army Secure Operating System[C]//Proceedings of 1990 IEEE Symposium on Security and Privacy. USA： IEEE Computer Society Press, 1990：50-60.

[9] 司天歌. 局域網(wǎng)安全體系結構及模型研究[D]. 北京：清華大學,2008.