林海南 朱建濤 殷紅武

(江南計(jì)算技術(shù)研究所 江蘇 無(wú)錫 214083)

完整性增強(qiáng)的文件分級(jí)保護(hù)模型

林海南 朱建濤 殷紅武

(江南計(jì)算技術(shù)研究所 江蘇 無(wú)錫 214083)

針對(duì)文件分級(jí)保護(hù)中對(duì)完整性安全的需求，結(jié)合系統(tǒng)中主體間的信任關(guān)系，提出一種完整性增強(qiáng)的文件分級(jí)保護(hù)模型。模型在BLP模型的基礎(chǔ)上進(jìn)行擴(kuò)展，為主體和客體設(shè)置標(biāo)簽進(jìn)行訪問(wèn)授權(quán)，同時(shí)改進(jìn)安全公理和狀態(tài)轉(zhuǎn)換規(guī)則，使得模型中的信息流動(dòng)遵循標(biāo)簽的限制。最終對(duì)模型進(jìn)行理論證明。該模型可以針對(duì)不同的文件授予不同的主體修改權(quán)限，并且限制了完整性污點(diǎn)的傳播。經(jīng)分析和應(yīng)用表明，該模型不僅滿足文件保護(hù)的多級(jí)機(jī)密性安全需求，同時(shí)有效地提高了文件分級(jí)保護(hù)的完整性。

訪問(wèn)授權(quán) BLP模型 完整性 多級(jí)安全 文件保護(hù)

0 引 言

隨著信息化的普及，文件信息的安全性越來(lái)越受到人們的重視。信息的安全性包括機(jī)密性、完整性以及可用性。大部分組織如政府、企業(yè)、軍隊(duì)對(duì)信息的機(jī)密性要求較高，為了應(yīng)對(duì)復(fù)雜多變的應(yīng)用環(huán)境，人們提出了各種各樣的安全模型來(lái)滿足不同的機(jī)密性需求[1]。然而這些機(jī)密性模型策略都不能解決文件系統(tǒng)的完整性保護(hù)問(wèn)題，一些完整性的破壞可能造成不可估量的損失。

BLP模型[2-3]是經(jīng)典的多級(jí)機(jī)密性安全策略模型，應(yīng)用最為廣泛。針對(duì)BLP模型的完整性缺失問(wèn)題[4-5]，國(guó)內(nèi)外有許多相關(guān)研究，但是都不能很好地在真實(shí)系統(tǒng)中實(shí)現(xiàn)文件分級(jí)保護(hù)。其中一種方案是在BLP模型的基礎(chǔ)上增加完全性級(jí)別標(biāo)簽并修改了特定的安全規(guī)則， Vito等提出了將BLP模型和完整性模型Biba模型相結(jié)合的解決方案[6]和沈瑛等提出了一種基于格的BLP完整性擴(kuò)展模型——IBLP[7]。這類模型通過(guò)簡(jiǎn)單結(jié)合機(jī)密性模型和完整性模型，但是容易造成合法資源的不可訪問(wèn)；同時(shí)，業(yè)界缺少一個(gè)對(duì)于完整性的分級(jí)和分類的標(biāo)準(zhǔn)[8-10]，完整性標(biāo)簽的確定是很困難的，因此這些模型在實(shí)際系統(tǒng)中很難得到應(yīng)用。劉彥明等在2010年提出了一種完整性增強(qiáng)的EIBLP模型[11]，它給出了另外一種解決方案。它主要通過(guò)增強(qiáng)*-特性安全公理，增加了主體的最高上寫(xiě)等級(jí)和客體的最低下寫(xiě)等級(jí)，增加了“有限制的上寫(xiě)”操作，通過(guò)限制信息流動(dòng)從而增強(qiáng)了模型的完整性。但是EIBLP模型沒(méi)有考慮到信息流動(dòng)對(duì)客體完整性造成的影響，這種靜態(tài)保護(hù)機(jī)制會(huì)導(dǎo)致系統(tǒng)中客體本身的完整性低于客體安全標(biāo)識(shí)描述的完整性；同時(shí)通過(guò)安全級(jí)別來(lái)對(duì)主體、對(duì)客體的寫(xiě)入進(jìn)行限制的粒度不夠細(xì)，無(wú)法滿足文件多樣化的安全保護(hù)需求。

針對(duì)上述模型在文件分級(jí)保護(hù)中的問(wèn)題，結(jié)合現(xiàn)實(shí)文件應(yīng)用場(chǎng)景，在BLP模型基礎(chǔ)上提出了一種基于主體間訪問(wèn)授權(quán)關(guān)系的文件分級(jí)保護(hù)模型。為了增強(qiáng)模型的完整性與實(shí)用性，就要對(duì)系統(tǒng)中的信息流動(dòng)進(jìn)行合理限制。通過(guò)域標(biāo)簽對(duì)文件保護(hù)進(jìn)行細(xì)粒度的保護(hù)是一種很好的方式[12]。模型強(qiáng)調(diào)文件所有者對(duì)文件的控制權(quán)，考慮信息流動(dòng)對(duì)系統(tǒng)造成的影響[13-14]。該模型不需要對(duì)系統(tǒng)中的完整性進(jìn)行困難的分級(jí)工作，而是基于系統(tǒng)中主體間的信任關(guān)系，細(xì)化對(duì)主體和客體的訪問(wèn)進(jìn)行授權(quán)，從而對(duì)原模型本身的信息流動(dòng)增加了限制，模型完整性得到增強(qiáng)。最終，本文將模型應(yīng)用在Linux系統(tǒng)內(nèi)核中，得到了一個(gè)原型。

1 完整性策略分析

BLP模型本身沒(méi)有考慮完整性策略。因此在模型的前提假設(shè)中，沒(méi)有對(duì)完整性的假設(shè)。本模型針對(duì)文件保護(hù)系統(tǒng)的真實(shí)應(yīng)用場(chǎng)景，提出新的完整性假設(shè)。一方面，系統(tǒng)初始化時(shí)可以確認(rèn)主體間的信任關(guān)系，即主體可以允許來(lái)自哪些主體的信息；另一方面，強(qiáng)調(diào)主體對(duì)客體的主導(dǎo)性，文件所有者對(duì)文件的完整性具有控制權(quán)。這兩個(gè)假設(shè)是模型完整性安全的基礎(chǔ)。完整性策略應(yīng)該針對(duì)文件客體的完整性，對(duì)讀與寫(xiě)策略分別加以約束。

1.1 客體修改授權(quán)

在系統(tǒng)中，對(duì)于用戶文件，都有對(duì)應(yīng)的文件所有者，它根據(jù)文件內(nèi)容的復(fù)雜性，將其歸為不同完整性范疇。因此根據(jù)文件內(nèi)容的不同，我們應(yīng)該允許不同的用戶對(duì)其修改，而訪問(wèn)授權(quán)的決定權(quán)應(yīng)該由文件的所有者來(lái)決定。

1.2 客體讀取授權(quán)

假設(shè)中，系統(tǒng)初始化時(shí)，我們可以確認(rèn)主體信任來(lái)自于那些主體的信息，即主體可以合法讀取那些主體生成的文件。但是系統(tǒng)中的寫(xiě)操作會(huì)使得這種訪問(wèn)授權(quán)變得不安全。例如，如果主體A信任主體B，則主體A可以讀取屬于主體B。由于文件會(huì)被不同的用戶進(jìn)行修改，使得其內(nèi)容帶上其他主體的標(biāo)記。例如，用戶A僅信任來(lái)自用戶B的文件，用戶B有一個(gè)文件F，可以被用戶C修改，然而文件F在被用戶C修改過(guò)之后，就有A獲取到它的不可信用戶C的信息，可能導(dǎo)致信任污點(diǎn)的傳播，造成系統(tǒng)完整性的破壞。因此，系統(tǒng)中應(yīng)該禁止此類讀訪問(wèn)。

2 模型形式化描述

本文針對(duì)以上對(duì)系統(tǒng)中文件的完整性分析，對(duì)BLP模型定義了三種安全公理和11條狀態(tài)轉(zhuǎn)換規(guī)則進(jìn)行了改進(jìn)，對(duì)客體的讀寫(xiě)訪問(wèn)增加限制，約束不合法的信息流動(dòng)，從限制文件客體的讀寫(xiě)角度增強(qiáng)了模型的完整性，并將這種基于主體信任關(guān)系的信息流控制策略納入模型的強(qiáng)制訪問(wèn)控制策略中，具體的工作如下：

1) 在BLP模型的基礎(chǔ)上，為主體增加主體可信域，為客體增加可信修改域，兩個(gè)域中表示主體或客體信任的主體列表。通過(guò)這兩個(gè)標(biāo)簽，我們可以根據(jù)實(shí)際應(yīng)用場(chǎng)景進(jìn)行設(shè)定，建立起一個(gè)主體與主體、主體與客體間的訪問(wèn)授權(quán)網(wǎng)。這是實(shí)施完整性訪問(wèn)控制的基礎(chǔ)。

2) BLP模型中沒(méi)有體現(xiàn)污點(diǎn)傳播對(duì)模型完整性的影響。本文針對(duì)這種情況，為每個(gè)客體設(shè)置了一個(gè)修改記錄標(biāo)識(shí)。它用來(lái)記錄一個(gè)對(duì)文件修改過(guò)的主體。模型中，對(duì)被修改后的文件客體的讀取可能會(huì)造成主體間信任關(guān)系的破壞，因此應(yīng)該限制對(duì)它的讀取，防止了污點(diǎn)的傳播。

3) 修改狀態(tài)轉(zhuǎn)換規(guī)則，保證文件的完整性之間的轉(zhuǎn)換。對(duì)文件客體的修改會(huì)導(dǎo)致其沾上其他主體的標(biāo)記，從而導(dǎo)致客體的讀操作訪問(wèn)范圍越來(lái)越小。因?yàn)槲募姓邔?duì)文件的完整性具有控制權(quán)，對(duì)于被其他用戶修改的文件客體，文件的所有者或者可信主體可以確認(rèn)文件的內(nèi)容的可信度，可以保證系統(tǒng)中正常的信息流動(dòng)。

2.1 模型元素

定義1 主體集合S，其中可信主體集合St 和非可信主體集合S′；客體集合O，每個(gè)客體都有自己的所有者，密級(jí)集合C。

定義2 訪問(wèn)方式集合A={r,w,a},r為只讀，w為讀寫(xiě)，a為只寫(xiě)。

定義3 客體靜態(tài)標(biāo)簽可信修改域標(biāo)識(shí)TM，用來(lái)標(biāo)志客體可被修改的主體范圍，在客體被創(chuàng)建時(shí)進(jìn)行設(shè)置，不可被修改，可信修改域中的主體安全級(jí)小于或者等于客體安全級(jí)。

定義4 主體靜態(tài)標(biāo)簽主體可信域TS，用來(lái)標(biāo)識(shí)主體信任的主體范圍，在系統(tǒng)運(yùn)行初期被創(chuàng)建，不可被修改。

定義5 客體增加標(biāo)識(shí)RM用來(lái)記錄最近修改此客體的主體，這是一個(gè)動(dòng)態(tài)的標(biāo)記，用于記錄客體的修改污點(diǎn)。

定義6 等級(jí)函數(shù)類f∈F，記作f={fs,fc,fo}，其中，fs為主體的最大安全級(jí)函數(shù)；fc為客體安全級(jí)函數(shù)；fo為主體當(dāng)前安全級(jí)函數(shù)。

定義7 完整性函數(shù)類I={IRM,ITM,ITS,Iown}，其中，IRM為客體修改記錄，ITS為主體的主體可信域，映射主體信任的主體集合；ITM為客體可信修改域，映射可以對(duì)此客體進(jìn)行寫(xiě)操作的主體集合，Iown為客體所有者，表示創(chuàng)建這個(gè)客體的主體。

定義8 系統(tǒng)狀態(tài)v∈V由一個(gè)有序的五元組(b,M,f,I,H)表示。其中M為訪問(wèn)矩陣，H為當(dāng)前客體層次結(jié)構(gòu)，b?(S×O×P)。

定義9 請(qǐng)求集合R，表示各種請(qǐng)求的各種操作。判斷集合D={yes,no,error,?},表示對(duì)請(qǐng)求的回復(fù)。

2.2 模型安全公理

公理1 簡(jiǎn)單安全公理

當(dāng)一個(gè)主體訪問(wèn)一客體時(shí)，主體的安全級(jí)必須大于或等于客體的安全級(jí)，或主體擁有指定特權(quán)。即，狀態(tài)v=(b,M,f,I,H)滿足簡(jiǎn)單安全公理，iff對(duì)所有s∈S,有：

(O∈b(s:r,w))?(fs(S)≥fo(O))

公理2 *特性公理

狀態(tài)v=(b,M,f,I,H)滿足*特性，iff所有的s∈S′，有：

(O∈b(s:a))?fo(O)≥fc(S)

(O∈b(s:w))?fo(O)=fc(S)

(O∈b(s:r))?fo(O)≤fc(S)

該特性表明：當(dāng)主體追加寫(xiě)客體時(shí)，客體的安全級(jí)必須大于主體的當(dāng)前安全級(jí)；當(dāng)主體讀寫(xiě)客體時(shí)，客體的安全級(jí)必須等于主體的當(dāng)前安全級(jí)；當(dāng)主體只讀客體時(shí)，主體的當(dāng)前安全級(jí)必須大于客體的安全級(jí)，可信主體不受完整性公理約束。

公理3 自主安全性公理 狀態(tài)v=(b,M,f,I,H)滿足自主安全特性，iff：

(Si,Oj,x)∈b?x∈Mij

該特性表明：該模型受自主訪問(wèn)控制約束。

公理4 完整性公理

狀態(tài)v=(b,M,f,I,H)滿足完整性特性，iff所有的s∈S′，有：

(O∈b(s:r,w))?IRM(O)-ITS(S)=? ors=Iown(O)

(O∈b(s:a,w))?s∈ITM(O)

該特性表明，主體讀取客體內(nèi)容時(shí)，一定不存在不屬于主體信任域外的主體對(duì)其進(jìn)行過(guò)修改，或者主體是文件的所有者；主體對(duì)客體進(jìn)行“寫(xiě)”時(shí)，則主體必須在該客體的可信修改域內(nèi)，否則禁止修改；可信主體不受完整性公理約束。完整性公理體現(xiàn)了基于信任授權(quán)對(duì)模型的訪問(wèn)控制。

定義10 狀態(tài)v=(b,M,f,I,H)是安全的，當(dāng)且僅當(dāng)它滿足簡(jiǎn)單安全特性、*特性、自主安全特性以及完整性公理。

2.3 狀態(tài)轉(zhuǎn)換規(guī)則

在修改后的模型規(guī)則中，需要將完整性公理納入到訪問(wèn)規(guī)則中，并且在進(jìn)行相應(yīng)操作時(shí)對(duì)修改記錄進(jìn)行動(dòng)態(tài)維護(hù)。

規(guī)則1 請(qǐng)求只讀規(guī)則。在狀態(tài)v=(b,M,f,I,H),r∈Mij,對(duì)于請(qǐng)求request(Si,Oj,r)的處理如下：

iff(fs(Si)≥fo(Oj) andr∈Mij){

iff((fc(Si)≥fo(Oj) and

IRM(Oj)-ITS(Si)=?)

orSi=Iown(Oj) orSi∈St)

v*=(b∪(Si,Oj,r),M*,f*,I*,H*)

d=yes

}

else

{

v*=v

d=no

}

}

規(guī)則2 請(qǐng)求只寫(xiě)規(guī)則。在狀態(tài)v=(b,M,f,I,H)，a∈Mij,對(duì)于請(qǐng)求request(Si,Oj,a)的處理如下：

iff(((fc(Si)≤fo(Oj) andSi∈ITM(Oj))

or (Si∈St) anda∈Mij){

{

iff(Si?StandSi! =Iown(Oj)){

IRM(Oj) =IRM(Oj)∪Si

}

v*= (b∪(Si,Oj,a)-(Si,Oj,r)-(Si,Oj,w),M*,f*,I*,H*)

d=yes

}

else

{

v*=v

d=no

}

}

規(guī)則3 請(qǐng)求只讀規(guī)則在狀態(tài)v=(b,M,f,I,H),w∈Mij,對(duì)于請(qǐng)求request(Si,Oj,w)的處理如下：

iff((fo(Oj)=fc(Si) andSi∈ITMand

(IRM(Oj)-ITS(Si)=? ors=Iown(Oj)))

or (Si∈St) andw∈Mij)

{

iff(Si∈Stors=Iown(Oj)){

IRM(Oj)=Si

}else{

IRM(Oj)=IRM(Oj)∪Si

}

v*=(b∪(Si,Oj,w),M*,f*,I*,H*)

d=yes

}

else

{

v*=v

d=no

}

3 模型證明與分析

本模型需要證明：一個(gè)安全狀態(tài)在經(jīng)過(guò)本模型的狀態(tài)轉(zhuǎn)換規(guī)則后，仍符合本模型的各個(gè)安全公理：簡(jiǎn)單安全公理、*特性公理、自主安全性公理以及完整性公理。

定理1 若狀態(tài)v=(b,M,f,I,H)是安全的，則由規(guī)則1得到的狀態(tài)v*=(b*,M*,f*,I*,H*)也是安全的。

證明：

1) 證明v*滿足模型簡(jiǎn)單安全性公理。

設(shè)Ok∈b*(Si:r)；

若Ok=Oj，則由規(guī)則1可以推出fs(Si)≥fo(Oj)，即fs(Si)≥fo(Ok)。

若Ok!=Oj，則Ok∈b(Si:r)，由假設(shè)狀態(tài)v滿足模型的簡(jiǎn)單安全性定理可知，fs(Si)≥fo(Ok)。

因此v*滿足該模型的簡(jiǎn)單安全性公理。

2) 證明v*滿足模型*特性公理。

a.證明(O∈b(s:r))?fo(O)≤fc(S)

同1)可證明，若Ok∈b*(Si:r)，fc(Si)≥fo(Ok)

b.證明(O∈b(s:a))?fo(O)≥fc(S)

又由規(guī)則1可知，發(fā)生請(qǐng)求讀之后，無(wú)論請(qǐng)求是否拒絕，都不改變模型中的只寫(xiě)和讀寫(xiě)狀態(tài)，即?Ok∈b*(Si:a)?Ok∈b(Si:a)，有假設(shè)狀態(tài)v滿足*特性，因此有fo(Ok)≥fc(Si)。

c.證明(O∈b(s:w))?fo(O)=fc(S)

同上可以證明。

綜上，v*滿足*特性公理。

3) 證明v*滿足模型自主安全特性。

設(shè)(Si,Oj,x)∈b*。

若Ok=Oj且x=r，由規(guī)則1可以推出x=r∈Mij=Mik；

若Ok!=Oj或x!=r，則由規(guī)則可知x∈Mik；

因此v*滿足自主安全特性。

4) 證明v*滿足模型完整性公理。

a.證明(O∈b(s:r,w))?IRM(O)-ITS(S)=? ors=Iown(O)

設(shè)Ok∈b*(Si:r,w)；

若Ok=Oj，則有規(guī)則1可以推出IRM(Oj)-ITS(Si)=?或者Si=Iown(Oj)，即IRM(Ok)-ITS(Si)=?或者Si=Iown(Ok)。

若Ok!=Oj，則Ok∈b(Si:r,w)，由于假設(shè)中狀態(tài)v也滿足完整性公理，因此可以推出IRM(Ok)-ITS(Si)=?或者Si=Iown(Ok)。

b.證明(O∈b(s:a,w))?s∈ITM(O)

證明同上。

綜上，v*滿足模型*特性公理。

定理2 若狀態(tài)v=(b,M,f,I,H)是安全的，則由規(guī)則2得到的狀態(tài)v*=(b*,M*,f*,I*,H*)也是安全的。

1)、2)、3)的證明同定理1證明。

4) 證明v*滿足模型完整性公理。

a.證明(O∈b(s:r,w))?IRM(O)-ITS(S)=? ors=Iown(O)

這里采用反證法，存在客體Ok∈b*(Si:r,w)，使得狀態(tài)v*不滿足完整性公理。

若Ok=Oj，則由規(guī)則2可知，b*=b∪(Si,Oj,a)-(Si,Oj,r)-(Si,Oj,w)，因此有(Si,Ok,r)和(Si,Ok,w)不屬于b*，與前提Ok∈b*(Si:r,w)相矛盾。

若Ok!=Oj，則Ok∈b(Si:r),若Ok不滿足完整性特性，則與假設(shè)中的狀態(tài)v滿足模型完整性特性相矛盾。

b.證明(O∈b(s:a,w))?s∈ITM(O)

證明同定理1。

綜上，狀態(tài)v*同樣滿足完整性公理。

定理3 若狀態(tài)v=(b,M,f,I,H)是安全的，則由規(guī)則3得到的狀態(tài)v*=(b*,M*,f*,I*,H*)也是安全的。

證明同定理2。

4 模型應(yīng)用與性能分析

4.1 模型實(shí)現(xiàn)

為驗(yàn)證本模型能夠保護(hù)文件分級(jí)系統(tǒng)的機(jī)密性和完整性，我們?cè)贚inux中實(shí)現(xiàn)了一個(gè)文件分級(jí)保護(hù)系統(tǒng)原型。Linux中，文件系統(tǒng)調(diào)用是內(nèi)核提供給用戶層對(duì)文件進(jìn)行操作的接口，為了保證模型的訪問(wèn)控制不可被屏蔽，本文從核心和用戶數(shù)據(jù)流向的角度，在文件操作系統(tǒng)調(diào)用中增加強(qiáng)制訪問(wèn)控制功能[15]。系統(tǒng)中，每個(gè)用戶對(duì)應(yīng)模型中的一個(gè)主體，綁定一個(gè)安全級(jí)別以及主體可信域，這兩個(gè)標(biāo)簽在系統(tǒng)啟動(dòng)時(shí)被賦予，文件對(duì)應(yīng)模型中的客體，安全級(jí)別、可信修改域及文件記錄都存儲(chǔ)在文件擴(kuò)展屬性區(qū)域，系統(tǒng)調(diào)用中根據(jù)主客體標(biāo)簽按照模型描述的安全策略進(jìn)行相應(yīng)的決策，其流程如圖1所示。在用戶程序最終調(diào)用sys_open系統(tǒng)調(diào)用獲取inode節(jié)點(diǎn)后，將文件所有的標(biāo)簽從文件擴(kuò)展屬性讀取出來(lái)存放在進(jìn)程任務(wù)結(jié)構(gòu)體中。然后在用戶程序最終調(diào)用sys_read/sys_write時(shí)先通過(guò)決策系統(tǒng)對(duì)主體標(biāo)簽、客體標(biāo)簽以及操作是否滿足模型安全策略。若不滿足，則拒絕相應(yīng)的讀寫(xiě)訪問(wèn)。整個(gè)訪問(wèn)控制過(guò)程對(duì)于用戶程序是透明的，不影響之前的文件系統(tǒng)的使用。

圖1 系統(tǒng)文件訪問(wèn)決策框架

4.2 模型應(yīng)用

本文設(shè)計(jì)了一個(gè)應(yīng)用場(chǎng)景進(jìn)行測(cè)試。系統(tǒng)中存在4個(gè)不同安全級(jí)別的主體用戶以及2個(gè)對(duì)應(yīng)文件客體，如表1和表2所示。

表1 主體安全級(jí)

表2 客體安全級(jí)

系統(tǒng)中的授權(quán)關(guān)系如圖2所示。在初始化狀態(tài)下，經(jīng)理對(duì)員工1的文件的讀取被允許，這是因?yàn)榻?jīng)理本身的安全級(jí)別高于文件F2的安全級(jí)，并且存在經(jīng)理對(duì)員工1信任，因此在文件F2沒(méi)有被他人修改的情況下，經(jīng)理讀取文件F2被允許；同理，員工2可以對(duì)員工1的文件F2進(jìn)行讀寫(xiě)操作，游客對(duì)文件F2的寫(xiě)操作被拒絕。但是，在員工2對(duì)員工1的文件F2進(jìn)行修改后，文件F2則被標(biāo)記上員工2的修改標(biāo)識(shí)，根據(jù)模型的完整性公理，我們應(yīng)該禁止員工2的信息流向經(jīng)理，經(jīng)理對(duì)文件F2的讀取訪問(wèn)被禁止。最后，文件F2的所有者員工1應(yīng)該可以確認(rèn)自身文件的完整性，因此在員工1對(duì)文件F2的完整性進(jìn)行確認(rèn)后，系統(tǒng)的狀態(tài)恢復(fù)到原始狀態(tài)。

圖2 系統(tǒng)中的授權(quán)關(guān)系

從整個(gè)測(cè)試結(jié)果來(lái)看，該模型的實(shí)現(xiàn)符合模型中完整性增強(qiáng)的特點(diǎn)。

4.3 性能測(cè)試

本文在系統(tǒng)調(diào)用中加入根據(jù)用戶標(biāo)簽和文件標(biāo)簽的訪問(wèn)控制判斷，因此會(huì)對(duì)性能造成一定的影響。本文在Intel(i7-3770CPU@ 3.40GHz，內(nèi)存32GB)服務(wù)器上對(duì)比加入訪問(wèn)控制和沒(méi)有訪問(wèn)控制下用時(shí)開(kāi)銷，如圖3、圖4所示。

圖3 寫(xiě)性能對(duì)比

圖4 讀性能對(duì)比

可以看出，訪問(wèn)控制對(duì)整個(gè)文件系統(tǒng)原來(lái)的訪問(wèn)效率影響不大。其中，對(duì)于寫(xiě)操作，性能下降不超過(guò)5%；對(duì)于讀操作，性能下降不超過(guò)15%。并且隨著文件大小的增加，性能下降比率減小，不影響系統(tǒng)的正常使用。

5 結(jié) 語(yǔ)

本模型基于經(jīng)典BLP模型，針對(duì)現(xiàn)實(shí)中文件多級(jí)安全保護(hù)場(chǎng)景，對(duì)原模型進(jìn)行完整性增強(qiáng)。該模型增加了一個(gè)完整性公理，在多級(jí)機(jī)密性訪問(wèn)控制的基礎(chǔ)上，結(jié)合系統(tǒng)中主體的信任關(guān)系進(jìn)行訪問(wèn)授權(quán)，約束主體對(duì)文件的讀寫(xiě)，體現(xiàn)了文件所有者在文件系統(tǒng)中的特殊性，防止了系統(tǒng)中的一些非授權(quán)篡改和污點(diǎn)傳播，增強(qiáng)了整個(gè)系統(tǒng)的完整性。并且最后對(duì)模型進(jìn)行證明以及實(shí)例驗(yàn)證。在未來(lái)的工作中，我們將對(duì)模型進(jìn)行改進(jìn)，以適應(yīng)網(wǎng)絡(luò)多級(jí)多域環(huán)境下的安全共享問(wèn)題。

[1]GasserM.Buildingasecurecomputersystem[M].NewYork:VanNostrandReinhold,1988.

[2]BellDE,LaPadulaLJ.Securecomputersystems:Mathematicalfoundations[R].MITRETechnicalReport2574,1973,1.

[3]BellDE,LaPadulaLJ.Securecomputersystem:Unifiedexpositionandmulticsinterpretation[R].MITRECorporation,1976.

[4] 劉文清,卿斯?jié)h,劉海峰.一個(gè)修改BLP安全模型的設(shè)計(jì)及在SecLinux上的應(yīng)用[J].軟件學(xué)報(bào),2002,13(4):567-573.

[5] 何建波,卿斯?jié)h,王超.對(duì)兩個(gè)改進(jìn)的BLP模型的分析[J].軟件學(xué)報(bào),2007,18(6):1501-1509.

[6]VitoBLD,PalmquistPH,AndersonER,etal.SpecificationandVerificationoftheASOSKernel[C]//ResearchinSecurityandPrivacy,1990IEEEComputerSocietySymposiumon.IEEE,1990:61-74.

[7] 沈瑛,沈昌祥.基于格的BLP完整性擴(kuò)展模型[J].北京工業(yè)大學(xué)學(xué)報(bào),2013,39(3):402-406.

[8] 卿斯?jié)h,沈晴霓,劉文清,等.操作系統(tǒng)安全[M].2版.北京:清華大學(xué)出版社,2011:83-87.

[9] 劉永楠.數(shù)據(jù)完整性模型及評(píng)估算法的研究[D].哈爾濱:哈爾濱工業(yè)大學(xué),2013.

[10] 楊濤,王永剛,唐禮勇,等.一種實(shí)用動(dòng)態(tài)完整性保護(hù)模型的形式化分析[J].計(jì)算機(jī)研究與發(fā)展,2013,50(10):2082-2091.

[11] 劉彥明,董慶寬,李小平.BLP模型的完整性增強(qiáng)研究[J].通信學(xué)報(bào),2010,31(2):100-106.

[12] 邊力,陳性元,汪永偉.基于多維標(biāo)識(shí)的文件分級(jí)保護(hù)模型[J].計(jì)算機(jī)工程,2011,37(13):132-134,138.

[13]DenningDE.Alatticemodelofsecureinformationflow[J].CommunicationsoftheACM,1976,19(5):236-243.

[14] 李瑞軒,趙戰(zhàn)西,王治綱,等.一種基于訪問(wèn)歷史的BLP模型[J].計(jì)算機(jī)科學(xué),2006,33(7):286-289.

[15] 許國(guó)春,殷紅武.一種面向特定應(yīng)用的內(nèi)核級(jí)文件加密技術(shù)[J].計(jì)算機(jī)科學(xué),2015,42(6A):393-394,398.

AN INTEGRITY-ENHANCED PROTECTION MODEL OF FILE CLASSIFICATION

Lin Hainan Zhu Jiantao Yin Hongwu

(JiangnanInstituteofComputingTechnology,Wuxi214083,Jiangsu,China)

An integrity-enhanced protection model of file classification is proposed to satisfy the requirement of integrity security of files classification protection, combining the trusting relationship of subjects in system. The model is based on BLP(Bell & LaPadula) model and labels are added to subjects and objects in order to grantee legal access authorization and improve the security axioms and state translation rules, the data flow is limit by the authorization labels. Finally, the model is proved theoretically. The model can grant different users different permissions and limit the broadcast of integrity stain. The analysis and application show that the model not only satisfies the confidentiality of file classify protection but also enhances the integrity of file protection.

Access authorization BLP model Integrity Multilevel-security File protection

2015-10-11。核高基項(xiàng)目(2013ZX01029002-001)。林海南，碩士生，主研領(lǐng)域：操作系統(tǒng)安全。朱建濤，高工。殷紅武，高工。

TP3-0

A

10.3969/j.issn.1000-386x.2017.02.058