任帥

摘要： 本文對電子郵件所面臨的風(fēng)險及目前采用的安全方案進行了概述，并對傳統(tǒng)BLP（Bell-LaPadula）機密性安全模型的安全等級標記和屬性進行了闡述。通過對安全電子郵件系統(tǒng)的特性以及傳統(tǒng)BLP模型不足方面的研究，分析了傳統(tǒng)BLP模型無法滿足安全電子郵件系統(tǒng)機密性保證的原因，在此基礎(chǔ)上提出了一種基于BLP改進和拓展后的機密性安全模型，并對模型的主客體安全等級標記、機密性模型屬性進行了設(shè)計。

關(guān)鍵詞：電子郵件;BLP;機密性安全模型

引言

隨著計算機應(yīng)用的日益普及，電子郵件作為網(wǎng)絡(luò)上應(yīng)用最廣泛的服務(wù)之一，在整個互聯(lián)網(wǎng)應(yīng)用占有很大的比重。電子郵件廣泛應(yīng)用于私人、商業(yè)、辦公等活動中的信息傳遞，但在傳遞過程中的個人、商業(yè)及辦公的敏感信息也面臨著泄露的風(fēng)險。針對這樣的風(fēng)險，也有各種安全方案陸續(xù)應(yīng)用在電子郵件上，如針對郵件加密、簽名驗證的S/MIME和CMS技術(shù)，采用PKI體系的電子證書認證等技術(shù)。[1，2]

由于電子郵件具有點到點發(fā)送的特性，即郵件總是由發(fā)送者發(fā)送至指定的一個或多個郵箱用戶。因此對于用戶訪問電子郵件內(nèi)容行為默認隱含了訪問控制策略，即總是認為接收者具有訪問權(quán)限。但在實際使用過程中，用戶不總是在可信的終端環(huán)境中進行郵件的閱讀和收發(fā)，在不可信的終端環(huán)境中讀寫郵件增加了敏感信息泄露的風(fēng)險。因此，本文提出了一種基于BLP的安全電子郵件系統(tǒng)機密性安全模型。

一、BLP機密性安全模型

1973年MITRE公司的Bell和LaPadula[3]提出Bell-LaPadula模型（簡稱BLP模型）是最早的也是目前最流行的保密性訪問控制模型，結(jié)合了強制訪問控制（MAC）和自主訪問控制（DAC），它根據(jù)軍方的安全政策設(shè)計，防止信息的非授權(quán)泄露，是一種模擬軍事安全策略的多級機密性安全模型，目前被廣泛地應(yīng)用于描述計算機系統(tǒng)的安全問題。BLP模型從保密性策略的角度出發(fā)，通過禁止上讀下寫操作有效地防止主體讀取安全級別比它更高的客體。[4]

BLP模型分別對主體和客體設(shè)定唯一的安全等級標記，記所有主體為為主體的集合;客體為為客體的集合;主體及客體的安全等級標記為;對于主體和客體間的操作方式，記為其中r為讀取，w為寫入。

在以上安全等級標記的基礎(chǔ)上，BLP機密性安全模型定義了簡單安全屬性和*屬性。簡單安全屬性要求主體Si能夠讀取客體Oj，當(dāng)且僅當(dāng)，且Si對Oj具有主動型讀權(quán)限，即主體僅能夠讀具有不高于自身安全級別的客體。*屬性要求主體Si能夠?qū)懭肟腕wOj，當(dāng)且僅當(dāng)，且Si對Oj具有主動型寫權(quán)限，即主體僅能夠?qū)懢哂胁坏陀谧陨戆踩墑e的客體。BLP模型通過簡單安全屬性和*屬性保證了主體對客體“上寫下讀”的特性，使得信息進能從低安全級別流向高安全級別，保證了信息的機密性。[5]

二、BLP模型在電子郵件系統(tǒng)中的局限性

在訪問控制模型方面，相較于操作系統(tǒng)等對象，電子郵件系統(tǒng)在數(shù)據(jù)的安全保護方面存在相似之處，但也存在很大不同，主要表現(xiàn)為以下方面：

首先，操作系統(tǒng)中主體一般為用戶或進程，客體為資源及文件，當(dāng)主體通過訪問控制的授權(quán)后可以即對客體進行訪問，而不必考慮由誰創(chuàng)建，或為哪個主體創(chuàng)建。而電子郵件采用由單用戶發(fā)送，單個或多個指定用戶讀取的模式，當(dāng)一封郵件的發(fā)件人及收件人確定后，已經(jīng)確定了可進行操作的用戶集合。

其次，操作系統(tǒng)文件僅對用戶和進程進行授權(quán)檢查、認證，對于用戶的終端環(huán)境并不特別關(guān)心，對用戶所處環(huán)境的安全性一般通過網(wǎng)絡(luò)和用戶認證層面進行保證。而電子郵件具有在不確定環(huán)境進行信息讀寫的特征，對于多數(shù)的郵件系統(tǒng)，通過主流的郵件客戶端，經(jīng)過用戶認證后均可以對郵件進行發(fā)送、讀取操作。

另外，從使用的便利性角度考慮，假設(shè)一個具有{公開、秘密、機密、絕密}安全等級標記的電子郵件系統(tǒng)，采用傳統(tǒng)BLP模型進行信息保護。那么絕密的用戶將無法發(fā)送除絕密外的電子郵件，即使該郵件僅是在一般辦公場所的編寫的公開信息，電子郵件系統(tǒng)使用的便利性將受到極大的限制。

因此對于電子郵件訪問控制模型的特殊性，需要一種改善和拓展后的模型和安全等級標記方式滿足安全電子郵件的機密性的要求。

三、安全電子郵件系統(tǒng)的安全等級標記設(shè)計

傳統(tǒng)的BLP模型僅對于以用戶或進程為代表性的主體進行安全等級標記，無法對電子郵件使用的PC環(huán)境進行限制。因此，本次安全電子郵件系統(tǒng)的安全模型設(shè)計將主體的安全等級標記拓展為用戶、環(huán)境兩個層面。記電子郵件用戶為的集合，終端環(huán)境為的集合;電子郵件為的集合。對于任意，具有唯一的安全等級標記，記所有的安全等級標記為的集合。

拓展后的主體安全等級標記由用戶、環(huán)境兩個層面決定，主體具有安全標記形式Sij=（Ui，hj），故主體表現(xiàn)為集合S：

客體為集合O：

主客體間的操作方式記為，w為發(fā)送郵件（寫操作），r為收取郵件（讀操作），t為轉(zhuǎn)發(fā)郵件。

通過以上屬性的限制，能夠保證電子郵件信息在特定終端環(huán)境中“下讀上寫”的要求，嚴格限制了電子郵件數(shù)據(jù)不從高安全級別流向低安全級別，滿足了機密性的要求。

參考文獻：

[1]陳建奇， 張玉清， 李學(xué)農(nóng)，等. 安全電子郵件的研究與實現(xiàn)[J]. 計算機工程， 2002（06）：121-122.

[2]張瑞麗， 楊坤偉， 李吉亮. 對電子郵件加密技術(shù)的分析與研究[J]. 計算機技術(shù)與發(fā)展， 2014， 000（001）：155-157.

[3]Electronic N A ，Lapadula L ，Bell D E ，et al.Secure Computer Systems： Mathematical Foundations.MITRE Corp，1973.

[4]陳旺， 李中學(xué). BLP模型及其研究方向[J]. 計算機工程與應(yīng)用， 2006， 42（013）：136-138.

[5]劉波， 陳曙暉， 鄧勁生. Bell-LaPadula模型研究綜述[J]. 計算機應(yīng)用研究， 2013， 30（003）：656-660.

上海國際技貿(mào)聯(lián)合有限公司 200031

上海網(wǎng)絡(luò)與信息安全測評工程技術(shù)研究中心 200031