多级安全数据库BLP模型分析与改进

BLP安全模型安全分析BLP（Biba-LaPadula）安全模型是一种常用的用于安全分析的数学模型。

它广泛应用于计算机系统和网络安全领域，用于评估和验证系统的机密性、完整性和可用性。

本文将从BLP模型的基本概念开始，介绍其安全策略和安全性质，然后讨论安全分析的方法和挑战。

BLP模型的基本概念包括：主体（Subjects）、客体（Objects）和安全级别（Security Levels）。

主体指系统中的用户、程序或进程，客体指系统中的资源、文件或数据。

安全级别用于表示主体和客体的机密性（Confidentiality）和完整性（Integrity）要求。

机密性级别（Confidentiality Level）用于标识主体和客体的访问控制策略，完整性级别（Integrity Level）用于标识主体和客体的修改控制策略。

在BLP模型中，安全策略用于描述主体对客体的访问和修改规则。

最常用的策略是禁止泄露机密性信息，也称为不可写低（No Write Down）策略和禁止篡改完整性信息，也称为不可写高（No Write Up）策略。

该策略确保主体只能读取和修改比其安全级别低的客体，以防止信息的泄露和篡改。

BLP模型还定义了几个安全性质，用于评估系统的安全性。

不可泄漏性（No Leakage）要求系统不能从高级主体泄漏信息给低级主体。

不可篡改性（No Tampering）要求系统不能被低级主体篡改高级主体的信息。

不可写入信任性（No Write Down Trust）要求系统不能将不可信的信息写入可信的客体。

不可写入冲突性（No Write Up Conflict）要求系统中的任何主体不得修改高于其安全级别的客体。

安全分析的目标是验证系统是否满足BLP模型的安全性质。

安全分析的方法通常包括构建系统的安全状态图和进行形式化验证。

安全状态图显示了系统中主体和客体之间的访问和修改关系。

通过对状态图进行分析，可以识别潜在的安全漏洞和风险。

BLP安全模型的改进设计方案
申翀;马季兰
【期刊名称】《太原理工大学学报》
【年(卷),期】2008(000)0S2
【摘要】简要介绍了角色安全策略模型RBAC和BLP,随后对原模型所存在的缺陷进行了总结分析,在引入可信度、客体域和完整性规则的前提下给出了详细的解决方案,最后给出了一个基于角色管理的扩展型BLP安全模型的相关定义和规则。

【总页数】1页(P)
【作者】申翀;马季兰
【作者单位】太原理工大学计算机软件学院
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.局域网络中的L-BLP安全模型 [J], 司天歌;张尧学;戴一奇
2.基于BLP的安全操作系统信息安全模型 [J], 黄益民;王维真
3.基于BLP安全模型的嵌入式硬件防火墙研究 [J], 刘丽萍;王强;王霖
4.对BLP模型的改进--多级安全模型BLP在办公自动化中的应用探讨 [J], 崔树芹;曹玉枝
5.BLP安全模型及其发展 [J], 王昌达;鞠时光
因版权原因，仅展示原文概要，查看原文内容请购买。

BLP 模型BLP 模型对安全性进行分级，用格作为描述系统安全性级别的数学工具，由函数:F S O L C ⋃→⨯产生主体和客体的安全级别，其中，S 和O 分别是主体和客体的集合，L 是格结构，C 是安全级别的集合。

BLP 模型抽象出的访问权限有四种，分别是只可读re 、只可写a 、可读写w 和不可读写（可执行）e （记作{, , , }R re a w e =）。

BLP 模型也涉及主体、客体、访问矩阵等概念，但是BLP 模型与HRU 模型之间存在明显的区别，如主体和客体不再随着系统的状态变化：BLP 模型是一个状态机模型，包含状态的集合V （其元素用二元组(, )F B 表示）、一个初始状态0v (0v V ∈)、请求的集合{, , |, , }Q s o r s S o O r R =〈〉∈∈∈以及一个转移函数: T V R V ⨯→。

当请求被执行，T 改变系统的状态，R 或者F 发生变化。

BLP 模型提出了系统安全的充要条件是满足以下两个公理（特性）：特性1 简单安全性（ss-性质）：状态v 满足简单安全性，当且仅当对于s S ∀∈，o O ∀∈，[,]()()r A s o F s F o ∈⇒>；特性 2 星号安全性（*-性质）：状态v 满足星号安全性，当且仅当对于s S ∀∈，o O ∀∈，[,]()()w A s o F o F s ∈⇒>。

符号“>”表示前者支配后者，定义为：定义（支配）：安全级别(, )L C 支配安全级别(', ')L C ，当且仅当'L L ≤，'C C ⊆。

BLP 模型的原理总结为：不能向上读，不能向下写，即主体不能读安全级别比自己高的客体，不能写安全级别比自己低的客体。

定义（自主安全性，ds-特性）：状态v 满足自主安全性，当且仅当对于任意的(, , )i j s o x Q ∈，ij x M ∈。

ss-性质和*-性质处理的是强制访问控制，而ds-特性处理自主访问控制。

BLP模型（Bell-La Padula模型）是对安全策略形式化的第一个数学模型，是一个状态机模型，用状态变量表示系统的安全状态，用状态转换规则来描述系统的变化过程。

一、模型的基本元素模型定义了如下的集合：S={s1,s2,…,sn} 主体的集合，主体：用户或代表用户的进程，能使信息流动的实体。

O={o1,o2,…,om} 客体的集合，客体：文件、程序、存贮器段等。

（主体也看作客体S O）C={c1,c2,…,cq} 主体或客体的密级（元素之间呈全序关系）,c1≤c2≤…≤cq.K={k1,k2,…,kr} 部门或类别的集合A={r,w,e,a,c} 访问属性集，其中，r：只读；w：读写；e：执行；a：添加（只写）；c：控制。

RA={g,r,c,d} 请求元素集g：get（得到），give（赋予）r：release（释放），rescind（撤销）c：change（改变客体的安全级），create（创建客体）d：delete（删除客体）D={yes,no,error,?} 判断集（结果集），其中yes：请求被执行；no：请求被拒绝；error：系统出错，有多个规则适合于这一请求；?：请求出错，规则不适用于这一请求。

μ={M1,M2,…,Mp} 访问矩阵集，其中元素Mk是一n×m的矩阵，Mk的元素Mij A。

F=CS×CO×(PK)S×(PK)O，其中，CS={f1|f1：S→C} f1给出每一主体的密级；CO={f2|f2：O→C} f2给出每一客体的密级；(PK)S={f3|f3：S→PK} f3给出每一主体的部门集；(PK)O={f4|f4：O→PK} f4给出每一客体的部门集。

其中，PK表示K的幂集（PK=2K）。

F的元素记作f=(f1,f2,f3,f4)，给出在某状态下每一主体的密级和部门集，每一客体的密级和部门集，即主体的许可证级（f1,f3），客体的安全级（f2,f4）。

简述BLP模型BLP模型简介BLP模型从“访问控制”的角度研究如何既保证主体能有效地访问客体，又得系统的安全性不致遭到破坏的性质和规则，是一种在计算机系统内实施多极安全策略和自主安全策略的访问控制模型，通过制定主体对客体的访问规则和操作权限来保证系统的安全性。

从本质上来说．BLP模型是一个状态机模型，它形式化定义系统、系统状态以及系统状态间的转换规则；定义安全的概念，并制定了一组安全特性。

以此对系统状态和状态转换规则进行限制和约束．使得对于一个系统，如果它的初始状态是安全的，并且所经过的一系列的规则都保持安全特性，那么可以证明该系统是安全的。

BLP模型定义了系统、系统状态、状态间的转换规则，安全概念、制定了一组安全特性，对系统状态、状态转换规则进行约束，如果它的初始状态是安全的，经过一系列规则都是保持安全的，那么可以证明该系统是安全的。

BLP模型的基本安全策略是“下读上写”，即主体对客体向下读、向上写。

主体可以读安全级别比他低或相等的客体，可以写安全级别比他高或相等的客体。

“下读上写”的安全策略保证了数据库中的所有数据只能按照安全级别从低到高的流向流动，从而保证了敏感数据不泄露。

BLP模型存在的主要问题(1)理论体系的争议：文献Mclean J A comment on the basic security theorem of Bell and LaPadula认为BLP模型对于实际系统的设计与实现指导意义不大．由于没有提供安全条件的语义说明，模型中的基本安全定理（BST）并不能对给定的任意属性集提供类似证明。

文献Mclean J A comment on the basic security theorem of Bell and LaPadula与Landwehr CE.Heitmeyer CL.McLean J A security model for military message systems还认为，仅仅通过定义安全状态来定义安全系统是不够的，需要考虑状态的转换。

BLP安全模型分析与改进BLP安全模型分析与改进作者：刘天鹏桂林电子科技大学计算机与控制学院1数据库安全系统的设计目标数据库系统主要是为用户提供方便安全的信息和数据服务，实现信息数据的共享。

设计安全的数据库系统，是要合理有效地解决数据库中数据信息的共享问题。

在安全的数据库中，既要保证授权的合法用户对数据的有效存取，又要能严格拒绝非法用户的攻击企图。

具体地说，数据库安全系统的设计目标主要有以下3个方面。

(1)数据的可用性当系统授权的合法用户申请存取有权存取的数据时，安全系统应该尽量减小对合法操作的影响。

换句话说，采用的安全机制不能明显降低数据库系统的操作性能。

(2)数据的完整性数据的完整性指数据的正确性、一致性和相容性。

系统只允许授权的合法用户存取数据库中的数据信息，并且以不破坏数据的完整性为前提。

同时，系统应该杜绝非法用户对数据信息进行任何存取操作，主要包括窃取和破坏。

由于多个程序并发存取同一个数据库中的数据，可能会造成数据的不一致性。

因此，安全系统要具有保证数据一致性的功能。

简单地说就是，数据库系统阻止用户写不正确的信息。

(3)数据的保密性安全系统应该提供一个高强度的加密方案，对数据库中的机密数据进行加密处理。

只有当系统的合法用户访问有权访问的数据时，系统才把相应的数据进行解密操作；否则，系统应保持机密数据的加密状态，以防止非法用户窃取到明文信息，对系统进行攻击。

简单地说就是，数据库系统阻止用户读到他不应该读到的信息。

2数据库安全模型BLP模型BLP模型是一种访问控制模型，它通过制定主体对客体的访问规则和操作权限来保证系统的安全性。

BLP模型中基本的安全控制方法有两种。

一种是自主访问控制（DAC）：它是一种普遍采用的访问控制手段。

它使用户可以按自己的意愿对系统参数作适当修改，以决定哪些用户可以访问他们的系统资源。

这里的“自主”，即资源的所有者可以决定对资源的访问权，而且这种访问权可以按“工作需要”的原则动态地转让和回收。

B LP 模型的改进 崔艳荣　(长江大学计算机科学学院,湖北荆州434023)[摘要]针对BLP 模型的局限性,提出了一种改进的BLP 模型,该模型是一种基于强制访问策略的安全模型。

在该模型中,将主体分为用户和安全管理员,由安全管理员完成权限的管理和分配,同时模型里定义了一些必须满足的性质,即简单安全特性和3特性。

[关键词]BLP 模型;安全;主体;客体;密级[中图分类号]TP309[文献标识码]A [文章编号]10009752(2004)增刊0168021　B LP 模型的局限性随着计算机安全理论和技术的发展,BLP 模型(Bell LaPadula 模型)已经不足以描述各种各样的安全需求。

其局限性主要表现在[1]:①在BLP 模型中,可信主体不受3特性约束,其访问权限太大,不符合最小特权原则,应对可信主体的操作权限和应用范围进一步细化。

②BLP 模型主要注重保密性控制,控制信息从低安全级向高安全级传递,而缺少完整性控制,不能控制“向上写(WRITE UP )”操作,而“向上写”操作存在着潜在的安全问题。

③BLP 模型没有能有效地限制隐藏通道。

2　改进的B LP 模型在经典的BLP 模型基础上,提出一种基于强制访问策略的安全模型(图1)。

在该模型里,主体分为用户和安全管理员。

安全管理员主要完成权限的管理和分配,用户不能改变自身或者任何客体的安全属性。

数据库管理系统为每个主体和客体指派一个敏感标记label ,label 被分成若干等级:TS (绝密),S (秘密),C (机密),U (公开)等。

主体的敏感度标记为许可证级别,客体的安全级别称为客体的密级。

当主体请求访问某个客体时,系统通过比较客体和主体的安全属性来决定主体是否可以访问客体。

在模型中,主要考虑只读(r )、增加(a )、执行(e )、读写(w )等访问模型。

在该模型中,定义了一些必须满足的性质。

一个系统状态是安全的,当且仅当它满足如下两个性质。

物联网安全学习总结论文题目：BLP模型学号：20131041101姓名：李维专业：物联网工程班级：2013级4班指导老师：刘益和目录1 BLP模型简介 (3)1.1 BLP模型属性 (4)1.2 BLP模型分析 (4)2 BLP模型特性 (5)2.1 基本元素 (5)2.2 系统状态 (5)2.3 安全特性 (6)2.3 请求集 (6)2.4 状态转换规则 (6)3 BLP模型的优缺点 (7)3.1 优点 (7)3.2 缺点 (7)4 总结 (7)5 参考文献 (7)BLP模型摘要: 2005年11月17日，在突尼斯举行的信息社会世界峰会（WSIS）上，国际电信联盟提出了“The Internet of things”的概念。

自此物联网得到了快速的发展，成为全球研究的热点问题，我国更把它提高到国际级的战略。

作为当代大学生，在当今这个信息社会掌握这门学科是我们的任务也是我们的责任。

在掌握物联网科学的同时，涉及到与他有关的学科我们也应做深入的了解和认知。

随着电子计算机的发展与普及使得信息系统的安全问题日益突出,如何构造一个高度安全的系统成为人们关注和研究的焦点。

BLP（Bell-LaPadula）—底部引出塑封技术，是新一代内存芯片封装技术，其芯片面积与封装面积之比大于1：1.1，符合CSP 封装规范。

此类内存芯片不但高度和面积小，而且电气特性也得到了提高。

作为经典安全模型,在安全系统的设计与实现方面得到了广泛应用,但是其严格的遵循平稳性原则,限制了系统的灵活性,实用价值有限，本文针对BLP模型进行了简单的概括与分析。

关键字：BLP模型、安全1 BLP模型简介BLP模型是在1973年由D．Bell和J．LaPadula在《Mathematical founda-ons and model》提出并加以完善，它根据军方的安全政策设计，解决的本质题是对具有密级划分信息的访问控制，是第一个比较完整地形式化方法对系统安全进行严格证明的数学模型，被广泛应于描述计算机系统的安全问题。

BLP模型的分析与改进随着网络化和计算机技术的飞速发展,对PC的安全性和易用性提出了越来越高的要求,传统的PC系统结构以效率优先而不是以安全优先原则设计的,因此现有的PC系统越来越容易遭受黑客、间谍软件和病毒的攻击。

针对传统PC系统结构安全性方面的缺陷,结合当今可信计算技术和终端平台虚拟化技术,研究先进的多域安全虚拟个人计算机系统,以解决我国日益突出的个人计算机信息安全的该关键问题,为我国政府、军队等关键部门提供可信的个人计算机系统。

而安全文件系统是多域安全虚拟个人计算机系统的核心组成部分,通过一般的树型结构平面文件系统不易于实现高安全标准的要求。

通过充分借鉴银河麒麟操作系统层次式内核的成功经验,在BLP模型的基础上提出了一种基于时间限制的多级安全模型,并将该模型应用到安全文件系统的设计中来,既充分利用了BLP模型的安全策略,又极大的提高了安全文件系统的灵活性。

BLP(Bell-LaPadula)模型由Bell和LaPadula于1973年提出来,被认为是多级安全领域的经典模型,它为安全操作系统的研究奠定了良好的基础。

它通过一系列的形式化定义描述了系统状态,并制定了系统状态的转换规则。

BLP模型主要通过三个属性来约束主体对客体的访问。

并且一个系统只有当初始状态安全,且每次状态转换都满足以下三个属性时才是安全的。

自主安全属性:主体对客体的访问权限必须包含于当前的访问控制矩阵。

简单安全属性:只有主体的安全级别高于客体的安全级别时,主体才拥有对客体的读/写权限。

随着对BLP模型的深入研究和工程应用,越来越多的问题暴露了出来。

BLP模型已经不能满足各种各样的安全需求。

(1)BLP模型的平稳性原则限制了系统的灵活性。

客体的安全等级有一定的时效性,超过保密期限应予以调整;高级别主体可能产生公开信息,而BLP模型禁止其向低级别流动。

(2)可信主体不符合最小特权原则。

由于可信主体不受*-属性约束,导致了权限过大。

简述BLP模型BLP模型简介BLP模型从“访问控制”的角度研究如何既保证主体能有效地访问客体，又得系统的安全性不致遭到破坏的性质和规则，是一种在计算机系统内实施多极安全策略和自主安全策略的访问控制模型，通过制定主体对客体的访问规则和操作权限来保证系统的安全性。

从本质上来说．BLP模型是一个状态机模型，它形式化定义系统、系统状态以及系统状态间的转换规则；定义安全的概念，并制定了一组安全特性。

以此对系统状态和状态转换规则进行限制和约束．使得对于一个系统，如果它的初始状态是安全的，并且所经过的一系列的规则都保持安全特性，那么可以证明该系统是安全的。

BLP模型定义了系统、系统状态、状态间的转换规则，安全概念、制定了一组安全特性，对系统状态、状态转换规则进行约束，如果它的初始状态是安全的，经过一系列规则都是保持安全的，那么可以证明该系统是安全的。

BLP模型的基本安全策略是“下读上写”，即主体对客体向下读、向上写。

主体可以读安全级别比他低或相等的客体，可以写安全级别比他高或相等的客体。

“下读上写”的安全策略保证了数据库中的所有数据只能按照安全级别从低到高的流向流动，从而保证了敏感数据不泄露。

BLP模型存在的主要问题(1)理论体系的争议：文献Mclean J A comment on the basic security theorem of Bell and LaPadula认为BLP模型对于实际系统的设计与实现指导意义不大．由于没有提供安全条件的语义说明，模型中的基本安全定理（BST）并不能对给定的任意属性集提供类似证明。

文献Mclean J A comment on the basic security theorem of Bell and LaPadula与Landwehr CE.Heitmeyer CL.McLean J A security model for military message systems还认为，仅仅通过定义安全状态来定义安全系统是不够的，需要考虑状态的转换。

多级安全BLP模型1 基本概念主体(Subject)：引起信息流动或改变系统状态的主动实体。

如用户,程序,进程等。

客体(Object)：蕴含或接收信息的被动实体, 信息的载体。

如DB、表、元组、视图、操作等。

安全级(Security Level)：主体和客体的访问特权, 一般主体安全级表示主体对客体敏感信息的操作能力, 客体安全级表示客体信息的敏感度。

自主型访问控制(Discretionary Access Control)：是基于一种访问控制规则实现主体对客体的访问。

这种控制规则是自主的，自主是指某一主体能直接或间接的将访问权或访问权的某些子集授予其他主体。

用户对信息的控制是基于用户的鉴别和存取访问规则的确定。

强制型访问控制(Mandatory Access Control)：通过无法回避的存取限制来防止各种直接的或间接的攻击。

系统给主体分配了不同的安全属性，并通过主体和客体的安全属性的匹配比较决定是否允许访问继续进行。

2 自主型访问控制(Discretionary Access Control)自主型访问控制基于用户的身份和访问控制规则。

自主保护策略管理用户的存取，这些信息是以用户的身份和授权为基础的，它们详细说明了对于系统中的每一个用户(或用户组)和每一个客体，允许用户对客体的存取模式(例如读，写或执行)。

根据指定的授权，用户存取客体的每一个要求都被检查。

如果存在授权状态，则用户可以按指定的模式存取客体，存取被同意，否则被拒绝。

DAC之所以被称为自主的，是因为它允许用户将其访问权力赋予其它的用户。

而且对于一个客体的否定授权高于对同一客体的肯定授权。

自主策略的灵活性使它们适合于多种系统和应用。

由于这些原因，在多种执行中，自主策略被广泛地应用，尤其在商业的和工业的环境中。

2.1 自主访问控制的实现自主访问控制的实现主要有三种方式:1.访问控制表(ACL);2 .访问能力表(Capability) 3.授权关系表。

BLP模型及其改进方向作者：张蓉来源：《电脑知识与技术》2013年第35期摘要：BLP模型在整个计算机安全模型的发展过程中起到一个奠基性的作用，被看成是基础安全公理。

BLP模型采用形式化安全许可的分类描述来研究信息的安全性。

论文简单介绍了BLP 模型及其公理系统，总结了该模型目前存在的安全缺陷和问题，并针对这些问题分析了BLP 模型的改进方向。

关键词：BLP；模型；安全中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）35-8107-021 绪论提到安全模型，最具有代表性的形式化信息安全模型为Bell-LaPaula模型，简称BLP模型，这个模型是被David Bell和Leonard La Padula两人在1973年首次提出，而后在1976年最终修改并完善的一种安全模型。

他们二人致力于研究出这样一种可以用于模拟军事完全策略的这种安全计算机操作系统的安全模型，从系统的安全性角度出发在有效地确保了保密性方面的同时细致地描述了不同秘密级别的主体和客体之间的联系，它是多级安全模型的基础，是公认的基本安全公理，也是最早的、最常使用的一种模型。

2 BLP模型BLP 模型标明了相关主体、客体、安全等级函数、状态、系统等定义，定义了 4 个特性，定义了系统状态机状态间转换规则，并制定了一组约束系统状态间转换规则的安全理论，包括10 个定理、 11 个规则，给出了形式化表示，并进行了证明。

BLP模型元素表如表1。

BLP 模型是一个状态机模型，它形式化地定义了系统、系统状态以及状态间的转换规则，使得对于一个安全的系统，经过的一系列规则转换后，可以证明该系统仍是安全的。

以下三个其代表性的安全公理。

简单安全性公理：当且仅当以下一条成立：1）x=a或x=e； 2）x=w或x=r且fs（s）=fo （o）。

*特性：当且仅当s满足下列三个条件：1）s[∈]S [⇒] O[∈]b（S：a ）[⇒]（fo（O）>fc （S））2）s[∈]S [⇒] O[∈]b（S：w ）[⇒]（fo（O）=fc （S））3）s[∈]S [⇒] O[∈]b（S：w ）[⇒]（fo（O）兼容性：当且仅当对于每个o[∈]O，有o1[∈] h（o）且fo（o1）支配fo（o）BLP模型的信息流向如图1。

信息安全工程师真题考点：BLP安全模型BLP是安全访问控制的一种模型，是基于自主访问控制和强制访问控制两种方式实现的。

它是一种严格的形式化描述，控制信息只能由低向高流动。

它反映了多级安全策略的安全特性。

采用BLP模型的系统之所以被称为多级安全系统，是因为使用这个系统的用户具有不同的许可，而且系统处理的数据也具有不同的分类。

在存在受信任主体的情况下，BLP模型可能会产生从高机密文档到低机密文档的信息流动。

受信任主体不受属性的限制，但必须证明其在安全策略方面是值得信任的。

该安全模型针对访问控制，并被描述为：“下读，上写”。

信息自下而上流入在BLP模型中，用户只能在其自己的安全级别或更高的安全级别上创建内容（如，秘密研究人员可以创建秘密或绝密文件，但不能创建公共文件;不能下写）。

相反，用户只能查看在其自己的安全级别或更低的安全级别的内容（如，秘密研究人员可以查看公共或秘密文件，但不能查看绝密文件;不能上读）。

历年信息安全工程师BLP安全模型知识真题：
以下关于BLP安全模型的表述中，错误的是（）。

A.BLP模型既有自主访问控制，又有强制访问控制
B.BLP模型是一个严格形式化的模型，并给出了形式化的证明
C.BLP模型控制信息只能由高向低流动
D.BLP是一种多级安全策略模型
参考答案：C。