简述

BLP

模型

BLP

模型简介

  BLP

模型从“访问控制”的角度研究如何既保证主体能有效地访问客体，

又得系统的安全性不致遭到破坏的性质和规则，是一种在计算机系统内实施多

极安全策略和自主安全策略的访问控制模型，通过制定主体对客体的访问规则

和操作权限来保证系统的安全性。

从本质上来说．

BLP

模型是一个状态机模型，它形式化定义系统、系统状

态以及系统状态间的转换规则；定义安全的概念，并制定了一组安全特性。以

此对系统状态和状态转换规则进行限制和约束．使得对于一个系统，如果它的

初始状态是安全的，并且所经过的一系列的规则都保持安全特性，那么可以证

明该系统是安全的。

  BLP

模型定义了系统、系统状态、状态间的转换规则，安全概念、制定了

一组安全特性，对系统状态、状态转换规则进行约束，如果它的初始状态是安

全的，经过一系列规则都是保持安全的，那么可以证明该系统是安全的。

BLP

模型的基本安全策略是“下读上写”，即主体对客体向下读、向上写。

主体可以读安全级别比他低或相等的客体，可以写安全级别比他高或相等的客

体。“下读上写”的安全策略保证了数据库中的所有数据只能按照安全级别从

低到高的流向流动，从而保证了敏感数据不泄露。

BLP

模型存在的主要问题

(1)

理论体系的争议：文献

Mclean J A comment on the basic security 

theorem of Bell and LaPadula

认为

BLP

模型对于实际系统的设计与实现指导意

义不大．由于没有提供安全条件的语义说明，模型中的基本安全定理（

BST

）并

不能对给定的任意属性集提供类似证明。文献

Mclean J A comment on the 

basic security theorem of Bell and LaPadula

与

Landwehr CE.Heitmeyer 

CL.McLean J A security model for military message systems

还认为，仅仅

通过定义安全状态来定义安全系统是不够的，需要考虑状态的转换。文献安全

Linux

操作系统及安全

Web

系统的形式化建模与实现则认为，如果

BLP

模型不包括

其相对于实际实现的规．那么模型本身并不能保证模型的安全性；但如果包含

这些规则，模型的安全性仍不能仅仅通过它们得以实现。

(2)

完整性问题：由于

BLP

模型当初以军事系统应用为背景，因此它只注重

考虑信息的机密性，并没有处理完整性问题。但对于大多数商业应用而言．信

息完整性意义更为重大。

(3)

灵活性问题：

BLP

模型没有调整安全级的相关策略，即满足所谓“宁静

性原则”．与实际中主客体的安全级能够灵活调整的要求不符。虽然在后继工

作中加入了

Downgrade

和

Declassify

的概念，但仍不能很好地解决这一问题。

同时

BLP

模型没有涉及权限的管理。

(4)

可信主体问题：为了使模型得以实际应用，

BLP

模型提出了可信主体，

但可信主体权限过大和过于集中正是

BLP

模型备受指责的原因之一。在实际系

统中，可信主体若不违背

BLP

模型的规则就不能正常完成所需任务．而

BLP

模

型对这些可信主体可能引起的泄露危机没有任何处理和避免的方法。

(5)

隐通道问题：

BLP

模型不能避免隐通道。虽然该模型控制信息不能直接

由高向低流动，但是高级别主体仍然可以通过间接方式同低级别主体通信。

(6)

扩展性问题：

BLP

模型为通用的计算机系统定义了安全性属性，即以一

组规则表示什么是一个安全的系统，但是它不能更一般地以语义的形式阐明安