王 竹， 戴一奇

（清华大学 计算机科学与技术系，北京 100084）

0 引言

网络技术的发展，在给人们工作、生活带来便利的同时，安全问题也日益凸显。愈演愈烈的网络安全问题不仅为个人用户带来了损失与不便，也为企业和单位带来了严重威胁。局域网作为网络的最基础单元，它的安全是全网安全的基础，因此局域网安全性的研究也得到了越来越多的重视[1-4]。

1 背景

1.1 局域网安全简介

目前，局域网安全的处理方式有基于身份认证为技术的安全系统和基于可信计算技术的安全系统，还有一些针对特定需求的安全系统，比如综合利用实时病毒防治、入侵检测、安全审计、访问控制、防火墙等专有技术。随着一系列安全事件的出现，基于网络内部安全假设的网络外围安全的研究已不够，局域网内部安全已受到了越来越多的关注。特别是对于一些有保密需求的企业，局域网内部秘密信息泄露和信息的非法使用为企业和单位造成了巨大损失。针对于系统局部的安全防护需求，在现有操作系统和网络协议上进行改造，单独利用打补丁、堵漏洞的处理方法已不能从根本上解决安全问题，迫切需要的是从整体角度考虑安全问题，从体系结构入手研究局域网计算机系统的安全问题，以克服传统局域网系统在结构上缺乏集中统一管理机制的不足，来满足应用中的多种需求，从而为进一步解决网络安全问题打下坚实的基础。

基于不同应用领域进行的安全系统的设计，网络具有各种不同的信息安全模型。比如基于角色请问控制模型（RBAC），基于时间的 PDR模型，基于策略的 P2DR模型，这些模型对于解决安全问题，保护信息的完整性和机密性都有较好的作用。BLP模型是在1973年，D. E. Bell 和L. J. LaPadula提出的一个可证明安全系统的数学模型[5]，在安全操作系统设计的时候常常被采纳。

1.2 BLP模型

BLP模型是一个状态机模型，它采用形式化方法定义了系统状态以及系统各状态间的转换规则，并在此基础上给出了定义系统状态安全的安全特性，规定了一组用于约束系统状态转换规则的安全公理，并证明了系统的安全性，即在其约束规则下进行状态转换的系统如果初始状态安全，则系统是安全的。

BLP模型的形式化描述如下。

(1) 基本元素

S是主体集合，S包括非可信主体集合和可以违反*-属性的可信主体集合；ST是可信主体集合，S ' = S ST，O是客体集合，T为时序集合。A是访问方式集合。

C是安全等级集合，K是安全范畴集合，L是安全标记集合，安全标记是安全等级和安全范畴的二元组，即L = C × K 。

定义 L上的二元关系≥,对 Li, Lj∈L,Ci, Cj∈C， Ki, Kj∈K，Li= ( Ci, Ki)，Lj= ( Cj, Kj)，Li≥ Lj:= ( Ci≥ Cj) ˄ ( Ki⊇Kj)，表示Li支配Lj。

B = P (S × O × A )为当前访问集合。P(X)表示集合X的幂集。

M = { M }为访问矩阵集合，矩阵 M中元素 Mij表示主体Si对客体Oj的访问方式。

F ={( fS, fO, fC) |∀ s ∈ S , fS(s) ≥ fC(s )}为 敏 感标记函数集合，fS是主体最大敏感标记函数，fO是客体敏感标记函数，fC是主体当前敏感标记函数。

H = { H}是客体层次关系集合。

系统状态集合V=B× M × F× H 。

(2) 安全特性

系统状态v是安全状态 iff 状态v满足以下3个安全特性。

简单安全特性(ss-特性)：

一个主体可以读一个客体，则客体的安全级不能比该主体的最大安全级高。

状态 v = ( b, M, f, H )满足 ss-特性 iff∀( Si, Oj,x) ∈ b ，x=r或w ⇒fS(Si) ≥ fO( Oj)

*-特性：

主体对客体有“只写”权限，则客体的安全级至少和主体的当前安全级一样高；主体对客体有“读”权限，则客体的安全级不会比主体当前安全级高；主体对客体有“读写”权限，则客体的安全级等于主体的当前安全级。

状态 v = ( b, M, f, H )满足*-特性 iff∀( Si, Oj, x) ∈ b ,Si∈S '

自主安全特性(ds-特性)：

状态 v = ( b, M, f, H )满足 ds-特性 iff∀( Si, Oj, x) ∈b ⇒ x∈Mij

此条性质是说，若(Si, Oj,x)∈b，即如果在状态v，主体 Si获得了对客体 Oj的x访问权，那么 Si必定得到了相应的自主授权。如果存在(Si, Oj,x)∈b,但主体Si并未获得对客体Oj的x访问权的授权，则v被认为不符合自主安全性。

(3) 状态转换规则

R是请求集合，D是判定集合。

状态转换规则定义为 ρ : R × V → D × V ，判定结果取值为 Yes、No或 ?，分别表示请求被执行、请求被拒绝或请求不能被处理。

对Rk∈R，Dm∈D，规则ρ(Rk,v) = (Dm,v*)保持安全状态 iff 状态v与v*是安全状态。

(4) 基本安全公理

如果系统的初始状态是安全的，并且所有的转换规则是安全的，那么该系统是安全的。

BLP模型控制方法如下。

BLP模型是一种访问控制模型，它通过制定主体对客体的访问规则和操作权限来保证系统的安全性。BLP模型中，基本安全控制方法有两种：

（1）强制访问控制（MAC）。它主要是通过“安全级”来进行，安全级是由“密级”和“部门集”构成的一个二元组，密级包括无密、秘密、机密、绝密 4个等级。作为实施强制型安全控制的依据，主体和客体均要求被赋予一定的“安全级”。其中，人作为安全主体，其部门集表示他可以涉及哪些范围内的信息，而一个信息的部门集则表示该信息所涉及到的范围。有3点要求：①主体的安全级高于客体，当且仅当主体的密级高于客体的密级，且主体的部门集包含客体的部门集；②主体可以读客体，当且仅当主体安全级高于或等于客体；③主体可以写客体，当且仅当主体安全级低于或等于客体。

（2）自主访问控制（DAC）。主体对其拥有的客体，有权决定自己和他人对该客体应具有怎样的访问权限。

最终的结果是，在 BLP模型的控制下，主体要获取对客体的访问，必须同时通过MAC和DAC两种安全控制设施。

BLP模型的提出对安全操作系统的研究带来了巨大的影响，从模型被提出开始至今，BLP模型已经被应用到多个安全操作系统之中，包括Multics、UCLA Data Secure Unix 等，Xenix[6]、安全 UNIS[7]、ASOS[8]等系统和支持多政策的 DTOS系统，以及支持动态政策的 SE-Linux等安全操作系统。同时也衍生出多种改进模型，如支持动态密级的 ABLP模型、DBLP模型，以及把基于角色的访问控制策略和 BLP的强制性访问控制策略结合工作[9]等。

2 多级安全局域网的结构

多级安全局域网系统以扩展 BLP星形网络拓扑结构作为安全模型。该模型在经典 BLP模型的基础上，通过在系统中增加动态监控单元，构造了新的状态转换规则，实现对主体间通信行为的控制，解决局域网内数据的安全性问题。该系统有安全服务器、可控动态交换机和安全终端组成，其结构如图1所示。

图1 多级安全局域网结构

2.1 安全服务器

安全服务器作为信息安全管理平台，集中数据管理，分级监控并全局把握局域网内信息安全。它包括系统服务器和数据服务器，系统服务器上存储了为维持安全终端运行的操作系统镜像和各种应用软件；数据服务器存储了用户需要的信息数据目录文件，以及终端用户的各种身份信息、终端用户行为的访问控制策略数据等。安全服务器为安全终端提供系统和数据服务，并通过与可控的多级安全交换机联动，对终端用户间，以及用户和外网间的各种通信行为进行集中统一控制。

除了基本的安全服务器外，还设置了应用服务器，提供其他的网络服务功能，如 Web服务、网络打印服务、电子邮件系统服务等。

2.2 可控动态交换机

可控动态交换机，作为分级动态安全局域网系统的关键部件，它能够根据局域网内安全终端当前安全级别的变化，动态控制其网络通信行为，保障局域网内数据安全。

安全局域网采用基于 BLP模型的星型拓扑结构，要求网络中的每个受控终端都直接与可控动态交换机相连，可控动态交换机可采用级联等方式进行拓展。由于可控动态交换机处于网络信息交换的中间节点，负责转交系统所有的数据交换，包括局域网内和局域网内外之间的信息交换。

与传统交换机不同的是它增加了 3层控制功能，能够根据服务器发送的信息自动修改规则策略，改变主机间的通信关系。它由以下模块组成：

服务器连接建立模块。完成与服务器的认证，以及连接的建立，连接建立成功后，信息接收模块开始正常工作。

服务器指令接收模块。接收服务器发送的主机等级变化信息。

指令生成模块。根据服务器发送的主机安全等级变化信息，根据预先设定的安全策略，自动生成交换机控制指令。

交换机控制模块。将指令生成模块生成的指令应用于交换机的各个端口，使指令生效。

该系统采用了交换控制器配合现有成熟交换机的方法来实现安全动态控制过程。交换控制器负责与认证中心和服务器进行信息交互，取得连接在交换机上的终端标识信息，并按照标识，根据安全策略，生成交换机控制指令，然后将指令发送给相应交换机，交换机执行指令，实现动态划分和安全隔离。

2.3 安全终端

安全终端没有独立的外部存储器，它只能运行来自安全服务器上的操作系统、应用软件，只能访问和操作安全服务器上存储的目录文件数据。用户在使用安全终端时，无论是使用操作系统、运行应用软件、操作各种数据，还是透过本机的驱动程序（集成在操作系统中）操纵本机的各种设备，都需要向安全服务器请求。

3 多级安全局域网系统的安全策略

系统中引入了可控动态交换机和安全服务器，并要求所有的终端实体必须与可控动态交换机直接相连。采用星型的网络拓扑有利于对网络实施安全控制，也是在系统中实施扩展的BLP安全策略的必要条件。

系统设计的安全策略如下：

1）系统内的所有用户身份是经过身份认证的，经过身份鉴别的用户具有两个敏感标记，即最高敏感标记和当前敏感标记。

2）用户所使用的终端上的计算环境是安全可信的，安全终端只能运行和处理来自安全服务器上的操作系统、程序和数据，不能向私有存储设备保存任何数据信息，不能非法拷贝文件。

3）对数据的访问控制采用强制性的访问控制策略。用户对敏感标记不高于最高敏感标记的数据资源可以进行只读访问；对敏感标记不低于当前敏感标记的数据资源进行只写访问。

4）系统在终端下载的操作系统内核中嵌入了终端监控模块，监控终端内部发生的各种行为。当终端监控模块拦截到系统需要控制的动作请求时，首先在终端内部挂起动作请求，然后向策略服务器询问是否授权本次动作，根据策略服务器返回的系统响应情况，再决定是否允许通过本次动作请求。

5）可控动态交换机、终端监控模块与安全服务器共同实现了对安全局域网系统内各种行为的监控。

4 多级安全局域网的功能与特性

4.1 保证信息交换的双方是可信赖的

多级安全局域网对信息进行访问控制，同时保证数据的机密性，使得不该看的不能看，想看也看不到。能够主动制止违规行为，可以实现实时监控和事后审计。多级安全局域网使用集中统一存储各种数据的方式，通过对用户、文件数据进行分级，采用“无上读、无下写”的安全控制策略，实现了不同等级的信息可控；通过监管用户各种操作，根据用户行为改变用户状态，实现动态控制；同时主动监控主机间网络通信、主机内对移动存储设备的操作，保障信息安全。

4.2 信息资源统一管理

安全局域网系统中实现了对用户资源的集中统一存储，用户的资源访问操作和进程创建等行为均受到控制服务器的监控与管理，实现了对敏感信息的多级访问控制，同时保证恶意代码不被运行，由服务器为可信终端提供各种资源（操作系统、程序和数据），对可信终端进行访问权限控制。具有统一存储，集中管理各种资源的特点。多级安全局域网系统实现了基于角色的访问控制。主要包括以下内容：用户角色的管理；支持多种控制策略，包括信息等级控制，访问操作权限控制等；同时包含多种控制对象，如数据访问行为、进程创建行为、网络通信关系等。多级安全局域网系统还可以提供多种网络服务，如内网的 Web信息系统、打印服务器、邮件服务器等，除此之外，还可以提供其他基于内网的服务。其特点为在不影响安全性的前提下，提高了系统整体可用性。

4.3 操作行为可控可管

安全局域网系统中用户的网络信息交换受到服务器的动态监管，并且只具备访问控制策略所允许的通信能力，系统对各终端之间的网内通信和终端与外网的通信行为都进行了监管，以保证终端独自或合谋的方式泄露网内的敏感信息，而传统局域网用户可以进行任意的网络信息交换，可以监管可信终端的各种数据访问行为，控制可信终端的网络通信，实现动态的安全隔离，具有多级安全体制，强制性访问控制，集中监控。多级安全局域网可实现有效的历史操作记录审计，服务器监管的所有用户操作记录(合法、非法)；同时进行实时监管，包括在终端上部署监视代理，管理员可通过监视代理对终端进行实时监管，以及获取当前网内所有用户的信息、密级等。

4.4 可信终端安全接入

安全局域网系统中的终端是基于透明计算技术的可信终端，这类终端没有本地存储能力，其外部存储器在逻辑上被部署在服务器端，只能运行和处理来自安全服务器上的操作系统、程序和数据，本地不能保存任何文件，安全服务器可监控可信终端上的数据访问操作。具有不能私自拿到任何东西，不能越权访问或传递任何信息的特点。多级安全局域网系统终端的操作系统来自于网络，用户无法修改；针对用户进程，已初步实现服务器对终端待创建进程的鉴别与校验和新进程创建行为控制的主动监控。

5 结语

多级安全局域网系统从安全体系出发，全面考虑局域网内信息的安全性，构建了适用于局域网的以安全标记为基础的多级安全访问控制模型，实现了无上读无下写的控制规则和对终端行为的全程监控。与传统局域网的对比，该多级安全局域网具有以可信终端为安全终端，资源访问操作受到监控与管理，动态监控的网络信息交换，终端行为是受控的，以便于认证、访问控制和审计的特性。

[1] 赵兴文,李菲,李晖.以 IEEE 802.10标准设计安全局域网[J].通信技术,2003(12)：100-102,108.

[2] 李方伟,何成勇.一种适用于 Ad Hoc网络的密钥管理方案[J].通信技术,2008,41(01)：105-106,142.

[3] 王晓,刘乃琦,王榕.利用 Netfilter/IPTables构建安全局域网[J].信息安全与通信保密,2006(10)：120-122.

[4] 郑勇,谢永强.无线局域网安全技术及漏洞分析[J].信息安全与通信保密,2007(04)：66-68.

[5] BELL D E, LAPADULA L J. Secure Computer System：Mathematical Foundations[R].MA：ESD/AFSC,1973.

[6] GLIGOR V D, BURCH E L, CHANDERSEKARAN C S, et al.On the Design and the Implementation of Secure Xenix Workstations[C]// Proceedings of the 1986 IEEE Symposium on Security and Privacy. USA： IEEE Computer Society Press, 1986：102-117.

[7] GRENIER G L, HOLT R C, FUNKENHAUSER M. Policy vs Mechanism in the Secure TUNIS Operating System[C]//Proceedings of 1989 IEEE Symposium on Security and Privacy. USA： IEEE Computer Society Press,1989：84-93.

[8] WALDHART N A. The Army Secure Operating System[C]//Proceedings of 1990 IEEE Symposium on Security and Privacy. USA： IEEE Computer Society Press, 1990：50-60.

[9] 司天歌. 局域网安全体系结构及模型研究[D]. 北京：清华大学,2008.