一種基于BLP模型的多級(jí)安全局域網(wǎng)

王 竹， 戴一奇

（清華大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)系，北京 100084）

0 引言

網(wǎng)絡(luò)技術(shù)的發(fā)展，在給人們工作、生活帶來(lái)便利的同時(shí)，安全問(wèn)題也日益凸顯。愈演愈烈的網(wǎng)絡(luò)安全問(wèn)題不僅為個(gè)人用戶帶來(lái)了損失與不便，也為企業(yè)和單位帶來(lái)了嚴(yán)重威脅。局域網(wǎng)作為網(wǎng)絡(luò)的最基礎(chǔ)單元，它的安全是全網(wǎng)安全的基礎(chǔ)，因此局域網(wǎng)安全性的研究也得到了越來(lái)越多的重視[1-4]。

1 背景

1.1 局域網(wǎng)安全簡(jiǎn)介

目前，局域網(wǎng)安全的處理方式有基于身份認(rèn)證為技術(shù)的安全系統(tǒng)和基于可信計(jì)算技術(shù)的安全系統(tǒng)，還有一些針對(duì)特定需求的安全系統(tǒng)，比如綜合利用實(shí)時(shí)病毒防治、入侵檢測(cè)、安全審計(jì)、訪問(wèn)控制、防火墻等專有技術(shù)。隨著一系列安全事件的出現(xiàn)，基于網(wǎng)絡(luò)內(nèi)部安全假設(shè)的網(wǎng)絡(luò)外圍安全的研究已不夠，局域網(wǎng)內(nèi)部安全已受到了越來(lái)越多的關(guān)注。特別是對(duì)于一些有保密需求的企業(yè)，局域網(wǎng)內(nèi)部秘密信息泄露和信息的非法使用為企業(yè)和單位造成了巨大損失。針對(duì)于系統(tǒng)局部的安全防護(hù)需求，在現(xiàn)有操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議上進(jìn)行改造，單獨(dú)利用打補(bǔ)丁、堵漏洞的處理方法已不能從根本上解決安全問(wèn)題，迫切需要的是從整體角度考慮安全問(wèn)題，從體系結(jié)構(gòu)入手研究局域網(wǎng)計(jì)算機(jī)系統(tǒng)的安全問(wèn)題，以克服傳統(tǒng)局域網(wǎng)系統(tǒng)在結(jié)構(gòu)上缺乏集中統(tǒng)一管理機(jī)制的不足，來(lái)滿足應(yīng)用中的多種需求，從而為進(jìn)一步解決網(wǎng)絡(luò)安全問(wèn)題打下堅(jiān)實(shí)的基礎(chǔ)。

基于不同應(yīng)用領(lǐng)域進(jìn)行的安全系統(tǒng)的設(shè)計(jì)，網(wǎng)絡(luò)具有各種不同的信息安全模型。比如基于角色請(qǐng)問(wèn)控制模型（RBAC），基于時(shí)間的 PDR模型，基于策略的 P2DR模型，這些模型對(duì)于解決安全問(wèn)題，保護(hù)信息的完整性和機(jī)密性都有較好的作用。BLP模型是在1973年，D. E. Bell 和L. J. LaPadula提出的一個(gè)可證明安全系統(tǒng)的數(shù)學(xué)模型[5]，在安全操作系統(tǒng)設(shè)計(jì)的時(shí)候常常被采納。

1.2 BLP模型

BLP模型是一個(gè)狀態(tài)機(jī)模型，它采用形式化方法定義了系統(tǒng)狀態(tài)以及系統(tǒng)各狀態(tài)間的轉(zhuǎn)換規(guī)則，并在此基礎(chǔ)上給出了定義系統(tǒng)狀態(tài)安全的安全特性，規(guī)定了一組用于約束系統(tǒng)狀態(tài)轉(zhuǎn)換規(guī)則的安全公理，并證明了系統(tǒng)的安全性，即在其約束規(guī)則下進(jìn)行狀態(tài)轉(zhuǎn)換的系統(tǒng)如果初始狀態(tài)安全，則系統(tǒng)是安全的。

BLP模型的形式化描述如下。

(1) 基本元素

S是主體集合，S包括非可信主體集合和可以違反*-屬性的可信主體集合；ST是可信主體集合，S ' = S ST，O是客體集合，T為時(shí)序集合。A是訪問(wèn)方式集合。

C是安全等級(jí)集合，K是安全范疇集合，L是安全標(biāo)記集合，安全標(biāo)記是安全等級(jí)和安全范疇的二元組，即L = C × K 。

定義 L上的二元關(guān)系≥,對(duì) Li, Lj∈L,Ci, Cj∈C， Ki, Kj∈K，Li= ( Ci, Ki)，Lj= ( Cj, Kj)，Li≥ Lj:= ( Ci≥ Cj) ? ( Ki?Kj)，表示Li支配Lj。

B = P (S × O × A )為當(dāng)前訪問(wèn)集合。P(X)表示集合X的冪集。

M = { M }為訪問(wèn)矩陣集合，矩陣 M中元素 Mij表示主體Si對(duì)客體Oj的訪問(wèn)方式。

F ={( fS, fO, fC) |? s ∈ S , fS(s) ≥ fC(s )}為 敏 感標(biāo)記函數(shù)集合，fS是主體最大敏感標(biāo)記函數(shù)，fO是客體敏感標(biāo)記函數(shù)，fC是主體當(dāng)前敏感標(biāo)記函數(shù)。

H = { H}是客體層次關(guān)系集合。

系統(tǒng)狀態(tài)集合V=B× M × F× H 。

(2) 安全特性

系統(tǒng)狀態(tài)v是安全狀態(tài) iff 狀態(tài)v滿足以下3個(gè)安全特性。

簡(jiǎn)單安全特性(ss-特性)：

一個(gè)主體可以讀一個(gè)客體，則客體的安全級(jí)不能比該主體的最大安全級(jí)高。

狀態(tài) v = ( b, M, f, H )滿足 ss-特性 iff?( Si, Oj,x) ∈ b ，x=r或w ?fS(Si) ≥ fO( Oj)

*-特性：

主體對(duì)客體有“只寫(xiě)”權(quán)限，則客體的安全級(jí)至少和主體的當(dāng)前安全級(jí)一樣高；主體對(duì)客體有“讀”權(quán)限，則客體的安全級(jí)不會(huì)比主體當(dāng)前安全級(jí)高；主體對(duì)客體有“讀寫(xiě)”權(quán)限，則客體的安全級(jí)等于主體的當(dāng)前安全級(jí)。

狀態(tài) v = ( b, M, f, H )滿足*-特性 iff?( Si, Oj, x) ∈ b ,Si∈S '

自主安全特性(ds-特性)：

狀態(tài) v = ( b, M, f, H )滿足 ds-特性 iff?( Si, Oj, x) ∈b ? x∈Mij

此條性質(zhì)是說(shuō)，若(Si, Oj,x)∈b，即如果在狀態(tài)v，主體 Si獲得了對(duì)客體 Oj的x訪問(wèn)權(quán)，那么 Si必定得到了相應(yīng)的自主授權(quán)。如果存在(Si, Oj,x)∈b,但主體Si并未獲得對(duì)客體Oj的x訪問(wèn)權(quán)的授權(quán)，則v被認(rèn)為不符合自主安全性。

(3) 狀態(tài)轉(zhuǎn)換規(guī)則

R是請(qǐng)求集合，D是判定集合。

狀態(tài)轉(zhuǎn)換規(guī)則定義為 ρ : R × V → D × V ，判定結(jié)果取值為 Yes、No或 ?，分別表示請(qǐng)求被執(zhí)行、請(qǐng)求被拒絕或請(qǐng)求不能被處理。

對(duì)Rk∈R，Dm∈D，規(guī)則ρ(Rk,v) = (Dm,v*)保持安全狀態(tài) iff 狀態(tài)v與v*是安全狀態(tài)。

(4) 基本安全公理

如果系統(tǒng)的初始狀態(tài)是安全的，并且所有的轉(zhuǎn)換規(guī)則是安全的，那么該系統(tǒng)是安全的。

BLP模型控制方法如下。

BLP模型是一種訪問(wèn)控制模型，它通過(guò)制定主體對(duì)客體的訪問(wèn)規(guī)則和操作權(quán)限來(lái)保證系統(tǒng)的安全性。BLP模型中，基本安全控制方法有兩種：

（1）強(qiáng)制訪問(wèn)控制（MAC）。它主要是通過(guò)“安全級(jí)”來(lái)進(jìn)行，安全級(jí)是由“密級(jí)”和“部門(mén)集”構(gòu)成的一個(gè)二元組，密級(jí)包括無(wú)密、秘密、機(jī)密、絕密 4個(gè)等級(jí)。作為實(shí)施強(qiáng)制型安全控制的依據(jù)，主體和客體均要求被賦予一定的“安全級(jí)”。其中，人作為安全主體，其部門(mén)集表示他可以涉及哪些范圍內(nèi)的信息，而一個(gè)信息的部門(mén)集則表示該信息所涉及到的范圍。有3點(diǎn)要求：①主體的安全級(jí)高于客體，當(dāng)且僅當(dāng)主體的密級(jí)高于客體的密級(jí)，且主體的部門(mén)集包含客體的部門(mén)集；②主體可以讀客體，當(dāng)且僅當(dāng)主體安全級(jí)高于或等于客體；③主體可以寫(xiě)客體，當(dāng)且僅當(dāng)主體安全級(jí)低于或等于客體。

（2）自主訪問(wèn)控制（DAC）。主體對(duì)其擁有的客體，有權(quán)決定自己和他人對(duì)該客體應(yīng)具有怎樣的訪問(wèn)權(quán)限。

最終的結(jié)果是，在 BLP模型的控制下，主體要獲取對(duì)客體的訪問(wèn)，必須同時(shí)通過(guò)MAC和DAC兩種安全控制設(shè)施。

BLP模型的提出對(duì)安全操作系統(tǒng)的研究帶來(lái)了巨大的影響，從模型被提出開(kāi)始至今，BLP模型已經(jīng)被應(yīng)用到多個(gè)安全操作系統(tǒng)之中，包括Multics、UCLA Data Secure Unix 等，Xenix[6]、安全 UNIS[7]、ASOS[8]等系統(tǒng)和支持多政策的 DTOS系統(tǒng)，以及支持動(dòng)態(tài)政策的 SE-Linux等安全操作系統(tǒng)。同時(shí)也衍生出多種改進(jìn)模型，如支持動(dòng)態(tài)密級(jí)的 ABLP模型、DBLP模型，以及把基于角色的訪問(wèn)控制策略和 BLP的強(qiáng)制性訪問(wèn)控制策略結(jié)合工作[9]等。

2 多級(jí)安全局域網(wǎng)的結(jié)構(gòu)

多級(jí)安全局域網(wǎng)系統(tǒng)以擴(kuò)展 BLP星形網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)作為安全模型。該模型在經(jīng)典 BLP模型的基礎(chǔ)上，通過(guò)在系統(tǒng)中增加動(dòng)態(tài)監(jiān)控單元，構(gòu)造了新的狀態(tài)轉(zhuǎn)換規(guī)則，實(shí)現(xiàn)對(duì)主體間通信行為的控制，解決局域網(wǎng)內(nèi)數(shù)據(jù)的安全性問(wèn)題。該系統(tǒng)有安全服務(wù)器、可控動(dòng)態(tài)交換機(jī)和安全終端組成，其結(jié)構(gòu)如圖1所示。

圖1 多級(jí)安全局域網(wǎng)結(jié)構(gòu)

2.1 安全服務(wù)器

安全服務(wù)器作為信息安全管理平臺(tái)，集中數(shù)據(jù)管理，分級(jí)監(jiān)控并全局把握局域網(wǎng)內(nèi)信息安全。它包括系統(tǒng)服務(wù)器和數(shù)據(jù)服務(wù)器，系統(tǒng)服務(wù)器上存儲(chǔ)了為維持安全終端運(yùn)行的操作系統(tǒng)鏡像和各種應(yīng)用軟件；數(shù)據(jù)服務(wù)器存儲(chǔ)了用戶需要的信息數(shù)據(jù)目錄文件，以及終端用戶的各種身份信息、終端用戶行為的訪問(wèn)控制策略數(shù)據(jù)等。安全服務(wù)器為安全終端提供系統(tǒng)和數(shù)據(jù)服務(wù)，并通過(guò)與可控的多級(jí)安全交換機(jī)聯(lián)動(dòng)，對(duì)終端用戶間，以及用戶和外網(wǎng)間的各種通信行為進(jìn)行集中統(tǒng)一控制。

除了基本的安全服務(wù)器外，還設(shè)置了應(yīng)用服務(wù)器，提供其他的網(wǎng)絡(luò)服務(wù)功能，如 Web服務(wù)、網(wǎng)絡(luò)打印服務(wù)、電子郵件系統(tǒng)服務(wù)等。

2.2 可控動(dòng)態(tài)交換機(jī)

可控動(dòng)態(tài)交換機(jī)，作為分級(jí)動(dòng)態(tài)安全局域網(wǎng)系統(tǒng)的關(guān)鍵部件，它能夠根據(jù)局域網(wǎng)內(nèi)安全終端當(dāng)前安全級(jí)別的變化，動(dòng)態(tài)控制其網(wǎng)絡(luò)通信行為，保障局域網(wǎng)內(nèi)數(shù)據(jù)安全。

安全局域網(wǎng)采用基于 BLP模型的星型拓?fù)浣Y(jié)構(gòu)，要求網(wǎng)絡(luò)中的每個(gè)受控終端都直接與可控動(dòng)態(tài)交換機(jī)相連，可控動(dòng)態(tài)交換機(jī)可采用級(jí)聯(lián)等方式進(jìn)行拓展。由于可控動(dòng)態(tài)交換機(jī)處于網(wǎng)絡(luò)信息交換的中間節(jié)點(diǎn)，負(fù)責(zé)轉(zhuǎn)交系統(tǒng)所有的數(shù)據(jù)交換，包括局域網(wǎng)內(nèi)和局域網(wǎng)內(nèi)外之間的信息交換。

與傳統(tǒng)交換機(jī)不同的是它增加了 3層控制功能，能夠根據(jù)服務(wù)器發(fā)送的信息自動(dòng)修改規(guī)則策略，改變主機(jī)間的通信關(guān)系。它由以下模塊組成：

服務(wù)器連接建立模塊。完成與服務(wù)器的認(rèn)證，以及連接的建立，連接建立成功后，信息接收模塊開(kāi)始正常工作。

服務(wù)器指令接收模塊。接收服務(wù)器發(fā)送的主機(jī)等級(jí)變化信息。

指令生成模塊。根據(jù)服務(wù)器發(fā)送的主機(jī)安全等級(jí)變化信息，根據(jù)預(yù)先設(shè)定的安全策略，自動(dòng)生成交換機(jī)控制指令。

交換機(jī)控制模塊。將指令生成模塊生成的指令應(yīng)用于交換機(jī)的各個(gè)端口，使指令生效。

該系統(tǒng)采用了交換控制器配合現(xiàn)有成熟交換機(jī)的方法來(lái)實(shí)現(xiàn)安全動(dòng)態(tài)控制過(guò)程。交換控制器負(fù)責(zé)與認(rèn)證中心和服務(wù)器進(jìn)行信息交互，取得連接在交換機(jī)上的終端標(biāo)識(shí)信息，并按照標(biāo)識(shí)，根據(jù)安全策略，生成交換機(jī)控制指令，然后將指令發(fā)送給相應(yīng)交換機(jī)，交換機(jī)執(zhí)行指令，實(shí)現(xiàn)動(dòng)態(tài)劃分和安全隔離。

2.3 安全終端

安全終端沒(méi)有獨(dú)立的外部存儲(chǔ)器，它只能運(yùn)行來(lái)自安全服務(wù)器上的操作系統(tǒng)、應(yīng)用軟件，只能訪問(wèn)和操作安全服務(wù)器上存儲(chǔ)的目錄文件數(shù)據(jù)。用戶在使用安全終端時(shí)，無(wú)論是使用操作系統(tǒng)、運(yùn)行應(yīng)用軟件、操作各種數(shù)據(jù)，還是透過(guò)本機(jī)的驅(qū)動(dòng)程序（集成在操作系統(tǒng)中）操縱本機(jī)的各種設(shè)備，都需要向安全服務(wù)器請(qǐng)求。

3 多級(jí)安全局域網(wǎng)系統(tǒng)的安全策略

系統(tǒng)中引入了可控動(dòng)態(tài)交換機(jī)和安全服務(wù)器，并要求所有的終端實(shí)體必須與可控動(dòng)態(tài)交換機(jī)直接相連。采用星型的網(wǎng)絡(luò)拓?fù)溆欣趯?duì)網(wǎng)絡(luò)實(shí)施安全控制，也是在系統(tǒng)中實(shí)施擴(kuò)展的BLP安全策略的必要條件。

系統(tǒng)設(shè)計(jì)的安全策略如下：

1）系統(tǒng)內(nèi)的所有用戶身份是經(jīng)過(guò)身份認(rèn)證的，經(jīng)過(guò)身份鑒別的用戶具有兩個(gè)敏感標(biāo)記，即最高敏感標(biāo)記和當(dāng)前敏感標(biāo)記。

2）用戶所使用的終端上的計(jì)算環(huán)境是安全可信的，安全終端只能運(yùn)行和處理來(lái)自安全服務(wù)器上的操作系統(tǒng)、程序和數(shù)據(jù)，不能向私有存儲(chǔ)設(shè)備保存任何數(shù)據(jù)信息，不能非法拷貝文件。

3）對(duì)數(shù)據(jù)的訪問(wèn)控制采用強(qiáng)制性的訪問(wèn)控制策略。用戶對(duì)敏感標(biāo)記不高于最高敏感標(biāo)記的數(shù)據(jù)資源可以進(jìn)行只讀訪問(wèn)；對(duì)敏感標(biāo)記不低于當(dāng)前敏感標(biāo)記的數(shù)據(jù)資源進(jìn)行只寫(xiě)訪問(wèn)。

4）系統(tǒng)在終端下載的操作系統(tǒng)內(nèi)核中嵌入了終端監(jiān)控模塊，監(jiān)控終端內(nèi)部發(fā)生的各種行為。當(dāng)終端監(jiān)控模塊攔截到系統(tǒng)需要控制的動(dòng)作請(qǐng)求時(shí)，首先在終端內(nèi)部掛起動(dòng)作請(qǐng)求，然后向策略服務(wù)器詢問(wèn)是否授權(quán)本次動(dòng)作，根據(jù)策略服務(wù)器返回的系統(tǒng)響應(yīng)情況，再?zèng)Q定是否允許通過(guò)本次動(dòng)作請(qǐng)求。

5）可控動(dòng)態(tài)交換機(jī)、終端監(jiān)控模塊與安全服務(wù)器共同實(shí)現(xiàn)了對(duì)安全局域網(wǎng)系統(tǒng)內(nèi)各種行為的監(jiān)控。

4 多級(jí)安全局域網(wǎng)的功能與特性

4.1 保證信息交換的雙方是可信賴的

多級(jí)安全局域網(wǎng)對(duì)信息進(jìn)行訪問(wèn)控制，同時(shí)保證數(shù)據(jù)的機(jī)密性，使得不該看的不能看，想看也看不到。能夠主動(dòng)制止違規(guī)行為，可以實(shí)現(xiàn)實(shí)時(shí)監(jiān)控和事后審計(jì)。多級(jí)安全局域網(wǎng)使用集中統(tǒng)一存儲(chǔ)各種數(shù)據(jù)的方式，通過(guò)對(duì)用戶、文件數(shù)據(jù)進(jìn)行分級(jí)，采用“無(wú)上讀、無(wú)下寫(xiě)”的安全控制策略，實(shí)現(xiàn)了不同等級(jí)的信息可控；通過(guò)監(jiān)管用戶各種操作，根據(jù)用戶行為改變用戶狀態(tài)，實(shí)現(xiàn)動(dòng)態(tài)控制；同時(shí)主動(dòng)監(jiān)控主機(jī)間網(wǎng)絡(luò)通信、主機(jī)內(nèi)對(duì)移動(dòng)存儲(chǔ)設(shè)備的操作，保障信息安全。

4.2 信息資源統(tǒng)一管理

安全局域網(wǎng)系統(tǒng)中實(shí)現(xiàn)了對(duì)用戶資源的集中統(tǒng)一存儲(chǔ)，用戶的資源訪問(wèn)操作和進(jìn)程創(chuàng)建等行為均受到控制服務(wù)器的監(jiān)控與管理，實(shí)現(xiàn)了對(duì)敏感信息的多級(jí)訪問(wèn)控制，同時(shí)保證惡意代碼不被運(yùn)行，由服務(wù)器為可信終端提供各種資源（操作系統(tǒng)、程序和數(shù)據(jù)），對(duì)可信終端進(jìn)行訪問(wèn)權(quán)限控制。具有統(tǒng)一存儲(chǔ)，集中管理各種資源的特點(diǎn)。多級(jí)安全局域網(wǎng)系統(tǒng)實(shí)現(xiàn)了基于角色的訪問(wèn)控制。主要包括以下內(nèi)容：用戶角色的管理；支持多種控制策略，包括信息等級(jí)控制，訪問(wèn)操作權(quán)限控制等；同時(shí)包含多種控制對(duì)象，如數(shù)據(jù)訪問(wèn)行為、進(jìn)程創(chuàng)建行為、網(wǎng)絡(luò)通信關(guān)系等。多級(jí)安全局域網(wǎng)系統(tǒng)還可以提供多種網(wǎng)絡(luò)服務(wù)，如內(nèi)網(wǎng)的 Web信息系統(tǒng)、打印服務(wù)器、郵件服務(wù)器等，除此之外，還可以提供其他基于內(nèi)網(wǎng)的服務(wù)。其特點(diǎn)為在不影響安全性的前提下，提高了系統(tǒng)整體可用性。

4.3 操作行為可控可管

安全局域網(wǎng)系統(tǒng)中用戶的網(wǎng)絡(luò)信息交換受到服務(wù)器的動(dòng)態(tài)監(jiān)管，并且只具備訪問(wèn)控制策略所允許的通信能力，系統(tǒng)對(duì)各終端之間的網(wǎng)內(nèi)通信和終端與外網(wǎng)的通信行為都進(jìn)行了監(jiān)管，以保證終端獨(dú)自或合謀的方式泄露網(wǎng)內(nèi)的敏感信息，而傳統(tǒng)局域網(wǎng)用戶可以進(jìn)行任意的網(wǎng)絡(luò)信息交換，可以監(jiān)管可信終端的各種數(shù)據(jù)訪問(wèn)行為，控制可信終端的網(wǎng)絡(luò)通信，實(shí)現(xiàn)動(dòng)態(tài)的安全隔離，具有多級(jí)安全體制，強(qiáng)制性訪問(wèn)控制，集中監(jiān)控。多級(jí)安全局域網(wǎng)可實(shí)現(xiàn)有效的歷史操作記錄審計(jì)，服務(wù)器監(jiān)管的所有用戶操作記錄(合法、非法)；同時(shí)進(jìn)行實(shí)時(shí)監(jiān)管，包括在終端上部署監(jiān)視代理，管理員可通過(guò)監(jiān)視代理對(duì)終端進(jìn)行實(shí)時(shí)監(jiān)管，以及獲取當(dāng)前網(wǎng)內(nèi)所有用戶的信息、密級(jí)等。

4.4 可信終端安全接入

安全局域網(wǎng)系統(tǒng)中的終端是基于透明計(jì)算技術(shù)的可信終端，這類終端沒(méi)有本地存儲(chǔ)能力，其外部存儲(chǔ)器在邏輯上被部署在服務(wù)器端，只能運(yùn)行和處理來(lái)自安全服務(wù)器上的操作系統(tǒng)、程序和數(shù)據(jù)，本地不能保存任何文件，安全服務(wù)器可監(jiān)控可信終端上的數(shù)據(jù)訪問(wèn)操作。具有不能私自拿到任何東西，不能越權(quán)訪問(wèn)或傳遞任何信息的特點(diǎn)。多級(jí)安全局域網(wǎng)系統(tǒng)終端的操作系統(tǒng)來(lái)自于網(wǎng)絡(luò)，用戶無(wú)法修改；針對(duì)用戶進(jìn)程，已初步實(shí)現(xiàn)服務(wù)器對(duì)終端待創(chuàng)建進(jìn)程的鑒別與校驗(yàn)和新進(jìn)程創(chuàng)建行為控制的主動(dòng)監(jiān)控。

5 結(jié)語(yǔ)

多級(jí)安全局域網(wǎng)系統(tǒng)從安全體系出發(fā)，全面考慮局域網(wǎng)內(nèi)信息的安全性，構(gòu)建了適用于局域網(wǎng)的以安全標(biāo)記為基礎(chǔ)的多級(jí)安全訪問(wèn)控制模型，實(shí)現(xiàn)了無(wú)上讀無(wú)下寫(xiě)的控制規(guī)則和對(duì)終端行為的全程監(jiān)控。與傳統(tǒng)局域網(wǎng)的對(duì)比，該多級(jí)安全局域網(wǎng)具有以可信終端為安全終端，資源訪問(wèn)操作受到監(jiān)控與管理，動(dòng)態(tài)監(jiān)控的網(wǎng)絡(luò)信息交換，終端行為是受控的，以便于認(rèn)證、訪問(wèn)控制和審計(jì)的特性。

[1] 趙興文,李菲,李暉.以 IEEE 802.10標(biāo)準(zhǔn)設(shè)計(jì)安全局域網(wǎng)[J].通信技術(shù),2003(12)：100-102,108.

[2] 李方偉,何成勇.一種適用于 Ad Hoc網(wǎng)絡(luò)的密鑰管理方案[J].通信技術(shù),2008,41(01)：105-106,142.

[3] 王曉,劉乃琦,王榕.利用 Netfilter/IPTables構(gòu)建安全局域網(wǎng)[J].信息安全與通信保密,2006(10)：120-122.

[4] 鄭勇,謝永強(qiáng).無(wú)線局域網(wǎng)安全技術(shù)及漏洞分析[J].信息安全與通信保密,2007(04)：66-68.

[5] BELL D E, LAPADULA L J. Secure Computer System：Mathematical Foundations[R].MA：ESD/AFSC,1973.

[6] GLIGOR V D, BURCH E L, CHANDERSEKARAN C S, et al.On the Design and the Implementation of Secure Xenix Workstations[C]// Proceedings of the 1986 IEEE Symposium on Security and Privacy. USA： IEEE Computer Society Press, 1986：102-117.

[7] GRENIER G L, HOLT R C, FUNKENHAUSER M. Policy vs Mechanism in the Secure TUNIS Operating System[C]//Proceedings of 1989 IEEE Symposium on Security and Privacy. USA： IEEE Computer Society Press,1989：84-93.

[8] WALDHART N A. The Army Secure Operating System[C]//Proceedings of 1990 IEEE Symposium on Security and Privacy. USA： IEEE Computer Society Press, 1990：50-60.

[9] 司天歌. 局域網(wǎng)安全體系結(jié)構(gòu)及模型研究[D]. 北京：清華大學(xué),2008.