基于BLP的安全电子邮件系统机密性安全模型设计

任帅

摘要： 本文对电子邮件所面临的风险及目前采用的安全方案进行了概述，并对传统BLP（Bell-LaPadula）机密性安全模型的安全等级标记和属性进行了阐述。通过对安全电子邮件系统的特性以及传统BLP模型不足方面的研究，分析了传统BLP模型无法满足安全电子邮件系统机密性保证的原因，在此基础上提出了一种基于BLP改进和拓展后的机密性安全模型，并对模型的主客体安全等级标记、机密性模型属性进行了设计。

关键词：电子邮件;BLP;机密性安全模型

引言

随着计算机应用的日益普及，电子邮件作为网络上应用最广泛的服务之一，在整个互联网应用占有很大的比重。电子邮件广泛应用于私人、商业、办公等活动中的信息传递，但在传递过程中的个人、商业及办公的敏感信息也面临着泄露的风险。针对这样的风险，也有各种安全方案陆续应用在电子邮件上，如针对邮件加密、签名验证的S/MIME和CMS技术，采用PKI体系的电子证书认证等技术。[1，2]

由于电子邮件具有点到点发送的特性，即邮件总是由发送者发送至指定的一个或多个邮箱用户。因此对于用户访问电子邮件内容行为默认隐含了访问控制策略，即总是认为接收者具有访问权限。但在实际使用过程中，用户不总是在可信的终端环境中进行邮件的阅读和收发，在不可信的终端环境中读写邮件增加了敏感信息泄露的风险。因此，本文提出了一种基于BLP的安全电子邮件系统机密性安全模型。

一、BLP机密性安全模型

1973年MITRE公司的Bell和LaPadula[3]提出Bell-LaPadula模型（简称BLP模型）是最早的也是目前最流行的保密性访问控制模型，结合了强制访问控制（MAC）和自主访问控制（DAC），它根据军方的安全政策设计，防止信息的非授权泄露，是一种模拟军事安全策略的多级机密性安全模型，目前被广泛地应用于描述计算机系统的安全問题。BLP模型从保密性策略的角度出发，通过禁止上读下写操作有效地防止主体读取安全级别比它更高的客体。[4]

BLP模型分别对主体和客体设定唯一的安全等级标记，记所有主体为为主体的集合;客体为为客体的集合;主体及客体的安全等级标记为;对于主体和客体间的操作方式，记为其中r为读取，w为写入。

在以上安全等级标记的基础上，BLP机密性安全模型定义了简单安全属性和*属性。简单安全属性要求主体Si能够读取客体Oj，当且仅当，且Si对Oj具有主动型读权限，即主体仅能够读具有不高于自身安全级别的客体。*属性要求主体Si能够写入客体Oj，当且仅当，且Si对Oj具有主动型写权限，即主体仅能够写具有不低于自身安全级别的客体。BLP模型通过简单安全属性和*属性保证了主体对客体“上写下读”的特性，使得信息进能从低安全级别流向高安全级别，保证了信息的机密性。[5]

二、BLP模型在电子邮件系统中的局限性

在访问控制模型方面，相较于操作系统等对象，电子邮件系统在数据的安全保护方面存在相似之处，但也存在很大不同，主要表现为以下方面：

首先，操作系统中主体一般为用户或进程，客体为资源及文件，当主体通过访问控制的授权后可以即对客体进行访问，而不必考虑由谁创建，或为哪个主体创建。而电子邮件采用由单用户发送，单个或多个指定用户读取的模式，当一封邮件的发件人及收件人确定后，已经确定了可进行操作的用户集合。

其次，操作系统文件仅对用户和进程进行授权检查、认证，对于用户的终端环境并不特别关心，对用户所处环境的安全性一般通过网络和用户认证层面进行保证。而电子邮件具有在不确定环境进行信息读写的特征，对于多数的邮件系统，通过主流的邮件客户端，经过用户认证后均可以对邮件进行发送、读取操作。

另外，从使用的便利性角度考虑，假设一个具有{公开、秘密、机密、绝密}安全等级标记的电子邮件系统，采用传统BLP模型进行信息保护。那么绝密的用户将无法发送除绝密外的电子邮件，即使该邮件仅是在一般办公场所的编写的公开信息，电子邮件系统使用的便利性将受到极大的限制。

因此对于电子邮件访问控制模型的特殊性，需要一种改善和拓展后的模型和安全等级标记方式满足安全电子邮件的机密性的要求。

三、安全电子邮件系统的安全等级标记设计

传统的BLP模型仅对于以用户或进程为代表性的主体进行安全等级标记，无法对电子邮件使用的PC环境进行限制。因此，本次安全电子邮件系统的安全模型设计将主体的安全等级标记拓展为用户、环境两个层面。记电子邮件用户为的集合，终端环境为的集合;电子邮件为的集合。对于任意，具有唯一的安全等级标记，记所有的安全等级标记为的集合。

拓展后的主体安全等级标记由用户、环境两个层面决定，主体具有安全标记形式Sij=（Ui，hj），故主体表现为集合S：

客体为集合O：

主客体间的操作方式记为，w为发送邮件（写操作），r为收取邮件（读操作），t为转发邮件。

通过以上属性的限制，能够保证电子邮件信息在特定终端环境中“下读上写”的要求，严格限制了电子邮件数据不从高安全级别流向低安全级别，满足了机密性的要求。

参考文献：

[1]陈建奇， 张玉清， 李学农，等. 安全电子邮件的研究与实现[J]. 计算机工程， 2002（06）：121-122.

[2]张瑞丽， 杨坤伟， 李吉亮. 对电子邮件加密技术的分析与研究[J]. 计算机技术与发展， 2014， 000（001）：155-157.

[3]Electronic N A ，Lapadula L ，Bell D E ，et al.Secure Computer Systems： Mathematical Foundations.MITRE Corp，1973.

[4]陈旺， 李中学. BLP模型及其研究方向[J]. 计算机工程与应用， 2006， 42（013）：136-138.

[5]刘波， 陈曙晖， 邓劲生. Bell-LaPadula模型研究综述[J]. 计算机应用研究， 2013， 30（003）：656-660.

上海国际技贸联合有限公司 200031

上海网络与信息安全测评工程技术研究中心 200031