35、多级安全系统：概念、模型与历史产品

多级安全系统：概念、模型与历史产品

1. 多级安全策略模型概述

在信息安全领域，多级安全（Multilevel Security，MLS）是一个重要的概念，它涉及到对信息的保密性和完整性进行多层面的保护。除了像 Bell - LaPadula（BLP）这样简单的 MLS 策略外，还有一些更通用的策略，如类型强制（Type Enforcement，TE）和动态类型强制（Dynamic Type Enforcement，DTE）。

1.1 TE/DTE 策略

TE 和 DTE 不仅关注保密性，还开始处理完整性问题。它们早期的一个应用是在 LOCK 系统中强制执行可信管道。其思路是将一组可信进程限制在一个管道中，使得每个进程只能与前一个阶段和后一个阶段进行通信。这可用于组装防护装置和防火墙，除非至少两个阶段都被攻破，否则无法绕过这些防护。例如，Sidewinder 防火墙就使用了类型强制机制。

类型强制机制的另一个优点是，它能够区分代码和数据，并将特权绑定到代码上。这样，宁静性问题可以在执行时处理，而不是在读取数据时处理，这使得问题更容易解决。

然而，TE/DTE 更大的灵活性和表达能力也带来了一些问题。由于状态爆炸，实现 BLP 并不总是那么直接。在编写安全策略时，必须考虑不同类型之间所有可能的交互。因此，SELinux 也实现了一个简单的 MLS 策略。

1.2 基于角色的访问控制（RBAC）

近年来，基于角色的访问控制（Role - Based Access Control，RBAC）受到了研究人员的广泛关注。该模型由 David Ferraiolo 和 Richard Kuhn 引入，它为强