29、析取类别标签：数据安全与访问控制的新视角

析取类别标签：数据安全与访问控制的新视角

1. DC 标签模型

在一个动态信息流控制（DIFC）系统中，每一条数据都会被标记或“打标签”。标签不仅能用于追踪数据，更重要的是，它能依据安全策略（如无干扰策略）来控制信息的传播。

DC 标签由两个关于主体的布尔公式组成，记为 ⟨S, I⟩。其中，S 是保密组件，用于指定允许观察数据的主体；I 是完整性组件，用于指定创建并可能修改数据的主体。为了使每个标签有唯一表示，并能高效且可判定数据的流向关系，对标签格式有如下限制：
- S 和 I 都是合取范式（CNF）的最小公式，且项和子句经过排序以保证每个公式有唯一表示。
- S 和 I 都不包含任何否定项。

例如，在一个税务准备系统中，用户 Bob 和 WebTax 程序的作者 Preparer 分别将他们的数据标记为 ⟨{Bob}, {Bob}⟩ 和 ⟨{Preparer}, {Preparer}⟩，表明他们是数据的创建者和唯一观察者。

数据可以在不同标签的实体之间流动，但必须遵循一定规则，即只能增加保密限制或减少完整性限制，反之则不行。这里定义了一个偏序关系 ⊑（“可以流向”）来指定数据何时可以在标记实体之间流动：
给定两个 DC 标签 L1 = ⟨S1, I1⟩ 和 L2 = ⟨S2, I2⟩，当满足以下条件时，L1 ⊑ L2：
- S2 ⇒ S1
- I1 ⇒ I2

也就是说，只要数据的保密性和实体的完整性得到保留，标记为 ⟨S1, I1⟩ 的数据就可以流入标记为 ⟨S2, I2⟩ 的实体。

在这个模型中，公共实体（如网络接口）具有默认的空标签 ⟨True, True⟩，记为