系统的主体和客体均被赋予一定的安全级和部门集。主体安全级包含最高安全级的当前安全级。主体对于客体的访问方式包括：只读、只写、执行、读写。BLP模型定义了两具安全特性，并且证明了只要系统遵循这两个模型，便可认为系统处于安全状态并可在状态之间进行转换，这两个特性是简单安全特性和*特性。

　　(1)简单安全特性(ss-property)

　　如果一个主体对一个客体具有读的权限，则客体的安全级不能比主体的最大安全级高。

　　(2)*特性(*-property)

　　主体对客体有“只写”的权限，则客体的安全级至少和主体的最高安全级一样高。

　　主体对客体有“读”权限，则客体的安全级不会比主体的当前安全级高。

　　主体对客体有“读写”权限，则客体安全级等于主体的当前安全级。

　　人们习惯上将简单安全特性看成限制“向上读”，将*特性看成限制“向下写”。

　　BLP在多年的研究当中被认为可以有效防止特洛伊马病毒的攻击，但是仍然存在两个问题：①系统具有动态的信息处理(例如主体的安全级的变化)都是有可信进程来实现的，但是BLP模型并没有对可信进程进行说明，可信进程也不受BLP模型的限制;②BLP模型不能防止隐通道。

　　2 系统实现原理

　　根据上面的分析，我们提出了一种本质安全型，以进程控制为中心，集中式管理方式的安全控制方法。下面结合Linux操作系统说明具体的实现原理，以wolf-Linux来指具有这种控制机制的安全操作系统。

　　本质安全是指一种建立在特殊的硬件设备上(Smart卡)，具有特殊的体系结构，可对操作系统本身、进程合法性和运行权利进行验证的安全机制。

　　系统的安全控制分为六部分：进程管理器、安全服务器、文件系统伺服器、进程通信伺服务器、网络伺服器和审计模块。总体结构如图1所示：进程管理器、安全服务器wolf-Linux安全控制的核心部分，审计模块负责对系统的