Bell–LaPadula模型

Bell-LaPadula模型(BLP)是一种有關計算機安全策略状态机模型,用于在政府和军事应用中实施访问控制[1]它是由David Elliott Bell [2]和Leonard J. LaPadula在Roger R. Schell的指导下设计的,用于规范美国国防部(DoD)的多级安全英语Multilevel security(MLS)策略。[3][4][5]该模型是计算机安全策略的形式状态转换模型,它利用访问主体和访问对象的安全等级来描述一系列访问控制规则。安全等级的范围从最敏感(如“最高机密”)到最不敏感(如“未分类”或“公开”)。

Bell-LaPadula模型是保护与安全之间没有明显区别英语Separation of protection and security的模型之一 [6]

特征

与描述了数据完整性保护规则的Biba完整性模型英语Biba Model不同,Bell-LaPadula模型侧重于数据的保密性和对机密信息的受控访问。在该模型中,信息系统中的实体分为主体和对象。模型定义了“安全状态”的概念,并且证明了每个状态转换都是从一个安全状态转移到另一个安全状态,从而归纳证明了该系统满足了模型的安全性要求。Bell-LaPadula模型基于状态机的概念,该状态机在一个计算机系统中具有一组允许的状态,并且从一个状态到另一种状态的转换由状态转移函数定义。

如果主体对对象的所有访问模式符合安全策略,则该系统的状态被定义为“安全”。为了确定是否允许特定的访问模式,系统需要将主体的许可权与对象的等级(更确切地说,数据等级和数据分隔的组合所构成的安全级别 )进行比较。这种许可/等级模式以术语“网格”表示。 该模型定义了一个自主访问控制 (DAC) 规则和两个强制访问控制 (MAC) 规则,具有三个安全属性:

  1. 简单安全属性 (Simple Security Property) 规定给定安全级别的主体无法读取更高安全级别的对象。
  2. *属性 (star Property) 规定给定安全级别的主体无法写入任何更低安全级别的对象。
  3. 自主安全属性 (Discretionary Security Property) 使用访问矩阵来规定自主访问控制。

在存在受信任主体的情况下,Bell-LaPadula模型可能会产生从高机密文档到低机密文档的信息流动。受信任主体不受*属性的限制,但必须证明其在安全策略方面是值得信任的。该安全模型针对访问控制,并被描述为:“下读,上写”。

在Bell-LaPadula模型中,用户只能在其自己的安全级别或更高的安全级别上创建内容(如,秘密研究人员可以创建秘密或绝密文件,但不能创建公共文件;不能下写)。相反,用户只能查看在其自己的安全级别或更低的安全级别的内容(如,秘密研究人员可以查看公共或秘密文件,但不能查看绝密文件;不能上读)。

脚注

  1. ^ Hansche, Susan; John Berti; Chris Hare. Official (ISC)2 Guide to the CISSP Exam. CRC Press. 2003: 104. ISBN 978-0-8493-1707-1. 
  2. ^ David Elliott Bell, Oral history interview页面存档备份,存于互联网档案馆), 24 September 2012. Charles Babbage Institute, University of Minnesota]
  3. ^ Bell, David Elliott & LaPadula, Leonard J. Secure Computer Systems: Mathematical Foundations (PDF). MITRE Corporation. 1973 [2006-04-20]. (原始内容存档 (PDF)于2006-06-18).  |url-status=|dead-url=只需其一 (帮助)
  4. ^ Bell, David Elliott & LaPadula, Leonard J. Secure Computer System: Unified Exposition and Multics Interpretation (PDF). MITRE Corporation. 1976 [2020-01-18]. (原始内容存档 (PDF)于2008-08-29). 
  5. ^ Bell, David Elliott. Looking Back at the Bell-LaPadula Model (PDF). Proceedings of the 21st Annual Computer Security Applications Conference. Tucson, Arizona, USA: 337–351. December 2005 [2020-01-18]. doi:10.1109/CSAC.2005.37. (原始内容存档 (PDF)于2020-02-21).  Slides - Looking Back at the Bell-LaPadula Model页面存档备份,存于互联网档案馆
  6. ^ Landwehr, Carl. Formal Models for Computer Security (PDF). ACM Computing Surveys. September 1981, 13 (3): 8, 11, 247–278 [2020-01-18]. ISSN 0360-0300. doi:10.1145/356850.356852. (原始内容存档 (PDF)于2006-12-17).