| Bell-LaPadula模型是由David Bell和Leonard LaPadula提出的符合军事安全策略的计算机安全模型,简称BLP模型。该模型用于防止非授权信息的扩散,从而保证系统的安全。BLP模型有两个特性:简单安全特性、*特性。
|
|
|
| (1)简单安全特性。主体对客体进行读访问的必要条件是主体的安全级别不小于客体的安全级别,主体的范畴集合包含客体的全部范畴,即主体只能向下读,不能向上读。
|
|
|
| (2)*特性。一个主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级,即客体的保密级别不小于主体的保密级别,客体的范畴集合包含主体的全部范畴,即主体只能向上写,不能向下写。
|
|
|
| 如下图所示,信息流只向高级别的客体方向流动,而高级别的主体可以读取低级别的主体信息。
|
|
|
|
|
|
|
| BLP机密性模型可用于实现军事安全策略(Miliary Security Policy)。该策略最早是美国国防部为了保护计算机系统中的机密信息而提出的一种限制策略。其策略规定,用户要合法读取某信息,当且仅当用户的安全级大于或等于该信息的安全级,并且用户的访问范畴包含该信息范畴时。为了实现军事安全策略,计算机系统中的信息和用户都分配了一个访问类,它由两部分组成:
|
|
|
| . 安全级:安全级别对应诸如公开、秘密、机密和绝密等名称;
|
|
|
| . 范畴集:指安全级的有效领域或信息所归属的领域,如人事处、财务处等。
|
|
|
| 安全级的顺序一般规定为:公开<秘密<机密<绝密。两个范畴集之间的关系是包含、被包含或无关。在一个访问类中,仅有单一的安全级,而范畴可以包含多个。下面给出系统访问类例子:
|
|
|
|
|
|
|
| . 用户B访问类:{绝密:人事处,财务处,科技处}。
|
|
|
| 按照军事安全策略规定,用户B可以阅读文件F,因为用户B的级别高,涵盖了文件的范畴。而用户A的安全级虽然高,但不能读文件F,因为用户A缺少了“财务处”范畴。
|
|
|
