Bell-LaPadula模型 (BLP) 是一种状态机模型,用于在政府和军事应用中实施访问控制。它是由David Elliott Bell 和Leonard J. LaPadula在Roger R. Schell的指导下设计的,用于规范美国国防部 (DoD) 的多级安全 (MLS) 策略。该模型是计算机安全策略的形式状态转换模型,它利用访问主体和访问对象的安全等级来描述一系列访问控制规则。安全等级的范围从最敏感(如“最高机密”)到最不敏感(如“未分类”或“公开”)。
Bell-LaPadula模型是保护与安全之间没有明显区别的模型之一。
与描述了数据完整性保护规则的Biba完整性模型不同,Bell-LaPadula模型侧重于数据的保密性和对机密信息的受控访问。在该模型中,信息系统中的实体分为主体和对象。模型定义了“安全状态”的概念,并且证明了每个状态转换都是从一个安全状态转移到另一个安全状态,从而归纳证明了该系统满足了模型的安全性要求。Bell-LaPadula模型基于状态机的概念,该状态机在一个计算机系统中具有一组允许的状态,并且从一个状态到另一种状态的转换由状态转移函数定义。
如果主体对对象的所有访问模式符合安全策略,则该系统的状态被定义为“安全”。为了确定是否允许特定的访问模式,系统需要将主体的许可权与对象的等级(更确切地说,数据等级和数据分隔的组合所构成的 )进行比较。这种许可/等级模式以术语“网格”表示。 该模型定义了一个自主访问控制 (DAC) 规则和两个强制访问控制 (MAC) 规则,具有三个安全属性:
在存在受信任主体的情况下,Bell-LaPadula模型可能会产生从高机密文档到低机密文档的信息流动。受信任主体不受*属性的限制,但必须证明其在安全策略方面是值得信任的。该安全模型针对访问控制,并被描述为:“下读,上写”。
在Bell-LaPadula模型中,用户只能在其自己的安全级别或更高的安全级别上创建内容(如,秘密研究人员可以创建秘密或绝密文件,但不能创建公共文件;不能下写)。相反,用户只能查看在其自己的安全级别或更低的安全级别的内容(如,秘密研究人员可以查看公共或秘密文件,但不能查看绝密文件;不能上读)。
