Модель Белла-ЛаПадулы

Данная модель была предложена в 1975 году для формализации механизмов мандатного управления доступом. Мандатный принцип разграничения доступа, в свою очередь, ставил своей целью перенести на автоматизированные системы практику секретного документооборота, принятую в правительственных и военных структурах, когда все документы и допущенные к ним лица ассоциируются с иерархическими уровнями секретности.

В модели Белла-ЛаПадулы по грифам секретности распределяются субъекты и объекты, действующие в системе, и при этом выполняются следующие правила:

1. Простое правило безопасности (Simple Security, SS). Субъект с уровнем секретности x_s может читать информацию из объекта с уровнем секретности x_o тогда и только тогда, когда x_s преобладает над x_o.

2. *-свойство (*-property).

Субъект с уровнем секретности x_s может писать информацию в объект с уровнем секретности x_o в том и только в том случае, когда x_o преобладает над x_s.

Для первого правила существует мнемоническое обозначение No Read Up, а для второго – No Write Down.

Диаграмма информационных потоков, соответствующая реализации модели Белла- ЛаПадулы в системе с двумя уровнями секретности, приведена на рисунке.

Рисунок.- Диаграмма информационных потоков (модель Белла-ЛаПадулы)

Перейдём к формальному описанию системы. Введём следующие обозначения:

- S – множество субъектов;

- O – множество объектов, , S ⊂ O;

- R={r, w} – множество прав доступа, r – доступ на чтение, w – доступ на запись;

- L={U, SU, S, TS} – множество уровней секретности, U- Unclassified, SU – Sensitive but unclassified, S – Secret, TS – Top secret;

- Λ = (L,≤,•, ⊗) - решётка уровней секретности;

- V – множество состояний системы, представляемое в виде набора упорядоченных пар (F, M), где:

- F : S ∪O → L - функция уровней секретности, ставящая в соответствие каждому объекту и субъекту в системе определённый уровень секретности;

- M – матрица текущих прав доступа.

Остановимся более подробно на решётке уровней секретности. Напомним, что решёткой Λ называется алгебраическая система вида (L, ≤,•,⊗), где:

- ≤ - оператор, определяющий частичное нестрогое отношение порядка для уровней секретности;

- • - оператор наименьшей верхней границы;

- ⊗ - оператор набольшей нижней границы.

Отношение ≤ обладает следующими свойствами:

1. Рефлексивность:

С точки зрения уровней безопасности это означает, что разрешена передача информации между субъектами и объектами одного уровня безопасности.

2. Антисимметричность:

Антисимметричность в нашем случае означает, что если информация может передаваться как от субъектов и объектов уровня A к субъектам и объектам уровня B, так и от субъектов и объектов уровня B к субъектам и объектам уровня A, то эти уровни эквивалентны.

3. Транзитивность: .

Транзитивность означает, что если информации может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня B, и от субъектов и объектов уровня B к субъектам и объектам уровня C, то она может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня C.

Операторы наименьшей верхней границы • и наибольшей нижней границы ⊗ определяются следующим образом:

Нетрудно показать, что для каждой пары существует единственный элемент наименьшей верхней границы и единственный элемент наибольшей нижней границы.

Заметим, что в качестве уровней безопасности совершенно не обязательно выбирать целые числа, в ряде случаев удобнее использовать более сложные структуры. За счёт этого, например, в пределах каждого уровня секретности можно реализовать категории секретности (см. рисунок). В этом случае наличие допуска к той или иной категории информации может служить дополнительным механизмом безопасности, ограничивающим доступ к защищаемым субъектам или объектам.

Рисунок.- Уровни секретности и категории информации

Система в модели Белла-ЛаПадулы состоит из следующих элементов:

- v₀ – начальное состояние системы;

- R – множество прав доступа;

- T :V × R → V - функция перехода, которая в ходе выполнения запросов переводит систему из одного состояния в другое.

Изменение состояний системы во времени происходит следующим образом: система, находящаяся в состоянии v ∈ V , получает запрос на доступ r ∈ R и переходит в состояние v* = T(v, r).

Состояние v_n называется достижимым в системе , если существует последовательность . Начальное состояние v₀ является достижимым по определению.

Состояние системы (F, M) называется безопасным по чтению (или simple-безопасным), если для каждого субъекта, осуществляющего в этом состоянии доступ по чтению к объекту, уровень безопасности субъекта доминирует над уровнем безопасности объекта:

.

Состояние (F, M) называется безопасным по записи (или * - безопасным) в случае, если для каждого субъекта, осуществляющего в этом состоянии доступ по записи к объекту, уровень безопасности объекта доминирует над уровнем безопасности субъекта:

Состояние (F, M) называется безопасным, если оно безопасно по чтению и по записи.

Наконец, система называется безопасной, если её начальное состояние v₀ безопасно, и все состояния, достижимые из v₀ путём применения конечной последовательности запросов из R, безопасны.

Отметим, что изложенная модель в силу своей простоты имеет целый ряд серьёзных недостатков. Например, никак не ограничивается вид функции перехода T – а это означает, что можно построить функцию, которая при попытке запроса на чтения к объекту более высокого уровня секретности до проверки всех правил будет понижать уровень секретности объекта. Другим принципиальным недостатком модели Белла-ЛаПадулы является потенциальная возможность организации скрытых каналов передачи информации. Тем самым, дальнейшее развитие моделей мандатного управления доступом было связано с поиском условий и ограничений, повышающих её безопасность.

В настоящее время модель Белла-ЛаПадулы и другие модели мандатного управления доступом широко используются при построении и верификации автоматизированных систем, преимущественно предназначенных для работы с информацией, составляющей государственную тайну.