3.3.2. Модель Белла-ЛаПадулы (б-лп).
Данная модель была предложена в 1975 году для реализации механизмов мандатного управления доступом. Мандатный принцип разграничения доступа, в свою очередь, ставил своей целью перенести на автоматизированные системы практику секретного документооборота, принятую в правительственных и военных структурах, когда все документы и допущенные к ним лица ассоциируются с иерархическими уровнями секретности.
В модели Б-ЛП по грифам секретности разделяются объекты и субъекты, действующие в системе, и при этом выполняются следующие правила:
1) Простое правило безопасности (Simple Security, SS).
Субъект с уровнем секретности
может читать информацию из объекта с
уровнем секретности
тогда и только тогда, когда
преобладает над
.
2) *-свойство (*-property).
Субъект с уровнем секретности
может записывать информацию в объект
с уровнем секретности
в том и только том случае, когда
преобладает над
.
Для первого правила существует мнемоническое обозначение No Read Up (не читать сверху), а для второго – No Write Down (не записывать вниз).
Диаграмма информационных потоков, соответствующая реализации модели Б-ЛП в системе с двумя уровнями секретности, приведена на рисунке:
где H – высокий уровень, L – низкий уровень.
Введём следующие обозначения:
S – множество субъектов;
O – множество объектов;
S
O.
R={w, r}, где r – доступ на чтение,
w – доступ на запись.
L={U, SU, S, TS} – множество уровней секретности, где
U – общий доступ (Unelassified);
SU – ограниченный доступ (Sensitive but unclassified);
S – секретно (Secret);
TS – совершенно секретно (Top secret).
λ=(L,
≤, •,
)
– решётка уровней секретности.
V – множество состояний системы, представленное в виде набора упорядоченных пар (F, M), где:
F: S
O→L
– функция уровней секретности, ставящая
в соответствие каждому объекту и субъекту
определённый уровень секретности.
M – матрица текущих прав доступа.
Остановимся более подробно на решётке уровней секретности.
Решёткой
λ называется алгебраическая система
вида (L, ≤, •,
),
где
≤ - оператор, определяющий частичное нестрогое отношение порядка для уровней секретности;
• - оператор наименьшей верхней границы;
- оператор наибольшей нижней границы.
Отношение ≤ обладает следующими свойствами:
-
рефлексивность. ∀a
L: a
≤ a.
С точки зрения уровней безопасности это означает, что разрешена передача информации между субъектами и объектами одного уровня безопасности.
-
антисимметричность: ∀
,
L:
((
≤
)
& (
≤
))
→
=
.
Антисимметричность тут означает, что если информация может передаваться как от субъектов и объектов уровня А к субъектам и объектам уровня B, так и в обратном направлении, то эти уровни эквивалентны.
-
транзитивность: ∀
,
,
L: ((
≤
)
& (
≤
))
→
≤
.
Транзитивность означает, что если информация может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня B, и от субъектов и объектов уровня B к субъектам и объектам уровня C, то она может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня C.