Bell-Lapadula malli

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 26. kesäkuuta 2016 tarkistetusta versiosta . tarkastukset vaativat 19 muokkausta .

Bell-LaPadula-malli on kulunvalvonta- ja hallintamalli, joka perustuu valtuutettuun kulunvalvontamalliin . Mallissa analysoidaan olosuhteita, joissa on mahdotonta luoda tietovirtoja korkeamman pääsyn omaavilta henkilöiltä heikomman pääsyn tason tutkijoille.

Historia

Klassisen Bell-LaPadula-mallin kuvailivat vuonna 1975 MITER Corporationin työntekijät David Bell ja Leonard Lapadula, jotka saivat luomaan mallin Yhdysvaltain hallituksen turvaluokiteltujen asiakirjojen käsittelyyn [1] [2] [3] . Järjestelmän ydin oli seuraava: jokaiselle subjektille (asiakirjojen kanssa työskentelevälle henkilölle) ja kohteelle (asiakirjat) on annettu luottamuksellisuusmerkintä alkaen korkeimmasta ("erityinen merkitys") ja päättyen alhaisimpaan ("ei-salaisuus" tai "julkinen"). Lisäksi kohde, jolla on pääsy vain objekteihin, joiden herkkyys on pienempi, ei voi käyttää kohdetta, jolla on korkeampi herkkyys. Kohdeella on myös kiellettyä kirjoittaa tietoja objekteihin, joiden suojaustaso on alempi.

Ominaisuudet

Bell-LaPadula malli on malli suojatun tiedon pääsyn rajoittamiseen. Sitä kuvaa äärellinen automaatti , jolla on pätevä joukko tiloja, joissa tietojärjestelmä voidaan sijoittaa . Kaikki tietojärjestelmän muodostavat elementit on jaettu kahteen luokkaan - aiheisiin ja esineisiin. Jokaiselle aiheelle on määritetty oma käyttöoikeustaso, joka vastaa luottamuksellisuusastetta. Vastaavasti objektille määritetään suojaustaso. Turvallisen järjestelmän käsite määritellään seuraavasti: järjestelmän jokaisen tilan tulee noudattaa tälle tietojärjestelmälle määritettyä turvallisuuspolitiikkaa . Siirtymä tilojen välillä kuvataan siirtymäfunktioilla. Järjestelmä on suojatussa tilassa, jos jokaisella henkilöllä on pääsy vain niihin objekteihin, jotka ovat sallittuja nykyisen suojauskäytännön mukaan . Sen selvittämiseksi, onko kohteella oikeus saada tietyntyyppinen pääsy kohteeseen, verrataan kohteen suojaustasoa kohteen suojaustasoon ja tämän vertailun perusteella päätetään, myönnetäänkö pyydetty pääsy vai ei. Käyttöoikeustaso-/turvatasojoukot kuvataan pääsymatriisin avulla. Pääsäännöt, joilla varmistetaan pääsyn valvonta, ovat seuraavat:

Yksinkertainen suojaus

Aihe, jolla on käyttöoikeustaso, voi lukea tietoja objektista, jolla on suojaustaso vain silloin, kun se on ylivoimainen . Tämä sääntö tunnetaan myös nimellä No Read Top (NRU). Jos esimerkiksi henkilö, jolla on pääsy vain luokittelemattomiin tietoihin, yrittää lukea objektia, jonka suojaustaso on "täysin salainen", se evätään. $x_{s}$ $x_{o}$ $x_{s}$ $x_{o}$

Kiinteistö * (*-ominaisuus)

Aihe, jolla on suojaustaso x s , voi kirjoittaa tietoja objektiin, jonka suojaustaso on x o vain, jos x o on ylivoimainen . Tämä sääntö tunnetaan myös nimellä No Write Down (NWD). Jos esimerkiksi henkilö, jolla on Top Secret -käyttöoikeustaso, yrittää kirjoittaa objektiin, jolla on Secret-taso, se estetään. $x_{s}$

Harkinnanvarainen suojausominaisuus

Se koostuu siitä, että kohteen harkinnanvaraiset käyttöoikeudet kohteeseen määritetään pääsymatriisin perusteella.

Mallin muodollinen kuvaus

Merkintä

$S\$ — aihesarja;
$O\$ on joukko esineitä, ; $S\alajoukko O$
$R=\{r,\w\}$ — käyttöoikeusjoukko, — lukuoikeus , — kirjoitusoikeus; $r\$ $w\$
$L=\{U,SU,C,S,TS\}\$ - useita salassapitotasoja, - Luokittelematon, - Arkaluonteinen mutta luokittelematon, C - Luottamuksellinen, - Salainen, - Erittäin salainen; $U\$ $SU\$ $S\$ $TS\$
$\Lambda =(L,\leq ,\bullet ,\otimes )$ — salassapitotasojen hila, jossa:
- $\leq$ on operaattori , joka määrittelee osittaisen ei-tiukan järjestyssuhteen turvatasoille;
- $\bullet$ on pienimmän ylärajan operaattori ;
- $\otimes$ on suurimman alarajan operaattori .
$V\$ on joukko järjestelmän tiloja, jotka esitetään joukkona järjestettyjä pareja , jossa: $(F,M)\$
- $F:S\cup O\rightarrow L$ - salassapitotasojen toiminto , joka määrittää tietyn salassapitotason järjestelmän jokaiselle kohteelle ja subjektille;
- $M\$ on matriisi nykyisistä käyttöoikeuksista.

Relaatiooperaattorilla on seuraavat ominaisuudet: $\leq$

Reflexiivisyys: Tämä ominaisuus tarkoittaa, että tiedon siirto subjektien ja objektien välillä, joilla on sama suojaustaso, on sallittu. $\forall a\in L:a\leq a$
Antisymmetria: , ominaisuus tarkoittaa, että jos tietoa voidaan siirtää tason A subjekteista ja objekteista tason B subjekteille ja objekteille ja tason B subjekteista ja objekteista tason A subjekteille ja objekteille, niin nämä tasot ovat samanarvoisia. $\forall a_{1},a_{2}\in L:((a_{1}\leq a_{2})\And (a_{2}\leq a_{1}))\rightarrow a_{2}= a_{1}$
Transitiivisuus: ominaisuus tarkoittaa, että jos tietoa voidaan siirtää tason A subjekteista ja objekteista tason B subjekteille ja objekteille ja tason B subjekteista ja objekteista tason C subjekteille ja objekteille, niin se voidaan siirtää subjekteista ja objekteista tason A kohteille ja tason C kohteille. $\forall a_{1},a_{2},a_{3}\in L:((a_{1}\leq a_{2})\And (a_{2}\leq a_{3}))\rightarrow a_{1}\leq a_{3}$

Vähiten yläraja -operaattori määritellään seuraavalla suhteella: $\bullet$

a=a_{1}\bullet a_{2}\Leftrightarrow (a_{1},a_{2}\leq a)\And (\forall a'\in L:(a'\leq a)\ oikea nuoli (a'\leq a_{1}\vee a'\leq a_{2})

Suurin alarajaoperaattori määritellään seuraavalla suhteella: $\otimes$

a=a_{1}\otimes a_{2}\Leftrightarrow (a\leq a_{1},a_{2})\And (\forall a'\in L:(a'\leq a_{1 }\And a'\leq a_{2})\rightarrow (a'\leq a))

Näiden kahden operaattorin määritelmän perusteella voidaan osoittaa, että jokaiselle parille on yksilöllinen pienimmän ylärajan ja suurimman alarajan ainutlaatuinen elementti. $a_{1},a_{2}\in L$

Bell-LaPadula-mallin järjestelmä koostuu seuraavista elementeistä: $\Sigma =(\nu _{0},R,T)$

$\nu _{0}\$ on järjestelmän alkutila;
$\mathbb{R} \$ — käyttöoikeudet;
$T:V\times R\rightarrow V$ - siirtymätoiminto, joka pyyntöjen suorittamisen aikana siirtää järjestelmän tilasta toiseen.

Suojaustilan määritelmät

Tilan sanotaan olevan saavutettavissa järjestelmässä, jos siinä on sekvenssi . Alkutila on määritelmän mukaan saavutettavissa. $\nu\$ $\Sigma =(\nu _{0},R,T)$ $\{(r_{0},\nu _{0}),...,(r_{{n-1}},\nu _{{n-1}}),(r_{n},\nu _{n})\}:T(r_{i},\nu _{i})=\nu _{{i+1}}~\forall i=0,n-1$ $\nu _{0}\$

Järjestelmän tilan sanotaan olevan lukuturvallinen (tai yksinkertainen-turvallinen), jos jokaisella subjektilla, jolla on lukuoikeus kyseisessä tilassa olevaan objektiin, kohteen suojaustaso hallitsee objektin suojaustasoa: $(F,M)$ $\forall s\in S,\forall o\in O,r\in M[s,o]\rightarrow F(o)\leq F(s)$

Järjestelmätilaa kutsutaan kirjoitusturvalliseksi (tai * - turvalliseksi), jos jokaisessa subjektissa, joka suorittaa kirjoitusoikeuden tässä tilassa olevaan objektiin, objektin suojaustaso hallitsee kohteen suojaustasoa: $(F,M)$ $\forall s\in S,\forall o\in O,w\in M[s,o]\rightarrow F(s)\leq F(o)$

Tilan sanotaan olevan turvallinen , jos se on sekä luku- että kirjoitusturvallinen. $(F,M)$

Järjestelmää kutsutaan turvalliseksi , jos sen alkutila on turvallinen ja kaikki tilat, joista päästään suorittamalla lopullinen kyselysarja, ovat turvallisia. $\Sigma =(\nu _{0},R,T)$ $\nu _{0}\$ $\nu _{0}\$ $R\$

Bell-LaPadula Fundamental Security Theorem

Järjestelmä on turvallinen, jos ja vain seuraavat ehdot täyttyvät: $\Sigma =(\nu _{0},R,T)$

Alkutila on turvallinen. $\nu _{0}\$
Seuraavat ehdot täyttyvät mille tahansa tilalle , joka on saavutettavissa käyttämällä äärellistä kyselysarjaa kohteesta , kuten ja : $\nu\$ $\nu _{0}\$ $R\$ $T(\nu ,r)=\nu ^{*},\nu =(F,M)$ $\nu ^{*}=(F^{*},M^{*})$ $\forall s\in S,\forall o\in O$
1. Jos ja sitten $r\in M^{*}[s,o]$ $r\notin M[s,o]$ $F^{*}(o)\leq F^{*}(s)$
2. Jos ja sitten $r\in M[s,o]$ $F^{*}(s)<F^{*}(o)$ $r\notin M^{*}[s,o]$
3. Jos ja sitten $w\in M^{*}[s,o]$ $w\notin M[s,o]$ $F^{*}(s)\leq F^{*}(o)$
4. Jos ja sitten $w\in M[s,o]$ $F^{*}(o)<F^{*}(s)$ $w\notin M^{*}[s,o]$

Todistus lauseesta

Todistakaamme väitteen tarpeellisuus
Olkoon järjestelmä turvallinen. Tässä tapauksessa alkutila on määritelmän mukaan turvallinen. Oletetaan, että tilasta on tavoitettavissa turvallinen tila , ja tässä siirtymässä jokin ehdoista 1-4 rikotaan. On helppo nähdä, että jos ehtoa 1 tai 2 rikotaan, tila on lukemiselle vaarallinen, ja jos ehtoa 3 tai 4 rikotaan, se on epäturvallinen kirjoittamiselle. Molemmissa tapauksissa saamme ristiriidan sen tosiasian kanssa, että valtio on turvallinen. Todistakaamme väitteen riittävyys. Järjestelmä voi olla epävarma kahdessa tapauksessa: $\Sigma =(\nu _{0},R,T)$ $\nu _{0}\$ $\nu ^{*}\$ $\nu :~T(\nu ,r)=\nu ^{*}$ $\nu ^{*}\$ $\nu ^{*}\$

$\Sigma =(\nu _{0},R,T)$

Jos alkutila ei ole turvallinen. Tämä väite on kuitenkin ristiriidassa lauseen ehdon kanssa. $\nu _{0}\$
Jos on olemassa vaarallinen tila , joka on tavoitettavissa turvallisesta tilasta käyttämällä rajallista määrää kyselyitä osoitteesta . Tämä tarkoittaa, että jossain välivaiheessa tapahtui siirtymä , jossa on turvallinen tila ja on vaarallinen tila. Edellytykset 1-4 tekevät tämän siirtymisen kuitenkin mahdottomaksi. $\nu ^{*}\$ $\nu _{0}\$ $R\$ $T(\nu ,r)=\nu ^{*}$ $\nu\$ $\nu ^{*}\$

■

Haitat

Klassisella Bell-Lapadula-mallilla on yksinkertaisuutensa vuoksi useita vakavia haittoja:

Kielto tallentaa "alas". Bell-LaPadula-mallissa ei ole mahdollista kirjoittaa kohteista, joilla on korkeampi yksityisyystaso , objekteihin, joiden yksityisyys on matalampi. Esimerkiksi huippusalaista viestiä ei ole mahdollista kirjoittaa uudelleen salaiseen luokkaan , vaikka se joskus on välttämätöntä [4] .
Monitasoisten kohteiden puute. Tietojen lukeminen ja kirjoittaminen vain yhden tason objektien välillä on sallittua. Kun esimerkiksi luetaan luokittelemattomia yksityisyystason tietoja luokkasalaisesta viestistä , järjestelmä pakotetaan määrittämään luokan salaisuus [4] luettavalle tiedolle .
Monipuolisuuden puute. Esimerkiksi sotilasviestintäjärjestelmissä on määriteltävä erityisiä turvallisuussääntöjä, joita ei löydy mallin muista sovelluksista. Tällaisia sääntöjä ei kuvata Bell-LaPadula-mallissa, ja siksi ne on määriteltävä mallin ulkopuolella [6]
Kuten muissa pakollisen pääsynvalvonnan malleissa, salattujen tiedonsiirtokanavien läsnäolo on ominaista .

Etäluku

Hajautetussa järjestelmässä luku aloitetaan kirjoituspyynnöllä objektiin, jolla on alhaisempi suojaustaso, mikä on klassisen Bell-LaPadula-mallin sääntöjen vastaista.

Katso myös

Muistiinpanot

↑ Bell, David Elliott ja LaPadula, Leonard J. Secure Computer Systems : Mathematical Foundations . - MITER Corporation, 1973. Arkistoitu alkuperäisestä 18. kesäkuuta 2006.
↑ Bell, David Elliott ja LaPadula, Leonard J. Secure Computer System: Unified Exposition and Multics Interpretation : Journal . - MITRE Corporation, 1976.
↑ Bell, David Elliott (joulukuu 2005). “Katsaus taaksepäin Bell-LaPadula-malliin” (PDF) . 21. vuosittaisen tietokoneturvasovellusten konferenssin julkaisut . Tucson, Arizona, Yhdysvallat. s. 337-351. DOI : 10.1109/CSAC.2005.37 . Arkistoitu (PDF) alkuperäisestä 2020-02-21 . Haettu 17.12.2010 . Käytöstä poistettu parametri |deadlink=( ohje ) Diat - Katse takaisin Bell-LaPadula-malliin Arkistoitu 8. kesäkuuta 2008 Wayback Machinessa

Kirjallisuus

Tsirlov VL Automaattisten järjestelmien tietoturvan perusteet. - R .: Phoenix, 2008. S. 40-44 ISBN 978-5-222-13164-0
Devyanin PN -tietoturvamallit tietokonejärjestelmistä: Oppikirja korkeakoulujen opiskelijoille. - M .: Publishing Center "Academy", 2005. S. 55-66 ISBN 5-7695-2053-1
Grusho A. A., Timonina E. E. Tietosuojan teoreettiset perusteet. - M .: Yachtsman Agencyn kustantamo, 1996. C 52-55
A. P. Baranov, N. P. Borisenko, P. D. Zegzhda, A. G. Rostovtsev, Kort S. S. - Tietoturvan matemaattiset perusteet. - M .: Yachtsman Agencyn kustantaja, 1997. C 22-36 https://web.archive.org/web/20110611052603/http://www.ssl.stu.neva.ru/sam/Book97.pdf