在多層級安全系統中,Bell-LaPadula(BLP)模型是保護機密資料的經典框架。它以強制存取控制(MAC)為核心,確保高機密資訊不會流向低等級主體。
核心規則:No Read Up 與 No Write Down
BLP 模型的設計目標只有一個:保密性(Confidentiality)。它透過兩條強制規則控制資料流向。No Read Up(簡單安全性)規定主體不得讀取高於自身等級的客體,防止低權限使用者存取機密資料。No Write Down(星號安全性,*-property)則禁止主體將資料寫入低於自身等級的客體,阻止機密向下洩漏。這兩條規則共同構成單向資訊流:資訊只能向上流動,絕不向下。系統依據主體的安全等級(Security Label)與客體的分類標籤自動執行,完全排除使用者的主觀判斷。
受信任主體:唯一的例外機制
嚴格的單向規則在實務中會造成問題:機密文件無法被解密後分發給低等級人員。BLP 為此設計了受信任主體(Trusted Subject)機制作為唯一例外。受信任主體經過嚴格審查與授權,可執行降級(Declassification)作業,將高等級資料合法地寫入低等級客體。這項豁免並非漏洞,而是受到系統層級的嚴密稽核與控管。值得注意的是,BLP 模型不處理完整性(Integrity)問題,這是其最主要的限制;Biba 模型正是為填補這一缺口而設計的互補方案。
💡 重點整理
- No Read Up:主體只能讀取等於或低於自身等級的資料。
- No Write Down:主體只能寫入等於或高於自身等級的客體。
- 受信任主體:唯一可執行降級的例外角色,受嚴格稽核管控。
- 核心限制:BLP 只保護保密性,不涵蓋資料完整性。
BLP 模型以簡潔的兩條規則解決機密外洩問題,至今仍是軍事與政府安全架構的理論基石。理解其邊界,才能正確搭配 Biba 等互補模型建構完整防護。
📚 參考文獻
- Bell, D.E. & LaPadula, L.J. (1973). Secure Computer Systems: Mathematical Foundations. MITRE Corporation Technical Report MTR-2547. — BLP 模型原始論文,定義核心規則與形式化證明。
- NIST SP 800-192: Verification and Test Methods for Access Control Policies/Models — 涵蓋 MAC 模型的現代驗證方法與實務建議。
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言