在多層級機密環境中,格子基礎存取控制(Lattice-Based Access Control, LBAC)以嚴謹的數學結構定義安全層級,是強制存取控制(MAC)的理論核心,廣泛應用於軍事與政府機密系統。
什麼是數學格子與支配關係?
LBAC 的核心是一個偏序集合(Partially Ordered Set),由安全層級(Security Labels)與偏序關係「≤」構成格子(Lattice)。每個安全標籤由敏感度等級(如 Unclassified、Confidential、Secret、Top Secret)與類別集合(Category Set,如 {Finance, R&D})組成。
當主體標籤 L₁ 支配(dominates)客體標籤 L₂,需同時滿足兩個條件:敏感度等級 L₁ ≥ L₂,且類別集合 L₁ ⊇ L₂。此偏序關係保證格子中存在唯一的最小上界(join)與最大下界(meet),數學結構嚴密。
Bell-LaPadula 模型如何應用格子?
Bell-LaPadula 模型是 LBAC 最經典的實作,定義兩條強制規則確保機密不外洩。Simple Security Property(No Read Up):主體不可讀取高於自身層級的客體;Star Property(No Write Down):主體不可寫入低於自身層級的客體。
以具體範例說明:主體 Alice 持有 (Secret, {Finance}),可讀取 (Confidential, {Finance}) 的文件,但無法讀取 (Secret, {Finance, R&D}),因其類別集合未被支配。這種精細的雙維度控制正是 LBAC 優於單純層級控制之處。
💡 重點整理
- 安全標籤由敏感度等級 × 類別集合構成二維偏序格子。
- 支配關係需同時滿足等級高於且類別集合包含,缺一不可。
- No Read Up + No Write Down 兩規則共同防止機密向下滲漏。
- LBAC 是 SELinux、Trusted Solaris 等 MLS 系統的理論基礎。
LBAC 以不可繞過的數學偏序關係取代人工授權判斷,在高機密環境中提供可驗證的安全保證。理解格子結構與支配關係,是設計任何多層級安全系統的必要基礎。
📚 參考文獻
- Bell, D.E. & LaPadula, L.J. (1973). Secure Computer Systems: Mathematical Foundations. MITRE Corporation Technical Report MTR-2547.
- NIST SP 800-53 Rev. 5 — Security and Privacy Controls for Information Systems(AC 系列存取控制條款)
- Sandhu, R.S. (1993). Lattice-Based Access Control Models. IEEE Computer, 26(11), 9–19.
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言