Модель Белла — Лападулы

Классическая модель Белла — Лападулы была описана в 1975 году сотрудниками корпорации MITRE Дэвидом Беллом и Леонардом Лападулой; к её созданию их подтолкнула необходимость обеспечения безопасности при работе с секретными документами правительства США^[1][2][3]. В модели каждому субъекту (лицу, работающему с документами) и каждому объекту (документу) присваивается метка конфиденциальности — от самой высокой («особой важности») до самой низкой («несекретный» или «общедоступный»). При этом субъект, имеющий право доступа только к объектам с более низкими метками конфиденциальности, не может получить доступ к объекту с более высокой меткой. Аналогично, субъекту запрещается записывать информацию в объекты с более низким уровнем безопасности.

Модель Белла — Лападулы представляет собой модель разграничения доступа к защищаемой информации. Она формализуется в виде конечного автомата с допустимым набором состояний, возможных для информационной системы. Все компоненты информационной системы разделяются на две категории: субъекты и объекты. Каждому субъекту присваивается определённый уровень доступа, соответствующий степени конфиденциальности, аналогично — каждому объекту свой уровень секретности. Понятие защищённой системы определяется тем, что каждое состояние системы должно удовлетворять установленной политике безопасности. Переходы между состояниями описываются функциями перехода.

Система находится в безопасном состоянии, если каждый субъект имеет доступ только к тем объектам, доступ к которым определён текущей политикой безопасности. Для определения прав определённого субъекта на выбранный тип доступа к объекту сравниваются уровни секретности субъекта и объекта; на основании этого сравнения принимается решение о предоставлении доступа. Множества уровень доступа/уровень секретности обычно описываются матрицей доступа.

Основные правила, реализующие разграничение доступа:

Субъект с уровнем доступа ${\displaystyle x_{s}}$ может читать информацию из объекта с уровнем секретности ${\displaystyle x_{o}}$ только в случае, если ${\displaystyle x_{s}}$ не ниже ${\displaystyle x_{o}}$ (то есть субъекты могут читать только документы своего и более низкого уровня секретности). Это правило также известно как «нет чтения вверх» (англ. No Read Up, NRU). Например, субъект с доступом только к несекретным данным не сможет прочитать объект с уровнем «совершенно секретно».

Субъект с уровнем секретности ${\displaystyle x_{s}}$ может записывать информацию в объект с уровнем безопасности ${\displaystyle x_{o}}$ только если ${\displaystyle x_{o}}$ не ниже ${\displaystyle x_{s}}$ (то есть запрещена запись в объекты более низкого уровня секретности). Это правило называется также «нет записи вниз» (англ. No Write Down, NWD). Например, субъект с уровнем доступа «совершенно секретно» не сможет записывать данные в объект класса «секретно».

Права дискреционного доступа субъекта к объекту определяются на основании матрицы доступа.

• ${\displaystyle S}$ — множество субъектов;
• ${\displaystyle O}$ — множество объектов, ${\displaystyle S\subset O}$;
• ${\displaystyle R=\{r,w\}}$ — множество прав доступа, где ${\displaystyle r}$ — право на чтение, ${\displaystyle w}$ — право на запись;
• ${\displaystyle L=\{U,SU,C,S,TS\}}$ — множество уровней секретности: ${\displaystyle U}$ — Unclassified (несекретно), ${\displaystyle SU}$ — Sensitive but unclassified (чувствительная, но несекретная), C — Confidential (конфиденциально), ${\displaystyle S}$ — Secret (секретно), ${\displaystyle TS}$ — Top secret (совершенно секретно);
• ${\displaystyle \Lambda =(L,\leq ,\bullet ,\otimes )}$ — решётка уровней секретности, где:
  • ${\displaystyle \leq }$ — оператор частичного нестрогого порядка для уровней секретности;
  • ${\displaystyle \bullet }$ — оператор наименьшей верхней границы;
  • ${\displaystyle \otimes }$ — оператор наибольшей нижней границы.
• ${\displaystyle V}$ — множество состояний системы, представленное в виде набора упорядоченных пар ${\displaystyle (F,M)}$, где:
  • ${\displaystyle F:S\cup O\to L}$ — функция, сопоставляющая каждому объекту и субъекту уровень секретности;
  • ${\displaystyle M}$ — матрица текущих прав доступа.

Оператор отношения ${\displaystyle \leq }$ обладает следующими свойствами:

• Рефлексивность: ${\displaystyle \forall a\in L:a\leq a}$ — между субъектами и объектами одного уровня безопасности возможна передача информации.
• Антисимметричность: ${\displaystyle \forall a_{1},a_{2}\in L:((a_{1}\leq a_{2})\wedge (a_{2}\leq a_{1}))\to a_{2}=a_{1}}$ — если обмен возможен в обе стороны, то уровни равны.
• Транзитивность: ${\displaystyle \forall a_{1},a_{2},a_{3}\in L:((a_{1}\leq a_{2})\wedge (a_{2}\leq a_{3}))\to a_{1}\leq a_{3}}$ — если обмен возможен через промежуточное звено, то возможен и напрямую.

Оператор наименьшей верхней границы ${\displaystyle \bullet }$ определяется отношением:

${\displaystyle a=a_{1}\bullet a_{2}\iff (a_{1},a_{2}\leq a)\wedge (\forall a'\in L:(a'\leq a)\to (a'\leq a_{1}\vee a'\leq a_{2}))}$

Оператор наибольшей нижней границы ${\displaystyle \otimes }$ определяется отношением:

${\displaystyle a=a_{1}\otimes a_{2}\iff (a\leq a_{1},a_{2})\wedge (\forall a'\in L:(a'\leq a_{1}\wedge a'\leq a_{2})\to (a'\leq a))}$

Из этих определений следует, что для каждой пары ${\displaystyle a_{1},a_{2}\in L}$ существует единственный элемент наименьшей верхней границы и единственный элемент наибольшей нижней границы.

Система ${\displaystyle \Sigma =(\nu _{0},R,T)}$ в модели Белла — Лападулы состоит из:

• ${\displaystyle \nu _{0}}$ — начальное состояние системы;
• ${\displaystyle R}$ — множество прав доступа;
• ${\displaystyle T:V\times R\to V}$ — функция перехода, переводящая систему из одного состояния в другое при выполнении запросов.

Состояние ${\displaystyle \nu }$ называется достижимым в системе ${\displaystyle \Sigma =(\nu _{0},R,T)}$, если существует последовательность ${\displaystyle \{(r_{0},\nu _{0}),...,(r_{n},\nu _{n})\}}$, где ${\displaystyle T(r_{i},\nu _{i})=\nu _{i+1}}$ для всех ${\displaystyle i=0,...,n-1}$. Начальное состояние ${\displaystyle \nu _{0}}$ всегда достижимо.

Состояние системы ${\displaystyle (F,M)}$ называется безопасным по чтению (simple-безопасным), если для каждого субъекта, осуществляющего доступ по чтению к объекту, уровень безопасности субъекта доминирует над уровнем безопасности объекта: ${\displaystyle \forall s\in S,\forall o\in O,r\in M[s,o]\to F(o)\leq F(s)}$.

Состояние системы ${\displaystyle (F,M)}$ называется безопасным по записи (*-безопасным), если для каждого субъекта, осуществляющего запись в объект, уровень безопасности объекта доминирует над уровнем безопасности субъекта: ${\displaystyle \forall s\in S,\forall o\in O,w\in M[s,o]\to F(s)\leq F(o)}$.

Состояние ${\displaystyle (F,M)}$ считается безопасным, если оно и simple-безопасное, и *-безопасное.

Система ${\displaystyle \Sigma =(\nu _{0},R,T)}$ называется безопасной, если её начальное состояние безопасно и все состояния, достижимые из ${\displaystyle \nu _{0}}$ конечной последовательностью запросов из ${\displaystyle R}$, также безопасны.

Система ${\displaystyle \Sigma =(\nu _{0},R,T)}$ является безопасной тогда и только тогда, когда выполняются следующие условия:

1. Начальное состояние ${\displaystyle \nu _{0}}$ безопасно.
2. Для каждого состояния ${\displaystyle \nu }$, достижимого из ${\displaystyle \nu _{0}}$ путём применения конечной последовательности запросов из ${\displaystyle R}$, и перехода ${\displaystyle T(\nu ,r)=\nu ^{*},\nu =(F,M),\nu ^{*}=(F^{*},M^{*})}$ для всех ${\displaystyle s\in S,o\in O}$ выполняются следующие утверждения:
   1. Если ${\displaystyle r\in M^{*}[s,o]}$ и ${\displaystyle r\notin M[s,o]}$, то ${\displaystyle F^{*}(o)\leq F^{*}(s)}$
   2. Если ${\displaystyle r\in M[s,o]}$ и ${\displaystyle F^{*}(s)<F^{*}(o)}$, то ${\displaystyle r\notin M^{*}[s,o]}$
   3. Если ${\displaystyle w\in M^{*}[s,o]}$ и ${\displaystyle w\notin M[s,o]}$, то ${\displaystyle F^{*}(s)\leq F^{*}(o)}$
   4. Если ${\displaystyle w\in M[s,o]}$ и ${\displaystyle F^{*}(o)<F^{*}(s)}$, то ${\displaystyle w\notin M^{*}[s,o]}$

Доказательство теоремы основывается на последовательности переходов между состояниями системы и свойствах отношений между уровнями секретности. Если каждое новое состояние достигается только при выполнении условий безопасности, то нарушение политики безопасности невозможно.

Благодаря простоте, классическая модель Белла — Лападулы обладает рядом ограничений:

• Запрет записи вниз. В модели невозможна запись из объектов с более высоким уровнем конфиденциальности в объекты с более низким уровнем. Например, нельзя скопировать сообщение «совершенно секретно» в объект класса «секретно», хотя это иногда бывает необходимо^[4].
• Отсутствие поддержки многоуровневых объектов. Допускается чтение и запись только между объектами одного уровня. Например, если из сообщения класса «секретно» читается информация уровня «несекретно», система будет вынуждена присвоить этой информации уровень «секретно»^[4].
• Ограниченная применимость. Как в военных системах передачи сообщений требуется учёт дополнительных правил безопасности, не описанных в модели, подобные особенности должны определяться вне рамок модели^[6].
• Как и другие модели мандатного управления доступом, подвержена проблеме скрытых каналов передачи информации.

В распределённых системах инициирование чтения иногда реализуется посредством запроса на запись в объект с более низким уровнем секретности, что формально противоречит классической модели Белла — Лападулы.