Modelo Bell-Lapadula

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 26 de junio de 2016; las comprobaciones requieren 19 ediciones .

El modelo Bell-LaPadula es un modelo de gestión y control de acceso basado en el modelo de control de acceso obligatorio . El modelo analiza las condiciones bajo las cuales es imposible crear flujos de información de sujetos con mayor nivel de acceso a sujetos con menor nivel de acceso.

Historia

El modelo clásico de Bell-LaPadula fue descrito en 1975 por los empleados de MITRE Corporation , David Bell y Leonard Lapadula, quienes se vieron impulsados a crear un modelo mediante un sistema de seguridad para trabajar con documentos clasificados del gobierno de los EE . UU . [1] [2] [3] . La esencia del sistema era la siguiente: a cada sujeto (persona que trabaja con documentos) y objeto (documentos) se le asigna una etiqueta de confidencialidad, comenzando desde el más alto ("importancia especial"), terminando con el más bajo ("no secreto" o "público"). Además, un sujeto al que solo se le permite acceder a objetos con una etiqueta de sensibilidad más baja no puede acceder a un objeto con una etiqueta de sensibilidad más alta. El sujeto también tiene prohibido escribir información en objetos con un nivel de seguridad más bajo.

Características

El modelo Bell-LaPadula es un modelo para restringir el acceso a la información protegida. Está descrito por un autómata finito con un conjunto válido de estados en los que se puede ubicar un sistema de información . Todos los elementos que componen el sistema de información se dividen en dos categorías: sujetos y objetos. A cada sujeto se le asigna su propio nivel de acceso correspondiente al grado de confidencialidad. De manera similar, a un objeto se le asigna un nivel de seguridad. El concepto de sistema seguro se define de la siguiente manera: cada estado del sistema debe cumplir con la política de seguridad establecida para este sistema de información . La transición entre estados se describe mediante funciones de transición. El sistema está en un estado seguro si cada sujeto tiene acceso solo a aquellos objetos a los que se permite el acceso según la política de seguridad actual . Para determinar si un sujeto tiene derecho a obtener cierto tipo de acceso a un objeto, se compara el nivel de seguridad del sujeto con el nivel de seguridad del objeto y, en base a esta comparación, se decide otorgar o no el acceso solicitado. Los conjuntos de nivel de acceso/nivel de seguridad se describen utilizando una matriz de acceso.
Las principales reglas que aseguran el control de acceso son las siguientes:

La seguridad simple

Un sujeto con nivel de acceso puede leer información de un objeto con nivel de seguridad solo cuando prevalece sobre . Esta regla también se conoce como No Read Top (NRU). Por ejemplo, si un sujeto con acceso solo a datos no clasificados intenta leer un objeto con un nivel de seguridad de "alto secreto", se le negará. $x_{s}$ $x_{o}$ $x_{s}$ $x_{o}$

Propiedad * (La propiedad *)

Un sujeto con nivel de seguridad x s puede escribir información a un objeto con nivel de seguridad x o sólo si x o prevalece sobre . Esta regla también se conoce como No Write Down (NWD). Por ejemplo, si un sujeto con un nivel de acceso de alto secreto intenta escribir en un objeto con un nivel de secreto, se le negará. $x_{s}$

La propiedad de seguridad discrecional

Consiste en que los derechos discrecionales de acceso del sujeto al objeto se determinan a partir de la matriz de acceso.

Descripción formal del modelo

Notación

$S\$ — conjunto de temas;
$O\$ es un conjunto de objetos, ; $S\subconjunto O$
$R=\{r,\w\}$ — conjunto de derechos de acceso, — acceso de lectura , — acceso de escritura; $r\$ $w\$
$L=\{U,SU,C,S,TS\}\$ - muchos niveles de secreto, - No clasificado, - Sensible pero no clasificado, C - Confidencial, - Secreto, - Alto secreto; $U\$ $SU\$ $S\$ $TS\$
$\Lambda =(L,\leq ,\bullet ,\otimes )$ — un entramado de niveles de secreto, donde:
- $\leq$ es un operador que define una relación de orden parcial no estricta para los niveles de seguridad;
- $\bala$ es el operador de la cota superior mínima;
- $\otimes$ es el operador de la mayor cota inferior.
$V\$ es un conjunto de estados del sistema, representado como un conjunto de pares ordenados , donde: $(F,M)\$
- $F:S\taza O\flecha derecha L$ - la función de niveles de secreto, que asigna un determinado nivel de secreto a cada objeto y sujeto del sistema;
- $METRO\$ es una matriz de los derechos de acceso actuales.

El operador relacional tiene las siguientes propiedades: $\leq$

Reflexividad: esta propiedad significa que se permite la transferencia de información entre sujetos y objetos del mismo nivel de seguridad. $\forall a\in L:a\leq a$
Antisimetría: la propiedad significa que si la información se puede transferir de sujetos y objetos del nivel A a sujetos y objetos del nivel B, y de sujetos y objetos del nivel B a sujetos y objetos del nivel A, entonces estos niveles son equivalentes. $\forall a_{1},a_{2}\in L:((a_{1}\leq a_{2})\And (a_{2}\leq a_{1}))\rightarrow a_{2}= un_{1}$
Transitividad: propiedad significa que si la información se puede transferir de sujetos y objetos del nivel A a sujetos y objetos del nivel B, y de sujetos y objetos del nivel B a sujetos y objetos del nivel C, entonces se puede transferir de sujetos y objetos de nivel A a sujetos y de nivel C a objetos. $\forall a_{1},a_{2},a_{3}\in L:((a_{1}\leq a_{2})\And (a_{2}\leq a_{3}))\rightarrow a_{1}\leq a_{3}$

El operador Least Upper Bound se define mediante la siguiente relación: $\bala$

a=a_{1}\bullet a_{2}\Leftrightarrow (a_{1},a_{2}\leq a)\And (\forall a'\in L:(a'\leq a)\ flecha derecha (a'\leq a_{1}\vee a'\leq a_{2}))

El operador de límite inferior máximo se define mediante la siguiente relación: $\otimes$

a=a_{1}\otimes a_{2}\Leftrightarrow (a\leq a_{1},a_{2})\And (\forall a'\in L:(a'\leq a_{1 }\Y a'\leq a_{2})\rightarrow (a'\leq a))

Con base en la definición de estos dos operadores, se puede demostrar que para cada par hay un elemento único del límite superior mínimo y un elemento único del límite inferior más grande. $a_{1},a_{2}\en L$

El sistema en el modelo Bell-LaPadula consta de los siguientes elementos: ${\ estilo de visualización \ Sigma = (\ nu _ {0}, R, T)}$

$\nu _{0}\$ es el estado inicial del sistema;
$\mathbb{R} \$ — conjunto de derechos de acceso;
$T:V\times R\rightarrow V$ - una función de transición que, en el curso de la ejecución de solicitudes, transfiere el sistema de un estado a otro.

Definiciones de estado de seguridad

Se dice que un estado es alcanzable en el sistema si hay una secuencia El estado inicial es alcanzable por definición. $\nu\$ ${\ estilo de visualización \ Sigma = (\ nu _ {0}, R, T)}$ $\{(r_{0},\nu _{0}),...,(r_{{n-1}},\nu _{{n-1}}),(r_{n},\nu _{n})\}:T(r_{i},\nu_{i})=\nu_{{i+1}}~\forall i=0,n-1$ $\nu _{0}\$

Se dice que un estado del sistema es seguro para lectura (o seguro simple) si para cada sujeto que tiene acceso de lectura a un objeto en ese estado, el nivel de seguridad del sujeto domina el nivel de seguridad del objeto: $(F,H)$ $\forall s\in S,\forall o\in O,r\in M[s,o]\rightarrow F(o)\leq F(s)$

Un estado del sistema se denomina escritura segura (o * - segura) si para cada sujeto que realiza acceso de escritura a un objeto en este estado, el nivel de seguridad del objeto domina el nivel de seguridad del sujeto: $(F,H)$ $\forall s\in S,\forall o\in O,w\in M[s,o]\rightarrow F(s)\leq F(o)$

Se dice que un estado es seguro si es seguro tanto para lectura como para escritura. $(F,H)$

Un sistema se llama seguro si su estado inicial es seguro y todos los estados a los que se puede acceder aplicando una secuencia final de consultas son seguros. $\Sigma =(\nu _{0},R,T)$ $\nu _{0}\$ $\nu _{0}\$ $R\$

El teorema fundamental de seguridad de Bell-LaPadula

Un sistema es seguro si y solo si se cumplen las siguientes condiciones: ${\ estilo de visualización \ Sigma = (\ nu _ {0}, R, T)}$

El estado inicial es seguro. $\nu _{0}\$
Para cualquier estado al que se pueda acceder aplicando una secuencia finita de consultas de , como y , se cumplen las siguientes condiciones: $\nu\$ $\nu _{0}\$ $R\$ $T(\nu ,r)=\nu ^{*},\nu =(F,M)$ ${\ estilo de visualización \nu ^{*}=(F^{*},M^{*})}$ ${\ estilo de visualización \ para todos los s \ en S, \ para todos los o \ en O}$
1. si y entonces $r\in M^{*}[s,o]$ $r\notin M[s,o]$ $F^{*}(o)\leq F^{*}(s)$
2. si y entonces ${\ estilo de visualización r \ en M [s, o]}$ $F^{*}(s)<F^{*}(o)$ $r\notin M^{*}[s,o]$
3. si y entonces $w\in M^{*}[s,o]$ $w\noen M[s,o]$ $F^{*}(s)\leq F^{*}(o)$
4. si y entonces ${\ estilo de visualización w \ en M [s, o]}$ $F^{*}(o)<F^{*}(s)$ $w\notin M^{*}[s,o]$

Prueba del teorema

Probemos la necesidad del enunciado
Que el sistema sea seguro. En este caso, el estado inicial es seguro por definición. Suponga que hay un estado seguro al que se puede acceder desde el estado , y para esta transición se viola una de las condiciones 1-4. Es fácil ver que si se violan las condiciones 1 o 2, entonces el estado no será seguro para la lectura, y si se violan las condiciones 3 o 4, no será seguro para la escritura. En ambos casos, obtenemos una contradicción con el hecho de que el estado es seguro. Probemos la suficiencia de la afirmación. Un sistema puede ser inseguro en dos casos: ${\ estilo de visualización \ Sigma = (\ nu _ {0}, R, T)}$ $\nu _{0}\$ $\nu^{*}\$ $\nu :~T(\nu ,r)=\nu ^{*}$ $\nu^{*}\$ $\nu^{*}\$

${\ estilo de visualización \ Sigma = (\ nu _ {0}, R, T)}$

Si el estado inicial no es seguro. Sin embargo, esta afirmación contradice la condición del teorema. $\nu _{0}\$
Si hay un estado inseguro al que se puede acceder desde un estado seguro aplicando un número finito de consultas de . Esto significa que en alguna etapa intermedia hubo una transición , donde hay un estado seguro y un estado inseguro. Sin embargo, las condiciones 1-4 hacen que esta transición sea imposible. $\nu^{*}\$ $\nu _{0}\$ $R\$ $T(\nu ,r)=\nu ^{*}$ $\nu\$ $\nu^{*}\$

■

Desventajas

Debido a su simplicidad, el modelo clásico de Bell-Lapadula tiene una serie de inconvenientes graves:

Prohibición de grabar "abajo". En el modelo de Bell-LaPadula no es posible escribir desde objetos con mayor nivel de privacidad a objetos con menor nivel. Por ejemplo, no es posible reescribir el mensaje de alto secreto en la clase secreta , aunque a veces es necesario [4] .
Falta de objetos de varios niveles. Se permite leer y escribir información entre objetos de un solo nivel. Por ejemplo, al leer información de nivel de privacidad sin clasificar de un mensaje de clase secreta , el sistema se verá obligado a asignar la clase secreta [4] a la información que se está leyendo .
Falta de versatilidad. Por ejemplo, en los sistemas de mensajería militar se deben definir reglas de seguridad especiales que no se encuentran en otras aplicaciones del modelo. Tales reglas no están descritas por el modelo de Bell-LaPadula y, por lo tanto, deben definirse fuera del modelo [6]
En cuanto a otros modelos de control de acceso obligatorio, es característica la presencia de canales encubiertos de transmisión de información .

Lectura Remota

En un sistema distribuido, una solicitud de escritura inicia una lectura en un objeto con un nivel de seguridad más bajo, lo que es una violación de las reglas del modelo clásico de Bell-LaPadula.

ver también

Notas

↑ Bell, David Elliott y LaPadula, Leonard J. Sistemas informáticos seguros : fundamentos matemáticos . - MITRE Corporation, 1973. Archivado desde el original el 18 de junio de 2006.
↑ Bell, David Elliott and LaPadula, Leonard J. Secure Computer System: Unified Exposition and Multics Interpretation : journal . — Corporación MITRE, 1976.
↑ Bell, David Elliott (diciembre de 2005). “Mirando hacia atrás al modelo Bell-LaPadula” (PDF) . Actas de la 21.ª Conferencia Anual de Aplicaciones de Seguridad Informática . Tucson, Arizona, Estados Unidos. páginas. 337-351. DOI : 10.1109/CSAC.2005.37 . Archivado (PDF) desde el original el 2020-02-21 . Consultado el 17 de diciembre de 2010 . Parámetro obsoleto utilizado |deadlink=( ayuda ) Diapositivas: una mirada retrospectiva al modelo Bell-LaPadula Archivado el 8 de junio de 2008 en Wayback Machine .

Literatura

Tsirlov VL Fundamentos de la seguridad de la información de los sistemas automatizados. - R.: Fénix, 2008. S. 40-44 ISBN 978-5-222-13164-0
Devyanin PN Modelos de seguridad de sistemas informáticos: libro de texto para estudiantes de instituciones de educación superior. - M.: Centro Editorial "Academia", 2005. S. 55-66 ISBN 5-7695-2053-1
Grusho A. A., Timonina E. E. Fundamentos teóricos de la protección de la información. - M.: Editorial de la Agencia Yachtsman, 1996. C 52-55
A. P. Baranov, N. P. Borisenko, P. D. Zegzhda, A. G. Rostovtsev, Kort S. S. — Fundamentos matemáticos de la seguridad de la información. - M .: Editorial de la Agencia Yachtsman, 1997. C 22-36 https://web.archive.org/web/20110611052603/http://www.ssl.stu.neva.ru/sam/Book97.pdf