bell-lapadula vs biba

Bell-lapadula

Bell-lapadula 是 20 世纪 70 年代，美国军方提出的用于解决分时系统的信息安全和保密问题，该模型主要用于防止保密信息被未授权的主体访问。

使用 Bell-lapadula 模型的系统会对系统的用户（主体）和数据（客体）做相应的安全标记，因此这种系统又被称为多级安全系统，级别和模型用于限制主体对客体的访问操作，该模型用于加强访问控制的信息保密性。

Bell-lapadula 使用主体，客体，访问操作（读，写，读 / 写）以及安全级别这些概念，当主体和客体位于不同的安全级别时，主体对客体就存在一定的访问限制。实现该模型后，它能保证信息不被不安全的主体所访问。

Bell-lapadula 有三条强制的访问规则：简单安全规则（ simple security rule ） , 星属性安全规则（ star property ） , 强星属性安全规则（ strong star property ） . 简单安全规则表示低安全级别的主体不能从高安全级别客体读取数据。星属性安全规则表示高安全级别的主体不能对低安全级别的客体写数据。强星属性安全规则表示一个主体可以对相同安全级别的客体进行读和写操作。

所有的 MAC 系统都是基于 BELL-LAPADULA 模型，因为它允许在代码里面整合多级安全规则，主体和客体会被设置安全级别，当主体试图访问一个客体，系统比较主体和客体的安全级别，然后在模型里检查操作是否合法和安全。下图是对 bell-lapadula 模型的简要描述：  

   Subject( 主体 )                                         Object( 客体 )  

 

  1．  当安全级别为 Secret 的主体访问安全级别为 Top Secret 的客体时，简单安全规则（ simple security rule ）生效，此时主体对客体可写不可读（ no read up ）；

2．  当安全级别为 Secret 的主体访问安全级别为 Secret 的客体时，强星属性安全规则 (strong star property) 生效，此时主体对客体可写可读；

3．  当安全级别为 Secret 的主体访问安全级别为 Confidential 的客体时，星属性安全规则 ( star property) 生效，此时主体对客体可读不可写 (no write down) ；

Biba

Biba 模型是在 bell-lapadula 模型之后开发的，它跟 bell-lapadula 模型很相似，被用于解决应用程序数据的完整性问题。 Bell-lapadula 使用安全级别（ top secret,secret,sensitive, 等），这些安全级别用于保证敏感信息只被授权的个体所访问。 Biba 模型不关心信息保密性的安全级别，因此它的访问控制不是建立在安全级别上，而是建立在完整性级别上。

如果布署正确的话， Biba 模型能够防止数据从低完整性级别流向高完整性级别，跟 Bell-lapadula 一样， Biba 模型也有三条规则提供这种保护 : 星完整性规则（ *-integrity axiom ） , 简单完整性规则（ simple integrity axiom ） , 恳求属性规则（ invocation property ）。星完整性规则表示完整性级别低的主体不能对完整性级别高的客体写数据。简单完整性规则表示完整性级别高的主体不能从完整性级别低的客体读取数据。恳求属性规则表示一个完整性级别低的主体不能从级别高的客体调用程序或服务。

Biba 的恳求属性规则（ invocatjion property ）表示一个低完整性的主体不能调用高完整性级别的客体的程序或服务。那么，这个规则跟 Biba 的其他两个规则有什么不同呢？星完整性规则（ *-integrity axiom ）强调主体如何修改（写）客体，简单完整性规则（ simple integrity axiom ）强调主体如何从客体进行读操作。而恳求属性完整性规则（ invocation property ）则强调一个主体如何跟另外一个客体（可以是另外一个主体）进行通信并对其进行初始化，例如：一个主体可以通过它的进程发送一个请求消息调用另外一个客体的执行程序，从而完成某项任务。在 Biba 模型里，主体只允许去调用低完整性客体的程序或服务，反之则禁止。这就保证低完整性的主体不会去调用某个高完整性客体的清除工具清除该客体的数据。

下图是对 Biba 模型的简要描述：

               Subject( 主体 )                                                   Object( 客体 )

1．  当完整性级别为 Medium Integrity 的主体访问完整性级别为 High Integrity 的客体时，星完整性规则（ *-integrity axiom ）和恳求完整性规则（ invocation property ）生效，此时主体对客体可读不可写（ no write up ） , 也不能调用主体的任何程序和服务；

2．  当完整性级别为 Medium Integrity 的主体访问完整性级别为 Medium Integrity 的客体时，此时主体对客体可写可读；

3．  当完整性级别为 Medium Integrity 的主体访问完整性级别为 Low Integrity 的客体时，简单完整性规则（ simple integrity axiom ）生效，此时主体对客体可写不可读 (no read down) ；