Heim

Bell-LaPadula

Das Bell-LaPadula – Sicherheitsmodell adressiert die Vertraulichkeit der Daten. Es soll nicht möglich sein Informationen einer höheren Schutzstufung zu lesen oder Informationen einer höheren Schutzstufung in eine tiefere Schutzstufung zu überführen. Systeme, die auf dem Bell LaPadula Prinzip basieren, wurden vor allem dann verwendet, wenn Daten einer gewissen Geheimhaltung unterstehen. Die klassischen Bell-LaPadula-Systeme wurden durch Lattice- oder Compartment-basierende Systeme abgelöst, welche horizontale und vertikale Einstufungen (Segmente) implementieren.

Das Sicherheitsmodell wurde 1973 von David Elliott Bell und Leonard J. LaPadula im Auftrag der US Air Force entwickelt [1] [2]. Das Bell-LaPadula Modell schützt vor allem die Vertraulichkeit von Daten: Hauptaugenmerk wird auf eine Kontrolle des Informationsflusses gelegt. Es soll nicht möglich sein, dass vertrauliche Informationen an nicht vertrauenswürdige Personen weitergegeben werden. Das steht im Gegensatz zum Biba Modell welches eine Umkehrung des Bell-LaPadula Modelles ist und hauptsächlich die Integrität des Informationsflusses sichert.

Vor jedem Zugriff werden zwei Regeln überprüft:

  1. No-Read-Up oder simple security property
    Es darf niedriger eingestuften Personen nicht möglich sein, Informationen von vertrauenswürdigereren Personen zu lesen.
  2. No-Write-Down oder *-property
    Höher eingestufte Personen dürfen nicht in Dateien von weniger vertrauenswürdigen Personen schreiben. Dadurch wird verhindert, dass sie Informationen „nach unten“ weitergeben.

Der Term *-property soll angeblich daher kommen, dass die Autoren des Modelles so unter Zeitdruck standen, dass sie die abzugebenden Papiere nicht bereinigen konnten, und der Stern (*) als Platzhalter erhalten blieb.

Verschiedene, auf Sicherheit ausgelegte, Betriebssysteme basieren auf dem Bell-LaPadula-Modell (wie z. B. Trusted Solaris).

Inhaltsverzeichnis

Mathematische Grundsätze


Lesen von Objekten ist nur möglich, wenn:

Schreiben von Objekten ist nur möglich, wenn:


Erzeugen von Subjekten T (z.B. Prozesse):

Weiterhin muss gelten:

Fussnoten

  1. D. Elliott Bell, Leonard J., MITRE Corporation (Hrsg.): Secure Computer Systems: Mathematical Foundations. (PDF) (englisch) 1973 (Stand: 13. März 2008).
  2. D. Elliott Bell, Leonard J., MITRE Corporation (Hrsg.): Secure Computer Systems: Unified Exposition and MULTICS Interpretation. (PDF) (englisch) 1976 (Stand: 13. März 2008).

Siehe auch

Literatur