IL MODELLO DI
BELL-LAPADULA
Università degli Studi “G. D’Annunzio”
Corso di Reti di calcolatori e sicurezza
Prof. Stefano Bistarelli
Stud. Cinzia Piermattei
SOMMARIO
1. Politiche di sicurezza
2. Mandatory access control (MAC)
3. Discretionary access control (DAC)
4. Bell-LaPadula
5. Proprietà
6. Esempi/ Casi
POLITICHE DI SICUREZZA
“quali dati devono essere protetti e da chi o da
che cosa”
DEF : Insiemi di principi e regole per definire i
possibili accessi al sistema
OGGETTI/SOGGETTI
OGGETTI
Una qualunque entità passiva che
necessita di essere protetta (file, pagine di
memoria, segmenti, drive, record, stampanti …)
SOGGETTI
Una qualunque entità attiva che
può manipolare gli oggetti (persone, processi)
MODELLI DI SICUREZZA
“ Specifiche formali che descrivono
l’implementazione di una determinata politica
di sicurezza in modelli ideali”
Esistono due tipi di modelli di sicurezza:
Discretionary Access Control (DAC);
Mandatory Access Control (MAC).
Discretionary Access Control
(DAC)
DEF: Meccanismo attraverso il quale gli utenti possono liberamente
decidere di garantire/revocare l’accesso a determinati
oggetti.
PROPRIETA’:
Gli utenti amministrano i dati che possiedono(concetto di
proprietario);
Il proprietario dei dati può autorizzare (GRANT) altri utenti
all’accesso;
Il proprietario può definire il tipo di accesso da concedere ad
altri (lettura, scrittura, esecuzione);
Accessi selettivi (basati su nome, contenuto, parametri di sistema,
storia, aggregazione dati).
Mandatory Access Control
(MAC)
DEF: meccanismo attraverso il quale le decisioni di accesso sono basate su delle
etichette che contengono informazioni rilevanti circa la sicurezza di un
oggetto.
PROPRIETA’:
Classificazione dei dati (livello di sensibiltà);
Classificazione dei soggetti (autorizzazione);
Classe di sicurezza:
<componente gerarchica, insiemi di categoria>;
Ordinamento (parziale) tra le classi di sicurezza (relazione domina);
I meccanismi di sicurezza devono garantire che tutti i soggetti abbiano
accesso solo ai dati per cui possiedono le autorizzazioni appropriate (regole
soggetti-oggetti );
Non si possono propagare privilegi (GRANT).
Modelli tipici di MAC
Confidentiality (Bell-LaPadula)
Integrity (Biba)
Hybrid
BELL-LAPADULA
Fu proposto da Bell-LaPadula nel 1976 con lo scopo di
rafforzare i controlli ai possibili accessi alle applicazioni militari e
al governo.
Anche chiamato modello a multi-livelli.
Corrisponde alle classificazioni stile-militare.
In queste applicazioni i soggetti e gli oggetti vengono partizionati
in differenti livelli di sicurezza.
Un soggetto può solo accedere agli oggetti a certi livelli
determinati dal loro livello di sicurezza.
Per esempio i seguenti sono due tipici specificazioni di accessi:
“una persona UNCLASSIFIED non può leggere informazioni a
livelli CONFIDENTIAL” e “ informazioni TOP SECRET non
possono essere scritte in files di livello UNCLASSIFIED.
OGGETTI/SOGGETTI
Gli oggetti sono classificati in 4 diversi livelli di sensibilità;
Ogni oggetto può essere associato a uno o più livelli (compartments);
ESEMPIO
Top Secret (TS)
Secret (S)
Confidential (C)
Unclassified (UC)
individuals
Tamara, Thomas
Sally, Samuel
Claire, Clarence
Ulaley, Ursula
documents
Personnel Files
Electronic Mails
Activity Log Files
Telephone Lists
OGGETTI/SOGGETTI
Ad ogni soggetto viene associata una
“CLEARANCE”
“AUTORIZZAZIONE”;
CLEARANCE: Una coppia del tipo <rank,
compartement>, dove:
RANK
max livello di sensibilità
dell’informazione a cui il soggetto ha accesso;
COMPARTEMENT
indica comparti a
cui il soggetto può accedere;
PROPRIETA’ (VERSIONE INTRODUTTIVA)
Se L(S) = ls è l’autorizzazione di sicurezza di un
soggetto S;
Se L(O) = lo è la classificazione di sicurezza di un
oggetto O;
Per ogni classificazione di sicurezza li, i = 0,…, k-1,
li < li+1;
Simple Security Condition:
S può leggere O se e solo se lo<=ls e S ha discrezione
nell’accesso alla lettura di O.
Caso 1!!!
Claire potrebbe accedere ai Personnel Files di
Tamara!!!!!!!
individuals
Top Secret (TS)
Secret (S)
Confidential (C)
Unclassified (UC)
Tamara, Thomas
Sally, Samuel
Claire, Clarence
Ulaley, Ursula
documents
Personnel Files
Electronic Mails
Activity Log Files
Telephone Lists
PROPRIETA’ (VERSIONE INTRODUTTIVA)
*-Property (Star property):
S può scrivere su O se e solo se ls<=lo e S ha
discrezione nell’accesso alla scrittura su O.
TEOREMA BASE DELLA
SICUREZZA (VERSIONE INTRODUTTIVA)
Se  è un sistema con uno stato inziale di
sicurezza 0 ;
Se T è un gruppo di trasformazione di stati;
Se ogni elemento di T conserva la simple
security condition, versione introduttiva, e la
property, versione introduttiva
allora ogni stato i, i ≥ 0, è sicuro.
*-
Categorie e principio del
“Need to Know”
Espandere il modello addizionando un gruppo
di categorie per ogni classificazione di sicurezza.
Ogni categoria descrive una specie di
informazioni.
Queste categorie risultano dal principio del
“need to know”
gli stati in cui i soggetti
non possono leggere gli oggetti a meno che non
è necessario per eseguire determinate funzioni.
ESEMPIO (1)
CATEGORIE
NUC, EUR e US
accesso
INSIEME DI CATEGORIE
Ø, {NUC},
{EUR}, {US}, {NUC,EUR}, {NUC,US},
{EUR,US}, {NUC,EUR,US}.
ESEMPIO (2)
{NUC, EUR, US}
{NUC, EUR}
{NUC, US}
{NUC}
{EUR}
Ø
{EUR, US}
{US}
ESEMPIO (3)
Ogni livello di sicurezza e categoria formano un
LIVELLO DI SICUREZZA (compartement);
Ogni soggetto ha una autorizzazione ad un
determinato livello di sicurezza;
Ogni oggetto ha un livello ad un determinato
livello di sicurezza.
ESEMPIO (4)
William
(SECRET, {EUR})
George
(TOP SECRET, {NUC,US})
Documento
(CONFIDENTIAL, {EUR})
Un soggetto che ha l’accesso agli insiemi di categorie
{NUC,US}, si presume non abbia il bisogno di accedere alla
categoria {EUR}.
DOMINIO (dom)
Un livello di sicurezza (L,C) domina un livello di
sicurezza (L’,C’) se e solo se L’≤ L e C’  C.
(L,C)  dom (L’,C’) quando (L,C) dom (L’,C’) è
falso
ESEMPIO (5)
George
Doc A
Doc B
Doc C
George dom Doc A
CONFIDENTIAL ≤ SECRET e
{NUC}  {NUC, EUR};
George  dom Doc B:
{EUR, US}  {NUC, EUR};
George dom Doc C
SECRET ≤ SECRET e
{EUR}  {NUC, EUR}
( SECRET, {NUC, EUR});
(CONFIDENTIAL, {NUC});
(SECRET, {EUR, US});
(SECRET, {EUR});
PROPRIETA’
Se C(S) è l’insieme di categorie di un soggetto S;
Se C(O) è l’insieme di categorie di un oggetto O;
Simple Security Condition:
S può leggere O se e solo se S dom O e S ha
discrezione nell’accesso alla lettura di O.
Caso 2!!!
Paul
(SECRET, {EUR, US, NUC})
Doc B
(SECRET, {EUR, US})
Doc A
(CONFIDENTIAL, {NUC})
George
(SECRET, {NUC, EUR})
PROPRIETA’
*-Property (Star property):
S può scrivere su O se e solo se O dom S e
S ha discrezione nell’accesso alla scrittura su O.
Doc A dom Paul è falso perchè C (Paul) 
C (Doc A)
TEOREMA BASE DELLA
SICUREZZA
Se  è un sistema con uno stato inziale di
sicurezza 0 ;
Se T è un gruppo di trasformazione di stati;
Se ogni elemento di T conserva la simple
security condition e la *-property
allora ogni stato i, i ≥ 0, è sicuro.
THE END