在信息安全的理论谱系中很少有模型能像Bell-LaPadula模型以下简称BLP那样既承载着计算机科学史上第一个可形式化证明的安全定理又在半个世纪后的今天仍深刻影响着从操作系统内核到云原生平台的访问控制设计。与当下安全行业追逐的零日漏洞、APT检测、AI驱动的威胁狩猎不同BLP所代表的是一条更为底层的思维路径不关心攻击者是谁、用什么手段而是在数学层面证明——某类泄密事件在系统中根本不可能发生。这种构造性安全Constructive Security的思想正是本文试图还原的内核。一、问题的起源分时系统与多级安全的诞生上世纪60年代末至70年代初分时操作系统的商用化进程让一个前所未有的安全困境浮出水面。在此之前不同密级的计算任务是物理隔离的——绝密情报在一台机器上处理公开文件在另一台机器上处理两者之间甚至没有网络连接。分时系统的出现打破了这种隔离一台主机同时运行着数百个进程其中某个进程在处理Top Secret级别的军事情报而另一个进程只被授权访问Unclassified级别的行政文档。操作系统必须在底层保证后者绝无可能窥探到前者的任何字节。这远非给文件设个密码可以解决的问题。传统的自主访问控制Discretionary Access ControlDAC将权限判定权交给资源所有者——文件的主人决定谁能读、谁能写。这一机制存在天然的信任缺陷所有者可能误操作可能被社会工程学攻击诱导也可能本身就是恶意内部人员。一旦权限配置出错系统层面没有任何阻碍。美国国防部及其承包商MITRE意识到军事环境需要的是一套不由任何用户自行支配的系统级强制规则——这就是强制访问控制Mandatory Access ControlMAC的起点。1973年MITRE的研究员David Elliott Bell和Leonard J. LaPadula在报告《Secure Computer Systems: Mathematical Foundations》中首次以形式化方法给出了答案。他们不仅定义了这套规则还用状态机理论证明了只要初始状态安全、转换规则正确系统的所有可达状态都将是安全的。这是信息安全从工程直觉走向数学证明的标志性事件。二、模型的骨架主体、客体与安全级格BLP模型的抽象层次极为简洁共包含三个基础元素。主体Subject是访问动作的发起方通常对应用户进程或系统服务。客体Object是被访问的目标涵盖文件、内存页、数据库记录、消息队列等一切承载信息的实体。访问操作Access Operation构成了主体与客体之间的桥梁典型操作包括读read、写write、追加append和执行execute。每个主体和客体都被赋予一个安全标签。这个标签并非简单的线性数值而是一个二维结构由密级Classification和范畴Category组合而成。密级是一个全序集典型取值为绝密Top Secret机密Secret秘密Confidential公开Unclassified。范畴是一个集合代表信息所属的领域分区——例如{核计划东亚事务网络战}。安全标签之间的比较通过支配关系Dominance完成。主体s能否访问客体o取决于s的安全标签是否支配o的安全标签——即s的密级不低于o的密级且s的范畴完全涵盖o的范畴。这种偏序结构在数学上构成一个格Lattice这也是多级安全中级之所以能形式化的根基。为什么需要范畴因为即便两个实体拥有相同的密级也未必应该互通信息。一位拥有机密密级、被分配到核计划范畴的分析师理论上不应访问同样标为机密但属于东亚事务范畴的文件。范畴机制实现了军事安全中的需知原则Need-to-Know——有密级只是必要条件有范畴归属才构成充分条件。三、三条铁律ss属性、星属性和ds属性在安全标签体系之上BLP模型设定了三条核心规则。理解这三条规则的内在逻辑就理解了BLP模型的全部精髓。1.第一条简单安全属性Simple Security Property简称ss-property。这是一条关于读的约束主体s可以读取客体o当且仅当s的安全标签支配o的安全标签。换句话说s的密级必须不低于o且s的范畴必须完全涵盖o的范畴。通俗的表述是不向上读——任何人都不能抬头去偷看比自己密级更高的信息。这条规则与直觉高度吻合机密文件不该被公开权限的人看到天经地义。2.第二条星属性*-Property又称Star Property。这是一条关于写的约束主体s可以向客体o写入信息当且仅当o的安全标签支配s的安全标签。换言之s只能向安全标签等于或高于自己的客体执行写操作。不向下写——这条规则不如不向上读那么直观但它恰恰是BLP模型最具原创性的设计。考虑一个场景一个拥有绝密密级的主体读取了一份绝密文件然后将内容摘要写入一个公开目录。即便系统忠实地执行了不向上读泄密依然在合法写操作的外衣下悄然完成。高密级信息通过剪切-粘贴实现了向下流动。星属性堵住了这条路。一旦某个主体读取过高级别信息它的所有输出——包括新建的文件、写入的日志、发出的系统消息——都会被强制标记为不低于其所读信息的密级。信息因此被锁定在一个单向流动的通道中只能从低密级向高密级走永远无法回流。读到这里细心的读者可能已经发现BLP的规则方向在读和写上恰好相反——能向下读不能向上读能向上写不能向下写。两股力量合在一起构成了一条不可逆的信息流约束。这是模型数学优雅性的来源。3.第三条自主安全属性Discretionary Security Property简称ds-property。这条规则在MAC的强制底子上叠加了一层传统的DAC控制即使安全标签判定允许访问还需检查访问控制矩阵中是否已显式授权该主体对该客体的该操作。ds-property赋予了系统一定的灵活性——一个拥有机密密级的主体未必能访问所有机密客体还要看该客体的所有者是否在访问控制列表中授予了权限。这相当于在制度之上叠加了一道手续两层审查缺一不可。四、基本安全定理状态机框架下的归纳证明如果说三条规则定义了BLP的静态骨架那么基本安全定理Basic Security Theorem就定义了它的动态灵魂。BLP将系统建模为一个有限状态机。任意时刻t系统处于一个状态v (b, M, f)其中b表示当前所有正在进行的访问谁在读谁、谁在写谁M是访问控制矩阵f是安全标签分配函数每个主体和客体的标签是什么。系统的运行被抽象为状态转换序列。用户发出请求——打开文件、写入数据、创建进程、修改标签——系统根据一组预定义的转换规则决定是否允许该请求。允许则系统迁移到新状态拒绝则停留在当前状态。BLP的转换规则共包括11条涵盖了对客体和主体的获取、释放、创建、删除等各类场景。每一条规则都设计为安全保持的——如果转换前的状态满足ss属性、星属性和ds属性那么转换后的状态也必然满足这三个属性。基于这一设计基本安全定理的证明仅需一步归纳系统初始状态v₀是安全的通过初始化过程保证每一步状态转换都保持了安全性由11条规则的设计保证因此通过任意长度的转换序列到达的任意状态都是安全的。这个证明的结构与数学归纳法完全同构。它的工程意义并不在于安全性从此一劳永逸而在于第一次给了安全工程师一个可被审计、可被验证的断言——不是我们觉得系统很安全而是在给定的前提条件下我们可以从逻辑上排除某一类泄密路径。五、镜像的另一面Biba完整性模型理解BLP的一个高效方式是理解它的对称面。BLP的目标是机密性Confidentiality——高密级信息不能流向低密级区域。但安全还有另一个同等重要的属性完整性Integrity——低可信度的信息不能污染高可信度的决策。BLP模型对完整性完全无感。1975年同样是MITRE的研究员Kenneth J. Biba提出了与BLP严格对称的完整性模型。在Biba模型中安全标签不表示密级而表示完整性级别或可信度级别——越高级别代表数据越不可篡改、来源越可信。Biba的两条核心规则恰好是BLP的镜像翻转第一不向下读No Read Down主体不能读取完整性级别低于自己的客体。这防止低可信度的数据进入高可信度主体的视野避免其做出基于虚假信息的决策。第二不向上写No Write Up主体不能向完整性级别高于自己的客体写入数据。这防止低可靠性的主体污染上游数据源。两条规则合在一起信息流向正好与BLP相反——数据只能从高完整性区域向低完整性区域扩散低级区域永远无法感染高级区域。BLP与Biba的组合使用才是多级安全理论的完整拼图。一个同时加载了BLP和Biba策略的系统其信息流在两个维度上都被严格约束——既不泄密也不污染。当然代价也显而易见合法通信的路径变得极为狭窄工程设计上需要大量的可信主体Trusted Subject例外来保障基本系统功能。六、从技术论文到产业标准BLP的四十年落地之路一个理论模型的成败最终取决于它能否嵌入真实的工程系统。1983年美国国防部发布了可信计算机系统评估准则Trusted Computer System Evaluation CriteriaTCSEC因其橙色封面而被称为橙皮书。这份文件定义了从D最低到A1最高共七个安全评估等级。其中B1级标记安全保护及以上的所有等级均要求系统内核实现一套符合BLP模型形式定义的强制访问控制。这意味着任何希望获得B1级以上认证的操作系统——包括当时的多级安全Unix变体如KSOS、PSOS、安全数据库管理系统乃至后来获得A1认证的SCOMP——其内核的访问控制逻辑在数学上必须等价于BLP模型。橙皮书统治安全评估领域的十多年间BLP从一个MITRE公司内部的学术报告变成了军事和情报系统的事实标准。代码中实现的那几条不向上读、不向下写的判断语句承载的是形式化证明的数学重量。1999年橙皮书被通用准则Common CriteriaCC取代BLP作为强制性要求退出了主流评估体系。但其思想并未消退而是以更灵活的方式嵌入后续工程的底层。Linux安全模块Linux Security ModulesLSM生态中SELinux提供了MLS多级安全策略引擎。尽管SELinux在日常实践中更依赖类型增强Type EnforcementTE来实现细粒度的域隔离但其MLS组件的规则逻辑——对每个主体和客体标注安全上下文依据支配关系判定读写权限——几乎可以看作是BLP的一次标准化工程复现。在同一生态中SMACKSimplified Mandatory Access Control Kernel也采用了类似的标记式强制访问控制架构。在中国网络安全等级保护制度的最高级别技术规范中BLP的多级访问控制思想同样是核心参考框架之一。七、缺口与演进BLP模型的工程局限正视BLP的局限比歌颂它的成就更有现实意义。因为后续数十年的安全模型研究几乎全都生长在这几个缺口之上。响应盲区。不向下写意味着高密级主体不能向低密级主体发送任何信息——包括确认信号。如果一个低密级进程向高密级服务发起RPC调用按照BLP规则高密级服务处理完毕后无法返回响应。调用方将永久阻塞不知道请求是成功了、失败了还是根本没送达。实际系统中必须引入可信通道或降级审核机制来绕过这个理论约束。隐蔽信道无能为力。BLP拦截的是合法的信息流动——通过正常的读/写系统调用传播的数据。但信息还可以通过非预期途径泄露高密级客体的文件名是否存在于目录列表、共享资源的锁竞争响应时间、磁盘臂的寻道延迟模式……这些被称为隐蔽信道Covert Channel的现象在BLP框架下完全不设防。隐蔽信道的研究后来独立发展为安全理论的一个完整分支至今没有完美的工程解决方案。标签的静态假设。BLP的强平静性Strong Tranquility假设要求主体和客体的安全标签在系统运行期间保持不变。真实世界的动态性显然不符——一个进程上午在处理公开报表下午被授权访问机密数据库这是再正常不过的业务切换。后续变种引入了弱平静性Weak Tranquility允许标签在特定约束下变更但安全性证明的复杂度随之陡增。对可信主体的过度依赖。为了解决星属性带来的进程通信困境BLP引入了可信主体Trusted Subject概念——被标记为可信的进程可以绕过星属性的写约束。但可信是一个过于宽泛的豁免。一旦可信主体被攻陷整个信息流约束体系就随之崩塌。后续研究——包括Bell本人提出的改进版——持续致力于将可信主体的权限范围压缩到最小可行边界。结语构造性安全的早期范本当人们谈论网络安全时叙事重心往往落在攻击面上漏洞、利用链、横向移动、数据外泄。这些讨论的默认前提是——攻击者总是能找到方法进来我们要做的是检测和响应得够快。BLP模型代表的是另一种前提如果我们在系统设计阶段就用数学语言排除了某一类信息流动那么针对这类流动的一切攻击在逻辑上根本无从成立。
强制访问控制的数学基石:深度拆解BLP机密性模型的设计哲学与工程遗产
在信息安全的理论谱系中很少有模型能像Bell-LaPadula模型以下简称BLP那样既承载着计算机科学史上第一个可形式化证明的安全定理又在半个世纪后的今天仍深刻影响着从操作系统内核到云原生平台的访问控制设计。与当下安全行业追逐的零日漏洞、APT检测、AI驱动的威胁狩猎不同BLP所代表的是一条更为底层的思维路径不关心攻击者是谁、用什么手段而是在数学层面证明——某类泄密事件在系统中根本不可能发生。这种构造性安全Constructive Security的思想正是本文试图还原的内核。一、问题的起源分时系统与多级安全的诞生上世纪60年代末至70年代初分时操作系统的商用化进程让一个前所未有的安全困境浮出水面。在此之前不同密级的计算任务是物理隔离的——绝密情报在一台机器上处理公开文件在另一台机器上处理两者之间甚至没有网络连接。分时系统的出现打破了这种隔离一台主机同时运行着数百个进程其中某个进程在处理Top Secret级别的军事情报而另一个进程只被授权访问Unclassified级别的行政文档。操作系统必须在底层保证后者绝无可能窥探到前者的任何字节。这远非给文件设个密码可以解决的问题。传统的自主访问控制Discretionary Access ControlDAC将权限判定权交给资源所有者——文件的主人决定谁能读、谁能写。这一机制存在天然的信任缺陷所有者可能误操作可能被社会工程学攻击诱导也可能本身就是恶意内部人员。一旦权限配置出错系统层面没有任何阻碍。美国国防部及其承包商MITRE意识到军事环境需要的是一套不由任何用户自行支配的系统级强制规则——这就是强制访问控制Mandatory Access ControlMAC的起点。1973年MITRE的研究员David Elliott Bell和Leonard J. LaPadula在报告《Secure Computer Systems: Mathematical Foundations》中首次以形式化方法给出了答案。他们不仅定义了这套规则还用状态机理论证明了只要初始状态安全、转换规则正确系统的所有可达状态都将是安全的。这是信息安全从工程直觉走向数学证明的标志性事件。二、模型的骨架主体、客体与安全级格BLP模型的抽象层次极为简洁共包含三个基础元素。主体Subject是访问动作的发起方通常对应用户进程或系统服务。客体Object是被访问的目标涵盖文件、内存页、数据库记录、消息队列等一切承载信息的实体。访问操作Access Operation构成了主体与客体之间的桥梁典型操作包括读read、写write、追加append和执行execute。每个主体和客体都被赋予一个安全标签。这个标签并非简单的线性数值而是一个二维结构由密级Classification和范畴Category组合而成。密级是一个全序集典型取值为绝密Top Secret机密Secret秘密Confidential公开Unclassified。范畴是一个集合代表信息所属的领域分区——例如{核计划东亚事务网络战}。安全标签之间的比较通过支配关系Dominance完成。主体s能否访问客体o取决于s的安全标签是否支配o的安全标签——即s的密级不低于o的密级且s的范畴完全涵盖o的范畴。这种偏序结构在数学上构成一个格Lattice这也是多级安全中级之所以能形式化的根基。为什么需要范畴因为即便两个实体拥有相同的密级也未必应该互通信息。一位拥有机密密级、被分配到核计划范畴的分析师理论上不应访问同样标为机密但属于东亚事务范畴的文件。范畴机制实现了军事安全中的需知原则Need-to-Know——有密级只是必要条件有范畴归属才构成充分条件。三、三条铁律ss属性、星属性和ds属性在安全标签体系之上BLP模型设定了三条核心规则。理解这三条规则的内在逻辑就理解了BLP模型的全部精髓。1.第一条简单安全属性Simple Security Property简称ss-property。这是一条关于读的约束主体s可以读取客体o当且仅当s的安全标签支配o的安全标签。换句话说s的密级必须不低于o且s的范畴必须完全涵盖o的范畴。通俗的表述是不向上读——任何人都不能抬头去偷看比自己密级更高的信息。这条规则与直觉高度吻合机密文件不该被公开权限的人看到天经地义。2.第二条星属性*-Property又称Star Property。这是一条关于写的约束主体s可以向客体o写入信息当且仅当o的安全标签支配s的安全标签。换言之s只能向安全标签等于或高于自己的客体执行写操作。不向下写——这条规则不如不向上读那么直观但它恰恰是BLP模型最具原创性的设计。考虑一个场景一个拥有绝密密级的主体读取了一份绝密文件然后将内容摘要写入一个公开目录。即便系统忠实地执行了不向上读泄密依然在合法写操作的外衣下悄然完成。高密级信息通过剪切-粘贴实现了向下流动。星属性堵住了这条路。一旦某个主体读取过高级别信息它的所有输出——包括新建的文件、写入的日志、发出的系统消息——都会被强制标记为不低于其所读信息的密级。信息因此被锁定在一个单向流动的通道中只能从低密级向高密级走永远无法回流。读到这里细心的读者可能已经发现BLP的规则方向在读和写上恰好相反——能向下读不能向上读能向上写不能向下写。两股力量合在一起构成了一条不可逆的信息流约束。这是模型数学优雅性的来源。3.第三条自主安全属性Discretionary Security Property简称ds-property。这条规则在MAC的强制底子上叠加了一层传统的DAC控制即使安全标签判定允许访问还需检查访问控制矩阵中是否已显式授权该主体对该客体的该操作。ds-property赋予了系统一定的灵活性——一个拥有机密密级的主体未必能访问所有机密客体还要看该客体的所有者是否在访问控制列表中授予了权限。这相当于在制度之上叠加了一道手续两层审查缺一不可。四、基本安全定理状态机框架下的归纳证明如果说三条规则定义了BLP的静态骨架那么基本安全定理Basic Security Theorem就定义了它的动态灵魂。BLP将系统建模为一个有限状态机。任意时刻t系统处于一个状态v (b, M, f)其中b表示当前所有正在进行的访问谁在读谁、谁在写谁M是访问控制矩阵f是安全标签分配函数每个主体和客体的标签是什么。系统的运行被抽象为状态转换序列。用户发出请求——打开文件、写入数据、创建进程、修改标签——系统根据一组预定义的转换规则决定是否允许该请求。允许则系统迁移到新状态拒绝则停留在当前状态。BLP的转换规则共包括11条涵盖了对客体和主体的获取、释放、创建、删除等各类场景。每一条规则都设计为安全保持的——如果转换前的状态满足ss属性、星属性和ds属性那么转换后的状态也必然满足这三个属性。基于这一设计基本安全定理的证明仅需一步归纳系统初始状态v₀是安全的通过初始化过程保证每一步状态转换都保持了安全性由11条规则的设计保证因此通过任意长度的转换序列到达的任意状态都是安全的。这个证明的结构与数学归纳法完全同构。它的工程意义并不在于安全性从此一劳永逸而在于第一次给了安全工程师一个可被审计、可被验证的断言——不是我们觉得系统很安全而是在给定的前提条件下我们可以从逻辑上排除某一类泄密路径。五、镜像的另一面Biba完整性模型理解BLP的一个高效方式是理解它的对称面。BLP的目标是机密性Confidentiality——高密级信息不能流向低密级区域。但安全还有另一个同等重要的属性完整性Integrity——低可信度的信息不能污染高可信度的决策。BLP模型对完整性完全无感。1975年同样是MITRE的研究员Kenneth J. Biba提出了与BLP严格对称的完整性模型。在Biba模型中安全标签不表示密级而表示完整性级别或可信度级别——越高级别代表数据越不可篡改、来源越可信。Biba的两条核心规则恰好是BLP的镜像翻转第一不向下读No Read Down主体不能读取完整性级别低于自己的客体。这防止低可信度的数据进入高可信度主体的视野避免其做出基于虚假信息的决策。第二不向上写No Write Up主体不能向完整性级别高于自己的客体写入数据。这防止低可靠性的主体污染上游数据源。两条规则合在一起信息流向正好与BLP相反——数据只能从高完整性区域向低完整性区域扩散低级区域永远无法感染高级区域。BLP与Biba的组合使用才是多级安全理论的完整拼图。一个同时加载了BLP和Biba策略的系统其信息流在两个维度上都被严格约束——既不泄密也不污染。当然代价也显而易见合法通信的路径变得极为狭窄工程设计上需要大量的可信主体Trusted Subject例外来保障基本系统功能。六、从技术论文到产业标准BLP的四十年落地之路一个理论模型的成败最终取决于它能否嵌入真实的工程系统。1983年美国国防部发布了可信计算机系统评估准则Trusted Computer System Evaluation CriteriaTCSEC因其橙色封面而被称为橙皮书。这份文件定义了从D最低到A1最高共七个安全评估等级。其中B1级标记安全保护及以上的所有等级均要求系统内核实现一套符合BLP模型形式定义的强制访问控制。这意味着任何希望获得B1级以上认证的操作系统——包括当时的多级安全Unix变体如KSOS、PSOS、安全数据库管理系统乃至后来获得A1认证的SCOMP——其内核的访问控制逻辑在数学上必须等价于BLP模型。橙皮书统治安全评估领域的十多年间BLP从一个MITRE公司内部的学术报告变成了军事和情报系统的事实标准。代码中实现的那几条不向上读、不向下写的判断语句承载的是形式化证明的数学重量。1999年橙皮书被通用准则Common CriteriaCC取代BLP作为强制性要求退出了主流评估体系。但其思想并未消退而是以更灵活的方式嵌入后续工程的底层。Linux安全模块Linux Security ModulesLSM生态中SELinux提供了MLS多级安全策略引擎。尽管SELinux在日常实践中更依赖类型增强Type EnforcementTE来实现细粒度的域隔离但其MLS组件的规则逻辑——对每个主体和客体标注安全上下文依据支配关系判定读写权限——几乎可以看作是BLP的一次标准化工程复现。在同一生态中SMACKSimplified Mandatory Access Control Kernel也采用了类似的标记式强制访问控制架构。在中国网络安全等级保护制度的最高级别技术规范中BLP的多级访问控制思想同样是核心参考框架之一。七、缺口与演进BLP模型的工程局限正视BLP的局限比歌颂它的成就更有现实意义。因为后续数十年的安全模型研究几乎全都生长在这几个缺口之上。响应盲区。不向下写意味着高密级主体不能向低密级主体发送任何信息——包括确认信号。如果一个低密级进程向高密级服务发起RPC调用按照BLP规则高密级服务处理完毕后无法返回响应。调用方将永久阻塞不知道请求是成功了、失败了还是根本没送达。实际系统中必须引入可信通道或降级审核机制来绕过这个理论约束。隐蔽信道无能为力。BLP拦截的是合法的信息流动——通过正常的读/写系统调用传播的数据。但信息还可以通过非预期途径泄露高密级客体的文件名是否存在于目录列表、共享资源的锁竞争响应时间、磁盘臂的寻道延迟模式……这些被称为隐蔽信道Covert Channel的现象在BLP框架下完全不设防。隐蔽信道的研究后来独立发展为安全理论的一个完整分支至今没有完美的工程解决方案。标签的静态假设。BLP的强平静性Strong Tranquility假设要求主体和客体的安全标签在系统运行期间保持不变。真实世界的动态性显然不符——一个进程上午在处理公开报表下午被授权访问机密数据库这是再正常不过的业务切换。后续变种引入了弱平静性Weak Tranquility允许标签在特定约束下变更但安全性证明的复杂度随之陡增。对可信主体的过度依赖。为了解决星属性带来的进程通信困境BLP引入了可信主体Trusted Subject概念——被标记为可信的进程可以绕过星属性的写约束。但可信是一个过于宽泛的豁免。一旦可信主体被攻陷整个信息流约束体系就随之崩塌。后续研究——包括Bell本人提出的改进版——持续致力于将可信主体的权限范围压缩到最小可行边界。结语构造性安全的早期范本当人们谈论网络安全时叙事重心往往落在攻击面上漏洞、利用链、横向移动、数据外泄。这些讨论的默认前提是——攻击者总是能找到方法进来我们要做的是检测和响应得够快。BLP模型代表的是另一种前提如果我们在系统设计阶段就用数学语言排除了某一类信息流动那么针对这类流动的一切攻击在逻辑上根本无从成立。
