【网络与系统安全】强制访问控制——Biba模型
一、模型定义与目标
- 提出背景:1977年由Ken Biba提出,是首个完整性安全模型,与BLP模型形成对偶(BLP关注机密性,Biba关注完整性)。
- 核心目标:防止低完整性信息污染高完整性信息,避免未授权的篡改或破坏。
二、关键概念
-
完整性级别(Integrity Level)
- 为主体(用户/进程)和客体(文件/数据)分配的等级,用于衡量信息的可信度和重要性。
- 例如:完整(High Integrity)> 中级完整(Medium Integrity)> 低级完整(Low Integrity)> 无保护(No Integrity)。
- 特性:完整性级别越高,信息可信度越高,越需保护其不被篡改。
-
主体与客体
- 主体:主动实体(如用户、进程),其完整性级别代表处理信息的可信度。
- 客体:被动实体(如文件、数据库),其完整性级别代表信息的质量或重要性。
三、安全策略(核心规则)
- 严格完整性策略(BLP对偶规则)
- 禁止下读(No Read Down):主体只能读取完整性级别≥自身的客体(防止低可信主体读取高可信信息,避免污染)。
- 禁止上写(No Write Up):主体只能向完整性级别≤自身的客体写入(防止低可信主体修改高可信信息)。
- 例:中级完整级主体可读取同级或高级完整级客体,但只能向同级或低级完整级客体写入。
- 其他策略(扩展模型)
- 主体低水标策略:主体读取低完整性客体后,自身完整性级别降为客体级别(防止主体因依赖低可信信息而被降级)。
- 客体低水标策略:主体向高完整性客体写入时,客体完整性级别降为主体级别(限制低可信主体对高可信客体的污染)。
- 低水标完整性审计策略:任意读写,写完主客体均降级。
- 环策略:允许主体读取任意级别客体,但写入仍需满足“向上写”(适用于信任主体能正确处理低级别信息的场景)。
| Biba强制访问策略 | 具体要求 |
|---|---|
| 严格完整性策略 | 禁止下读,禁止上写 |
| 主体低水标策略 | 禁止上写,任意读,读完主体降级 |
| 客体低水标策略 | 禁止下读,任意写,写完客体降级 |
| 低水标完整性审计策略 | 任意读写,读写后主客体降级 |
| 环策略 | 禁止上写,任意读 |
四、与BLP模型的对比
| 维度 | BLP模型(机密性) | Biba模型(完整性) |
|---|---|---|
| 核心目标 | 防止高密级信息流向低密级主体(保密) | 防止低完整性信息污染高完整性客体(防篡改) |
| 访问规则 | 不上读(高密级信息不可读)、不下写(低密级不可写高) | 不下读(防止污染高质量主体)、不上写(防止污染高质量客体) |
| 信息流向控制 | 单向禁止高→低(机密性保护) | 单向禁止低→高(完整性保护) |
与其他模型结合实现更全面的安全防护。