BLP模型

　　Bell-LaPaclula模型，简称为BLP模型，是D.Elliott Bell和Leonard J.LaPaclula于1973年提出的一种模拟军事安全策略的计算机访问控制模型，它是最早、也是最常用的一种多级访问控制模型,该模型用于保证系统信息的机密性。

　　BLP模型是1个状态机模型，它形式化地定义了系统、系统状态以及系统状态间的转换规则，定义了安全概念和一组安全特性，以便对系统状态和状态转换规则进行限制和约束。 对于一个初始状态安全的系统，经过一系列规则转换都保持安全，那么可以证明该系统是安全的。

　　该模型可有效防止低级用户和进程访问安全级别更高的信息资源。同时，安全级别高的用户和进程也不能向比起安全级别低的用户和进程写入数据。BLP模型基于以下两个规则保障数据的机密性：

　　◇不上读，主体不可读，安全级别高于它的客体；

　　◇不下写，主体不可将信息写入安全级别低于它的客体。

　　BLP模型的安全策略包括两个部分：自主安全策略和强制安全策略。自主安全策略使用一个访问控制矩阵表示，矩阵中的元素表示主体对客体所有允许的访问模式，主体按照在访问矩阵中被授予的对客体的访问权限对客体进行相应的访问。强制安全策略包括简单安全性和术特性，系统对所有的主体和客体都分配了一个访问类属性，包括主体和客体的密级和范畴，系统通过比较主体与客体的访问类属性控制主体对客体的访问。