Suscríbete a DeepL Pro para poder traducir archivos de mayor tamaño.
Más información disponible en www.DeepL.com/pro.
El modelo de seguridad informática de Bell-
LaPadula representado como un caso
especial del modelo de Harrison-Ruzzo-
Ullman
Paul A. Pittelli
RESUMEN
En la actualidad, la mayoría de los modelos de seguridad
informática se clasifican en tres tipos: control de acceso, flujo
de información y no interferencia. En el ámbito del control de
acceso se sitúa el modelo clásico Bell-LaPadula. Un modelo BLP
consiste en un conjunto de sujetos y objetos, tres funciones de
nivel de seguridad y una matriz de acceso discrecional junto
con un conjunto de reglas utilizadas para manipular el estado
actual del modelo. En este modelo, la seguridad depende de la
satisfacción de tres propiedades: seguridad simple, acceso
discrecional y propiedad *. Un modelo HRU consiste en una
matriz de acceso y un conjunto finito de comandos que actúan
como transformaciones de la matriz. Aquí la seguridad se
determina buscando la existencia de un derecho de acceso en
una celda específica de la matriz. Definimos un modelo HRU
específico (denominado modelo Bobo) y establecemos una
correspondencia entre los comandos Bobo y las reglas BLP,
también entre los estados Bobo y BLP. Además, observamos
que esta correspondencia preserva la seguridad en el hecho de
que un triple acceso BLP es seguro si y sólo si ese acceso está
contenido en una celda específica de la matriz de acceso
Bobo.
Introducción
El objetivo de esta nota es demostrar que el modelo Bell-
LaPadula para el control de acceso no es más que un caso
especial del no tan conocido modelo Harrison-Ruzzo-Ullman.
El modelo HRU consiste en una matriz de acceso junto con
un conjunto finito de comandos que se utilizan para
manipular la matriz. Para desarrollar un modelo equivalente al
de BLP, necesitamos presentar comandos que sean
"idénticos" a las reglas de BLP.
Antes de empezar a definir los comandos, primero debemos
mostrar una correspondencia entre los "sujetos" y Hobjetos" en
el modelo BLP y los Hsujetos" y "objetos" en el entorno HRU.
La razón de las citas anteriores es que sujetos y objetos son
conjuntos disjuntos en BLP, mientras que el conjunto de sujetos
está contenido en el conjunto de objetos en HRU. Esta
distinción, aunque aparentemente pequeña, merece ser
recordada. Sin embargo, un factor clave del modelo BLP es el
uso de las funciones fs,fc,y fo. Estas funciones asocian un valor
de seguridad a un sujeto u objeto, lo que permite comparar
sujetos con objetos.
El párrafo anterior indica algunas de las diferencias que
debemos tener en cuenta al relacionar BLP con HRU. El
concepto principal de este nuevo modelo es la noción de
sujeto (objeto) representado por un conjunto de entidades.
Definir un sujeto como un conjunto de
En concreto, supongamos que tenemos un modelo BLP que
consta de las siguientes entidades;
E = {s;: i= 1,2,...,k}-- conjunto de sujetos
0 = {o j = 1,2,...,n} -- conjunto de objetos; recuerde En O =
0
L = {Ii: t=0,1,...,T} -conjunto de valores de seguridad que
forman un entramado bajo la ordenación parcial !!>
denominada relación de dominancia. Sin pérdida de
generalidad, lo e IT denotan el límite superior mínimo de
L y el límite inferior máximo de L, respectivamente.
fs:E => L -- función que proporciona el nivel de
seguridad máximo para un sujeto.
fc:E => L -- función que proporciona el nivel de seguridad
actual de un sujeto.
fo:O => L -- función que proporciona el valor de
seguridad de un objeto.
R = {append,write,read,execute}-- conjunto de derechos de
acceso.
M = matriz k x n con m;i R que representa el conjunto de
derechos de acceso discrecionales que los sujetos; tienen
al objeto <>.i-
A continuación mostraremos cómo incorporar el
modelo BLP a un entorno HRU. En primer lugar, definiremos
los siguientes componentes de un modelo HRU:
S = {s;lt: s; e E y t e STJ U {solT}.Correspondiente a cada
sujeto BLP Si hay un subconjunto S; deS, donde 81 = {s;li: t
e STJ, que representa s; junto con todos los valores de
seguridad permitidos de s;. Es decir {Ii: t e STJ = {It e L:
fs(s;) !!> IJ. Formalmente, los elementos de S; proceden del
producto cruzado
espacio E x 0, pero para facilitar la notación escribiremos
los elementos como s;lt. Así, Silt denotará un sujeto HRU.
Además, reservamos el sujeto solT para que sea un sistema
sujeto. Así pues, So = {solT} y STo = {T}. El propósito de
solT es permitir que el sistema sepa en qué nivel se
clasifica actualmente un objeto, como se formalizará más
adelante.
0 =SU O donde O = {<>jiu: Oj e O y u e
OTj}.Relacionamos a cada objeto Oj un conjunto de valores
{lu: u e OTj} que1 1 representa todos los valores de seguridad
que podría asumir Oj. Es decir{Ju: u e OTj} = {Jue L: lu !!>
fo(<>j)}.
A = {activo,propio,r,a,w,e}conjunto de derechos de acceso
genéricos.
P = (P[s,o]), matriz p x (p+q) donde P[s,o] A para s e
S y o e 0. Aquí
p= ±I STi I yq = iI OT1 I
sub-sujetos nos permite implementar las capacidades multinivel i=O J=l
de un sujeto BLP en una matriz de acceso. Del mismo modo, un Pis denominada simplemente matriz de acceso.
objeto visto como un conjunto permite utilizar un comando de
actualización.

118
 Operaciones primitivas: columnas correspondientes a los miembros de OTj. Las
celdas de cada submatriz están todas vacías.
En el modelo BLP, las reglas permiten la creación y
(2) op = suprimir objeto Oj
eliminación de objetos, así como la inserción y eliminación de
un derecho de acceso de una celda de la matriz de acceso M. En Esta operación elimina de la matriz P todas aquellas
el modelo HRU existen contrapartidas de estas acciones que se submatrices Pij para O s i s k. Recordemos que k es la
denominan cardinalidad deS, el conjunto de sujetosBLP.
operaciones primitivas. Debido a nuestro ejemplo particular hay
una operación adicional: borrar un subconjunto propio del (3) op = suprimir objetos ojlu
conjunto Oj = Esta operación elimina un subconjunto de columnas de cada
{ojlu: u e OTj}. Esta última operación primitiva proporcionará matriz Pij, O s i s k, concretamente todas aquellas columnas
los medios para implementar una orden de actualización. correspondientes al aceite donde l f lu.
Dado el estado del sistema (S,O,P) definimos una operación (4) op = introducir x en P[Si,ojlul
primitiva op como una función op:(S,O,P) (S*,O*,P*) donde:
Esta operación inserta x en un subconjunto de
(1) op = crear objeto Ojlu, posiciones de la matriz Pij definido por los distintos
dondeOi/O. Tenemos por ahora 1>-lu; valores dex.
s- = s, o- = 0 U{ojl}, (5) op = borrar x de P[ ,ojlul
P*[s,o] = P[s,o] para todo (s,o) e S x 0 Esta operación elimina x de todas las entradas de las
columnas de Pij correspondientes a l en las que lu ;I>- l.
P*[s,<>jl] = 0 para todo s e S.
(2) op = borrar objeto Oj,
donde Oj;; 0 \ S. Tenemos para todo I e Comandos:
L; S* = S,O* = O{ojl}, Un comando HRU es simplemente un condicional IF
(expresión 1) THEN (expresión 2) donde la expresión 1 es una
P*[s,o] = P[s,o] para todo (s,o) e S x O*. función booleana y la expresión 2 es una secuencia de
(3) op = eliminar objetos <>jlu, operaciones primitivas. Para aplicar el modelo BLP en un
entorno HRU, vamos a
donde <>jlu e 0_ \ S. Tenemos para todo l '/, utilice los siguientes comandos. Para facilitar la notación
lu, S* = S,O* = O{ojl}, dejemos que S, =
sujeto solicitante y x un miembro del conjunto {r,a,w,e}.
P*[s,oI = P[s,oI para todo (s,ci) e S x O*.
(1) Comando GIVE(S,,Si,x,ojlul
(4) op = introduce x en P[Si,ojlul,
IFown e P[s,lt,Ojlul para
donde x e A, !;; S, y Ojlu e O \ S. Tenemos para todo !,It
cualquier lt, y active e
con
P[solT,o}ul
lt ;1,- l si x=r
ENTONCES introduce x en P[Si,OjlTl-
lt = l s x= w (2) Comando RESCIND(S,, ,x,ojlu)
;1,- i IF own e P[srlt,O}ul for any lt
lu
tierra l ;1,- lt s x=a THEN delete x from P[Si,<>jlul-
i
(3) Comando GENERATE(S,,o}ul
lt = lT s x = activo
IF TRUE
s- = s,o- = o, i
ENTONCES crea el objeto Ojlu,
0 s x= eo
P*[s,o] = P[s,o] para todo (s,o)* introduce activo en
i propio P[So,<>jlul, introduce
(s;lt,Ojl) P*[silt,Ojll = P[silt,Ojll U {x}. propio en P[Sr,<>jlTl-
(5) op = borrar x de P[Si,Ojlul, (4) Comando DESTROY(S,,ojlu)
donde x e A. Tenemos para todo l,lt con lu ;I>- l, IF own e P[s,lt,Ojlul para algún lt
s- = s,o- = o, THEN delete object Oj-
P*[s,o] = P[s,o}para todo (s,o)* (5) Comando UPGRADE(Sr,Oj,llJo,lu,l
(limo,<>jl) P*[limo,Ojll = P[limo,Ojl] IFown e P[srlt,O}llol para algún lt,
\{x}. y active e P[solT,ojlllol
Como ayuda para comprender los efectos de las ENTONCES borre los objetos o}u,,
operaciones primitivas sobre la matriz P, es útil considerar que entrar activo en P[So,Ojlu1l.
corresponde a cada par sujeto,objeto (si,ojl una submatriz Pij Nota: En el resto de este documento, los conjuntos S, 0, la matriz
cuyas filas están indexadas por STi y cuyas columnas están de acceso P y los cinco comandos definidos anteriormente
indexadas por OTj. Las consecuencias de aplicar las operaciones conformarán lo que se denominará el modelo Bobo.
primitivas pueden resumirse como sigue:
(1) op = crear objeto Ojlu
Esta operación crea un conjunto de matrices {Pif o :s i :s n}, Equivalencia con BLP:
donde P;j tiene filas correspondientes a elementos de ST; y
El método que utilizaremos para exhibir una
equivalencia entre los modelos BLP y Bobo es un proceso
doble Fir,t probaremos un teorema que mostrará cada estado
de un BJ.I'
119
es alcanzable por el modelo Bobo. En segundo lugar, se
establecerá una correspondencia entre las transiciones de
estado de los dos modelos simplemente enumerando cada
transición de estado BLP junto con su transición de estado
Bobo homóloga.
Además de mostrar que cada estado BLP es alcanzable
por el modelo Bobo, el teorema siguiente ilustra cómo
identificar el conjunto BLP de triples de acceso seguro en el
entorno HRU.
f
Una de las hipótesis del teorema es una suposición sobre la
matriz de acceso inicial po. Suponemos que para Os si k ;
1 s j s n; t e ST;; u e OTi;
{activo} si s. = s y l = {. (o .)
. ' 0 u
P°rs.l ,o .l ]
I1 JU
= {own} ifs.creat,edo.
I J
{En caso contrario
Supongamos que en el modelo BLP los sujetos crean el objeto
Oj en el nivel fo(<>j) = lu, En el modelo Bobo esto se consigue
emitiendo el comando GENERATE(S;,ojlul. Al ejecutar el
comando vemos que las matrices sul;,Paj están todas vacías
excepto cuando a = i en la que la matriz P;j contiene {own} en
cada celda. También hay sólo una entrada en Poj que no está
vacía y es PO[so!T,o/0 (oj)l = {active}. Así vemos que si el
sistema sabe quién creó cada objeto entonces podemos generar la
matriz inicial po mediante una secuencia de comandos
GENERATE. Por lo tanto, nuestra suposición sobre la matriz po
puede hacerse sin pérdida de generalidad.
Teorema: Sea M,f un estado de un modelo BLP con sujetos
{s1,s2,...,sm} y objetos {01,02,.. ,,on}, Sea J3 el conjunto de todas
las posibles triplas seguras (s,o,x) completamente determinadas por
Mand f. Defina una matriz de acceso Bobo PO como, para Os es
k;l s sj n ;
t e ST;; u e OTi;
{activo} ifs,= s0yl,. = f0(o)
P0
[s.l ,o .l I= {propio} si s creado o
I 1 JU I J
{
{} de lo
contrario
Entonces existe una secuencia de órdenes c1,c2,...,,ck tal que
(SO,QO,po)=>(Sl,O1,Pl)=>... =>(Sk,Qk,Pk) y (s,o,x) e J3 #
Pk[sfc(s),ofo(o)].
Pf: Para cada objeto Oj realizamos lo siguiente:
Supongamos que sd es el creador de Oj,
entonces para todo x e m;j emite el comando
GIVE(Sd,S;,x,Ojfo(<>j)l, para i= 1,2,...,m.
Dado que el conjunto de sujetos, objetos y derechos de
acceso son conjuntos finitos, hemos generado una
secuencia finita de comandos, digamos c1,c2,..,Ck, que
transforma (S0,Q0,PO) => (Sk,Qk,Pk),
Afirmación: (s,o,x) e J3# x c Pk[sfc(s),ofo(o)].
ff: Supongamos(s;,Oj,x) e J3 #
s<si )► fo<o) y fc(s;)► f0(o) : .x = r
s<s.)► fo<o .) y fc(s.) = f (o .) si .x = w
0
.xcm.. y I
J ' J #
-J ► fc<s;)si .x=a
f0(o)
Se ejecuta GIVE(Sd,S;,x,ojfo(oj)), cuando ti: el
creador deoi #
x c Pk[s;fc(s;),ojfo(oj)]. -
Ahora tenemos que demostrar que todas las
transiciones de estado posibles en el modelo BLP son
alcanzables en esta nueva configuración. Remitiéndonos a
[1] encontramos que hay 11 transiciones de estado
(reglas). Para cada regla estableceremos un comando
equivalente y/o una razón por la que se cumple la regla.
Reglas 1-5: get,release read/append/write/execute
No es necesario implementar un comando get o release
en nuestro modelo Bobo. En BLP, un sujeto tiene que solicitar
acceso get a un objeto para que nunca se viole la * propiedad.
Sin embargo en el modelo Bobo la operación primitiva enter
access asegura
que la * propiedad no será violada. Así, un sujeto en el
El modelo Bobo obtiene acceso a un objeto siempre que el
propietario del objeto le haya dado el acceso deseado ejecutando
un comando GIVE.
Regla 6: dar - leer/aplicar/escribir/ejecutar
Esta regla corresponde al comando GIVE. La regla
0 J
comprueba si el sujeto solicitante (dador) tiene autoridad para
"dar" a otro sujeto acceso a un objeto específico. Esto se consigue
mediante la condición de que el sujeto solicitante sea
"propietario" del objeto en cuestión. Además, si la condición es
verdadera, se concede el derecho de acceso para que no se
infrinja la propiedad BLP *. (Por ejemplo, si se concede a w
acceso a Oj, entonces w sólo se añade al conjunto en las
posiciones (s;lt,Ojltl para todo t c OTj).
Regla 7: rescindir: leer/aplicar/escribir/ejecutar
El comando RESCIND realiza la operación inversa a
GIVE, al igual que la regla rescindir en el sentido de BLP. De
nuevo, la condición comprueba la autoridad del sujeto
solicitante mediante "propiedad" y, si la autoridad es válida,
elimina el acceso especificado de las columnas de acceso del
sujeto.
Regla 8,9 crear,suprimir objeto
Los comandos GENERAR y DESTRUIR corresponden
a las reglas crear y borrar respectivamente. GENERATE crea
un objeto y define que el "propietario" inicial del objeto es su
creador. DESTROY comprueba la "propiedad" para autorizar
la eliminación del objeto del sistema.
Norma 10: cambiar-sujeto-actual-nivel-de-seguridad
No es necesario un comando que cambie un
el nivel de seguridad actual del sujeto. La razón es que el Bobo
define un sujeto S; como el conjunto {s;lf t c STJ. Esto
xe permite a un sujeto trabajar en un objeto o}u en modo x si y
sólo si existe algún t c ST; tal que x e P[s;lt,Ojlul, Así, el
comando cambia automáticamente el nivel de seguridad actual
de un sujeto para acomodar el acceso deseado a un objeto.
Norma 11: cambio-objeto-nivel-de-seguridad
El comando UPGRADE realiza la función de cambiar el
nivel de seguridad de un objeto. En BLP el monitor de
referencia necesita verificar que el nuevo nivel es válido y que
el sujeto solicitante tiene autoridad para cambiar la función fo.
Esto se consigue mediante el derecho de acceso "propio" y la
operación primitiva de eliminación de objetos. Además
supongamos que el objeto Oj se actualiza del nivel lu al Iv,
Observe que debido a la operación primitiva enter, si los
sujetos; tenían acceso x a <>jiu entonces s; seguirá teniendo
acceso x a <>jlv siempre que no se viole la propiedad *. Esto
implica que el comando UPGRADE cancela automáticamente
todos los accesos actuales que violen la * propiedad en un
nuevo nivel de seguridad de los objetos.
Observaci
ones:
Aunque el modelo Bobo puede simular el modelo BLP,
se han creado varias características para lograrlo. La .primera
y más importante es la idea ne" de un derecho de acceso
llamado "propio". El modelo BLP contiene una estructura de
árbol para los objetos denominada jerarquía. Sin embargo, la
jerarquía de objetos no está relacionada con la seguridad del
modelo.
120
 decidible.
sino que existe únicamente por la aplicación de BLP al
sistema Multics. Así, vemos que el único concepto de
propiedad de un objeto en BLP reside en la función Give de la
regla 6. Para aplicar esta función Give es necesario utilizar un
derecho de acceso "own". El modelo Bobo es conservador en
el sentido de que el único sujeto que puede tener acceso
"propio" a un objeto es su creador. No obstante, si es necesario
que un objeto sea propiedad de un grupo, las condiciones del
comando GIVE pueden modificarse para dar cabida a esta
característica.
El otro derecho de acceso nuevo en el modelo Bobo es
"activo". El propósito de "activo" es simplemente permitir
que el monitor de referencia conozca el nivel actual de un
objeto. Esta función permite entonces actualizar el nivel de
seguridad de un objeto.
El uso de conjuntos para representar sujetos y objetos
crea más responsabilidades para el monitor de referencia en el
modelo Bobo. En particular, dado que un sujeto puede
trabajar en cualquier nivel que domine y que un objeto puede
asumir varios valores de seguridad, entonces debería ser tarea
del monitor de referencia informar al sujeto en qué nivel está
trabajando y el valor del objeto al que está accediendo.
La última observación que queremos hacer se refiere a
la forma de la matriz de acceso P. La observación más fácil
de hacer es que la submatriz cuyas filas y columnas están
indexadas por los s-sujetos está completamente vacía. Esto
refleja el hecho de que los sujetos no pueden acceder a otros
sujetos en el modelo BLP. Además, el método de otorgar
derechos de acceso a los sujetos crea mucha información
redundante. Es decir, si el monitor de referencia quiere
comprobar si el sujeto s; tiene acceso x al objeto Ojlu, entonces la
única celda necesaria para examinar es P[s;lu,Ojlul-

Seguridad:
En esta sección se analiza el concepto de seguridad
introducido por Harrison, Ruzzo y Ullman. Intuitivamente, un
modelo de seguridad "seguro" (es decir, un sistema de protección
en terminología HRU) es aquel que no permitirá el acceso no
autorizado a los objetos. Las dos definiciones siguientes
enuncian formalmente la idea de seguridad.
Def: Dado un sistema de protección, decimos que un
comando ex fuga genérica derecha r de la
configuración Q = (S, 0, P) si ex, cuando se ejecuta
en Q, puede ejecutar una primitiva
que introduce r en una celda de la matriz de acceso
que antes no contenía r.
Def: Dado un sistema de protección particular y
un derecho genérico r, decimos que la
configuración inicial Q0 es insegura para r (o tiene
fugas r) si existe una configuración Q y un
comando ex tales que
(1) => Q mediante una secuencia de operaciones
primitivas,
(2) ex escapa r de Q.
La primera observación que se puede hacer es que
cualquier sistema que utilice la operación primitiva enter será
probablemente considerado inseguro. Harrison et al. hacen la
convención de que para comprobar si hay fugas no
autorizadas, tenemos que eliminar de las pruebas a los sujetos
que realmente están autorizados a conceder (filtrar) derechos.
Utilizan el término sujetos "fiables" para referirse al conjunto
de sujetos que están autorizados a conceder el derecho
genérico r de un objeto a otro sujeto.
HRU ha demostrado que la cuestión general de si un
sistema de protección arbitrario es seguro o no es indecidible.
Sin embargo, si un modelo específico consiste en comandos que
implican sólo una operación primitiva (mono-operacional en
terminología HRU), entonces la cuestión de la seguridad es

sentencias. Es decir, el modelo Bobo no es un sistema monooperativo, pero
demostraremos que. el modelo es "seguro".
No es muy difícil ver que todos los comandos, excepto el comando GENERAR,
contienen una comprobación de propiedad en la condición. Dado que un sujeto que
posee un objeto se considera fiable, el único comando en cuestión es el comando
GENERAR. Sin embargo, cualquiera que cree un objeto es fiable por naturaleza con
respecto a ese objeto. Así que podemos ver la entrada del derecho de acceso propio por
el creador del objeto dándose a sí mismo acceso. Por lo tanto, todos los comandos del
modelo Bobo preservan la seguridad, lo que implica que el modelo Bobo es en sí mismo
"seguro".
de un modelo BLP. Esto no es asunto de este artículo, por lo
que no pretendemos insinuar ninguno de los dos casos. Sin
embargo, lo que mostramos es cómo las reglas de cualquier
modelo BLP se corresponden con los comandos de un modelo
HRU. Por lo tanto, si se añaden más reglas al modelo BLP
existente, se puede añadir un nuevo comando al modelo Bobo
para mantener la equivalencia. Aunque la implementación del
modelo BLP podría simplificarse utilizando el modelo Bobo,
la intención de este artículo y de los siguientes es intentar
unificar todos los modelos de control de acceso existentes en
un marco; tal vez el del modelo Harrison, Ruzzo, Ullman.

Conclusiones: Referencias:

Además de un intento de unificar algunos de los modelos de control de acceso (1) Bell, D.E. y LaPadula, L. J. Secure Computer
existentes, el modelo Bobo revela un punto de interés. Y es que vemos que el modelo Systems, Vol. IV: Unified Exposition and
HRU es un modelo de control de acceso muy general. Además, se puede apreciar la Multics Interpretation. MITRE Corp. Tech. Rep.
elegancia del modelo por el hecho de que el complejo modelo BLP puede definirse MTH 2997, 1975.
mediante una matriz de acceso junto con un conjunto de cinco comandos. El hecho
de poder incorporar las tres funciones f8, fc, f0 , la matriz de acceso discrecional BLP (2) Harrison, M. A., Ruzzo, W.L. y Ullman, J. D.
M y el conjunto de todos los accesos actuales b en la matriz P, permite ver la Protection in Opera ting Systems.
interacción entre los distintos niveles de seguridad y la propiedad *. Obsérvese Communications of the ACM, Vol. 19, No. 8,
también que sólo hemos tratado las reglas definidas por el volumen 4 del modelo agosto de 1975. -
Bell-LaPadula. Un tema de debate actual es si las reglas constituyen o no una parte

121