隐蔽信道的开发与Bell-LaPadula MAC模型

Question

我的头围绕着强制访问控制(MAC)和著名的贝尔-拉帕杜拉( Bell-LaPadula )模型。该模型所提到的一个限制是隐蔽信道的开发。我学到的一个例子是关于数据库对象大小：

• 高清除对象添加或删除数据
• 低间隙主体检查模式的大小变化。
• 使用多个目标可以增加隐蔽信道的带宽。

但是，我既不理解这个示例对恶意用户的好处，也不理解如何执行该示例。我确实理解隐蔽频道的一般运作方式，但不明白为什么它被特别强调为这种MAC方法的一个陷阱--也许，与Biba模型相反？

因此，我的问题需要解释如何使用Bell-LaPadula模型在数据库中利用隐蔽通道，也许还需要解释相关的示例或更好的示例。

Answer 1

如果我正确地理解了您的问题，在您的示例中所显示的要点是，即使没有对正在写入的数据的直接读取访问，您也可以创建理论上可能泄漏信息的秘密通道。

说我是一个间谍，并设法获得了一个高度的安全权限，访问绝密的数据。我想以某种方式复制这些数据并发送给我的政府。使用BLP安全系统，我只能编写数据，这意味着我不能尝试写入数据并降低其安全级别。同样，我的初级合作间谍(有安全权限的秘密)不能读取被写入的数据(关于绝密的)。

根据您的示例，可以在这里建立的隐蔽通道是类似于侧通道攻击的形式。让我们说，安全清除秘密中的协作者不能读取数据，但可以访问存储最高机密信息的文件或数据库表中存储的元数据。这些数据可能是低机密的，因为它不包含任何真正的机密信息。处于绝密状态的间谍可以构造一种数据变化模式，数据本身可以解码为一条秘密消息。

举个简单的例子，假设他们同意莫尔斯码，数据库表==点中A列的更改；B列==破折号的更改；间谍可以创建对表的写入序列，由较低级别的协作者将其解码为一条消息。在较低的清除级别上的协作者需要的是访问表中A和B列更改的时间戳。这个(时间戳数据)本身通常可以被认为是非机密的，或者当然被折扣为没有真正的安全值。