1.BL模型

Bell-LaPaclula模型，簡稱為BLP模型，是D.Elliott Bell和Leonard J.LaPaclula于1973年提出的一種模擬軍事安全策略的計算機訪問控制模型，它是最早、也是最常用的一種多級訪問控制模型,該模型用于保證系統信息的機密性。

BLP模型是1個狀態機模型，它形式化地定義了系統、系統狀態以及系統狀態間的轉換規則，定義了安全概念和一組安全特性，以便對系統狀態和狀態轉換規則進行限制和約束。 對于一個初始狀態安全的系統，經過一系列規則轉換都保持安全，那么可以證明該系統是安全的。

該模型可有效防止低級用戶和進程訪問安全級別更高的信息資源。同時，安全級別高的用戶和進程也不能向比起安全級別低的用戶和進程寫入數據。BLP模型基于以下兩個規則保障數據的機密性：

◇不上讀，主體不可讀，安全級別高于它的客體；

◇不下寫，主體不可將信息寫入安全級別低于它的客體。

BLP模型的安全策略包括兩個部分：自主安全策略和強制安全策略。自主安全策略使用一個訪問控制矩陣表示，矩陣中的元素表示主體對客體所有允許的訪問模式，主體按照在訪問矩陣中被授予的對客體的訪問權限對客體進行相應的訪問。強制安全策略包括簡單安全性和術特性，系統對所有的主體和客體都分配了一個訪問類屬性，包括主體和客體的密級和范疇，系統通過比較主體與客體的訪問類屬性控制主體對客體的訪問。

BLP模型的安全目標是通過安全級來保護信息的機密性，適用于軍事、政府等安全要求較高的部門，在一些相關計算機系統中得到了廣泛應用。BLP模型是一個嚴格形式化的安全模型，并對模型的安全性給出了嚴格的形式化證明，這一特點是大部分訪問控制模型所不具備的。

BLP模型也存在一些局限性。例如，在主體創建客體時，將客體的安全級定義為該主體的安全級，在實際應用中，上級常常要向下級下發文件‘，這就需要允許系統的安全員對該客體的安全級進行降級定義；又如，內存管理必須允許所有級別進行讀和寫，解決方法是通過將其抽象化，并且假設內存管理是“可信主體”，但這將導致真實系統信息的泄露。在文件管理方面，假設一個高安全級用戶建立了一個名為“代理商”的文件，而低安全級用戶也在做同樣的事情。如果采用BLP模型的操作系統阻止了他，那么，將會泄露系統中有一個具有高密級且名為“代理商”的文件。如果操作系統允許低安全級用戶進行此項操作，又將會出現兩個同名文件。這種問題經常通過慣例命名來解決，即分別給高安全級用戶和低安全級用戶分配不同的目錄。