벨라파둘라, 비바 무결성 모델에 대하여

보안모델

벨라파둘라 모델(BLP, Bell-LaPadula Confidentiality Model)

허가된 비밀정보에 허가되지 않는 방식의 접근을 방지(기밀성 위주)하는 모델이다. 미국방부(DoD)의 다중 등급 보안 정책을 정형화하여, 주체와 객체의 보안 수준(Clearance, level)과 접근권한을 사용하여 정보를 극비(Top Secret), 비밀(Secret), 일반정보(Unclassified)로 구분하고 MAC 방식으로 접근을 제어한다.

 

객체의 기밀성을 강조한 모델로서 정보 흐름 모델(Information Flow Model), 최초 수학적 모델이다. 상태 기계개념(State Machine Concept)에 기반, 상태 기계는 여러 상태와 두 상태 사이의 이행을 지원한다. 상태 기계 개념은 기계의 정확성과 문서의 기밀성의 보장이 증명될 수 있기 때문에 채택되어 다음의 세 가지 특성이 존재한다.

 

1. 단순 보안 속성(The Simple Security Property)

주체가 객체를 읽기 위해서는 Clearance of Subject >= Classification of Object가 되어야 한다. 특정 분류 수준에서 있는 주체는 그보다 상위 분류 수준을 가지는 데이터를 읽을 수 없다(No read up rule).

 

2. 스타 보안 속성(Star Security Property)

주체가 객체에 쓰기 위해서는 Clearance of Subject <= Classification of Object가 되어야 한다.  특정 분류 수준에 있는 주체는 하위분류 수준으로 데이터를 기록할 수 없다(No-Write Down Rule).

 

스타속성 규칙(Star Property Rule)은 이 규칙을 적용하면 보안 등급 극비(Top Secret)를 가진 사람이 보안 등급이 비밀(Secret)인 파일에 자신이 아는 내용을 쓰지 못하게 되어 있다. 이 부문에 대해서는 BLP 모델 자체가 기밀성을 강조한 모델로서 극비(Top Secret) 보안 등급을 가진 사람이 극비(Top Secret) 파일을 보고 우연히 보안 등급이 비밀(Secret)인 파일에 기록함으로써 극비(Top Secret)인 파일의 내용이 누설되는 것을 막기 위함이다.

 

3. 임의적 보안 속성(Discretionary Security Property)

시스템이 임의적 접근통제를 집행하기 위해 접근 매트릭스를 사용한다고 규정한다. 임의적 보안 속성의 약점으로는 다음을 들 수 있다.

은닉 채널(Covert channel)을 다루지 않는다.

파일공유나 서버를 이용하는 시스템을 다루지 않는다.

지나치게 기밀성에 치중하며 무결성과 가용성은 고려하지 않는다.

 

비바 무결성 모델(Biba Integrity Model)

무결성을 위한 상업용 모델로 BLP를 보완한 최초의 수학적 무결성 모델로서, 다음의 무결성 목표 3가지 중 1가지를 만족한다.

 

- 비인가자가 수정하는 것 방지

- 내/외부 일관성 유지

- 합법적인 사람이 불법적인 수정 방지

 

벨라 파둘라 모델(BLP)과 비교하면 BLP는 기밀성에 중점을 두었지만 비바(Biba) 무결성 모델은 부적절한 변조 방지(무결성)를 목적으로 한다. BLP의 Sensitivity level과 비바(Biba)의 Integrity level 방식이 유사하다.

 

상태 기계 개념에 기반을 두어 다음의 두 가지 원리(Axiom)가 적용된다.

 

1. 단순 무결성 원리(Simple Integrity Axiom)

Integrity Level of Subject >= Integrity Level of Object이면 주체가 객체를 읽을 수 없다. 주체는 더욱 낮은 무결성 수준의 데이터를 읽을 수 없다(No Read Down).

 

2. 스타 무결성 원리(Star Integrity Axiom)

Integrity Level of Subject <= Integrity Level of Object이면 주체가 객체를 변경할 수 없다(No Write Up).

주체는 더욱 높은 무결성 수준에 있는 객체를 수정할 수 없다.

 

이것을 적용하면 Integrity Level이 극비(Top Secret)인 사람이 비밀(Secret)인 정보를 읽을 수 없다는 것인데, 이 부분에 대해서는 비바(Biba) 모델은 무결성을 강조한 모델로써 여기에 적용하고자 했던 부분은 예를 들면, 증권투자자가 신뢰성 있는 정보를 가지고 A 종목에 투자하려다가 B 종목의 거짓 정보를 듣고 투자에 실패했을 때, 이처럼 Integrity Level이 낮은 정보에 의해 높은 Integrity Level에 대한 정보를 훼손하는 것을 막는데 목적이 있다.