BLP模型(BLP model),理学-计算机科学技术-信息安全-信息系统安全-访问控制-访问控制模型,用于表达和执行在多级安全(multi-level security,MLS)系统中的访问控制策略的模型。是一种强制访问控制(mandatory access control,MAC)模型。BLP模型由美国学者D.E.贝尔(David Elliott Bell)和L.J.LaPadula于1973年为美国空军的分时共享操作系统设计,借鉴了美国军方在实际工作中管控敏感文件的方法。在BLP模型中,所有的主体和客体均被赋予一个安全级别,主体的安全级别被称为clearance,客体的安全级别被称为classification。这些安全级别包括绝密(top secret)、机密(secret)、秘密(confidential)、公开(public)等,它们之间存在层级关系(偏序关系)。BLP模型限制了计算机系统的信息流向,即敏感信息不能从高安全级别向低安全级别流动,它同时包含两条安全策略。①简单安全属性:不能往上读(not read up,NRU)。一个主体不能读取比其安全级别更高的客体。