Вопрос 04. Модели безопасности. Модель матрицы доступов hru.

Модели безопасности.

Основные положения модели.

Модель используется для анализа системы защиты реализующей дискретную политику безопасности и её основного элемента матрицы доступов.

Основные обозначения. O – множество объектов системы. S – множество субъектов системы

R – множество прав доступа субъектов к объектам.

В ней 3 вида прав: R={read, write, own} own – владение. M – матрица доступа.

Строки соответствуют субъектам, столбцы – объектам. M[S,O]R права доступа субъекта S к объекту O из всего множества прав R. Автомат построенный в соответствии с положениями модели называется системой.

Примитивный оператор . Всего 6 примитивных операторов (они парные): 1. Внести rR в матрицу M[S,O] – означает добавление субъекту право многоправного доступа к объекту. 2. Удалить право, т.е. удаление у субъекта некоторого права доступа. 3. Создать субъект, т.е. в матрицу добавляется строка соответствующая субъекту. 4. Удаление субъекта 5. Создать объект, т.е. в матрицу добавляется столбец соответствующий объекту.. 6. Удаление объекта.

Состояние системы Q=(S,O,M)

При выполнении примитивного оператора  система из Q переходит в Q^’ Q├_Q^’. Q^’=(S^’,O^’,M^’).

Из примитивного оператора составляются команды. Каждая команда состоит из двух частей.

1. Условие, при котором выполняется команда.

2. Последовательность примитивных операторов.

command C(x₁,…,x_n)

if r₁M[x_S1,X_O1] and…and rM[x_Sn,X_On]

_{1 ….} ₂

end

Q├_C(x1,…xn)Q^’

Пример создание файла f S – субъект, т.е. пользователь.

command C(f,S)

“создать” объект f

“внести” право владения M[f,S]

“внести” право чтения M[f,S]

“внести” право записи M[f,S]

End

Передача прав.

Субъект S передаёт право на чтение другому пользователю.

command (C,S^’,f)

if own M[S,f] then

“внести” право чтения (read) M[S^’,f]

end

Безопасность системы.

1. Считается, что возможна утечка прав в результате выполнения команды содержащей примитивный оператор, вносящий в матрицу доступа некоторое право доступа, которое ранее отсутствовало.

2. Начальное состояние Q₀ называется безопасным по отношению к некоторому праву r, если невозможен переход системы в такое состояние q, в котором может возникнуть утечка прав.

3. Система называется монооперационной, если каждая команда выполняет один примитивный оператор.

В модели применяются две основных теоремы для доказательства безопасности системы.

1. Существует алгоритм, который проверяет, является ли исходное состояние монооперационной системы безопасным для данного права.

2. Задача проверки безопасности произвольных систем алгоритмически неразрешима. Доказательство на основе машины Тьюнинга.

Суть – Определяют пути выбора системы защиты.

1. Общая модель может выражать большое количество политик дискреционного разграничения доступа, но при этом не существует алгоритма проверки безопасности.

Выбор монооперационной системы. Возможно доказать безопасность системы

Вопрос 05. Модель распространения прав доступа Take-Grand.(брать-давать)

Используется для анализа систем дискреционного разграничения доступа. Для анализа путей распространения прав доступа. Основным элементом данной модели является граф доступа.

Цель модели – дать ответ на вопрос: возможности получения прав доступа субъектам системы на объект в состоянии описываемым графом доступа.

O – множество объектов.

SO – активный объект (пользователи, процессы).

R={r₁,…,r_m}{t,g} – Множество прав доступа.

t – право брать права доступа

g – право давать права доступа

 - разность двух множеств O/S

 - Графическое изображение субъекта системы

G={S,O,E} конечный помеченный ориентированный граф без петлей. E – множество дуг графа.

Операция, или правило преобразования обозначают Q├_OPQ^’

В классической модели T-G правила преобразования может быть одним из четырёх.

1. Брать(Take).

take(,x,y,z) x-субъект, y,zO -непосредственный доступ.

2.Правило предоставлять.

grand (,x,y,z) xS y,zO R,  определяет порядок получения доступа.

Субъект x предоставляет объекту y права  на объект z.

3.Создать.

create(,x,g) xS yO R 

Для субъекта x существует объект y предоставляющий доступ .

4.Удаление

remove(,x,g) xS yO R, 

У субъекта x удаляют права доступа y.

Правила брать, предоставлять, создавать, удалять в классической модели T-G называются де-юре.(для отличий от правил расширенной модели).

В модели T-G основное внимание уделяется определению условий при которых в системе возможно распространения прав доступа определённым способом. В этой модели всего 2 способа.

1. Санкционированное получение прав доступа. Характеризуется тем, что при передаче прав доступа не накладывается ограничений на взаимодействие субъектов системы, которые участвуют в этом процессе.

2. Похищение прав доступа. Предполагается что передача прав доступа объекту, осуществляется без содействия.

Существует еще расширенная модель T-G. В которой применяются правила «Де-факто», создаются мнимые дуги, т.е. дополнительно еще 6 правил: два без названия и четыре: post, Spy, Find, pass, к которым нельзя применить правила Де юра.