11.5.2. Осуществление доступа субъекта к объекту

Последовательность операций по доступу субъекта к объекту похожа на последовательность при создании объекта. Субъект не может самостоятельно осуществить доступ, все запросы перехватывает АРД ( ).

1. Comm

2. Authent

3. Если результат положительный, то ,

4.

5. Если ответ положительный, то: Comm(S)

Назовем активным объект, способный порождать субъекты. Такие объекты могли бы самостоятельно контролировать доступ к себе, но это противоречит предлагаемой модели безопасности (все контролирует АРД). В таком случае АРД просто должен сообщить объекту о разрешении к нему доступа субъекта.

11.5.3. Взаимодействие с внешними сетями

Пусть субъект желает передать свои данные в другую локальную сеть.

1. Comm(S) где - ABC.

2. Authent

3. Если результат положительный, то ,

4.

5. Если ответ положительный, то таким образом, при посредничестве АРД и АУД субъект получил доступ к ABC. Теперь он начинает взаимодействовать с этим администратором. АУД уже сообщил ABC права и атрибуты безопасности субъекта. Атрибуты безопасности нужны для того, чтобы ABC самостоятельно выполнил аутентификацию, иначе существует опасность атаки с перехватом сессии после аутентификации.

6.

7. Quest (одновременно с ответом на запрос аутентификации субъект посылает запрос на выполнение действий).

8. Если результат аутентификации положительный и запрос субъекта соответствует его правам, то ABC дает разрешение на выполнение передачи данных (или, например, на доступ к серверу электронной почты):

9. Rpl( ) .

Если пользователь желает передать данные в другую локальную сеть, то перед этим ABC устанавливает безопасное соединение с ABC другой локальной сети, которую запросил пользователь. При этом выполняется протокол взаимной аутентификации, возможно, с выработкой сессионного ключа, который здесь не рассматривается.

10. ABC передает ABC другой сети адрес вызываемого субъекта:

IP_addr( )

11. ABC другой сети находит в своей базе нужного пользователя, устанавливает с ним связь, аутентифицирует его и дает подтверждение ABC «нашей» сети о готовности к приему данных:

( )

12. Пользователь посылает данные ABC, a ABC —no зашифрованному каналу ABC другой сети. ABC другой сети расшифровывает данные и пересылает их пользователю. В обратную сторону идут квитанции, подтверждающие прием пакетов сообщения.

Примерно так же происходит прием сообщений из внешней сети. Вначале аутентифицируется ABC другой сети (без участия АУД, АРД), затем проверяется субъект «нашей сети» (с участием АРД, АУД), устанавливаются защищенные соединения и принимаются данные.

11.5.4. Удаление субъекта — объекта

При удалении может не происходить полного уничтожения субъекта и объекта, записи о них переносятся в резервную область памяти, где хранятся в течение обусловленного времени. Конечно, чаще всего фактически выполняется удаление только субъекта или только объекта, но и эти случаи можно рассматривать как удаление пары субъект—объект.

Опишем сценарий удаления субъекта, который является по существу обратным последовательности его создания.

1. Вначале выполняется уничтожение объектов, ассоциированных только с этим субъектом и не являющихся нужными другим. Например, таким объектом может стать личная папка (файлы) пользователя. Данная операция осуществляется под управлением администратора сети Modify 0, где означает пустой объект.

2. Удаление у субъекта атрибутов информационной безопасности и прав доступа осуществляет АУД после получения управления от администратора сети, подтверждающего факт обнуления]

объекта: DelAttribs

3. Удаление «нулевой» пары субъект—объект (модификация базы данных АУД) производится АУД:

Modify

С помощью введенных формальных операций можно описать поведение АС в соответствии с разработанной политикой без-::: опасности. При выполнении требований обеспечения информационной безопасности, предъявляемых к объектам и субъектам, а также к процедурам взаимодействия с ними, АС будет находиться в безопасном состоянии, в рамках выполнения описанного набора операций. В итоге использования модели удается сформулировать набор априорно неочевидных требований к компонентам сети и системе защиты. Совокупности этих требований должны отвечать компоненты сета и проектируемая система зашиты.