Добавил:

mihail1000 Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Воронежский государственный технический университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

Учебное пособие 800273

.pdf

Скачиваний:

Добавлен:

01.05.2022

Размер:

1.23 Mб

Скачать

☆

<<< < Предыдущая 12 / 62 3 4 5 6 > Следующая >>>

e1, e2

доступа или к сущностям, функционально ассоциированным с субъектами с высоким уровнем доступа.

Информационные потоки по памяти первого вида не нарушают требований мандатного управления доступом, так как возникают между сущностями одного уровня конфиденциальности.

Модель Белла-ЛаПадулы в основном ориентированы на обеспечение в КС условий защиты от возникновения запрещенных информационных потоков по памяти второго вида.

Для анализа информационных потоков по памяти, позволяющих субъекту повысить свой уровень доступа (запрещенных информационных потоков четвертого вида), рассмотрим ДП-модель КС с мандатным управлением доступом (далее будем называть мандатной ДП-моделью), в основе которой использованы базовая ДП-модель, БК ДПмодель и ФАС ДП-модель. При этом дополнительно

используем обозначения:	L,	- решетка линейно
упорядоченных уровней доступа и		конфиденциальности ;

ES E \ S — множество сущностей, которые могут быть применены для создания новых субъектов (в отличие от дискреционных ДП-моделей, в мандатной ДП-модели субъект может создать субъекта из сущности, когда сущность

принадлежит		множеству			ES); fs : S	L —	функция,
задающая уровень				доступа каждого		субъекта	системы
(G* ,OP) ;	f	e	: E \ S	L	— функция,	задающая	уровень
		e

конфиденциальности каждой сущности системы, не являющейся субъектом, при этом, если для двух сущностей E выполняется неравенство e1 e2 (сущность e1

содержится в контейнере e2 ), то по определению выполняется условие fe e1 fe e2 ; OCR:E\S {true, false} — функция,

задающая способ доступа к сущностям, не являющимся субъектами, внутри контейнеров. Если сущность e E является контейнером и доступ к сущностям, содержащимся

внутри контейнера e , разрешен без учета уровня кон-

фиденциальности контейнера е, то по определению выполняется равенство CCR(e)=false, в противном случае выполняется равенство ССR(е)=true. При этом по определению для каждой сущности e E , являющейся объектом, выполняется условие CCR(e) — false.

Определение 13. Пусть

G S, E, R A F, H, fs , fe ,CCR — конечный помеченный

ориентированный граф, без петель, где назначение элементов графа S, Е, R, A, F, Н соответствует определению 7 занятия № 4. При этом для каждой сущности e E \ S определены значения функций fe e ,CCR(e) , для каждого субъекта s S

определено значение функции fs(s).

Предположение 1. Значение решетки уровней доступа и конфиденциальности L, множества сущностей ES не изменяются на траекториях функционирования системы (G* ,OP) .

При создании сущности для нее определяются значения функций fe ,CCR , которые не изменяются в дальнейшем на траекториях функционирования системы. При создании субъекта для него определяется значение функции fs , которое может

быть изменено на траекториях функционирования системы только в случае, когда данный субъект либо является функционально ассоциированной сущностью другого субъекта, либо он реализовал информационный поток по памяти к сущности, функционально ассоциированной с другим субъектом.

Правила дискреционного управления доступом могут быть использованы в КС с мандатным управлением доступом. В то же время условия передачи прав доступа на основе правил дискреционного управления доступом с использованием преобразований множества прав доступов не используются в мандатной ДП-модели. Таким образом, в дальнейшем используется следующее предположение.

Предположение 2. На траекториях функционирования системы (G* ,OP) не используются правила преобразования

состояний, позволяющие субъектам брать, передавать и удалять права доступа к сущностям, удалять субъектов или сущности. При проверке возможности предоставления субъекту права доступа к сущности не учитывается содержимое множества прав доступа R.

В ДП-моделях КС с дискреционным управлением доступом рассматривалась возможность реализации субъектами доступов друг к другу на основе имеющихся у них прав доступа. В мандатной ДП-модели рассматриваются условия реализации запрещенных информационных потоков, при этом доступы субъектов к сущностям реализуются в зависимости от уровней доступа субъектов и уровней конфиденциальности сущностей. Таким образом, в дальнейшем используется следующее предположение.

Предположение 3.	На	любых	траекториях
функционирования системы		(G* ,OP) не	реализуются

доступы субъектов к субъектам системы.

Таким образом, в рамках предположений 2 и 3 в мандатной ДП-модели не рассматривается дискреционное управление доступом.

В соответствии с предположением 2 при проверке возможности предоставления субъекту доступа к сущности не учитывается содержимое множества прав доступа R, а используется проверка соотношения уровня доступа субъекта и уровня конфиденциальности сущности. Кроме того, доверенными могут являться субъекты системы, имеющие низкий уровень доступа, например субъекты, являющиеся системными процессами, функциональность которых не требует предоставления им возможности доступа к сущностям с высоким уровнем конфиденциальности. Недоверенные субъекты системы могут иметь различные уровни доступа. Например, процессы, запущенные от имени недоверенного

пользователя с высоким уровнем доступа, в общем случае могут иметь различные уровни доступа, не превышающие уровень доступа пользователя. Таким образом, в дальнейшем используется следующее предположение.

Предположение 4. Каждый субъект системы (G* ,OP) вне зависимости от его уровня доступа может

являться либо доверенным, либо недоверенным. Доверенные субъекты не участвуют в реализации информационных потоков по времени.

Используем обозначения:

Ns	l	s	Ns : fs s	l —	множество недоверенных
субъектов системы (G* ,OP) с уровнем доступа не большим
l , где l	L;	Ls (l)	s LS	: fs (s)	l — множество доверенных

субъектов системы (G* ,OP) с уровнем доступа не большим

l , где l L.

Определим ss-свойство и *-свойство безопасности системы (G* ,OP) . При этом в отличие от классической

модели Белла-ЛаПадулы используем следующее предположение.

Предположение 5. В мандатной ДП-модели не рассматриваются субъекты, которые могут нарушать *- свойство безопасности (доверенные субъекты модели БеллаЛаПадулы).

	Определение 14.								В		состоянии
G	S, E, R	A	F, H, f		s	, f	e	,CCR		системы	(G* ,OP)


доступ s, e,			A , где субъект s						S ,	сущность e	E \ S , вид

доступа		Ra ,	обладает ss-свойством, когда выполняются
условия:		fs s	fe e ; для					каждой		сущности-контейнера
e'	E \ S такой,		что	е <			е' и		CCR(e')= true, выполняется
неравенство		fs s	fe	e' .

	Определение 15.								В	состоянии
G	S, E, R A	F, H, f	s	, f	e		,CCR		системы	(G* ,OP)
			s		e
доступы (s, e1, reada ), (s, e2				)			A , где субъект s			S , сущности
вид	доступа	writea , appenda						,	обладают	*-свойством,
когда выполняется условие						fe e1		fe	e2 .
	Определение 16.			Состояние					системы	(G* ,OP)

обладает ss-свойством или *-свойством, когда в состоянии все доступы обладают ss-свойством или *-свойством соответственно.

Определение 17. Состояние системы

(G* ,OP)

называется безопасным в смысле Белла-ЛаПадулы, когда оно

обладает ss-свойством и *-свойством. Система

(G* ,OP)

называется безопасной в смысле Белла-ЛаПадулы, когда все состояния системы на всех конечных траекториях ее функционирования безопасны в смысле Белла-ЛаПадулы.

В мандатной ДП-модели определены следующие правила преобразования состояний (см. таблицу), в которых использованы определения ss-свойства и *-свойства безопасности. Таким образом, устранен недостаток классической модели Белла-ЛаПадула, заключающийся в отсутствии в ней описания правил перехода системы из состояния в состояние.

Таблица Правила преобразования мандатной ДП-модели

Правило	Исходное состояние	Результирующее состояние
	G S, E, R A F, H, fs , fe ,CCR	G' S' , E' , R' A' F ' , H ' , f 's , fe' , CCR'

x S; y E; z E \ S;l fe (z);

S '

S; E'

E y ; R'

R; fs'

fs ;

ccr

true, false ; (x, z,

)

A ,

H '

H z y ; H '

{x,y,z,I,ccr)

где

writea , appenda ;

для e

E \

z выполняется

не существует

равенство

H '

H e ;

сущности e

E \ S такой,

x, y, writea

; fe' ( y)

что

fe ( y)

fe (e)

для e

E \ S выполняются

entity

и x, e, reada

равенства

f '

(e);CCR' (e)

CCR e ;

если y

O' , то CCR' y

false;

сreate

если y

C' ,то CCR' ( y)

ccr;

если x

NS S , то

F '

F x, e, write

: e

E и y

e ;

если x

LS S, то F '

x S; y ES; z E; fs (x)

fe ( y);

S z ; E'

E z ; R'

R; A'

fs x

l; для каждой

H '

H x z ; H ' y

сущности-контейнера y'

E \ S

для e

E \ E выполняется

y,z,l)

такой, что y

y' и CCR y'

true,

равенство

выполняется неравенство

H '

H e ;

fs'

(x,

fs s

CCR'

false;

subject

для s

S выполняется равенство

f '

; для e

E \ S

выполняются равенства

сreate_

f ' (e)

(e);CCR' (e)

CCR(e)

если x

Ns S , то

F '

z, x, write

x, e, write

: e E

и y

e ;

если x

S, то F' = F

rename_entity (x, у, z) Правило

access_read(x,y)

access_write (х,у)

Продолжение таблицы

Исходное состояние	Результирующее состояние
G S, E, R A F, H, fs , fe ,CCR	G' S' , E' , R' A' F ' , H ' , f 's , fe' , CCR'

x S; y, z E \ S; y H z

S '

S; E '

E; R' R; H '

H ;

(x, z, writea )

f '

f ;

f '

f ; CCR'

CCR;

не существует сущности

x, y, writea ;

E \ S такой, что f

(e)

если x

NS S, ,

то

и (x, e, reada )

F '

x, e, writet

: e

E; x

и e

z x, s, writet

: s

S; x

и (s, e,

r )

где e

E; e

y ;

если x

Ls S , то F'=F

x S; y E \ S; fs (x)

fe y ;

S '

S; E '

E; R'

R; H '

H ;

fs'

fe'

для каждой сущности-

fs ;

fe ; CCR'

CCR;

контейнера

x, y, reada ;

E \ S такой, что у < у' и

если x

NS S, , то

CCR(y') = true, выполняется

F '

y, x, write

x, e, writet

: e

E, x

неравенство

; не

и y

существует сущности z

E \ S

если x

LS S , то

такой, что

y, x, writem

x, z, a

A , где

{writea, appenda}

x S; y E \ S; fs (x)

fe y ;

S '

S; E'

E; R'

R; H ' H ;

для каждой сущности-

fs'

fs ; fe'

fe ;CCR' CCR;

контейнера

x, y, writea

;

E \ S такой, что у < у'

если x

S , то

и CCR(y') = true, выполняется

F '

x, y, writem

x,e, writet

: e

неравенство

fS (x)

;

e и y

не существует сущности

если x

LS S , то

E \ S

такой, что

F '

x, y, write

x, z, reada

access_append (x,у) Правило

flow{x,y,y',z)

find(x, у, z)

Продолжение таблицы

Исходное состояние

Результирующее состояние

S, E, R A F, H,

fs ,

,CCR

S' , E' , R' A'

F ' , H ' ,

f 's , fe' , CCR'

x S; y E \ S; f

(x)

y ;

S '

S; E'

E; R'

R; H '

H; fs'

fs ; fe'

для каждой сущности-

CCR'

CCR; A'

x, y, appenda

контейнера y'

E \ S такой, что у

если x

S , то

< у' и CCR(y') =true,

F '

F x, y, writem

x,e, writet

: e

выполняется неравенство

e и

e ;

(x)

не существует

если

LS S,

то

сущности z

E \ S такой, что

F '

x, y, write

x, z, reada

x, z S; y, y'

E; x z; y y'

S '

S; E'

E; R''

R; H '

H ;

x, y,

, (z, y' ,

; f

;

где

a , a

ССД' = ССД; если

x, y

NS S, то

F '

x, z, write

z, x, write

;

если

x, z Ls S

то F' = F

x, z

S; z

E; x z;

x, y,

S '

S; E'

E; R'

R; H '

H ; если

y, z,

A F ,где

fs'

fs ;

fe'

fe ;CCR'

CCR;

writea , appenda , writem , writet

write

, то F ' F

x, z, write

;

если

writet

x, y

S, то

F '

x, z, write

;

если

writet

x, y Ls

то F' = F

Правило

post(x,y,z)

pass(x,y, z)

control(x,y,z)

Продолжение таблицы

Исходное состояние	Результирующее состояние
G S, E, R A F, H, fs , fe ,CCR	G' S' , E' , R' A' F ' , H ' , f 's , fe' , CCR'

x, z S; z E; x z; x, y,

S '

S; E '

E; R'

R; H '

H ;

z, y, reada

A F ,где

fs'

fs ;

fe'

fe ; CCR'

CCR;

если

writet , то

write

, append , write

, write

F '

x, z, writem ;

если

writet

x, y

Ns S, то

F '

x, z, write

;

если

writet

x, z Ls S

то F' = F

x, z S; z E; x z; x, y,

S '

S; E'

E; R'

R; H '

H ;

z, y, read

A F ,где

fs'

fs ;

fe'

fe ;CCR'

CCR;

write

, append , write

, write

если

writet , то

F '

F x, z, write

;

если

writet

и y

Ns S,

то F '

F x, z, write

;

если

writet

y LS S, то x, z , то F' =F

x, z S; z E; z y ; f

( y) и

S '

S; E '

E; R'

R; H '

H ; f '

x f

y ;

или х = z, или (x, z, writem) F

f '

f ; f '

f ;CCR'

CCR;

для s

S \ x

выполняется равенство

fs' s

fs s

Безопасность в смысле Белла-Ла Падулы

В рамках мандатной ДП-модели доказано утверждение, аналогичное утверждению, обоснованному в теореме 4 данной работы (базовой теореме безопасности модели БеллаЛаПадулы).

	Теорема 5. (БТБ-ДП).		Пусть
G0	S0 , E0 , R0 A0 Fo , H0 ,	fs0 ,	fe0 ,CCR0	— начальное сос-
тояние системы (G* ,OP) , являющееся безопасным в смыс-
ле	Белла-ЛаПадулы, и	A0	F0 .	Тогда система
	(G* ,OP,G ) является безопасной в смысле Белла-ЛаПадулы.
	0

Таким образом, в системе

(G* ,OP) по теореме 2 не

могут быть реализованы запрещенные информационные потоки второго вида (информационные потоки по памяти от сущностей с большим уровнем конфиденциальности к сущностям с меньшим уровнем конфиденциальности).

Типовые задачи

Задание 1. Опишите состояния системы Белла-

ЛаПадулы	со	следующими	параметрами:	S	s1, s2 ,
O o1, o2 ,	R	read , write , L,	Low, High ,	M	— не
используется, fs		s1 f0 o1 Low, fs s2 fo o2		High.. Под-

считайте количество различных состояний системы для следующих случаев:

в системе не требуется выполнение свойств безопасности;

в системе требуется выполнение только ss-свойства; в системе требуется выполнение ss -свойства и *- свойства.

<<< < Предыдущая 12 / 62 3 4 5 6 > Следующая >>>

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

#
01.05.20221.21 Mб6Учебное пособие 800269.pdf
#
01.05.2022302.05 Кб2Учебное пособие 80027.pdf
#
01.05.20221.22 Mб7Учебное пособие 800270.pdf
#
01.05.20221.22 Mб6Учебное пособие 800271.pdf
#
01.05.20221.23 Mб5Учебное пособие 800272.pdf
#
01.05.20221.23 Mб6Учебное пособие 800273.pdf
#
01.05.20221.23 Mб3Учебное пособие 800274.pdf
#
01.05.20221.23 Mб3Учебное пособие 800275.pdf
#
01.05.20221.24 Mб10Учебное пособие 800276.pdf
#
01.05.20221.24 Mб47Учебное пособие 800277.pdf
#
01.05.20221.24 Mб10Учебное пособие 800278.pdf