Учебное пособие 800273
.pdfдоступа или к сущностям, функционально ассоциированным с субъектами с высоким уровнем доступа.
Информационные потоки по памяти первого вида не нарушают требований мандатного управления доступом, так как возникают между сущностями одного уровня конфиденциальности.
Модель Белла-ЛаПадулы в основном ориентированы на обеспечение в КС условий защиты от возникновения запрещенных информационных потоков по памяти второго вида.
Для анализа информационных потоков по памяти, позволяющих субъекту повысить свой уровень доступа (запрещенных информационных потоков четвертого вида), рассмотрим ДП-модель КС с мандатным управлением доступом (далее будем называть мандатной ДП-моделью), в основе которой использованы базовая ДП-модель, БК ДПмодель и ФАС ДП-модель. При этом дополнительно
используем обозначения: |
L, |
- решетка линейно |
упорядоченных уровней доступа и |
конфиденциальности ; |
ES E \ S — множество сущностей, которые могут быть применены для создания новых субъектов (в отличие от дискреционных ДП-моделей, в мандатной ДП-модели субъект может создать субъекта из сущности, когда сущность
принадлежит |
|
множеству |
ES); fs : S |
L — |
функция, |
||
задающая уровень |
доступа каждого |
субъекта |
системы |
||||
(G* ,OP) ; |
f |
e |
: E \ S |
L |
— функция, |
задающая |
уровень |
|
|
|
|
|
|
|
конфиденциальности каждой сущности системы, не являющейся субъектом, при этом, если для двух сущностей E выполняется неравенство e1 e2 (сущность e1
содержится в контейнере e2 ), то по определению выполняется условие fe e1 fe e2 ; OCR:E\S {true, false} — функция,
задающая способ доступа к сущностям, не являющимся субъектами, внутри контейнеров. Если сущность e E является контейнером и доступ к сущностям, содержащимся
9
внутри контейнера e , разрешен без учета уровня кон-
фиденциальности контейнера е, то по определению выполняется равенство CCR(e)=false, в противном случае выполняется равенство ССR(е)=true. При этом по определению для каждой сущности e E , являющейся объектом, выполняется условие CCR(e) — false.
Определение 13. Пусть
G S, E, R A F, H, fs , fe ,CCR — конечный помеченный
ориентированный граф, без петель, где назначение элементов графа S, Е, R, A, F, Н соответствует определению 7 занятия № 4. При этом для каждой сущности e E \ S определены значения функций fe e ,CCR(e) , для каждого субъекта s S
определено значение функции fs(s).
Предположение 1. Значение решетки уровней доступа и конфиденциальности L, множества сущностей ES не изменяются на траекториях функционирования системы (G* ,OP) .
При создании сущности для нее определяются значения функций fe ,CCR , которые не изменяются в дальнейшем на траекториях функционирования системы. При создании субъекта для него определяется значение функции fs , которое может
быть изменено на траекториях функционирования системы только в случае, когда данный субъект либо является функционально ассоциированной сущностью другого субъекта, либо он реализовал информационный поток по памяти к сущности, функционально ассоциированной с другим субъектом.
Правила дискреционного управления доступом могут быть использованы в КС с мандатным управлением доступом. В то же время условия передачи прав доступа на основе правил дискреционного управления доступом с использованием преобразований множества прав доступов не используются в мандатной ДП-модели. Таким образом, в дальнейшем используется следующее предположение.
10
Предположение 2. На траекториях функционирования системы (G* ,OP) не используются правила преобразования
состояний, позволяющие субъектам брать, передавать и удалять права доступа к сущностям, удалять субъектов или сущности. При проверке возможности предоставления субъекту права доступа к сущности не учитывается содержимое множества прав доступа R.
В ДП-моделях КС с дискреционным управлением доступом рассматривалась возможность реализации субъектами доступов друг к другу на основе имеющихся у них прав доступа. В мандатной ДП-модели рассматриваются условия реализации запрещенных информационных потоков, при этом доступы субъектов к сущностям реализуются в зависимости от уровней доступа субъектов и уровней конфиденциальности сущностей. Таким образом, в дальнейшем используется следующее предположение.
Предположение 3. |
На |
любых |
траекториях |
функционирования системы |
|
(G* ,OP) не |
реализуются |
доступы субъектов к субъектам системы.
Таким образом, в рамках предположений 2 и 3 в мандатной ДП-модели не рассматривается дискреционное управление доступом.
В соответствии с предположением 2 при проверке возможности предоставления субъекту доступа к сущности не учитывается содержимое множества прав доступа R, а используется проверка соотношения уровня доступа субъекта и уровня конфиденциальности сущности. Кроме того, доверенными могут являться субъекты системы, имеющие низкий уровень доступа, например субъекты, являющиеся системными процессами, функциональность которых не требует предоставления им возможности доступа к сущностям с высоким уровнем конфиденциальности. Недоверенные субъекты системы могут иметь различные уровни доступа. Например, процессы, запущенные от имени недоверенного
11
пользователя с высоким уровнем доступа, в общем случае могут иметь различные уровни доступа, не превышающие уровень доступа пользователя. Таким образом, в дальнейшем используется следующее предположение.
Предположение 4. Каждый субъект системы (G* ,OP) вне зависимости от его уровня доступа может
являться либо доверенным, либо недоверенным. Доверенные субъекты не участвуют в реализации информационных потоков по времени.
Используем обозначения:
Ns |
l |
s |
Ns : fs s |
l — |
множество недоверенных |
субъектов системы (G* ,OP) с уровнем доступа не большим |
|||||
l , где l |
L; |
Ls (l) |
s LS |
: fs (s) |
l — множество доверенных |
субъектов системы (G* ,OP) с уровнем доступа не большим
l , где l L.
Определим ss-свойство и *-свойство безопасности системы (G* ,OP) . При этом в отличие от классической
модели Белла-ЛаПадулы используем следующее предположение.
Предположение 5. В мандатной ДП-модели не рассматриваются субъекты, которые могут нарушать *- свойство безопасности (доверенные субъекты модели БеллаЛаПадулы).
|
Определение 14. |
|
|
|
|
В |
|
состоянии |
|||
G |
S, E, R |
A |
F, H, f |
s |
, f |
e |
,CCR |
системы |
(G* ,OP) |
||
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
||||||
доступ s, e, |
|
A , где субъект s |
S , |
сущность e |
E \ S , вид |
||||||
|
|
|
|||||||||
доступа |
Ra , |
обладает ss-свойством, когда выполняются |
|||||||||
условия: |
fs s |
fe e ; для |
|
каждой |
сущности-контейнера |
||||||
e' |
E \ S такой, |
что |
е < |
е' и |
CCR(e')= true, выполняется |
||||||
неравенство |
fs s |
fe |
e' . |
|
|
|
|
|
|
|
12
|
Определение 15. |
|
|
|
|
|
|
В |
состоянии |
|
G |
S, E, R A |
F, H, f |
s |
, f |
e |
,CCR |
|
системы |
(G* ,OP) |
|
|
|
|
|
|
|
|
|
|||
доступы (s, e1, reada ), (s, e2 |
) |
|
A , где субъект s |
S , сущности |
||||||
вид |
доступа |
writea , appenda |
, |
обладают |
*-свойством, |
|||||
когда выполняется условие |
|
fe e1 |
fe |
e2 . |
|
|||||
|
Определение 16. |
|
Состояние |
системы |
(G* ,OP) |
обладает ss-свойством или *-свойством, когда в состоянии все доступы обладают ss-свойством или *-свойством соответственно.
Определение 17. Состояние системы |
(G* ,OP) |
называется безопасным в смысле Белла-ЛаПадулы, когда оно
обладает ss-свойством и *-свойством. Система |
(G* ,OP) |
называется безопасной в смысле Белла-ЛаПадулы, когда все состояния системы на всех конечных траекториях ее функционирования безопасны в смысле Белла-ЛаПадулы.
В мандатной ДП-модели определены следующие правила преобразования состояний (см. таблицу), в которых использованы определения ss-свойства и *-свойства безопасности. Таким образом, устранен недостаток классической модели Белла-ЛаПадула, заключающийся в отсутствии в ней описания правил перехода системы из состояния в состояние.
13
Таблица Правила преобразования мандатной ДП-модели
Правило |
Исходное состояние |
Результирующее состояние |
G S, E, R A F, H, fs , fe ,CCR |
G' S' , E' , R' A' F ' , H ' , f 's , fe' , CCR' |
|
|
|
|
x S; y E; z E \ S;l fe (z); |
S ' |
S; E' |
|
E y ; R' |
|
R; fs' |
|
fs ; |
||||||||||||||||
|
ccr |
true, false ; (x, z, |
a |
) |
A , |
H ' |
z |
|
|
H z y ; H ' |
y |
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
{x,y,z,I,ccr) |
где |
a |
writea , appenda ; |
для e |
|
|
E \ |
z выполняется |
|
||||||||||||||||
не существует |
|
|
|
равенство |
H ' |
e |
|
|
H e ; |
|
|
||||||||||||||
сущности e |
E \ S такой, |
A' |
|
A |
|
x, y, writea |
; fe' ( y) |
l; |
|||||||||||||||||
что |
fe ( y) |
fe (e) |
|
|
|
для e |
|
E \ S выполняются |
|
|
|||||||||||||||
entity |
и x, e, reada |
A |
|
|
|
равенства |
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
f ' |
e |
|
|
f |
|
(e);CCR' (e) |
|
CCR e ; |
|
|||||||||
|
|
|
|
|
|
|
e |
|
|
|
e |
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
если y |
|
O' , то CCR' y |
false; |
|
|
|||||||||||||
сreate |
|
|
|
|
|
|
|
если y |
|
C' ,то CCR' ( y) |
ccr; |
|
|
||||||||||||
|
|
|
|
|
|
|
если x |
|
|
|
NS S , то |
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
F ' |
|
F x, e, write |
t |
: e |
E и y |
e ; |
|||||||||||
|
|
|
|
|
|
|
|
если x |
|
|
|
LS S, то F ' |
F |
|
|
||||||||||
|
|
|
|
|
|
|
|
||||||||||||||||||
|
x S; y ES; z E; fs (x) |
fe ( y); |
S' |
S z ; E' |
E z ; R' |
R; A' |
A; |
||||||||||||||||||
|
fs x |
l; для каждой |
|
|
|
H ' |
x |
|
|
H x z ; H ' y |
|
|
|
||||||||||||
|
сущности-контейнера y' |
E \ S |
для e |
|
E \ E выполняется |
|
|
||||||||||||||||||
y,z,l) |
такой, что y |
y' и CCR y' |
true, |
равенство |
|
|
|
|
|
|
|
|
|
|
|||||||||||
выполняется неравенство |
|
H ' |
e |
|
H e ; |
fs' |
z |
|
l; |
|
|
|
|
|
|||||||||||
(x, |
fs s |
fe |
y' |
|
|
|
|
CCR' |
z |
|
|
|
|
false; |
|
|
|
|
|
|
|
|
|
||
subject |
|
|
|
|
|
|
|
для s |
|
S выполняется равенство |
|||||||||||||||
|
|
|
|
|
|
|
f ' |
|
f |
s |
|
s |
; для e |
|
E \ S |
|
|
|
|||||||
|
|
|
|
|
|
|
s |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
выполняются равенства |
|
|
||||||||||||||||
сreate_ |
|
|
|
|
|
|
|
|
|
||||||||||||||||
|
|
|
|
|
|
|
f ' (e) |
|
|
f |
e |
|
(e);CCR' (e) |
|
CCR(e) |
|
|||||||||
|
|
|
|
|
|
|
e |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
если x |
|
|
|
Ns S , то |
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
F ' |
F |
|
|
z, x, write |
t |
|
x, e, write |
t |
: e E |
||||||||
|
|
|
|
|
|
|
|
и y |
|
e ; |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
если x |
|
|
|
Ls |
S, то F' = F |
|
|
14
rename_entity (x, у, z) Правило
access_read(x,y)
access_write (х,у)
Продолжение таблицы
Исходное состояние |
Результирующее состояние |
G S, E, R A F, H, fs , fe ,CCR |
G' S' , E' , R' A' F ' , H ' , f 's , fe' , CCR' |
x S; y, z E \ S; y H z |
|
|
|
S ' |
|
S; E ' |
E; R' R; H ' |
|
H ; |
|
|
||||||||||||||||||
(x, z, writea ) |
|
A; |
|
|
|
|
|
|
|
|
f ' |
|
f ; |
f ' |
f ; CCR' |
CCR; |
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
s |
|
s |
e |
|
e |
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
не существует сущности |
|
|
A' |
|
A |
x, y, writea ; |
|
|
|
|
|||||||||||||||||||
e |
E \ S такой, что f |
e |
y |
f |
(e) |
если x |
NS S, , |
|
то |
|
|
|
|
||||||||||||||||
|
|
|
|
|
|
|
|
|
|
e |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
и (x, e, reada ) |
|
A |
|
|
|
|
|
|
|
|
|
F ' |
F |
x, e, writet |
: e |
E; x |
e |
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и e |
z x, s, writet |
: s |
S; x |
s |
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и (s, e, |
r ) |
R, |
где e |
|
E; e |
|
y ; |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
|
r |
Rt |
если x |
|
Ls S , то F'=F |
|||||||||
x S; y E \ S; fs (x) |
|
|
fe y ; |
S ' |
|
S; E ' |
E; R' |
R; H ' |
H ; |
|
|
||||||||||||||||||
|
|
fs' |
|
|
fe' |
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||
для каждой сущности- |
|
|
|
|
|
fs ; |
fe ; CCR' |
CCR; |
|
|
|||||||||||||||||||
|
|
|
|
A' |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
контейнера |
|
|
|
|
|
|
|
|
|
|
|
|
|
A |
x, y, reada ; |
|
|
|
|
||||||||||
y' |
E \ S такой, что у < у' и |
|
если x |
|
NS S, , то |
|
|
|
|||||||||||||||||||||
CCR(y') = true, выполняется |
|
F ' |
|
F |
y, x, write |
|
|
|
|
x, e, writet |
: e |
E, x |
e |
||||||||||||||||
неравенство |
f |
|
x |
f |
|
|
|
y' |
; не |
|
|
m |
и y |
e |
|
|
|
|
|||||||||||
s |
e |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||
существует сущности z |
E \ S |
если x |
|
LS S , то |
|
|
|
|
|||||||||||||||||||||
такой, что |
fe |
|
z |
|
fe |
|
|
y |
|
и |
|
F |
' |
F |
y, x, writem |
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
x, z, a |
A , где |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
a |
{writea, appenda} |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
x S; y E \ S; fs (x) |
|
fe y ; |
|
S ' |
|
S; E' |
E; R' |
|
|
R; H ' H ; |
|
|
|
|
|||||||||||||||
для каждой сущности- |
|
|
|
|
fs' |
|
fs ; fe' |
fe ;CCR' CCR; |
|
|
|
|
|||||||||||||||||
контейнера |
|
|
|
|
|
|
|
|
|
|
|
|
A' |
|
A |
x, y, writea |
; |
|
|
|
|
||||||||
y' |
E \ S такой, что у < у' |
|
если x |
|
Ns |
|
S , то |
|
|
|
|
||||||||||||||||||
и CCR(y') = true, выполняется |
|
|
|
|
|
|
|||||||||||||||||||||||
F ' |
|
F |
x, y, writem |
|
x,e, writet |
: e |
E; |
||||||||||||||||||||||
неравенство |
fS (x) |
fe |
|
y |
' |
; |
|
|
|||||||||||||||||||||
|
|
|
x |
|
e и y |
e; |
|
|
|
|
|
|
|
|
|||||||||||||||
не существует сущности |
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||||||
|
|
если x |
|
LS S , то |
|
|
|
|
|
||||||||||||||||||||
z |
E \ S |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
такой, что |
fe |
|
e |
|
fe |
|
|
z |
|
и |
|
F ' |
|
F |
x, y, write |
m |
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
x, z, reada |
|
|
A |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
15
access_append (x,у) Правило
flow{x,y,y',z)
find(x, у, z)
Продолжение таблицы
|
|
|
Исходное состояние |
|
|
|
Результирующее состояние |
|
|
|||||||||||||||||||||||||
|
G |
S, E, R A F, H, |
fs , |
fe |
,CCR |
|
G' |
|
S' , E' , R' A' |
F ' , H ' , |
f 's , fe' , CCR' |
|
||||||||||||||||||||||
x S; y E \ S; f |
s |
(x) |
f |
e |
y ; |
S ' |
|
S; E' |
E; R' |
|
R; H ' |
H; fs' |
fs ; fe' |
fe |
||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
для каждой сущности- |
|
|
|
CCR' |
|
CCR; A' |
|
A |
x, y, appenda |
|
||||||||||||||||||||||||
контейнера y' |
E \ S такой, что у |
если x |
|
N |
S |
S , то |
|
|
|
|
|
|
|
|
||||||||||||||||||||
< у' и CCR(y') =true, |
|
|
|
|
F ' |
|
F x, y, writem |
|
x,e, writet |
: e |
|
E; |
|
|||||||||||||||||||||
выполняется неравенство |
|
x |
|
e и |
y |
|
e ; |
|
|
|
|
|
|
|
|
|
|
|||||||||||||||||
f |
S |
(x) |
f |
e |
y' |
не существует |
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
если |
|
|
|
LS S, |
то |
|
|
|
|
|
|
|
|
|
||||||||
сущности z |
|
E \ S такой, что |
x |
|
|
|
|
|
|
|
|
|
|
|||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||||||
|
F ' |
|
F |
|
x, y, write |
|
|
|
|
|
|
|
|
|||||||||||||||||||||
fe |
y |
|
fe |
z |
и |
x, z, reada |
|
|
A |
|
|
m |
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
x, z S; y, y' |
|
E; x z; y y' |
S ' |
S; E' |
|
|
E; R'' |
|
R; H ' |
H ; |
|
|
|
|
|
|||||||||||||||||||
|
x, y, |
a |
, (z, y' , |
|
|
A, |
|
|
|
f |
' |
|
f |
; f |
' |
|
f |
; |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
s |
|
s |
|
|
e |
|
e |
|
|
|
|
|
|
|
|
|
|
|
|
||
где |
a , a |
Ra |
|
|
|
|
|
|
|
ССД' = ССД; если |
|
|
|
|
|
|
|
|||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
x, y |
|
NS S, то |
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
F ' |
|
F |
|
x, z, write |
t |
z, x, write |
t |
; |
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
если |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
x, z Ls S |
|
|
|
, |
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
то F' = F |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
x, z |
S; z |
E; x z; |
x, y, |
, |
S ' |
S; E' |
|
E; R' |
|
R; H ' |
|
H ; если |
|
|
|
|
|
|||||||||||||||||
|
y, z, |
|
|
|
A F ,где |
|
, |
|
fs' |
|
fs ; |
fe' |
fe ;CCR' |
CCR; |
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
writea , appenda , writem , writet |
write |
|
|
, |
|
|
, то F ' F |
x, z, write |
m |
; |
||||||||||||||||||||||||
|
|
t |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
если |
|
writet |
|
|
, |
|
|
и |
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
x, y |
|
N |
s |
S, то |
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
F ' |
F |
x, z, write |
t |
|
; |
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
если |
|
writet |
|
|
, |
|
|
и |
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
x, y Ls |
S |
|
|
, |
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
то F' = F |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
16
Правило
post(x,y,z)
pass(x,y, z)
control(x,y,z)
Продолжение таблицы
Исходное состояние |
Результирующее состояние |
G S, E, R A F, H, fs , fe ,CCR |
G' S' , E' , R' A' F ' , H ' , f 's , fe' , CCR' |
x, z S; z E; x z; x, y, |
|
|
|
, |
S ' |
S; E ' |
E; R' |
R; H ' |
H ; |
|
|
|
|||||||||||||
z, y, reada |
|
|
A F ,где |
|
|
fs' |
fs ; |
fe' |
fe ; CCR' |
|
CCR; |
|
|
|
|
||||||||||
|
|
|
|
если |
|
|
writet , то |
|
|
|
|
||||||||||||||
write |
|
, append , write |
m |
, write |
|
|
|
|
|
|
|||||||||||||||
|
a |
|
|
a |
|
|
|
|
t |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
F ' |
F |
x, z, writem ; |
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
если |
|
|
writet |
|
и |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
x, y |
|
Ns S, то |
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
F ' |
F |
x, z, write |
t |
; |
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
если |
|
|
writet |
и |
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
x, z Ls S |
|
|
, |
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
то F' = F |
|
|
|
|
|
|
|
|
||||
x, z S; z E; x z; x, y, |
|
|
|
, |
S ' |
S; E' |
E; R' |
R; H ' |
H ; |
|
|
|
|||||||||||||
z, y, read |
a |
|
|
A F ,где |
|
|
|
|
|
fs' |
fs ; |
fe' |
fe ;CCR' |
|
CCR; |
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
write |
a |
, append , write |
m |
, write |
если |
|
|
writet , то |
|
|
|
|
|
||||||||||||
|
|
|
|
a |
|
|
|
|
|
t |
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
F ' |
F x, z, write |
m |
; |
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
если |
|
|
writet |
и y |
Ns S, |
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
то F ' |
|
F x, z, write |
t |
; |
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
если |
|
|
writet |
и |
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
y LS S, то x, z , то F' =F |
||||||||||||
x, z S; z E; z y ; f |
s |
x |
f |
|
( y) и |
S ' |
S; E ' |
E; R' |
R; H ' |
H ; f ' |
x f |
s |
y ; |
||||||||||||
|
|
|
|
|
|
s |
|
|
|
|
|
|
|
|
|
|
|
|
|
s |
|
|
|||
или х = z, или (x, z, writem) F |
f ' |
f ; f ' |
f ;CCR' |
CCR; |
|
|
|
|
|||||||||||||||||
s |
s |
|
e |
e |
|
|
|
|
|
|
|
|
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
для s |
|
S \ x |
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
выполняется равенство |
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
fs' s |
|
fs s |
|
|
|
|
|
|
|
|
17
Безопасность в смысле Белла-Ла Падулы
В рамках мандатной ДП-модели доказано утверждение, аналогичное утверждению, обоснованному в теореме 4 данной работы (базовой теореме безопасности модели БеллаЛаПадулы).
|
Теорема 5. (БТБ-ДП). |
Пусть |
|
|
G0 |
S0 , E0 , R0 A0 Fo , H0 , |
fs0 , |
fe0 ,CCR0 |
— начальное сос- |
тояние системы (G* ,OP) , являющееся безопасным в смыс- |
||||
ле |
Белла-ЛаПадулы, и |
A0 |
F0 . |
Тогда система |
|
(G* ,OP,G ) является безопасной в смысле Белла-ЛаПадулы. |
|||
|
0 |
|
|
|
Таким образом, в системе |
(G* ,OP) по теореме 2 не |
могут быть реализованы запрещенные информационные потоки второго вида (информационные потоки по памяти от сущностей с большим уровнем конфиденциальности к сущностям с меньшим уровнем конфиденциальности).
Типовые задачи
Задание 1. Опишите состояния системы Белла-
ЛаПадулы |
со |
следующими |
параметрами: |
S |
s1, s2 , |
O o1, o2 , |
R |
read , write , L, |
Low, High , |
M |
— не |
используется, fs |
s1 f0 o1 Low, fs s2 fo o2 |
High.. Под- |
считайте количество различных состояний системы для следующих случаев:
в системе не требуется выполнение свойств безопасности;
в системе требуется выполнение только ss-свойства; в системе требуется выполнение ss -свойства и *- свойства.
18