Добавил:

Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Государственный университет морского и речного флота им. С.О. Макарова

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

ТОКБ2к / Лекция 4Мат методы.doc

Скачиваний:

Добавлен:

15.02.2015

Размер:

86.02 Кб

Скачать

☆

<<< < Предыдущая 12 / 22

2. Модель adept-50.

В основу проекта ADEPT-50 положена формальная модель управления защитой, обеспечивающая управление четырьмя видами объектов защиты: пользователь (u), терминал (t), задание (j) и файл (f). Каждый объект защиты описывается профилем защиты, т.е. свойствами защиты: разрешение (А), категория (С) и привилегия (F). В понятие "разрешение" входит множество упорядоченных уровней доступа. "Категория" определяется множеством дискретных типов доступа. Понятие "привилегия" включает множество пользователей, имеющих право привилегированного доступа. Свойство разрешение "определяется" как множество:

А={a⁰<a¹<…<a^w} (2.1),

где конкретный элемент а¹ представляет собой один из иерархически упорядоченных уровней доступа. Разрешение имеет отношение к профилю защиты пользователей. Категория - это дискретное множество состояний защиты с дискретными типами доступа:

C={c⁰,c¹,…c^y} (2.2).

Категория имеет отношение к объектам, доступ к которым осуществляет пользователь. Привилегия - это право доступа, предоставленное множеству пользователей, т.е.:

F={u/u_i - пользователь i} (2.3).

Обозначим множество разрешений А для терминала t через А_t, и пусть объект защиты определяет свойство р для а как Р_a. Таким образом можно говорить об А_u или С_j, имея в виду отдельное множество разрешений для некоторого пользователя и или отдельное множество категорий для конкретного задания j.

По отношению к привилегии появляются четыре важных свойства, а именно: привилегия для файлов, терминалов, заданий и пользователей. Чтобы различать аспект, под которым рассматривается данный пользователь, величину и обозначают индексами соответствующих объектов. Так u_f - обозначает пользователя с правами доступа по отношению к файлу f.

На основании этих соглашений определяются привилегии для каждого объекта защиты:

F_u={u} (2.4),

F_t={u_t⁰,u_t¹,…,u_t^l} (2.5),

F_j={u_j⁰,u_j¹,…,u_j^l} (2.6),

F_i={u_i⁰,u_i¹,…,u_i^l} (2.7).

Отношение (2.4) определяет, что привилегия пользователя ограничивается им самим, его права доступа единственны и не принадлежат никакому другому пользователю. Отношение (2.5) определяет. что привилегия терминала принадлежит l различным пользователям, обладающих правом доступа к терминалу t. Аналогичным образом отношения (2.6) и (2.7) определяют привилегии множества заданий и файлов.

С помощью рассмотренной модели можно определить понятие зашиты на высшем уровне. Пусть а и b являются объектами защиты, ар- некоторая функция, такая, что p(A_a)A, тогда:.

A_a A_b p(A_a)A_b (2.8),

C_a C_b C_a C_b C_a C_b (2.9),

F_a F_b F_a F_b F_a F_b (2.10).

Отношение (2.8) обозначает, что права доступа защищаемого объекта находятся на более высоком уровне, чем другого объекта A_b, при условии, что конкретное разрешение a_a превышает разрешение а_b. Из отношений (2.1)-(2.8) следует, что разрешение A_iследует определить количественно. Из (2.9) и (2.10) следует, что Р_a больше P_b тогда и только тогда, когда P_b является подмножеством Р_a.

Текущие события могут изменить свойства членов множества.

Пусть P_f¹ обозначает l-е P_f в данном контексте. Определим историю разрешения A_n . для 1-го события как:

A_n(0)=a_f⁰ (2.11),

А_n(l)=max(А_n(1-1),р(А_f^l)), l>0 (2.12).

Таким же образом можно определить историю категории С_n для 1-го события как:

С_n(0)=0 (2.13),

С_n(1)=С_n С_f^l, l>0 (2,14).

Отношения (2.11)-(2.14) рекурсивно определяют два множества, накапливающих историю обращения к файлам. История высшего разрешения А_n определяется отношением (2.12).

Отношение (2.11) задает начальное условие как некоторое низкое разрешение файла а_f⁰. Отношение (2.14) определяет историю высшей категории как объединение предыдущего С_n(l-1) и текущего С_f¹ множеств, а отношение (2.1З) определяет, что первоначальное объединение является пустым множеством. Определение свойств защиты можно проводить по таблице 2.1.

Для пользователей и значения А_u и С_u являются заданными константами, а значения F_u задаются отношением (2.4). Для терминала t значения А_t и С_t также являются заданными константами, а значения F_t задаются отношением (2.5). Если заданы А_u и А_t, то можно определить А_j как:

А_j=min(А_u,А_t) (2.15).

Аналогично, если заданы С_u и С_t, то определим С_j как:

C_j=C_uC_t. (2.16).

Таблица 2.1.

Объект

Свойство

Разрешение А

Категория С

Привилегия F

Пользователь и

Константа

Терминал t

Константа

u_tⁱ

Задание j

min(А_u,А_t)

C_uC_t

u_jⁱ

Файл f

Существующий файл

u_fⁱ

Константа

Новый файл

u_jⁱ

max(A_h(l-1)), p(A_f^l), l>0

С_h(l-1)C_f^l, l>0

С помощью (2.16) мы определяем F_jдля завершения тройки профиля защиты, существующий файл имеет свой профиль защиты, предопределенный заданными константами А_f и С_f, а F_f задается отношением (2.7). Только что созданный файл получает профиль

защиты из истории доступа к файлу заданий согласно следующим отношениям;

А_f=А_n(l) (2.17),

С_f=С_n(l) (2.18),

F_f=u_jⁱ (2.19).

Из отношений (2.11)-(2.14) следует, что история разрешения и категории накапливаются как функции событий l, отражающих доступ к файлам. Для поддержания целостности защиты значения этих историй никогда не будут больше профиля защиты и определяются как:

Аn()Aj (2.20),

Сn()Cj (2.21).

При l=0 можно видеть, как свойства преобразуются в проcтейшую форму. При возрастании l история накапливается, но никогда не превосходит верхней границы, установленной заданием. Таким образом привилегия нового файла всегда получается из привилегии задания, установленной отношением (2.6). Когда l=m=0 задание контролируется единственным пользователем, который является владельцем и создателем файла с единственной привилегией.

Управление доступом предусматривает контроль доступа пользователя к системе, терминалу и файлу. Доступ к системе обеспечивается при условии, что

uU (2.22),