2. Модель adept-50.
В основу проекта ADEPT-50 положена формальная модель управления защитой, обеспечивающая управление четырьмя видами объектов защиты: пользователь (u), терминал (t), задание (j) и файл (f). Каждый объект защиты описывается профилем защиты, т.е. свойствами защиты: разрешение (А), категория (С) и привилегия (F). В понятие "разрешение" входит множество упорядоченных уровней доступа. "Категория" определяется множеством дискретных типов доступа. Понятие "привилегия" включает множество пользователей, имеющих право привилегированного доступа. Свойство разрешение "определяется" как множество:
А={a0<a1<…<aw} (2.1),
где конкретный элемент а1 представляет собой один из иерархически упорядоченных уровней доступа. Разрешение имеет отношение к профилю защиты пользователей. Категория - это дискретное множество состояний защиты с дискретными типами доступа:
C={c0,c1,…cy} (2.2).
Категория имеет отношение к объектам, доступ к которым осуществляет пользователь. Привилегия - это право доступа, предоставленное множеству пользователей, т.е.:
F={u/ui - пользователь i} (2.3).
Обозначим множество разрешений А для терминала t через Аt, и пусть объект защиты определяет свойство р для а как Рa. Таким образом можно говорить об Аu или Сj, имея в виду отдельное множество разрешений для некоторого пользователя и или отдельное множество категорий для конкретного задания j.
По отношению к привилегии появляются четыре важных свойства, а именно: привилегия для файлов, терминалов, заданий и пользователей. Чтобы различать аспект, под которым рассматривается данный пользователь, величину и обозначают индексами соответствующих объектов. Так uf - обозначает пользователя с правами доступа по отношению к файлу f.
На основании этих соглашений определяются привилегии для каждого объекта защиты:
Fu={u} (2.4),
Ft={ut0,ut1,…,utl} (2.5),
Fj={uj0,uj1,…,ujl} (2.6),
Fi={ui0,ui1,…,uil} (2.7).
Отношение (2.4) определяет, что привилегия пользователя ограничивается им самим, его права доступа единственны и не принадлежат никакому другому пользователю. Отношение (2.5) определяет. что привилегия терминала принадлежит l различным пользователям, обладающих правом доступа к терминалу t. Аналогичным образом отношения (2.6) и (2.7) определяют привилегии множества заданий и файлов.
С помощью рассмотренной модели можно определить понятие зашиты на высшем уровне. Пусть а и b являются объектами защиты, ар- некоторая функция, такая, что p(Aa)A, тогда:.
Aa Ab p(Aa)Ab (2.8),
Ca Cb Ca Cb Ca Cb (2.9),
Fa Fb Fa Fb Fa Fb (2.10).
Отношение (2.8) обозначает, что права доступа защищаемого объекта находятся на более высоком уровне, чем другого объекта Ab, при условии, что конкретное разрешение aa превышает разрешение аb. Из отношений (2.1)-(2.8) следует, что разрешение Ai следует определить количественно. Из (2.9) и (2.10) следует, что Рa больше Pb тогда и только тогда, когда Pb является подмножеством Рa.
Текущие события могут изменить свойства членов множества.
Пусть Pf1 обозначает l-е Pf в данном контексте. Определим историю разрешения An . для 1-го события как:
An(0)=af0 (2.11),
Аn(l)=max(Аn(1-1),р(Аfl)), l>0 (2.12).
Таким же образом можно определить историю категории Сn для 1-го события как:
Сn(0)=0 (2.13),
Сn(1)=Сn Сfl, l>0 (2,14).
Отношения (2.11)-(2.14) рекурсивно определяют два множества, накапливающих историю обращения к файлам. История высшего разрешения Аn определяется отношением (2.12).
Отношение (2.11) задает начальное условие как некоторое низкое разрешение файла аf0. Отношение (2.14) определяет историю высшей категории как объединение предыдущего Сn(l-1) и текущего Сf1 множеств, а отношение (2.1З) определяет, что первоначальное объединение является пустым множеством. Определение свойств защиты можно проводить по таблице 2.1.
Для пользователей и значения Аu и Сu являются заданными константами, а значения Fu задаются отношением (2.4). Для терминала t значения Аt и Сt также являются заданными константами, а значения Ft задаются отношением (2.5). Если заданы Аu и Аt, то можно определить Аj как:
Аj=min(Аu,Аt) (2.15).
Аналогично, если заданы Сu и Сt, то определим Сj как:
Cj=CuCt. (2.16).
Таблица 2.1.
Объект
|
Свойство
|
||
Разрешение А
|
Категория С
|
Привилегия F
|
|
Пользователь и
|
Константа
|
Константа
|
u
|
Терминал t
|
Константа
|
Константа
|
uti
|
Задание j
|
min(Аu,Аt)
|
CuCt
|
uji
|
Файл f
|
Существующий файл
|
Существующий файл
|
ufi
|
Константа
|
Константа
|
||
Новый файл
|
Новый файл
|
uji
|
|
max(Ah(l-1)), p(Afl), l>0
|
Сh(l-1)Cfl, l>0
|
С помощью (2.16) мы определяем Fj для завершения тройки профиля защиты, существующий файл имеет свой профиль защиты, предопределенный заданными константами Аf и Сf, а Ff задается отношением (2.7). Только что созданный файл получает профиль
защиты из истории доступа к файлу заданий согласно следующим отношениям;
Аf=Аn(l) (2.17),
Сf=Сn(l) (2.18),
Ff=uji (2.19).
Из отношений (2.11)-(2.14) следует, что история разрешения и категории накапливаются как функции событий l, отражающих доступ к файлам. Для поддержания целостности защиты значения этих историй никогда не будут больше профиля защиты и определяются как:
Аn()Aj (2.20),
Сn()Cj (2.21).
При l=0 можно видеть, как свойства преобразуются в проcтейшую форму. При возрастании l история накапливается, но никогда не превосходит верхней границы, установленной заданием. Таким образом привилегия нового файла всегда получается из привилегии задания, установленной отношением (2.6). Когда l=m=0 задание контролируется единственным пользователем, который является владельцем и создателем файла с единственной привилегией.
Управление доступом предусматривает контроль доступа пользователя к системе, терминалу и файлу. Доступ к системе обеспечивается при условии, что
uU (2.22),
где U - множество всех разрешенных пользователей, зарегистрированных системой.
Доступ к терминалу обеспечивается при условии, что
uFt (2.23).
Если условия (2.22) и (2.23) выполняются, то по определению:
u=ut=uj (2.24).
Доступ к файлу разрешается, если
Рj>Рf (2.25)
для свойств А и С в соответствии с (2.8) и (2.9)
ujFj (2.26).
Если отношения (2.25) и (2.26) выполняются, то доступ разрешается, а значения Аn(l) и Сn(l) вычисляются из отношений (2.12) и (2.14).