35. Модель Белла-Лападулы как основа построения систем мандатного разграничения доступа. Основные положения модели. Основная теорема безопасности.

Основные положения модели. Классическая модель Белла-Лападула (БЛ) построена для анализа систем защиты, реализующих мандатное (полномочное) разграничение доступа. Возможность ее использования в качестве формальной модели таких систем непосредственно отмечена в критерии TCSEC ("Оранжевая книга"). Модель БЛ была предложена в 1975 г. Модель основана на правилах секретного документооборота, принятых в государственных и правительственных учреждениях многих стран. Основным положением модели является назначение всем участникам процесса обработки защищаемой информации специальных меток секретности, получивших название уровень безопасности. Все уровни безопасности основаны на принципе доминирования. Контроль доступа осуществляется в зависимости от уровня безопасности взаимодействующих сторон на основании 2 правил:

- уполномоченное лицо (субъект) имеет право читать только те документы, уровень безопасности которых не превышает его собственный уровень безопасности (допуск).

- уполномоченное лицо (субъект) имеет право заносить информацию только в те документы, уровень безопасности которых не ниже его собственного уровня безопасности.

Пусть определены конечные множества:

- множество субъектов системы;

- множество объектов системы;

R={read, write, append, execute} - множество видов доступа субъектов из S к объектам из О, где read - доступ на чтение, write-на запись, append-на запись в конец объекта, execute - на выполнение.

Обозначим:

B = {b SОR}-множество возможных множеств текущих доступов в системе;

М = - матрица разрешенных доступов, где - разрешенный доступ субъекта s к объекту о;

-множество уровней секретности, например L={U,C,S,TS}, где U < C < S < TS;

(f_s,f_o,f_c)F = L^s L^o L^s - тройка функций (f_s,f_o,f_c), определяющих:

f_s: SL - уровень допуска субъекта;

fo: OL -уровень секретности объекта;

fc: S→L -текущий уровень допуска субъекта, при этом sSf_c(s)≤ fs(s);

H - текущий уровень иерархии объектов;

- множество состояний системы;

- множество запросов системе;

- множество решений по запросам, например {yes, no, error};

- множество действий системы, где четверка (q, d, v₂, v₁,) W означает, что система по запросу q с ответом d перешла из состояния v₁ в состояние v₂,

- множество значений времени (T =0,1,2,...);

- множество функций , задающих все возможные последовательности запросов к системе;

-множество функций , задающих все возможные последовательности ответов системы по запросам;

-множество функций , задающих все возможные последовательности состояний системы.

Определение. называется системой, если выполняется для каждого, , где z₀-начальное состояние системы.

Определение. Каждый набор называется реализацией системы.

Определение. Если - реализация системы, то каждая четверка называется действием системы.

Определение. тройка удовлетворяет свойству простой секретности (ss-свойство) относительно , если X = execute, или X = append, или если X = read и , или X = write и

Определение. Состояние обладает ss-свойством, если для каждого этот элемент обладает ss-свойством относительно

Определение. Состояние обладает *-свойством, если для каждого при X = write текущий уровень субъекта равен уровню объекта , или при X=read , или при X=append

Определение. Состояние обладает *-свойством относительно множества субъектов , если оно выполняется для всех троек таких, что

Определение. Субъекты из множества называются доверенными

Лемма. Из *-свойства для состояния следует ss-свойство относительно для всех

Доказательство. Утверждение следует из условия .

Определение. Состояние обладает ds-свойством, если , где – матрица доступа состояния

Определение. Состояние называется безопасным, если оно обладает ss-свойством, *-свойством относительно и ds-свойством.

Определение. Реализация системы обладает ss-свойством (*-свойством, d-свойством), если в последовательности каждое состояние обладает ss-свойством (*-свойством, ds-свойством).

Определение. Системаобладает ss-свойством (*-свойством, ds-свойством), если каждая ее реализация обладает ss-свойством (*-свойством, ds-свойством).

Определение. Система называется безопасной, если она обладает ss-свойством, *-свойством, ds-свойством одновременно.

Теорема А1. Системаобладает ss-свойством для любого начального состояния , обладающего ss-свойством, тогда и только тогда, когда удовлетворяет условиям:

Условие 1. обладает ss-свойством относительно .

Условие 2. Если и не обладает ss-свойством относительно , то .

Теорема А2. Система обладает *-свойством относительно для любого начального состояния , обладающего *-свойством относительно , тогда и только тогда, когда удовлетворяет условиям:

Условие 1. , обладает *-свойством относительно *.

Условие 2. , и не обладает *-свойством относительно *, то .

Теорема A3 Системаобладает ds-свойством для любого начального состояния , обладающего ds-свойством, тогда и только тогда, когда удовлетворяет условиям:

Условие 1. , выполняется *

Условие 2. Если и , то ..

Теорема BST (Basic Security Theorem). Система безопасна тогда и только тогда, когда безопасное состояние и множество действий системы удовлетворяет условиям теорем А1, А2, A3 для каждого действия.