А.Ю.Щеглов Учебное пособие
.pdfсубъектов. Однако это приводит к неэффективному использованию ресурсов защищаемого объекта.
2.Модели управления доступом с взаимодействием субъектов доступа посредством виртуальных каналов.
Определение. Под виртуальным каналом взаимодействия субъектов
доступа будем понимать канал взаимодействия, реализованный с использованием существующих объектов доступа (без включения в систему дополнительных объектов).
Естественно, что в соответствии с классификацией каналов взаимодействия субъектов доступа виртуальные каналы для рассматриваемых моделей должны быть дуплексными и должны строиться на основе реализации пассивного симплексного канала, либо активного симплексного канала, реализованного с использованием операции “добавления” (использование операции “запись” здесь недопустимо в части необходимости защиты информации субъектов от возможности ее модификации).
Замечание. Для организации канала взаимодействия субъектов доступа целесообразно рассматривать следующее множество прав доступа, используемое для реализации канала взаимодействия субъектов доступа {Чт, Д}, где элемент «Д» обозначает добавление – это возможность пользователя добавить информацию в объект без возможности чтения объекта и без возможности модификации существующей в объекте информации при добавлении новой информации. Право доступа «Зп/Чт» обозначает право пользователя на чтение и запись информации.
Замечание. Право доступа «добавление» может быть реализовано с использованием права доступа «запись» при реализации соответствующих настроек (в предположении, что право «запись» может устанавливаться на все иерархические объекты – логический диск, каталог, файл). Например, если в качестве виртуального канала взаимодействия субъектов доступа использовать каталог, то всем пользователям следует разрешить в этот каталог записывать данные, но всем прользователям, кроме одного – владельца данных в каталоге, необходимо запретить «запись» в уже существующие в каталоге объекты (подкаталоги и файлы).
Замечание. При описании моделей нами будут рассматриваться только основные типы запросов доступа (общий их список может быть существенно расширен, например, моделью Белла-Лападулы рассматриваются 11 типов запросов), т.к. интерпретация моделей для остальных типов запросов доступа достаточна очевидна.
Модель управления доступом с дуплексными виртуальными каналами взаимодействия на основе пассивных симплексных каналов.
111
Рассмотрим матрицу доступа D для модели управления доступом с дуплексными виртуальными каналами взаимодействия на основе пассивных симплексных каналов.
|
|
С1 |
С2….Ck-1 |
Ck |
|
O1 |
|
Зп/Чт Чт |
Чт |
Чт |
|
|
|||||
O2 |
|
Чт |
Зп/Чт Чт |
Чт |
|
. |
|
……………………….…….. |
|||
D = . |
|
||||
|
……………………………… |
||||
|
|
||||
. |
|
|
|
|
|
Ok-1 |
|
Чт |
Чт |
Зп/Чт Чт |
|
Ok |
|
Чт |
Чт |
Чт |
Зп/Чт |
|
|
|
|
|
|
Модель управления доступом формально может быть описана следующим образом - элемент (Dij) матрицы Dij = Зп/Чт, если i = j, иначе
Dij = Чт.
К недостаткам данной модели можно отнести то, что она предотвращает лишь возможность несанкционированной модификации информации объектов, при этом, не разграничивая субъектам доступа к объектам «по чтению». Очевидно, что в таком виде виртуальный канал взаимодействия субъектов не применим (может использоваться лишь при введении дополнительных разграничений, либо условий, для канала взаимодействия субъектов доступа).
Модель управления доступом с дуплексными виртуальными каналами взаимодействия на основе активных симплексных каналов.
Рассмотрим матрицу доступа D для модели управления доступом с дуплексными виртуальными каналами взаимодействия на основе активных симплексных каналов.
|
|
С1 С2….Ck-1 |
Ck |
||
O1 |
|
Зп/Чт Д |
Д |
Д |
|
|
|||||
O2 |
|
Д |
Зп/Чт Д |
Д |
|
. |
|
……………………….…….. |
|||
D = . |
|
||||
|
……………………………… |
||||
|
|
||||
. |
|
|
|
|
|
Ok-1 |
|
Д |
Д |
Зп/Чт Д |
|
Ok |
|
Д |
Д |
Д |
Зп/Чт |
|
|
|
|
|
|
Модель управления доступом формально может быть описана следующим образом - элемент (Dij) матрицы Dij = Зп/Чт, если i = j, иначе
Dij = Д.
Данная модель практически лишена недостатков, присущих ранее рассмотренным моделям. Здесь в полном объеме реализуется
112
каноническая модель управления доступом, при этом обеспечивается возможность полноценного корректного взаимодействия субъектов доступа (каждый субъект доступа может взаимодействовать со всеми другими субъектами доступа системы без снижения уровня защищенности от НСД).
Будем называть данную модель, наиболее приемлемую для использования в рассматриваемых приложениях, канонической моделью управления доступом с взаимодействием субъектов.
Определение. Под канонической моделью управления доступом с взаимодействием субъектов для линейно упорядоченных множеств субъектов (групп субъектов) и объектов (групп объектов) доступа понимается модель, описываемая матрицей доступа, элементы главной диагонали которой «Зп/Чт» – задают полный доступ субъектов к объектам, остальные элементы «Д» – задают активные симплексные каналы взаимодействия с использованием операции «добавление».
Выводы:
1.Модели управления доступом различаются реализуемым в них каналом (каналами) взаимодействия субъектов доступа, при этом канал взаимодействия может быть выделенным, либо виртуальным; пассивным, либо активным; симплексным, либо дуплексным.
2.Для корректной реализации канала взаимодействия субъектов доступа в общем случае следует рассматривать не право доступа
“Зп” – “запись”, а право доступа “Д” - “добавление”, где «Д» предоставляет возможность пользователю добавить информацию в объект без возможности чтения объекта и без возможности модификации существующей в объекте информации при добавлении новой информации.
3.3.3.3. Классификация методов управления виртуальными каналами взаимодействия субъектов доступа
Выше рассматривались способы организации виртуального канала взаимодействия субъектов доступа. Рассмотрим методы управления ими. В Методы управления виртуальными каналами взаимодействия субъектов доступа могут быть классифицированы, как метод произвольного и принудительного управления, соответственно метод, комбинирующий данные подходы – метод произвольно-принудительного управления.
Определение. Под методом произвольного управления виртуальными каналами взаимодействия субъектов доступа понимается управление по усмотрению субъекта (владельца информации), при этом решение о предоставлении другому субъекту информации из объекта по виртуальному каналу принимается непосредственно субъектом, имеющим полный доступ к этой информации.
113
Определение. Под методом принудительного управления виртуальными каналами взаимодействия субъектов доступа понимается управление, реализуемое не по усмотрению субъекта (владельца информации), а на основании некоторой параметрической шкалы оценки субъектов и объектов доступа.
Метод произвольно-принудительного (комбинированного) управления виртуальными каналами взаимодействия субъектов доступа включает в себя элементы произвольного и принудительного управления доступом.
Таким образом, произвольное управление доступом реализуется в том случае, когда не может (либо не имеет смысла) быть введена какаялибо шкала оценки субъектов и объектов доступа, как следствие, каналы взаимодействия субъектов идентичны для всех субъектов доступа. Естественно, что в данных предположениях нецелесообразна какая-либо схема принудительного управления.
В соответствии с введенным ранее определением, каноническая модель управления доступом на основе произвольного управления виртуальными каналами взаимодействия субъектов доступа определяется канонической моделью управления доступом с взаимодействием субъектов для линейно упорядоченных множеств субъектов (групп субъектов) и объектов (групп объектов) и описывается матрицей доступа D, имеющей следующий вид.
|
|
С1 С2….Ck-1 |
Ck |
||
O1 |
|
Зп/Чт Д |
Д |
Д |
|
|
|||||
O2 |
|
Д |
Зп/Чт Д |
Д |
|
. |
|
……………………….…….. |
|||
D = . |
|
||||
|
……………………………… |
||||
|
|
||||
. |
|
|
|
|
|
Ok-1 |
|
Д |
Д |
Зп/Чт Д |
|
Ok |
|
Д |
Д |
Д |
Зп/Чт |
|
|
|
|
|
|
Модель управления доступом формально может быть описана следующим образом - элемент (Dij) матрицы Dij = Зп/Чт, если i = j, иначе
Dij = Д.
В данной модели каждому субъекту (группе субъектов) доступа предоставляется активный симплексный канал (чем и реализуются дуплексные каналы) взаимодействия со всеми остальными субъектами доступа (с субъектами других групп) с использованием операции «добавление».
Определение. Под канонической моделью управления доступом на основе метода произвольного управления виртуальными каналами взаимодействия субъектов доступа с взаимодействием субъектов для линейно упорядоченных множеств субъектов (групп субъектов) и
114
объектов (групп объектов) доступа понимается модель, описываемая матрицей доступа, элементы главной диагонали которой «Зп/Чт» – задают полный доступ субъектов к объектам, остальные элементы «Д» – задают активные симплексные каналы взаимодействия с использованием операции «добавление».
Основу принудительного управления виртуальными каналами взаимодействия субъектов доступа составляет введение некоторой параметрической шкалы оценки субъектов и объектов доступа.
Введем следующие обозначения. Пусть множества С = {С1,…, Ск} и О = {О1,…, Оk} – соответственно линейно полномочно упорядоченные множества субъектов и объектов доступа, упорядоченные таким образом, что, чем меньше порядковый номер субъекта доступа, тем он обладает большими полномочиями по доступу к объектам, соответственно, чем меньше порядковый номер объекта доступа, тем большие полномочия необходимы для доступа к объекту. В качестве субъекта доступа Сi, i = 1,…,k рассматривается как отдельный субъект, так и группа субъектов, обладающих одинаковыми правами доступа, соответственно, в качестве объекта доступа Оi, i = 1,…,k может также рассматриваться как отдельный объект, так и группа объектов, характеризуемых одинаковыми к ним правами доступа.
Определение. При линейно полномочном упорядочивании множеств субъектов и объектов доступа С = {С1,…, Ск} и О = {О1,…, Оk} i-й субъект может иметь доступ к объектам с порядковым номером не меньше i-го (к объектам Oi,…,Ok), соответственно к i-му объекту могут иметь доступ субъекты с порядковым номером не больше i-го (субъекты O1,…,Oi с порядковым номером не меньше i-го (к объектам Oi,…,Ok),).
Утверждение. При полномочном управлении доступом недопустимым является передача информации (организация виртуального канала взаимодействия субъектов доступа) из объектов с более высокими полномочиями (меньшим порядковым номером) доступа к ним в объекты с меньшими полномочиями (большим порядковым номером) доступа к ним.
Утверждение доказывается от обратного. Если подобное взаимодействие допустимо, то априори отсутствует полномочное упорядочивание объектов, т.е. собственно нивелируется параметрическая шкала оценки субъектов и объектов доступа.
1.Полномочная модель управления доступом с произвольным управлением виртуальными каналами взаимодействия субъектов доступа.
Особенностью данной модели управления доступом является то, что в каноническую модель управления доступом добавляются активные симплексные каналы, обеспечивающие взаимодействия субъектов,
115
имеющих более низкие полномочия, с субъектами с более высокими полномочиями.
Матрица доступа D, описывающая данную модель управления доступом, имеет следующий вид.
|
|
С1 С2….Ck-1 |
Ck |
||
O1 |
|
Зп/Чт Д |
Д |
Д |
|
|
|||||
O2 |
0 |
Зп/Чт Д |
Д |
||
. |
|
|
……………………….…….. |
||
D = . |
|
|
|||
|
|
……………………………… |
|||
|
|
|
|||
. |
|
|
|
|
|
Ok-1 |
0 |
0 |
Зп/Чт Д |
||
Ok |
0 |
0 |
0 |
Зп/Чт |
|
|
|
|
|
|
|
Модель управления доступом формально может быть описана следующим образом - элемент (Dij) матрицы Dij = Зп/Чт, если i = j, иначе Dij = 0, если i > j, соотвественно Dij = Д, если i < j, где i - порядковый номер объекта (номер строки в матрице доступа), j - порядковый номер субъекта (номер столбца в матрице доступа).
Для данной канонической модели управления доступом характерно то, что для доступа к объекту с полномочиями i, субъект должен иметь полномочия не ниже, чем i, где i = 1,…,k (полномочия линейно упорядочены по возрастанию – чем меньше номер, тем выше полномочия). В данной модели применяется метод произвольного управления виртуальными каналами взаимодействия субъектов доступа – субъекты с меньшими полномочиями могут «добавлять» информацию в объекты с большими полномочиями.
Определение. Под канонической моделью управления доступом на основе метода произвольного управления виртуальными каналами взаимодействия субъектов доступа с взаимодействием субъектов для линейно полномочно упорядоченных множеств субъектов (групп субъектов) и объектов (групп объектов) доступа понимается модель, описываемая матрицей доступа, элементы главной диагонали которой «Зп/Чт» – задают полный доступ субъектов к объектам равных полномочий, элементы, расположенные выше главной диагонали, «Д» – задают активные симплексные каналы взаимодействия с использованием операции «добавление» – субъекты с меньшими полномочиями могут «добавлять» информацию в объекты с большими полномочиями.
2.Полномочная модель управления доступом с принудительным управлением виртуальными каналами взаимодействия субъектов доступа.
Особенностью данной модели управления доступом является то, что в каноническую модель управления доступом добавляются пассивные
116
симплексные каналы, обеспечивающие взаимодействия субъектов, имеющих более высокие полномочия, с субъектами с более низкими полномочиями.
Матрица доступа D, описывающая данную модель управления доступом, имеет следующий вид.
|
|
С1 |
С2….Ck-1 |
Ck |
|
O1 |
|
Зп/Чт 0 |
0 |
0 |
|
|
|||||
O2 |
|
Чт |
Зп/Чт 0 |
0 |
|
. |
|
……………………….…….. |
|||
D = . |
|
||||
|
……………………………… |
||||
|
|
||||
. |
|
|
|
|
|
Ok-1 |
|
Чт |
Чт |
Зп/Чт 0 |
|
Ok |
|
Чт |
Чт |
Чт |
Зп/Чт |
Модель управления доступом формально может быть описана следующим образом - элемент (Dij) матрицы Dij = Зп/Чт, если i = j, иначе Dij = Чт, если i > j, соотвественно Dij = 0, если i < j, где i - порядковый номер объекта (номер строки в матрице доступа), j - порядковый номер субъекта (номер столбца в матрице доступа).
Для данной канонической модели управления доступом характерно то, что для доступа к объекту с полномочиями i, субъект должен иметь полномочия не ниже, чем i, где i = 1,…,k (полномочия линейно упорядочены по возрастанию – чем меньше номер, тем выше полномочия). В данной модели применяется метод принудительного управления виртуальными каналами взаимодействия субъектов доступа – субъекты с большими полномочиями имеют принудительное для объектов
сменьшими полномочиями право «читать» из них информацию в объекты
сбольшими полномочиями.
Определение. Под канонической моделью управления доступом на основе метода принудительного управления виртуальными каналами взаимодействия субъектов доступа с взаимодействием субъектов для линейно полномочно упорядоченных множеств субъектов (групп субъектов) и объектов (групп объектов) доступа понимается модель, описываемая матрицей доступа, элементы главной диагонали которой «Зп/Чт» – задают полный доступ субъектов к объектам равных полномочий, элементы, расположенные ниже главной диагонали, «Чт» – задают пассивные симплексные каналы взаимодействия с использованием операции «чтение» – субъекты с большими полномочиями имеют принудительное для объектов с меньшими полномочиями право «читать» из них информацию в объекты с большими полномочиями.
117
3.Полномочная модель управления доступом с комбинированным управлением виртуальными каналами взаимодействия субъектов
доступа.
Особенностью данной модели управления доступом является то, что в каноническую модель управления доступом добавляются дуплексные каналы взаимодействия субъектов доступа - активные симплексные каналы, обеспечивающие взаимодействия субъектов, имеющих более низкие полномочия, с субъектами с более высокими полномочиями и пассивные симплексные каналы, обеспечивающие взаимодействия субъектов, имеющих более высокие полномочия, с субъектами с более низкими полномочиями.
Матрица доступа D, описывающая данную модель управления доступом, имеет следующий вид.
|
|
С1 |
С2….Ck-1 |
Ck |
|
O1 |
|
Зп/Чт Д |
Д |
Д |
|
|
|||||
O2 |
|
Чт |
Зп/Чт Д |
Д |
|
. |
|
……………………….…….. |
|||
D = . |
|
||||
|
……………………………… |
||||
|
|
||||
. |
|
|
|
|
|
Ok-1 |
|
Чт |
Чт |
Зп/Чт Д |
|
Ok |
|
Чт |
Чт |
Чт |
Зп/Чт |
|
|
|
|
|
|
Модель управления доступом формально может быть описана следующим образом - элемент (Dij) матрицы Dij = Зп/Чт, если i = j, иначе Dij = Чт, если i > j, соотвественно Dij = Д, если i < j, где i - порядковый номер объекта (номер строки в матрице доступа), j - порядковый номер субъекта (номер столбца в матрице доступа).
Для данной модели управления доступом характерно то, что для доступа к объекту с полномочиями i, субъект должен иметь полномочия не ниже, чем i, где i = 1,…,k (полномочия линейно упорядочены по возрастанию – чем меньше номер, тем выше полномочия). В данной модели соответственно применяется и метод произвольного управления виртуальными каналами взаимодействия субъектов доступа – субъекты с меньшими полномочиями могут «добавлять» информацию в объекты с большими полномочиями, и метод принудительного управления виртуальными каналами взаимодействия субъектов доступа – субъекты с большими полномочиями имеют принудительное для объектов с меньшими полномочиями право «читать» из них информацию в объекты с большими полномочиями (комбинация методов).
Определение. Под канонической моделью управления доступом на основе метода комбинированного управления виртуальными каналами взаимодействия субъектов доступа с взаимодействием субъектов для
118
линейно полномочно упорядоченных множеств субъектов (групп субъектов) и объектов (групп объектов) доступа понимается модель, описываемая матрицей доступа, элементы главной диагонали которой «Зп/Чт» – задают полный доступ субъектов к объектам равных полномочий, элементы, расположенные выше главной диагонали, «Д» – задают активные симплексные каналы взаимодействия с использованием операции «добавление» – субъекты с меньшими полномочиями могут «добавлять» информацию в объекты с большими полномочиями; элементы, расположенные ниже главной диагонали, «Чт» – задают пассивные симплексные каналы взаимодействия с использованием операции «чтение» – субъекты с большими полномочиями имеют принудительное для объектов с меньшими полномочиями право «читать» из них информацию в объекты с большими полномочиями.
Вывод.
1.В общем случае могут быть выделены методы произвольного и принудительного (полномочного – на основании имеющихся у пользователей полномочий) управления виртуальными каналами взаимодействия субъектов доступа. Под методом произвольного управления виртуальными каналами взаимодействия субъектов доступа понимается управление по усмотрению субъекта (владельца информации), при этом решение о предоставлении другому субъекту информации из объекта по виртуальному каналу принимается непосредственно субъектом, имеющим полный доступ к этой информации. Под методом принудительного управления виртуальными каналами взаимодействия субъектов доступа понимается управление, реализуемое не по усмотрению субъекта (владельца информации), а на основании некоторой параметрической шкалы оценки субъектов и объектов доступа (полномочий).
2.В общем случае различие моделей управления доступом базируется на отличиях способов реализации канала взаимодействия субъектов доступа и методах управления им
3.Задача управления доступом решена корректно в том случае, если диспетчером доступа реализуется одна из рассмотренных канонических моделей (для полномочных моделей в предположении, что при полномочном управлении корректно задана параметрическая шкала оценки субъектов и объектов доступа).
3.3.4. Классификация механизмов управления доступом. Дискреционный и мандатный механизмы управления доступом
Итак, выше нами были определены канонические модели управления доступом, канонические в том смысле, что обеспечивают
119
корректное решение задачи управления доступом и имеют общий вид для соответствующих условий решения задачи.
Показано, что отличие моделей управления доступом базируется на отличиях способов реализации канала взаимодействия субъектов доступа и методах управления им.
Здесь рассмотрим возможные способы реализации моделей диспетчером доступа, определим механизмы, реализуемые диспетчером доступа – правила разграничения доступа, реализуемые диспетчером, и используемую диспетчером учетную информацию субъектов и объектов доступа.
Замечание. Очевидно, что при реализации различными механизмами одной и той же модели управления доступом данные механизмы идентичны (так как именно видом реализуемой модели характеризуются реализуемые принципы разграничения доступа к ресурсу, а не механизмами реализации моделей диспетчером доступа), их отличие состоит лишь в способе задания и обработки учетной информации субъектов и объектов доступа. Механизм управления доступом, реализуемый диспетчером доступа, это лишь способ обработки запросов доступа в соответствии с реализуемой моделью управления доступом.
На сегодняшний день широко используются понятия дискреционного и мандатного механизмов управления доступом. Дадим этим механизмам свои (не противоречащие известным) определения, с учетом сказанного ранее.
Определение. Под дискреционным механизмом управления доступом понимается способ обработки запросов диспетчером доступа, основанный на задании правил разграничения доступа в диспетчере непосредственно матрицей доступа D.
Таким образом, дискреционный механизм управления доступом предполагает задание в качестве учетной информации субъектов и объектов их идентификаторов (например, имя пользователя и имя файлового объекта), в качестве правил разграничения доступа – матрицы доступа D. При запросе доступа, поступающего в диспетчер доступа от субъекта, см. рис.2.16, диспетчер из запроса получает идентификаторы субъекта и объекта, затем находит элемент матрицы доступа на основе учетных данных субъекта и объекта, осуществляет управление запросом доступа на основании выбранного элемента матрицы доступа.
С учетом того, что при управлении доступом диспетчером анализируется собственно матрица доступа, дискреционный механизм управления доступом является универсальным в части того, что им может быть реализована любая (из рассмотренных выше) модель управления доступом, в том числе и полномочного управления.
Замечание. Ранее были представлены канонические модели управления доступом, задающие корректные разграничения в общем
120