3.3. Модель совместного доступа с уполномоченными объектами
Чтобы сформулировать условие авторизации функции перехода для системы с уполномоченными субъектами, поддерживающей совместный доступ, переопределим функцию перехода T добавив к ее аргументам субъект (групповой или индивидуальный), который инициирует переход Ta:(SVR)V.
Так как уровень безопасности группового субъекта {x, у} определяется уровнями безопасности составляющих его субъектов {х} и {у}, достаточно контролировать только изменения уровней безопасности индивидуальных субъектов. Поэтому область определения функции управления уровнями C можно ограничить множествами объектов и простых субъектов, а ее область значений необходимо расширить за счет групповых субъектов: C: SO(S). Как и прежде, система, находящаяся в состоянии vV, при получении запроса rR от субъекта s S переходит из v в состояние v* =Ta(s, v, r).
Функция перехода Ta является авторизованной функцией перехода тогда и только тогда, когда для каждого перехода Ta(s,v,r)=v*, при котором v=((F,FH,FL),M) и v*=((F*,F*H,F*L)*,M*) выполняются следующие условия:
(1) для всех x S если F*H(x) FH(x) или F*L(x) FL(x), то sC(x);
(2) для всех o O если F (o) F (o) , то sC(o).
Система (vo,R,Ta) c совместным доступом и уполномоченными субъектами считается безопасной в том случае, если:
1) начальное состояние vo и все состояния, достижимые из него путем применения конечного числа запросов из R являются безопасными по критерию Белла-ЛаПадулы;
2) функция перехода Ta является авторизованной функцией перехода
Как и для модели индивидуального доступа из этого определения следует только необходимое условие безопасности системы.
3.4. Решетка мандатных моделей безопасности
Рассмотренные варианты мандатной модели различаются представлением взаимодействующих сущностей (индивидуальные или групповые субъекты), правилами контроля за изменением уровней безопасности (наличие/отсутствие уполномоченных субъектов), а также критериями безопасности (безопасные состояния или безопасные переходы). Отсюда следует различие и доказанных для каждой из рассмотренных моделей теорем о свойствах безопасности:
- необходимые и достаточные условия безопасности состояний для классической модели и модели совместного доступа,
- условие авторизации функции перехода, изменяющей уровни безопасности, для моделей с уполномоченными субъектами,
- достаточное условие безопасности состояний и переходов для моделей безопасного перехода.
Несмотря на некоторые различия, все рассмотренные модели построены на одних и тех же принципах, поскольку все они применяют единый механизм представления атрибутов безопасности в виде решетки и используют одни и те же методы доказательства свойств безопасности.
Благодаря этому рассмотренные модели можно связать между собой отношениями обобщения/конкретизации, которые показаны на рис. 4.1. Каждая стрелка на этом рисунке означает, что модель, из которой она исходит, является обобщением модели, на которую она указывает. Или, другими словами, модель, на которую указывает стрелка, представляет собой частный случай модели, из которой она исходит. Транзитивные отношения не показаны.
Отношения между мандатными моделями, показанные на рис. 4.1 позволяют сделать следующие заключения:
Модель совместного доступа представляет собой строгое обобщение классической модели Белла-ЛаПадулы, которая является ее частным случаем.
Так как уровни безопасности всех групповых субъектов определяются уровнями составляющих их индивидуальных субъектов, то ограничения доступа для индивидуальных субъектов {s}S идентичны ограничениям классической модели, однако все ограничения модели Белла-ЛаПадулы для субъектов sS, действуют и в отношении любого группового субъекта sS, содержащего s. Поэтому модель совместного доступа является более строгой, чем классическая модель Белла-ЛаПадулы.
Например, в соответствии с моделью группового доступа субъекту будет отказано в совместном доступе записи к объекту, несмотря на то, что он имеет к нему одиночный доступ записи, только из-за того, что субъект, с которым он желает разделять доступ, не имеет такого права. Проще говоря, для каждой операции права групповых субъектов определяются правами входящего в нее субъекта, который наименее уполномочен в отношении этой операции и этого объекта.
Рис. 4.1. Мандатные модели безопасности.
2. Модели с уполномоченными субъектами обобщают модели, не предусматривающие контроль за изменением уровней, которые можно рассматривать как их частный случай, когда все субъекты уполномочены изменять уровни безопасности любых субъектов и объектов.
Поэтому условия на функцию перехода, налагаемые моделями с уполномоченными субъектами, являются дополнительными по отношению к критериям безопасности других моделей.
3. Предложенные Мак-Лином критерий безопасности функции перехода и теорема о достаточных условиях безопасности системы во всех достижимых состояниях и при переходах между ними дополняют условия классической модели Белла-ЛаПадулы и позволяют доказать безопасность системы в процессе осуществления переходов.
Поэтому модели безопасного перехода являются конкретизацией моделей безопасного состояния.
Следовательно, множество систем с безопасной функцией перехода представляет собой подмножество систем, безопасных по критерию Белла-ЛаПадула.
Таким образом, единый подход к представлению системы в виде последовательности состояний и описанию взаимодействий, на котором основаны все мандатные модели, связывает все изложенные теоремы о свойствах безопасных систем в единую шкалу критериев безопасности, различающиеся достаточными и необходимыми условиями.
Мак-Лин показал, что на множестве мандатных моделей безопасности может быть построена формальная алгебра.
Отношение обобщения/конкретизации, показанное на рис. 4.1 является отношением порядка, позволяет сравнивать модели по степени строгости ограничений, и образует на множестве мандатных моделей формальную решетку.
Модель М1 является более строгой, чем модель М2 (М1М2), когда она является ее подмножеством (М1М2 = М1). Отношение М1 М2 означает, что если система является безопасной в соответствии моделью М1, то она тем более безопасна с точки зрения модели М2, или что модель М2 является обобщением модели М1.
Решетка моделей упрощает использование мандатных моделей при решении различных задач, поскольку она упорядочивает критерии безопасности - необходимые условия распространяются по иерархии сверху вниз (от общих моделей к конкретным), а достаточные - снизу наверх (от конкретных к обобщенным).
Если некоторое необходимое условие безопасности доказано для модели М1, то оно будет справедливо и для любой модели М2 М1.
Напротив, любое достаточное условие безопасности, доказанное для модели М2 будет справедливо и для любой модели М1 М2.
Отсюда следует, что наиболее эффективным решением задачи создания защищенной системы является построение ее функции перехода в соответствии с достаточными условиями модели безопасного перехода. При этом система будет безопасна как в любом состоянии, так и процессе переходов между ними.
С точки зрения анализа безопасности существующих систем предварительная проверка необходимых условий, сформулированных для моделей уполномоченных субъектов, модели Белла-ЛаПадула и модели совместного доступа, в случае их невыполнения позволяет избежать трудоемкой проверки достаточных условий.
Кроме того, решетка мандатных моделей позволяет выбирать для каждого конкретного применения наиболее подходящую по уровню ограничений модель, без необходимости проведения формального доказательства безопасности, и предоставляет возможность с однозначным результатом сравнивать системы, построенные в соответствии с различными моделями.
Построенная Мак-Лином решетка мандатных моделей безопасности обобщает результаты всех теоретических исследований в этой области, поскольку дает полную картину всех их возможностей и свойств.