МОДЕЛЬ ХАРРІСОНА-РУЗО-УЛЬМАНА

Модель Харрісона-Рузо-Ульмана (матрична модель) використовується для аналізу системи захисту, що реалізує дискреционную політику безпеки. При цьому система представляється кінцевим автоматом, що функціонує відповідно до певних правил переходу.

При використанні матричної моделі доступу повинні бути визначені безлічі суб'єктів S, об'єктів О і прав доступу R. Як суб'єктів системи розглядаються в першу чергу виконуються програми, тому передбачається, що ScO. Умови доступу суб'єкта seS до об'єкта оеО визначаються матрицею доступу. Нехай, наприклад, безліч прав доступу складається з прав на читання (г), запис (w), виконання (е). Заборона буде відповідати порожньому безлічі прав доступу (0). Тоді матриця доступу може бути такою, як представлено в табл. 1.1.

Т Абліцов 1.1

Приклад матриці доступу

-

О,

02

03

04

Si

rwe

0

rw

rw

s 2

e

rwe

r

0

Тут ми припускаємо, що об'єкти про ь про 2 - це виконувані файли, які після запуску стають суб'єктами Si і s 2 .

Могуг визначатися і інші набори прав, наприклад, {читання, запис, володіння}.

При описі систем з великим числом об'єктів і суб'єктів розмірність матриці доступу може вийти досить значною. Для її зниження однакові за наявними прав суб'єкти та подібні за значимістю об'єкти можна організувати в групи і давати дозволу групі суб'єктів на групу об'єктів.

Функціонування системи розглядається з точки зору змін в матриці доступу. Модель визначає 6 примітивних операцій: «створити» / «знищити» об'єкт і суб'єкт, «внести» / «видалити» право доступу суб'єкта до об'єкта. Їх опис наведено в табл. 1.2.

Т Абліцов 1.2

Елементарні операції моделі Харрісона-Рузо-Ульмана

Початковий стан системи описується безліччю прав доступу R, безліччю суб'єктів S, безліччю об'єктів О (ScO, потужності зазначених множин ISI = i, IOI = j, i <j), матрицею доступу M ixj (елемент матриці, відповідний суб'єкту s і вказуючи позначається M [s, o] і є підмножиною множини прав доступу). Кінцевий стан (після виконання операції) - S ', O', М R (безліч прав доступу не змінюється).

З примітивних операторів можуть складатися команди. Команда складається з двох частин: умови, при якому вона виконується, і послідовності операторів.

Загальний вигляд команди [3]: command C (xi, x k ):

if Г16 M [x sl , x ol ] and ... and r m € M [x sm , x om ] then

Ofi;

Of л r

end,

де Г], ..., r m e R - права доступу, a ,, ..., a ,, - послідовність примітивних операторів. При виконанні команди система переходить зі стану Q в новий стан Q '. При цьому, якщо хоча б одна з умов команди не виконано, Q = Q Для прикладу розглянемо команду створення суб'єктом s файлу f. Безліч прав доступу - читання (read), запис (write), володіння (own). Вважаємо, що для створення файлу не вимагається виконання будь-яких додаткових умов.

command «створити файл» (s, f)

«Створити» об'єкт f;

«Внести» право володіння own в М [s, f]; «Внести» право на читання read в M [s, f]; «Внести» право на запис write в M [s, f];

end.

Як показали результати аналізу даної моделі безпеки, завдання побудови алгоритму перевірки безпеки систем, що реалізують дискреционную політику безпеки, нс може бути вирішена в загальному випадку.

Введемо ряд визначень.

Будемо вважати, що можлива витік права г е R в результаті виконання команди с, якщо при переході системи в кінцевий стан Q 'виконується примітивний оператор, що вносить г в елемент матриці доступів М, до цього г не що мав.

Початковий стан Q () називається безпечним по відношенню до деякого праву г, якщо неможливий перехід системи в такий стан Q, в якому може виникнути витік права р

Система називається моноопераціонной, якщо кожна команда містить тільки один примітивний оператор.

Для моделі Харрісона-Рузо-Ульмана були доведені наступні твердження:

  • 1. Існує алгоритм, який перевіряє, чи є початковий стан моноопераціонной системи безпечним для даного права р
  • 2. Завдання перевірки безпеки довільних систем алгоритмічно нерозв'язна.

Таким чином, з одного боку, загальна модель Харрісона- Рузо-Ульмана може висловлювати велика різноманітність політик дискреційного доступу, але при цьому нс існує алгоритму перевірки їх безпеки. З іншого боку, можна віддати перевагу моноопераціонную систему, для якої алгоритм перевірки безпеки існує, але даний клас систем є занадто вузьким. Наприклад, моноопераціонние системи не можуть висловити політику, що дає суб'єктам права на створені ними об'єкти, т. К. Нс існує однієї операції, яка і створює об'єкт, і одночасно позначає його як належить створює суб'єкту.

 
Переглянути оригінал
< Попер   ЗМІСТ   ОРИГІНАЛ   Наст >