Дискреционная модель безопасности Харрисона-Руззо-Ульмана

Система обработки информации представляется в виде совокупности активных субъектов S, пассивных объектов O и конечного множества прав доступа R={r₁, …, r_n} (рисунок 8.1.1). Субъекты осуществляют доступ к информации, объекты содержат информацию, права доступа означают полномочия на выполнение соответствующих действий (чтение, запись, выполнение). Еще одним моментом является то, что все субъекты являются одновременно и объектами, это позволяет представлять права доступа между субъектами .

Текущее состояние системы в пространстве состояний определяется тройкой , где — матрица прав доступа субъектов к объектам. Строки матрицы соответствуют субъектам, а столбцы — объектам. Элемент матрицы содержит набор прав доступа субъекта к объекту , принадлежащих множеству прав доступа R.

Переход между различными состояниями осуществляется путем внесения изменений в матрицу с помощью команд.

Будем описывать команды в следующем виде:

.

.

.

Рисунок 8.1.1 — Дискреционная модель безопасности Харрисона-Руззо-Ульмана

Здесь — имя команды; — параметры команды, являющиеся идентификаторами субъектов и объектов; s_i и o_i — индексы субъектов и объектов; op_i — элементарные операции, описанные ниже.

Элементарные операции составляющие команду, выполняются только в том случае, если все условия, означающие присутствие указанных прав доступа в ячейках матрицы M, являются истинными.

Классическая модель допускает только следующие элементарные операции:

· enter r into M[s, o] — добавление субъекту s права г для объекта о;

· delete r from M[s, o] — удаление у субъекта а права г для объекта о;

· create subject s — создание нового субъекта s;

· create object о — создание нового объекта о;

· destroy subject s — удаление существующего субъекта s;

· destroy object о — удаление существующего объекта о.

Применение любой элементарной операции ор в системе, находящейся в состоянии Q=(S, О, М) влечет за собой переход в другое состояние Q'=(S', O', М'), которое отличается от предыдущего состояния Q по крайней мере одним компонентом. Выполнение базовых операций приводит к следующим изменениям в состоянии системы:

enter r into M[s, о] (где s Î S, о Î O)

O' = O

S' = S

М'[х_s, х_o] = М[х_s, х_o], если (х_s, х_o) ¹ (s, о)

М'[s, o] = М[s, o] È {r}

delete r from M[s, о] (где s Î S, о Î O)

O' = O

S' = S

М'[х_s, х_o] = М[х_s, х_o], если (х_s, х_o) ¹ (s, о)

М'[s, o] = М[s, o] \ {r}

create subject s (где s Ï S)

O' = O È {s}

S' = S È {s}

М'[х_s, х_o] = М[х_s, х_o], для всех (х_s, х_o) Î S ´ O

М'[s, х_o] = Æ для всех х_o Î O'

М'[s, х_s] = Æ для всех х_s Î S'

destroy subject s (где s Î S)

O' = O \ {s}

S' = S \ {s}

М'[х_s, х_o] = М[х_s, х_o], для всех (х_s, х_o) Î S' ´ O'

create object o (где o Ï O)

O' = O È {o}

S' = S

М'[х_s, х_o] = М[х_s, х_o], для всех (х_s, х_o) Î S ´ O

М'[x_s, х_o] = Æ для всех х_s Î S'

destroy object o (где o Î O)

O' = O \ {o}

S' = S

М'[х_s, х_o] = М[х_s, х_o], для всех (х_s, х_o) Î S' ´ O'

Формальное описание системы состоит из следующих элементов:

· конечный набор прав доступа R={r₁, …, r_n};

· конечные наборы исходных субъектов и объектов S₀={s₁, …, s_l} и объектов O₀={o₁, …, o_m}, где S₀ Í O₀;

· исходная матрица доступа, содержащая права доступа субъектов к объектам — М₀;

· конечный набор команд C={a_i(x₁,.., x_k)}, каждая из которых состоит из условий выполнения и интерпретации в терминах вышеперечисленных элементарных операций.

Поведение системы во времени моделируется с помощью последовательности состояний {Q_i}, в которой каждое последующее состояние является результатом применения некоторой команды из множества C к предыдущему Q_n+1 = C_n(Q_n). Таким образом, для заданного начального состояния только от условий команд из С и составляющих их операций зависит, сможет ли система попасть в то или иное состояние, или нет. Каждое состояние определяет отношения доступа, которые существуют между сущностями системы в виде множества субъектов, объектов и матрицы прав. Поскольку для обеспечения безопасности необходимо наложить запрет на некоторые отношения доступа, для заданного начального состояния системы должна существовать возможность определить множество состояний, в которые она сможет из него попасть. Это позволит задавать такие начальные условия (интерпретацию команд С, множество объектов О₀, субъектов S₀ и матрицу доступа M₀), при которых система никогда не сможет попасть в состояния, нежелательные с точки зрения безопасности.

Все дискреционные модели уязвимы по отношению к атаке с помощью «троянского коня», поскольку в них контролируются только операции доступа субъектов к объектам, а не потоки информации между ними. Возможна ситуация, когда нарушитель подставит пользователю программу, переносящую информацию из доступного этому пользователю объекта в объект, доступный нарушителю. В данном случае формальное правило дискреционной политики безопасности не нарушается, но утечка информации происходит.