Модель системы безопасности HRU. Основные положения модели. Теорема об алгоритмической неразрешимости проблемы безопасности в произвольной системе.

Модель HRU используется для анализа системы защиты, реализую­щей дискреционную политику безопасности, и ее основного элемента - матрицы доступов. При этом система защиты представляется конечным ав­томатом, функционирующим согласно определенным правилам перехода.

Модель HRU была впервые предложена в 1971 г. В 1976 г. появилось формальное описание модели.

Обозначим: О-множество объектов системы; S-множество субъек­тов системы (SÍO); R- множество прав доступа субъектов к объектам, например права на чтение (read), на запись (write), владения (own); M-матрица доступа, строки которой соответствуют субъектам, а столбцы -объектам; - права доступа субъекта s к объекту о.

Отдельный автомат, построенный согласно положениям модели HRU, будем называть системой. Функционирование системы рассматри­вается только с точки зрения изменений в матрице доступа. Возможные изменения определяются шестью примитивными операторами: внести право, удалить право, создать субъекта, создать объект, уничтожить субъект, уничтожить объект.

В результате выполнения примитивного оператора α осуществляется переход системы из состояния Q = (S,O,M) в новое состояние . Данный переход обозначим через Q├_aQ'. Из примитивных операторов могут составляться команды, каждая из которых состоит из двух частей: условия, при котором выполняется команда, последовательности примитивных операторов.

Однако, как показывают результаты анализа модели HRU, задача построения алгоритма проверки безопасности сис­тем, реализующих дискреционную политику разграничения прав доступа, не может быть решена в общем случае.

Обозначим состояние безопасности системы:

Определение 1. Будем считать, что возможна утечка права rÎR? в ре­зультате выполнения команды с, если при переходе системы в состояние Q' выполняется примитивный оператор, вносящий r в элемент матрицы доступов М, до этого r не содержавший.

Определение 2. Начальное состояние Q₀ называется безопасным по отношению к некоторому праву r, если невозможен переход системы в такое состояние О, в котором может возникнуть утечка права r.

Теорема.Задача проверки безопасности произвольных систем ал­горитмически неразрешима.

Доказательство. Для доказательства теоремы воспользуемся фак­том, доказанным в теории машин Тьюринга: не существует алгоритма проверки для произвольной машины Тьюринга и произвольного начально­го слова остановится ли машина Тьюринга в конечном состоянии или нет.

Под машиной Тьюринга понимается способ переработки слов в ко­нечных алфавитах. Слова записываются на бесконечную в обе стороны ленту, разбитую на ячейки. Суть: При сопоставлении машины Тьюринга и модели HRU, элементы и команды машины Тьюринга представляются в виде элементов и команд модели HRU. Зададим матрицу дос­тупов М в текущем состоянии. Для каждой команды машины Тьюринга задается соответствующая ей команда модели HRU. Если машина Тьюринга останавливается в своем конечном состоя­нии, то в соответствующей системе, построенной на основе модели HRU, происходит утечка права доступа. Из алгоритмической неразре­шимости задачи проверки - остановится ли машина Тьюринга в конечном состоянии, следует аналогичный вывод для задачи проверки безопасно­сти соответствующей ей системы HRU. Таким образом, в общем случае для систем дискреционного разграничения доступа, построенных на осно­ве модели HRU, задача проверки безопасности алгоритмически неразре­шима.

Дальнейшие исследования модели HRU велись в основном в на­правлении определения условий, которым должна удовлетворять систе­ма, чтобы для нее задача проверки безопасности была алгоритмически разрешима. Так, в 1976 г. было доказано, что эта задача разрешима для систем, в которых нет операции "создать". В 1978 г. показано, что таковыми могут быть системы монотонные и моноусловные, т.е. не со­держащие операторов "уничтожить" или "удалить" и имеющие только ко­манды, части условия которых имеют не более одного предложения. В том же году показано, что задача безопасности для систем с конеч­ным множеством субъектов разрешима, но вычислительно сложна.

Модель распространения прав доступа Take-Grant. Теоремы о передаче прав в графе доступов, состоящем из субъектов, и произвольном графе доступов. Расширенная модель Take-Grant и ее применение для анализа информационных потоков в АС.

1. Модель распространения прав доступа Take-Grant.

Модель Take-Grant - это формальная модель, используемая в области компьютерной безопасности, для анализа систем дискреционного разграничения доступа; подтверждает либо опровергает степени защищенности данной автоматизированной системы, которая должна удовлетворять регламентированным требованиям. Модель представляет всю систему как направленный граф, где узлы - либо объекты, либо субъекты. Дуги между ними маркированы, и их значения указывают права, которые имеет объект или субъект (узел). В модели доминируют два правила: "давать" и "брать". Они играют в ней особую роль, переписывая правила, описывающие допустимые пути изменения графа. В общей сложности существует 4 правила преобразования: "брать", "давать", "создать", "удалить";

Обычная модель

О - множество объектов (файлы, сегменты памяти и т.д.)

S - множество субъектов (пользователи, процессы системы)

R = {r1, r2, r3, r4, ..., rn } U {t,g} - множество прав доступа

t [take] - право брать "права доступа"

g [grant] - право давать "права доступа"

G = (S, O, E) - конечный, помеченный, ориентированный граф без петель.

× - объекты, элементы множества О

• - субъекты, элементы множества S

E ∈ O x O x R - дуги графа. Состояние системы описывается ее графом.

Преобразование G в граф G' = правило и обозначается:

Правило"Брать"

Брать = take(r, x, y, s), r∈R,

Пусть s∈S, x,y∈O - вершины графа G

Тогда граф G:

Т.е. субьект S берет у объекта X права r на объект Y.

Правило"Давать"

Давать = grant(r, x, y, s), r∈R,

Пусть s∈S, x,y∈O - вершины графа G

Тогда граф G:

Т.е. субьект S дает объекту X права r на объект Y.

Правило"Создать"

Создать = create(r, x, s), r∈R,

Пусть s∈S, x,y∈O - вершины графа G

Тогда граф G:

Правило "Удалить"

Удалить = remove(r, x, s), r ∈ R,

Пусть s ∈ S, x,y ∈ O - вершиныграфа G

Тогда граф G:

2. Теоремы о передаче прав в графе доступов, состоящем из субъектов, и произвольном графе доступов.

В модели Take-Grant основное внимание уделяется определению ус­ловий, при которых в системе возможно распространение прав доступа определенным способом.

• способа санкционированного получения прав доступа;

• способа похищения прав доступа.

----Санкционированное получение прав доступа.

Данный способ характеризуется тем, что при передаче прав доступа не накладываются ограничения на кооперацию субъектов системы, участвующих в этом процессе.

Пусть х, уÎО - различные объекты графа доступа G₀=(S₀,O₀,E₀), aÍR. Определим предикат "возможен доступ" (a,х,у, G₀), который будет истинным тогда и только тогда, когда существуют графы G₁=(S₁,O₁,E₁),.... G_n=(S_n,O_n,E_n), такие, что:

G₀├op1 G₁├op2…├opN G_n и (x,y,a)ÎE_n.

Определение 1. Говорят, что вершины графа доступов являются tg-связными или что они соединены tg-путем, если (без учета направле­ния дуг) в графе между ними существует такой путь, что каждая дуга этого пути помечена t или g. Будем говорить, что вершины непосредственно tg-связны, если tg-путъ между ними состоит из единственной дуги.

Теорема 1. Пусть G₀=(S₀,O₀,E₀) - граф доступов, содержащий толь­ко вершины-субъекты. Тогда предикат "возможен доступ" (a,х,у,G₀) исти­нен тогда и только тогда, когда выполняются следующие условия 1 и 2.

Условие 1. Существуют субъекты s_l .... s_m, такие, что (s_i,y,g_i,)ÎE₀ для i=1,...,m и a = g₁È…Èg_m.

Условие 2. Субъект х соединен в графе G₀ tg-путем с каждым субъ­ектом s_i, для i=1,...,m.

Для определения истинности предиката "возможен доступ" в произ­вольном графе необходимо ввести ряд дополнительных понятий.

Определение 2. Островом в произвольном графе доступов G₀ назы­вается его максимальный tg-связный подграф, состоящий только из вер­шин субъектов.

Определение 3. Мостом в графе доступов G₀ называется tg-путь, концами которого являются вершины-субъекты; при этом словарная запись tg-пути должна иметь вид ^→t*. ^←t*, ^→t*^→g^←t*, ^→t*^←g^←t*, где символ * означа­ет многократное (в том числе нулевое) повторение.

Определение 4. Начальным пролетом моста в графе доступов G₀ на­зывается tg-путь, началом которого является вершина-субъект; при этом словарная запись tg-пути должна иметь вид ^→t*^→g.

Определение 5. Конечным пролетом моста в графе доступов G₀ на­зывается tg-путь, началом которого является вершина-субъект; при этом словарная запись tg-пути должна иметь вид ^→t*.

Теорема 2. Пусть G₀=(S₀,O₀,E₀) - произвольный граф доступов. Предикат "возможен доступ"(a,х,у, G₀) истинен тогда и только тогда, когда выполняются условия 3, 4 и 5.

Условие 3. Существуют объекты s₁,...,s_m, такие, что (s_i,y,g_i)ÎE₀, i=1,...,m, и a = g₁È…Èg_m.

Условие 4. Существуют вершины-субъекты x₁,...,x_m и s₁,...,s_m, та­кие, что:

· х=х_i или х_i, соединен с х начальным пролетом моста для i=1,...,m;

· s_i=s_i или s_i соединен с а конечным пролетом моста для i=1,.... m.

Условие 5. Для каждой пары (х_i, s_i), i=1, ...,m, существуют острова l_i,1… l_i,ui, u_i³1, такие, что х_iÎl_i,1, s_iÎl_i,uiи мосты между островами l_i,jи l_i,j+1,u_i>j³1.

----Похищениеправ доступа

Способ передачи прав доступа предполагает идеальное сотрудничество субъектов В случае похищения прав доступа предполагается, что передача прав доступа объекту осуществляется без содействия субъекта, изначально обладавшего передаваемыми правами Пусть х,у  О-различные объекты графа доступа Go = (So,O₀,Eo), a RОпределим предикат "возможно похищение" (a,x,y,Go), который будет ис­тинным тогда и только тогда, когда (x,y,a) Eo и существуют графы  = ( ), , такие, что

и (x,y,a) , при этом, если (s,y,a) Eo, то  =0,1, , Nвыполняется opK granf(a,s,z,y), К=1, N.

Теорема 2.Пусть Go = (So, Oo, Eo)- произвольный граф доступов Предикат "возможно похищение" (a,x,y,Go) истинен тогда и только тогда, когда выполняются условия 3, 4, 5

Условие 3(х,у,а)  Ео

Условие 4Существуют объекты , ,s_m, такие, что (s,,y, ,) Eo для i=1, ,т и a =

Условие 5Являются истинными предикаты "возможен доступ" (t,x, s,Go) для i =1, ,m

3. Расширенная модель Take-Grant и ее применение для анализа информационных потоков в АС.

В расширенной модели Take-Grant рассматриваются пути и стои­мости возникновения информационных потоков в системах с дискрецион­ным разграничением доступа

В классической модели Take-Grant по существу рассматриваются два права доступа tи g, а также четыре правила (правила де-юре) преобразо­вания графа доступов take, grant, create, removeВ расширенной модели дополнительно рассматриваются два права доступа на чтение r (read) и на запись w (write), а также шесть правил (правила де-факто) преобразо­вания графа доступов post, spy, find, passи два правила без названия.

Правила де-факто служат для поиска путей возникновения возмож­ных информационных потоков в системе. Эти правила являются следст­вием уже имеющихся у объектов системы прав доступа и могут стать при­чиной возникновения информационного потока от одного объекта к друго­му без их непосредственного взаимодействия.

В результате применения к графу доступов правил де-факто в него добавляются мнимые дуги, помечаемые r или wи изображаемые пункти­ром. Вместе с дугами графа, соответствующими правам доступа rи w (реальными дугами), мнимые дуги указывают на направления ин­формационных каналов в системе.

Правило де-факто (везде вместо реальных дуг могут быть мнимые дуги)

Важно отметить, что к мнимым дугам нельзя применять правила де-юре преобразования графа доступов. Информационные каналы нельзя брать или передавать другим объектам системы.