Lektsia 12

12 Лекция
Модель распространения прав доступа "TAKE-GRANT".
в системе с дискреционной политикой безопасности

Вопросы:
Дополнительные права на передачу доступа в модели.
Команды преобразования графов доступа для распространения прав.
Основные теоремы о передаче прав доступа.

Несмотря на недостатки дискретных моделей безопасности, относительно простая реализация их на практике, побудила исследователей к усовершенствованию моделей типа HRU, в которых проблема контроля распространения прав доступа алгоритмически не разрешима.
Поскольку административными методами разрешить эту проблему достаточно сложно ( существует возможность изменять права доступа если они есть в матрице), выход был найден в том, чтобы систему передачи прав доступа "встроить" в систему разграничения в виде дополнительных прав. Такой моделью явилась модель передачи прав доступа "TAKE-GRANT". В этой модели с использованием графов доступа доказывается безопасное состояние системы после изменения прав доступа к объекту или субъекту путем преобразования графов доступа.

11.1 Дополнительные права на передачу доступа в модели.

Будем по-прежнему описывать функционирование системы при помощи графов доступов Gt и траекторий в фазовом пространстве
·={G}. Единственное дополнение правила преобразования графов. Будем считать, что множество доступов R={r, w, с}, где г читать, w писать, с вызывать. Допускается, что субъект Х может иметь права
·
·R на доступ к объекту Y, эти права записываются в матрице контроля доступов. Кроме этих прав мы введем еще два:
право take (t)- взять и право grant (g)- предоставить, которые также записываются в матрицу контроля доступов субъекта к объектам. Можно считать, что эти права определяют возможности преобразования одних графов состояний в другие. Преобразование состояний, то есть преобразование графов доступов, проводятся при помощи команд. Существует 4 вида команд, по которым один граф доступа преобразуется в другой.


11.2.Команды и правила преобразования графов доступа.

1. Take (t) - взять.
Пусть S субъект, обладающий правом t к объекту Х и
·
·R некоторое право доступа объекта Х к объекту Y. Тогда возможна команда "S take
· for Y from X"(субъекту S взять право для Y из X). В результате выполнения этой команды в множество прав доступа субъекта S к объекту Y добавляется право
·. Графически это означает, что, если в исходном графе доступов G был подграф


то в новом состоянии G', построенном по этой команде t, будет подграф

2. Grant (g)- предоставить. Пусть субъект S обладает правом g к объекту Х и правом
·
·R к объекту Y. Тогда возможна команда "S grant
· for Y to X" (субъекту S предоставить право
·
·для Y
·в Х).
·
·В результате выполнения этой команды граф доступов G преобразуется в новый граф G', который отличается от G добавленной дугой (X Y). Графически это означает, что если в исходном графе G был подграф

то в новом состоянии G' будет подграф

3. Create- ( создать). Пусть S субъект,
·
·R. Команда "S create
· for new object X" создает в графе новую вершину Х и определяет
· как права доступов S к X.. То есть по сравнению с графом G в новом состоянии G' добавляется подграф вида

4. Remove -(убрать, исключить). Пусть S субъект и Х объект,
·
·R. Команда "S remove
· for X" исключает права доступа
· из прав субъекта S к объекту X. Графически преобразования графа доступа G в новое состояние G' в результате этой команды можно изобразить следующим образом:

Далее будем обозначать G| сG', если команда с преобразует G в G', а также G | G', если существует команда с, что G| сG'. Будем понимать под безопасностью возможность или невозможность произвольной фиксированной вершине Р получить доступ
·
·R к произвольной фиксированной вершине Х путем преобразования текущего графа G некоторой последовательностью команд в граф G', где указанный доступ разрешен.
Определение. В графе доступов G вершины Р и S называются tg-связными, если существует путь в G, соединяющий Р и S, безотносительно ориентации дуг, но такой, что каждое ребро этого пути имеет метку, включающую t или g.


12. 2 Основные теоремы о передаче прав доступа.

Условия передачи прав доступа можно выразить кратко в теоремах и их доказательствах.

Теорема1. О получении доступа субъета к объекту.

Теорема 1. Субъект Р может получить доступ
· к объекту X, если существует субъект S, имеющий доступ
· к вершине Х такой, что субъекты Р и S связаны произвольно ориентированной дугой, содержащей хотя бы одно из прав t или g .
Доказательство. Возможны 4 случая.

1. В G есть подграф

Тогда имеем право применить команду "Р take
· for Х from S" и получим в G' подграф


2. В G есть подграф

Тогда имеем право применить команду "S grant
· for X to P" и получим в G' подграф


3. В графе G есть подграф

Тогда применяем следующую последовательность разрешенных команд для преобразования графа G:
"P create tg for new object Y" (создать)


"P grant g for Y to S" (предоставить)


"S grant
· for X to Y" (предоставить)


"P takes
· for X from Y" (взять)


4. В графе G есть подграф

Тогда применяем следующую последовательность разрешенных команд для преобразования графа G в граф G' с дугой (P X).

"P create tg for new object Y" (создать)


Далее будем записывать преобразования графов коротко





Теорема доказана.

Замечание. Метка с правом
· на дуге в рассматриваемых графах не означает, что не может быть других прав. Это сделано для удобства.

Теорема 2 О получении доступа субъекта к субъекту

Теорема 2. Пусть в системе все объекты являются субъектами. Тогда субъект Р может получить доступ
· к субъекту Х тогда и только тогда, когда выполняются условия:
1. Существует субъект S такой, что в текущем графе G есть дуга S-
·->X.
2. S tg-связна с Р.
Доказательство.
1. Достаточность.
Доказательство будем вести индукцией по длине n tg-пути, соединяющего S и Р. При n=1 утверждение доказано в теореме 1. Пусть длина tg-пути в G, соединяющего S и Р равна n>1. Пусть также есть вершина Q на этом tg-пути, которая смежна с S. Тогда по теореме 1 можно перейти к графу G', в котором Q
· >X. Ясно, что проводимые при этом команды не уничтожают tg-пути, ведущего из Р в Q. При этом длина пути из Р в Q равна (n-1), что позволяет применить предположение индукции. Тогда возможен переход от G' к G", в котором есть дуга Р-
·->Х. Сквозной переход от G
· к G" доказывает достаточность.
2. Необходимость.
Пусть для пары вершин Р и Х в графе G нет дуги Р-
·->Х, а после выполнения некоторой последовательности команд в графе G' есть дуга Р-
·->Х Если в G нет ни одной вершины S, для которой существует дуга S-
·->X, то для любой команды с преобразования графа G в графе G" , полученном G|cG" при помощи с, также нет ни одной вершины S, из которой выходит дуга S-
·->X. Это следует из просмотра всех четырех допустимых команд. Тогда для любой последовательности команд в графе G", полученном из G применением этой последовательности команд, также нет какой-нибудь вершины S с дугой S-
·->X. Тогда такой вершины нет в графе G', что противоречит условию. Следовательно, в графе G есть S такая, что S-
·->X.
Пусть G' такой граф, когда впервые появляется дуга Р-
·->Х. Пусть G" такой граф, из которого по некоторой команде получился G'. Тогда просмотр команд позволяет заключить, что дуга Р-
·->Х возникла применением к некоторому S-
·->X, команды take или grant. Это значит, что в графе G" от Р к S существует tg-путь длины 1
Пусть в графе G вершины Р и S не связаны tg-путем. Тогда при любой команде с в графе G", полученном из G командой с G | cG" , также нет tg-пути из Р в S. В самом деле, возьмем take

Если в
· не было take или grant, то новая дуга не увеличивает количество дуг с правом take или grant в новом графе, поэтому новый tg-путь возникнуть не может. Если в
· есть t или g, то между V и Z существовал tg-путь и новая дуга не увеличила числа tg-связных вершин и поэтому не могла связать Р и S. Аналогично, если Y и Z были связаны дугой grant. Команда create также не может связать существующие вершины Р и S tg-путем.
Значит при любой последовательности команд c1,...,сn, если в G нет tg-пути из Р в S, то их нет в G", полученном из G G | c1,,cn G" Но это противоречит сделанному выше заключению о наличии такого пути длины 1 в графе G". Теорема доказана.

Заключение

Модель "TAKE-GRANT" позволяет в своей основе решить проблему доказательства безопасной обработки информации в системе с дискреционной политикой безопасности, однако она не может решить такую проблему как громоздкость матриц, и тем более проблему многоуровневой политики, когда в организации несколько уровней безопасности (ценности) информации и большой штат сотрудников. В этих случаях матрица разрастается до таких размеров что ее использование и поддержание политики безопасности становится сложным и вступает в противоречие с доступностью. Поэтому были разработаны многоуровневые модели использующие в своей основе политику MLS.


Литература:

1. Грушо А.А., Тимонина Е.Е. Теоретические основы защиты информации. - М.: Издательство Агентства “Яхтсмен”, - 1996. C.127-133 (глава 5)
2.Теория и практика обеспечения информационной безопасности. Под редакцией П.Д.Зегжды. - М.: Издательство Агентства “Яхтсмен”, - 1996.
3. Петров В.А., Пискарев А.С., Шеин А.В. Защита информации от несанкционированного доступа в автоматизированных системах.//Учебное пособие -М: Изд-во МИФИ. 1995.стр12-17.

Вопросы для самоконтроля и собеседования:

Модель распространения прав доступа "TAKE-GRANT"., как один из путей разрешения неразрешимой проблемы доказательства безопасности в дискретных моделях типа HRU.
Команда преобразования графов доступа Take (t) и графическое отображение результатов ее преобразования.
Команда преобразования графов доступа Grant (g) и графическое отображение результатов ее преобразования.
Команда преобразования графов доступа Create- и графическое отображение результатов ее преобразования.
Команда преобразования графов доступа Remove и графическое отображение результатов ее преобразования.
Теорема о получении прав доступа от субъекта к объекту и ее доказательство:
-для случая 1 Take с графическим отображением;
- для случая 2 Grant с графическим отображением;
- для случая 3 Create- Grant- Grant- Takes с графическим отображением;
- для случая 4 Create- ?- ?- ? на основе графического отображения определить последовательность команд.
7. Теорема о получении прав доступа субъекта к субъекту и основной смысл ее доказательства.


13PAGE 15


13PAGE 14115



·15Верхний колонтитулНомер страницы15Основной текст вместеОсновной текстЮН$C:\WINDOWS\TEMP\Автокопия ЛекТ12.asdЮН$C:\WINDOWS\TEMP\Автокопия ЛекТ12.asdЮН$C:\WINDOWS\TEMP\Автокопия ЛекТ12.asdЮН$C:\WINDOWS\TEMP\Автокопия ЛекТ12.asdЮН$C:\WINDOWS\TEMP\Автокопия ЛекТ12.asdЮН$C:\WINDOWS\TEMP\Автокопия ЛекТ12.asdЮН"C:\WINDOWS\Рабочий стол\ЛекТ12.docЮН"C:\WINDOWS\Рабочий стол\ЛекТ12.docЮН"C:\WINDOWS\Рабочий стол\ЛекТ12.docLexu$1C:\Алексей\Политех\Защита\лекции\1\лекция №12.doc
·
·

Приложенные файлы

  • doc 18814320
    Размер файла: 96 kB Загрузок: 0

Добавить комментарий