Расширенная модель Take-Grant 3 страница

Рассмотрим по ряд примеров программ, представленных на некотором абстрактном языке программирования высокого уровня, иллюстрирующих трудности практической реализации механизма безопасности информационных потоков в системах мандатного управления доступом.

Пример 6.2. Запрещенные информационные потоки по памяти с использованием локальных и логических переменных.

Используем обозначения:

f ₁¾ объект-файл с уровнем конфиденциальности High, который может содержать запись «А» или запись «В»;

f ₂¾ объект-файл с уровнем конфиденциальности Low < High;

Приведенные ниже процедуры реализуют запрещенные информационные потоки по памяти через локальную переменную (процедура p ₁) и логическую переменную (процедура p ₂).

Procedure p ₁(f ₁: file, f ₂: file)

Open f ₁ for read;

Read A from f ₁;

Close f ₁;

Open f ₂ for write;

Write A to f ₂;

Close f ₂;

End.

Procedure p ₂(f ₁: file, f ₂: file)

Open f ₁ for read;

If (f ₁ = «a») Then

Close f ₁;

Open f ₂ for write;

Write «a» to f ₂;

Else

Close f ₁;

Open f ₂ for write;

Write «b» to F ₂;

End If;

Close f ₂;

End.

Анализируя процедуры p ₁и p ₂, можно предложить следующий простой способ предотвращения реализуемых ими запрещенных информационных потоков. Процесс, единожды получивший доступ на чтение к файлу с некоторым уровнем конфиденциальности, не должен получать доступ на запись к файлам с более низким уровнем конфиденциальности. Такое решение может быть применено для пользовательских процессов в ОС. Однако оно не может быть признано универсальным, так как системные процессы, например, монитор ссылок, при мандатном управлении доступом должны одновременно оперировать с данными различных уровней конфиденциальности.

Другой путь ¾ инициализация каждой переменной процесса как объекта доступа, также не может являться оптимальным.

Для предотвращения запрещенных информационных потоков через локальные или логические переменные при написании программ в тех случаях, когда это возможно, следует следовать рекомендациям:

- открывать все файлы, необходимые для работы программы в начале ее выполнения;

- закрывать все файлы в конце выполнения программы;

- непосредственную обработку информации из открытых файлов осуществлять во внутренних процедурах, использующих только локальные переменные. ■

Пример 6.3. Реализация запрещенного информационного потока по времени.

Используем обозначения:

f ₁¾ объект-файл с уровнем конфиденциальности High, который может содержать запись «а» или запись «в»;

f ₂¾ объект-файл с уровнем конфиденциальности Low < High;

s ₁¾ субъект с высоким уровнем доступа High, работающий по программе:

Process s ₁(F ₁: file)

Open F ₁ for read;

While F ₁ = «A» Do End;

Close F ₁;

End.

s ₂¾ субъект-нарушитель с низким уровнем доступа Low, работающий по программе:

Process s ₂(f ₁: file, f ₂: file)

Open f ₂ for write;

If (Stop s ₁) Then

Write «В» to f ₂;

Else

Write «A» to f ₂;

End If

Close f ₂;

End;

Предполагается, что выполняются следующие условия:

f_o (f ₁) = High;

f_o (f ₂) = Low;

f_s (s ₁) = f_s (s ₂) = High;

f_c (s ₁) = High;

f_c (s ₂) = Low.

Субъект-нарушитель s ₂ действует одновременно с субъектом s ₁, проверяя его состояние. При этом в зависимости от результата работы с конфиденциальным объектом-файлом f ₁ субъекта s ₁, которыйлибо сразу завершит работу, либо «зависнет», субъект s ₂ записывает данные в объект-файл f ₂ с низким уровнем конфиденциальности (рис. 6.3).

Для предотвращения запрещенных информационных потоков по времени данного вида можно потребовать запрета получения процессами-субъектами низкого уровня доступа к информации о результатах работы процессов-субъектов высокого уровня доступа. В то же время такое решение не всегда возможно на практике. Кроме того, возможны иные способы реализации запрещенных информационных потоков по времени, для которых это решение неэффективно. Так большинство современных ОС позволяют при открытии процессом файла определять параметры совместного с другими процессами его использования. Например, если процесс открывает файл на чтение, то он может разрешить или запретить другим процессам одновременное чтение этого файла. Системная переменная ОС, применяемая для определения условий совместного использования файла, может быть использована для реализации запрещенных информационных потоков по времени. ■

Анализируя рассмотренные примеры, целесообразно сделать следующие выводы. Без дополнительных уточнений свойств политики безопасности, порядка написания кода программ, определения порядка конфигурирования и администрирования невозможна реализация КС с мандатным управлением доступом. В то же время слишком строгая политика безопасности может привести к трудностям или даже невозможности практического использования системы защиты. Кроме того доопределение и усложнение свойств безопасности также несет в себе угрозу ошибки, и, как следствие, угрозу неадекватности реализации формальной модели и политики безопасности в КС.

Безопасность переходов

Как уже было отмечено, в классической модели Белла-ЛаПадулы не описывается точный порядок действий системы при переходе из состояния в состояние. Частично этот недостаток был устранен в, где предлагается оригинальное определение свойств безопасности модели Белла-ЛаПадулы с использованием вместо множества действий системы функции переходов.

При рассмотрении этого подхода будем считать R = { read, write } и для каждого s Î S справедливо равентсво f_s (s) = f_с (s). Исключим из рассмотрения матрицу доступов m и множество ответов системы D. Вместо множества действий системы W используем функцию переходов:

T: Q ´ V ® V, где T (q, v) = v* ¾ переход из состояния v по команде q в состояние v*.

В этом случае будем обозначать систему через S(V, T, z ₀).

Далее переопределим ss -свойство и *-свойство. Так как основные ограничения на доступ write следуют из *-свойства, то в ss -свойстве зададим ограничения только на read.

Определение 6.22. Доступ (s, o, r) Î b обладает ss -свойством относительно f, если выполняется одно из условий:

- r = write;

- r = read и f_s (s) ≥ f_o (o).

Определение 6.23. Доступ (s, x, r) Î b обладает *-свойством относительно f, если выполняется одно из условий:

- r = read и не существует y Î O: (s, y, write) Î b и f_o (x) > f_o (y);

- r = write и не существует y Î O: (s, y, read) Î b и f_o (y) > f_o (x).

Заметим особо, что в *- свойстве не рассматривается уровень доступа субъекта посредника s. В этом нет необходимости, так как, если требовать выполнения *-свойства и ss -свойства одновременно и считать, что субъект не может накапливать в себе информацию, то не возникает противоречий по существу с положениями мандатной политики безопасности.

Субъект может читать информацию из объектов с уровнем конфиденциальности не выше его уровня доступа, и при этом субъект не может реализовать запрещенный информационный поток «сверху вниз».

По аналогии со свойствами классической модели Белла-ЛаПадулы определяются ss -свойства и *-свойства для состояния, реализации и системы в целом.

Теорема 6.7 ( А 1- RW). Система S(V, T, z ₀) обладает ss -свойством для любого начального состояния z ₀, обладающего ss -свойством, тогда и только тогда, когда функция переходов Т (q, v) = v* удовлетворяет условиям 1 и 2.

Условие 1. Если доступ (s, o, read) Î b * \ b, то f_s *(s) ≥ f_o *(o).

Условие 2. Если доступ (s, o, read) Î b и f_s *(s) < f_o *(o), то (s, o, read) Ï b *.

Доказательство. Доказательство осуществляется аналогично доказательству теоремы6.1. ■

Теорема 6.8 ( А 2- RW). Система S(V, T, z ₀) обладает *-свойством для любого начального состояния z ₀, обладающего * -свойством, тогда и только тогда, когда функция переходов Т (q, v) = v* удовлетворяет условиям 1 и 2.

Условие 1. Если {(s, x, read), (s, y, write)} Ç (b * \ b) ¹ Æ и {(s, x, read), (s, y, write)} Í b *, то f_o *(y) ≥ f_o *(x).

Условие 2. Если {(s, x, read), (s, y, write)} Í b и f_o *(y) < f_o *(x), то {(s, x, read), (s, y, write)} Ë b *.

Доказательство. Доказательство осуществляется аналогично доказательству теоремы6.1. ■

Теорема 6.9 (БТБ- RW). Система S(V, T, z ₀) безопасна для безопасного начального состояния z ₀ тогда и только тогда, когда выполнены условия теорем 6.7 и 6.8.

Доказательство. Теорема следует из теорем 6.7, 6.8. ■

В данном подходе *-свойство определено таким образом, что его смысл ¾ предотвращение возникновения запрещенных информационных потоков «сверху вниз» становится более ясным, чем при использовании функции f_с в классической модели Белла-ЛаПадулы. В этом заключена основная ценность рассмотренных определений основных свойств безопасности.

Далее определим основные свойства безопасности модели Белла-ЛаПадулы, используя определения свойств безопасности функции переходов T. При этом на T накладывается дополнительное ограничение ¾ за один шаг работы системы вносится только одно изменение в одном из параметров, используемом при определении свойств безопасности, т.е. изменяется на один элемент либо множество текущих доступов, либо одно из значений одной из функций. При этом остальные параметры остаются неизменными.

Определение 6.24. Функция переходов Т (q, (b, f)) = (b*, f*) обладает ss - свойством, если выполнены следующие условия:

- если (s, o, read) Î b * \ b, то f_s (s) ≥ f_o (o) и f * = f;

- если f_s (s) ¹ f_s *(s), то f_o * = f_o, b * = b, для s ’¹ s справедливо равенство f_s *(s ’) = f_s (s ’), и если (s, o, read) Î b, то f_s *(s) ³ f_o (o);

- если f_o (o) ¹ f_o *(o), то f_s * = f_s, b * = b, для o ’¹ o справедливо равенство f_o *(o ’) = f_o (o ’), и если (s, o, read) Î b, то f_s (s) ³ f_o *(o).

Определение 6.25. Функция переходов T (q, (b, f)) = (b*, f*) обладает *-свойством, если выполнены следующие условия:

- если {(s, x, read), (s, y, write)} Í b * и {(s, x, read), (s, y, write)} Ë b, то f *= f и f_o (y) ≥ f_o (x);

- если f_o (y) ¹ f_o *(y), то b *= b, f_s * = f_s, для z ¹ y справедливо равенство f_o *(z) = f_o (z), и если {(s, x, read), (s, y, write)} Í b, то f_o *(y) ³ f_o (x), или если {(s, y, read), (s, x, write)} Í b, то f_o (x) ³ f_o *(y).

Определение 6.26. Функция переходов T безопасна, если она обладает ss -свойством и *-свойством.

Теорема 6.10 (БТБ- T). Система S(V, T, z ₀) безопасна для безопасного начального состояния z ₀, если ее функция переходов безопасна.

Доказательство. По аналогии с доказательством теоремы6.1 необходимо показать, что если функция переходов T (q, (b, f)) = (b*, f*) безопасна, то состояние (b*, f*) безопасно по условиям определений 6.22 и 6.23. Этот факт следует из условий определений6.24 и 6.25.

Таким образом, при безопасном начальном состоянии любая реализация системы, а следовательно, и система в целом будут безопасными. Теорема доказана. ■

В рамках изучения определений безопасности функции переходов можно рассмотреть вопрос о возможностях смены уровня конфиденциальности субъектов и объектов. Примем следующие обозначения:

- для x Î S, c_s (x) Í S ¾ множество субъектов, имеющих право менять уровень доступа субъекта x,

- для y Î O, c_o (y) Í S ¾ множество субъектов, имеющих право менять уровень конфиденциальности объекта y.

В этом случае в параметры функции переходов необходимо внести еще один параметр, определяющий субъекта, дающего запрос системе.

Определение 6.27. Функция переходов T (s, q, (b, f)) = (b*, f*) безопасна в смысле администрирования, если выполнены условия:

- если f_s *(x) ¹ f_s (x), то s Î c_s (x);

- если f_o *(y) ¹ f_o (y), то s Î c_o (y).

Таким образом, задавая множества c_s (x) и c_o (y), возможно рассмотрение случаев, когда все субъекты могут менять уровни конфиденциальности объектов и уровни доступа субъектов; никто не может или только системный администратор может менять уровни конфиденциальности объектов и уровни доступа субъектов.

Модель мандатной политики целостности информации Биба

Классическая модель Белла-ЛаПадулы в первую очередь ориентирована на обеспечение защиты от угрозы конфиденциальности информации. В то же время ее математическая основа используется в модели Биба, реализующей мандатную политику целостности.

В модели Биба рассматриваются доступы субъектов к объектам и субъектам:

- modify ¾ доступ субъекта на модификацию объекта (аналог доступа write в модели Белла-ЛаПадулы);

- invoke ¾ доступ на обращение (запись) субъекта к субъекту;

- observe ¾ доступ на чтение субъекта к объекту (аналог доступа read в модели Белла-ЛаПадулы);

- execute ¾ доступ на выполнение.

Основными элементами модели Биба являются:

S ¾ множество субъектов;

O ¾ множество объектов;

(LI, £) ¾ решетка уровней целостности, например: LI ={ I (important), VI (very important), C (crucial)}, где I < VI < C;

RI = { modify, invoke, observe, execute } ¾ множество видов доступа и видов прав доступа;

В = { b Í S ´ O ´ RI } ¾ множество возможных множеств текущих доступов в системе;

(i_s, i_o, i_c) Î I = LI^s ´ LI^o ´ LI^s ¾ тройка функций (i_s, i_o, i_c), задающих: i_s: S ® LI ¾ уровень целостности субъекта; i_o: О ® LI ¾ уровень целостности объекта; i_c: S ® LI ¾ текущий уровень целостности субъекта, при этом для каждого s Î S выполняется условие i_c (s) £ i_s (s);

V = B ´ I ¾ множество состояний системы.

Элементы модели, необходимые для реализации дискреционной политики безопасности в модели Биба, не отличаются от аналогичных элементов в модели Белла-ЛаПадулы и рассматриваться не будут. Также как в классической модели Белла-ЛаПадулы в модели Биба не анализируются вопросы администрирования уровней целостности субъектов и объектов.

В отличие от требований безопасности классической модели Белла-ЛаПадулы требования безопасности в модели Биба являются динамическими, для их описания используются элементы текущего и последующего состояний системы.

Определение 6.28. Доступ (s, o, r) Î S ´ O ´ RI соответсвует требованиям политики low-watermark для субъектов относительно i = (i_s, i_o, i_c) Î I, если выполняется одно из условий:

- r = execute;

- r = modify и i_c (s) ≥ i_o (o);

- r = invoke, o Î S и i_c (s) ≥ i_c (o);

- r = observe и после получения доступа в последующем состоянии системы i_c ’(s) = i_c (s) Ä i_o (o), где Ä ¾ наибольшая нижняя граница элементов решетки (LI, £); i_c ’(s) ¾ значение функции текущего уровня целостности субъекта в последующем состоянии системы.

Определение 6.29. Доступ (s, o, r) Î S ´ O ´ RI соответсвует требованиям политики low-watermark для объектов относительно i = (i_s, i_o, i_c) Î I, если выполняется одно из условий:

- r Î { execute, invoke, observe };

- r = modify и после получения доступа в последующем состоянии системы i_o ’(o) = i_c (s) Ä i_o (o), где i_o ’(o) ¾ значение функции уровня целостности объекта в последующем состоянии системы.

Динамическое изменение функций уровня целостности субъекта или объекта может потребовать уточнения требований политики low-watermark. Например, если в системе допускается подача субъектом одновременно нескольких запросов на доступ, то результат их выполнения может зависеть от последовательности выполнения запросов. Если субъект запросил одновременно доступы observe и modify, то предоставление в первую очередь доступа observe может привести к понижению уровня целостности субъекта, а следовательно, может сделать невозможным получение им доступа modify. Кроме того, понижение уровня целостности объекта при доступе modify к нему, может привести к модификации информации с высоким уровнем целосности субъектом с низким уровнем целостности. Аналогичный пример для случая понижения уровня конфиденциальности объекта анализируется при описании политики low-watermark в модели Белла-ЛаПадулы.

Возможным путем уточнения политики low-watermark, является выполнение требования неизменности значений функций (i_s, i_o, i_c) для всех субъектов и объектов во всех состояниях системы. В этом случае всегда справедливо равенство i_s = i_c.

Определение 6.30. Доступ (s, o, r) Î S ´ O ´ RI соответсвует требованиям политики low-watermark при неизменных значениях функций (i_s, i_o), если выполняется одно из условий:

- r Î { execute, observe };

- r = modify и i_s (s) ≥ i_o (o);

- r = invoke, o Î S и i_s (s) ≥ i_s (o).

Выполнение требований политики low-watermark при неизменных значениях функций (i_s, i_o) позволяет предотвратить модификацию субъектом информации в объекте с более высоким или несравнимым с субъектом уровнем целостности. В то же время отсутствие ограничений на доступ observe может позволить субъекту реализовать информационный поток от объекта с меньшим уровнем целостности в объект с большим уровнем целостности. Для преодтвращения угрозы возникновения информационных потоков данного вида возможно использование строгой политики low-watermark при неизменных значениях функций (i_s, i_o).

Определение 6.31. Доступ (s, o, r) Î S ´ O ´ RI соответсвует требованиям строгой политики low-watermark при неизменных значениях функций (i_s, i_o), если выполняется одно из условий:

- r = execute;

- r = modify и i_s (s) ≥ i_o (o);

- r = invoke, o Î S и i_s (s) ≥ i_s (o);

- r = observe и i_s (s) £ i_o (o).

По аналогии с классической моделью Белла-ЛаПадулы в модели Биба можно определить требования политики low-watermark для состояния и системы в целом. После чего можно сформулировать и доказать для требований политики low-watermark теоремы, аналогичные теоремам 6.1-6.4 классической модели Белла-ЛаПадулы.

Контрольные вопросы

1. Каковы основные недостатки классической модели Белла-ЛаПадулы?

2. Опишите состояния системы Белла-ЛаПадулы со следующими параметрами S = { s ₁, s ₂}, O­ = { o ₁, o ₂}, R = { read, write }, (L, £) = { Low, High }, M ¾ не используется, f_s (s ₁) = f_o (o ₁) = Low, f_s (s ₂) = f_o (o ₂) = High.

3. Известно, что при реализации мандатного управления доступом может допускаться использование правил дискреционного управления доступом (например, с использованием ds- свойства безопасности модели Белла-ЛаПадулы). Учитывая это обстоятельство, предложите подход по созданию запрещенного информационного потока от объекта с высоким уровнем конфиденциальности в объект с низким уровнем конфиденциальности, использующий кооперацию субъектов КС.

4. В чем схожесть подходов к определению информационного потока в расширенной модели Take-Grant и модели Белла-ЛаПадулы?

5. В чем основное отличие определений свойств безопасности классической модели Белла-ЛаПадулы и модели Биба?

Лекция 7.

Модель систем военных сообщений

Построенная на основе модели Белла-ЛаПадулы модель систем военных сообщений СВС (MMS ¾ Military Message Systems) была предложена в 1984. Она ориентирована, в первую очередь, на системы приема, передачи и обработки почтовых сообщений, реализующих мандатную политику безопасности. В то же время предложенные в модели СВС подходы к определению основных свойств безопасности могут быть использованы для построения и анализа произвольных КС с мандатным управлением доступом.

Определения основных понятий, используемых при описании свойств модели СВС, либо уже давались ранее или в модели Белла-ЛаПадулы, либо их смысл интуитивно ясен, например: объект, контейнер сущность, пользователь, идентификатор пользователя, уровни конфиденциальности, доступ, множество доступов. В то же время дополнительно в рамках модели СВС даются следующие определения.

Определение 7.1. Роль пользователя ¾ совокупность прав пользователя, определяемая характером выполняемых им действий в системе. Пользователь может менять свои роли во время работы в системе.

Определение 7.2. Способ доступа к содержимому контейнера(CCR) ¾ атрибут контейнеров, определяющий порядок обращения к его содержимому (с учетом уровня конфиденциальности контейнера или с учетом только уровня конфиденциальности сущности контейнера, к которой осуществляется обращение).

Определение 7.3. Идентификаторсущности ¾ уникальный номер или имя сущности.

Определение 7.4. Непосредственная ссылка ¾ ссылка на сущность, совпадающая с идентификатором сущности.

Определение 7.5. Косвенная ссылка¾ ссылка на сущность, являющуюся частью контейнера, через последовательность двух и более ссылок на сущности, в которой только первая ссылка есть идентификатор (непосредственная ссылка).

Определение 7.6. Сообщение ¾ особый тип сущностей, имеющийся в СВС. В большинстве случаевсообщение есть контейнер, хотя в некоторых системах, только получающих сообщения, оно может быть и объектом. Каждое сообщение как контейнер содержит несколько сущностей, описывающих его параметры, например: кому (to), от кого (from), информация (info), дата-время-группа (date - time - group), текст (text), безопасность (security).

Дата добавления: 2014-11-20; Просмотров: 792; Нарушение авторских прав?; Мы поможем в написании вашей работы!