Модель Белла-ЛаПадулы (Б-ЛП)

End.

Then

Command grant_x (s,o,p)

End.

Then

Command take_x (s,o,p)

End.

Create subject o,

enter r into M[s,o],

enter w into M[s,o],

Команда разрешает создание нового субъекта с одновременным получением по отношению к нему прав доступа на чтение и запись.

2) получение прав доступа:

if r in M[s,o] and x in M[o,p]

enter x into M[s,p],

Команда разрешает получение произвольного права доступа x к объекту p от любого субъекта o, по отношению к которому исходный субъект s имеет право чтения.

3) получение права доступа:

if w in M[s,o] and x in M[s,p]

enter x into M[o,p],

Команда разрешает передачу произвольного права доступа x к объекту p любому субъекту, по отношению к которому исходный субъект s обладает правом записи.

Пусть в начальном состоянии в системе имеются 3 объекта o, s, t.

s обладает правом записи по отношению к t.

t обладает правом а (которое может представлять собой либо r, либо w) по отношению к o.

Покажем, как субъект s может получить себе право доступа а по отношению к о.

1) Система в начальном состоянии:

2) Субъект s создаёт новый субъект x, по отношению к которому автоматически получает права чтения и записи.

3) Субъект s передаёт субъекту t права чтения и записи по отношению к x.

4) Субъект t передаёт субъекту x право доступа a по отношению к о.

5) Субъект s получает от субъекта x право доступа а по отношению к о.

Как видно в результате выполнения шагов с 1 по 5 субъект s обходным путём получает право доступа а к объекту о, то есть происходит утечка права а, а это значит, что исходное состояние не являлось безопасным.

С практической точки зрения значительный интерес представлял бы универсальный метод определения того, является ли заданная система с некоторым начальным состоянием безопасной относительно того или иного права доступа.

Система Σ=(Q, R, C) называется монооперационной, если каждая команда C выполняет один примитивный оператор.

Теорема 1. Существует алгоритм, который проверяет, является ли исходное состояние монооперационной системы безопасным для данного права а.

Теорема 2. Для систем общего вида задача определения того, является ли исходное состояние системы безопасным для данного права а, является вычислительно неразрешимой.

Классическая модель Х-Р-У до сих пор широко используется при проведении формальной верификации корректности построения систем разграничения доступа в высоко защищённых автоматизированных системах.

Развитие моделей дискретиционного управления доступом заключается в основном в построении всевозможных модификаций моделей Х-Р-У, а также в поиске минимальных возможных ограничений, которые можно наложить на описание системы, чтобы вопрос о её безопасности представлял собой вычислительно разрешимую задачу.

Данная модель была предложена в 1975 году для реализации механизмов мандатного управления доступом. Мандатный принцип разграничения доступа, в свою очередь, ставил своей целью перенести на автоматизированные системы практику секретного документооборота, принятую в правительственных и военных структурах, когда все документы и допущенные к ним лица ассоциируются с иерархическими уровнями секретности.

В модели Б-ЛП по грифам секретности разделяются объекты и субъекты, действующие в системе, и при этом выполняются следующие правила:

1) Простое правило безопасности (Simple Security, SS).

Субъект с уровнем секретности может читать информацию из объекта с уровнем секретности тогда и только тогда, когда преобладает над.

2) *-свойство (*-property).

Субъект с уровнем секретности может записывать информацию в объект с уровнем секретности в том и только том случае, когда преобладает над.

Для первого правила существует мнемоническое обозначение No Read Up (не читать сверху), а для второго – No Write Down (не записывать вниз).

Диаграмма информационных потоков, соответствующая реализации модели Б-ЛП в системе с двумя уровнями секретности, приведена на рисунке:

где H – высокий уровень, L – низкий уровень.

Введём следующие обозначения:

S – множество субъектов;

O – множество объектов;

S O.

R = {w, r}, где r – доступ на чтение,

w – доступ на запись.

L={U, SU, S, TS} – множество уровней секретности, где

U – общий доступ (Unelassified);

SU – ограниченный доступ (Sensitive but unclassified);

S – секретно (Secret);

TS – совершенно секретно (Top secret).

λ=(L, ≤, •,) – решётка уровней секретности.

V – множество состояний системы, представленное в виде набора упорядоченных пар (F, M), где:

F: S O→L – функция уровней секретности, ставящая в соответствие каждому объекту и субъекту определённый уровень секретности.

M – матрица текущих прав доступа.

Остановимся более подробно на решётке уровней секретности.

Решёткой λ называется алгебраическая система вида (L, ≤, •,), где

≤ - оператор, определяющий частичное нестрогое отношение порядка для уровней секретности;

• - оператор наименьшей верхней границы;

- оператор наибольшей нижней границы.

Отношение ≤ обладает следующими свойствами:

1) рефлексивность. ∀ a L: a ≤ a.