КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Анализ возможностей корректной реализации канонических моделей управления доступом в ОС с использованием дискреционного механизма
Правила разграничения доступа для полномочной модели управления доступом к иерархическим объектам с комбинированным управлением виртуальными каналами взаимодействия субъектов доступа.
Правила разграничения доступа для полномочной модели управления доступом к иерархическим объектам с принудительным управлением виртуальными каналами взаимодействия субъектов доступа.
Правила разграничения доступа для полномочной модели управления доступом к иерархическим объектам с произвольным управлением виртуальными каналами взаимодействия субъектов доступа.
Правила разграничения доступа, реализуемые диспетчером доступа имеют следующий вид:
1. Для объектов Ol,...,Ok:
• субъект С имеет доступ к объекту О в режиме «Чтения» в случае, если выполняется условие: Мс = Мо;
• субъект С имеет доступ к объекту О в режиме «Записи» в случае, если выполняется условие: Мс = Мо;
• субъект С имеет доступ к объекту О в режиме «Добавления» в случае, если выполняется условие: Мс > Мо.
2. Любой субъект С имеет доступ к объекту Ok+1 в режиме «Чтения».
Правила разграничения доступа, реализуемые диспетчером доступа имеют следующий вид:
1. Для объектов Ol,...,Ok:
• субъект С имеет доступ к объекту О в режиме «Чтения» в случае, если выполняется условие: Мс <, = Мо;
• субъект С имеет доступ к объекту О в режиме «Записи» в случае, если выполняется условие: Мс = Мо.
2. Любой субъект С имеет доступ к объекту Ok+1 в режиме «Чтения».
Правила разграничения доступа, реализуемые диспетчером доступа имеют следующий вид:
1. Для объектов Ol,...,Ok:
• субъект С имеет доступ к объекту О в режиме «Чтения» в случае, если выполняется условие: Мс <, = Мо;
• субъект С имеет доступ к объекту О в режиме «Записи» в случае, если выполняется условие: Мс = Мо;
• субъект С имеет доступ к объекту О в режиме «Добавления» в случае, если выполняется условие: Мс > Мо.
2. Любой субъект С имеет доступ к объекту Ok+1 в режиме «Чтения».
Проведем анализ возможности корректной реализации моделей управления доступом встроенными в ОС механизмами защиты. Мандатный механизм современными универсальными ОС не реализуется в принципе (данная возможность может быть обеспечена исключительно средствами добавочной защиты). Поэтому остановимся на рассмотрении реализации дискреционного механизма. При этом будем рассматривать возможность корректной реализации механизмов в ОС, когда «владельцем» объекта файловой системы является администратор безопасности.
Исследования проведем для ОС семейства Windows (NT/2000/XP) и ОС семейства UNIX. При этом отметим, что для обеих веток развития ОС семейства UNIX — System V и BSD возможности дискреционного механизма практически совпадают.
Прежде всего, отметим принципиальное отличие в реализации механизма для данных семейств ОС (несмотря на внешнюю схожесть). Для ОС семейства Windows разграничение для файла (включаемого объекта) приоритетнее, чем разграничение для каталога, включающего данный файл. Другими словами, если для ОС UNIX установить запрет доступа пользователю к каталогу, то какие бы атрибуты доступа не были установлены на файл, расположенный н данном каталоге, доступ к файлу пользователь получить не сможет.
Для ОС Windows в аналогичной ситуации пользователь сможет получить доступ к файлу (если в файле установлены права доступа к нему пользователем), т.к. разграничения доступа включаемого объекта приоритетнее, чем включающего. Однако отметим, что такой доступ возможен посредством программного средства, позволяющего непосредственно обратиться к файлу, минуя процедуру обзора содержимого каталога. К таким средствам не относится большинство широко применяемых на практике программ-проводников. Вместе с тем, не представляется сколько-нибудь сложным написать подобную программу самостоятельно. Ниже представлен пример программы, позволяющей обращаться непосредственно к файлу, минуя обзор содержимого каталога:
int main(int argc, char* argv[ ])
{
HANDLE hFile;
BOOLEAN bResult;
hFlle = CreateFile (argv[1], GENERIC_READ,
FILE_SHARE_READ,
0, OPEN_EXISTING,
FILE_ATTRIBUTE_NORMAL, 0);
CHAR buf [0x140]; ULONG Iength=0xl40, nBytesRead,
nBytesWrite, keyKbd;
do
{
bResult = ReadFile(hFile, buf, length, &nBytesRead, NULL);
WriteFile(GetStdHandle(STD_OUTPUT_HANDLE), buf, nBytesRead,
&nBytesWrite, 0);
keyKbd = getch();
}
while (bResult && nBytesRead && keyKbd!=27);
CloseHandle(hFile);
return 0;
Рассмотрим возможности по реализации приведенных моделей встроенными в ОС средствами. Общим здесь будет то, что «владельцем» любого создаваемого файла должен являться «администратор безопасности». Разграничения для пользователей устанавливается включением пользователя в группу и назначением прав доступа группе.
Естественно, что основным объектом разграничения доступа становится включающий объект файловой системы (например, каталог), т.к. если устанавливать разграничения для файлов, то администратор вынужден будет лично (как «владелец») устанавливать права на каждый вновь создаваемый файл. По умолчанию же можно установить только одинаковые права доступа на все создаваемые файлы, что не может быть достаточно.
Таким образом, разграничение доступа устанавливается на включающие объекты (каталоги), а «владельцем» всех каталогов является администратор. Созданием групп пользователей и заданием разграничений для них устанавливаются различные права доступа пользователей к каталогу. В пределе каждый пользователь получает полный доступ к своему каталогу — реализуется каноническая модель. Далее устанавливается наследование настроек для создаваемых в каталогах файлов.
Рассмотрим, что произойдет в различных ОС при подобных настройках (используемых для задания «владельцем» администратора безопасности).
Общим будет то, что пользователь, создавая новый файл в каталоге, может изменить «владельца», а как следствие, и права доступа к создаваемому файлу. Таким образом, права доступа к включаемому и включающему объектам файловой системы входят в противоречие. В результате пользователь (либо какая-либо программа от его лица) может назначить для файла несанкционированные права доступа. Возможность получения данных прав определяется тем, какие разграничения (к включающему, ибо к включаемому) объекту приоритетны. Как было отмечено ранее, в этом и состоит принципиальное различие реализации дискреционного механизма для ОС UNIX и Windows.
Для ОС семейства UNIX приоритетны разграничения на включающий элемент, для ОС Windows — на включаемый. Таким образом, в ОС UNIX пользователь не сумеет получить доступа к файлу, в ОС Windows — сумеет.
С учетом проведенного исследования можем сделать следующий вывод: каноническая модель дискреционного доступа может быть реализована встроенными механизмами защиты ОС семейства UNIX и не реализуема в принципе для ОС семейства Windows.
|
Дата добавления: 2014-01-05; Просмотров: 858; Нарушение авторских прав?; Мы поможем в написании вашей работы!