Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Пути создания ксзи 5 страница

 

3. «CREATE». Пусть - субъект, . Команда «» создает в графе новую вершину и определяет как права доступов к . То есть по сравнению с графом в новом состоянии добавляется подграф вида .

 

4. «REMOVE». Пусть - субъект и - объект, . Команда «» исключает права доступа из прав субъекта к объекту . Графически преобразования графа доступа в новое состояние в результате этой команды можно изобразить следующим образом. Если в графе существовала дуга , то в состоянии она будет иметь вид .

 

Далее будем обозначать , если команда с преобразует в , а также , если существует команда , что . Будем понимать под безопасностью возможность или невозможность произвольной фиксированной вершине получить доступ к произвольной фиксированной вершине путем преобразования текущего графа некоторой последовательностью команд в граф , где указанный доступ разрешен.

Определение. В графе доступов вершины и называются -связными, если существует путь в , соединяющий и , безотносительно ориентации дуг, такой, что каждое ребро этого пути имеет метку, включающую или .

Теорема. Субъект может получить доступ к объекту , если существует субъект , имеющий доступ к объекту такой, что субъекты и связаны произвольно ориентированной дугой, содержащей хотя бы одно из прав или .

Доказательство. Рассмотрим 4 возможных случая.

1. Пусть в есть подграф . Тогда имеем право применить команду «» и получим в подграф

 

2. Пусть в есть подграф . Тогда имеем право применить команду «» и получим в подграф

 

3. В графе есть подграф . Тогда применим следующую последовательность разрешенных команд для преобразования графа :

1) «»

2) «»

3) «»

4) «»

 

4. В графе есть подграф . Тогда применяем следующую последовательность разрешенных команд для преобразования графа в граф с дугой .

1) «»

2) «»

3) «»

4) «». ▲

 

Замечание. Метка с правом на дуге в рассматриваемых графах не означает, что не может быть других прав. Это сделано для удобства.

Теорема. Пусть в системе все объекты являются субъектами. Тогда субъект может получить доступ к субъекту тогда и только тогда, когда выполняются условия:

1. Существует субъект такой, что в текущем графе есть дуга .

2. -связна с .

 

МОДЕЛЬ БЕЛЛА-ЛАПАДУЛА (Б-Л).

Модель Б-Л построена для обоснования безопасности систем, использующих политику MLS. Материалы, в которых опубликована модель в 1976г., до сих пор недоступны. Поэтому в изложении модели Б-Л будем следовать работе J. McLean, опубликованной в 1987 году, в которой классы объектов предполагаются неизменными.

Пусть определены следующие конечные множества:

- множество субъектов системы;

- множество объектов системы, не являющихся субъектами;

- множество прав доступа, причем ;

- уровни секретности.

Множество состояний системы определяется произведением множеств , где сомножители определяются следующим образом.

– множество текущих доступов и есть подмножество множества подмножеств произведения . Множество подмножеств будем обозначать , а элементы множества будем обозначать и они представляют в текущий момент графы текущего доступа (в каждый момент субъект может иметь только один вид доступа к данному объекту).

– матрица разрешенных доступов, .

– подмножество множества , где каждый –вектор, который состоит из трех компонент, каждая из которых тоже вектор (или отображение).

– уровень допуска субъектов (это некоторое отображение );

– уровень секретности объектов (это некоторое отображение );

– текущий уровень секретности субъектов (это тоже некоторое отображение ).

Элементы подмножества , которые допущены для определения состояния, должны удовлетворять соотношению .

– текущий уровень иерархии объектов, в работе McLean этот уровень не изменяется, совпадает с и далее не рассматривается.

Элементы множества состояний будем обозначать через . Пусть определены множество – запросов в систему и множество – решений по поводу этих запросов (). Определим множество действий системы как .

Каждое действие системы имеет следующий смысл. Если система находилась в данный момент времени в состоянии и поступил запрос , то по этому запросу принято решение , а система перешла в состояние .

Пусть – множество значений времени (для удобства будем считать, что – множество натуральных чисел).

Определим набор из трех функций как

и обозначим множества таких функций соответственно.

Рассмотрим и определим понятие системы в модели Б-Л.

Определение. Системой называется произведений такое, что для каждого значения , где – начальное состояние системы.

Определение. Каждый набор называется реализацией системы.

Определение. Если – реализация системы, то каждая четверка называется действием системы.

Нетрудно видеть, что при отсутствии ограничений на запросы таким образом определен некоторый автомат, с входным алфавит , выходным и множеством внутренних состояний . Автомат задается множеством своих реализаций. Перейдем к определению понятий, связанных с безопасностью системы.

Определение. Тройка удовлетворяет свойству простой секретности (ss-свойство) относительно , если

§ или ;

§ и ;

§ и .

Определение. Состояние обладает ss-свойством, если для каждого элемента этот элемент обладает ss-свойством относительно .

Определение. Состояние обладает *-свойством, если для каждого при

текущий уровень субъекта равен уровню объекта ;

текущий уровень субъекта больше уровня объекта ;

текущий уровень субъекта меньше уровня объекта .

Определение. Состояние обладает *-свойством относительно множества субъектов , , если оно выполняется для всех троек таких, что .

Определение. Субъекты из множества называются доверенными.

Лемма. Из *-свойства для состояния следует ss-свойство относительно для всех .

Доказательство. Утверждение следует из условия .

Определение. Состояние обладает ds-свойством, если  , где – матрица доступа состояния .

Определение. Состояние называется безопасным, если оно обладает одновременно ss-свойством, *- свойством относительно и ds-свойством.

Определение. Реализация системы обладает ss-свойством (*-свойством, ds- свойством), если в последовательности каждое состояние обладает ss-свойством (*-свойством, ds-свойством).

Определение. Система обладает ss-свойством (*-свойством, ds-свойством), если каждая ее реализация обладает ss-свойством (*-свойством, ds-свойством).

Определение. Система называется безопасной, если она обладает одновременно ss-свойством, *-cвойством и ds - свойством.

Теорема A1. Система обладает ss-свойством для любого начального , которое обладает ss-свойством тогда и только тогда, когда удовлетворяет следующим условиям для каждого действия :

(1)  обладает ss-свойством относительно ;

(2) если не обладает ss-свойством относительно , то .

Теорема A2. Система обладает *-свойством относительно для любого начального состояния , обладающего *-свойством относительно тогда и только тогда, когда удовлетворяет следующим условиям для каждого действия :

(1) ,  обладает *-свойством относительно ;

(2) , и не обладает *-свойством относительно , то .

Теорема АЗ. Система обладает ds-свойством тогда и только тогда, когда для любого начального состояния , обладающего ds-свойством, удовлетворяет следующим условиям для любого действия :

(1) если , то ;

(2) если и , то .

Доказательство проводится аналогично доказательству теоремы А1.

Теорема (Basic Security Theorem). Система – безопасная тогда и только тогда, когда – безопасное состояние и удовлетворяет условиям теорем A1, А2, АЗ для каждого действия.

Доказательство теоремы BST следует из доказательства теорем А1, А2, АЗ.

 

МОДЕЛЬ LOW-WATER-MARK (LWM).

Данная модель является конкретизацией модели Б-Л, а также дает пример того, что происходит, когда изменения уровня секретности объекта возможны. Политика безопасности прежняя: все объекты системы классифицированы по узлам решетки ценностей (MLS) и поток информации разрешен только "снизу вверх".

Пусть в рассматриваемой системе существует один неактивный объект, и разрешены три операции с объектом, включающие следующие запросы на доступ: , и .

Пусть эти операции используются несколькими субъектами (процессами), имеющими фиксированные уровни секретности (для простоты будем полагать, что классы секретности образуют линейный порядок). Напомним формальное требование многоуровневой политики о том, что информация может двигаться только «снизу вверх». Поток информации возможен тогда и только тогда, когда реализуется доступ субъекта к объекту вида или .

При помощи поток считается разрешенным, если . При команде поток считается разрешенным, если субъект не может прочитать информацию в объекте уровня и записать в объект, для которого , причем хотя бы в одном из этих соотношений неравенство строгое (напомним, что по условию текущие уровни субъектов для любого ). Из этих свойств следует, что в системе должны выполняться условия простой секретности и *. Условие ds автоматически выполняется, так как нет ограничений на доступ, кроме перечисленных.

Таким образом, условия простой секретности (ss) в данной системе выглядят стандартно: «если или , то могут быть разрешены доступы (S, 0, X) при выполнении »

Условие * выглядит следующим образом: «если , то ; если , то ».

Опишем функционирование системы и докажем, что выполняются условия простой секретности и *. Уровень объекта в модели LWM может меняться: при команде снижается, а при команде класс объекта поднимается и становится максимальным в линейном порядке. После этого все субъекты приобретают право записи, но право чтения имеют только субъекты, находящие на максимальном уровне решетки. При команде гриф объекта снижается до уровня субъекта, давшего команду на запись. При снижении уровня секретности объекта вся прежняя информация в нем стирается, а на освободившееся место записывается информация процесса, вызвавшего команду . Право записи имеет любой субъект, у которого , где – текущий уровень объекта. Право имеет только тот субъект, который не имеет право . Право имеет любой субъект, для которого . Суммируем вышесказанное в следующей таблице.

<== предыдущая лекция | следующая лекция ==>
Пути создания ксзи 4 страница | Пути создания ксзи 6 страница
Поделиться с друзьями:


Дата добавления: 2014-01-07; Просмотров: 265; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.012 сек.