Курс лекций Защита Информации/Модель Харрисона-Рузза-Ульмана: различия между версиями

Модель Харрисона-Руззо-Ульмана является классической дискреционной моделью, реализует произвольное управление доступом субъектов к объектам и контроль за распределение прав доступа в рамках этой модели.

Субъектно-объектный взгляд

Система обработки предоставляется в виде совокупности активных сущностей субъектов${\displaystyle S_{i}}$, формирующих множество субъектов ${\displaystyle S}$, которые осуществляют доступ к пользователям пассивных сущностей объектов ${\displaystyle O_{i}}$, формирующих множество объектов ${\displaystyle O}$, содержащих защищаемую информацию, и конечного множества прав доступа ${\displaystyle R}$, характеризующего полномочия на выполнение соответствующих действий до того, что бы включить в область действия модели отношения между субъектами. Принято считать, что все субъекты одновременно являются и объектами.

Пространство состояний системы

Эволюция системы в модели представляет собой траектории в пространстве состояний. Пространство состояний системы образуется в декартовом произведении множеств, составляющих ее субъектов, объектов и прав доступа. Текущее состояние ${\displaystyle Q}$ - множества в этом пространстве определяется тройкой, состоящей из множества субъектов ${\displaystyle S}$, объектов ${\displaystyle O}$ и матрицы прав доступа ${\displaystyle A}$, описывающая текущие права доступа субъектов ${\displaystyle S}$ к объектам ${\displaystyle O}$. Строки матрицы составляют субъекты ${\displaystyle S}$, а столбцы - объекты ${\displaystyle O}$.

Любая ячейка матрицы ${\displaystyle M}$ содержит набор прав субъекта ${\displaystyle S}$ к объекту ${\displaystyle O}$, принадлежащий множеству прав доступа ${\displaystyle R}$.

Поведение системы во времени моделируется переходами между различными состояниями. Переход осуществляется путем внесения изменений в матрицу ${\displaystyle M}$ с помощью команд вида:

   ${\displaystyle command}$ ${\displaystyle \alpha (x_{1},...,x_{n})}$
       ${\displaystyle if~r_{1}~in~M[x_{s_{1}},x_{o_{1}}]}$
       ${\displaystyle if~r_{2}~in~M[x_{s_{2}},x_{o_{2}}]}$
       ...
       ${\displaystyle if~r_{m}~in~M[x_{s_{m}},x_{o_{2}m}]}$
   ${\displaystyle then}$
       ${\displaystyle op_{1},op_{2},...,op_{n}}$

где:

• ${\displaystyle \alpha }$ - имя команды;
• ${\displaystyle x_{i}}$ - параметры команд,. являющиеся идентификаторами субъектов и объектов;
• ${\displaystyle s_{i}}$ и ${\displaystyle o_{i}}$ - индексы субъектов и объектов;
• ${\displaystyle op_{i}}$ - элементарная операция.

Элементарная операция, составляющая команду, выполняется только в том случае, если все условия, означающие присутствие указанных прав доступа в ячейках матрицы ${\displaystyle M}$ являются истинными.

Элементарные операции

В классической модели допустимы только 6 элементарных операций:

1. ${\displaystyle enter~r~into~M[s,o]}$
2. ${\displaystyle delete~r~from~M[s,o]}$
3. ${\displaystyle create~subject~s}$
4. ${\displaystyle create~object~s}$
5. ${\displaystyle destroy~subject~s}$
6. ${\displaystyle destroy~object~o}$

Применение любой элементарной операции в системе, находящейся в состоянии ${\displaystyle Q=(S,O,M)}$, влечет за собой переход в другое состояние ${\displaystyle Q'=(S',O',M')}$, которое отличаеся от состояния ${\displaystyle Q}$ по крайней мере одним компонентом.

• ${\displaystyle enter}$

   ${\displaystyle enter~r~into~M[s,o]~(s\in S,o\in O)}$
       ${\displaystyle o'=o}$
       ${\displaystyle s'=s}$
       ${\displaystyle M'[x_{s},x_{o}]=M[x_{s},x_{o}]}$ если ${\displaystyle (x_{s},x_{o})\neq (s,o)}$
       ${\displaystyle M'[s,o]=M[s,o]\cup \{r\}}$

• ${\displaystyle delete}$

   ${\displaystyle delete~r~from~M[s,o]~(s\in S,o\in O)}$
       ${\displaystyle o'=o}$
       ${\displaystyle s'=s}$
       ${\displaystyle M'[x_{s},x_{o}]=M[x_{s},x_{o}]}$ если ${\displaystyle (x_{s},x_{o})\neq (s,o)}$
       ${\displaystyle M'[s,o]=M[s,o]\setminus \{r\}}$

• ${\displaystyle create~object}$

   ${\displaystyle create~object~o~(o\in O)}$
       ${\displaystyle o'=o\cup \{o\}}$
       ${\displaystyle s'=s}$
       ${\displaystyle M'[x_{s},x_{o}]=M[x_{s},x_{o}]}$ для ${\displaystyle (x_{s},x_{o})\in s\times o}$
       ${\displaystyle M'[x_{s},o]=\emptyset }$ для ${\displaystyle x_{s}\in S'}$

• ${\displaystyle create~subject}$

   ${\displaystyle create~subject~s~(s\in S)}$
       ${\displaystyle o'=o\cup \{o\}}$
       ${\displaystyle s'=s\cup \{s\}}$
       ${\displaystyle M'[x_{s},x_{o}]=M[x_{s},x_{o}]}$ для ${\displaystyle (x_{s},x_{o})\in s\times o}$
       ${\displaystyle M'[x_{s},s]=\emptyset }$ для ${\displaystyle x_{s}\in S'}$
       ${\displaystyle M'[s,x_{o}]=\emptyset }$ для ${\displaystyle x_{o}\in O'}$

• ${\displaystyle destroy~subject}$

   ${\displaystyle destroy~subject~s~(s\in S)}$
       ${\displaystyle o'=o\setminus \{o\}}$
       ${\displaystyle s'=s\setminus \{s\}}$
       ${\displaystyle M'[x_{s},x_{o}]=M[x_{s},x_{o}]}$ для ${\displaystyle (x_{s},x_{o})\in s'\times o'}$

• ${\displaystyle destroy~object}$

   ${\displaystyle destroy~object~o~(o\in O\setminus S)}$
       ${\displaystyle o'=o\setminus \{o\}}$
       ${\displaystyle s'=s}$
       ${\displaystyle M'[x_{s},x_{o}]=M[x_{s},x_{o}]}$ для ${\displaystyle (x_{s},x_{o})\in s'\times o'}$

Поведение системы во времени моделируется с помощью последовательности состояний ${\displaystyle Q_{i}}$, в которой каждое последующее состояние является результатом применения некоторой команды из множества ${\displaystyle C}$ к предыдущему состоянию:

${\displaystyle Q_{n+1}=C(Q_{n})}$

Каждое состояние определяется отношением доступа, которое существует между сущностями системы в виде множеств субъектов, объектов и матрицы прав. Поскольку для обеспечения безопасности необходимо наложить запрет на некоторые отношения доступа для заданного начального состояния системы, должна существовать возможность определить множество состояний, в которых она сможет из него попасть. Это позволит задавать такие начальные условия, при которых система никогда не сможет попасть в нежелательное состояние с точки зрения безопасности. Следовательно, для построения системы с предсказуемым поведением, необходимо для задания начальных условий получить ответ на вопрос: сможет ли некоторый субъект ${\displaystyle S}$ когда-либо приобрести права доступа ${\displaystyle R}$ для некоторого объекта ${\displaystyle O}$. Исходя из изложенного критерия безопасности в модели Харрисона-Руззо-Ульмана для заданной системы начальное состояние ${\displaystyle Q_{0}=(S_{0},O_{0},M_{0})}$ является безопасным относительно права ${\displaystyle R}$, если существует приминимая к ${\displaystyle Q_{o}}$ последовательность команд, в результате которой право ${\displaystyle R}$ будет занесено в ячейку матрицы ${\displaystyle M}$, в которой оно отсутствовало в состоянии ${\displaystyle Q_{0}}$.

Смысл данного критерия состоит в том, что для безопасной конфигурации системы субъект ${\displaystyle S}$ никогда не получит права доступа ${\displaystyle R}$ к объекту ${\displaystyle O}$, если он не имел его изначально. Запрет внесения права ${\displaystyle R}$ в ячейку матрицы не является решением задачи, в силу того, что удаление субъекта или объекта приводит к уничтожению всех прав в соответствующей строке или столбце матрицы, но не влечет за собой уничтожение самого столбца или строки и сокращения размеров матрицы. Следовательно, если в какой-либо ячейке в начальном состоянии существовало право ${\displaystyle R}$ и после удаления субъекта или объекта, к которому относилось это право, ячейка будет очищена, но впоследствии в результате создания субъекта или объекта появиться вновь и в эту ячейку с помощью команды ${\displaystyle enter}$ снова будет занесено право ${\displaystyle R}$, то это не будет означать нарушение безопасности. Доказано, что в общем случае не существует алгоритма, который может для любой системы, ее начального состояния ${\displaystyle Q_{0}}$ и общего права ${\displaystyle R}$ решить является ли данная конфигурация безопасной. Для того, чтобы можно было доказать сформулированный критерий модель должна иметь ряд ограничений. Задача является разрешимой в одном из следующих случаев:

1. Команда ${\displaystyle \alpha _{i}}$ является монооперационной, то есть состоит не более чем из одной операции.
2. Команда ${\displaystyle \alpha _{i}}$ является одноусловной или монотонной, то есть содержит не более одного условия и не содержит операций ${\displaystyle destroy}$ и ${\displaystyle delete}$.
3. Команда ${\displaystyle \alpha _{i}}$ не содержит операции ${\displaystyle create}$.

Эти условия существенно ограничивают сферу применения модели, поскольку практически не существует систем, в которых не происходит создание или удаление сущностей.

Кроме того, все дискреционные модели уязвимы к атакам типа троянского коня, поскольку в модели вписан контроль операций доступа субъектов к объектам, но не поток между объектами.

Основные преимущества:

• простота;
• наглядность;
• возможность формального доказательства.

Недостатки:

• очень трудно администрировать.