Помощь в написании студенческих работ
Антистрессовый сервис

1.2 Модель безопасности Харрисона-Руззо-Ульмана

Реферат: 1.2 Модель безопасности Харрисона-Руззо-Ульмана
РефератПомощь в написанииУзнать стоимостьмоей работы

Тогда для систем с начальной конфигурацией и права r можно сказать, что подсистема безопасна для права r, если не существует последовательности запросов к системе, которые приводят к записи права r в не содержащую его ячейку матрицы М. Однако, такие системы сильно ограничены в возможностях. Безопасность даже для монотонных систем становится неразрешимой, если мы позволим осуществление биусловных… Читать ещё >

1.2 Модель безопасности Харрисона-Руззо-Ульмана (реферат, курсовая, диплом, контрольная)

Харрисон, Руззо и Ульман разработали модель безопасности (модель Харрисона-Руззо-Ульмана) для проведения исследований дискреционного управления доступом.

Модель безопасности HRU (Харрисона-Руззо-Ульмана) реализует произвольное управление доступом субъектов к объектам и контроль за распространением прав доступа.

Обозначим:

О — множество объектов системы (пассивные сущности);

S — множество субъектов системы (активные сущности);

R — конечное множество прав доступа субъектов к объектам;

R = {r1,…, rn} - полномочия на выполнение соответствующих действий Чтобы включить в область действия модели и отношения между субъектами, принято считать, что все субъекты являются объектами.

S O.

Поведение системы моделируется понятием состояния системы, пространство состояний системы образуется декартовым произведением SxOxM.

Состояние системы характеризуется тройкой (S, О, М), где S — множество субъектов, О — множество объектов (в О могут входить и субъекты), М — матрица доступа. Матрица М включает по одной строке для каждого субъекта и по одному столбцу для каждого объекта Ячейка такой матрицы M[s, о] содержит права доступа субъекта s к объекту о. Права доступа входят в конечный набор прав R.

Состояние системы изменяется под действием запросов на модификацию матрицы доступа М.

Тогда для систем с начальной конфигурацией и права r можно сказать, что подсистема безопасна для права r, если не существует последовательности запросов к системе, которые приводят к записи права r в не содержащую его ячейку матрицы М.

Поведение системы во времени моделируется переходами между различными состояниями. Переход осуществляется путем внесения изменения в матрицу М с помощью команд следующего вида:

Command б (x1,…, xk).

If r1 in M[xs1,…, xo1] and (условие выполнения команды);

r2 in M[xs2,…, xo2] and (условие выполнения команды);

rm in M[xsm,…, xom] and (условие выполнения команды);

then op1, op2,…, opm (операции составляющие команду).

б — имя команды;

xi — параметры команд, являющиеся идентификаторами субъектов и объектов;

si и oi — индексы субъектов и объектов от 1 до k;

opi — элементы операций, выполняющиеся только в том случае, если все условия означают присутствие указанных прав доступа в ячейках матрицы М является истинными.

В классической модели допустимы следующие элементарные операции.

  • *Enter r into M[s, o] - добавление субъекту s права доступа г объекту о;
  • *Delete r from M[s, o] - удаление у субъекта s права доступа г к объекту о;
  • *Create subject s — добавление в систему нового субъекта s;
  • *Create object o — добавление в систему нового объекта о;
  • *Destroy subject s — удаление из системы субъекта s;
  • *Destroy object о — удаление из системы объекта о.

Применение любой элементарной операции в системе, находящейся в состоянии Q = [S, O, M], влечет за собой переход в другое состояние Q' = [S', O'. M'], которое отличается от предыдущего по крайней мере на один компонент.

Операция называется enter-монотонной, поскольку она только добавляет права в матрицу доступа и ничего не удаляет. Операция delete не является монотонной, так как удаляет информацию из матрицы доступа.

Предусловиями операций создания субъекта и объекта является отсутствие создаваемого субъекта или объекта.

Формальное описание системы состоит из следующих элементов:

Система обозначается, как ?(Q, R, C).

  • 1. Конечный набор прав доступа R = {r1,…, rn};
  • 2. Конечный набор субъектов и объектов, S = {s1,…, sn}; O = {o1,…, om}; S0 O0.
  • 3. Исходная матрица доступа, содержащая права доступа субъектов к объектам M0.
  • 4. Конечный набор команд C = {б (x1,…, xn)}.

Поведение системы моделируется во времени с помощью последовательности состояний, в которой каждое последующее является результатом применения некоторой команды из множества C к предыдущему.

Qn+1 = Cn (Qn).

Таким образом, для каждого начального состояния только от условий команд из множества C и составляющих их операций зависит, сможет ли система попасть в то или иное состояние.

Для построения системы с предсказуемым поведением необходимо для заданных условий получить ответ на вопрос: «сможет ли некоторый субъект s когда-либо получит право доступа r для некоторого объекта o.».

Поэтому критерий безопасности модели HRU формулируется так:

Для заданной системы начальное состояние Q0 = (S0, O0, M0) является безопасным относительно права r доступа к объекту, если не существует применимой к Q0 последовательности команд, в результате которой право r будет занесено в ячейку матрицы доступаM, в которой оно не существовало в состоянии Q0.

Смысл критерия: для безопасной конфигурации системы: субъект никогда не получит право доступа r к объекту, если он не имел эго изначально.

Из критериев безопасности следует, что для этой модели ключевую роль играет выбор значения прав доступа.

Хотя модель не налагает никаких ограничений прав и считает их равнозначными, те из них, кто участвует в условиях выполнения команд, практически являются не правами доступа субъектов к объектам, а правами управления доступом или правами на осуществление модификации ячеек матрицы доступа.

Таким образом, эта модель описывает не только доступ субъектов к объектам, а распространение прав доступа от субъекта к субъекту, поскольку именно изменение ячеек матрицы доступа определяет возможность выполнения команд, в том числе тех, которые модифицируют саму матрицу доступа и которые потенциально могут привести к нарушению критерия безопасности.

Проблема безопасности заключается в ответе на следующий вопрос: «Существует ли какое-либо достижимое состояние, в котором конкретный субъект обладает конкретным правом доступа к определенному объекту?» .

Харрисон, Руззо и Ульман доказали две фундаментальные теоремы о сложности проблемы безопасности.

Первая гласит, что проблема безопасности разрешима для монооперационных систем, т. е. для систем, в которых запросы содержат лишь одну примитивную операцию. Вторая утверждает, что проблема безопасности не разрешима в общем случае.

Эти выводы поставили разработчиков перед дилеммой:

  • * с одной стороны, модель Харрисона-Руззо-Ульмана в ее полном варианте позволяет реализовать множество политик безопасности, но тогда проблема безопасности становится неразрешимой (по второй теореме);
  • * с другой стороны, проблема безопасности разрешима для монооперационных систем (первая теорема), но тогда модель получается слишком слабой для реализации большинства политик. Например, монооперационные системы не позволяют воплотить политику, которая наделяла бы субъекта специальными правами доступа к дочернему объекту, т.к. отсутствует единая операция создания объекта и обозначения его принадлежности к субъекту-родителю. В таком случае невозможно отличить потомков одного предка от потомков другого.

Харрисон, Руззо, Ульман также показали, что безопасными являются монооперационные системы:

Однако, такие системы сильно ограничены в возможностях. Безопасность даже для монотонных систем становится неразрешимой, если мы позволим осуществление биусловных запросов (условная часть запроса содержит, как максимум, два элемента).

Показать весь текст
Заполнить форму текущей работой

Сессия? Спокойно!