Курс лекций Защита Информации/Модель Харрисона-Рузза-Ульмана

Курс лекций Защита Информации/Текст с двух сторон Модель Харрисона-Руззо-Ульмана является классической дискреционной моделью, реализует произвольное управление доступом субъектов к объектам и контроль за распределение прав доступа в рамках этой модели.

Субъектно-объектный взгляд

Система обработки предоставляется в виде совокупности активных сущностей субъектов $S_{i}$ , формирующих множество субъектов $S$ , которые осуществляют доступ к пользователям пассивных сущностей объектов $O_{i}$ , формирующих множество объектов $O$ , содержащих защищаемую информацию, и конечного множества прав доступа $R$ , характеризующего полномочия на выполнение соответствующих действий до того, что бы включить в область действия модели отношения между субъектами. Принято считать, что все субъекты одновременно являются и объектами.

Пространство состояний системы

Эволюция системы в модели представляет собой траектории в пространстве состояний. Пространство состояний системы образуется в декартовом произведении множеств, составляющих ее субъектов, объектов и прав доступа. Текущее состояние $Q$ - множества в этом пространстве определяется тройкой, состоящей из множества субъектов $S$ , объектов $O$ и матрицы прав доступа $A$ , описывающая текущие права доступа субъектов $S$ к объектам $O$ . Строки матрицы составляют субъекты $S$ , а столбцы - объекты $O$ .

Любая ячейка матрицы $M$ содержит набор прав субъекта $S$ к объекту $O$ , принадлежащий множеству прав доступа $R$ .

Поведение системы во времени моделируется переходами между различными состояниями. Переход осуществляется путем внесения изменений в матрицу $M$ с помощью команд вида:

    $command$   $\alpha (x_{1},...,x_{n})$ 
        $if~r_{1}~in~M[x_{s_{1}},x_{o_{1}}]$ 
        $if~r_{2}~in~M[x_{s_{2}},x_{o_{2}}]$ 
       ...
        $if~r_{m}~in~M[x_{s_{m}},x_{o_{2}m}]$ 
    $then$ 
        $op_{1},op_{2},...,op_{n}$

где:

$\alpha$ - имя команды;
$x_{i}$ - параметры команд,. являющиеся идентификаторами субъектов и объектов;
$s_{i}$ и $o_{i}$ - индексы субъектов и объектов;
$op_{i}$ - элементарная операция.

Элементарная операция, составляющая команду, выполняется только в том случае, если все условия, означающие присутствие указанных прав доступа в ячейках матрицы $M$ являются истинными.

Элементарные операции

В классической модели допустимы только 6 элементарных операций:

$enter~r~into~M[s,o]$
$delete~r~from~M[s,o]$
$create~subject~s$
$create~object~o$
$destroy~subject~s$
$destroy~object~o$

Применение любой элементарной операции в системе, находящейся в состоянии $Q=(S,O,M)$ , влечет за собой переход в другое состояние $Q'=(S',O',M')$ , которое отличается от состояния $Q$ по крайней мере одним компонентом.

$enter$

    $enter~r~into~M[s,o]~(s\in S,o\in O)$ 
        $o'=o$ 
        $s'=s$ 
        $M'[x_{s},x_{o}]=M[x_{s},x_{o}]$  если  $(x_{s},x_{o})\neq (s,o)$ 
        $M'[s,o]=M[s,o]\cup \{r\}$

$delete$

    $delete~r~from~M[s,o]~(s\in S,o\in O)$ 
        $o'=o$ 
        $s'=s$ 
        $M'[x_{s},x_{o}]=M[x_{s},x_{o}]$  если  $(x_{s},x_{o})\neq (s,o)$ 
        $M'[s,o]=M[s,o]\setminus \{r\}$

$create~object$

    $create~object~o~(o\in O)$ 
        $o'=o\cup \{o\}$ 
        $s'=s$ 
        $M'[x_{s},x_{o}]=M[x_{s},x_{o}]$  для  $(x_{s},x_{o})\in s\times o$ 
        $M'[x_{s},o]=\emptyset$  для  $x_{s}\in S'$

$create~subject$

    $create~subject~s~(s\in S)$ 
        $o'=o\cup \{o\}$ 
        $s'=s\cup \{s\}$ 
        $M'[x_{s},x_{o}]=M[x_{s},x_{o}]$  для  $(x_{s},x_{o})\in s\times o$ 
        $M'[x_{s},s]=\emptyset$  для  $x_{s}\in S'$ 
        $M'[s,x_{o}]=\emptyset$  для  $x_{o}\in O'$

$destroy~subject$

    $destroy~subject~s~(s\in S)$ 
        $o'=o\setminus \{o\}$ 
        $s'=s\setminus \{s\}$ 
        $M'[x_{s},x_{o}]=M[x_{s},x_{o}]$  для  $(x_{s},x_{o})\in s'\times o'$

$destroy~object$

    $destroy~object~o~(o\in O\setminus S)$ 
        $o'=o\setminus \{o\}$ 
        $s'=s$ 
        $M'[x_{s},x_{o}]=M[x_{s},x_{o}]$  для  $(x_{s},x_{o})\in s'\times o'$

Поведение системы во времени моделируется с помощью последовательности состояний $Q_{i}$ , в которой каждое последующее состояние является результатом применения некоторой команды из множества $C$ к предыдущему состоянию:

Q_{n+1}=C(Q_{n})

Каждое состояние определяется отношением доступа, которое существует между сущностями системы в виде множеств субъектов, объектов и матрицы прав. Поскольку для обеспечения безопасности необходимо наложить запрет на некоторые отношения доступа для заданного начального состояния системы, должна существовать возможность определить множество состояний, в которых она сможет из него попасть. Это позволит задавать такие начальные условия, при которых система никогда не сможет попасть в нежелательное состояние с точки зрения безопасности. Следовательно, для построения системы с предсказуемым поведением, необходимо для задания начальных условий получить ответ на вопрос: сможет ли некоторый субъект $S$ когда-либо приобрести права доступа $R$ для некоторого объекта $O$ . Исходя из изложенного критерия безопасности в модели Харрисона-Руззо-Ульмана для заданной системы начальное состояние $Q_{0}=(S_{0},O_{0},M_{0})$ является безопасным относительно права $R$ , если не существует приминимая к $Q_{o}$ последовательность команд, в результате которой право $R$ будет занесено в ячейку матрицы $M$ , в которой оно отсутствовало в состоянии $Q_{0}$ .

Смысл данного критерия состоит в том, что для безопасной конфигурации системы субъект $S$ никогда не получит права доступа $R$ к объекту $O$ , если он не имел его изначально. Запрет внесения права $R$ в ячейку матрицы не является решением задачи, в силу того, что удаление субъекта или объекта приводит к уничтожению всех прав в соответствующей строке или столбце матрицы, но не влечет за собой уничтожение самого столбца или строки и сокращения размеров матрицы. Следовательно, если в какой-либо ячейке в начальном состоянии существовало право $R$ и после удаления субъекта или объекта, к которому относилось это право, ячейка будет очищена, но впоследствии в результате создания субъекта или объекта появиться вновь и в эту ячейку с помощью команды $enter$ снова будет занесено право $R$ , то это не будет означать нарушение безопасности. Доказано, что в общем случае не существует алгоритма, который может для любой системы, ее начального состояния $Q_{0}$ и общего права $R$ решить является ли данная конфигурация безопасной. Для того, чтобы можно было доказать сформулированный критерий модель должна иметь ряд ограничений. Задача является разрешимой в одном из следующих случаев:

Команда $\alpha _{i}$ является монооперационной, то есть состоит не более чем из одной операции.
Команда $\alpha _{i}$ является одноусловной или монотонной, то есть содержит не более одного условия и не содержит операций $destroy$ и $delete$ .
Команда $\alpha _{i}$ не содержит операции $create$ .

Эти условия существенно ограничивают сферу применения модели, поскольку практически не существует систем, в которых не происходит создание или удаление сущностей.

Кроме того, все дискреционные модели уязвимы для атак типа троянского коня, поскольку в модели вписан контроль операций доступа субъектов к объектам, но не поток между объектами.

Основные преимущества:

простота;
наглядность;
возможность формального доказательства.

Недостатки:

очень трудно администрировать.

Курс лекций Защита Информации/Текст с двух сторон