Курс лекций Защита Информации/Теорема Мак-Лина

■

Теорема Мак-Лина Введем функции ${\displaystyle F_{s}:S\rightarrow L}$ и ${\displaystyle F_{o}:O\rightarrow L}$. Функция перехода ${\displaystyle T}$ безопасна по чтению, если для любого перехода выполняются следущие условия: если ${\displaystyle read\in M^{*}[S,Q]}$ и ${\displaystyle read\notin M[S,O]}$, то ${\displaystyle F_{s}(S)\geq F_{o}(O)}$ и ${\displaystyle F=F^{*}}$ если ${\displaystyle F_{s}\neq F_{s}^{*}}$, то${\displaystyle M=M^{*}}$, ${\displaystyle F_{o}=F_{o}^{*}}$ ${\displaystyle \forall S}$ и ${\displaystyle O}$, для которых ${\displaystyle F_{s}^{*}(S)\leq F_{o}^{*}(O)}$, ${\displaystyle read\notin M[S,O]}$ если ${\displaystyle F_{o}=F^{*}}$, то ${\displaystyle M=M^{*}}$, ${\displaystyle F_{s}=F_{s}^{*}}$ ${\displaystyle \forall S}$ и ${\displaystyle O}$, для которых ${\displaystyle F_{s}^{*}(S)<F_{o}^{*}(O)}$, ${\displaystyle read\notin M[S,O]}$

Смысл введения перечисленных ограничений и их отличия от условий теоремы Белла-Лападула состоит в следующем: нельзя изменять одновременно состояния более одного компонента, при переходе возникает новое отношение доступа или уровень объекта, или уровень субъекта. Функция перехода является безопасной тогда и только тогда, когда она изменяет только один из компонентов состояния и изменения не приводят к изменению безопасности системы.