 |
Дискреционная модель Харрисона-Руззо-Ульмана
|
|
|
|
Эта классическая дискреционная модель реализует произвольное управление доступом субъектов к объектам и контроль распространения прав доступа.
В рамках этой модели система обработки информации представляется в виде совокупности активных сущностей – субъектов (множество S), осуществляющих доступ к информации, пассивных сущностей – объектов (множество О), содержащих защищаемую информацию, и конечного множества прав доступа R={r1,…,rn}, означающих полномочия на выполнение соответствующих действий (например, чтение, запись, выполнение).
Чтобы включить в область действия модели отношения между субъектами, принято считать, что все субъекты одновременно являются и объектами - 
. Поведение системы моделируется с помощью понятия состояния. Пространство состояний образуется декартовым произведением множеств составляющих её объектов, субъектов и прав – OxSxR. Текущее состояние системы Q в этом пространстве определяется тройкой, состоящей из множества субъектов, множества объектов и матрицы прав доступа М, описывающей текущие права доступа субъектов к объектам – Q=(S, O, M). Строки матрицы соответствуют субъектам, а столбцы – объектам. Поскольку , матрица имеет вид прямоугольника. Любая ячейка матрицы M(s, o) содержит набор прав субъекта s к объекту о, принадлежащих множеству прав доступа R. Поведение системы во времени моделируется переходами между различными состояниями. Переход осуществляется путём внесения изменений в матрицу М команд следующего вида:
command α(х1,…, хk)
if r1 in 
and (условия выполнения команд)
.
.
rm in 
then
op1, …opn (операции, составляющие команду)
Здесь α – имя команды, хi – параметры команды, являющиеся идентификаторами субъектов и объектов, si и oi – индексы субъектов и объектов в диапазоне от 1 до k; opi – элементарные операции. Элементарные операции, составляющие команду, выполняются, только если все условия, означающие присутствие указанных прав доступа в ячейках матрицы, являются истинными. В классической модели допустимы только следующие элементарные операции:
|
|
|
enter r into M[s, o] – добавление субъекту s права r для объекта o.
delete r from M[s, o] – удаление у субъекта s права r для объекта o.
create subject s – создание нового субъекта s.
create object o – создание нового объекта о.
destroy subject s – удаление существующего субъекта s.
destroy object o - удаление существующего объекта о.
Для каждой операции существует предусловие выполнения: чтобы изменить ячейку матрицы доступа с помощью операций enter или delete необходимо, чтобы эта ячейка существовала, т.е., чтобы существовали соответствующий объект и субъект. Предусловиями операций создания create subject/object является отсутствие создаваемого субъекта/объекта, операций удаления destroy create subject/object – наличие субъекта/объекта. Если предусловие любой операции не выполнено, её выполнение без результата.
Формальное описание системы 
состоит из следующих элементов:
1. Конечный набор прав доступа R=[r1, …, rn];
2. Конечные наборы исходных субъектов S0=[s1,…,sl] и объектов O0=[oi, …, om], где 
;
3. Исходная матрица доступа, содержащая права доступа субъектов к объектам – М0;
4. Конечный набор команд C={ αi(х1,…, хk)}, каждая из которых состоит из условий выполнения и интерпретации в терминах вышеперечисленных элементарных операций.
Критерий безопасности модели Харрисона-Руззо-Ульмана формулируется следующим образом:
Для заданной системы начальное состояние Q0=(S0, O0, M0) является безопасным относительно права r, если не существует применимой к Q0 последовательности команд, в результате которой право r будет занесено в ячейку матрицы M, в которой оно отсутствовало в состоянии Q0.
|
|
|
Смысл данного критерия состоит в том, что для безопасной конфигурации системы субъект никогда не получит право доступа к объекту, если он не имел его изначально.
Из критерия безопасности следует, что для данной модели ключевую роль играет выбор значений прав доступа и их использования в условиях команд.
С точки зрения практики построения защищённых систем модель Харрисона-Руззо-Ульмана является наиболее простой в реализации и эффективной в управлении, так как не требует никаких сложных алгоритмов и позволяет управлять полномочиями пользователей с точностью до операции над объектом, чем и объясняется её распространённость среди современных систем. Кроме того, предложенный в данной модели критерий безопасности является весьма сильным в практическом плане, поскольку позволяет гарантировать недоступность определённой информации для пользователей, которым изначально не выданы соответствующие полномочия.
Однако, Харрисон, Руззо и Ульман доказали, что в общем случае не существует алгоритма, который может для произвольной системы, её начального состояния Q0=(S0, O0, M0) и общего права r решить, является ли данная конфигурация безопасной. Доказательство опирается на свойства машины Тьюринга, с помощью которой моделируется последовательность переходов системы из состояния в состояние.
Для того чтобы можно было доказать указанный критерий, модель должна быть дополнена рядом ограничений. Указанная задача является разрешимой в любом из следующих случаев:
- команды αi(х1,…, хk) являются монооперационными, то есть состоят не более чем из одной элементарной операции;
- команды αi(х1,…, хk) являются одноусловными и монотонными, т.е. содержат не более одного условия и не содержат операций dersroy и delete;
- команды αi(х1,…, хk) не содержат операций create.
Эти условия существенно ограничивают сферу применения модели, поскольку трудно представить себе реальную систему, в которой не будет происходить создание или удаление сущностей.
Кроме того, все дискреционные модели уязвимы по отношению к атаке «троянский конь», поскольку в них контролируются только операции доступа субъектов к объектам, а не потоки информации между ними. Поэтому когда «троянская» программа переносит информацию из доступного этому пользователю объекта в объект, доступный нарушителю, формально никакое правило дискреционной политики не нарушается, но утечка информации происходит.
|
|
|
Таким образом, дискреционная модель Харрисона-Руззо-Ульмана в своей общей постановке не даёт гарантий безопасности системы, однако именно она послужила основой для целого класса моделей политик безопасности, которые используются для управления доступом и контроля распространения прав во всех современных системах.
|
|
|
