Подходы к построению ДП-модели файловых систем | ПДМ. 2009. № 1(3).

Подходы к построению ДП-модели файловых систем

В статье приводятся подходы к созданию ДП-модели файловых систем, в основе которой используется семейство ДП-моделей компьютерных систем с дискреционным управлением доступом. В рамках ДП-модели рассматриваются специфичные для файловых систем условия функционирования субъектов, условия передачи прав доступа и реализации информационных потоков, а также обосновываются достаточные условия реализации в файловых системах запрещенных информационных потоков по памяти.

Approaches to the construction of the DP-model of file systems .pdf С целью обеспечения возможности анализа условий получения недоверенными субъектами контроля над доверенными субъектами, реализующими механизмы защиты файловых систем (ФС), или условий создания недоверенными субъектами информационных потоков по памяти в обход механизмов защиты ФС построим на основе ДП-модели с функционально-ассоциированными с субъектами сущностями (ФАС ДП-модели, [1]) и разработанной Д. Н. Колеговым модели с функционально- и парамет-рически-ассоциированными с субъектами сущностями с дискреционным управлением доступом (ФПАС ДП-модели) ДП-модель файловых систем (или, сокращенно, ФС ДП-модель).При этом для построения ФС ДП-модели в ФАС и ФПАС ДП-модели внесены изменения, позволяющие учитывать существенные особенности реализации механизмов защиты современных ФС. Таким образом, в дальнейшем используем следующее пре дпо ложение.Предположение 1. В рамках ФС ДП-модели выполняются следующие условия.Условие 1. Во множестве сущностей выделено подмножество сущностей, защищенных ФС и не являющихся субъектами.Условие 2. Во множестве доверенных субъектов выделено подмножество субъектов, обладающих правами доступа и реализующих доступ к сущностям, защищенным ФС, и кодирование в них данных в случае, когда оно осуществляется ФС. Эти доверенные субъекты реализуют информационные потоки по памяти между каждой сущностью, защищенной ФС, и соответствующей ей сущностью-образом, не являющейся субъектом.Условие 3. Доверенные или недоверенные субъекты, не реализующие доступ к сущностям, защищенным ФС, не обладают правами доступа и не могут получать доступ к этим сущностям. При этом они могут обладать правами доступа или получать доступ к сущностям-образам сущностей, защищенных ФС.94П. В. БуренинУсловие 4. В каждом состоянии системы кроме множества субъектов анализируется множество потенциальных доверенных субъектов (доверенных субъектов, которые могут быть созданы в процессе функционирования системы для реализации доступа к сущностям, защищенным ФС).Условие 5. Кроме возможности создания новых субъектов из сущностей недоверенный субъект может создать доверенного субъекта в случае, когда недоверенный субъект реализовал к себе информационные потоки по памяти от всех сущностей, параметрически ассоциированных с потенциальным доверенным субъектом. При этом не доверенный субъект получает контроль над созданным доверенным субъектом.Условие 6. Каждый доверенный субъект не обладает правами доступа ко всем сущностям.Условие 7. Доверенные субъекты, не реализующие доступ к сущностям, защищенным ФС, в процессе функционирования системы не получают новые доступы к сущностям и не участвуют в создание информационных потоков к или от сущностей, защищенных ФС.Условие 8. Не рассматриваются информационные потоки по времени, право доступа и доступ на запись в конец сущности.Условие 9. В начальном состоянии системы недоверенные субъекты не реализуют доступы к сущностям, к ним не имеют доступы другие субъекты и отсутствуют информационные потоки по памяти с участием недоверенных субъектов.В основе ФС ДП-модели использован классический подход (используемый, в том числе, в семействе ДП- моде лей КС с дискреционным, мандатным или ролевым управлением доступом), состоящий в том, что каждая моделируемая КС представляется абстрактной системой, каждое состояние которой представляется графом доступов, каждый переход системы из состояния в состояние осуществляется в результате применения одного из правил преобразования графов доступа.В рамках предположения 1 используем следующие обозначения и определения ФАС и ФПАС ДП-моделей:•·Е = О U С-множество сущностей, где О-множество объектов, С-множество контейнеров и О П С = 0;•·S G Е- множество субъектов;•·[s] С Е - множество всех сущностей, функционально ассоциированных с субъектом s (при этом по определению выполняется условие s E [s], и для каждого субъекта множество сущностей, функционально с ним ассоциированных, не изменяется в процессе функционирования системы);•·]s[ С Е-множество всех сущностей, параметрически ассоциированных с субъектом и потенциальным субъектом s (при этом по определению для каждого субъекта множество сущностей, параметрически с ним ассоциированных, не изменяется в процессе функционирования системы);•·Ls - множество доверенных субъектов;•·Ns - множество не доверенных субъектов, при этом по определению выполняется равенство Ls П Ns = 0;•·Rr = {readr, writer, executer, ownr} - множество видов прав доступа;•·Ra = {reada, writea} - множество видов доступа;•·Rf = {writem}-множество видов информационных потоков, где writem - информационный поток по памяти на запись в сущность.•·Определение 1. Иерархией сущностей называется заданное на множестве сущностей Е отношение частичного порядка «^», удовлетворяющее условию:•·Подходы к построению ДП-модели файловых систем•·95•·если для сущности е Е Е существуют сущности е\, ег G Е, такие, что е ^ ег, е ^ ei, то ei ^ ег или ег ^ ei.•·В случае, когда для двух сущностей е\1 в2 G £-" выполняются условия ei ^ в2 и ei 7^ е2) будем говорить, что сущность е\ содержится в сущности-контейнере ег, и будем использовать обозначение е\ < ег-•·Определение 2. Определим Н : Е ^ 2Е - функцию иерархии сущностей, сопоставляющую каждой сущности с G Е множество сущностей Н(с) С Е и удовлетворяющую следующим условиям:•·Условие 1. Если сущность е G Н(с), то е < с п не существует сущности-контейнера d G С, такой, что е < d, d < с.•·Условие 2. Для любых сущностей ei, ег G £-", ei ф ег, по определению выполняются равенство Н(е\) П Hfa) = 0 и условия:•·если о G О, то выполняется равенство -ff(o) = 0;•·если ei < ег, то или е\, в2 Е Е \ S, или ei, ег G S*;•·если ее E\S, то Я(е) c£\S;•·если s G S, то H(s) С S.•·В рамках предполож;ения 1 в ФС ДП-модели дополнительно используем следующие обозначения:•·FSE С Е \ S - множество сущностей, защищенных ФС;•·fs: FSE -> Е \ S - инъективная функция, которая ставит в соответствие каждой сущности, защищенной ФС, соответствующую ей сущность-образ;•PS - множество потенциальных доверенных субъектов, реализующих доступ к сущностям из множества FSE;•·FSS С Ls П S - множество доверенных субъектов, реализующих доступ к сущностям из множества FSE.•·Будем считать, что в дальнейшем выполняется следующее предположение.•Предположение 2. В рамках ФС ДП-модели выполняются следующие условия.•·Условие 1. Каждый доверенный субъект из множества FSS является функционально корректным, корректным относительно любой сущности и может обладать только правами доступа на чтение и запись к сущностям из множества FSE и соответствующим им сущностям-образам.•·Условие 2. Каждый потенциальный доверенный субъект из множества PS может обладать только правами доступа на чтение и запись к сущностям из множества FSE и соответствующим им сущностям-образам и не может реализовать доступы к любым сущностям или информационные потоки.•·Условие 3. Из потенциального доверенного субъекта из множества PS может быть создан только доверенный субъект из множества FSS. При этом множество PS не изменяется в процессе функционирования системы.•·Условие 4. Для каждого доверенного субъекта из множества FSS или потенциального доверенного субъекта из множества PS множество параметрически ассоциированных с ним сущностей не пусто (для каждого s G FSS U PS справедливо неравенство ]s[ ф 0). Для каждого доверенного субъекта из множества FSS множество функционально ассоциированных с ним сущностей состоит только из самого субъекта (для каждого s G FSS справедливо равенство [s] = {s}), и невозможно получение к нему права доступа владения с использованием реализованного к нему информационного потока по памяти.•·96•·П. В. Буренин•·Условие 5. Для каждой сущности из множества FSE существует доверенный субъект из множества FSS или потенциальный доверенный субъект из множества PS, обладающий правами доступа на чтение и запись к сущности и к соответствующей ей сущности-образу (для каждой е Е FSE существует субъект s Е FSS U PS, обладающий правами доступа (s, e, readr), (s, e, writer), (s, fs(e), readr), (s, fs(e), writer)).•·Условие 6. Каждый доверенный субъект, не входящий во множество FS'S', обладает всеми правами доступа ко всем сущностям, не входящим во множества КЖ, FSS и {е Е £": существует s G 5 и е 6 ]s[} (множество сущностей, параметрически ассоциированных с субъектами).•·В рамках предположений 1 и 2 дадим определение состояния системы.•·Определение 3. Пусть определены множества S, PS, E, R С [S U PS1) x E x Rr, A

Ключевые слова

компьютерная безопасность , файловые системы , ДП-модель

Авторы

ФИООрганизацияДополнительноE-mail
Буренин Павел Валерьевич ООО «Твест», г. Тверь troylf4@mail.ru
Всего: 1

Ссылки

 Подходы к построению ДП-модели файловых систем             | ПДМ. 2009. № 1(3).

Подходы к построению ДП-модели файловых систем | ПДМ. 2009. № 1(3).

Полнотекстовая версия