Conditions for taking ownership access to trusted sessionsby untrusted sessions are analyzed within the base role DP-model of computer systemswith the role management of access. The case is considered when any number of sessionscooperate and do not take ownership access to each other using memory-information flowsto entities associated functionally with sessions.
Analysis of conditions for taking ownership access within the base role DP-model without memoryinformation flows.pdf На основе семейства ролевых моделей RBAC [1-3] и семейства ДП-моделей компьютерныхсистем (КС) с дискреционным или мандатным управлением доступом [4]построена базовая ролевая ДП-модель (БР ДП-модель) [5, 6]. Данная модель ориентированана анализ в КС с ролевым управлением доступом условий передачи правдоступа ролей и реализации информационных потоков по памяти и по времени.В настоящее время в рамках БР ДП-модели не удалось завершить исследованияКС с ролевым управлением доступом, на условия функционирования которых не наложеноограничений. В связи с этим в [5, 6] с применением БР ДП-модели выполненанализ необходимых и достаточных условий передачи прав доступа для случая, когдав системе существуют только две субъект-сессии двух пользователей.В докладе исследуется БР ДП-модель, в которой взаимодействуют произвольноечисло субъект-сессий, и они не получают доступа владения друг к другус использованием информационных потоков по памяти к функционально ассоциированнымс субъект-сессиями сущностям. Для этого определяется предикатsimple_can_access_own(x, у, G0), истинный тогда и только тогда, когда существуеттраектория функционирования системы с начальным состоянием G0 и с некоторымконечным состоянием, в котором субъект-сессия, функционирующая от имени недоверенногопользователя x, получает доступ владения к субъект-сессии, функционирующейот имени пользователя у.Для упрощения записи алгоритмически проверяемых необходимых и достаточныхусловий истинности предиката simple_can_access_own(x, у, G0) определятся предикатsimple_directly_access_own(x, у, G0), задающий легкопроверяемые условия, при выполнениикоторых субъект-сессия, функционирующая от имени недоверенного пользователяx, может непосредственно получить доступ владения к субъект-сессии, функционирующейот имени пользователя у. По аналогии с моделью Take-Grant [2, 3]также определяются:island: Nu П S ^ 2Nu U 2S - функция, задающая остров (подграф графа доступов,соответствующего состоянию системы) для субъект-сессии или недоверенного пользователя;is_simple_bridge: (Nu U (Ns П S )) х (Nu U S ) х (Nu U S) ^ {true, false} иis_bridge: (Nu U (NS П S )) х (Nu U S ) х (Nu U S ) ^ {true, false} - функции, длякоторых справедливы соответственно равенства is_simple_bridge(x, у, z ) = true илиis_bridge(x, у, z ) = true тогда и только тогда, когда субъект-сессия или недоверенныйпользователь у соединен соответственно простым мостом или мостом (путями специального вида в графе доступов) с субъект-сессией или недоверенным пользователем zчерез недоверенную субъект-сессию или недоверенного пользователя х.При этом при задании простых мостов и мостов в граф доступов добавлены вершины,соответствующие ролям, и ребра, задающие: принадлежность роли права доступак сущности, принадлежность роли множеству авторизованных ролей пользователяили субъект-сессии, принадлежность роли множеству текущих ролей субъект-сессии,возможность административной роли изменять принадлежащие роли права доступак сущности, принадлежность пользователей или субъект-сессий к островам.Теорем а 1. Пусть G0 - состояние системы E (G *, OP), в котором существуютнедоверенный пользователь х G Nu и субъект-сессия или недоверенный пользовательy G NU U S0, такие, что х = y. Предикат simple_can_access_own(х, y, G0) являетсяистинным тогда и только тогда, когда существуют последовательности недоверенныхсубъект-сессий или недоверенных пользователей х 1, . . . , xm G NU U (Ns П S0), субъект-сессий или недоверенных пользователей у1, ... , ym G Nu U S0, где m ^ 1, таких, чтох 1 = х, ym = у, yi G island(хг), где 1 ^ i < m, и выполняются следующие условия:1) Если m ^ 2, то справедливо равенство is_bridge(хт , ym-1, y) = true.2) Если m ^ 3, то для каждого 2 ^ i < m справедливо равенство или is_bridge(хг,yi-1 , yi) = true, или is_simple_bridge(хг, yi-1 , yi) = true.Таким образом, в рамках БР ДП-модели обосновываются необходимые и достаточныеусловия получения субъект-сессией, функционирующей от имени недоверенногопользователя, доступа владения к другой субъект-сессии для случая, когда в системевзаимодействуют произвольное число субъект-сессий и они не используют информационныепотоки по памяти.
| Девянин Петр Николаевич | Институт криптографии, связи и информатики, г. Москва | доктор технических наук, доцент, заместитель заведующего кафедрой | peter_devyanin@hotmail.com |
Sandhu R. Role-Based Access Control / / Advanced in Computers. Academic Press, 1998. V. 46.
Bishop M. Computer Security: art and science. ISBN 0-201-44099-7, 2002. 1084 p.
Девянин П. Н. Модели безопасности компьютерных систем: Учеб. пособие для студ. высш. учеб. заведений. М.: Издательский центр «Академия», 2005. 144 с.
Девянин П. Н. Анализ безопасности управления доступом и информационными потоками в компьютерных системах. М.: Радио и связь, 2006. 176 с.
Девянин П. Н. О разработке моделей безопасности информационных потоков в компьютерных системах с ролевым управлением доступом / / Материалы Третьей Междунар. науч. конф. по проблемам безопасности и противодействия терроризму. МГУ им. Ломоносова. 25-27 октября 2007 г. М.: МЦНМО, 2008. С. 261-265.
Девянин П. Н. Базовая ролевая ДП-модель / / Прикладная дискретная математика. 2008. №1(1). С. 64-70.
Вы можете добавить статью