About the role dp-model for access and information flows control in operating systems of Linux family.pdf Рассматривается развивающая ролевые ДП-модели [1, 2] ролевая ДП-модельуправления доступом и информационными потоками в операционных системах (ОС)семейства Linux (или, сокращенно, РОСЛ ДП-модель), в которую по сравнениюс БРОС ДП-моделью внесены следующие основные изменения.Виды прав доступа (readr, writer, executer, ownr) и доступов (reada, writea, owna)заданы в соответствии с реализуемыми в ОС семейства Linux правилами дискрецион-ного управления доступом. При задании иерархии сущностей (отношения частичногопорядка ^ на множестве сущностей E) и функции иерархии сущностей (He) учтеноналичие механизма создания «жестких» ссылок (hard link) в файловой системе ОСрассматриваемого семейства, обеспечивающего возможность размещения сущностей-объектов одновременно в нескольких сущностях-контейнерах.В РОСЛ ДП-модели впервые по существу анализируется механизм ограничений(описанный в БР ДП-модели) на значения множеств авторизованных ролей учетныхзаписей пользователей (Constraint^), прав доступа ролей (Constraint P) и текущихролей субъект-сессий (Constraints). Этот механизм включен в модель для реализациив перспективе на основе ролевого управления доступом востребованного во многихзащищенных ОС мандатного управления доступом.Наибольшие изменения по сравнению с БРОС ДП-моделью внесены в описанияусловий и результатов применения правил преобразования состояний, в которых учте-но наличие механизма ограничений и «жестких» ссылок. Правило создания сущностизаменено двумя правилами - создания объекта и создания контейнера; добавлены пра-вила создания и удаления «жесткой» ссылки, удаления доступа и получения субъект-сессией при наличии доступа владения к другой субъект-сессии всех ее информацион-ных потоков.В рамках РОСЛ ДП-модели по аналогии с существующими ДП-моделями рассмат-риваются монотонные правила преобразования состояний, которые по определению неприводят к удалению из состояний: ролей из множества текущих ролей субъект-сессий;прав доступа ролей к сущностям; субъект-сессий, сущностей или «жестких» ссылокна сущности-объекты; доступов субъект-сессий к сущностям; информационных пото-ков. Наличие в модели механизма ограничений в общем случае требует использованиямонотонных и немонотонных правил при передаче прав доступа ролей или возникно-вения информационных потоков. С учетом этого формулирование и обоснование ал-горитмически проверяемых условий передачи прав доступа ролей или возникновенияинформационных потоков между сущностями целесообразно осуществлять для неко-торых заданных в конкретных системах множеств ограничений. Для этого предлага-ется рассматривать ограничения, инвариантные относительно немонотонных правилпреобразования состояний, каждое из которых по определению обладает следующимсвойством: если в системе задано только ограничение данного вида, то для любой тра-ектории системы применение или неприменение на ней любого немонотонного правилане влияет на выполнение ограничений у последующих за ним правил преобразованиясостояний. С использованием обозначений БРОС ДП-модели [2] дадим определение исформулируем утверждение.Определение 1. Ограничение инвариантно относительно немонотонных правилпреобразования состояний в системе S(G*,OP), если при условии, что в ней заданотолько данное ограничение, для любых состояния системы G0, немонотонного правилапреобразования состояний op1, правил преобразования состояний op2, . . . , opN, гдеN > 1, справедливо следующее: если G0 hopi G1 bop2 ... HopN_1 GN - 1 , G0 b^2 G'2 b^... bop^ 1 GN_ 1 и в состоянии Gn- 1 выполнены ограничения, заданные в условияхприменения правила cpN, то эти ограничения выполнены в состоянии GN_ 1.Утверждение 1. Пусть G0 -начальное состояние системы S(G*,OP, G0), в ко-тором все ограничения инвариантны относительно немонотонных правил преобразо-вания состояний, и функции (iu,ie,ir, is)0 удовлетворяют условиям предположения 7БРОС ДП-модели [2]. Пусть также существуют состояния системы G1, ... , Gn и пра-вила преобразования состояний op1,... , opN, такие, что G0 bop1 G1 b^2 ... b^^ GN,где N ^ 0. Тогда существуют состояния G1, ... , G'M, где M ^ 0, и монотонные пра-вила преобразования состояний op1, ... , op'M, такие, что G0 b^ G1 b^ ... b^/ G'M ивыполняются следующие условия:1. Верно включение Sn С SM и для каждой субъект-сессии s Е Sn выполняютсяусловия userN(s) = userM(s), ro/esN(s) С ro/es'M(s).2. Верно включение En С EM, для каждой сущности e Е En \ Sn , не являющейсясубъектом, выполняется условие Hen(e) С H^M(e), и для любых сущностей e, e' Е Enесли в состоянии Gn выполняется условие e < e', то данное условие выполняетсяв состоянии GM.3. Для каждой роли r Е R выполняется условие PAN(r) С PA'M(r).4. Верно включение AN С A'M.5. Верно включение EN С ЕМ.6. Функции (iu,ie,ir, is)M удовлетворяют условиям предположения 7 БРОСДП-модели [2].Из утверждения 1 следует, что при наличии в системе только ограничений, инва-риантных относительно немонотонных правил преобразования состояний, при анализеусловий передачи прав доступа ролей, реализации информационных потоков достаточ-но использовать только монотонные правила преобразования состояний.Таким образом, РОСЛ ДП-модель позволяет анализировать перспективные для ОСсемейства Linux механизмы защиты: ролевое управление доступом, включая ограниче-ния, и мандатный контроль целостности. В дальнейшем планируется развитие моделис целью включенияв нее новых элементов, более точно учитывающих особенностифункционирования ОС рассматриваемого семейства, и выработки научно-обоснован-ных технических решений, направленных на совершенствование механизмов защитыинформации в ОС.

Скачать электронную версию публикации