Approaches to development of discretionary dp-model of the modern secure operating systems.pdf Рассматривается дискреционная ДП-модель, развивающая и конкретизирующаясуществующие ДП-модели для случая, когда моделируемая компьютерная системаявляется защищенной операционной системой (ОС). Далее будем называть предлага-емую модель ЗОС ДП-моделью. Она основывается на базовой ДП-модели [1], ФПАСДП-модели [2] и ФС ДП-модели [3], а также отчасти на модели мандатной политикицелостности информации Биба [1]. Будем использовать систему обозначений [1].Предлагаемая модель характеризуется следующими основными отличиями от ра-нее разработанных ДП-моделей.1. В модель вводится новый элемент - множество учетных записей пользовате-лей U. Права доступа к сущностям назначаются не напрямую субъектам, как в другихДП-моделях, а учетным записям пользователей, которые делегируют права доступасубъектам, выполняющимся от имени соответствующей учетной записи. Другими сло-вами, множество разрешенных прав доступа R определяется как подмножество множе-ства U х (E U U) х Rr. Задается отображение user : S ^ U, определяющее для каждогосубъекта, от имени какой учетной записи он выполняется. Для каждой учетной запи-си u Е U задается множество параметрически ассоциированных с ней сущностей ]u[,реализация от каждой из которых информационного потока по памяти к субъектупозволяет породить нового субъекта от имени учетной записи u. При этом сущности,параметрически ассоциированные с учетной записью, не обязательно являются пара-метрически ассоциированными с субъектом, порожденным от имени данной учетнойзаписи. По аналогии с множеством доверенных субъектов Ls среди учетных записейвыделяется подмножество доверенных учетных записей Lu .2. В дополнение к правам доступа readr, writer, executer, ownr, традиционно рас-сматриваемым в дискреционных ДП-моделях, вводится право доступа grantr, позво-ляющее формализовать ситуацию, когда субъект-владелец предоставляет к сущностиограниченный доступ субъектам, выполняющимся от имени других учетных записей.3. В модель вводятся новые элементы: множество видов совместного доступаShare = {reada, writea} С Ra и две функции - sa : E \ S ^ 2SWe, задающая текущиедоступы к сущностям, не являющимся субъектами, и sm : E \ S ^ 2Share, задающаяразрешенные совместные доступы к сущностям, не являющимся субъектами. При фор-мальном описании доступа субъекта к объекту учитывается совместный доступ, т. е.множество доступов A определяется как подмножество множества S х E х Ra х 2Share.Перечисленные новые элементы модели позволяют формализовать ситуацию, когдасубъект s1, имеющий право readr или writer на доступ к некоторой сущности e, неможет реально осуществить доступ reada или соответственно writea, поскольку дру-гой субъект s2 уже осуществляет к сущности e доступ, не допускающий совместногоиспользования данной сущности более чем одним субъектом. Рассматриваются сов-местные доступы reada и writea, по определению устанавливается, что доступы readaсовместимы между собой, но несовместимы с доступами writea, а доступ writea к сущ-ности может осуществляться субъектом только в монопольном режиме. Данное до-пущение описывает наиболее типичный сценарий организации совместного доступак объектам; другие сценарии (например, комбинация параметров GENERIC_READи FILE_SHARE_WRITE в терминах Windows) реализуются крайне редко, в основ-ном при обращениях к файлам баз данных, формализация доступа к которым далековыходит за рамки предлагаемой модели.4. Для каждого права доступа r Е R к сущности e Е E вводится множество (воз-можно, пустое) сущностей-параметров ](e,r)[, не являющихся субъектами. Если длянекоторой конкретной пары (e,r) множество ](e,r)[ непусто, то для реализации до-ступа к сущности субъекту необходимо реализовать к себе информационные потокипо памяти от всех сущностей из ](e, r)[. Введение в ДП-модель сущностей-параметровпозволяет формализовать непрямые доступы субъектов к сущностям, требующие вре-менной смены эффективного идентификатора учетной записи, от имени которой вы-полняется субъект (su, sudo, SUID/SGID в UNIX, олицетворение учетной записив Windows и т.п.), либо других, более сложных взаимодействий субъекта со специ-альными сущностями ОС (UAC в Windows и т.п.).5. В модель вводятся новые элементы, позволяющие формально описать системумандатного контроля целостности (MIC), входящую в ОС семейства Windows на-чиная с версии WindowsVista. К этим элементам относятся линейная шкала (LI,поддерживаемых уровней целостности, функция iu : U ^ LI, устанавливающая мак-симально допустимый уровень целостности для субъектов, выполняющихся от именизаданной учетной записи, функция is : S ^ LI, задающая текущий уровень целост-ности субъекта, и функция ie : E \ S ^ LI, задающая уровень целостности для сущ-ностей, не являющихся субъектами. Без ограничения общности можно рассматриватьслучай, когда в моделируемой системе заданы только два уровня мандатной целост-ности - низкий и высокий.6. В правила преобразования состояний ЗОС ДП-модели добавлены два новых пра-вила: create_/irst_subject, формализующее порождение первого субъекта в сеансеработы пользователя с моделируемой системой, и de/ete_access, формализующее пре-кращение доступа субъекта к сущности и обусловленное этим снятие ограничений посовместному доступу к данной сущности.Предлагаемая ЗОС ДП-модель позволяет применять научный аппарат ДП-моделейк задачам формального описания и научного обоснования различных практическихрешений, реализуемых в современных защищенных ОС. В частности, предполагаетсяиспользовать ЗОС ДП-модель в рамках работ по повышению защищенности отече-ственных ОС.

Скачать электронную версию публикации