Attribute based access control models.pdf Доклад посвящен обзору основных работ по моделям логического управления до-ступом на основе атрибутов, или, иначе, атрибутного управления доступом (AttributeBased Access Control) в компьютерных системах (КС). При таком виде управления до-ступом предоставление субъекту права доступа к сущности происходит только в томслучае, если значения атрибутов субъектов и сущностей позволяют субъекту предо-ставить данный доступ к сущности. Как правило, атрибутное управление доступомрассматривается как отдельный вид управления доступом наряду с дискреционным,мандатным и ролевым. Вместе с тем КС с управлением доступом на основе атрибутовмогут использовать в качестве последних типы, уровни безопасности и роли, включаяв себя соответственно отдельные дискреционные, мандатные и ролевые механизмы.В общем случае механизмы функционирования атрибутного управления доступом ха-рактерны для систем с мандатным управлением доступом [1].Атрибутное управление доступом является новым и перспективным видом политиклогического управления доступом и информационными потоками в КС. Большинстворабот по моделям атрибутного управления доступом (например, [2]) ориентированы нареализацию или оптимизацию подсистемы управления доступом; в них используютсяоригинальные определения элементов и механизмов защиты, а используемый матема-тический аппарат часто недостаточен для анализа условий нарушения безопасностиКС и формального обоснования методов и требований их защиты. В то же время из-вестны модели атрибутного управления доступом, например [3], исследующие вопросытеоретического анализа безопасности.Исторически первой моделью атрибутного управления доступом может считатьсямодель типизированной матрицы доступа (ТМД), в которой с каждым объектом си-стемы ассоциирован атрибут-тип. В настоящее время предложено несколько подходовк управлению доступом на основе атрибутов.В [4] подробно рассматривается модель с динамической ролью. Предполагается,что в системе имеется некоторое количество ролей с заранее определенными правами.К системе имеют доступ неограниченное количество пользователей, которым необхо-димо приписыватькакие-то роли. При этом роли могут меняться с течением времени.Для определения роли пользователя в текущий момент времени используются значе-ния его атрибутов. В работе рассматривается способ представления механизма с ман-датным разграничением доступа с помощью модели с динамической ролью, а такжевводится язык, которым можно легко описать правила предоставления ролей.Работа [2] посвящена рассмотрению вопросов реализации управления доступом дляWEB-приложений в сети Интернет. Проводится анализ возможностей, достоинств инедостатков моделей ролевого управления доступом, а также их сравнение с моделя-ми атрибутного управления доступом. Принципиально новым является введение осо-бого типа сущностей, отражающих параметры функционирования КС и учитываемыхпри проверке прав доступа субъектов к сущностям. С учетом этого формулируетсяобщее определение политики управления доступом на основе атрибутов, предлагаетсяархитектура распределённой системы управления доступом, реализующей политикуатрибутного управления доступом.В работе [3] для анализа безопасности атрибутного управления доступом предла-гается использовать атрибутную матрицу доступов (АМД), основанную на моделяхХаррисона - Руззо - Ульмана и ТМД. Модель АМД содержит следующие основныеизменения:- с каждой сущностью КС ассоциирован набор атрибутов, принимающих конечноечисло значений;- модифицированы операторы создания сущностей и добавлен оператор, меняющийнабор значений атрибутов сущностей;- перед выполнением команды происходит проверка атрибутов фактическихпараметров-сущностей, и если они не совпадают с указанными в определении ко-манды, то команда не выполняется, кроме того, в условия команды включена про-верка истинности предикатов, аргументами которых являются значения атрибутовсущностей.В работе сформулированы условия, при которых задача проверки безопасностиациклических систем АМД является разрешимой, а также доказана NP-сложностьзадачи проверки безопасности ациклических систем АМД с конечным множествомзначений атрибутов.Работа [5] представляет новую модель делегирования полномочий, а также её рас-ширение, в которых используются атрибуты делегированного лица. Модели делеги-рования полномочий строятся для решения проблемы безопасной передачи, или де-легирования, полномочий одного пользователя другому. Например, в случае невыхо-да сотрудника на работу его полномочия, а с ними и определённые права доступа,должны быть распределены между другими сотрудниками. В предыдущих моделяхрешение о возможности делегирования того или иного полномочия принималось наоснове роли или должности, которую имеет делегированное лицо, а также уровня егодоступа. Предложенная модель накладывает дополнительные ограничения на выборделегированного лица, основанные на множестве его атрибутов, таких, как квалифика-ция, опыт работы, должность и т.д. Расширенная модель предоставляет возможностьвременного делегирования полномочий пользователю, который имеет более низкийуровень доступа. Таким образом, представленные модели являются менее гибкими, ноболее безопасными, чем предложенные ранее.В [6] предложен подход к реализации электронной системы сообщений на основеатрибутов. В этой КС формирование списка получателей сообщения, предназначен-ного для определённой группы пользователей, происходит на основе атрибутов по-следних. Рассматриваются следующие задачи: минимизация числа получателей сооб-щения, которым оно не предназначено; отправка конфиденциальных данных в сооб-щениях только тем пользователям, которые имеют соответствующее право доступа;встраиваемость данного механизма в электронные почтовые системы. Рассматрива-ются подходы к решению данных задач на основе атрибутного управления доступом истроится архитектура электронной системы сообщений. Приводятся эксперименталь-ные временные данные по формированию списков получателей сообщения прототипомданной системы.В работе [7] с целью оптимизации применения моделей ролевого управления до-ступом семейства RBAC рассмотрены методы комбинирования ролевых и атрибут-ных механизмов. Выделены следующие основные подходы к построению управлениядоступом:- использование механизма динамического назначения ролей субъектам в зависимо-сти от значений атрибутов сущностей в некоторый момент времени;- использование роли как одного из возможных атрибутов субъекта;- использование атрибутов сущностей в механизме ограничений RBAC.Данный обзор позволяет сформулировать следующие основные свойства атрибут-ных моделей управления доступом в КС в соответствии с понятиями из [8].1. В модели имеются множества сущностей E, субъектов S С E, прав доступа Rи объектов-параметров P = { p i , . . . , p m } С E. Каждой сущности поставлено в со-ответствие некоторое множество атрибутов - переменных с конечными множествамизначений, и набор значений атрибутов сущности e обозначен как A(e). Каждой тройке(s,e,r) Е S х E х R поставлены в соответствие некоторые параметры q1 , . . . , qk Е P ипредикат, зависящий от A(s), A(e), r, A(p1 ) , . . . , A(p.), так, что субъект s Е S получаетправо доступа r Е R к сущности e Е E, когда истинен этот предикат. Реализацияданного права осуществляется по инициативе субъекта.2. В момент времени t состояние модели определяется как Gt = (Et, Vt,(p1, A(p1 ) ) , . . . , (pm,A(pm) ) ) , где Et - множество сущностей системы в момент време-ни t и Vt - множество всех реализаций прав доступа (доступов) субъектов к сущно-стям, которые имеют место в момент времени t. Множество V состоит из элементов vt,где vt = ((s,A(s)), (e,A(e)),r), s Е S, e Е E, r Е R. Таким образом, состояние КСв модели определяют сущности, текущие реализации прав доступа субъектов к сущ-ностям вместе с их значениями атрибутов и значения атрибутов объектов-параметров.Траекторией функционирования модели называется конечная последовательность со-стояний G o , . . . , GT, где Go - начальное состояние, G^ получается из G i - 1 либо при по-явлении новой сущности системы, либо при изменении значения атрибута некоторогообъекта-параметра, либо при получении субъектом некоторого права доступа к сущно-сти. Множество всех траекторий функционирования КС c начальным состоянием G0обозначается P(G0 ) . Информационные потоки определяются, как в [8].3. В соответствии с политикой безопасности P (G0) разбивается на два непересека-ющихся подмножества: LP(G0 ) -разрешённых и NP(G0 ) -запрещённых траекторий,и определяются множества La, Na, Lr , Nr , Lf, Nf разрешённых и запрещённых досту-пов, прав доступа и информационных потоков соответственно. Нарушение безопасно-сти КС определяется как переход в состояние, в котором имеется запрещённый доступиз Na, или на траектории к которому произошло получение запрещённого права до-ступа из Nr , или реализован запрещённый информационный поток из множества Nf.По сравнению с [8], данный механизм определения состояния КС позволяет опре-делить множества Lr , Nr , La и Na не только для КС с дискреционным или ролевымуправлением доступом, в которых, в соответствии с требованиями априорно задан-ной политики управления доступом, не определены дополнительные ограничения надоступ субъектов к сущностям, но и для некоторых КС с мандатным управлениемдоступом (например, для политики low-watermark в модели Белла - ЛаПадулы и дляполитики Type Enforcment) в интерпретации атрибутного управления доступом.

Скачать электронную версию публикации