Антонюк А.О. Теоретичні основи захисту інформації

Подождите немного. Документ загружается.

131

Задаючи частину параметрів безпеки певним чином (у вигляді констант

для кожної конкретної системи), можна отримати наступну м атрицю

визначення параметрів безпеки. В таблиці наведено також приклад призначення

привілеїв новому створеному файлу.

Об’єкт

Користувач u

Константа

}

Константа

Термінал t

Константа

F(t

)

Константа

Завдання j

Min(A(u

),A(t

))

C(u

)

∩

C(t

)

F(j

)

M(u

)

∩

M(t

)

Файл f

Константа

F(f

)

Константа

Новий файл f=(

, ff

)

Max(A(

),A(

))

)

∪

)

F(j

)

∩

)

Як бачимо, новий створений (з використанням даних (

, ff

)) в системі

файл f отримує найвищі параметри безпеки серед параметрів даних (

, ff

), що

його складають. Крім того, звернемо увагу на зв’язок між параметрами в

стовпчиках для С і М. Для об’єкта «Завдання j

» результуючі параметри С і М

беруться як перетини відповідних м ножин . В той же час для нового файла

параметр С береться як об’єднання множ ин. Це легко зрозуміти, зважаючи на

те, що новий файл має належ ати до обох категорій, яким належали старі файли,

а привілеї завдання повинні бути не більшими ніж найменший привілей з пари

користувач – термінал.

Чотирьохмірний кортеж безпеки, отриманий на основі прав завдання, а не

прав користувача, використовується в моделі для управління доступом. Така

«парасолька завдань» забезпечу є однорідний контроль прав на доступ над

неоднорідною множиною програм і даних, файлів, користувачів і терміналів.

Слід додати також, що ця перша модель безпеки виявилася досить вдалою

спробою опису механізму доступ у і деякі її варіанти досі ще є актуальними. За

сучасною термінологією це модель дискреційного досту пу.

5.2. Модель HRU

Розглянемо модель HRU (Harrison M., Ruzzo W., Ullman J.), розробку якої

теж слід вважати важливим етапом в розвитку теорії захисту інформації. Її

важливість полягає в тому, що фактично вона стала основою одного з методів

132

дослідження дискреційних моделей безпеки. Модель HRU використовується

для аналізу системи захисту, яка реалізує дискреційну політику безпеки і її

основного елемента – матриці доступів. Система захист у представляється

кінцевим автоматом, що функціонує відповідно до певних правил переходу.

Модель HRU була вперше запропонована в 1971 році. В 1976 році з’явився

формальний опис моделі [78-79], за яким нижче вона і викладається. Основні

твердження наводяться без доведень.

Як і раніше, позначимо: О – множина об’єктів системи; S – множина

суб’єктів системи, причому S⊆O, ма л ен ьк им и б ук в ам и о та s позначатимемо

відповідно об’єкти та суб’єкти; R – множина прав доступу суб’єктів до обєктів,

наприклад, права на читання (read), на запис (write), володіння (own); M –

матриця доступу, рядки якої відповідають суб’єктам, а стовпчики – об’єктам та

суб’єктам; ел ементи матриц і означають M[s,o]⊆R – права доступу суб’єкта s до

об’єкта о.

Окремий автомат, що побудований згідно до положень моделі HRU,

будемо називати системою. Функціонування системи розглядається тільки з

точки зору змін в матриці доступу. Можливі зм іни елементів матри ці

визначаються шістю примітивними операторами:

• «внести» право r∈R в М[s,о] (enter r into) – додаван ня суб’єкту s права

доступу r до обєкту о. П ри цьо му в комірк у M[s,o] матр иці доступів додаєть ся

елемент r;

• «видалити» право r∈R з М[s,о] (delete r from) – видалення у суб’єкта s

права доступу r до об’єкта о. При цьому з комірки M[s,o] матриці доступів

видаляється елемент r;

• «створити» суб’єкт s' (create subject s') – додавання в си стему нового

суб’єкта s'. При цьому в м ат ри ц у до с ту п ів до да єть ся н ов і с то в п чи к т а р яд о к;

• «створити» об’єкт о' (create object о') – додавання в систему нового

об’єкта о'. При цьому в матрицю доступів додається новий стовпчик;

• «видалити» суб’єкт s' (destroy subject s') – видалення з системи суб’єкта

s'. При цьому з ма тр и ц і до ст у пів в и да л яю т ьс я в ідп о в ідн і ст о вп ч и к та рядок;

133

• «видалити» об’єкт о' (destroy object о') – видалення з системи обєкта о'.

При цьому з матриці доступів видаляється відповідний стовпчик.

В результаті виконання деякого примітивного оператора р здійснюється

перехід системи зі стану Q=(S,О,M) в но вий стан Q'=(S',О',M'), який

відрізняється від попереднього принаймні одним компонентом. Зручно звести

примітивні операторі до наступної таблиці, перший стовпчик якої містить сам

оператор, другий – умови, за якими він має виконуватися, третій – зміни станів

системи шляхом опису змін в множинах об’єктів та суб’єктів.

Примітивний оператор

моделі HRU

Умови

Новий стан системи

«внести» право r∈R в

М[s,о]

s∈S, o∈O

S'=S, O'=O, M'[s,o]=M[s,o]∪{r},

∀(s',o')≠(s,о),⇒M'[s',o']=M[s',o']

«видалити» право r∈R з

М[s,о]

s∈S, o∈O

S'=S, O'=O, M'[s,o]=M[s,o]\{r},

∀(s',o')≠(s,о),⇒M'[s',o']=M[s',o']

«створити» суб’єкт s'

s'∉S

S'=S∪{s}, O'=O∪{s},

∀(s,o)∈S×O⇒M'[s,o]=M[s,o], ∀о∈O'⇒

M'[s',o]=∅, ∀s∈S'⇒M'[s,s']=∅

«створити» об’єкт о'

о'∉O

O'=O∪{s}, S'=S, ∀(s,o)∈S×O⇒M'[s,o]=M[s,o],

∀s∈S'⇒M'[s,o']=∅

«видалити» суб’єкт s'

s'∈S

S'=S\{s}, O'=O\{s},

∀(s,o)∈S'×O'⇒M'[s,o]=M[s,o]

«видалити» об’єкт о'

о'∈O, о'∉S

S'=S, O'=O\{o}, ∀(s,o)∈S'×O'⇒M'[s,o]=M[s,o]

З примітивних операторів можна складати команди. Кожна команда

складається з двох частин:

• умови, за якими виконується команда;

• послідовність примітивних операторів.

Таким чином, запис команди має вигляд:

Сommand С(x

,...,х

)

if r

∈

М[x

] and ... and r

∈

М[х

,х

] then

;

...

;

end

134

Тут x

,...,х

– формальні параметри команди (ідентифікатори об’єктів та

суб’єктів), r

,...,r

∈R – права доступу,

,...,

– послідовність примітивних

операторів. В моделі вважається, що умови в тілі команди необов’язкові.

При виконанні команды С(x

,...,х

) система здійсню є перехід зі стану Q у

новий стан Q'. Даний перехід позначимо Q|-

Q'. При цьом у сп р ав е дл и в і

твердження:

• Q'=Q, якщо од н а з ум о в ко м ан д и С(x

,...,х

) не виконана;

• Q'=Q

, якщо усі ум ов и команди С(x

,...,х

) виконуються і існують

стани Q

,...,Q

: Q=Q

... |-

Розглянемо приклади команд.

Приклад. Команда створення суб’єктом s особистого файла f. Для

створення такого об’єкта як файл необхідно створити новий стовп чик в матриці

доступів, а також внести у відповідну комірку стовпчика права суб’єкта,

наприклад, на володіння, на читання, на запис. В даній команді присутні лиш е

примітивні оператори, умови відсутні.

Сommand «створити файл» (s,f)

«створити» об’єкт f;

«внести» право володіння own в М[s,f];

«внести» право на читання read в М[s,f];

«внести» право на запис write в М[s,f];

end

Приклад. Команда передачі суб’єкту s' права на читання read на файл f

його власником суб’єктом s. Вон а складається з дв ох частин – умови та

оператора.

Сommand «передати право читанная» (s,s',f)

if own

∈

М[s,f] then

«внести» право на читання read в М[s',f];

end

Тепер звернемо сь до визначення основн ого поняття будь-якої системи

захисту – поняття безпеки системи. Згідно до вимог більшості критеріїв оцінки

135

безпеки, систем и захисту повинні будуватися на основі певних математичних

моделей, за допомогою яких повинно бути теоретично обґрунтована

відповідність системи захисту вимогам заданої політики безпеки. Для

вирішення поставленої задачі необхідною є наявність алгоритму, який може

здійснювати перевірку такої відповідно сті. Однак, як показують результати

аналізу моделі HRU, задач а побудови алгоритма перевірки безпеки систем, що

реалізуть дискреційну політику розмежування прав доступу, не може бути

розв’язана в загальному випадку. Щоб сформ улювати цей висновок, введемо

ряд означень. Спочатку визначимо можливість витоку певного права, що якраз і

є порушенням безпеки.

Означення. Витік права r∈R є можливим за результом виконання команди

с, якщо при перехо д і сист ем и зі стан у Q в стан Q' виконується такий

примітивний оператор, що вносить це право r в елемент матриці доступів М,

який до того (тобто в стані Q) не містив це право.

Означення. Початковий стан Q

називається безпечним по відношенню до

деякого права r∈R, якщо з Q

неможливий перехід системи в такий стан Q, в

якому може виникнути витік права r.

Сенс даного означення, яке фактично є критерієм безпеки, полягає в тому,

що для безпечної конфігурації системи суб’єкт ніколи не зможе отримати право

r доступу до об’єкта, якщ о він не мав його спочатку. На перший погляд таке

твердження здається досить дивним, оскільки неможливість отримання права r

буцім то тягне за собою відмову від ви користання команд, в яких присутня

операція enter r into M[s,o], однак це не так. Справа в тому, що в и д ал ен н я

суб’єкта або об’єкта призводить до знищення всіх пр ав у відповідному рядку

або стовпчику матриці, але не тягне за собою знищення самого рядка або

стовпчика і скоро чення розмірів матриці. Отже, якщо в деякій комірці в

початковому стані існувало право r, і після видален н я суб’єкта або об’єкта, до

яких відносилося це право, комірка буде очищена, а в п одальшому в результаті

створення суб’єкта або об’єкта до неї за допо могою команди enter r зн ову буде

занесено право r, то це не бу де о з н ача ти п о р ушення безпеки.

136

Означення. Система називається моноопераційною, якщо кожна команда

виконує лише примітивний оператор.

В рамках наданих означень для моделі HRU отрим ано наступний

фундаментальний результат [79].

Теорема. Існує алгори тм , що дозв оля є здійсню в ати перев ірку, чи є

вихідний стан моноопераційної системи безпечним для даного права r∈R.

Проте для загального випадку доведено негативний результат, тобто не

існує алг о р ит м а, який може д л я довільно ї системи, її поча тк ов о г о стану Q

загального права r вирішити, чи є дана конфігурація безпечною. Доведення

спирається на властивості машини Тьюринга, за допомогою якої моделюється

послідовність переходів системи зі стану в стан.

Теорема. Задача перевірки безпеки довільних систем алгоритмічно

нерозв’язувана.

Цей результат подіяв як холодний душ на прибічників думки, що в

принципі теоретично можливо забезпечити завідомо достовірну безпеку

довільної системи захи сту. З’явилися навіть думки про п ринци пову формальну

нерозв’язність задач безпеки. Однак подальші дослідження показали, що все не

так погано, як здається. Зокрем а, з цих теорем виникаю ть принаймні два шляхи

вибору моделей систем захисту.

По-перше, загальна модель хоча і не дає можливості ф ормально довести їх

безпеку, зате дає багато різноманітних політик дискреційного розмежування

доступу, для яких з точки зору їх складності та практичної доцільності немає

необхідності розв’язувати до кінця задачу перевірки безпеки.

А, по-друге, можна використовувати більш обмежені (в сенсі визначенн я і

наявності певних операцій в моделі) системи, для яких можна довести

можливість забезпечення безпеки, тобто розгляда ти конкретні або специфічні

моделі системи. Правда, в таких обмежених системах іноді не вдається

реалізувати вимоги деяких політик безпеки. Наприклад, моноопераційні

системи не можуть виразити політику, яка надає суб’єктам права на створені

їми об’єкти , оскільки в таких системах не існує одної опер ації, яка б і

137

створювала об’єкт, і помічала б одночасно цей об’єкт як такий, щ о належ ить

цьому суб’єкту.

Необхідно відзначити, що з точки зору практики побудови захищених

систем модель HRU є найбільш простою в реалізації і ефективною в управлінні,

оскільки не вим агає складних алгоритмів і дозволяє керувати повноваженнями

користувачів з точністю до операції н ад об’єктом, чим і пояснюється її

розповсюдженість серед сучасних систем. Крім того, запропоноване в даній

моделі означення безпеки є досить потуж ним в практичному плані, оскільки

дозволяє гарантувати недоступ ність певної інформації для користувачів, яким

спочатку не надані відповідні повноваження.

Подальші дослідження моделі HRU велися в основному в напрямку

визначення умов, яким повинна задовольняти система, щоб для неї задача

перевірки безпеки була алгоритмично розв’язуваною. Так, в 1976 році в [6]

було доведен о, що ця задача розв’язувана для систем, в яких відсутня операція

«створити». В 1978 році в [79] показано , що такими можуть бути монотонні і

моноумовні системи, тобто системи, що не містять операторів «знищити» або

«видалити» і мають тільки команди, в частині умов яких присутнє не більш як

одне речення. В тому ж році в [79] показано, що задача безпеки для систем з

кінцевою множиною суб’єктів розв’язувана, але обчислювально складна. Таким

чином, щ е раз підкреслимо, що з часом модель HRU переросла в один з

теоретичних методів дослідження захищених систем.

5.3. Модель Take-Grant

В подальшому виявилося, що в багатьох моделях дискреційного доступу

виникла проблема несанкціонованого розповсюдження прав доступу. Відразу ж

з’явилися відповідні моделі. Розглян емо класичну модель розповсюдженн я

прав доступу Take-Grant, яка також стала важливим етапом в розвитку теорії

захисту інформації, оскільки її теж можна вважати ще одним методом

дослідження захищених систем.

Модель розповсюдження прав доступу Take-Grant, що була запропон о в ан а

в 1976 році [73], використовує тьс я для аналізу систем дискреційного

138

розмежування доступу, в першу, чергу для аналізу шляхів розповсюдження

прав доступу в таких системах. В якості основних елементів моделі

використовуються графи доступів і правила їх перетворень. Мета моделі – дати

відповідь на питання про можливість отримання прав доступу суб’єктом

системи на об’єкт в стані, що описуєть ся графом доступів. В подальшому

модель Take-Grant отримала продовження як розширена модель Take-Grant

[73], в якій розглядаються шляхи виникнення інформац ійни х потоків в

системах з дискреційним розмежуванням доступу.

Перейдемо до формального опису моделі Take-Grant, яке приведемо по

[41] і [73].

Як і раніше, позначимо:

• О – множина об’єктів;

• S⊆О – множина активных об’єктів – су б’єктів (наприклад,

користувачів або процесів);

• G=(S,O,E) – кінцевий пом ічений орієнтований граф без петель, який

представляє поточні доступи в системі;

• елементи множин S,O відповідають вершинам графа;

• елементи множини E⊆S× O×R представляють дуги графа, що

помічаються непустими підмножинами з множини прав дуступу R.

Будемо розглядати наступну множину доступів: R={r,w,c}∪{t,g}, де r –

читати, w – писати, с – викликати, take (t)– право брати права доступу, grant

(g)– право давати права доступу. Якщо суб’єкт x∈S може мати права α⊆R на

доступ до об’єкта y∈O, то ці права запи с уються в матрицю доступів суб’єктів

до об’єктів, причому це стосується і прав take та grant.

Стан системи описується його графом доступів. Перехід системи зі стану в

стан визначається операціями або правилами перетворен ня графа доступів.

Перетворення графа G в граф G' в результаті виконання правила (операції) ор

позначимо G|-

G'.

Перетворення станів, тобто перетворення графів доступів, проводяться за

допомогою певних правил. В моделі встановлено чотири види правил, за якими

139

один граф доступу перетворюється в інший. Кожне правило має свою назву та

формальні параметри.

1. Правило «брати» – take(α,s,x,y). Нехай s∈S, x,y∈O – різні вершини графа

G, α⊆β⊆R. Якщо суб’єкт s володіє правом t до об’єкта x і β⊆R – деяка

підмножина прав доступу об’єкта x до об'єкта y, тоді зміст пр а в ил а таки й : «s

take α for y from x». У результаті виконання цього правила в множину прав

доступу суб’єкта s до об'єкта y додається ще підмножина прав α ⊆β. Графіч но

це означає, що якщо у вихідному графі доступів G був підграф

то в новому стані G', побудованому з а п р ав и л ом t, буде підграф

або G|-

take(a,s,x,y)

G'.

2. Правило «надавати» – grant(α,s,x,y). Нехай s∈S, x,y∈O – різні вершини

графа G, α⊆β⊆R. Якщо суб’єкт s володіє правом g до об ’єкта x і підмножиною

прав β⊆R доступу до об'єкта y, тоді зміст п р ав и ла такий: «s grant α for y to x». У

результаті виконання цього правила в множ ину прав доступу об’єкта y

додається ще підмножина прав доступу α⊆β до x. Графічно це означає, що

якщо у вихідному графі доступів G був підграф

то в новому стані G' буде підграф

140

або G|-

grant(a,s,x,y)

G'.

3. Правило «створити» – create(α,s,x). Н ех ай s∈S, α⊆R, α≠∅. Правило «s

create α for new object x» створює в графі нов у вершину x і в и зн а чає α як права

доступів s до x, x∈O – новий об’єкт (або суб’єкт). Тобто в порівнянні з графом

G у новому стані G' додається підграф виду

XS !→!

або G|-

create(a,s,x)

G'.

4. Правило «видалити» – remove(α,s,x). Нехай s∈S, x∈O, α⊆β⊆R. Пра в ил о

«s remove α for x» виключає права доступу α із прав суб’єкта s до об’єкта x.

Графічно перетворення графа доступу G у новий стан G' у результаті цього

правила можна зобразити в такий спосіб

XSXS

!! →!!→!

або G|-

remove(a,s,x)

G'.

Наведені правила «брати», «надавати», «створити», «видалити» на відміну

від правил розширеної моделі Take-Grant будемо називати правилами де-юре.

Аналогічно п оп е ре д н і й моделі зве д е м о їх до нас т у пн ої таблиці.

Правила де-юре моделі Take-

Grant

Умови

Кінцевий стан системи

«брати» – take(α,s,x,y)

s∈S, (s,x,t)∈E, (x,y,β)∈E,

≠

y, α⊆β⊆R,

S'=S, O'=O, E'=E∪{(s,y,α)}

«надавати» – grant(α,s,x,y)

s∈S, (s,x,g)∈E, (x,y,β)∈E,

≠

y, α⊆β⊆R,

S'=S, O'=O, E'=E∪{(x,y,α)}

«створити» – create(α,s,x)

s∈S, x

∉

O'=O∪{x}, S'=S∪{x}, якщо

x – cуб’єкт, E'=E∪{(s,x,β)}

«видалити» – remove(α,s,x)

s∈S, x∈O, (x,y,β)∈E,

α⊆β⊆R

S'=S, O'=O, E'=E|{(s,x,α)}

В моделі Take-Grant основна увага приділяєтся визначенню умов, при яких

в системі м ожливо розповсюдження прав доступу певним способом. Найбільш

важливими вважаються умови реалізації:

• способу санкціонованого отримання прав доступу;

• способу крадіжки прав доступу.