Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа
Подождите немного. Документ загружается.
Глава 12. Модели управления доступом
Метод произвольно-принудительного (комбинированного) управления вир-
туальными каналами взаимодействия субъектов доступа включает в себя
элементы произвольного и принудительного управления доступом.
Таким образом, произвольное управление доступом реализуется в том
случае, когда не может (либо не имеет смысла) быть введена какая-либо
шкала оценки субъектов и объектов доступа. Как следствие, каналы вза-
имодействия субъектов идентичны для всех субъектов доступа. Естествен-
но, что в данных предположениях нецелесообразна какая-либо схема
принудительного управления.
Каноническая модель на основе произвольного управления
виртуальными каналами взаимодействия субъектов
В соответствии с введенным ранее определением, каноническая модель
управления доступом на основе произвольного управления виртуальны-
ми каналами определяется канонической моделью управления доступом
с взаимодействием субъектов для линейно упорядоченных множеств
субъектов (групп субъектов) и множеств объектов (групп объектов). Опи-
сывается эта модель матрицей доступа D, имеющей следующий вид.
Зп/Чт Д ...
"д
Д
Д Зп/Чт ... Д Д
Д Д ... Зп/Чт Д
Д Д Д Зп/Чт
Модель управления доступом формально может быть описана следующим
образом:
» элемент (Dij) матрицы Dij = Зп/Чт, если i = j,
* иначе Dij = Д.
В данной модели каждому субъекту (группе субъектов) доступа предос-
тавляется активный симплексный канал взаимодействия со всеми осталь-
ными субъектами доступа (с субъектами других групп) с использованием
операции «добавление».
Под канонической моделью управления доступом на основе метода произ-
вольного управления виртуальными каналами взаимодействия субъектов
доступа для линейно упорядоченных множеств субъектов (групп субъек-
тов) и объектов (групп объектов) доступа понимается модель, описывае-
мая матрицей доступа, элементы главной диагонали которой «Зп/Чт»
задают полный доступ субъектов к объектам, остальные элементы «Д»
задают активные симплексные каналы взаимодействия с использовани-
ем операции «добавление».
171
Часть IV. Управление доступом к ресурсам
Принудительное управление виртуальными каналами
и полномочное управление доступом
Основу принудительного управления виртуальными каналами взаимодей-
ствия субъектов доступа составляет введение некоторой параметрической
шкалы оценки субъектов и объектов доступа. При принудительном уп-
равлении виртуальными каналами реализуется полномочное управление
доступом (управление доступом с учетом параметрической шкалы оцен-
ки субъектов и объектов доступа).
Введем следующие обозначения. Пусть множества С =
{С1,...,
Ск} и
О =
{Ol,...,
Ok}
— соответственно, линейно полномочно упорядоченные
множества субъектов и объектов доступа, упорядоченные таким образом,
что, чем меньше порядковый номер субъекта доступа, тем он обладает
большими полномочиями по доступу к объектам. Соответственно, чем
меньше порядковый номер объекта доступа, тем большие полномочия не-
обходимы для доступа к нему.
В качестве субъекта доступа Ci, i = l,...,k рассматривается как отдель-
ный субъект, так и группа субъектов, обладающих одинаковыми права-
ми доступа. Соответственно, в качестве объекта доступа Oi, i = l,...,k
может также рассматриваться как отдельный объект, так и группа объек-
тов, характеризуемых одинаковыми к ним правами доступа.
При линейно полномочном упорядочивании множеств субъектов и объек-
тов доступа С =
(С1,...,
Ск}
и О =
{Ol,...,
Ok}
i-й субъект может иметь
доступ к объектам с порядковым номером не меньше
1-го
(к объектам
Oi,...,0k).
Соответственно, к i-му объекту могут иметь доступ субъекты с
порядковым номером не больше
1-го
(субъекты
01,...,Oi).
При полномочном управлении доступом недопустимым является передача
информации (организация виртуального канала взаимодействия субъектов
доступа) из объектов с более высокими полномочиями (меньшим порядко-
вым номером) доступа к ним в объекты с меньшими полномочиями (боль-
шим порядковым номером) доступа к ним.
Утверждение доказывается от обратного. Если подобное взаимодействие
допустимо, то априори отсутствует полномочное упорядочивание объек-
тов, т.е. собственно нивелируется параметрическая шкала оценки субъек-
тов и объектов доступа.
Полномочная модель управления доступом
с произвольным управлением виртуальными каналами
взаимодействия субъектов доступа
Особенностью данной модели управления доступом является то, что
в каноническую модель управления доступом добавляются активные
симплексные каналы, обеспечивающие взаимодействия субъектов, име-
172
Глава 12. Модели управления доступом
ющих более низкие полномочия, с субъектами-обладателями более
высоких полномочий.
Матрица доступа D, описывающая данную модель управления доступом,
имеет следующий вид.
D =
О,
'k-\
~Зп/Чт
0
0
0
Д
Зп/Чт
0
0
Д
Д
Д
Д
Зп/Чт Д
О Зп/Чт
Модель управления доступом формально может быть описана следующим
образом:
» Dij =
Зп/Чт,
если i =
j,
» Dij = 0, если i > j,
« Dij
=
Д, если i < j,
где i — порядковый номер объекта (номер строки в матрице доступа);
j
—порядковый
номер субъекта (номер столбца в матрице доступа).
Для данной канонической модели управления доступом характерно то,
что для доступа к объекту с полномочиями i, субъект должен иметь
полномочия не ниже, чем i, где i = l,...,k. При этом полномочия ли-
нейно упорядочены по возрастанию -- чем меньше номер, тем выше
полномочия.
В данной модели применяется метод произвольного управления вирту-
альными каналами взаимодействия субъектов доступа. В рамках этого
метода субъекты с меньшими полномочиями могут «добавлять» инфор-
мацию в объекты с большими полномочиями.
Таким образом, под канонической моделью управления доступом на ос-
нове метода произвольного управления виртуальными каналами взаимодей-
ствия субъектов доступа для линейно полномочно упорядоченных мно-
жеств субъектов (групп субъектов) и объектов (групп объектов) доступа
понимается модель, описываемая матрицей доступа, элементы главной
диагонали которой «Зп/Чт» задают полный доступ субъектов к объек-
там равных полномочий, элементы, расположенные выше главной ди-
агонали, а «Д» задают активные симплексные каналы взаимодействия с
использованием операции «добавление». Таким образом субъекты с
меньшими полномочиями могут «добавлять» информацию в объекты с
большими полномочиями.
173
Часть IV. Управление доступом к
ресурсам
Полномочная модель управления доступом
с принудительным управлением виртуальными каналами
взаимодействия субъектов доступа
Особенностью данной модели управления доступом является то, что в
каноническую модель управления доступом добавляются пассивные сим-
плексные каналы, обеспечивающие взаимодействия субъектов, имеющих
более высокие полномочия, с субъектами-обладателями более низких
полномочий.
Матрица доступа D, описывающая данную модель управления доступом,
имеет следующий вид.
Ci
С
2
•••
Q-i
Q
Зп/Чт 0 ... О О
О,
Чт Зп/Чт О О
Чт Чт ... Зп/Чт О
Чт Чт ... Чт Зп/Чт
Модель управления доступом формально может быть описана следующим
образом:
»
Dij = Зп/Чт, если i = j,
* Dij = Чт, если i >
j,
* Dij = 0, если i < j,
где i
—порядковый
номер объекта (номер строки в матрице доступа);
j — порядковый номер субъекта (номер столбца в матрице доступа).
Для данной канонической модели управления доступом характерно то, что
для доступа к объекту с полномочиями i, субъект должен иметь полномо-
чия не ниже, чем i, где i = l,...,k. При этом полномочия линейно упорядо-
чены по возрастанию — чем меньше номер, тем выше полномочия. В дан-
ной модели применяется метод принудительного управления виртуальными
каналами взаимодействия субъектов доступа: субъекты с большими полно-
мочиями имеют принудительное для объектов с меньшими полномочиями
право «читать» из них информацию в объекты с большими полномочиями.
Под канонической моделью управления доступом на основе метода принуди-
тельного управления виртуальными каналами взаимодействия субъектов дос-
тупа для линейно полномочно упорядоченных множеств субъектов (групп
субъектов) и объектов (групп объектов) доступа понимается модель, опи-
сываемая матрицей доступа, элементы главной диагонали которой
«Зп/Чт»
задают полный доступ субъектов к объектам равных полномочий, элемен-
ты, расположенные ниже главной диагонали, «Чт» задают пассивные симп-
лексные каналы взаимодействия с использованием операции «чтение». Та-
ким образом, субъекты с большими полномочиями имеют принудительное
174
Глава 12. Модели управления доступом
для объектов с меньшими полномочиями право «читать» из них информа-
цию в объекты с большими полномочиями.
Полномочная модель управления доступом
с комбинированным управлением виртуальными каналами
взаимодействия субъектов доступа
Особенностью данной модели управления доступом является то, что в ка-
ноническую модель управления доступом добавляются дуплексные каналы
взаимодействия субъектов доступа:
» активные симплексные каналы, обеспечивающие взаимодействия
субъектов, имеющих более низкие полномочия, с субъектами-облада-
телями более высоких полномочий;
* пассивные симплексные каналы, обеспечивающие взаимодействия
субъектов, имеющих более высокие полномочия, ссубъектами-обла-
дателями более низких полномочий.
Матрица доступа D, описывающая данную модель управления доступом,
имеет следующий вид:
ГС
ГС
1
2
*
* *
k—1
1с
0
2
о,
Зп/Чт
Д Д Д
Чт
Зп/Чт
... Д Д
Чт Чт ... Зп/Чт Д
Чт Чт Чт
Зп/Чт
Модель управления доступом формально может быть описана следующим
образом:
»
Dij
=
Зп/Чт,
если i = j,
» Dij = Чт, если i > j,
* Dij = Д, если i < j,
где i — порядковый номер объекта (номер строки в матрице доступа);
j — порядковый номер субъекта (номер столбца в матрице доступа).
Для данной модели управления доступом характерно то, что для доступа
к объекту с полномочиями i, субъект должен иметь полномочия не ниже,
чем i, где i = l,...,k (полномочия линейно упорядочены по возрастанию -
чем меньше номер, тем выше полномочия).
Данная модель является комбинированной и в ней применяются оба
метода управления виртуальными каналами:
» метод произвольного управления виртуальными каналами взаимодей-
ствия субъектов доступа: субъекты с меньшими полномочиями могут
«добавлять» информацию в объекты с большими полномочиями;
175
Часть IV. Управление доступом к ресурсам
» метод принудительного управления виртуальными каналами взаимо-
действия субъектов доступа: субъекты с большими полномочиями
имеют принудительное для объектов с меньшими полномочиями право
«читать» из них информацию в объекты с большими полномочиями
(комбинация методов).
Под канонической моделью управления доступом на основе метода комбини-
рованного управления виртуальными каналами взаимодействия субъектов
доступа для линейно полномочно упорядоченных множеств субъектов
(групп субъектов) и объектов (групп объектов) доступа понимается модель,
описываемая следующей матрицей доступа:
• элементы главной диагонали которой
«Зп/Чт»,
задают полный доступ
субъектов к объектам равных полномочий;
* элементы
«Д»,
расположенные выше главной диагонали, задают ак-
тивные симплексные каналы взаимодействия с использованием опе-
рации «добавление» - - субъекты с меньшими полномочиями могут
«добавлять» информацию в объекты с большими полномочиями;
» элементы
«Чт»,
расположенные ниже главной диагонали, задают пас-
сивные симплексные каналы взаимодействия с использованием опе-
рации «чтение» — субъекты с большими полномочиями имеют при-
нудительное для объектов с меньшими полномочиями право «читать»
из них информацию в объекты с большими полномочиями.
12.7. ВЫВОДЫ
Подводя итог всему сказанному, в данном разделе можно сделать следу-
ющие выводы:
1. В общем случае различие моделей управления доступом базируется
на отличиях способов реализации канала взаимодействия субъектов
доступа и методов управления им.
2. Могут быть выделены методы произвольного и принудительного уп-
равления виртуальными каналами взаимодействия субъектов доступа.
Под методом произвольного управления понимается управление по
усмотрению субъекта (владельца информации). При этом решение о
предоставлении другому субъекту информации из объекта по виртуаль-
ному каналу принимается непосредственно субъектом, имеющим пол-
ный доступ к этой информации. Под методом принудительного управ-
ления понимается управление, реализуемое не по усмотрению субъекта
(владельца информации), а на основании некоторой параметрической
шкапы оценки субъектов и объектов доступа (полномочий).
3. Задача управления доступом решена корректно в том случае, если
диспетчером доступа реализуется одна из рассмотренных канони-
ческих моделей (для полномочных моделей в предположении, что
при полномочном управлении корректно задана параметрическая
шкала оценки субъектов и объектов доступа).
176
глава 13
Реализация моделей доступа
механизмами добавочной
и встроенной защиты
13.1.
Механизмы реализации
дискреционной и мандатной моделей
управления доступом
Итак, выше нами были определены канонические модели управления
доступом, канонические в том смысле, что обеспечивают корректное
решение задачи управления доступом и имеют общий вид для соответ-
ствующих условий решения задачи.
Показано, что отличие моделей управления доступом базируется на от-
личиях способов реализации канала взаимодействия субъектов доступа и
методов управления им.
Теперь рассмотрим возможные способы реализации моделей диспетче-
ром доступа. Для этого определим механизмы, реализуемые диспетчером
доступа, а также используемую диспетчером учетную информацию субъек-
тов и объектов доступа.
Очевидно, что различные механизмы, реализующие одну и ту же модель
управления доступом, по свой сути идентичны. Их отличие состоит лишь в
способе задания и обработки учетной информации субъектов и объектов
доступа. Механизм управления доступом, реализуемый диспетчером досту-
па, это лишь способ обработки запросов доступа в соответствии с реализу-
емой моделью управления доступом.
13.1.1. Механизмы реализации дискреционной
модели доступа
На сегодняшний день на практике используются понятия дискрецион-
ного и мандатного механизмов управления доступом [1, 2, 4, 8, 13]. Да-
дим этим механизмам определения с учетом введенных ранее моделей.
177
Часть IV. Управление доступом к ресурсам
Под дискреционным механизмом управления доступом понимается способ
обработки запросов диспетчером доступа, основанный на задании правил
разграничения доступа в диспетчере непосредственно матрицей доступа D.
Таким образом, дискреционный механизм управления доступом предпо-
лагает задание в качестве учетной информации субъектов и объектов их
идентификаторов (например, имя пользователя и имя файлового объек-
та), а в качестве правил разграничения доступа — матрицы доступа D.
При запросе доступа, поступающего в диспетчер доступа от субъекта,
диспетчер из запроса получает идентификаторы субъекта и объекта. За-
тем он находит элемент матрицы доступа на основе учетных данных
субъекта и объекта, осуществляет управление запросом доступа на осно-
вании выбранного элемента матрицы доступа.
С учетом того, что при управлении доступом диспетчером анализируется
собственно матрица доступа, дискреционный механизм управления доступом
является универсальным в том смысле, что им может быть реализована любая
из рассмотренных выше модель управления доступом, в том числе и модель
полномочного управления.
Ранее были представлены канонические модели управления доступом, за-
дающие корректные разграничения в общем случае. Общность определя-
ется тем, что однотипный канал взаимодействия субъектов доступа созда-
ется одновременно для всех субъектов. В частном случае подобный канал
может устанавливаться не для всех субъектов. При этом разграничение дис-
петчером доступа должно осуществляться на основе частной матрицы до-
ступа, получаемой из соответствующей канонической матрицы путем зап-
рещения каналов взаимодействия. Пример частной матрицы доступа для
модели управления доступом с дуплексными виртуальными каналами вза-
имодействия на основе активных симплексным каналов представлен ниже.
О,
о
/t-i
с,
'Зп/Чт
д
д
0
С
2
д
Зп/Чт
Д
0
"k-l
О
д
д
д
Зп/Чт Д
Д Зп/Чт
13.1.2. Механизмы реализации
мандатной модели доступа
Метки безопасности
В отличие от дискреционного механизма управления доступом, с при-
менением которого может быть реализована любая модель управления до-
178
Глава
13.
Реализация моделей доступа механизмами добавочной и
встроенной
защиты
ступом (посредством задания правил разграничения доступа в диспетче-
ре матрицей доступа), мандатный механизм реализует полномочные мо-
дели управления доступом.
Как уже говорилось, основой мандатного механизма является включение в
схему управления доступом так называемых меток безопасности (иерархи-
ческих, так как в системе реализуется иерархия полномочий). Эти метки
призваны отражать полномочия субъектов и объектов. При этом разграни-
чение прав доступа в диспетчере уже может задаваться не матрицей досту-
па, а правилами обработки меток, на основании которых диспетчер прини-
мает решение о предоставлении запрашиваемого доступа к ресурсу. В
качестве же учетной информации субъекта и объекта доступа является мет-
ка безопасности. Впервые разграничение доступа на основе задания и об-
работки меток безопасности было предложено
Белл
ом и
Ла-Падулой
[4].
Метки безопасности являются элементами линейно упорядоченного множе-
ства М =
{Ml,...,Mk}
и задаются субъектам и объектам доступа. Метки безо-
пасности назначаются субъектам и объектам (группам субъектов и объектов).
Они служат для формализованного представления их уровня полномочий.
Будем считать, что чем выше полномочия субъекта и объекта (меньше
их порядковый номер в линейно полномочно упорядоченных множествах
субъектов и объектов — С =
{С1,...,
Ск} и О =
{О1,...,
Ok}),
тем меньшее
значение метки безопасности Mi, i = l,...,k им присваивается,
т.е.:
Ml < М2 < M3<...<Mk.
Таким образом, в качестве учетной информации субъектов и объектов
доступа, кроме их идентификаторов (имен), в диспетчере доступа каж-
дому субъекту и объекту задаются метки безопасности из множества М.
Правила разграничения доступа
Разграничение доступа диспетчером реализуется на основе правил, опреде-
ляющих отношение линейного порядка на множестве М, где для любой пары
элементов из множества М, задается один из типов отношения: {>,<,=}.
На практике реализуется выбор подмножества М, изоморфного конечному
подмножеству натуральных чисел — такой выбор делает естественным ариф-
1
метическое сравнение меток безопасности.
Рассмотрим правила разграничения доступа для различных полномочных
моделей управления доступом. При этом введем следующие обозначения:
» Ms — метка безопасности субъекта (группы субъектов) доступа;
» Мо — метка безопасности объекта (группы объектов) доступа;
» метка безопасности с порядковым номером i -- Mi устанавливается
для субъекта доступа с порядковым номером i -- Ci и для объекта
доступа с порядковым номером i — Oi.
179
Часть IV. Управление доступом к ресурсам
Рассмотрение правил оформим в виде списка:
1.
Полномочная модель управления доступом с произвольным управ-
лением виртуальными каналами взаимодействия субъектов доступа.
• субъект С имеет доступ к объекту О в режиме «Чтения» в случае,
если выполняется условие: Мс = Мо;
• субъект С имеет доступ к объекту О в режиме «Записи» в случае,
если выполняется условие: Мс = Мо;
• субъект С имеет доступ к объекту О в режиме «Добавления» в
случае, если выполняется условие: Мс > Мо.
2. Полномочная модель управления доступом с принудительным управ-
лением виртуальными каналами взаимодействия субъектов доступа:
• субъект С имеет доступ к объекту О в режиме «Чтения» в случае,
если выполняется условие: Мс <= Мо;
• субъект С имеет доступ к объекту О в режиме «Записи» в случае,
если выполняется условие: Мс = Мо.
3. Полномочная модель управления доступом с комбинированным управ-
лением виртуальными каналами взаимодействия субъектов доступа:
• субъект С имеет доступ к объекту О в режиме «Чтения» в случае,
если выполняется условие: Мс <= Мо;
• субъект С имеет доступ к объекту О в режиме «Записи» в случае,
если выполняется условие: Мс = Мо;
• субъект С имеет доступ к объекту О в режиме «Добавления» в
случае, если выполняется условие: Мс > Мо.
Данная модель, при определенных допущениях, представляет собою модель
Белла—Ла-Падулы
[4].
Возможности мандатной модели доступа
Дадим мандатному механизму управления доступом определение с уче-
том сказанного ранее.
Под мандатным механизмом управления доступом, реализующим канони-
ческие полномочные модели управления доступом, понимается способ
обработки запросов диспетчером доступа, основанный на формальном
сравнении меток безопасности субъектов и объектов доступа в соответ-
ствии с заданными правилами.
Основой же мандатного механизма является реализация принудительно-
го управления виртуальными каналами взаимодействия субъектов досту-
па. При этом основным требованием к принудительному управлению яв-
ляется обеспечение невозможности перенесения информации из объекта
более высокого уровня конфиденциальности в объект с информацией
более низкого уровня конфиденциальности. Поэтому к механизмам уп-
180