Администрирование множеств авторизованных ролей пользователей, прав доступа, которыми обладает роли, иерархии ролей.

Администрирование мн-в авторизованных полей пользователей.

Х:U-->{false,true}-булева фун-ция такая,что x принадлежитR и по определению для пользователей u принадлежит U справедливо равенство k(u) true тогда и только тогда,когда x принадлежит UA(u)

Предварительным условием для роли r принадлежит R называется булева ф-ция Ci U{false,true} такая,что по определению для пользователя uэU справедливо равенство Ci(u) х1,...x2эR и Сi (y1 y2) — булева ф-ция от Л булевых переменных. При этом роль rэR может быть включена во мн-во авторизованных ролей пользоватлея uэU, если Сi (u)=true

Пусть CR- все предварительные условии для ролей из R. Для администрирования мн-в авторизованных ролей пользоватлей задаются ф-ции:

-can-assign: AR-> CR*2^r -ф-ция для заданого для каждой администритвной роли мн-во ролей, кот могут быть включены во мн-во авторизованных ролей пользователя с использованием данной административной роли при выполнении заданных предварительнызх условий.

-сan-revoke AR-> 2^r- фу-ция, определяющая для каждой административной роли множество ролей, которые могут быть исключены из множ-ва авторизованных ролей пользователя с использованием данной административной роли.

Как правило, множ-во ролей, явля.щейся значением ф-ии can-assing() или can-revoke(), задается интервалом ролей одного из четырез видов:

[x.y]={x` э R,где x<=x` и x`<=y};

(x,y]={x` э R.где x<x` и x`<=y};

[x,y)={x` э R,где x<=x` и x`<y};

(x,y)={x` э R.где x<x` и x`<y};

где x,y э R

Иерархии ролей в модели администрировании ролевого управления доступом наз. Заданным на мн-ве ролей AR отношение частицы порядка «е». при этом выполню усл-е для uэU, r, r`эAR, r э aUa(u) и r`<=r, то r` эAUA(u)

Классическая модель Белла-ЛаПадулы. Базовая теорема безопасности.

является основной моделью, предназначенной для анализа систем защиты, реализующих мандатное управление доступом.

В ней рассматриваются условия, при которых не может возникнуть информационных потоков от объектов с большим уровнем конфиденциальности к объектам с меньшим уровнем конфиденциальности.

O – множество объектов системы;

S – множество субъектов системы;

R ={ read, write, append, execute }– множество видов прав и прав доступа;

B={ b ÍS´O´R} – мн-во возможных множеств текущих доступов в системе;

(L,≤) – решетка уровней конфиденциальности;

M={m_|S|´|O|} – мн-во возможных матриц доступов, где m_|S|´|O| - матрица доступов, m[s,o]ÍR – права доступа субъекта s к объекту o;

(f_s,f_o,f_c) Î F=L^S´L^O´L^S – тройка функций, задающих: f_s: S → L – уровень до-ступа субъектов, f_o: O→L – уровень конфиденциальности объектов ,f_c: S→L – текущий уровень доступа субъектов, при этом "sÎS f_c (s)≤ f_s (s);

V=B´M´F – мн-во состояний системы;

Q – мн-во запросов системе;

D – мн-во ответов по запросам (например, D={ yes,no,error });

WÍQ´D´V´V – мн-во действий системы, где (q,d,v ₁, v ₂)ÎW означает, что система по запросу q из состояния v ₁ перешла в состояние v ₂ с ответом d;

N ₀={1,2,…} – мн-во значений времени;

X–мн-во ф-ций x: N ₀→Q–задают все возможные пос-ти запросов к системе;

Y–мн-во ф-ций y: N ₀→D–задают все возможные пос-ти ответов системы по запросам;

Z–мн-во ф-ций z: N ₀→V–задают все возможные пос-ти состояний системы.

В классической модели Белла-ЛаПадулы множество Q составляют следу-ющие запросы:

• запросы изменения множества текущих доступов b;

• запросы изменения функций f;

• запросы изменения прав доступа в матрице m.

Список изменений каждого элемента состояния системы:

1. Изменение текущих доступов:

- получить доступ (добавляет элемент в мн-во b);

- отменить доступ (удаляет элемент из мн-ва b);

2. Изменение значений ф-ций уровня конфиденциальности и доступа

- изменить уровень конфиденциальности объекта;

- изменить уровень доступа субъекта;

3. Изменение прав доступа

- дать разрешение на доступ (добавить право в ячейку матрицы m);

- отменить разрешение на доступ (удалить право из ячейки m).

Свойства безопасности системы:

1. ss – свойства простой безопасности (simple security);

2. * - свойства «звезда»;

3. ds – свойства дискреционной безопасности (discretionary security).

Теорема 1.1 (А1).

Система Σ(Q,D,W,z0) обладает ss -свойством для любого начального сос-тояния z0, обладающего ss -свойством Û "(q, d,(b *, m *, f *),(b, m, f))ÎW выполняются условия:

1) каждый доступ (s, o, r)Î b *\ b обладает ss -свойством относительно f *;

2) если (s, o, r)Îb и не обладает ss -свойством относительно f *, то (s, o, r)Ï b *.

Теорема 1.2 (А2).

Система Σ(Q,D,W,z0) обладает *-свойством относительно S’ÍS для любого начального состояния z0, обладающего *-свойством относительно S’ Û "(q, d,(b *, m *, f *),(b, m, f))ÎW выполняются условия:

1) для sÎS’ доступ (s, o, r)Î b *\ b обладает *-свойством относительно f *;

2) для sÎS’ если доступ (s, o, r)Îb и не обладает *-свойством относительно f *, то (s, o, r)Ï b *.

□

Теорема 1.3 (А3).

Система Σ(Q,D,W,z0) обладает ds -свойством для любого начального сос-тояния z0, обладающего ds -свойством Û "(q, d,(b *, m *, f *),(b, m, f))ÎW выпол-няются условия:

1) для каждого доступа (s, o, r)Î b *\ b выполняется r Î m *[ s,o ];

2) если (s, o, r)Îb и r Ï m *[ s,o ], то (s, o, r)Ï b *.

Теорема 1.4 (базовая теорема безопасности - БТБ).

Система Σ(Q,D,W,z0) безопасна для любого безопасного начального состояния z0 Û множество действий системы W удовлетворяет условиям теорем А1, А2, А3.

 

17. Модель реализации политики low­­-watermark.

Основные элементы реализации политики low-watermark в модели БлП:

O – множество объектов системы;

S – множество субъектов системы;

R ={ read, write }– множество видов прав и прав доступа;

B={ b ÍS´O´R} – мн-во возможных множеств текущих доступов в системе;

(L,≤) – решетка уровней конфиденциальности;

(fs,fo) Î F=L^S´L^O – двойка функций, задающих: fs: S → L – уровень доступа субъектов, fo: O→L – уровень конфиденциальности объектов;

V=B´F – мн-во состояний системы;

OP={Read(s,o), Write(s,o), Reset(s,o): (s,o)ÎS´O} – мн-во операций;

WÍOP´V´V – мн-во действий системы, где (op,(b*,f*), (b,f))ÎW означает, что систе-ма в результате операции op из состояния (b*,f*) перешла в состояние (b,f).

Вводится дополнительная операция reset(s,o), которая повышает до максимального уровень безопасности объекта при условии F(s)>F(o). В результате субъекту м.б. доступен по write любой объект

Модифицируется write(s,o) Если при операции write уровень объекта выше уровня субъекта то:

- происходит понижение уровня безопасности объекта до уровня безопасности субъекта;

- перед внесением новой старая информация в объекте стирается (чтобы потом нельзя было прочесть)

 

 

Безопасность переходов.

R={ read, write }, " s ÎSÞ fs (s)= fc (s). Исключим из рассмотрения матрицу доступов m и мн-во ответов системы D.

Вместо мн-ва действий системы W используем ф-ю переходов: T:Q´V→V, где T(q,v)= v* - переход из состояния v в состояние v*.

Σ(V,T, z 0) – система.

Доступ (s,o,r)Î b обладает ss- свойством относительно f, если выполняется одно из условий: 1) r = write; 2) r= read, fo (o)≤ fs (s).

Доступ (s,o,r)Î b обладает *- свойством относительно f, если выполняется одно из условий: 1) r = read, иØ$ y ÎO: (s,y,write)Î b и fo(x) > fo (y);

2) r=write и Ø$ y ÎO: (s,y,read)Î b и fo(x) > fo (y);.

Замечание: в *-свойстве не рассматривается уровень доступа посредника s, т.к. если требовать выполнения *-свойства и ss -свойства одновременно и считать, что субъект не может накапливать в себе информацию, то не возникает противоречий по существу с положениями мандатной политики безопасности.

Субъект может читать информацию из объектов с уровнем не выше его уровня доступа, и не может реализовать запрещенный информационный поток «сверху вниз».

ss -свойство и *-свойство для состояния, реализации и системы определяются аналогично классической модели Белла-ЛаПадулы.

*-свойство определено так, что его смысл – предотвращение ИП «сверху вниз» - более прозрачен, чем в классической модели Белла-ЛаПадулы.

Теорема 5.1 (А1-RW).

Система Σ(V,T,z0) обладает ss -свойством для любого начального состоя-ния z0, обладающего ss -свойством Û функция переходов T(q,v)= v * удов-летворяет условиям:

1) если доступ (s, o, read)Î b *\ b, то f*s (s)³ f*o (o);

2) если доступ (s, o, read)Îb и f*s (s)< f*o (o), то (s, o, read)Ï b *.

Теорема 5.2 (А2-RW).

Система Σ(V,T,z0) обладает *-свойством для любого начального состояния z0, обладающего *-свойством Û функция переходов T(q,v)= v * удовлетво-ряет условиям:

1) Если {(s,x,read),(s,y,write)}∩(b *\ b)≠Æ и {(s,x,read),(s,y,write)}Í b *, то f*o (y)³ f*o (x);

2) Если {(s,x,read),(s,y,write)}Í b и f*o (y)< f*o (x), то {(s,x,read),(s,y,write)}Ë b *.

Теорема 5.3 (БТБ-RW).

Система Σ(V,T,z0) безопасна для любого безопасного начального состоя-ния z0 Û выполнены условия теорем А1-RW, А2-RW.

Функция переходов T(q,(b,f))=(b*,f *) обладает ss -свойством, если выполне-ны условия:

1) (s, o, read)Î b *\ b Þ fs (s)³ fo (o) и f*=f;

2) fs(s)≠f*s(s) Þ f*o=fo, b*=b, для s’≠s справедливо f*s(s’)=f*s(s’), и если (s, o, read)Îb, то f*s (s)³ fo (o);

3) fo(o)≠f*o(o) Þ f*s=fs, b*=b, для o’≠o справедливо f*o(o’)=f*o(o’), и если (s, o, read)Îb, то fs (s)³ f*o (o).

Функция переходов T(q,(b,f))=(b*,f *) обладает * -свойством, если выполне-ны условия:

1) {(s,x,read),(s,y,write)}Í b *, {(s,x,read),(s,y,write)}Ë b Þ f*=f, fo (y)³ fo (x);

2) fo(y)≠f*o(y) Þ f*s=fs, b*=b, для z≠y справедливо f*o(z)=fo(z), и если {(s,x,read),(s,y,write)}Í b, то f*o (y)³ fo (x), а если то {(s,y,read),(s,x,write)}Í b, то fo (x)³ f*o (y).

Функция переходов T безопасна, когда она обладает ss-свойством и *-свойством одновременно.

Теорема 5.4.(БТБ-Т)

Система Σ(V,T,z0) безопасна для любого безопасного начального состоя-ния z0, если безопасна ее функция переходов.

для xÎS, cs(x)ÍS – мн-во субъектов, имеющих право менять уровень доступа субъекта x;

для yÎO, co(y)ÍS – мн-во субъектов, имеющих право менять уровень конфиденциальности объекта y.

Функция переходов T(s,q,(b,f))=(b*,f*) называется безопасной в смысле администрирования, если выполнены условия:

1) если f*s(x)≠fs(x), то sÎcs(x);

2) если f*o(y)≠fo(y), то sÎco(y).