CC BY
19Решетневскце чтения
УДК 681.3.067
Н. Ф. Богаченко
Омский государственный университет имени Ф. М. Достоевского, Россия, Омск
БЕЗОПАСНОСТЬ СИСТЕМЫ С РОЛЕВЫМ РАЗГРАНИЧЕНИЕМ ДОСТУПА
С помощью формализации возможных преобразований ролевого графа доказана алгоритмическая неразрешимость задачи проверки безопасности произвольной системы с ролевым разграничением доступа.
Ролевую политику безопасности принято анализировать исходя из иерархии ролей, которая задается помеченным ориентированным графом, называемым ролевым. При этом чаще всего анализ ограничивается построением ролевого графа, по большей части для наглядности имеющихся в системе ролей и наследуемых ими привилегий. Другими словами, рассматривается статичная система. Вместе с тем на сегодняшний день отсутствует формальный подход, позволяющий анализировать систему в динамике, то есть отслеживать преобразования ролевого графа. Целью данной работы является создание динамической модели системы с ролевым разграничением доступа на основе некоторого набора формальных операций.
Будем считать, что в системе существует некоторое множество ролей Я, наделенных привилегиями из множества Р (Я и Р конечны). Иерархия ролей определяется помеченным ориентированным графом О. Вершины данного графа соответствуют ролям, метки -набору привилегий ролей-вершин, а дуги - наследованиям: если в графе присутствует дуга от вершины г к вершине г', значит роль г авторизована на роль г'. Авторизация одной роли на другую подразумевает полное наследование ее привилегий.
Естественно допустить, что в процессе функционирования системы ролевой граф может меняться. Для анализа этих преобразований введем набор элементарных операторов, которые модифицируют ролевой граф [1; 2]:
Лий(гь г2) - авторизация роли г1 на роль г2, добавляет дугу (г1, г2).
БеШеЛ^, г2) - отменяет авторизацию роли г1 на роль г2 - удаляет дугу (г1, г2).
При выполнении операций 1, 2 следует помнить об очевидном преобразовании множества привилегий роли г1.
Сгеа1еЯ(г) - создает роль г - добавляет в граф вершину, не связанную с другими вершинами.
ВеЫеЯ(г) - удаляет роль г - удаляет в графе вершину. Для удаления вершины со связями необходимо предварительно удалить все дуги с помощью оператора БеШеЛ ( ).
ЕМегР(р, г) - добавляет привилегию р во множество привилегий роли г. Соответственно, данная привилегия также добавляется всем ролям, доминирующим над данной ролью.
Бе/е/еР(р, г) - удаляет привилегию р из множества привилегий роли г. Соответственно, привилегия р удаляется также и у ролей, доминирующих над г, если они не наследуют эту привилегию от других ролей.
Перейдем теперь к вопросам безопасности системы с ролевым разграничением доступа. Будем считать, что происходит утечка привилегии p в результате выполнения команды C (некоторой конечной последовательности элементарных операторов), если при этом набор привилегий роли r пополняется привилегией p, до этого ее не содержавший. Система с ролевым разграничением доступа безопасна (точнее сказать, безопасно ее начальное состояние, заданное исходным ролевым графом), если в ней не происходит утечка привилегий.
Удалось доказать теорему об алгоритмической неразрешимости задачи проверки безопасности произвольной системы с ролевой политикой безопасности. Доказательство аналогично классическому доказательству неразрешимости задачи проверки безопасности в системах HRU [3]. Достаточно указать способ представить все элементы и команды произвольной машины Тьюринга как элементы и команды некото -рой ролевой политики безопасности. Тогда остановка в конечном состоянии произвольной машины Тьюринга будет соответствовать утечке некоторой привилегии соответствующей системы с ролевой политикой безопасности.
Пусть машина Тьюринга с внешним алфавитом A = {a0, ..., am} (a0 - пустой символ), множеством состояний Q = {q0, ••, qk} и множеством действий D = {r, l, e} (r - шаг вправо, l - шаг влево, e - не перемещаться) выполнила некоторое количество шагов. Пусть при этом на ленте заполнено n ячеек, считывающая головка указывает на ячейку с номером l е {1,., n}, содержащую символ aJt е A, и q е Q - текущее состояние машины. Необходимо сопоставить этой машине Тьюринга ролевую политику безопасности и определить для каждой команды машины Тьюринга соответствующую команду политики.
Идея построения искомой системы с ролевым разграничением доступа состоит в следующем. Ролевой граф должен содержать 3n - 1 ролей-вершин: r1, ..., rn, s1, ..., sn _ 1, t1, ..., tn, иерархия которых определена следующими дугами: (r,-, s,), кроме rn; (r, + 1, si), кроме r1; (r,, t); (t,, t, _ 1), кроме t1 (i = 1,., n). Задаются следующие привилегии: a1, ..., am, q0, ..., qk, left, right, near, order, main. Роли t1, ..., tn наделяются привилегией order, роли s1, ..., sn _ 1 - привилегией near, роли r1, ., rn - привилегией ma,n. Согласно иерархии роли r1, ..., rn унаследуют привилегии order и near. Кроме того, для i = 1,., n роль r, наделяется привилегией aj , представляющей собой символ в i-той ячейке
ленты машины Тьюринга. Роли r1 и rn, соответствую-
Методы и средства защиты информации
щие концевым маркерам ленты машины Тьюринга, будут обладать привилегиями left и right. Наконец, роль rl, соответствующая текущему положению на ленте управляющей головки, наделяется привилегией q, соответствующей текущему состоянию машины Тьюринга.
Очевидно, что вершины ri сопоставлены занятым ячейкам машины Тьюринга; вершины si позволяют определить, соответствуют ли роли r и r' соседним ячейкам ленты машины Тьюринга: ответ положительный, если существуют дуги (r, si) и (r', s,); вершины ti задают порядок ролей r: если существует ориентированный путь p(r, t,) и не существует ориентированного пути p(r', ti), то ячейка, соответствующая роли r', находится на ленте машины Тьюринга левее, чем ячейка, соответствующая роли r.
Теперь для каждой команды машины Тьюринга строится команда ролевой политики безопасности на основе заданного набора элементарных операторов, что и завершает доказательство.
Библиографические ссылки
1. Белим С. В. Богаченко Н. Ф. Элементарные операторы построения ролевой политики безопасности // Математические структуры и моделирование / Омский гос. ун-т. 2010. Вып. 22. С. 114-120.
2. Белим С. В. Богаченко Н. Ф. Граф влияния и элементарные операторы ролевой политики безопасности // Безопасность информационных технологий. 2011. М. : МИФИ. № 1. С. 75-77.
3. Девянин П. Н. Модели безопасности компьютерных систем. М. : Академия, 2005. 144 с.
N. F. Bogachenko Omsk State University named after F. M. Dostoevskiy, Russia, Omsk
SAFETY OF THE ROLE-BASED ACCESS CONTROL SYSTEM
Algorithmic insolubility of the check problem to safety of the free role-based access control system is proved by means offormalization of the role-graph possible transformations.
© Богаченко Н. Ф., 2012
УДК 681.3.058
А. В. Вашкевич, О. Н. Жданов
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Россия, Красноярск
НАХОЖДЕНИЕ НЕЛИНЕЙНОСТИ БУЛЕВОЙ ФУНКЦИИ С ПОМОЩЬЮ ПРЕОБРАЗОВАНИЯ УОЛША
Рассматривается основная информация об аффинных функциях, метод подсчета нелинейности стандартным способом, метод вычисления нелинейности с помощью быстрого преобразования Уолша.
Линейной называется булева функция аналитического вида
п-1
f (х0, X1,..., x„-i) = а0х0 © а1 Х1 ©... © ап-iXn- = £ ах,
l=0
где а0,а1,...ап-1 е{0;1}- произвольные значения 0 или 1. Множество всех линейных функций от п переменных обозначим Ln.
Нелинейностью булевой функции называется минимальное расстояние от этой функции до множества аффинных функций: nl(f) = minceAnd(f,c). Она показывает, насколько хорошо функция аппроксимируется линейными приближениями, другими словами, насколько хорошо можно подобрать такую линейную функцию, которая с большой вероятностью (при большом количестве различных значений входных переменных) будет давать то же значение, что и данная функция.
Нелинейность битового блока замен (представляющего собой набор из т булевых функций, каждая из которых задает зависимость определенного бита на выходе блока от значений бит на входе) - есть важнейшая его характеристика с точки зрения крипто-стойкости блока: она показывает степень устойчивости внутренней структуры блока к линейному методу криптоанализа.
Автором программно реализован метод вычисления нелинейности булевой функции, основанный на быстром преобразовании Уолша. Реализованный программно метод может применяться для исследования криптостойкости алгоритмов блочного шифрования. С помощью данной программы эмпирически вычислена и впоследствии доказана формула вычисления нелинейности булевых функций большей размерности на основе булевых функций меньшей размерности.
