ДП-модель компьютерной системы с функционально и парметрически ассоциированным с субъектами сущностями Текст научной статьи по специальности «Компьютерные и информационные науки»

Библиографический список 2. Епанечников, В. А. Непараметрическая оценка мно-

гомерной плотности вероятности / В. А. Епанечников //

1. Parzen, E. On estimation of a probability density Теория вероятности и ее применения. 1969. Вып. 1. Т. 14. function and mode / E. Parzen // Ann. Math. Statistic. 1962. С. 156-161.

Vol. 33. Р 1065-1076.

V A. Lapko, S. S. Varochkin, I. A. Egorochkin

DEVELOPMENT AND RESEARCH OF NONPARAMETRIC ESTIMATION OF PROBABILITY DENSITY BASED ON THE PRINCIPLE OF TRAINING SAMPLE DECOMPOSITION ACCORDING TO ITS VOLUME

The two-level nonparametric estimation of probability density based on the principle of decomposition of training sample according to its volume is offered. This estimation is characterized by high computing efficiency due to the opportunity ofparallel computing technologies use. The results of computing experiments are given.

Keywords: estimation of density probability, the big samples, asymptotic properties, research of the properties, parallel computing technologies.

УДК004.94

Д. Н. Колегов

ДП-МОДЕЛЬ КОМПЬЮТЕРНОЙ СИСТЕМЫ С ФУНКЦИОНАЛЬНО И ПАРАМЕТРИЧЕСКИ АССОЦИИРОВАННЫМИ С СУБЪЕКТАМИ СУЩНОСТЯМИ

Вводится понятие параметрически-ассоциированной с субъектом сущности в компьютерной системе (КС) и строится расширение ФАС ДП-модели КС, охватывающее такие сущности. Формулируются и обосновываются условия получения недоверенным субъектом права доступа владения к другому субъекту в этом расширении.

Ключевые слова: компьютерная безопасность, математические модели безопасности, дискреционные модели, анализ безопасности, права доступа, информационные потоки.

Анализ безопасности компьютерных систем является одной из актуальных проблем теории компьютерной безопасности. Данная проблема возникает в связи с необходимостью использования формальных (математических) моделей для проведения оценки безопасности КС на соответствие функциональным требованиям, критериям, политикам или стандартам безопасности. Причем для разработки КС с высоким уровнем доверия к их безопасности использование математических моделей является обязательным.

Для анализа безопасности КС используются формальные модели, позволяющие анализировать условия передачи прав доступа и реализации информационных потоков в КС. Одной из таких современных моделей КС с дискреционным управлением доступа является ДП-модель с ее расширениями [1].

Дальнейшее изложение будет опираться на работу [1] с учетом всех определений, обозначений и теорем в ней.

Сущность называется функционально-ассоциированной с субъектом, если она определяет вид преобразования данных, выполняемого этим субъектом. В ДП-моде-лях с функионально-ассоциированными с субъектами сущностями (ФАС ДП-моделях) анализируется ситуация, когда реализация информационного потока по памяти к сущности, функционально-ассоциированной с субъек-

том, приводит к изменению вида преобразования данных, реализуемого этим субъектом.

В то же время в современных КС возможна реализация информационного потока по памяти от сущности, позволяющая получить права доступа различных субъектов КС, в том числе и доверенных. Такие сущности являются параметрически-ассоциированными с субъектами КС. Например, получение субъектом-нарушителем доступа на чтение к конфигурационному файлу или реестру, в котором хранится пароль или хэш-значение пароля субъекта КС, позволяет субъекту-нарушителю получить право доступа владения к последнему субъекту.

Кроме того, в настоящее время дополнительно к классическим угрозам нарушения конфиденциальности, целостности и доступности информации рассматривают угрозу раскрытия параметров КС - возможность идентификации параметров, функций безопасности и свойств КС, знание которых позволяет реализовать нарушение безопасности [2]. Например, чтение сообщения, выдаваемого субъектом-процессом при подключении к нему, позволяет нарушителю идентифицировать программное обеспечение (ПО), реализующее данный субъект-процесс КС, и получить права доступа последнего, используя известные уязвимые места в ПО.

Таким образом, для обеспечения возможности анализа получения субъектом права доступа владения к другому субъекту с использованием информационного потока от сущности, параметрически-ассоциированной с последним, следует построить расширение ФАС ДП-мо-дели, охватывающее информационные потоки указанного вида и отражающее возможность получения субъектом права доступа владения к другому субъекту в современных КС. Решение этой задачи и является целью данной работы. Для этого в работе вводится определение параметрически-ассоциированных сущностей с субъектами в КС, на их основе строится ДП-модель с функционально и параметрически ассоциированными с субъектами сущностями, которая является требуемым расширением ФАС ДП-модели, и в рамках этой модели формулируются и обосновываются необходимые и достаточные условия получения субъектом права доступа владения к другому субъекту.

ДП-модель с функционально и параметрически ассоциированными с субъектами сущностями. Определение 1. Пусть О = (Б, Е, Я и А и _Р, Н) - состояние КС 1(0 *, ОР). Сущность веЕ будем называть параметрически-ассоциированной с субъектом 5еБ в состоянии О, если чтение данных в сущности в субъектом ХеБ позволяет ему получить право владения к субъекту 5 в этом или последующих состояниях КС.

Замечание 1. Сущность веЕ, параметрически-ассо-циированная с субъектом 5еБ, содержит аргументы операций преобразования данных, выполняемого субъектом 5 в этом или последующих состояниях.

Замечание 2. В множество сущностей, параметричес-ки-ассоциированных с субъектом 5 е Б, могут входить сущности, на которые субъект 5 не имеет прав доступа. Например, сущность-пароль, параметрически-ассоцииро-ванная с недоверенным субъектом-пользователем в операционной системе (ОС) семейства вКи/Ьших, хранится в файле, правами доступа к которому могут обладать только доверенные субъекты-процессы данной ОС. Кроме того, возможно создание субъектов ОС, которые препятствовали бы доступу субъектов к некоторым критичным сущностям КС, несмотря на наличие необходимых прав доступа данных субъектов к этим сущностям [3].

Замечание 3. Существуют сущности, параметричес-ки-ассоциированные с субъектом, которые не являются функционально-ассоциированными с ним. Примером такой сущности является раздел реестра ОС семейства Windows 2000/ХР/2003, содержащий информацию об установленных обновлениях ОС узла. Также существуют сущности, параметрически-ассоциированные с субъектом, которые являются функционально-ассоциированными с ним. Так, зная идентификатор сессии пользователя веб-приложения, возможно получить его права доступа; с другой стороны, удаление данного идентификатора приводит к закрытию сессии пользователя.

С учетом того, что доверенные субъекты не участвуют в реализации информационных потоков по времени и в современных КС, как правило, реализация информационного потока по времени от сущности, параметричес-ки-ассоциированной с субъектом, не приводит к получению другим субъектом права доступа владения к перво-

му, будем считать, что в КС выполняется следующее предположение.

Предположение 1. Только информационный поток по памяти от сущности, параметрически-ассоциирован-ной с субъектом, приводит к получению другим субъектом права доступа владения к первому субъекту. Множество сущностей, параметрически-ассоциированных с субъектом, не изменяется в процессе функционирования системы.

Через ]5[с Е обозначим множество всех сущностей, параметрически-ассоциированных с субъектом 5. При этом будем считать, что 5е ]5[.

Наличие у субъекта данных о параметрах функционирования другого субъекта КС может позволить получить первому субъекту право доступа владения ко второму субъекту. При этом первому субъекту необходимо иметь возможность реализовать информационный поток по памяти к некоторому субъекту, позволяющему получить права доступа ко второму субъекту. Например, при получении субъектом-нарушителем пароля доверенного субъекта, первому необходимо иметь возможность записи пароля в сущность-интерфейс КС. Таким образом, будем считать, что в КС выполняется следующее предположение.

Предположение 2. Если субъект реализовал информационный поток по памяти от сущности, параметри-чески-ассоциированной с другим субъектом, к себе, то первый субъект получает право доступа владения ко второму субъекту.

В соответствии с данными предположениями модифицируем определение ФАС ДП-модели для возможности анализа условий получения субъектом права доступа владения к другому субъекту с использованием реализации информационного потока по памяти от сущности, параметрически-ассоциированной с последним субъектом. Модифицированную ФАС ДП-модель будем называть ДП-моделью с функционально и параметрически ассоциированными с субъектами сущностями, или ФПАС ДП-моделью. Модификация состоит в добавлении к правилам преобразования состояний ФАС ДП-модели правила - кпвм>(х, у, х), определяемого в следующей таблице : аргументом операции является состояние О, значением - состояние О', параметрами - сущности х, у, 2 (см. таблицу).

Замечание 2. Правило кпвм>(х, у, х) является монотонным, т. е. применение данного правила не приводит к удалению ребер или вершин из графа доступа.

Анализ условий получения субъектом права доступа владения к другому субъекту. Сформулируем и обоснуем условия получения субъектом права доступа владения вм>п к другому субъекту для случая, когда в КС 1(0 *, ОР) используется правило преобразования состояний кпвм>{х, у, х).

Определение 2. Траекторию функционирования КС 1(0*, ОР) будем называть траекторией без кооперации доверенных и недоверенных субъектов для передачи прав доступа, если при ее реализации используются монотонные правила преобразования состояний, и доверенные субъекты:

- не дают недоверенным субъектам права доступа к сущностям;

- не берут у недоверенных субъектов права доступа к сущностям;

- используя информационные потоки по памяти к сущностям, не получают право доступа владения к субъектам;

- используя информационные потоки по памяти от сущностей, не получают право доступа владения к субъектам.

Таким образом, в КС 1(0*, ОР) на траекториях без кооперации доверенных и недоверенных субъектов для передачи прав доступа доверенные субъекты:

- не инициируют выполнения следующих правил преобразования состояний: take_right(ar, и, х, е), grant_right(a , и, х, е), свпґгоІ(и,у, х), know(u,у, х);

- доверенные субъекты могут выполнять монотонные правила преобразования состояний: own_take(ar, и, е), сгеаґе_епґіґу(и, е, е'), сгеаїе_і'иЬ]есї(и, е, е'), гепаше_епґіґу(и, е, е'), ассе88_теай(и, е), ассе88_А>гИе(и, е), ассеі'і'_аррепС(и, е),/тС(и, е, е'), ро8Ї(и, е, е'), pass(u, е, е ) с условиями и результатами применения в соответствии с правилами преобразования БК ДП-модели, где иеЬ5 - доверенный субъект; хеЫ5 - недоверенный субъект;у - субъект, что х]у[ или хе [у]; х, е, е' - сущности; а еЯ - право доступа.

Определение 3. Траекторию функционирования КС 1(0*, ОР) будем называть траекторией без кооперации доверенных и недоверенных субъектов для передачи прав доступа и реализации информационных потоков, если она является траекторией без кооперации доверенных и недоверенных субъектов для передачи прав доступа, и при ее реализации используются следующие правила преобразования состояний:

- take_right(ar, х, у, х), grant_right(ar, х, у, х), own_take(a, х, у) с условиями и результатами применения в соответствии правилами преобразования базовой ДП-модели;

- create_entity(x, у, х), create_subject(x, у, х), гєшшє_єпґіґу(х,у, х), ассе88_теай(х,у), access_write(x,у), ассеі'і'_аррепС(х, у), flow(x, у, у, х), /тС(х, у, х), роіі(х, у, х), pass(x, у, х) с условиями и результатами применения в соответствии с правилами преобразования БК ДП-модели;

- тптІ(х, у, х), know(x, у, х) с условиями и результатами применения в соответствии с правилами преобразования ФАС ДП-модели и таблицы.

Определение 4. Пусть имеются О0 = (5 Е , Я0 и А и Р Н0) - состояние системы 8(0*, ОР), недоверенный субъект хеЫ5 п 50 и субъектуе50, где х фу. Определим предикат can_share_own(x,у, О , Ь5), который будет истинным тогда и только тогда, когда существуют состояния 01, ..., 0М = (5^ Е№ Ям и Ам и Р№ Н) и правила преобразования состояний opv ..., "А такис. что траектория О0 [■ ор1 С,х \-ор2 ... \-орМ Омявляется траекторией без кооперации доверенных и недоверенных субъектов для передачи прав доступа и реализации информационных потоков, и (х, у, own) еЯ№ где N >0.

Определение 5. Пусть имеются G0 = (S , E , R0 и A0 и F, H0) - состояние системы S(G*, OP), недоверенный субъект xeNS n S0 и субъект yS0, где x Ф y. Определим предикат directly_can_share_own(x, y, G , LS), который будет истинным тогда и только тогда, когда существует последовательность субъектов s1, ...,sm e S0,где s1 = x, sm =y и m >2, таких, что для каждого i = 1, ..., m- 1 выполняется одно из условий:

(1) seNSn S0, s.e[s. + ,1 или s.els. + .[;

v 7 i S 0’ i L i + 1J i J i + 1L’

(2) истинен предикат can_share(own s, s. + p G0, LS);

(3) существует сущность ee [s. + J такая, что истинен предикат can_write_memory(s., e, G0, LS);

(4) существует сущность ee]s. + Д такая, что истинен предикат can_write_memory(e, s., G0, LS).

Лемма. Пусть имеется G0 = (S0, E0, R0 и A0 и F0, H0) -состояние системы S(G*, OP), недоверенный субъект xeNS n S0 и субъектyeS0, где x Фy и истинен предикат directly_can_share_own(x, y, G , LS). Тогда истинен предикат can_share_own(x, y, G , LS).

Доказательство. Пусть истинен предикат directly_can_share_own(x, y, G , LS), тогда по определению 5 существует последовательность субъектов sp ., sm в S0, где st = x, sm = y и m > 2, таких, что для каждого i = 1, ..., m - 1 выполняется одно из условий (1) - (4). Докажем, что для такой последовательности s1, ..., sm предикат can_share_own(x, y, G , LS) является истинным.

Проведем доказательство этого утверждения индукцией по длине m.

Пусть m = 2, тогда возможно четыре случая.

Первый случай: xeNS n S0, xe[y] или xe]y[. Если хе [у], то пусть op = control(x,y, х). Тогда G01- Gv (х,у, ownr)eRl и предикат can_share_own(x,y, G , Ls) истинен. Еслихе]у[, то пусть орх = know(x,y, х). Тогда G0\- G1 и (x,y, ownr)eRl и предикат can_share_own(x,y, G ,LS) также истинен.

Во втором случае истинен предикат can_share(ownr, x, y, G0, LS). Следовательно, истинен предикат can_share_own(x, y, G , LS).

В третьем случае имеется xeNS n S0, существует сущность ee [y] и истинен предикат can_write_memory(x, e, G0, Ls). Пусть op^ = control(x, у, e), тогда Gv (x, y, own)eR и предикат can_share_own(x, y, G , LS) истинен.

В четвертом случае имеется xeNS n S0, существует сущность ee]y[ и истинен предикат can_write_memory(e, X, G0, Ls). Пусть opl = know(x,y, ё), тогда G0\-opl Gv (х,у, ownr) е R и предикат can_share_own(x,y, G , Ls) истинен.

Докажем индуктивный шаг. Пусть m > 2 и доказываемое утверждение верно для всех последовательностей субъектов длины к < m. Докажем, что оно верно и для всех таких последовательностей длины m.

Рассмотрим последовательность субъектов sp ., sm в S0, где sj = x, s2 = z и sm = y. Пусть zeNSn S0. Тогда по предположению индукции существуют правила преобразования состояний opv ..., op,, такие, что G^- G |-

Условия и результаты применения правила know(x, y, z) ФПАС ДП-модели

Правило Исходное состояние G = (S, E, R и A и F, H) Результирующее состояние G’ = (S ', ER ' и A и F, H')

know(x, y, z) x,ує5, zєE, zє]y[ и или x = z, или (z, x, ■writem)єF S' = S, E' = E, A' = A, H' = H, F = F, R' = R и {(x, y, ownr)}

ЗІ

■■■ Уорм °м и верно, ЧТО (х, г, ом/п), (х, у, омт)еК№ где N> 0. Положим оры+ 1 = takв_right(ownr, х, х,у). Тогда Ом \- и4.и. и^,ш.Я,гх1) и(х,

I op(N+ 1) N + 1 4 N+ Р N+ V N+ 1 N+ 1 N+1’ N + И 4 ’

у, ownr)еЯN + 1, следовательно, предикат can_5harв_own(x, у, 00, Ьо) истинен.

Если хеЬо п 00, то (х, у, own)еЯ0, и по предположению индукции предикат can_5harв_own(x, х, 00, Ьо) истинен. Следовательно, существуют правила преобразования состоянийорх, ,...орх такие, что О0\-ор1 \-ор2 ... \-ор^,

и (х, г, омт^)еН,.. где \ > 0. Аналогично получаем истинность предиката can_5harв_own(x, у, О, Ьо). Лемма доказана.

Теорема. Пусть имеются О0 = (00, Е0, Я0 и А0 и ^0, Н0) -состояние системы Б(О*, ОР) и право доступа владения (х, у, own)еN,, где xеNS п О уе00 и х Фу. Тогда предикат can_5harв_own(x, у, О , Ьо) является истинным, если и только если существует последовательность субъектов 51, ..., 5 в Б., где 5, = х, 5 = у и т> 2, таких, что выполняется

’ т (г 1 ’ т ^ ’

одно из следующих условий.

Условие 1. т = 2 и истинен предикат dirвctly_ can_5harв_own(x, у, О , Ьо).

Условие 2. т > 2 и для каждого i = 1, ..., т - 2 выполняется одно из условий:

- 5., 5 + ге^ п 00 и истинны предикаты dirвctly_ can_5harв_own(sp 5. + О0, Ь), dirвctly_can_5harв_own(5j + 1,

5.+г Оo, Ьх);

- i < т - 2, 5., 5 + 2е^ п 00 и истинны предикаты dirвctly_can_5harв_own(5p 5 + 1, О0, Ьо), dirвctly_can_ 5harв_own(5.+2, 5, + 1, О0, ЬБ);

- i < т - 2, 5. + 1, 5. + 2еNS п 00 и истинны предикаты dirвctly_can_5harв_own(5j + 1, 5., О0, Ьо), dirвctly_can_

5harв_own(5.+2, 5. + 1, О0, Ь);

- 5. + 1еЖ? п Б0 и истинны предикаты dirвctly_can_ ^^^<^^5. + 1, 5 О0, Ь), dirвctly_can_5harв_own(sj +1, 5.+2, О0, Ьо).

Доказательство.

Докажем достаточность выполнения условий теоремы для истинности предиката can_5harв_own(x, у, О0, Ьо).

Если выполнено первое условие теоремы, то в соответствии с леммой предикат can_5harв_own(x, у, О0, Ьо) является истинным.

Если выполнено второе условие теоремы, то существует последовательность субъектов 51, ..., 5т в О где 51 = х, 5т = у и т > 2. Проведем доказательство индукцией по длине т последовательности субъектов.

Пусть т = 3. Возможны два случая.

Первый случай: х, 52е^ п Б0 и истинны предикаты dirвctly_can_5harв_own(x, 52, О0, Ьо), dirвctly_can_ 5harв_own(5 , у, О, Ьо). Тогда в соответствии с леммой существуют состояния О1, ..., ОN = (О^ Е^ Ял, и А^у и ^ Ндг) и правила преобразования состояний op1, ., opN такие, что с0\-ор1 с1 \-ор2 ... \-орМ Ом и (х, омю), (52, у, ownr) еЯN, где N > 0. Пусть opN+ 1 = takв_right(ownr, х, 52,у)

N1 <>{>(N+1) N+1’ N+1 4 N+1’ N+1’ N+1 N+1 N+1’

Н 1). Тогда (х, у, ownr)еЯN+ 1 и предикат can_5harв_own(x, у, О , Ь ) являются истинными.

^ у 0' о'

Второй случай: 52 е N п Б0 и истинны предикаты dirвctly_can_5harв_own(52, х, О0, Ьо), dirвctly_can_ 5harв_own(5 , у, О, Ьо). Тогда в соответствии с леммой существуют состояния О1, ., ОN = (О^ Е№ Як и АЛГ и ^ Н^ и правила преобразования состояний op1, ., opN та-

кие, что G0yopl Gl \-ор2 ... \-opN Gn и (s,, х, own), (s2, у, own)eRN, где N> 0. Пусть opN+ 1 = grant_right(ownr, s2, x, v)hG, U где=(S„^„E„^„R„^, <~jA„^, u

jVlop(W+l) N+l’ ^ N+1 v jV+1’ jV+1’ N+1 jV+1

Fn + J, HN + j). Тогда право (x, y, own)eRN + 1 и предикат can_share_own(x, y, G , LS) являются истинн^1ми.

Докажем индуктивный шаг. Пусть m > 3 и утверждение верно для всех последовательностей субъектов длины к < m. Докажем, что утверждение верно для всех таких последовательностей длины m.

Пусть s1, ..., sm последовательность субъектов из S0 субъектов, где s1 = x, s2 = z, s3 = w и sm = y.

Возможно четыре случая.

Первый случай: x, ze NS n S0 и истинны предикаты

directly_can_share_own(x, z, G0, LS), directly_can_ share_own(z, w, G0, LS). Тогда в соответствии с леммой существуют состояния G1, ., Gn = (SN, EN, RN и AN и FN, HN) и правила преобразования состояний opv ., opN такие, что G0yopl Gl \-op2 ... \-opN Gn и (x, x, own), (x, w, own)eRN, где N> 0. По предположению индукции существуют состояния Gn+ 1, ., Gn+ k = (SN + K, EN+ ^ RN+ K и

An+k и Fn+ k, Hn+ k) и правила преобразования состояний

°Pn+ V •••’ °Pn+K такие; 410 ^v+ 1 hop(N+ 1) ^v+ 2 hcp(N+ 2) • • • hop(iV+

GN+ K и (W, У, ownr)eRN+ K , где K > 0. Положим opn + к + 1 =

take_right(ownr, x, z, w), opN+ + 2 = take_right(own x, w, y).

Тогда GN + + K+ц Gn+k+ i|"0p(Jv+x + 2) ^N+K+2 ($N+K+ 2’

^+JC + 2>^+JC + 2 U^+Z+2 U ^+JC+2> ^+Z+2) И ПРаВ0 own)eRN + K + 2. Следовательно, предикат can_share_ own(x, y, G , LS) истинен.

Второй случай: x, we NS n S0 и истинны предикаты directly_can_share_own(x, z, G0, LS), directly_can_ share_own(w, z, G0, LS). Тогда в соответствии с леммой существуют состояния G1, ., Gn = (SN, EN, RN и AN и FN, HN) и правила преобразования состояний op, opN такие, что G„\-ор1 Gt ^ ... 1-opN Gn и права (х, z, ow«r), (w, z, own)ORN , где N > 0. По предположению индукции существуют состояния Gn+ 1, ., Gn+ к = (SN + ^ EN+ ^ RN+ K и

An+к и Fn+к, HN+ к) и правила преобразования состояний

°Pn+ V •••’ °Pn+K такие; 410 Gn+ 1 bop(N+ 1) Gn+ 2 bcp(N+ 2) • • • bop(iV+ K) GN+к и (w’ owwr)6^+л? где ^ > 0. Положим o/?JV+A:+ j = grant_right(ownr, w, z, y), opN+K+2 = take_right(ownr, x, z,

У). ТОГДа GN+KYop(^+K+V) GN+K+l ЬoP(N + K +2) ^N+K+ 2 _ ^iV+Z+2’ EN+ K + 2, RN + K + 2 и AN+ K + 2 и FN+ K + 2, HN+ K + 2) и (^У, own)e

Rn+K+2. Следовательно, предикат can_share_ own(x, y, G0, LS) истинен.

Третий случай: w, zeNS n S0 и истинны предикаты

directly_can_share_own(z, x, G0, LS), directly_can_ share_own(w, z, G0, LS). Тогда в соответствии с леммой существуют состояния G1, ., Gn = (S№ E^, RN и AN и F№ HN) и правила преобразования состояний opv ., opN такие, что Gt b„p2 • • • b^ Gn и (z,x, ), (w, x, own)eRN,

где \ > 0. По предположению индукции существуют состояния GN+ 1, ., Gn+ к = (SN+ к, En+ к, Rn+ к и An + к и Fn+к,

HN+ к) и правила преобразования состояний opN+ j, ., opN+к такие, что G„^, \- G,rj_, I- ...b „ G,^^ и (w,

’ Л^+ 11 op(N+1) N+2\op(N+2) \op(N+K) N+K v ’

y, own)eRN+K , где K > 0. Положим opN+ K + j = grant_ right(ownr, w, z,y), opN+ + 2 = grant_right(own z, x,y).

Тогда GjV+^ b4p^v+z+ ц GjV+ j Ьop^N+ K+1) Gn+ k+ 2 (SN+ K+2,

EN + к + У RN + K + 2 и AN + K + 2 и FN + K + 2, HN + K + 2) и (X, У,

own)eR K+ . Следовательно, предикат can_share_own(x, y, G0, LS) истинен.

Четвертый случай: zeNS n S0 и истинны предикаты

directly_can_share_own(z, x, G0, LS), directly_can_ share_own(z, w, G0, LS). Тогда в соответствии с леммой существуют состояния G1, ., Gn = (S^, EN, RN и AN и F^ HN) и правила преобразования состояний op j, opNта-

кие, что G0yopl Gl \-op2 ... I-opNGN и (z,x, own), (z, w, own)eRN> где N > 0. По предположению индукции существуют состояния Gn+ 1, ., Gn+к = (SN+ к, En+^ Rn+к и An+к и Fn+ ^

HN+к) и правила преобразования состояний opN + р ., ор*т+-1- такие, что G U G„, .U ... U „G... „

* N+K ’ N+II op(N+ 1) N+2 \ op(N+T) I op(N+K) N+K

и (w, y, own)eRN+K, где К > 0. Положим opN +K+ 1 = take_right(own,, z, w, y), opN + + 2 = grant_right(ownr, z, x,

У). ТОГДа Gn+k \-op{N+K+l) GN+K+l \-op^N+K+2-) GjV+Z+2 ~~ $N+K+ 2’ EN + K + 2, RN + K + 2 и AN + K + 2 и FN + к + У HN + K + 2) и (X, У,

own)eRN + + 2. Следовательно, предикат can_share_ own(x, y, G , LS) истинен.

Индуктивный шаг доказан, и доказательство достаточности выполнения условий теоремы для истинности предиката can_share_own(x,y, G , LS) закончено.

Докажем необходимость выполнения условий теоремы для истинности этого предиката.

Пусть истинен предикат can_share_own(x,y, G,LS). Тогда по определению 4 существуют состояния G1, ., Gn = (SN E№ Rn и An и F№ Hn) и последовательности правил преобразования состояний op1, ..., opN такие, что GolvGilv • • • hVN Gjv и(х’У> own) eR№ ще N> 0. Выберем среди последовательностей правил преобразований ту, у которой длина N является минимальной. В этом случае (x, y, own) g Rn_ j . Проведем доказательство индукцией по числу N.

Пусть N = 0, тогда (x, y, ownr)e R0 и условие 1 теоремы выполнено.

Пусть N = 1, тогда xeNS n S0, yeS0, (x, y, own)gR0 и существует правило преобразования состояний op1 такое, что G0|- (j и (x,y, own)eRv Из определения правил преобразования состояний в [1] и таблицы следует, что возможны шесть случаев:

- xe[y] и op1 = control (x,y, x);

- xe]y[ и op1 = know (x, y, x);

- существует сущность ee [y] такая, что (x, e, writem) e F0 и op1 = control (x, y, e);

- существует сущность ee]y[ такая, что (e, x, writem) e F0 и op1 = know (x, y, e);

- существует zeNS n S0, что (x, z, ownr), (x, z, own) eR0 и op1 = takeright (own,, x, z, y);

- существует zeNS n S0, что (z, x, ownr), (x, z, own) eR0 и opx = grant right (own z, x, y).

Все шесть случаев соответствуют условиям 1 и 2 теоремы.

Пусть N > 1 и утверждение теоремы верно для всех последовательностей правил преобразований состояний длины l < N. Тогда xeNS n S0, yeS0, (x, y, own)gRN 1 и существует правило преобразования состояний opN такое, что GNl\-opNGNM (x,y, own)eRN.

Из определения правил преобразования состояний, предположений о том, что множество сущностей, функционально и параметрически ассоциированных с субъектом не меняется, и минимальности N следует, что выполняется хотя бы одно из условий:

- существует сущность ee [y] такая, что (x, e, writem) eFN- j и opN = control (x, y, e);

- существует сущность ee]y[ такая, что (e, x, writem) eFN- j и opN = know (x, y, e);

- существует zeNS n S0, что (x, z, ownr), (z, y, own) eRN_ j и opN = take right (own,, x, z, y);

- существует zeNS n S0, что (z, x, ownr), (z, y, own) eRN_ j и opN = grant right (own z, x, y).

Если выполнено первое или второе условие, то выполнено первое условие теоремы.

Рассмотрим случай выполнения третьего условия, когда (x, z, ownr), (z, y, own) eRN- j и opN = take_right(a, x, z, y). Доказательство для случая выполнения четвертого условия проводится аналогично доказательству для случая выполнения третьего условия.

Так как длина N минимальна, то в последовательности преобразований состояний opj, ., opN не используются правила вида create_entity(x, y, z) и create_subject(x, y, z). Следовательно, zeS0 и истинны предикаты can_share_own(x, z, G0, LS) и can_share_own(z, y, G , LS) с длинами последовательностей преобразований состояний меньше N. По предположению индукции возможны четыре случая.

Первый случай: истинны предикаты directly_can_ share_own(x, z, G0, LS) и directly_can_ share_own(z, y, G , LS), и, следовательно, второе условие теоремы выполнено.

Второй случай: истинен предикат directly_can_ share_own(x, z, G0, LS) и существует последовательность субъектов s1, ., sm в S0, где s1 = z, sm = y и m > 2 таких, что выполняется условие 2. Следовательно, существует последовательность субъектов sj, ., sm+j в S0, где sj = x, s2 = z, sm+j = y таких, что выполняется условие 2 теоремы.

Третий случай: истинен предикат directly_can_ share_own(z, y, G , LS) и существует последовательность субъектов s1, ., sm в S0, где s1 = x, sm = z и m > 2 таких, что выполняется условие 2. Следовательно, существует последовательность субъектов sj, ., sm+j в S0, где sj = x, sm= z, sm +1 = y таких, что выполняется условие 2 теоремы.

Четвертый случай: существуют последовательности субъектов s,, ., s и s',, ., s' в S., где s, = x, s = s', = z,

J V ’ m V ’ n 0’ j ’ m j ’

s' = y и m, n > 2, для которых выполняется условие 2. Следовательно, существует последовательность субъектов s , ., s e S , где s = x, s = y таких, что

V ’ m + n - j 0 j ’ m + n - j s ’

выполняется условие 2 теоремы.

Индуктивный шаг доказан, и доказательство необходимости выполнения условия теоремы для истинности предиката can_share_own(x,y, G , LS) закончено. Теорема доказана.

Таким образом, в работе введено понятие сущности, параметрически-ассоциированной с субъектом. Для обеспечения возможности анализа получения субъектом права доступа владения к другому субъекту с использованием информационных потоков по памяти как от сущностей, параметрически-ассоциированных с субъектом, так и к сущностям, функционально-ассоциированных с субъектом, построена ФПАС ДП-модель, являющаяся расширением ФАС ДП-модели. Данное расширение дополнительно содержит правило преобразования состояний know(), отражающее возможность получения в реальных КС субъектом права доступа владения к другому субъекту с использованием реализации информацион-

ного потока по памяти от сущности, параметрически-ассоциированной с последним. В рамках ФПАС ДП-мо-дели сформулированы и обоснованы условия получения недоверенным субъектом права доступа владения к другому субъекту КС.

Библиографический список

1. Девянин, П. Н. Анализ безопасности управления доступом и информационными потоками в компьютерных системах / П. Н. Девянин. М. : Радио и связь, 2006.

2. Девянин, П. Н. Модели безопасности компьютерных систем : учеб. пособие для студ. высш. учеб. заведений / П. Н. Девянин. М. : Академия, 2005.

3. Качанов, М. А. Расширение функциональности системы безопасности ядра Ьших на основе подмены системных вызовов / М. А. Качанов, Д. Н. Колегов // Прикладная дискретная математика. 2008. N° 2. С. 76-80.

D. N. Kolegov

DP-MODEL OF THE COMPUTER SYSTEM WITH FUNCTIONAL AND PARAMETRIC ASSOCIATES WITH SUBJECT ENTITIES

The definition of parametric-associates with subject entities in computer system is proposed. The extension of DP-model of the computer system with functional-associates with subjects entities is constructed. In this extension the conditions that can access its own right to another subject are formulated and established.

Keywords: computer security, mathematical models of security, discretionary models, security analysis, access rights, information flows.

УДК 62 - 506.1

И. В. Ковалев, М. В. Карасева, В. О. Лесков

ИНФОРМАЦИОННО-ТЕРМИНОЛОГИЧЕСКИЙ БАЗИС КАК СОВОКУПНОСТЬ ЛЕКСИЧЕСКИ СВЯЗАННЫХ КОМПОНЕНТОВ

Рассмотрены вопросы реорганизации структуры базисного информационного компонента мультилингвис-тической адаптивно-обучающей технологии для применения методики обучения иностранной лексике посредством построения внутриязыковых ассоциативных полей.

Ключевые слова: мультилингвистическая адаптивно-обучающая технология, информационно-терминологический базис, частотные словари, внутриязыковые ассоциативные поля.

В работе [1] были сформулированы основные положения методики обучения иностранным языкам, которая обеспечивает организованное построение групп ассоциативных связей между лексемами целевого языка непосредственно в процессе обучения. Данная методика развивается, опираясь на мультилингвистическую адаптивно-обучающую технологию (МЛ-технологии), поэтому структуру языкового материала, который она будет использовать, рационально разрабатывалась, отталкиваясь от информационно-терминологического базиса (ИТБ) МЛ-технологии [2].

Также, в работе [1] было предложено использование ИТБ как совокупности лексически связанных компонентов (ЛС-компоентов). В соотнесении с МЛ-технологией такой подход вызывает ряд вопросов и требует более подробного описания.

Итак, от грамотно разработанной и соответствующим образом описанной структуры ИТБ, в данном случае, будет зависеть возможность и целесообразность применения настоящей методики обучения в рамках МЛ-технологии.

Информационно-терминологическое обеспечение МЛ-технологии. Информационно-терминологическая база МЛ-технологии строится на основе результатов анализа языкового материала. Под языковым материалом здесь следует понимать некоторое множество текстов интересующей разработчика предметной области изучаемого языка [3]. Размер языкового материала может варьироваться в зависимости от средств анализа, наличия оригинальных текстов и необходимого количества терминов.

Основу построения информационно-терминологической базы составляют частотные словари, по данным которых определяется приоритетность изучения тех или иных терминов. Использование таких словарей, полученных путем анализа языкового материала, качественно улучшает процесс обучения иностранной лексике [4].

В работе [2] была разработана структура информационно-терминологической базы МЛ-технологии с учетом частотных характеристик ее элементов.

З4