Ранжирование полномочий на основе анализа иерархии ролей в моделях разграничения доступа Текст научной статьи по специальности «Компьютерные и информационные науки»

Математические структуры и моделирование 2019. №1(49). С. 89-96

УДК 004.056 DOI: 10.25513/2222-8772.2019.1.89-96

РАНЖИРОВАНИЕ ПОЛНОМОЧИЙ НА ОСНОВЕ АНАЛИЗА ИЕРАРХИИ РОЛЕЙ В МОДЕЛЯХ РАЗГРАНИЧЕНИЯ ДОСТУПА

Н.Ф. Богаченко

к.ф.-м.н., доцент, e-mail: nfbogachenko@mail.ru А.В. Филиппова

студент, e-mail: afelia96@mail.ru

Омский государственный университет им. Ф.М. Достоевского, Омск, Россия

Аннотация. Для оценки вероятности утечки полномочий в ролевой политике разграничения доступа введено понятие «уровень критичности полномочия». Сформулированы постулаты, определяющие зависимость уровней критичности полномочий от структуры ролевой иерархии. Предложена методика (метод и алгоритм) автоматического расчёта уровней критичности полномочий, использующая метод анализа иерархий. Проведён вычислительный эксперимент, выявляющий зависимость уровня критичности полномочия от настраиваемого параметра алгоритма. Настраиваемый параметр позволяет регулировать влияние постулатов на результаты вычислений.

Ключевые слова: роли, полномочия, избыточность, уровень критичности, метод анализа иерархий.

Введение

Ролевое разграничение доступа получило широкое применение во многих современных компьютерных системах. Преимуществами ролевого подхода являются разделение обязанностей, простота администрирования (например, при переназначении пользователю полномочий) и применение иерархии ролей. Модель иерархической организации множества ролей предполагает соблюдение следующих правил:

1) каждая роль наследует полномочия подчинённых ей ролей согласно заданной иерархии;

2) пользователь, авторизованный на некоторую роль, авторизуется и на все роли, подчинённые данной [1].

Управление разграничением доступа в компьютерной системе, в том числе и на основе концепции ролей, должно включать в себя как стадию разработки — проектирование и реализация политики разграничения доступа, так и стадию реконструкции — администрирование, анализ и оптимизация. В свою очередь, анализ реализованной модели разграничения доступа заключается в оценке рисков информационной безопасности. Согласно [2], риск информационной безопасности — это оценка возможного ущерба, наносимого организации

либо активу в результате реализации некоторой угрозы. Основной способ оценки рисков заключается в сочетании вероятности события и его последствий:

Н(У,Т) = Р(У,т) ■ I(Т), (1)

где Р(у,Т) — вероятность реализации угрозы Т через заданную уязвимость V (для двухфакторного способа оценки рисков) или произведение вероятностей реализации угрозы Т и использования уязвимости V (для трёхфакторного способа оценки рисков), I(Т) — ущерб от реализации угрозы Т [3]. Основной сложностью при решении задач количественной оценки рисков информационной безопасности является качественный характер большинства показателей, влияющих на вероятности реализации угроз и использования уязвимостей, а также определяющих ущерб.

Материалы, представленные в данной работе, получены в результате исследования следующего вопроса: возможно ли при анализе рисков информационной безопасности применительно к ролевой модели разграничения доступа получить какие-либо количественные характеристики, не привлекая механизм экспертных оценок, а исходя из автоматического анализа основных элементов и структур, используемых при построении правил разграничения доступа?

1. Уровень критичности полномочия

При реализации в компьютерной системе подсистемы разграничения доступа возникает задача выявления скрытых каналов передачи информации: возможна ли передача информации между субъектами и объектами в обход политики безопасности. Применительно к ролевому разграничению доступа необходим контроль получения пользователями избыточных полномочий в следствии авторизации на роль, множество полномочий которой шире, чем требуется пользователю. При этом полностью исключить избыточность не всегда возможно. Возникает потребность в выявлении самых значимых полномочий, для которых избыточность наиболее нежелательна. Здесь «нежелательность» оценивается не с точки зрения ущерба, а со стороны вероятностей реализации угроз и использования уязвимостей. Числовая характеристика, отражающая значимость полномочий, названа «уровнем критичности». Содержательный смысл этого термина заключается в следующем: чем выше уровень критичности полномочия, тем больше вероятность его несанкционированного использования (утечки).

Для построения метода расчёта уровней критичности полномочий использована теоретико-графовая формализация ролевой политики разграничения доступа [1]. Рассматриваются такие элементы модели, как множество полномочий Р = {р\,... ,рт} и множество ролей К = {гх, . . . , гп}. Иерархия ролей описывается с помощью ориентированного графа, в котором узлы соответствуют ролям, определённым в системе, метки узлов — наборам их полномочий, направленные ребра (дуги) задают отношение авторизации ролей друг на друга (см. рис. 1).

Уровнем критичности полномочия р^ е Р назовём числовую характеристику 5(рг), отражающую значимость гр% с точки зрения возможности его утечки.

Рис. 1. Теоретико-графовое представление иерархии ролей

Потребуем, чтобы 8(рг) е [0,1] и 1 5(рг) = 1. Тогда уровень критичности можно интерпретировать как некоторую априорную вероятность утечки соответствующего полномочия.

Очевидно, что величина 5(р¿) зависит как от распространённости полномочия рг среди наборов полномочий ролей, так и от местоположения ролей, которым сопоставлено это полномочие, в иерархии. Таким образом, уровень критичности полномочия находится в зависимости от отображений КК и КР. Выделены следующие эвристики, определяющие зависимость уровня критичности от структуры ролевого графа.

Постулат 1. Чем больше полномочий содержит роль, тем выше вероятность атаки (попытки несанкционированной авторизации) на данную роль, тем больше уровни критичности полномочий, сопоставленных роли.

Постулат 2. Чем чаще встречается полномочие в наборах полномочий ролей, тем выше вероятность его несанкционированного использования, тем больше его уровень критичности.

Постулат 3. Чем ближе роль к вершине иерархии, тем выше вероятность атаки на данную роль, тем больше уровни критичности полномочий, сопоставленных роли.

2. Методика оценки уровня критичности

К методике расчёта уровней критичности полномочий были предъявлены следующие требования:

1) учёт постулатов 1-3;

2) автоматизация процесса вычисления.

Основная идея предложенного метода заключается в интерпретации ролевого графа как дерева решения метода анализа иерархий [4]: за альтернативы метода принимаются полномочия, за критерии — роли. Для этого необходимо провести предобработку ролевого графа:

1) преобразовать ролевой граф С в эквивалентное листовое ролевое дерево

т [1];

2) расширить ролевое дерево Т до единичного ролевого дерева Тр: каждый листовой узел пополняется узлами-сыновьями по числу его полномочий, каждый новый узел в качестве метки содержит ровно одно полномочие из набора

полномочии своего родителя.

Следует заметить, что в расширенном ролевом дереве Тр листовые узлы теперь ассоциированы не с ролями, а с полномочиями (см. рис. 2).

Ръ р3р6 Ра Р3Р7 Р5Р7

Р1Р5Р1

Рис. 2. Пример расширенного ролевого дерева Тр

Алгоритм оценки уровней критичности полномочий состоит из двух этапов:

1) вычисление относительных весовых коэффициентов (весов) для всех узлов дерева Тр, кроме корня;

2) вычисление комбинированных весовых коэффициентов (уровней критичности) для каждого из полномочий.

На первом этапе для каждого узла ^ дерева Тр, начиная с корня и исключая листовые узлы, рассматривается подмножество непосредственно подчинённых ему узлов {¿^,... ,ик}. Для узлов этого подмножества формируется матрица парных сравнений. Но в отличие от классического метода анализа иерархий коэффициенты матрицы заполняются не экспертами, а вычисляются автоматически по формуле

т- = "" >' (2)

т'-" | ИР (к. )|' (2)

где 'ЯР(¿)| — мощность подмножества полномочий, сопоставленных узлу ¿. С учётом постулата 1 эта величина соотносит уровни критичности полномочий, приписанных узлу , с уровнями критичности полномочий, приписанных узлу и8. Заполненные таким образом матрицы будут идеально согласованными [4], а формула для расчёта относительных весов примет следующий вид:

№(и,)' (3)

Щ- = —;---. (3)

' е^ 'яр)|

На втором этапе для каждого полномочия р^ вычисляется уровень критичности:

^(Рг)= £ ( П . (4)

р(^3):(Ъ- лист)Л(ДР (*в)={рг>) з-ь ер(^3)

Суммирование ведётся по всем ориентированным маршрутам в дере-

ве Тр, ведущим от корня £ к такому листовому узлу Ь8, набор полномочий КР(Ь8) которого содержит ровно одно полномочие рг. В каждом произведении используются вычисленные по формуле (3) относительные веса -хи^ тех узлов , которые составляют ориентированный маршрут р(Ь,Ь3) (исключая корень ¿). Несложно понять, что на втором этапе учтены постулаты 2 и 3: так как для любого допустимого ] : 0 ^ и^- ^ 1, то 5(рг) тем больше, чем больше слагаемых и чем меньше множителей, то есть короче путь в формуле (4).

3. Вычислительный эксперимент

Для проверки устойчивости модели в формулу (2) и, как следствие, в формулу (3) был введён параметр а (а ^ 1):

№Р (и. )|с № (и< )1С

= —1-—-. (5)

' Е ;=1 1ЯР (к Ж

Проведён вычислительный эксперимент с целью исследования влияния параметра а на уровни критичности полномочий. При этом анализировались не только абсолютные величины 5(р), а и линейный порядок, порождаемый уровнем критичности на множестве полномочий. Диапазон значений настраиваемого параметра а представлял собой отрезок [1,100], шаг приращения параметра был равен 1.

Наглядным примером зависимости уровня критичности от параметра а являются графики, представленные на рисунке 4 (а). По оси абсцисс отложены значения параметра а, по оси ординат — значения уровня критичности полномочия 5(р). Построение графиков основано на данных для трёхуровневого выровненного ролевого дерева (рис. 3). Заметим, что после некоторого значения а взаимное расположение графиков стабилизируется, что даёт возможность увеличить масштаб построения (см. рис. 4 (б)). Для представленного примера при а =1 последовательность полномочий, упорядоченная по невозрастанию их уровней критичности, имеет вид: Р8,Р3,Р1,Р5,Р6,РА,Р2,РТ. Тогда как для а =15 порядок уже другой: Р1,Р8,Рт,Рб,Рь,Р4,Рз,Р2.

Анализ результатов вычислительного эксперимента позволяет сделать следующие выводы.

1. С ростом а наблюдается смена порядка на множестве полномочий. При достижении параметром значения в интервале [15,20] отношение порядка на множестве полномочий перестаёт изменяться.

2. Параметр а может как совсем незначительно повлиять на ранжирование полномочий (рис. 5 (а)), так и кардинально изменить их порядок (рис. 5 (б)).

Следует отметить, что чем больше значение параметра а, тем меньше величина относительного весового коэффициента Wíj (см. формулу (5)). Зависимость отношения линейного порядка на множестве полномочий, определяемого

Рис. 3. Пример расширенного ролевого дерева, построенного для трёхуровневой выровненной

иерархии ролей

0,16 0,14 0,12 ОД 0,08 0,06 0,04 0,02 О

-«рЦ

~5{р2) 5{рЗ) -5(р4)

-ад

Б{р6) Чр7) 5{р8)

0,11

~5(р1) -5{р2) 5(рВ) -5(р4) ЧрБ) Чрб) Чр7) ЧрВ)

а)

б)

Рис. 4. Графики зависимости уровня критичности полномочия от параметра а, полученные для расширенного ролевого дерева, представленного на рисунке 3

их уровнями критичности, от параметра а позволяет управлять значимостью постулатов при расчёте уровня критичности: чем больше а, тем менее значим постулат 1 (число полномочий, приписанных одной роли), а следовательно, большее значение приобретают постулаты 2 и 3 (распространённость полномочия в иерархии и «близость к администратору»). Таким образом, настраиваемый параметр а позволяет администратору безопасности оценить значимость полномочий в различных предположениях об уязвимостях ролевой иерархии.

Заключение

Предлагаемые в статье количественные характеристики полномочий могут являться основой для определения вероятности реализации угроз информационной безопасности через уязвимости, порождаемые структурой ролей политики разграничения доступа (см. формулу (1)). При этом уровень критичности 5(рг) полномочия есть оценка априорной вероятности утечки полномочия рг через уязвимость, скрытую в ролевом графе.

а) б)

Рис. 5. Графики зависимости уровня критичности от параметра a

Наличие в системе полномочий, уровень критичности которых превышает некоторое пороговое значение, может являться причиной реструктуризации ролевой иерархии с целью уменьшения этих показателей.

Литература

1. Bogachenko N.F. Local Optimization of the Role-Based Access Control Policy // CEUR Workshop Proceedings. 2017. Vol. 1965. URL: http://ceur-ws.org/Vol-1965/ paper14.pdf (дата обращения: 21.02.2019).

2. NIST SP 800-30 Revision 1. Information Security. Guide for Conducting Risk Assessments. September 2012.

3. Емалетдинова Л.Ю., Аникин И.В. Анализ подходов к оценке рисков информационной безопасности в корпоративных информационных сетях // Вестник Казанского государственного энергетического университета. 2015. № 1(25). С. 55-67.

4. Belim S.V., Belim S.Yu., Bogachenko N.F., Kabanov A.N. User Authorization in a System with a Role-Based Access Control on the Basis of the Analytic Hierarchy Process // IEEE Dynamics of Systems, Mechanisms and Machines (Dynamics). 14-16 Nov., 2017. URL: http://ieeexplore.ieee.org/document/8239432/ (дата обращения: 21.02.2019).

RANKING OF PERMISSIONS ON THE BASIS OF ANALYSIS OF ROLES HIERARCHY IN ACCESS CONTROL MODELS

N.F. Bogachenko

Ph.D. (Phys.-Math.), Associate Professor, e-mail: nfbogachenko@mail.ru

A.V. Filippova Student, e-mail: afelia96@mail.ru

Dostoevsky Omsk State University, Omsk, Russia

Abstract. The term "severity level of permissions" is introduced for the probability estimation of the permissions leakage in the role-based access control policy. The