CC BY
37
ступ к сущностям, защищенным ЭПС, и кодирование в них данных в случае, когда оно осуществляется ЭПС. Эти доверенные субъекты реализуют информационные потоки по памяти между каждой сущностью, защищенной ЭПС, и соответствующей ей сущностью-образом, не являющейся субъектом.
Условие 4. Доверенные или недоверенные субъекты, не реализующие доступ к сущностям, защищенным ЭПС, не обладают правами доступа и не могут получать доступ к этим сущностям. При этом они могут обладать правами доступа или получать доступ к сущностям-образам сущностей, защищенных ЭПС.
Условие 5. Недоверенный субъект-задача может создать доверенного субъекта в случае, когда недоверенный субъект реализовал к себе информационные потоки по памяти от всех сущностей, параметрически ассоциированных с некоторым потенциальным доверенным субъектом.
При анализе безопасности ЭПС представляют интерес вопросы, связанные с возможностью получения нарушителем доступа к документам в обход правил политики безопасности. Для разрабатываемой ЭПС ДП-модели строятся формальные описания моделей нарушителя различных видов, а именно:
— нарушителя, являющегося зарегистрированным пользователем ЭПС;
— нарушителя, не являющегося зарегистрированным пользователем ЭПС, но имеющего возможность запускать процессы в ОС сервера ЭПС;
— нарушителя, не являющегося зарегистрированным пользователем ЭПС, но имеющего возможность прослушивать каналы связи между клиентами и сервером ЭПС и выступать в роли клиента ЭПС.
На основе ЭПС ДП-модели с использованием данных моделей нарушителя производится анализ возможности получения недоверенными субъектами доступа к сущностям, защищенным ЭПС, а также реализации от данных сущностей запрещенных информационных потоков. В результате предполагается разработать рекомендации по проектированию защищенных ЭПС.
ЛИТЕРАТУРА
1. Девянин ПН. Анализ безопасности управления доступом и информационными потоками в компьютерных системах. М.: Радио и связь, 2006. 176 с.
2. Колегов ДН. ДП-модель компьютерной системы с функционально и параметрически ассоциированными с субъектами сущностями // Вестник Сибирского государственного аэрокосмического университета им. акад. М.Ф. Решетнева. 2009. Вып. 1(22). Ч. 1. С. 49-54.
3. Буренин ПВ. Подходы к построению ДП-модели файловых систем // Прикладная дискретная математика. 2009. №1(3). С. 93-112.
УДК 004.94
РЕЗУЛЬТАТЫ АНАЛИЗА БЕЗОПАСНОСТИ СИСТЕМ С ПРОСТЫМИ ТРАЕКТОРИЯМИ ФУНКЦИОНИРОВАНИЯ В РАМКАХ БАЗОВОЙ РОЛЕВОЙ ДП-МОДЕЛИ1
П. Н. Девянин
На основе базовой ролевой ДП-модели (БР ДП-модели) [1, 2] рассматриваются условия передачи прав доступа и реализации информационных потоков по памяти для случая, когда на траекториях функционирования системы субъект-сессии не получают
хРабота выполнена при поддержке гранта МД №2.2010.10.
доступа владения друг к другу с использованием информационных потоков по памяти к функционально ассоциированным с субъект-сессиями сущностям.
Определение 1. Пусть G0 = (PA0,user0,roles0, A0, F0, HEo) —состояние системы T,(G*, OP), в котором существуют пользователь x Е U0 и право доступа к сущности (e,a) Е P0. Определим предикат simple_can_share((e, a), x,G0), который будет истинным тогда и только тогда, когда существуют состояния Gl,... ,Gn и правила преобразования состояний opl,... ,opN, такие, что G0 -opi Gl \-op2 ... -opN GN, где N ^ 0, является простой траекторией без кооперации доверенных и недоверенных субъект-сессий для передачи прав доступа, и существует субъект-сессия sx Е Sn , такая, что userN(sx) = x и выполняется условие (e,a) Е de_facto_rightsN(sx).
Определение 2. Пусть G0 = (PA0,user0,roles0, A0, F0, HEo) —состояние системы E(G*,OP), в котором существуют сущности или недоверенные пользователи x,y Е Nu U E0, где x = y. Определим предикат simple_can_write_memory(x, y, G0), который будет истинным тогда и только тогда, когда существуют состояния Gl,... , Gn и правила преобразования состояний opl,... ,opN, такие, что G0 -opi ... —opN GN, где N ^ 0, является простой траекторией без кооперации доверенных и недоверенных субъект-сессий для передачи прав доступа, и выполняется условие (x', y', writem) Е FN, где верно следующее: если x Е E0, то x' = x; если x Е Nu, то x' Е Sn и userN(x1) = x; если y Е E0, то y' = y; если y Е Nu, то y' Е Sn и userN (y') = y.
В рамках определений 1 и 2 возможно обоснование следующих теорем.
Теорема 1. Пусть G0 = (PA0,user0,roles0, A0, F0, HEo) —состояние системы
T,(G*, OP), в котором существуют недоверенный пользователь x Е Nu и право доступа к сущности (e,a) Е P0. Предикат simple_can_share((e, a), x,G0) является истинным тогда и только тогда, когда выполняется одно из следующих условий:
1. Выполняется условие (e,8) Е PA0(UA0(x)), где 8 Е {a,ownr}.
2. Существует субъект-сессия или недоверенный пользователь y Е Nu U So, истинен предикат simple_can_access_own(x, y, G0), и выполняется одно из условий:
— или y Е Nu и (e,a) Е PA0(UA0(y));
— или y Е NS П S0 и (e,a) Е PA0(UA0(user0(y)));
— или y Е LS П S0 и (e, a) Е PA0(roles0(y)).
3. Существуют последовательности недоверенных субъект-сессий или недоверенных пользователей xl,...,xm Е Nu U (Ns П S0), субъект-сессий или недоверенных пользователей yl,...,ym Е Nu U S0, где m ^ 2, таких, что xl = x, yi Е island(xi), где 1 ^ i ^ m, и выполняется одно из условий:
— или ym Е Nu и (e,ownr) Е PAo(UAo(ym))';
— или ym Е Ns П So и (e,own) Е PAo(UAo(usero(ym)));
— или ym Е Ls П So и (e, own) Е PAo(roleso(ym)).
При этом справедливо равенство is_simple_bridge(xm,ym-i,ym) = true, и для каждого 2 ^ i ^ m справедливо равенство или is_bridge(xi,yi-l,yi) = true, или is_simple_bridge(xi,yi-l,yi) = true.
Теорема 2. Пусть G0 = (PA0,user0,roles0, A0, F0, HEo) —состояние системы
E(G*, OP), в котором существуют сущности или недоверенные пользователи x,y Е Nu U E0, где x = y. Предикат simple_can_write_memory(x, y, G0) истинен
тогда и только тогда, когда существует последовательность недоверенных пользователей или сущностей в\,... ,em Е Nu U E0, где e1 = х, em = у и m ^ 2, таких, что выполняется одно из условий:
1. m = 2 и (х' ,у' ,writem) Е F0, где выполняются условия:
— если х Е E0, то х' = х;
— если х Е Nu, то х' Е S0 и usero(x') = х;
— если у Е E0, то у' = у;
— если у Е Nu, то у' Е S0 и useг0(у') = у.
2. Для каждого i = 1,... ,m — 1 выполняется одно из условий:
— ei Е Nu U S0, ei+i Е Nu U E0 и (ei, e'i+1,writem) Е F0, где верно следующее:
• если ei Е S0, то ei = ei;
• если ei Е Nu, то ei Е S0 и user0(ei) = ej,;
• если ei+1 Е E0, то e'i+1 = ei+1;
• если ei+\ Е Nu, то e'i+1 Е S0 и user0(e'i+1) = ei+1;
— ei Е Nu U S0, ei+1 Е E0 \ S0 и истинен предикат simple_can_share((ei+1, a), ei, G0), где a Е {writer ,appendr}, и верно следующее:
• если ei Е Nu, то ei = e^;
• если ei Е S0, то ei = user0(ei);
— ei+1 Е NuUS0, ei Е E0\S0 и истинен предикат simple_can_share((ei, readr), e’i+1, G0), где верно следующее:
• если ei+1 Е Nu, то ei+1 = ei+1;
• если ei+1 Е S0, то ei+1 = user'0(ei+1);
— ei Е Nu U (NS П S0), ei+1 Е Nu U S0 и истинен simple_can_access_own(ei, ei+1, G0),
где верно следующее:
• если ei Е Nu, то ei = e^;
• если ei Е NS П S0, то ei = user0(ei);
— ei+1 Е NuU(NSПS0), ei Е NuUS0 и истинен предикат simple_can_access_own(ei+1, e,i,G0), где верно следующее:
• если ei+1 Е Nu, то ei+1 = ei+1;
• если ei+1 Е Ns П S0, то ei+1 = user0(ei+1).
ЛИТЕРАТУРА
1. Девянин П. Н. Базовая ролевая ДП-модель // Прикладная дискретная математика. 2008. №1(1). С. 64-70.
2. Девянин П. Н. Анализ условий получения доступа владения в рамках базовой ролевой ДП-модели без информационных потоков по памяти // Прикладная дискретная математика. 2009. №3(5). С. 69-84.
