CC BY
65
ПРИЛОЖЕНИЕ Сентябрь 2009
Секция 3
МАТЕМАТИЧЕСКИЕ ОСНОВЫ КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ
УДК 004.94
РЕЗУЛЬТАТЫ АНАЛИЗА УСЛОВИЙ ПОЛУЧЕНИЯ ДОСТУПА ВЛАДЕНИЯ В РАМКАХ БАЗОВОЙ РОЛЕВОЙ ДП-МОДЕЛИ БЕЗ ИНФОРМАЦИОННЫХ ПОТОКОВ ПО ПАМЯТИ
П. Н. Девянин
На основе семейства ролевых моделей RBAC [1-3] и семейства ДП-моделей компьютерных систем (КС) с дискреционным или мандатным управлением доступом [4] построена базовая ролевая ДП-модель (БР ДП-модель) [5, 6]. Данная модель ориентирована на анализ в КС с ролевым управлением доступом условий передачи прав доступа ролей и реализации информационных потоков по памяти и по времени.
В настоящее время в рамках БР ДП-модели не удалось завершить исследования КС с ролевым управлением доступом, на условия функционирования которых не наложено ограничений. В связи с этим в [5, 6] с применением БР ДП-модели выполнен анализ необходимых и достаточных условий передачи прав доступа для случая, когда в системе существуют только две субъект-сессии двух пользователей.
В докладе исследуется БР ДП-модель, в которой взаимодействуют произвольное число субъект-сессий, и они не получают доступа владения друг к другу с использованием информационных потоков по памяти к функционально ассоциированным с субъект-сессиями сущностям. Для этого определяется предикат simple_can_access_own(х, y, Go), истинный тогда и только тогда, когда существует траектория функционирования системы с начальным состоянием G0 и с некоторым конечным состоянием, в котором субъект-сессия, функционирующая от имени недоверенного пользователя х, получает доступ владения к субъект-сессии, функционирующей от имени пользователя y.
Для упрощения записи алгоритмически проверяемых необходимых и достаточных условий истинности предиката simple_can_access_own (х, y, G0) определятся предикат simple_directly_access_own(х, y, G0), задающий легкопроверяемые условия, при выполнении которых субъект-сессия, функционирующая от имени недоверенного пользователя х, может непосредственно получить доступ владения к субъект-сессии, функционирующей от имени пользователя y. По аналогии с моделью Take-Grant [2, 3] также определяются:
island: Nu П S ^ 2Nu U 2S — функция, задающая остров (подграф графа доступов, соответствующего состоянию системы) для субъект-сессии или недоверенного пользователя;
is_simple_bridge: (Nu U (NS П S)) x (Nu U S) x (Nu U S) ^ {true, false} и is_bridge: (Nu U (NS П S)) x (Nu U S) x (Nu U S) ^ {true, false} — функции, для которых справедливы соответственно равенства is_simple_bridge(х, y, z) = true или is_bridge(х, y, z) = true тогда и только тогда, когда субъект-сессия или недоверенный пользователь y соединен соответственно простым мостом или мостом (путями специ-
ального вида в графе доступов) с субъект-сессией или недоверенным пользователем z через недоверенную субъект-сессию или недоверенного пользователя x.
При этом при задании простых мостов и мостов в граф доступов добавлены вершины, соответствующие ролям, и ребра, задающие: принадлежность роли права доступа к сущности, принадлежность роли множеству авторизованных ролей пользователя или субъект-сессии, принадлежность роли множеству текущих ролей субъект-сессии, возможность административной роли изменять принадлежащие роли права доступа к сущности, принадлежность пользователей или субъект-сессий к островам.
Теорема 1. Пусть G0 — состояние системы E(G*, OP), в котором существуют недоверенный пользователь x Е Nu и субъект-сессия или недоверенный пользователь y Е Nu U So, такие, что x = y. Предикат simple_can_access_own(x, y, G0) является истинным тогда и только тогда, когда существуют последовательности недоверенных субъект-сессий или недоверенных пользователей Xi, ..., xm Е Nu U (Ns П S0), субъект-сессий или недоверенных пользователей у1, ... , ym Е Nu U S0, где m ^ 1, таких, что x1 = x, ym = у, yi Е island(xi), где 1 ^ i < m, и выполняются следующие условия:
1) Если m ^ 2, то справедливо равенство is_bridge(xm, ym-1, y) = true.
2) Если m ^ 3, то для каждого 2 ^ i < m справедливо равенство или is_bridge(xi, yi-1, yi) = true, или is_simple_bridge(xi, yi-1, yi) = true.
Таким образом, в рамках БР ДП-модели обосновываются необходимые и достаточные условия получения субъект-сессией, функционирующей от имени недоверенного пользователя, доступа владения к другой субъект-сессии для случая, когда в системе взаимодействуют произвольное число субъект-сессий и они не используют информационные потоки по памяти.
ЛИТЕРАТУРА
1. Sandhu R. Role-Based Access Control // Advanced in Computers. Academic Press, 1998. V. 46.
2. Bishop M. Computer Security: art and science. ISBN 0-201-44099-7, 2002. 1084 p.
3. Девянин П. Н. Модели безопасности компьютерных систем: Учеб. пособие для студ. высш. учеб. заведений. М.: Издательский центр «Академия», 2005. 144 с.
4. Девянин П. Н. Анализ безопасности управления доступом и информационными потоками в компьютерных системах. М.: Радио и связь, 2006. 176 с.
5. Девянин П. Н. О разработке моделей безопасности информационных потоков в компьютерных системах с ролевым управлением доступом // Материалы Третьей Междунар. науч. конф. по проблемам безопасности и противодействия терроризму. МГУ им. Ломоносова. 25-27 октября 2007 г. М.: МЦНМО, 2008. С. 261-265.
6. Девянин П. Н. Базовая ролевая ДП-модель // Прикладная дискретная математика. 2008. №1(1). С. 64-70.
УДК 004.94
ПРЕПОДАВАНИЕ МОДЕЛЕЙ УПРАВЛЕНИЯ ДОСТУПОМ И ИНФОРМАЦИОННЫМИ ПОТОКАМИ В РАМКАХ ДИСЦИПЛИНЫ «ТЕОРЕТИЧЕСКИЕ ОСНОВЫ КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ»
П. Н. Девянин
Одной из актуальных проблем теории компьютерной безопасности является анализ безопасности логического управления доступом и информационными потоками в компьютерных системах (КС). Как правило, для описания условий передачи прав до-
