Роль модели типизированного атрибутного разграничения доступа в выполнении задач защиты информации Текст научной статьи по специальности «Компьютерные и информационные науки»

РОЛЬ МОДЕЛИ ТИПИЗИРОВАННОГО АТРИБУТНОГО РАЗГРАНИЧЕНИЯ ДОСТУПА В ВЫПОЛНЕНИИ ЗАДАЧ ЗАЩИТЫ ИНФОРМАЦИИ

М. Н. Калимолдаев, Р. Г. Бияшев, О. А. Рог

Институт информационных и вычислительных технологий КНМОНРК 050000, Алматы, Республика Казахстан

УДК 004.94.056.53

DOI: 10.24411/9999-018A-2019-10006

Выделены общие свойства, которыми должны обладать модели разграничения доступа для обеспечения безопасного использования разделяемых ресурсов в локальных и глобальных вычислительных средах - 1) универсальности, 2) гибкости, 3) удобства администрирования. Перечислены основные задачи, требующие решения при определении политик разграничения доступа и конструировании соответствующих им моделей, а именно 1) задача точной идентификации сущностей, 2) задача обеспечения возможностей динамического конструирования политик, а также 3) задача использования множественных политик в рамках одной системы. Приведено общее описание модели типизированного атрибутного разграничения доступа (ТАРД). Показано, что она отвечает поставленным требованиям и служит таким образом гарантией безопасности обеспечиваемого ею разграничения доступа. Ключевые слова: атрибутное разграничение доступа (ABAC), типизированное атрибутное разграничение доступа (ТАРД), Дискреционное разграничение доступа (DAC), Мандатное разграничение доступа (MAC), Ролевое разграничение доступа (RBAC), политика разграничения доступа, язык спецификации, моделирование.

Введение. Значение разграничения доступа для защиты информации. Область применения разграничения доступа

Методы предоставления доступа к информации в вычислительных средах становятся сервисно-ориентированными, что позволяет эксплуатировать одни и те же ресурсы в режиме совместного использования и требуют обеспечения их защиты путем организации разграничения доступа на основе общих правил, оформляемых в виде политик разграничения доступа, которые определяют доступ различных категорий пользователей к ресурсам разных видов согласно предоставленным полномочиям с одновременным запретом несанкционированного доступа.

Подавляющее большинство приложений снабжаются средствами контроля доступа в той или иной форме. Системы разграничения доступа являются важнейшими и наиболее подверженными рискам компонентами систем защиты.

Актуальность проблемы защиты, и, следовательно, требования к политикам разграничения доступа растут по мере увеличения объемов хранимых данных и роста сложности программного обеспечения для их обработки.

В крупномасштабных системах возникает необходимость идентификации ресурсов и пользователей наборами характеристик, требующих оценки для принятия решения о предоставлении доступа субъектов к объектам.

1. Основные модели разграничения доступа. Задачи, требующие решения при разработке новых моделей.

С начала 1970-х годов было разработано много моделей, основными из которых являются модели дискреционного разграничения доступа DAC (Discretional Access Control),

мандатного разграничения доступа MAC (Mandatory Access Control) и ролевого разграничения доступа RBAC (Role Based Access Control), которые недостаточно обеспечивают безопасность защищаемых ими информационных ресурсов [1-3].

Задача идентификации сущностей.

Задачи идентификации сущностей в этих моделях выполняются путем присвоения субъектам и объектам уникальных имен, ввиду чего модели называют идентификаторными. Доступ субъекта к объекту осуществляется на основе проверки имен или приписанных им ролей.

Основным недостатком данных моделей является то, что они не учитывают дополнительных параметров разграничения доступа, что ведет к «грубому» разграничению доступа («coarse-grained access control») и служит причиной появления «избыточности прав доступа» у пользователей. Возникает необходимость решать вопросы идентификации путем обеспечения наименований, отражающих все характеристики сущностей.

Применение интегрированных политик разграничения доступа.

Следующим недостатком является недостаток гибкости. Единственной политики безопасности, предоставляемой традиционными моделями DAC, MAC, RBAC в автономных приложениях, недостаточно для защиты данных в сложных системах, требующих интегрированных политик разграничения доступа для одновременного выполнения различных критериев защиты. Отмечается необходимость введения новой парадигмы - «множественной политики», означающей, что в системе должна быть предусмотрена возможность применения разных политик авторизации в зависимости от требований безопасности конкретной среды.

Для этого система должна обладать средствами конструирования различных политик без реконфигурации самой системы, что позволяет создавать и применять политики для разграничения доступа по различным признакам, делая защиту многокритериальной.

Наличие средств администрирования.

Как правило, традиционные модели не содержат средств администрирования полномочий. В широкомасштабных системах управление правами большого числа пользователей и машин становится слишком сложным и подверженным ошибкам.

2. Направления исследований в области создания новых моделей. ABAC

Для решения проблем был предложен атрибутный метод разграничения доступа (Attribute Based Access Control, ABAC) [4-6, 14]. Его основу составляет безидентификатор-ный подход, который заключается в обозначении субъектов и объектов наборами атрибутов и позволяющий принимать решение по управлению доступом без предварительного знания субъектов или их отношения к поставщику услуг. Политика авторизации предоставляет группам пользователей определенные виды доступа к заданным объектам на основе оценки значений их атрибутов.

Преимущество ABAC состоит в том, что оно позволяет создавать политики доступа на основе атрибутов пользователей и объектов, а не назначать роли, права собственности или метки безопасности вручную системным администратором. Это упрощает администрирование в сложных системах с большим числом пользователей, устраняя необходимость ручного вмешательства при авторизации, а также создавая возможность автоматизации решения по управлению доступом для удаленных пользователей из других доменов.

Система именования сущностей атрибутами обеспечивает «точное» разграничение доступа («fine-grained access control»), не допуская избыточных прав доступа.

Языки спецификации моделей ABAC дают гибкость и выразительную мощность описаниям политик безопасности. При этом многие из них разрешают моделировать традиционные методы разграничения доступа - DAC, MAC, RBAC.

За последнее время было разработано множество ABAC-моделей, как базовых, так и специализированных Их объединяет то, что они могут рассматриваться в качестве основополагающих моделей нового направления защиты, способных решать поставленные задачи.

Преимущество данного подхода для представления атрибутных политик разграничения доступа заключается в его простоте и легкости использования. Создание новых правил авторизации не представляет трудностей, так как не включает дополнительных расходов, требуемых, например, для инжиниринга ролей в RBAC. Эти правила способны гибко и в сжатой форме описывать даже сложные политики.

С другой стороны, создание выразительных вычислительных языков для спецификации атрибутных правил разграничения доступа делает задачи вычисления значений разнородных атрибутов в процессе конструирования и выполнения политик NP-полными или даже неразрешимыми, что служит, вместе с отсутствием формальных определений и сложностью администрирования, главным препятствием широкому применению моделей ABAC.

3. Типизированное атрибутное разграничение доступа

Авторами ведутся работы по созданию новых моделей разграничения доступа, обеспечивающих надежное совместное использование информационных ресурсов и отвечающих требованиям универсальности и гибкости управления безопасностью [7-14].

Создаваемые модели призваны решать задачи:

- идентификации сущностей, исключающей избыточность прав доступа;

- обеспечения возможностей динамического конструирования политик,

- использования множественных политик в рамках одной системы.

Создано описание и формальное представление разрабатываемого метода и модели типизированного атрибутного разграничения доступа (ТАРД).

Модель ТАРД принадлежит классу моделей ABAC, но, в отличие от ABAC, атрибутам безопасности сущностей ТАРД приписываются определенные типы. Она может быть отнесена к разряду моделей разграничения доступа общего назначения, основанных на логических формулах.

Каждая сущность e в ТАРД идентифицируется одним или несколькими атрибутами:

в:Тг, 1=1

имеющими значения, принадлежащие независимым типам Ти Решение о возможности доступа принимается на основе обработки однотипных атрибутов пары субъект-объект. Модель ТАРД определяется как кортеж независимых типов

T = (Ti), i=l,N.

Тип Ti, представляющий собой сложный математический объект, включающий структурированный домен значений вместе с заданными на нем операциями, является механизмом, реализующим политику разграничения доступа в соответствии с определенным критерием.

Рассмотрим тип Ti, обозначив его T. T служит ограничением на значения атрибутов и круг операций с атрибутами данного типа. Данное обстоятельство лежит в основе принципа безопасности моделей ТАРД.

Формально тип определяется следующим образом:

T = (Dom, Op),

где Dom -структурированный домен:

Dom = (D, Est).

D - полное частично упорядоченное отношением предшествования Е множество названий всевозможных операций и их групп, разрешаемых субъектам для осуществления над объектами после получения доступа, и сгруппированных в соответствии с выбранной структурой домена Estr.

Str = (Set, List, Tree) означает вид структуры: Set - «множество», List - «список», Tree-«дерево». Спецификация политики безопасности P(T) задается конкретным видом структуры Str и значениями узлов домена типа T, а также видом соответствующих данной структуре операций. Структура Set может быть использована для моделирования политик DAC, List- для политик MAC, а Tree - для политик RBAC.

Набор Op включает операцию типизации Type и операцию доступа Acc:

Op = (Type, Acc),

Операция типизации Type(e) = e:T присваивает сущности е атрибут типа T в виде ее метки безопасности, имеющей вид некоторого элемента домена или структурированного подмножества узлов, подчиненных данному элементу.

Множественная метка безопасности сущности e в виде кортежа (e: Ti, ..., e:TK) присваивается в результате применения операций типизации независимых типов Ti, ..., Tk.

Семантика метки безопасности субъекта содержит информацию о названиях операций, разрешенных данному субъекту. В свою очередь, семантика метки безопасности объекта содержит сведения об операциях, которые можно производить над данным объектом.

Операция доступа Асс сравнивает метки безопасности субъекта и объекта одинаковых типов, устанавливая факт наличия отношения Е между ними, и разрешает/отвергает доступ субъекта к объекту. Истинностное значение результата означает разрешение на доступ субъекту s к объекту o:

Acc(Type(s), Type (o)) = true/false.

В целом семантика модели ТАРД представляет собой значения меток безопасности субъектов и объектов и результатов их сравнения на разных стадиях ее функционирования.

Механизм разграничения доступа по критерию, задаваемому типом T, можно представить в обобщенном виде следующим образом: Acc(Type(s), Type(o)) = true, если выполняется Type(o) EType(s), и false во всех остальных случаях.

Одновременное выполнение критериев всех типов Ti атрибутов пары субъект-объект после выдачи субъектом s запроса на доступ к объекту o

Acc(Typei(s), Type1(o)) = true, i=l,K

обеспечивает разграничение доступа по ряду критериев, реализуя таким образом парадигму «множественной политики».

Модель ТАРД имеет многоуровневое определение, которое позволяет конструировать типы, представляющие собой различные политики безопасности, в процессе функционирования системы:

T = (Tmeta, Tobj, Tam),

где META - метауровень, OBJ - объектный уровень, AM - уровень матрицы доступа.

На уровне META тип представлен метатипом Tmeta, являющимся обобщенным представлением политики Pmeta(T). Он служит для порождения политик типизированного атрибутного разграничения доступа объектного уровня Pobj(T).

Типы объектного уровня TOBJ представляют собой ряд конкретных политик разграничения доступа Pobj(T), получаемых из метаполитики Pmeta(T).

Тип Там уровня АМ является реализацией политики типизированного атрибутного разграничения доступа Ров^Т) в виде множества типизированных переменных, образующих матрицу доступа.

Каждый уровень описывается с помощью языка логической спецификации 7^, включающей язык Ь с алфавитом, представленным доменом Б и правилами грамматики - операциями типа Т, а также аксиомами Ах и правилами вывода 1п/:

7Ь = (Ь, Ах. 1гф.

Функционирование многоуровневой модели ТАРД заключается в моделировании семантики следующего уровня путем интерпретации модели, представляющей предыдущий уровень.

В процессе работы на разных уровнях модель выполняет различные функции.

На уровне META осуществляется конструирование семантики уровня OBJ в виде типа Tobj специальной операцией интерпретации ¡мЕтлфош, Str, Op), которое заключается в определении вида структуры StrдоменaDom типа Tobj как подструктуры домена Боштипа Tmeta, присвоении значений его элементам и определении вида соответствующих операций Op.

В результате создаются различные виды моделей разграничения доступа Tobj, предназначенные для выполнения политик разграничения доступа P1obj(T) :

Tmeta {l{DomORJ, StrOBJ, OpOBJ)) ^ T1obj, 1=1, K, K ф N.

Формирование матрицы доступа осуществляется операциями Type сконструированных моделей Tobj. При этом производится присвоение полномочий сущностям в виде их меток безопасности:

ToBJ(Type(e)) ^ Tam.

На уровне AM производится обработка создаваемой матрицы доступа путем выдачи разрешения на доступ согласно критерию, задаваемому типом Tobj, в результате выполнения операции доступа Acc:

TAM(Acc(TypeOBJ(s), TypeOBJ(o))) ^ {true, false}.

OBJ/

Модели Тошмогут выполняться как последовательно, так и параллельно, реализуя все аспекты множественной политики (рис. 1).

Str1, Op1)

TMETA

|\ 1

StrK, OpK)

Рисунок 1: Уровни представления и функционирования модели ТАРД

Архитектура модели ТАРД содержит:

- средства определения возможности доступа субъектов к объектам в соответствии с их полномочиями;

- средства двухступенчатого администрирования - для конструирования политик авторизации и для управления идентификацией сущностей в процессе разграничения доступа.

Модель ТАРД обладает следующими характеристиками:

- принцип обработки атрибутов одинаковых типов является предпосылкой обеспечения скорости вычисления их значений;

- имеет возможность формального доказательства правильности решений о предоставлении доступа, используя дедуктивный аппарат логической спецификации модели;

- обеспечивает наглядность и контроль процесса администрирования;

- способна динамически конструировать новые модели разграничения доступа вместе с возможностью моделировать традиционные DAC, MAC, RBAC;

- модель непосредственно реализуема на языках функционального и логического программирования с использованием аппарата программирования в ограничениях.

Перечисленные особенности позволяют использовать системы типизированного атрибутного разграничения доступа в качестве центров управления политиками безопасности, создаваемых в локальных и глобальных вычислительных средах.

Заключение

Приведен перечень недостатков традиционных моделей и пути их преодоления. Сформулированы требования, обеспечивающие гибкость управления безопасностью, универсальность и удобство администрирования, которым должны отвечать модели разграничения доступа, функционирующие как в локальных, так и распределенных гетерогенных средах.

Описана разрабатываемая в настоящее время модель типизированного атрибутного разграничения доступа, показано, что она отвечает основным требованиям построения моделей, обеспечивающим безопасное пользование разделяемыми ресурсами.

Список литературы

1 Sandhu R.S., Samarati P. Access control: principle and practice. Communications Magazine, IEEE, 32(9):40-48, 1994.

2 Hosmer H. 1993. The multipolicy paradigm for trusted systems. In Proceedings on the 19921993 workshop on New security paradigms (NSPW '92-93), J. Bret Michael, Victoria Ashby, and Catherine Meadows (Eds.). ACM, New York, NY, USA, 19-32. DOI=http://dx.doi.org/10.1145/283751.283768

3 David F. Ferraiolo, Ravi Sandhu, Serban Gavrila, D. Richard Kuhn, and Ramaswamy Chan-dramouli. 2001. Proposed NIST standard for role-based access control. ACM Trans. Inf. Syst. Secur. 4, 3 (August 2001), 224-274. DOI: https://doi.org/10.1145/501978.501980

4 Karp A., Haury H., Davis M. (2010). From ABAC to ZBAC: The evolution of access control models. ISSA (Information Systems Security Association) Journal. 8. 22-30.

5 Hu V. C., Ferraiolo D., Kuhn R., Schnitzer A., Sandlin K., Miller R., and Scarfone K. Guide to attribute based access control (ABAC) definition and considerations. NIST Special Publication, 800:162, 2014. http://dx.doi.org/10.6028/NIST.SP.800-162

6 Fisher B., Brickman N., Burden P., Jha S., Johnson B., Keller A., Kolovos T., Umarji S., Weeks S. Attribute Based Access Control. NIST Special Publication 1800-3, 2017. https://www.nccoe.nist.gov/publication/1800-3/ (Accessed August 2018).

7 Калимолдаев М. Н., Бияшев Р.Г., Рог О. А. Формальное представление функциональной модели многокритериальной системы разграничения и контроля доступа к информационным ресурсам // Проблемы информатики. - 2014. - № 1(22). - с. 43-55.

8 Бияшев Р.Г., Калимолдаев М. Н., Рог О. А. полиморфная типизация сущностей и задача конструирования механизма многокритериального разграничения доступа. // известия нан рк. серия физико-математическая. - 2014. - № 5. - с. 33-41.

9 Бияшев Р.Г., Калимолдаев М.Н., Рог О.А. Логический подход к организации многокритериального атрибутного разграничения доступа. // Совместный выпуск по материалам международной научной конференции «Вычислительные и информационные технологии в науке, технике и образовании» (CITech-2015) (24-27 сентября 2015 г.) Вычислительные технологии т.20, Вестник КазНУ им. Аль-Фараби. Сер.: математика, механика и информатика №3(86) Часть 1. - С.275-278.

10 Бияшев Р.Г., Калимолдаев М.Н., Рог О.А. Моделирование семантики типизированного атрибутного разграничения доступа // Проблемы информатики, - 2017, № 1. С. 25-37.

11 Калимолдаев М.Н., Бияшев Р.Г., Рог О.А. Применение логики для построения моделей разграничения доступа к информации // «Доклады Национальной Академии Наук Республики Казахстан» 2017, №3. С. 48-54.

12 Калимолдаев М.Н., Бияшев Р.Г., Рог О.А. Основы архитектуры программных систем для осуществления типизированного атрибутного разграничения доступа // Современные проблемы информатики и вычислительных технологий: Мат. науч. конф. (29-30 июня 2017 г). - Алматы, 2017, - С. 88-95.

13 Калимолдаев М.Н., Бияшев Р.Г., Рог О.А. Многоуровневое представление модели типизированного атрибутного разграничения доступа // Современные проблемы информатики и вычислительных технологий: (Мат. Науч. Конф. 2-5 июля 2018 г.) - Алматы: ИИВТ МОН РК. 2018. - С. 111-120.

14 Калимолдаев М.Н., Бияшев Р.Г., Рог О.А. Анализ атрибутных методов разграничения доступа // Прикладная дискретная математика, - 2019, Вып. 44. С. 43-58.

Калимолдаев Максат Нурадилович - д.ф-м.н., акад. НАН РК, ген. директор Института информационных и вычислительных технологий КНМОН РК;

email: mnk@ipic.kz;

Бияшев Рустем Гакашевич - д-р техн. наук, проф., зав. лабораторией Института информационных и вычислительных технологий КН МОН РК; email: brg@ipic.kz;

Рог Ольга Алексеевна - науч. сотр. Института информационных и вычислительных технологий КН МОН РК; email: o.a.rog@mail.ru