Теоретические сведения

Дискреционные модели управления доступом доступа

Основой дискреционных моделей является идея создания системы за­щиты в виде некоторого декартова произведения множеств. При этом состав­ные части системы защиты - субъекты, объекты, уровни доступа, операции и т.д. - это составные части множеств. В качестве математического аппарата вы­ступает аппарат теории множеств.

Примерами хорошо разработанных дискреционных моделей являются: АДЕПТ-50, пятимерное пространство безопасности Харрисона и модель Харри­сона-Руззо-Ульмана.

Модель Харрисона-Руззо-Ульмана

Харрисон, Руззо и Ульман разработали модель безопасности (модель Харрисона-Руззо-Ульмана) для проведения исследований дискреционного управления доступом.

Состояние системы характеризуется тройкой (S, О, М), где S - множество субъектов, О - множество объектов (в О могут входить и субъекты), М - матри­ца доступа. Матрица М включает по одной строке для каждого субъекта и по одному столбцу для каждого объекта. Ячейка такой матрицы M[s, о] содержит права доступа субъекта s к объекту о. Права доступа входят в конечный набор прав А.

Состояние системы изменяется под действием запросов на модифика­цию матрицы доступа М. Запросы к системе в модели Харрисона-Руззо-Ульмана выражаются в следующей форме:

if a₁ in M[s₁,o₁] and

a₂ in M[s₂,o₂] and

a₃ in M[s₃,o₃] and

…………

a_m in M[s_m,o_m]

then

op_1,

op_2,

op_3,

_{……………}

op_n

Причем аiA, операция op_i является одной из следующих примитив­ных операций:

• enter a into (s, о);

• delete a from (s, о);

• create subject s;

• create object o;

• destroy subject s;

• destroy object о

Тогда для систем с начальной конфигурацией Q₀ и права а, можно сказать_, что Q₀ безопасна для а, если не существует последовательности запро­сов к системе, которые приводят к записи права а в не содержащую его ячейку матрицы М.

Проблема безопасности заключается в ответе на следующий вопрос: существует ли какое-либо достижимое состояние, в котором конкретный субъ­ект обладает конкретным правом доступа к определенному объекту? Харрисон, Руззо и Ульман доказали две фундаментальные теоремы о сложности пробле­мы безопасности.

Первая гласит, что проблема безопасности разрешима для моноопера­ционных систем, т.е. для систем, в которых запросы содержат лишь одну при­митивную операцию. Вторая утверждает, что проблема безопасности не разрешима в общем случае.

Эти выводы поставили разработчиков перед дилеммой:

• с одной стороны, модель Харрисона-Руззо-Ульмана в ее полном ва­рианте позволяет реализовать множество политик безопасности, но тогда проблема безопасности становится неразрешимой (по второй теореме);

• с другой стороны, проблема безопасности разрешима для моноопера­ционных систем (первая теорема), но тогда модель получается слиш­ком слабой для реализации большинства политик. Например, моно­операционные системы не позволяют воплотить политику, которая на­деляла бы субъекта специальными правами доступа к дочернему объ­екту, т.к. отсутствует единая операция создания объекта и обозначе­ния его принадлежности к субъекту-родителю. В таком случае невоз­можно отличить потомков одного предка от потомков другого. Это при­водит к тому, что операция create становится, по существу, бесполез­ной.

Харрисон, Руззо, Ульман также показали, что безопасными помимо монооперационных являются системы, которые:

• не содержат операций create;

• являются или монотонными (не содержат операций destroy и delete), или моноусловными (условная часть запроса содержит, как максимум, один элемент) одновременно.

Однако такие системы сильно ограничены в возможностях. Безопасность даже для монотонных систем становится неразрешимой, если мы позволим осуществление биусловных запросов (условная часть запроса содержит, как максимум, два элемента).

Достоинства дискреционных моделей

В качестве достоинств дискреционных моделей можно отметить сле­дующее:

• хорошая гранулированность защиты;

• простота реализации.

Недостатки дискреционных моделей

Самым крупным недостатком дискреционных моделей, в частности мо­дели Харрисона-Руззо-Ульмана, является наличие проблемы троянских коней.

Троянская программа (троянский конь) - программа, которая «на по­верхности» выполняет одно действие (например, редактирование файла), а «в глубине» производит нечто неожиданное и нежелательное (например, переда­ет нелегальному пользователю право чтения). Пользователь запускает какую-нибудь программу на компьютере. Это инициирует последовательность опера­ций, зачастую скрытых от его взора. Такие процессы управляются операцион­ной системой. Троянские кони рассчитывают на то, что когда пользователь вы­зывает такой набор операций, он обычно верит в то, что система произведет все, как полагается.

Результаты исследования модели Харрисона-Руззо-Ульмана показали, что сложно предсказать, каким образом будут распределяться права доступа в данной модели, даже если мы имеем полное представление о программах, от­ветственных за распределение прав. Например, пользователь имеет право на запуск программы другого пользователя. Первый пользователь может не знать, что эта программа без явных указаний передаст набор его прав второму.

Однако троянские кони ограничены схемой авторизации, т.е. набором прав в системе. Они могут модифицировать состояние системы, используя только те команды, которые доступны им в текущем состоянии.

Все это позволяет сделать следующий вывод: модель Харрисона-Руззо-Ульмана обладает большими выразительными свойствами, но чрезвычайно слабыми защитными характеристиками. Ограничения, вводимые с целью по­вышения защитных свойств, приводят к снижению практического эффекта мо­дели. Не существует какого-либо общего случая модели Харрисона-Руззо-Ульмана, для которого проблема безопасности была бы эффективно разреши­ма.