захисту, що перекривають однi й тi ж канали несанкцiонованого доступу до одного й того ж об'¹кта захисту.

3.4 Моделi забезпечення цiлiсностi

Два джерела розвитку моделей: модель Белла-ЛаПадули та модель Кларка-Вiльсона.

3.4.1 Модель Байба

При розглядi моделi Белла-ЛаПадули було показано, що важливiсть або чутливiсть суб'¹ктiв та об'¹ктiв пiдвищу¹ться з ростом в i¹рархi¨ рiвнiв безпеки. При розглядi моделей контролю цiлiсностi запис наверх може представляти загрозу у тому випадку, якщо суб'¹кт з низьким рiвнем безпеки спотворю¹ або знищу¹ данi в об'¹ктiв, що лежить на бiльш високому рiвнi. Тому, виходячи iз задач цiлiсностi, можна вимагати щоб такий запис був заборонений. Виходячи з такого аргументу можна розглядати читання знизу як потiк iнформацi¨, що йде вiд суб'¹кта нижнього рiвня та порушу¹ цiлiснiсть об'¹кта високого рiвня. Тому дуже ймовiрно, що таке читання потрiбно заборонити.

Два таких спостереження зробив в серединi 1970-х рокiв Кен Байба. Вони були послiдовно внесенi в модель безпеки, яка з тих пiр назива¹ться моделлю цiлiсностi Байба (або просто моделлю Байба). Байба виразив свою модель таким же чином, яким була виражена модель Белла-ЛаПадули, за тим винятком, що правила його моделi ¹ повною протилежнiстю до правил моделi БеллаЛаПадули. Звичайно розглядають двi варiацi¨ моделей Байба:

•мандатнi моделi цiлiсностi;

•моделi iз змiнними рiвнями суб'¹ктiв та об'¹ктiв.

Фактично, загальний термiн модель Байба використову¹ться для будь-яко¨ або вiдразу усiх моделей. Для мандатно¨ моделi цiлiсностi пропону¹ться формальний опис та нада¹ться приклад системи, що задовольня¹ моделi Байба для iлюстрацi¨ визначення.

Мандатну модель Байба часто називають iнверсi¹ю моделi Белла-ЛаПадули [28]. Це достатньо точна назва, оскiльки

основнi правила цi¹¨ моделi перевертають правила моделi БеллаЛаПадули. На цi правила звичайно посилаються як нема читання знизу (NRD) i нема запису наверх (NWU) та визначають ¨х у термiнах суб'¹ктiв, об'¹ктiв i нового типу рiвнiв безпеки рiвнiв цiлiсностi, над якими може бути введеним вiдношення переваги.

Правило NRD мандатно¨ моделi цiлiсностi Байба визнача¹ться як заборона суб'¹ктам на читання iнформацi¨ з об'¹кта з бiльш низьким рiвнем цiлiсностi. NRD ¹ повною протилежнiстю правилу нема читання наверх (NRU) моделi Белла-ЛаПадули, за виключенням того, що тут використовуються рiвнi цiлiсностi, а не безпеки, як у моделi Белла-ЛаПадули.

Правило NWU мандатно¨ моделi цiлiсностi Байба визнача¹ться як заборона суб'¹ктам на запис iнформацi¨ в об'¹кт з бiльш високим рiвнем цiлiсностi. Це правило повною протилежнiстю правилу нема запису вниз (NWD) моделi Белла-ЛаПадули, для випадку рiвнiв цiлiсностi, а не безпеки.

Однi¹ю з переваг цi¹¨ моделi ¹ те, вона успадкувала багато важливих характеристик моделi Белла-ЛаПадули, включаючи ¨¨ простоту та iнту¨тивнiсть. Це значить, що проектувальники реальних систем можуть легко зрозумiти суть цих правил та використати ¨х для прийняття рiшень при проектуваннi. Окрiм того, оскiльки мандатна модель цiлiсностi Байба, подiбно до моделi Белла-ЛаПадули, заснована на простiй i¹рархi¨, ¨¨ легко пояснити та зобразити користувачам системи.

З iншо¨ сторони, модель представля¹ собою очевидне протирiч- чя з правилами NRU та NWD. Це значить, що якщо необхiдно побудувати систему, яка попереджу¹ загрози як секретностi так i цiлiсностi, то одночасне використання правил моделей БеллаЛаПадули i Байба може призвести до ситуацi¨, у якiй рiвнi безпеки та цiлiсностi можуть використовуватися протилежними способами.

Формально модель Байба можна описати простими математичними конструкцiями, якi допоможуть визначити рiзноманiтнi правила, що складають мандатну модель цiлiсностi Байба.

Почати можна з представлення множини суб'¹ктiв та об'¹ктiв. Рiвнi цiлiсностi суб'¹кта та об'¹кта x позначаються як (x), i для них введене вiдношення переваги. Використовуючи цi визначення,

сформулю¹мо NRD i NWU мандатно¨ моделi цiлiсностi Байба в термiнах булево¨ функцi¨ дозволити :

NRD: s ñóá'¹êòè, o îá'¹êòè:

Дозволити (s, o, читання) якщо i тiльки якщо рiвень (o) переважа¹ рiвень (s).

Даний тип визначення передбача¹ умови, при яких функцiядозволити прийма¹ значення iстинно. Визначення стверджу¹, що для всiх визначених суб'¹ктiв i об'¹ктiв операцiя читання дозволена тiльки у тому випадку, якщо викону¹ться умова переваги. Правило NWU просто переверта¹ використання вiдношення переваги, як показано у наступному визначеннi:

NWU: s ñóá'¹êòè, o îá'¹êòè:

Дозволити (s, o, запис) якщо i тiльки якщо рiвень (s) переважа¹ рiвень (o).

Це визначення стверджу¹, що для усiх визначених суб'¹ктiв та об'¹ктiв операцiя запису дозволя¹ться тiльки у тому випадку, якщо викону¹ться умова переваги. Подiбнiсть визначення цих двох правил правилам моделi Белла-ЛаПадули може представити зручний спосiб для проектувальникiв системи передбачити можливiсть пере конфiгурування правил моделi Белла-ЛаПадули таким чином, що пiдтримувати модель цiлiсностi Байба.

3.4.2Моделi iз змiнними рiвнями суб'¹ктiв та об'¹ктiв

3.4.2.1. Модель пiдвищення рiвня суб'¹кта

Дана модель Байба поляга¹ у невеликому послабленнi правила читання знизу. Мандатна модель доступу не дозволя¹ суб'¹ктам з високою цiлiснiстю читати iнформацiю з об'¹ктiв з бiльш низькою цiлiснiстю [28]. Це правило гаранту¹, що iнформацiя з об'¹кта з низькою цiлiснiстю не порушить цiлiсностi суб'¹кта. Проте в моделi пониження рiвня суб'¹кта, суб'¹кту дозволя¹ться здiйснювати читання знизу, але в результатi такого читання рiвень цiлiсностi суб'¹кта понижу¹ться до рiвня цiлiсностi об'¹кта.

Мотивом для введення такого правила може бути те, що суб'¹- кти з високою цiлiснiстю розглядаються як чистi. Коли до чистого

суб'¹кта попада¹ iнформацiя з менш чистого джерела, то його рiвень цiлiсностi повинен бути вiдповiдно змiненим.

Однi¹ю з цiкавих характеристик цi¹¨ моделi ¹ те, що вона не наклада¹ нiяких обмежень на те, що суб'¹кт може прочитати. Якщо, наприклад, суб'¹кт нiколи не повинен переходити на бiльш низький рiвень цiлiсностi, то не слiд використовувати цю модель, оскiльки вона може привести до такого порушення. Якщо все ж ця модель реалiзована в реальнiй системi, то необхiдно провести деякi додатковi заходи, що, що попереджують суб'¹кт про можливi наслiдки виконання таких операцiй читання перед тим, як вони будуть виконаними.

Слiд також зазначити, що модель припуска¹ монотонну змiну рiвнiв цiлiсностi суб'¹ктiв. Тобто, рiвнi цiлiсностi суб'¹ктiв або залишаються незмiнними або понижуються. Iншими словами, цiлiснiсть суб'¹кта залиша¹ться попередньою або зменшиться, оскiльки модель не передбача¹ механiзмiв пiдвищення рiвня безпеки су- б'¹кта.

3.4.2.2. Модель зниження рiвня об'¹кта

Iнший тип моделi Байба [28] поляга¹ у деякому послаблень правила для запису наверх. Тобто, замiсть повно¨ заборони на запис наверх, ця модель дозволя¹ такий запис, що знижу¹ рiвень безпеки об'¹кта до рiвня безпеки суб'¹кта, що здiйсню¹ запис.

Вона не наклада¹ нiяких обмежень на те, суб'¹кт може читати або писати. Тому такi ситуацi¨, коли спотворення об'¹кта i пониження його рiвня цiлiсностi можуть викликати серйознi наслiдки, що не допускають використання цi¹¨ моделi Проте, якщо дана модель використову¹ться в реальнiй системi, то необхiдно покласти на су- б'¹кти вiдповiдальнiсть за деградацiю об'¹кта з високою цiлiснiстю. Для реалiзацi¨ цього необхiдно використати додатковi засоби оброблення.

У данiй моделi здiйсню¹ться монотонне зниження рiвня цiлiсностi об'¹ктiв. У нiй не передбачено нiяких механiзмiв для пiдвищення рiвня цiлiсностi об'¹кта. Можливе спiльне використання моделей пониження рiвня суб'¹кта i об'¹кта в однiй системi.

кументообiгу в комерцiйних компанiях [29]. На вiдмiну вiд моделей Байба та Белла-ЛаПадули, вона орi¹нтована на потреби комерцiйних замовникiв, i, за думкою авторiв, ¹ бiльш адекватною до ¨х вимог, нiж комерцiйна модель цiлiсностi на основi решiток. Основнi поняття дано¨ моделi це коректнiсть транзакцiй та розмежування функцiональних обов'язкiв. Модель зада¹ правила функцiонування комп'ютерно¨ системи та визнача¹ двi категорi¨ об'¹ктiв даних та два класи операцiй над ними.

Усi данi, що мiстяться у системi, подiляються на контрольованi та неконтрольованi елементи даних (constrained data items CDI i unconstrained data items UDI вiдповiдно. Останнi мiстять iнформацiю, цiлiснiсть яко¨ в рамках дано¨ моделi не контролю¹ться (цим i визнача¹ться вибiр технологi¨).

У подальшому модель вводить два класи операцiй над елементами даних: процедури контролю цiлiсностi (integrity veri cation procedures IVP) i процедури перетворення (transformation procedures TP). Першi з них забезпечують перевiрку цiлiсностi контрольованих елементiв даних (CDI), iншi змiнюють склад множини усiх CDI (наприклад, перетворюючи елементи UDI в CDI).

Нарештi, модель мiстить дев'ять правил, що визначають вза¹модi¨ елементiв даних та процедур у процесi функцiонування системи.

Правило С1. Множина усiх процедур контролю цiлiсностi (IVP) повинна мiстити процедури контролю цiлiсностi будь-якого елемента даних з множини усiх CDI.

Правило С2. Усi процедури перетворення (TP) повиннi бути реалiзованими коректно у тому сенсi, що не повиннi порушувати цiлiсностi CDI, що оброблю¹ться ними. Крiм того, с кожною процедурою перетворення повинен бути зв'язаний список елементiв CDI, якi допустимо оброблювати даною процедурою. Такий зв'я- зок установлю¹ться адмiнiстратором безпеки.

Правило Е1. Система повинна контролювати допустимiсть застосування TP до елементiв CDI вiдповiдно до спискiв, що вказанi у правилi С2.

Правило Е2. Система повинна пiдтримувати список процедур перетворення, дозволених конкретним користувачам, iз зазначенням допустимого для кожного TP i даного користувача набору

елементiв CDI, що пiдлягають обробцi.

Правило С3. Список, визначений правилом С2, повинен вiдповiдати вимозi розмежування функцiональних обов'язкiв.

Правило Е3. Система повинна автентифiкувати усiх користувачiв, що пробують виконати будь-яку процедуру перетворення.

Правило С4. Кожна TP повинна записувати в журнал ре¹страцi¨ iнформацiю, достатню для вiдновлення повно¨ картини кожного застосування цi¹¨ TP. Журнал ре¹страцi¨ це спецiальний елемент CDI, призначений для додавання до нього iнформацi¨.

Правило С5. Будь-яка TP, що обробля¹ елемент UDI, повинна виконувати тiльки коректнi перетворення цього елементу, у результатi яких UDI перетворю¹ться в CDI.

Правило Е4. Тiльки спецiальна уповноважена особа може змiнити списки, визначенi у правила С2 i Е2. Ця особа не ма¹ права виконувати будь-якi дi¨, якщо вона уповноважена змiнювати списки, що регламентують цi дi¨.

3.4.4 Модель контролю цiлiсностi ядра системи

Модель, яка реалiзована на програмно-апаратному рiвнi су- часних центральних процесорiв (наприклад, процесорiв компанi¨ Intel) [30].

Данi та програми можна органiзувати в i¹рархiчнi кiльця , i користувачам дозволя¹ться здiйснювати доступ тiльки до кiлець на сво¹му або бiльш високому рiвнi. Кiльця забезпечують апаратну iзоляцiю серед програм на рiзних рiвня роздiлення (рис. 3.13) Коротко опишемо реалiзацiю кiлець на центральному процесорi ЕОМ Honeywell 6180. На початку викладу спростимо деякi припущення.

Кожний дескриптор та традицiйний апаратний лiчильник адрес доповню¹ться номером кiльця (рис. 3.14 i 3.15).

Кожний сегмент признача¹ться одному i тiльки одному кiльцю. Чим менший номер кiльця для виконувано¨ процедури, тим бiльше ¨¨ привiле¨ для здiйснення доступу. Виконувана процедура

êiëüöÿ i не ма¹ доступу нi до якого сегмента у кiльцi j ïðè j < i. З iншо¨ сторони, якщо i < k, процедура, що викону¹ться у кiльцi i, ма¹ обмежений доступ до сегмента у кiльцi k (визнача¹ться

Ðèñ. 3.13. Групи сегментiв, що iлюстрованi як вiдповiдний ¨м набiр концентричних кiлець

Початок сегмента Довжина Iндикатор доступу Номер кiльця

Ðèñ. 3.14. Дескриптор з номером кiльця

iндикаторами доступу в другому з названих дескрипторiв). Проста схема, описана вище, генеру¹ переривання кожний раз,

коли операцiйна система ма¹ доступ до сегмента даних. Таким чи- ном, суть справи трохи ускладню¹ться. Припустимо, що кожна процедура признача¹ться не одному кiльцю, а послiдовному набору кiлець, що назива¹ться ¨¨ обмежувачем доступу. Тодi рис. 3.14 буде виглядати наступним чином:

Тут нема нiякого захоплення, коли процедура P у кiльцi пробу¹ читати сегмент даних на рiвнi j (n1 ≤ j ≤ n2) (ðèñ. 3.17):

P знаходиться усерединi видiленого жирною рискою кiльця i може читати тiльки в D (затемнена область); вона може i не записувати в D.

Процедура P ó êiëüöi i може також записувати в D, ÿêùî i ≤

n1, за умови, що iндикатор читання-запису включений (рис. 3.18): P знаходиться у видiленому кiльцi. P може читати або запису-

вати у заштриховану область D. Вона може зовсiм не мати доступу

Ðèñ. 3.17.

Ðèñ. 3.18.

тнi мiжнароднi органiзацi¨ iз захисту визначали розкриття та цiлiснiсть як основнi загрози. У результатi, бiльшiсть коштiв, що видiлялися на дослiдження, витрачалися саме на ведення робiт у цих напрямках. Iнша причина поляга¹ у тому, що оскiльки вiдмова в обслуговування тiсно зв'язана з вiдповiдними поняттями доступностi системи та розробки систем реального часу (що багато рокiв вивчалися дослiдниками та розробниками), дослiдники безпеки все ж повиннi знайти вiдповiдну нiшу у цiй галузi аналiзу

Ðèñ. 3.19.

Початок сегмента Довжина Iндикатор доступу n1 n2 n3

Ðèñ. 3.20. Реальний дескриптор Honeywell 6180 з обмежувачем виклику

обчислювальних систем [28].

Незважаючи на це у галузi доступностi (вiдмови у обслуговуванi) були зробленi деякi наступнi кроки. Визначенi основнi поняття, зв'язанi з описом та попередженням загрози вiдмови в обслуговуваннi (ВВО). Зокрема, визначений ряд термiнiв, серед яких важливе мiсце займа¹ поняття максимального часу очiкування. Представлена мандатна модель забезпечення доступностi нiяких вiдмов наверх (NDU) та порiвняна з аналогiчними моделями безпеки. Модель розподiлу ресурсi Мiллена можна також використати для опису моделей i стратегiй ВВО.

Ðèñ. 3.21.

Ðèñ. 3.22.

3.5.1Основнi поняття щодо забезпечення доступностi

Для того, щоб зрозумiти загрозу доступностi (вiдмови в обслуговування) необхiдно вiдзначити, що безпечнi системи ¹ промiжною ланкою при запитування послуг користувачами через монiтор пересилок. Такий промiжний монiтор пересилок дозволя¹ розглянути запити послуг у термiнах просто¨ моделi, у якiй користувачi ¹ або заре¹строваними, або незаре¹строваними, або забез-

печуються послугу, яку запитують, або одержують вiдмову. У випадках, коли заре¹строваним користувачам не нада¹ться послуга, яку вони запитують, говорять, що ма¹ мiсце вiдмова в обслуговуваннi [28].

Дослiдниками було вiдзначено, що у поняття надання або вiдмова в обслуговуваннi повинен бути введений час. Додавання ча- су до просто¨ моделi запиту послуг засноване на тому, що кожна послуга повинна бути пов'язаною з деяким перiодом часу, що назива¹ться максимальним часом очiкування (MWT). Для дано¨ послуги MWT визнача¹ться як довжина промiжку часу пiсля запиту послуги, протягом якого вважа¹ться прийнятним надання цi¹¨ послуги.

Можна також трактувати приведене вище визначення поiншому. А cаме, розглядати MWT як перiод часу, протягом якого послуга, на яку робиться запит, не застарiва¹. Тобто, якщо пiсля запиту послуга забезпечу¹ться протягом дуже великого промiжку часу, то може статися так, що ¨¨ не можна бiльше використовувати. Зазначимо, що хоча приведене вище визначення i не виражене у термiнах користувачiв, що роблять запити на послугу. Може статися, що для дано¨ послуги MWT буде рiзним для рiзних користувачiв.

Можна розглянути наступний приклад, що iлюстру¹ MWT. Припустимо, що лiтак ма¹ на борту контролер польоту, який робить що запит на iнформацiю про положення до вузла вимiрювання iнерцi¨ (наприклад, до гiроскопа). Очевидно, що пiд час польоту, iнформацiя про положення повинна видаватися на контролер негайно. Наприклад, якщо контролер робить запит на iнформацiю про положення, у той час, коли лiтак робить поворот у деякому напрямi, то iз-за будь-яко¨ вiдмови iнформацiя застарiва¹ по мiрi того, як змiню¹ться положення лiтака. Таким чином, послузi повинно вiдповiдати маленький MWT, а видавання iнформацi¨ повинне вiдбуватися ранiше, нiж пройде MWT.

На основi визначення MWT, можна ввести точне визначення загрози ВВО. А саме, будемо говорити, що ма¹ мiсце загроза ВВО, усякий раз, коли послуга з вiдповiдним максимальним часом очi- кування (MWT) запиту¹ться заре¹строваним користувачем у момент часу i не нада¹ться цьому користувачевi до моменту часу .

Це означа¹, що вiдповiдi на запити заре¹строваних користувачiв не повиннi запiзнюватися.

При бiльш ретельному розглядi загрози ВВО та запропонованого поняття MWT виникають деякi питання. Наприклад, загрози ВВО можна повнiстю уникнути, якщо визначити MWT для усiх послуг такими, що дорiвнюють нескiнченностi. Проте, такий пiдхiд не годиться для випадкiв, коли величина MWT визнача¹ться деякою значимою оперативною характеристикою середовища (наприклад, як ситуацiя iз змiною iнерцi¨ лiтака). Крiм того, значення MWT можна визначити тiльки для конкретного набору послуг, для яких вiн ¹ необхiдним. Тобто, можна визначити деяку пiдмножину активiв системи як особливо критичну; тодi значення MWT будуть вiдповiдати послугам, зв'язаних з цими активами.

3.5.2 Мандатна модель забезпечення доступностi

Тепер можна описати у загальних рисах мандатну модель ВВО, яка буде включати багато характеристик моделей БеллаЛаПадули та Байба [28]. Система послуг, яка буде використовуватися для представлення цi¹¨ моделi ВВО, виража¹ться у знакових термiнах суб'¹ктiв i об'¹ктiв, якi використовувалися для опису моделей Белла-ЛаПадули та Байба.

Суб'¹ктам системи вiдповiдають прiоритети, якi можуть бути однаковими, нижчими або вищими за прiоритети iншого суб'¹кта. Об'¹ктам вiдповiдають мiри критичностi, що мають вiдповiдну i¹рархiчну структуру. Суб'¹кт може вимагати послуг в обчислювально¨ системи, робити запит на доступ до об'¹ктiв системи. Говорять. Суб'¹кт одержу¹ вiдмову в обслуговуваннi, якщо його запит заре¹стрований, але не задоволений протягом вiдповiдного MWT.

Для опису моделi необхiдно розглянути умови, при яких один суб'¹кт може вiдмовити в обслуговуванi iншому суб'¹кту. Така вiдмова може бути прийнятною для одних випадкiв i цiлком неприйнятною для iнших. Наприклад, адмiнiстратор може мати цiлком пiдходяще виправдання, вiдмовляючи заре¹строваному користувачевi в обслуговуванi, а порушник, як правило, не повинен мати такого виправдання. Правила, що складають модель, спрямованi на те, щоб визначити умови, при яких вiдмова в обслуго-

вуваннi була би недопустимою.

Розглянемо правила, що описують мандатну модель ВВО. Цi правила повиннi описувати вза¹мовiдносини суб'¹ктiв, аналогiчно до вiдносин мiж суб'¹ктами i об'¹ктами в моделях Белла-ЛаПадули та Байба.

Перше правило нiяких вiдмов наверх (NDU) засноване на тому спостереженнi, що нiяким об'¹ктам з бiльш низьким прiоритетом не дозволено вiдмовляти в обслуговуванi суб'¹ктам з бiльш високим прiоритетами. Проте, деяким суб'¹ктам з бiльш високим прiоритетом (наприклад, адмiнiстраторам системи) повинна надаватися можливiсть вiдмовляти в обслуговуваннi об'¹ктам з бiльш низьким прiоритетом, якщо першi цього забажають.

Друге правило, яке фактично ¹ узагальненням першого, представля¹ собою альтернативу, яку можна використовувати у тих застосуваннях, для яких захищеними вiд загроз вiдмови в обслуговуваннi повинна бути лише деяка пiдмножина об'¹ктiв. Таким чином, це правило врахову¹ те, що проблема вiдмови в обслуговуваннi може стояти тiльки для об'¹ктiв з деяко¨ конкретно визначено¨ пiдмножини. Тобто, це правило дозволя¹ забезпечити захист вiд вiдмови в обслуговуваннi тiльки для особливо¨ множини об'¹ктiв.

Це бiльш загальне правило вимага¹, щоб суб'¹кти з бiльш низькими прiоритетами не перешкоджали запитам послуг суб'¹ктiв з високими прiоритетами, що вiдбуваються через об'¹кти з деяко¨ конкретно визначено¨ множини. Ця множина, яку можна позна- чити через C, звичайно мiстить тi об'¹кти, якi ¹ найбiльш крити- чними i для яких послуги, що надаються, нiколи не повиннi застарiвати.

Правило NDU(C) стверджу¹, що нi один суб'¹кт не може вiдмовити запитам, зробленим суб'¹ктом з бiльш високим прiоритетом через об'¹кти з множини C.

Друге правило ¹ особливо корисним для обчислювальних систем, в яких необхiдно забезпечувати захист ВВО тiльки для вибрано¨ множини критичних послуг. Наприклад, система, що викону¹ деяку визначену роль, може мiстити лише невелику множину послуг, що прямо зв'язана з цi¹ю роллю. У результатi, захист ВВО з використанням правила NDU(C) можна забезпечити тiльки для

цих критичних послуг. Це значно скоротить вартiсть та труднощi реалiзацi¨ стратегi¨ ВВО.

Головною перевагою двох представлених правил ВВО ¹ те, що вони дають засiб для попередження вiдмови в обслуговуваннi на основi поняття (прiоритету), що можливо уже iсну¹ для дано¨ системи. Наприклад, для бiльшостi операцiйних систем iсну¹ поняття прiоритету процесiв. Данi правила також ¹ гнучкими у тому смислi, що ¨х легко прилаштувати до дано¨ системи. Обмеження на об'¹кти у правилi NDU(C) можна виразити у термiнах будь-якого визначення критичностi об'¹кта.

Недолiки цих правил полягають у тому, що вони смисл тiльки для систем, в яких можна визначити декiлька прiоритетiв. Якщо це не так, тодi повиннi бути визначенi певнi придатнi аналогiчнi правила усерединi рiвня з одним прiоритетом. Наприклад, формулювання цих правил для ПЕОМ з одним ¹диним користувачем не буде мати великого сенсу. Крiм того, як це було показано у випадку моделi Кларка-Вiльсона, реалiзацiя методiв, необхiдних для гарантi¨ того, що проголошенi правила мають силу, нетривiальна.

I нарештi, виявля¹ться, що данi правила виявляють багато характеристик (позитивних, негативних) моделей Белла-ЛаПадули та Байба. Наприклад, можна легко побудувати систему типу Системи Z, що вiдповiда¹ вимогам правил NDU i NDU(C), але не узгоджу¹ться з функцiями захисту вiд вiдмови в обслуговуваннi.

3.5.3 Модель Мiллена розподiлення ресурсiв

Наведенi вище правила ВВО стосуються умов, яким необхiдно запобiгти, якщо необхiдно гарантувати, що дi¨ порушника не створять умов для вiдмови в обслуговуваннi. Проте, серед тих ситуацiй, якi можуть викликати загрозу вiдмови в обслуговуваннi, зустрiча¹ться багато таких. Якi зачiпають питання часу та простору, що не виявляються простими правилами типу наведених вище.

Джонатан Мiллен розробив модель розподiлу ресурсiв, яка дозволя¹ визначити правила i стратегi¨ вiдмови в обслуговуваннi в термiнах детального розподiлу ресурсiв, що включа¹ надання послуг користувачам обчислювальних систем [28]. Модель Мiллена вiдрiзня¹ться вiд традицiйних рiвневих правил в моделях Белла-

Лападули та Байба, оскiльки в ¨¨ основi лежить iдея про те. що для виконання потрiбного завдання суб'¹ктам необхiднi певнi просторовi та часовi вимоги до ресурсiв. Вiдмова в обслуговуваннi здiйсню¹ться у тому випадку, якщо розподiл простору та часу для деякого процесу не вiдповiда¹ вiдповiдним вимогам. Мiллен показав, що стосовно до його моделi необхiдно легко з'ясувати такi поняття, якi скiнченний час очiкування (FWT) та максимальний час очiкування (MWT).

Модель Мiллена включа¹ в себе цiлком вiдповiдний до стратегi¨ вiдмови в обслуговуванi набiр правил, що характеризу¹ сiмейство обчислювальних систем. Тобто, цi правила побудованi таким чином, щоб увести в це сiмейство поняття, якi б у багато чому допомогли при описуванi та аналiзi стратегiй вiдмови в обслуговуваннi. Модель розподiлу ресурсiв та вiдповiднi правила наданi нижче.

Нехай P множина активних процесiв, R множина пасивних ресурсiв, c деяка фiксована межа, що використову¹ться для позначення загального максимального числа одиниць усiх типiв ресурсiв, доступних у дослiджуванiй системi. Через вектор Ap ïî- значимо для кожного ресурсу число одиниць ресурсу, видiлених для процесу p в деякому станi. Таким чином, вектор розподiлу

можна розглядати як свого роду вiдображення видiлення ресурсiв для процесу. Для формування iнформацi¨ про те, чи ¹ процес поточним, чи застиглим, використову¹ться особливий тип ресурсiвресурс центрального процесорного пристрою (ЦПП). Зокрема,

всякий раз коли Ap(CP U) = 1, будемо говорити, що iстинним ¹ running(p), а всякий раз коли Ap(CP U) = 0, будемо говорити, що iстинним ¹ asleep(p).

Вектор просторових вимог означа¹ число одиниць кожного ресурсу, що необхiдне процесу p для виконання необхiдного завдан-

ня у деякому станi. Припуска¹ться, що процеси можуть визначати множину ресурсiв, необхiдних ¨м для завершення роботи, до того,

як вони ¨¨ почнуть. Функцiя T (p) показу¹, коли останнiй раз змiню-

вались години для процесу, з метою вiдображеннi реального часу. Вектор тимчасових вимог T Qp

кожному ресурсу процесу p для виконання роботи. Як i у випадку просторових вимог припуска¹ться, що процес може визначати

часовi вимоги для конкретного завдання.

Нижче перелiченi вiсiм правил, що складають модель Мiллена. Кожне правило обмежу¹ сiмейство систем, що вiдповiда¹ цiй моделi. Перед тим як застосовувати цi правила, важливо вiдзначити,

що позначенi змiннi (наприклад running(p)) показують значення змiнно¨ пiсля одного переходу.

(R1)SAp 6 c

{pOP .

Правило R1 стверджу¹, що сума одиниць видiлених ресурсiв для усiх процесiв iз P повинна бути меншою системно¨ межi c.

Стратегi¨, що порушують це правило, Мiллен назива¹ неправдоподiбними, оскiльки неможливо видiлити ресурсiв бiльше. Нiж ¹ у наявностi.

(R2) if running(p) then sQp = 0

Правило R2 стверджу¹, що поточнi процеси повиннi мати ну-

льовi просторовi вимоги. Мiллен аргументу¹ це тим, що якщо процес не ма¹ усiх ресурсiв, якi необхiднi йому в деякому станi, що не ма¹ сенсу продовжувати цей процес, поки вимоги не будуть виконанi. Зависання вiдбува¹ться, коли процес ма¹ ненульовi просторовi вимоги, якi нiколи не будуть виконаними (або будуть виконаними пiзнiше).

(R3) if running(p) and running(p)0 then A0p = Ap

Конструкцiя running(p) and running(p)0 ó правилi R3 озна- ча¹, що у деякому станi процес p ¹ поточним i залиша¹ться пото-

чним i у наступному станi. Це правило стверджу¹, що для пото- чних процесiв розподiл ресурсiв не змiню¹ться. Це дiйсно потужне припущення, оскiльки з нього виходить, що пiд час виконання поточнi процеси не вивантажуються, у випадку якщо вiдбудеться будь-який перерозподiл ресурсiв (на вiдмiну вiд перерозподiлу ресурсiв ЦПП).

(R4) if Ap(CP U)0 = Ap(CP U) then T (p)0 =T (p)

Правило R4 стверджу¹, що години процесу змiнюються тiльки

iз змiною розподiлу ЦПП. Припуска¹ться, що одиницi часу це позитивнi цiлi числа, що завжди зростають iз змiною часу (як буде визначено нижче).

(R5) if Ap(CP U)0 6= Ap(CP U) then T (p)0 >T (p)

Правило R5 стверджу¹, що години змiнюються тiльки для то-

го, щоб вiдобразити збiльшення у часi. Зазначимо, що для кожного процесу ¹ свiй власний годинник, а синхронiзацiя рiзноманiтних годинникiв один з одним або з будь-якими годинниками, що показують реальний час, не здiйсню¹ться.

(R6) if asleep(p) then sQ0p =s Qp + Ap − A0p

Правило R6 стверджу¹, що просторовi вимоги встановлюю-

ться для застиглих процесiв. Iншими словами, якщо процес не ¹ поточним, вiн повинен визначати тi ресурси, якi йому необхiднi для виконання завдання. Як тiльки усi цi атрибути одержанi, процес вiдновлю¹ться i ста¹ поточним.

(R7) if asleep(p) then T Q0p =T Qp

Правило R7 стверджу¹, що для застиглих процесiв часовi ви-

моги не встановлюються. Тобто, коли як просторовi вимоги для застиглих процесiв встановлюються, часовi вимоги для таких процесiв не встановлюються.

(R8) if running(p) and asleep(p) then A0p = Ap − CP U

Правило R8 стверджу¹, що переходи, у результатi яких процес

зупиня¹ться, перерозподiляють тiльки ресурси ЦПП. Iншi змiни у перерозподiлi повиннi здiйснюватися пiсля вiдновлення процесу.