На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Каноническая модель управления доступом. Условие корректности механизма управления доступом

Введем следующие обозначения. Пусть множества С = {С1,...,Ск} и О = {01,...,Ок} — соответственно линейно упорядоченные множества субъек­тов и объектов доступа. В качестве субъекта доступа Ci, i = l,...,k рассмат­ривается как отдельный субъект, так и группа субъектов, обладающих оди­наковыми правами доступа. Соответственно, в качестве объекта доступа
= l,...,k может также рассматриваться как отдельный объект, так и группа объектов, характеризуемых одинаковыми правами доступа к ним.
Пусть S = {0, 1} — множество прав доступа, где «О» обозначает запреще­ние доступа субъекта к объекту, а «1» -- разрешение полного доступа. Тогда каноническую модель управления доступом можно представить мат­рицей доступа D, имеющей следующий вид:
О =
О,
k-\
ot
0 0 0
1
0 0 0 0
1
0 0 0
Под канонической моделью управления доступом для линейно упорядочен­ных множеств субъектов (групп субъектов) и объектов (групп объектов) до­ступа понимается модель, описываемая матрицей доступа, элементы глав­ной диагонали которой «1» разрешают полный доступ субъектов к объектам, остальные элементы «О» запрещают доступ субъектов к объектам.
Говоря о доступе, нами в этот атрибут не включается право назначения
(изменения) «владельца» и право назначения (изменения) атрибутов до­ступа к объекту. Как отмечали ранее, данные права выведены из схемы рассмотрения, поскольку они принадлежат администратору безопаснос­ти, который является «владельцем» любого объекта файловой системы.
Данная модель управления доступом формально может быть описана сле­дующим образом:
Dij = иначе 1, если i
Dij = 0.
j,
Утверждение
Диспетчер доступа реализует механизм управления доступом корректно толь­ко в том случае, если его настройками (заданием учетных записей субъектов и объектов доступа и правил разграничения доступа) можно реализовать каноническую модель управления доступом.
Доказывается утверждение от обратного. Если каноническую модель управ­ления доступом реализовать невозможно (т.е. присутствуют элементы «1» вне главной диагонали матрицы доступа), то в системе присутствует, по крайней мере, один объект, доступ к которому невозможно разграничить в полном объеме. При этом объект включается одновременно в несколько групп объек­тов, априори характеризуемых различными правами доступа к ним.
Следствие
Любой механизм управления доступом должен позволять настройками диспетче­ра доступа сводить реализуемую им модель доступа к каноническому виду.
1
0
0
1
»
Объекты доступа могут по своей сути существенно различаться: файловые объекты, ветви и ключи реестра ОС (для ОС Windows), принтеры, разде­ляемые сетевые ресурсы, устройства, ресурсы внешней сети (хосты) и т.д. К ним могут различаться типы доступа (например, файловые объекты и принтеры). Кроме того, на практике может быть ограничение на число ресурсов (например, принтеров в системе, к которым разграничивается доступ, может быть существенно меньше, чем субъектов доступа к ним).
Однако все это не противоречит общности сформулированного утверж­дения, требования которого должны выполняться механизмом управле­ния доступом при соответствующих настройках системы и диспетчера доступа к объекту любого вида. Например, диспетчер доступа к принте­рам должен при включении в систему принтеров по числу субъектов доступа (в частности, пользователей) обеспечивать реализацию канони­ческой модели управления доступом, где элементами матрицы доступа D будут «1» — доступ субъекту к принтеру разрешен, «О» — доступ субъек­ту к принтеру запрещен.
Следствие 2.
К каждому защищаемому ресурсу системы, требующему разграничения дос­тупа, должен быть реализован диспетчер доступа, позволяющий соответству­ющими настройками сводить реализуемую им модель доступа к каноническо­му виду. Таким образом, механизм управления доступом к ресурсу реализован корректно только в том случае, если настройками диспетчера доступа реали­зуемая им модель доступа может быть приведена к каноническому виду.
Понятие и классификация каналов взаимодействия субъектов доступа
Рассмотренная выше каноническая модель управления доступом харак­теризуется полным разграничением доступа субъектов к объектам, при котором субъекты не имеют каналов взаимодействия каналов обмена информацией. Однако такая возможность должна предусматриваться. Если в системе может находиться несколько субъектов (например, пользова­телей), то появляется задача предоставления субъектам возможности об­мена информацией.
Введем несколько определений:
» Под каналом взаимодействия субъектов доступа понимается реализуе­мая диспетчером доступа возможность обмена субъектами доступа
информацией в рамках канонической модели управления доступом.
♦ Под симплексным каналом взаимодействия субъектов доступа понимается
канал, обеспечивающий возможность одностороннего обмена субъекта­ми доступа информацией. Будем его обозначать Ci -> Cj (информация может передаваться в одну сторону — от субъекта Ci к субъекту Cj).
» Под дуплексным каналом взаимодействия субъектов доступа понимает­ся канал, обеспечивающий возможность двухстороннего обмена субъектами доступа информацией. Будем его обозначать Ci о Cj.
Дуплексный канал взаимодействия субъектов доступа представляет собою два встречно-направленных симплексных канала.
» Под активным симплексным каналом взаимодействия субъектов доступа
Ci a Cj понимается канал взаимодействия, в котором активным явля­ется отправитель информации (отправитель, в данном случае субъект Ci выдает информацию получателю).
Активный симплексный канал взаимодействия субъектов доступа мо­жет быть реализован с использованием операций «запись», «модифи­кация» или «добавление». Операция «модификация» отличается от операции «запись» тем, что не позволяет читать объект перед занесе­нием в него информации.
Операция «добавление» отличается от операций «запись» и «модифи­кация» тем, что ее выполнение не позволяет ни читать, ни модифи­цировать информацию, располагаемую в объекте, в который добавля­ется информация по каналу взаимодействия - - данная операция
позволяет лишь добавить информацию,  предотвращая возможность
изменить существующую в объекте информацию.
* Под пассивным симплексным каналом взаимодействия субъектов досту­па Ci a Cj понимается канал взаимодействия, в котором активным
является получатель информации (получатель, в данном случае субъект
Cj) забирает информацию у отправителя. Пассивный симплексный канал взаимодействия субъектов доступа реализуется с использовани­ем операции «чтение».
Отметим, что в задачу управления доступом в общем случае входит не
только защита данных субъектов (в данном случае пользователей) от
несанкционированного их прочтения другими субъектами, но и защита данных субъектов от возможности их искажения другими субъектами. Этим, кстати говоря, защита данных средствами защиты от НСД прин­ципиально отличается от защиты данных (управления доступом) с исполь­зованием средств криптографической защиты.
Для иллюстрации сказанного, рассмотрим каноническую матрицу доступа D, реализуемую с использованием средств криптографической защиты.
где элемент «Зп» обозначает разрешение доступа с использованием опе­рации «запись» (прочитать информацию пользователь может, но не име­ет возможности ее преобразовать к читаемому виду, т.к. информация зашифрована, поэтому обозначаем подобное право доступа, как «Зп»), «Зп/Чт» — соответственно, операции «запись» и «чтение».
С учетом введенных выше понятий и определений данную матрицу доступа можно охарактеризовать, как каноническую матрицу доступа, расширенную дуплексными каналами взаимодействия между собою всех субъектов. При этом дуплексные каналы реализованы на основе активных симплексных каналов взаимодействия субъектов доступа с использованием операции «запись». Дру­гими словами, это частный случай управления доступом, не обеспечивающий защиту данных от их несанкционированной модификации (удаления).
Модель управления доступом с взаимодействием субъектов доступа посредством выделенного канала
Особенностью данной модели является включение в систему дополни­тельного объекта доступа (группы объектов), используемого субъекта­ми доступа в качестве выделенного канала взаимодействия. Отметим, что в качестве канала взаимодействия здесь должны использоваться дуп­лексные каналы. Причем в обе стороны взаимодействия должны быть реализованы как активный, так и пассивный симплексные каналы.
Ниже представлена каноническая матрица доступа D с выделенным ка­налом взаимодействия субъектов доступа. При этом полный доступ оче­видно задается операциями «запись» и «чтение». Для организации выде­ленного канала взаимодействия в систему включен объект доступа Ok+1.
Недостатком данной модели, ограничивающим возможность ее практичес­кого использования, является доступность находящейся в канале инфор­мации одновременно всем субъектам доступа. Данный недостаток может
преодолеваться созданием группы каналов взаимодействия (включением
группы дополнительных объектов доступа, в пределе, свой объект доступа
для каждого канала взаимодействия субъектов доступа) с соответствующим
разграничением к ним доступа субъектов. Однако это приводит к неэф­фективному использованию ресурсов защищаемого объекта.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика