Модель Харрисона-Руззо-Ульмана

Рассмотрим типичную модель системы защиты, состоящую из следующих конечных наборов [8,17,22]:

- общих прав A={a1,..., an};

- исходных субъектов S0 и объектов O0;

- команд С формы α(Х1, ..., Хn) , где α - имя; Х1, ..., Хn – формальные параметры, указывающие на объекты.

Элементами матрицы доступа являются права доступа, взятые из набора общих прав. Состояния системы изменяются при изменении элементов матрицы доступа M. Запросы к системе можно выразить в форме:

if a₁ in M[s₁, o₁] and

a₂ in M[s₂, o₂] and

a_m in M[s_m,o_m] then

op₁,

op₂,

op_n.

Причем, a_j A операция op является одной из следующих примитивных операций:

- enter a into (s, 0);

- delete a from (s, 0);

- create subject s;

- create object o;

- destroy subject o;

- destroy object o.

Семантика данных операций очевидна. Для системы с начальной конфигурацией Q₀ и права a можно сказать, что система безопасна для a, если не существует последовательности запросов к системе в состоянии Q₀ таких, что в результате них право a будет записано в ячейку, не содержащую ее. Существуют две теоремы о безопасности данного типа систем. Первая относится к безопасности моно-операционных систем. Под моно-операционной системой понимается система, в которой каждый запрос имеет только одну операцию.

Теорема 12.1. Существует алгоритм для определения, является или нет моно-операционная система безопасной для данного права a.

Вторая теорема указывает на то, что проблема безопасности для системы с запросами общего вида является неразрешимой.

Теорема 12.2. Проблема определения безопасности для данного права а в системе с запросами общего вида является неразрешимой.

Харрисон, Руззо и Ульман показали, что безопасными являются монотонные системы (системы, не содержащие операции destroy и delete), системы не содержащие операций create и моно-условные системы (системы, запрос к которым содержит только одно условие).

К достоинствам моделей дискреционного доступа можно отнести хорошую гранулированность защиты и относительно простую реализацию. В качестве примера реализаций данного типа моделей можно привести так называемую матрицу доступа, строки которой соответствуют субъектам системы, а столбцы – объектам; элементы матрицы характеризуют права доступа. Проблемы, возникающие в системах, синтезированных на их основании, показаны в следующем параграфе.