Модель Харрисона-Руззо-Ульмана
Рассмотрим типичную модель системы защиты, состоящую из следующих конечных наборов [8,17,22]:
- общих прав A={a1,..., an};
- исходных субъектов S0 и объектов O0;
- команд С формы α(Х1, ..., Хn) , где α - имя; Х1, ..., Хn – формальные параметры, указывающие на объекты.
Элементами матрицы доступа являются права доступа, взятые из набора общих прав. Состояния системы изменяются при изменении элементов матрицы доступа M. Запросы к системе можно выразить в форме:
if a1 in M[s1, o1] and
a2 in M[s2, o2] and
am in M[sm,om] then
op1,
op2,
opn.
Причем, aj A операция op является одной из следующих примитивных операций:
- enter a into (s, 0);
- delete a from (s, 0);
- create subject s;
- create object o;
- destroy subject o;
- destroy object o.
Семантика данных операций очевидна. Для системы с начальной конфигурацией Q0 и права a можно сказать, что система безопасна для a, если не существует последовательности запросов к системе в состоянии Q0 таких, что в результате них право a будет записано в ячейку, не содержащую ее. Существуют две теоремы о безопасности данного типа систем. Первая относится к безопасности моно-операционных систем. Под моно-операционной системой понимается система, в которой каждый запрос имеет только одну операцию.
Теорема 12.1. Существует алгоритм для определения, является или нет моно-операционная система безопасной для данного права a.
Вторая теорема указывает на то, что проблема безопасности для системы с запросами общего вида является неразрешимой.
Теорема 12.2. Проблема определения безопасности для данного права а в системе с запросами общего вида является неразрешимой.
Харрисон, Руззо и Ульман показали, что безопасными являются монотонные системы (системы, не содержащие операции destroy и delete), системы не содержащие операций create и моно-условные системы (системы, запрос к которым содержит только одно условие).
К достоинствам моделей дискреционного доступа можно отнести хорошую гранулированность защиты и относительно простую реализацию. В качестве примера реализаций данного типа моделей можно привести так называемую матрицу доступа, строки которой соответствуют субъектам системы, а столбцы – объектам; элементы матрицы характеризуют права доступа. Проблемы, возникающие в системах, синтезированных на их основании, показаны в следующем параграфе.
Дата добавления: 2020-10-14; просмотров: 672;