WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

загрузка...
   Добро пожаловать!

Pages:     | 1 || 3 |

Определение 1. Сущность eE называется параметрически ассоциированной с субъектом sS в состоянии G, если чтение данных в сущности e субъектом zS позволяет ему получить право владения к субъекту s в этом или последующих состояниях КС.

Предположение 1. Если субъект реализовал информационный поток по памяти от сущности, параметрически ассоциированной с другим субъектом, к себе, то первый субъект получает право доступа владения ко второму субъекту.

Множество сущностей, параметрически ассоциированных с субъектом, задано в любом состоянии КС и не изменяется в процессе ее функционирования.

В соответствии с определением 1 и предположением 1 расширяется ФАС ДП-модель и результат расширения называется ДП-моделью с функционально или параметрически ассоциированными с субъектами сущностями, или ФПАС ДП-моделью. При расширении ФАС ДП-модели добавляется правило преобразования состояний know(), определяемое в следующей таблице, где ]s[ E – множество всех сущностей, параметрически ассоциированных с субъектом s.

Исходное состояние КС Результирующее состояние КС Правило G = (S, E, R A F, H) G’ = (S’, E’, R’ A’ F’, H’) x, yS, zE, z]y[ и или S’ = S, E’ = E, A’ = A, H’ = H, know(x, y, z) F’ = F, R’ = R {(x, y, ownr)} x = z, или (z, x, writem)F Определение 2. Конечная последовательность графов доступов G0, …, GN, такая, что G0 op1 G1op2 …opN GN для некоторых правил преобразования состояний op1, …, opN из OP, называется траекторией функционирования КС.

Она называется траекторией без кооперации доверенных и недоверенных субъектов для передачи прав доступа, если при ее реализации используются монотонные правила преобразования состояний (т.е. правила, в результате применения которых не происходит удаление вершин или ребер в графе доступов), и доверенные субъекты: не дают недоверенным субъектам прав доступа к сущностям; не берут у недоверенных субъектов прав доступа к сущностям; используя информационные потоки по памяти к сущностям, не получают права доступа владения к субъектам; используя информационные потоки по памяти от сущностей, не получают права доступа владения к субъектам. Последняя траектория называется траекторией без кооперации доверенных и недоверенных субъектов для передачи прав доступа и реализации информационных потоков, если при ее реализации используются правила преобразования состояний take_right(), grant_right(), own_take(), create_entity(), create_subject(), rename_entity(), access_read(), access_write(), access_append(), flow(), find(), post(), pass(), control(), определенные в рамках ФАС ДП-модели, и правило know(), определенное в соответствии с приведенной выше таблицей.

Пусть далее can_share() и can_write_memory() – соответственно предикаты возможности получения права доступа и реализации информационного потока, определенные в ФАС ДП-модели.

Определение 3. Пусть имеются G0 – начальное состояние КС (G*, OP), недоверенный субъект xNS S0 и субъект yS0, где x y. Предикат can_share_own(x, y, G0, LS), является истинным тогда, и только тогда, когда существует такая траектория G0 op1 G1op2 …opN GN без кооперации доверенных и недоверенных субъектов для передачи прав доступа и реализации информационных потоков, что N 0 и (x, y, ownr)RN. Предикат directly_can_share_own(x, y, G0, LS), является истинным тогда, и только тогда, когда существует последовательность субъектов s1, …, sm в S0, где s1 = x, sm = y и m 2, таких, что для каждого i = 1,..., m – 1 выполняется одно из следующих условий.

Условие 1. siNS S0, si[si + 1] или si]si + 1[;

Условие 2. Истинен предикат can_share(ownr, si, si + 1, G0, LS);

Условие 3. Существует сущность e[si + 1] или e]si + 1[, такая, что истинен предикат can_write_memory(si, e, G0, LS) или can_write_memory(e, si, G0, LS) соответственно.

Теорема 1. Пусть имеется G0 – начальное состояние КС (G*, OP), (x, y, ownr)Nr, где xNS S0, y S0 и x y. Тогда предикат can_share_own(x, y, G0, LS) является истинным, если и только если существует последовательность субъектов s1, …, sm в S0, где s1 = x, sm = y и m 2, таких, что выполняется одно из условий.

Условие 1. m = 2 и истинен предикат directly_can_share_own(x, y, G0, LS).

Условие 2. m > 2 и для каждого i = 1,..., m – 2 выполняется одно из условий:

- si, si+1NS S0 и истинны предикаты directly_can_share_own(si, si+1, G0, LS), directly_can_share_own(si+1, si+2, G0, LS);

- i < m–2, si, si+2NS S0 и истинны предикаты directly_can_share_own(si, si+1, G0, LS), directly_can_share_own(si+2, si+1, G0, LS);

- i < m–2, si+1, si+2NS S0 и истинны предикаты directly_can_share_own(si+1, si, G0, LS), directly_can_share_own(si+2, si+1, G0, LS);

- si+1NS S0 и истинны предикаты directly_can_share_own(si+1, si, G0, LS), directly_can_share_own(si+1, si+2, G0, LS).

Определение 4. Пусть имеются доверенные субъекты y, y’ и y’’ из LS S0, сущности e, e’ и e’’ из E0, такие, что eLS S0, e’[y’] и e’’]y’’[. Субъект y называется функционально корректным относительно сущности e, если субъект y не реализует информационного потока по памяти от сущности e к сущности e’. Субъект y называется параметрически корректным относительно сущности e, если субъект y не реализует информационного потока по памяти от сущности e’’ к сущности e.

Теорема 2. Пусть имеются G0 – начальное состояние КС (G*, OP, G0), недоверенный субъект xNS S0 и доверенный субъект yLS S0. Пусть истинен предикат can_share_own(x, y, G0, LS). Тогда существуют недоверенный субъект x’NS S0, доверенный субъект y’LS S0 и сущность eE0, такие, что выполняется одно из следующих условий.

Условие 1. x’ = e и или e[y’], или e]y’[.

Условие 2. e[y’] и (x’, e, r)R0, где r{ownr, writer, appendr}.

Условие 3. e]y’[ и (x’, e, r)R0, где r{ownr, readr}.

Условие 4. Существует доверенный субъект y’’LS S0, такой, что истинен предикат can_write_memory(y’’, e, G0, LS), где e[y’] и выполняется одно из условий:

- (y’’, x’, readr)R0 и субъект y’’ не является функционально корректным относительно сущности x’;

- (x’, y’’, r)R0, где r{writer, appendr};

- существует сущность e’E0, такая, что (x’, e’, r), (y’’, e’, readr)R0, где r{ownr, writer, appendr} и субъект y’’ не является функционально корректным относительно сущности e’.

Условие 5. Существует доверенный субъект y’’LS S0, такой, что истинен предикат can_write_memory(e, y’’, G0, LS), где e]y’[ и выполняется одно из условий:

- (x’, y’’, readr)R0;

- (y’’, x’, r)R0, где r{writer, appendr} и субъект y’’ не является параметрически корректным относительно сущности x’;

- существует сущность e’E0, такая, что (x’, e’, r), (y’’, e’, r)R0, где r{ownr, readr}, r{writer, appendr} и субъект y’’ не является параметрически корректным относительно сущности e’.

Пусть yf(E) E и yp(E) E суть множества сущностей, относительно которых в состоянии G доверенный субъект y соответственно функционально и параметрически корректен.

Метод 1 – предотвращение возможности получения права доступа владения недоверенным субъектом к доверенному субъекту. Пусть имеются КС (G*, OP, G0), в которой ни один недоверенный субъект не обладает правом доступа владения ни к одному доверенному субъекту, множества доверенных субъектов LS и недоверенных субъектов NS.

Шаг 1. Рассмотреть реализацию каждого доверенного субъекта yLS S0 и описать множества [y] и ]y[.

Шаг 2. Для каждого доверенного субъекта yLS S0 исключить недоверенных субъектов из множеств [y] и ]y[, для чего, если потребуется, изменить реализацию доверенного субъекта так, чтобы в множества [y] и ]y[ не вошли новые недоверенные субъекты.

Шаг 3. Для каждого доверенного субъекта yLS S0 из множества прав доступа R0 удалить права доступа ownr, writer, appendr недоверенных субъектов к сущностям из множества [y] и права доступа ownr, readr недоверенных субъектов к сущностям из множества ]y[.

Шаг 4. Для каждого доверенного субъекта yLS S0:

- используя алгоритм проверки истинности предиката can_share_own(x’, y’, G0, LS), описать множества сущностей yf(E0) и yp(E0);

- рассмотреть каждого недоверенного субъекта xNS S0, не входящего в множество сущностей yf(E0) yp(E0). Если потребуется, изменив реализацию доверенного субъекта y так, чтобы в множество yf(E0) yp(E0) не вошли новые недоверенные субъекты, относительно которых субъект y является функционально или параметрически некорректным, обеспечить его функциональную и параметрическую корректность относительно недоверенного субъекта x, после чего добавить субъекта x в множество yf(E0) yp(E0);

- рассмотреть каждую сущность eE0 \ yf(E0), к которой право доступа r из {ownr, writer, appendr} имеет хотя бы один недоверенный субъект xNS S0.

Удалить право доступа r у субъекта x к сущности e или, изменив реализацию доверенного субъекта y так, чтобы в множество yf(E0) не вошли новые сущности, относительно которых субъект y является функционально некорректным, обеспечить его функциональную корректность относительно сущности e, после чего добавить сущность e в множество yf(E0);

- рассмотреть каждую сущность eE0 \ yp(E0), к которой право доступа r из {ownr, readr} имеет хотя бы один недоверенный субъект xNS S0. Удалить право доступа r у субъекта x к сущности e или, изменив реализацию доверенного субъекта y так, чтобы в множество yp(E0) не вошли новые сущности, относительно которых субъект y является параметрически некорректным, обеспечить его параметрическую корректность относительно сущности e, после чего добавить сущность e в множество yp(E0).

Теорема 3. В результате применения метода 1 к КС (G*, OP, G0) будет получена КС, в которой для каждого недоверенного субъекта xNS S0 и доверенного субъекта yLS S0 предикат can_share_own(x, y, G0, LS) является ложным.

В главе 3 решается задача поиска всех путей утечки права доступа или реализации запрещенного информационного потока в ФПАС ДП-модели КС.

Для этого вводятся определения замыканий графов доступов ДП-моделей, графов распространения доступов и графов распространения прав доступа или реализации информационных потоков. Формулируются и обосновываются алгоритмы преобразования графов доступов в их замыкания, построения графов распространения прав доступа или реализации информационных потоков, поиска всех возможных путей утечки права доступа или реализации запрещенного информационного потока. Предлагается и теоретически обосновывается метод предотвращения утечки права доступа или реализации запрещенного информационного потока в рамках ФПАС ДП-модели КС без знания и изменения реализации субъектов.

Определение 5. Пусть имеются G0 – начальное состояние КС (G*, OP, G0), сущности x, yE0, такие, что x y, и Rrf. Говорят, что в КС (G*, OP, G0) возможна утечка права доступа или реализация запрещенного информационного потока (x, y, ), если соответственно (x, y, )R0, (x, y, )Nr и возможен переход КС в состояние G’, в котором (x, y, )R’ или (x, y, )F0, (x, y, )Nf и возможен переход КС в состояние G’, в котором (x, y, )F’.

Нарушением безопасности (x, y, ) КС (G*, OP, G0) называется утечка права доступа (x, y, )Nr или реализация запрещенного информационного потока (x, y, )Nf. Обозначим Nrf = Nr Nf.

Определение 6. Граф доступов G’, полученный из графа доступов G ДПмодели КС применением правил преобразования состояний этой ДП-модели, называется замыканием графа доступов G, если применение к графу G’ данных правил не приводит к появлению в нем новых ребер.

При построении замыканий графов доступов предполагается, что в ДПмоделях: применяются только монотонные правила преобразования состояний, субъекты создают сущность в контейнере только один раз, субъекты не инициируют многократного выполнения одинаковых правил преобразования и не создают новых субъектов из сущностей. На основе определений базовой, БК, ФАС и ФПАС ДП-моделей предлагаются алгоритмы построения замыкания графа доступов этих ДП-моделей КС и доказываются теоремы, их обосновывающие.

Для КС (G*, OP, G0) вводится граф GT = (B, Ppr Pps), называемый графом распространения прав доступа, доступов и информационных потоков или сокращенно графом распространения доступов, при помощи следующего индуктивного определения.

База индукции. B =, Ppr Pps=, G = G0.

Шаг индукции. Если opOP и G op G’, (ai, bi, i) для i = 1, …, n суть ребра в состоянии G, необходимые для применения правила op, и iRrf, (cj, dj, j) для j = 1, …, m суть ребра в состоянии G’, являющиеся результатом применения op, и jRraf, то B = B {(a1, b1, 1), …, (an, bn, n)}, Ppr = Ppr {((a1, b1, 1)op), …, ((an, bn, n)op)}, Pps = Pps {(op(c1, d1, 1)), …, (op(cm, dm, m))}, G = G’.

Определение 7. Пусть G – состояние КС (G*, OP), GT = (B, Ppr Pps) – ее граф распространения доступов, x, yE0, x y и Rrf. Тогда графом распространения права доступа (x, y, )R или графом реализации информационного потока (x, y, )F в состоянии G называется подграф GT(x, y, ) = (B’, P’pr P’ps) графа GT, если выполняются следующие условия.

Условие 1. (x, y, )B’.

Условие 2. Если (op(x, y, ))Pps, то opB’ и (op(x, y, ))P’ps.

Условие 3 (индуктивное). Если ((ai, bi, i)op)Ppr, то (ai, bi, i)B’, ((ai, bi, i)op)P’pr и для i = 1, …, n подграф GT(ai, bi, i) в графе GT(x, y, ) является графом соответственно распространения права доступа или реализации информационного потока (ai, bi, i).

Определение 8. Последовательность (x, y, ) = (x, y, ), op, (a1, b1, 1), …, (am, bm, m) вершин графа GT(x, y, ) называется -путем нарушения безопасности (x, y, )Nrf, если для (x, y, ) выполняются следующие условия.

Условие 1. (op, (x, y, ))GT(x, y, ).

Условие 2. ((ai, bi, i), op)GT(x, y, ) для i = 1, …, m.

Последовательность (x, y, ), получающаяся из (x, y, ) удалением вершин из B \ (R0 OP), называется -путем нарушения безопасности (x, y, ).

Последовательность (x, y, ), получающаяся из (x, y, ) удалением вершин из OP, называется -путем нарушения безопасности (x, y, ).

Для поиска всех возможных путей нарушения безопасности в ДП-моделях следует построить графы распространения прав доступа или реализации информационных потоков. Это может быть сделано по графу распространения доступов, построенному по его определению. В этом случае система управления доступом, обладающая конечными ресурсами, должна хранить и анализировать данные обо всей предыстории функционирования КС. Таким образом, в ДП-моделях целесообразно разработать алгоритмы построения графа распространения права доступа или реализации информационного потока по текущему состоянию КС (G*, OP, G0), что и делается далее в работе.

Pages:     | 1 || 3 |






© 2011 www.dissers.ru - «Бесплатная электронная библиотека»