
Белла-ЛаПадула новый 2014.ppt
- Количество слайдов: 45
Мандатная модель Белла. Ла. Падулы 1
Мандатная модель Белла-Ла. Падулы Мандатная модель Белла – Ла. Падулы основана на правилах секретного документооборота. Согласно этим правилам всем участникам процесса обработки конфиденциальной информации и документам, в которых она содержится, присваивается специальная метка, которая называется уровнем безопасности. 2
Мандатная модель Белла-Ла. Падулы Все уровни безопасности упорядочиваются с помощью установленного отношения доминирования. Контроль доступа к документам осуществляется в зависимости от уровней безопасности на основании двух простых правил: 1. Простое правило безопасности (Simple Security, SS). Субъект s с уровнем безопасности ds может читать информацию из объекта o с уровнем безопасности do тогда и только тогда, когда ds доминирует над do. 3
Мандатная модель Белла-Ла. Падулы 2. *- свойство (*- property). Субъект s с уровнем безопасности ds может записывать информацию в объект o с уровнем безопасности do в том и только в том случае, когда do доминирует над ds. Для первого правила существует мнемоническое обозначение No Read Up, а для второго – No Write Down. 4
Мандатная модель Белла-Ла. Падулы 5
Мандатная модель Белла-Ла. Падулы В формальной модели Белла – Ла. Падулы рассматриваются: 1. Конечное множество объектов компьютерной системы: O = [oj], i = 1, …n. 2. Конечное множество субъектов компьютерной системы: S = [si], 1, …m. Считается, что все субъекты системы одновременно являются и её объектами (S O). 6
Мандатная модель Белла-Ла. Падулы 3. Потоки типа: Read и Write. 4. Матрица прав доступа: A = [aij], i = 1, …m, j = 1, …n+m. 5. Множество запросов на выполнение потоков типа read или write: R = [rg], g = 1, …k. 6. Функция перехода T, которая при выполнении запроса на запись или чтение, переводит систему из состояния Q в состояние Q'. 7
Мандатная модель Белла-Ла. Падулы 7. Функция уровня безопасности F, которая ставит в соответствие каждому объекту и субъекту системы определенный уровень безопасности, принадлежащий множеству уровней безопасности D, на котором определена решётка уровней безопасности. 8
Мандатная модель Белла-Ла. Падулы Состояние системы характеризуется состоянием матрицы А, содержащей права доступа, соответствующие типам реализуемых потоков (Read и Write), и функцией уровня безопасности F. Множество состояний системы представляется в виде упорядоченных пар (A, F). Начальное состояние системы обозначается как Q 0. Выполнение запроса r 0 из множества R переводит систему в состояние Q 1 с помощью функции перехода Т. Система, находящаяся в состоянии Q 1, при получении следующего запроса r 1 из множества R переходит в следующее состояние Q 2 и т. д. 9
Мандатная модель Белла-Ла. Падулы Состояние Qk достижимо тогда и только тогда, когда существует последовательность: Т (Q 0, r 0), Т(Q 1, r 1), … Т (Qk-1, rk-1), Т(Qk). Считается, что для любой системы состояние Q 0 тривиально достижимо. В мандатных моделях контролируются потоки информации: Stream(si, oi) oj (поток типа запись ) Stream(si, oj) oi (поток типа чтение). 10
Мандатная модель Белла-Ла. Падулы Для упорядочения потоки информации в компьютерной системе используется решётка уровней безопасности – математическая модель, построенная на основе положений абстрактной алгебры. 11
Мандатная модель Белла-Ла. Падулы В решётке уровней безопасности рассматривается: ü множество уровней безопасности - D; ü отношение порядка - ; ü наименьшая верхняя граница двух элементов множества D; ü наибольшая нижняя граница двух элементов множества D. Считается, что отношение порядка должно быть рефлексивным, антисимметричным и транзитивным. 12
Мандатная модель Белла-Ла. Падулы Подмножества, в которых субъекты и объекты компьютерной системы имеют с точки зрения модели безопасности эквивалентные свойства, называются классами. Пусть имеются два класса А и В. Рассмотрим применение основных положений решётки уровней безопасности относительно этих двух классов. 13
Мандатная модель Белла-Ла. Падулы Использование в модели Белла. Ла. Падулы отношения порядка ≤ позволяет установить направление потоков информации. Например, если уровень безопасности класса В доминирует над уровнем безопасности класса А: F (А) ≤ F (В), то информация может передаваться от элементов класса А к элементам класса В. 14
Мандатная модель Белла-Ла. Падулы Класс некоторого подмножества субъектов и объектов определяет уровень безопасности содержащейся в этом классе информации, поэтому все подмножества одного и того же класса содержат с точки зрения безопасности одинаковую информацию. Следовательно, нет смысла запрещать потоки информации между субъектами и объектами одного класса. 15
Мандатная модель Белла-Ла. Падулы Это означает, что отношение порядка ≤ на множестве D должно быть рефлексивным: d Є D : d ≤ d. Отношение порядка рефлексивно, если для каждого элемента d множества D условие d ≤ d истинно. С точки зрения уровней безопасности это означает, что разрешена передача информации между субъектами и объектами одного уровня безопасности. 16
Мандатная модель Белла-Ла. Падулы Если информация может передаваться от субъектов и объектов класса А к субъектам и объектам класса В и от субъектов и объектов класса В к субъектам и объектам класса А, то классы А и В содержат информацию одного уровня безопасности, и с точки зрения безопасности эквивалентны одному классу (АВ). 17
Мандатная модель Белла-Ла. Падулы 18
Мандатная модель Белла-Ла. Падулы Если информация может передаваться от субъектов и объектов класса А к субъектам и объектам класса В, и от субъектов и объектов класса В к субъектам и объектам класса С, то она может передаваться от субъектов и объектов класса А к субъектам и объектам класса С. 19
Мандатная модель Белла-Ла. Падулы Поэтому отношение порядка ≤ должно быть транзитивным: d 1, d 2, d 3 Є D : (d 1 ≤ d 2 Λ d 2 ≤ d 3) => d 1 ≤ d 3. Отношение порядка транзитивно, если для каждых трех элементов d 1, d 2, d 3, принадлежащих множеству D, из истинности выражения d 1 ≤ d 2 Λ d 2 ≤ d 3 следует истинность выражения d 1 ≤ d 3. 20
Мандатная модель Белла-Ла. Падулы Следующее свойство решётки состоит в том, что для каждой пары d 1 и d 2 элементов множества D можно указать единственный элемент наименьшей верхней границы и единственный элемент наибольшей нижней границы. Эти элементы также принадлежат множеству D и обозначаются с помощью операторов • и. . 21
Мандатная модель Белла-Ла. Падулы Оператор • позволяет определить наименьшую верхнюю границу для уровней безопасности: d 1 • d 2 = d <=> d 1, d 2 ≤ d Λ d' Є D: d' ≤ d => (d' ≤ d 1 V d' ≤ d 2). Оператор позволяет определить наибольшую нижнюю границу для уровней безопасности: d 1 d 2 = d <=> d ≤ d 1, d 2 Λ d' Є D: (d' ≤ d 1 Λ d' ≤ d 2) => d' ≤ d. пары 22
Мандатная модель Белла-Ла. Падулы Смысл этих определений заключается в том, что для каждой пары элементов (или множества элементов, поскольку операторы • и транзитивны) всегда можно указать единственный элемент, ограничивающий её сверху или снизу таким образом, что между ними и этим элементом не будет других элементов. 23
Мандатная модель Белла-Ла. Падулы В мандатных моделях функция уровня безопасности F вместе с решёткой уровней безопасности определяют все допустимые отношения доступа между субъектами и объектами компьютерной системы. 24
Мандатная модель Белла-Ла. Падулы 25
Мандатная модель Белла-Ла. Падулы Белл и Ла. Падула предложили следующее определение безопасного состояния. 1). Состояние (F, A) называется безопасным по чтению (или просто безопасным) тогда и только тогда, когда для каждого субъекта si, который реализует в этом состоянии поток типа read к объекту oj, уровень безопасности субъекта si доминирует над уровнем безопасности объекта oj. si S, oj O, read aij F(si) F(oj), i = 1, …m, j = 1, …n. 26
Мандатная модель Белла-Ла. Падулы 2). Состояние (F, A) называется безопасным по записи ( или *- безопасным ) тогда и только тогда, когда для каждого субъекта si, который реализует в этом состоянии поток типа write к объекту oj, уровень безопасности объекта oj доминирует над уровнем безопасности субъекта si si S, oj O, write aij F(oj) F(si), i = 1, …m, j = 1, …n. 3). Состояние системы безопасно тогда и только тогда, когда оно безопасно и по чтению, и по записи. 27
Мандатная модель Белла-Ла. Падулы Критерий безопасности системы: Система (Q 0, R, T) безопасна тогда и только тогда, когда её начальное состояние Q 0 безопасно и все состояния, достижимые из Q 0 в результате применения конечной последовательности запросов из R безопасны. Белл и Ла. Падула доказали теорему, формально определяющую безопасность системы при соблюдении необходимых условий. Эта теорема называется Основной теоремой безопасности. 28
Мандатная модель Белла-Ла. Падулы Основная теорема безопасности Система (Q 0, R, T) безопасна тогда и только тогда, когда а) начальное состояние системы Q 0 безопасно, б) для любого состояния Q', достижимого из Q 0 в результате выполнения конечной последовательности запросов из R таких, что Q = (F, A); T(Q, rg) = Q'; Q' = (F', A') выполняются следующие условия: 29
Мандатная модель Белла-Ла. Падулы если read aij' read aij, то F' (si) F' (oj), если read aij F' ( si ) < F' (oj), то read aij', если write aij' write aij, то F' (oj) F' (si), если write aij F' (oj) < F' (si), то write aij'. 30
Мандатная модель Белла-Ла. Падулы Теорема утверждает, что система с безопасным начальным состоянием Q 0 является безопасной тогда и только тогда, когда при любом переходе системы из одного состояния в другое не возникает никаких новых и не сохраняется никаких предыдущих отношений доступа (потоков), которые будут небезопасны по отношению к функции уровня безопасности нового состояния. 31
Безопасная функция перехода. Теорема безопасности Мак-Лина Из теоремы так же следует, что все состояния, в которые может перейти система из безопасного состояния, при определенных условиях безопасны. Но при этом ничего не говорится о том, что могут ли в процессе перехода изменяться уровни безопасности субъектов и объектов. Если в процессе перехода системы из одного состояния в другое уровни безопасности субъектов и объектов могут изменяться, то это может привести к потере свойств безопасности системы. 33
Безопасная функция перехода. Теорема безопасности Мак-Лина Мак-Лин сформулировал теорему, в которой не только констатировалась безопасность всех достижимых состояний в системе при выполнении определенных условий, но и гарантировалась безопасность в процессе выполнения переходов между состояниями. Для этого Мак-Лин ввел дополнительные правила, определяющие изменения уровней безопасности при переходе системы из одного состояния в другое. 34
Безопасная функция перехода. Теорема безопасности Мак-Лина При таком подходе функция уровня безопасности представляется в виде двух функций: Fs - которая ставит каждому субъекту системы в соответствие определенный уровень безопасности из множества D; Fo - которая ставит каждому объекту системы в соответствие определенный уровень безопасности из множества D. 35
Безопасная функция перехода. Теорема безопасности Мак-Лина Функция перехода T считается безопасной по чтению, если для любого перехода T(Q, r) = T' выполняются следующие условия: 1) если Read aij' Λ Read aij (возникает новое отношение доступа), то Fs'(si) Fo'(oj); F = F'. 36
Безопасная функция перехода. Теорема безопасности Мак-Лина 2) если Fs Fs' (изменяются уровни безопасности субъекта), то A = A', Fo = Fo' и для si и oj, для которых Fs'(si) Fo'(oj), Read aij', i = 1, …m, j = 1, …n. 37
Безопасная функция перехода. Теорема безопасности Мак-Лина 3) если Fo Fo' (изменяется уровень безопасности объекта), то A = A', Fs = Fs' и для si и oj, для которых Fs'(si) Fo'(oj), Read aij', i = 1, …m, j = 1, …n. 38
Безопасная функция перехода. Теорема безопасности Мак-Лина Функция перехода T считается безопасной по записи, если для любого перехода T(Q, r) = T' выполняются следующие три условия: 1) если Write aij' Λ Write aij (возникает новое отношение доступа), то Fo'(oj) Fs'(si); F = F'. 39
Безопасная функция перехода. Теорема безопасности Мак-Лина 2) если Fs Fs' (изменяются уровни безопасности субъекта), то A = A', Fo = Fo' и для si и oj, для которых Fs'(si) Fo'(oj), Write aij', i = 1, …m, j = 1, …n. 40
Безопасная функция перехода. Теорема безопасности Мак-Лина 3) если Fo Fo' (изменяется уровень безопасности объекта), то A = A', Fs = Fs' и для si и oj, для которых Fs'(si) Fo'(oj), Write aij', i = 1, …m, j=1, …n. 41
Безопасная функция перехода. Теорема безопасности Мак-Лина Функция перехода является безопасной тогда и только тогда, когда она одновременно безопасна и по чтению и по записи. Смысл введения перечисленных ограничений и их принципиальное отличие от условий теоремы Белла-Ла. Падулы состоит в том, что нельзя изменить одновременно более одного компонента состояния системы. В процессе перехода - либо возникает новое отношение доступа, - либо изменяется уровень безопасности субъекта, - либо изменяется уровень безопасности объекта. 42
Безопасная функция перехода. Теорема безопасности Мак-Лина Следовательно, функция перехода является безопасной тогда и только тогда, когда она изменяет только один из компонентов состояния, и изменения не приводят к нарушению безопасности системы. Поскольку безопасный переход из состояния Q в состояние Q' позволяет изменяться только одному компоненту, и так как этот компонент может быть изменен только способами, сохраняющими безопасность состояния Q', была доказана следующая теорема о свойствах безопасной системы. 43
Безопасная функция перехода. Теорема безопасности Мак-Лина Система безопасна в любом состоянии и в процессе переходов между ними, если ее начальное состояние является безопасным, а функция перехода удовлетворяет критерию Мак-Лина. 44
Мандатная модель Белла-Ла. Падулы Все мандатные модели используют только два права доступа – чтение и запись. В компьютерных системах поддерживается более широкий спектр операций над информацией. Поэтому применении мандатной модели к реальной системе, необходимо установить подходящее соответствие между операциями чтения и записи и операциями, реализованными в конкретной системе. Определение такого соответствия представляет нетривиальную задачу. 45
Мандатная модель Белла-Ла. Падулы В заключение необходимо отметить, несмотря на то, что мандатная модель относится к базовой модели безопасности, составляющей основу теории защиты информации, её применение на практике связано со значительными трудностями. 46
Белла-ЛаПадула новый 2014.ppt