Типизированная матрица доступа 1 Типизированная матрица доступа

Типизированная матрица доступа 1

Типизированная матрица доступа Модель Типизированная матрица доступа (по английски ТАМ) относится к дискреционным моделям разграничения доступа. В модели ТАМ используются основные положения дискреционной модели Харрисона. Руззо-Ульмана. Отличие состоит в том, что в ТАМ усилен критерий безопасности за счёт введения понятия типов – родительского и дочернего. 2

Типизированная матрица доступа В модели рассматриваются: 1. Конечное множество объектов компьютерной системы O = [oj], 1, …, n. 2. Конечное множество субъектов компьютерной системы S = [si], 1, …, m. Считается, что все субъекты системы одновременно являются и ее объектами: S O (S является подмножеством O). 3

Типизированная матрица доступа 3. Конечное множество прав доступа R = [rg], 1, …, k. 4. Матрица прав доступа A = [aij], содержащая права доступа субъектов к объектам компьютерной системы (i = 1, …, m, j = 1, …, n+m), Причем элемент матрицы aij рассматривается как подмножество множества R. aij R (R содержит aij). 4

Типизированная матрица доступа 5. Множество типов, которые могут быть поставлены в соответствие объектам и субъектам компьютерной системы T = [ tb ], b = 1, …, w. Например, печатающие устройства, жесткие диски, базы данных и файлы определённых типов и назначений и т. п. 5

Типизированная матрица доступа 6. Конечное множество команд С = [ cz (аргументы)], z = 1, …, l, аргументами команд служат идентификаторы объектов и субъектов с указанием их типов. 6

Типизированная матрица доступа Каждая команда включает условия выполнения команды и элементарные операции, которые могут быть выполнены над субъектами и объектами компьютерной системы, и имеет следующую структуру: Command cz (аргументы) Условия выполнения команды Элементарные операции End 7

Типизированная матрица доступа Смысл элементарных операций в модели ТАМ совпадает со смыслом аналогичных операций, используемых в модели Xappисона-Руззо-Ульмана с точностью до использования типов. 8

Типизированная матрица доступа В ТАМ перед выполнением команды происходит проверка типов субъектов и объектов. Такой контроль типов для параметров команд приводит к неявному введению дополнительных условий, позволяющих усилить критерий безопасности. 9

Типизированная матрица доступа Поведение системы моделируется с помощью понятия состояние. Состояние системы определяется: • конечным множеством субъектов (S), • конечным множеством объектов (O), считается, что все субъекты системы одновременно являются и ее объектами (S O), • матрицей прав доступа (A). 10

Типизированная матрица доступа Состояние системы описывается следующим образом: Q (S, O, F, A), где S, O и A обозначают соответственно множество субъектов, множество объектов и матрицу доступа, F – функцию, которая объектам и субъектам ставит в соответствие некоторый тип. 11

Типизированная матрица доступа Если система находится в состоянии Q, то выполнение элементарной операции переводит её в некоторое другое состояние Q', которое отличается от предыдущего состояния хотя бы одним компонентом. 12

Типизированная матрица доступа В модели ТАМ определены следующие элементарные операции. 1. Добавление субъекту si права rg для объекта oj: Enter rg into aij. 2. Удаление у субъекта si права rg для объекта oj: Delete rg from aij. Выполнение этих элементарных операций приводит к тем же изменениям в состоянии системы, как и их выполнение в модели Харрисона-Руззо-Ульмана. 13

Типизированная матрица доступа При выполнении этих операций типы объектов и субъектов остаются без изменения: (oj : toj)' = (oj : toj), j = 1, …n+m, (si : tsi)' = (si : tsi), i = 1, …m. 14

Типизированная матрица доступа 3. Создание нового субъекта sx с типом tsx Create subject sx of type tsx. Выполнение этой элементарной операции приводит к тем же изменениям в состоянии системы, как и ее выполнение в модели Xappисона- Руззо. Ульмана. 15

Типизированная матрица доступа Субъекту sx и объекту ox ставится в соответствие тип tsx из множества T sx : tsx и ox : tsx, типы остальных субъектов и объектов остаются без изменения: (oj : toj)' = (oj : toj), если j ≠ x, j = 1, …n+m, (si : tsi)' = (si : tsi), если i ≠ x, i = 1, …m. 16

Типизированная матрица доступа 4. Удаление субъекта sx с типом tsx Destroy subject sx of type tsx. Выполнение этой элементарной операций приводит к тем же изменениям в состоянии системы, как и ее выполнение в модели Xappисона. Руззо-Ульмана. 17

Типизированная матрица доступа Типы субъекта sx и соответствующего ему объекта ox становятся неопределенными: tsx' = ø tox ' = ø Типы остальных объектов и субъектов остаются без изменения: (oj : toj)' = (oj : toj), если j ≠ x, j = 1, …n+m, (si : tsi)' = (si : tsi), если i ≠ x, i = 1, …m. 18

Типизированная матрица доступа 5. Создание в системе нового объекта oy с типом toy Create object oy of type toy. Выполнение этой элементарной операции приводит к тем же изменениям в состоянии системы, как и их выполнение в модели Xappисона- Руззо. Ульмана. 19

Типизированная матрица доступа Объекту oy ставится в соответствие тип toy из множества T: oy' : toy, типы остальных объектов и субъектов при выполнении этой операций остаются без изменения: (oj : toj)' = (oj : toj), если j ≠ y, j = 1, …n+m, (si : tsi)' = (si : tsi), i = 1, …m. 20

Типизированная матрица доступа 6. Удаление существующего объекта oy с типом toy Destroy object oy of type toy. Выполнение этой элементарной операции приводит к тем же изменениям в состоянии системы, как и их выполнение в модели Xappисона. Руззо-Ульмана. 21

Типизированная матрица доступа Тип объекта oy становится неопределенным: toy = ø, 22

Типизированная матрица доступа Таким образом, ТАМ является обобщением модели Харрисона-Руззо. Ульмана, которую можно рассматривать как частный случай ТАМ с одним единственным типом, к которому относятся все объекты и субъекты компьютерной системы. 23

Типизированная матрица доступа Для определения критерия безопасности вводятся понятия дочернего и родительского типов. Тип ti считается дочерним, если среди элементарных операций, выполняемых командой, существует элементарная операция создания субъекта или объекта с типом ti. В противном случае тип ti считается родительским типом. В одной команде тип может быть одновременно и родительским, и дочерним. 24

Типизированная матрица доступа Например, в команде Command Cz(s 1 : t 1, s 2 : t 1, s 3 : t 2, o 1 : t 3) Create Subject s 2 of type t 1 Create Subject s 3 of type t 4 End t 1 – родительский относительно s 1, t 1 – дочерний относительно s 2, t 2 – родительский, t 3 – родительский, t 4 – дочерний. 25

Типизированная матрица доступа Критерий безопасности дискреционной модели Харрисона-Руззо-Ульмана усиливается за счёт введения следующего ограничения: субъекты или объекты не могут быть созданы, если для них отсутствует родительский тип. 26

Типизированная матрица доступа При таком подходе к решению задачи можно описать взаимосвязи между различными типами с помощью графа, определяющего отношение «наследственности» между типами, устанавливаемыми через операции порождения субъектов и объектов. Такой граф называется графом создания и представляет собой направленный граф с множеством вершин Т, в котором ребро от ti к tk существует тогда и только тогда, когда в системе выполняется команда создания субъекта или объекта, в которой тип ti является родительским типом, а tk – дочерним. 27

Типизированная матрица доступа Например, граф создания для приведённой выше команды Cz содержит следующие рёбра: (t 1 , t 1), (t 1, t 4), (t 2, t 1), (t 2, t 4), (t 3, t 1), (t 3, t 4). 28

Типизированная матрица доступа Граф создания позволяет определить: - объекты и субъекты, каких типов должны быть созданы в системе, чтобы в ней мог существовать объект или субъект заданного типа, - объекты и субъекты, каких типов могут быть порождены при участии объектов и субъектов заданного типа. 29

Типизированная матрица доступа Следовательно, последовательность состояний системы в модели ТАМ должна определяться некоторым маршрутом соответствующему графу создания, т. к. не возможно появление субъектов и объектов дочерних типов, если в системе отсутствуют родительские типы, которые должны участвовать в их создании. 30

Типизированная матрица доступа Пример. Пусть требуется создать аутентифицирующий объект Оаут типа tаут, используя систему программирования С++ (субъект Sс++ типа tc++). Субъекту Sадм назначить права доступа Read и Write к объекту Оаут. Следовательно, для создания объекта Оаут необходим субъект Sc++. Тогда на графе создания должно быть ребро Sс++: Оаут. 31

Типизированная матрица доступа Субъект Sс++ должен иметь родительский тип, а объект Оаут – дочерний. Следовательно, должны быть выполнены две команды: Command_1 (Sс++ : tc++) if Sс++ Є S and tc++ Є T then Create subject Sс++ of type tc++ End 32

Типизированная матрица доступа Command_2 (Sс++ : tc++ , Оаут : tаут) if Sс++ Є S and Оаут Є O and tc++ Є T and tаут Є T and if write Є aадм, аут (Q 0) and if read Є aадм, аут (Q 0) then Create object Оаут of type tаут Enter Read into aадм, аут Enter Write into aадм, аут End 33