Модель Харрисона-Руззо-Ульмана

ВведениеПравить

В современном мире одной из главных ценностей является информация. Поэтому так важно сделать доступ к информации безопасным. В связи с этим были разработаны модели управления доступом. Одной из таких моделей является модель Харрисона-Руззо-Ульмана, главной особенностью которой является матрица с полным описанием пользовательских прав к файлам. Изменения в эту матрицу вводятся с помощью специальных команд.

Описание состояния системыПравить

Основной задачей любой модели управления доступом является ограничение на выполнениe операций, которые разрешено проводить субъекту (пользователю) над объектом. Такими операциями могут являться, например, чтение (поток информации от объекта к субъекту) и запись (поток информации от субъекта к объекту). Введем некоторые обозначения:

 

Матрица доступа

${\displaystyle S}$  — множество субъектов,

${\displaystyle O}$  — множество объектов,

${\displaystyle R=(r_1,r_2,...,r_n)}$  — множество прав доступа.

Для реализации этих прав в данной модели используется матрица доступов ${\displaystyle M}$ , строки которой соответствуют субъектам, а столбцы — объектам. На пересечении строчек и столбцов указаны права доступа, которыми обладает данный субъект по отношению к данному объекту. Тогда текущее состояние системы ${\displaystyle Q}$  можно однозначно записать в таком виде:^[2]

${\displaystyle Q=(S,O,M)}$ 

Переходы между состояниями системыПравить

Для того, чтобы был возможен переход из ${\displaystyle Q=(S,O,M)}$  в ${\displaystyle Q^{\prime }=(S^{\prime },O^{\prime },M^{\prime })}$ , нужно ввести некоторые элементарные операции. Для этой цели в данной модели существует шесть операторов ${\displaystyle op}$ :^[3]

1. Добавление права ${\displaystyle r}$  в ячейку ${\displaystyle M[s;o]}$ :
   • ${\displaystyle op=enterrintoM[s,o]}$ 
2. Удаление права ${\displaystyle r}$  из ячейки ${\displaystyle M[s;o]}$ :
   • ${\displaystyle op=deleterfromM[s,o]}$ 
3. Создание нового субъекта ${\displaystyle s}$ :
   • ${\displaystyle op=createsubject{s}^{\prime }}$ 
4. Создание нового объекта ${\displaystyle o}$ :
   • ${\displaystyle op=createobject{o}^{\prime }}$ 
5. Удаление субъекта ${\displaystyle s}$ :
   • ${\displaystyle op=destroysubjects}$ 
6. Удаление объекта ${\displaystyle o}$ :
   • ${\displaystyle op=destroyobjecto}$ 

Условия выполнения и новое состояние системы записаны в виде таблицы:^[4]

Оператор	Условия выполнения	Новое состояние системы
${\displaystyle op=enterrintoM[s,o]}$	${\displaystyle s\in <!--\; \in \; -->S,o\in <!--\; \in \; -->O}$	${\displaystyle S^{\prime }=S,O^{\prime }=O,A^{\prime }[s,o]=A[s,o]\cup <!--\; \cup \; -->\{r\},}$  ${\displaystyle if(s^{\prime },o^{\prime })\ne <!--\; \ne \; -->(s,o)\Rightarrow <!--\; \Rightarrow \; -->A^{\prime }[s^{\prime },o^{\prime }]=A[s^{\prime },o^{\prime }]}$
${\displaystyle op=deleterfromM[s,o]}$	${\displaystyle s\in <!--\; \in \; -->S,o\in <!--\; \in \; -->O}$	${\displaystyle S^{\prime }=S,O^{\prime }=O,A^{\prime }[s,o]=A[s,o]\setminus <!--\; \setminus \; -->\{r\},}$  ${\displaystyle if(s^{\prime },o^{\prime })\ne <!--\; \ne \; -->(s,o)\Rightarrow <!--\; \Rightarrow \; -->A^{\prime }[s^{\prime },o^{\prime }]=A[s^{\prime },o^{\prime }]}$
${\displaystyle op=createsubject{s}^{\prime }}$	${\displaystyle s^{\prime }\notin <!--\; \notin \; -->S}$	${\displaystyle S^{\prime }=S\cup <!--\; \cup \; -->\{s^{\prime }\},O^{\prime }=O,}$  ${\displaystyle if(s,o)\in <!--\; \in \; -->S\times <!--\; \times \; -->O\Rightarrow <!--\; \Rightarrow \; -->A^{\prime }[s,o]=A[s,o],}$  ${\displaystyle ifo\in <!--\; \in \; -->O^{\prime }\Rightarrow <!--\; \Rightarrow \; -->A^{\prime }[s^{\prime },o]=\mathrm{\varnothing <!--\; \varnothing \; -->}}$
${\displaystyle op=createobject{o}^{\prime }}$	${\displaystyle o^{\prime }\notin <!--\; \notin \; -->O}$	${\displaystyle S^{\prime }=S,O^{\prime }=O\cup <!--\; \cup \; -->\{o^{\prime }\},}$  ${\displaystyle if(s,o)\in <!--\; \in \; -->S\times <!--\; \times \; -->O\Rightarrow <!--\; \Rightarrow \; -->A^{\prime }[s,o]=A[s,o],}$  ${\displaystyle ifs\in <!--\; \in \; -->S^{\prime }\Rightarrow <!--\; \Rightarrow \; -->A^{\prime }[s,o^{\prime }]=\mathrm{\varnothing <!--\; \varnothing \; -->}}$
${\displaystyle op=destroysubjects}$	${\displaystyle s^{\prime }\in <!--\; \in \; -->S}$	${\displaystyle S^{\prime }=S\setminus <!--\; \setminus \; -->\{s^{\prime }\},O^{\prime }=O,}$  ${\displaystyle if(s,o)\in <!--\; \in \; -->S^{\prime }\times <!--\; \times \; -->O^{\prime }\Rightarrow <!--\; \Rightarrow \; -->A^{\prime }[s,o]=A[s,o],}$
${\displaystyle op=destroyobjecto}$	${\displaystyle o^{\prime }\in <!--\; \in \; -->O}$	${\displaystyle S^{\prime }=S,O^{\prime }=O\setminus <!--\; \setminus \; -->\{o^{\prime }\},}$  ${\displaystyle if(s,o)\in <!--\; \in \; -->S^{\prime }\times <!--\; \times \; -->O^{\prime }\Rightarrow <!--\; \Rightarrow \; -->A^{\prime }[s,o]=A[s,o],}$

Любой переход может быть осуществлен с помощью такой команды:^[5]

command ${\displaystyle \mathrm{\alpha <!--\; \alpha \; -->}(x_1,x_2,...,x_n)}$ 
    if ${\displaystyle r_{1}inM[s_1,o_1]and}$ 
       ${\displaystyle r_{2}inM[s_2,o_2]and}$ 
       ${\displaystyle ...}$ 
       ${\displaystyle r_{m}inM[s_m,o_m]}$ 
    then
         ${\displaystyle o{p}_1,}$ 
         ${\displaystyle o{p}_2,}$ 
         ${\displaystyle ...}$ 
         ${\displaystyle o{p}_k,}$ 
end

Пример командыПравить

Примером команды, которая является комбинацией элементарных операций ${\displaystyle op}$ , может служить создание файла ${\displaystyle F}$  пользователем ${\displaystyle P}$  и получение им прав на чтение ${\displaystyle read}$ :^[1]

command ${\displaystyle CreateFile(F,P)}$  
      ${\displaystyle createobjectF,}$ 
      ${\displaystyle enterreadintoM[P,F],}$ 
end

Системы в модели Харрисона-Руззо-УльманаПравить

Любая система в модели Харрисона-Руззо-Ульмана характеризуется матрицей доступа ${\displaystyle M}$ , конечным количеством прав ${\displaystyle R=(r_1,r_2,...,r_n)}$ , объектов ${\displaystyle O=(o_1,o_2,...,o_m)}$ , субъектов ${\displaystyle S=(s_1,s_2,...,s_l)}$  и операций ${\displaystyle A=({\mathrm{\alpha <!--\; \alpha \; -->}}_1,{\mathrm{\alpha <!--\; \alpha \; -->}}_2,...,{\mathrm{\alpha <!--\; \alpha \; -->}}_k)}$ . Система является монооперационной, если каждая команда ${\displaystyle {\mathrm{\alpha <!--\; \alpha \; -->}}_i}$  данной системы выполняет лишь одну элементарную операцию ${\displaystyle op}$ .^[6]

Критерий безопасности системыПравить

Для заданной системы исходное состояние ${\displaystyle Q_0=(S_0,O_0,M_0)}$  называется безопасным относительно права ${\displaystyle r}$ , если не существует такой последовательности команд, которая изменила бы заданное начальное состояние системы так, что право ${\displaystyle r}$  записалось бы в ячейку ${\displaystyle M[s;o]}$ , в которой оно отсутствовало в начальном состоянии ${\displaystyle Q_0}$ . Если это условие не выполнено, то произошла утечка информации.^[7]

Теорема 1Править

Существует алгоритм, проверяющий на безопасность исходное состояние ${\displaystyle Q_0}$  монооперационной системы на безопасность относительно права ${\displaystyle r}$ .^[8]

ДоказательствоПравить

Чтобы показать, что исходное состояние системы является безопасным относительно права ${\displaystyle r}$ , нужно перебрать все последовательности операций и проверить на отсутствие утечки права ${\displaystyle r}$  для каждого конечного состояния. Из этого следует, что условием возможности проверки на безопасность будет ограниченность количества последовательностей операций. Пусть ${\displaystyle {\mathrm{\alpha <!--\; \alpha \; -->}}_1,{\mathrm{\alpha <!--\; \alpha \; -->}}_2,...,{\mathrm{\alpha <!--\; \alpha \; -->}}_k}$  — некоторая последовательность операций. Заметим, что её можно упростить. Команды ${\displaystyle delete}$  и ${\displaystyle destroy}$  уберем из последовательности, так как нас интересует наличие права в ячейке, а не его отсутствие. Добавим команду ${\displaystyle createsubject}$  в начало последовательности операций и создадим таким образом субъект ${\displaystyle s_{add}}$ . Заменим ссылки на субъекты и объекты, создаваемые другими командами ${\displaystyle createsubject}$  и ${\displaystyle createobject}$ , ссылкой на ${\displaystyle s_{add}}$ . Остальные команды ${\displaystyle createsubject}$  и ${\displaystyle createobject}$  убираем, так как ввиду монооперационности системы нельзя создать субъект и определить для него права в одной операции. В результате остается одна команда ${\displaystyle createsubject}$  и множество команд ${\displaystyle enter}$ , максимальное число которых легко посчитать по формуле ${\displaystyle N=|R|(|S_0|+1)(|O_0|+1)}$ . Из этого следует, что число последовательностей операций ограниченно, а значит возможно перебором проверить на безопасность состояние системы относительно права ${\displaystyle r}$ .^[8]

Теорема 2Править

Задача определения безопасности исходного состояния ${\displaystyle Q_0}$  системы общего вида для данного права ${\displaystyle r}$  является неразрешимой.^[9]

ДоказательствоПравить

Чтобы доказать данную теорему, достаточно свести задачу определения безопасности к задаче остановки машины Тьюринга, которая является заведомо неразрешимой.^[9]

Преимущества^[10]Править

1. Простота и наглядность, так как для данной модели не требуется сложных алгоритмов.
2. Эффективность в управлении, так как возможно управление правами пользователей с точностью до операции.
3. Сильный критерий безопасности.

Недостатки^[10]Править

1. Не существует алгоритма проверки на безопасность для произвольной системы.
2. Уязвимость для атаки с помощью троянского коня, так как в данной модели не существует контроля за потоками информации между субъектами.

Несмотря на то, что модель Харрисона-Руззо-Ульмана не предоставляет алгоритма проверки на безопасность для произвольной системы, данная модель нашла свою нишу в мире и используется при формальной верификации корректности построения систем разграничения доступа в высокозащищённых автоматизированных системах. На данный момент создание и развитие моделей управления доступом заключается в основном в проектировании различных модификаций модели Харрисона-Руззо-Ульмана и в поиске условий, при которых бы задача определения безопасности была алгоритмически разрешимой.^{[9] [11]}

Аналогом модели Харрисона-Руззо-Ульмана является модель Белла-Лападулы, которая предусматривает разделение объектов и субъектов на уровни секретности, а также контролирует поток данных от субъекта к субъекту. Так субъект, имеющий менее высокий уровень секретности, чем у объекта, не получит права доступа к этому объекту. Это создает ряд преимуществ и недостатков по сравнению с моделью Харрисона-Руззо-Ульмана. Модель Белла — Лападулы не подвержена атакам с помощью троянских коней, более безопасна. Но модель Харрисона-Руззо-Ульмана более эффективна в управлении и проста в использовании. Поэтому каждая из этих моделей нашла свое применение.^[12]

• Модель Грэхэма-Деннинга
• Модель Белла — Лападулы

• Цирлов В.Л. Основы информационной безопасности автоматизированных систем. — Феникс, 2008. — С. 34—40. — 173 с. — ISBN 978-5-222-13164-0.
• Harrison M., Ruzzo W., Ullman J. ESIGN: Protection in operating systems (англ.). — 1976. — Август (т. 19, № 8). — С. 461–471. — ISSN 0001-0782.
• Девянин П.Н. 2.1.1. Элементы теории ХРУ // Модели безопасности компьютерных систем. — Москва: Академия, 2005. — С. 18—25. — 144 с. — ISBN 5-7695-2053-1.
• Гаценко О. Ю. Защита информации. Основы организационного управления.. — Санкт-Петербург: Сентябрь, 2001. — С. 34—45. — 228 с. — ISBN 5-94234-015-3.