Расширенная модель Take-Grant

Содержание

Слайд 2

МОДЕЛЬ TAKE-GRANT

Модель TAKE-GRANT, имеющая важное теоретическое значение в исследовании процессов распространения прав

МОДЕЛЬ TAKE-GRANT Модель TAKE-GRANT, имеющая важное теоретическое значение в исследовании процессов распространения
доступа в системах, основанных на политике дискреционного доступа, была представлена Джонсом, Липтоном и Шнайдером в 1976 г.

Слайд 3

МОДЕЛЬ TAKE-GRANT

Модель распространения прав доступа Take-Grant, предложенная в 1976 г., используется для

МОДЕЛЬ TAKE-GRANT Модель распространения прав доступа Take-Grant, предложенная в 1976 г., используется
анализа систем дискреционного разграниче­ния доступа, в первую очередь для анализа путей распространения прав доступа в таких системах. В качестве основных элементов модели ис­пользуются граф доступов и правила его преобразования. Цель модели - дать ответ на вопрос о возможности получения прав доступа субъектом системы на объект в состоянии, описываемом графом доступов. В на­стоящее время модель Take-Grant получила продолжение как расширен­ная модель Take-Grant, в которой рассматриваются пути возникнове­ния информационных потоков в системах с дискреционным разграничени­ем доступа.

Слайд 4

ФОРМАЛЬНОЕ ОПИСАНИЕ МОДЕЛИ TAKE-GRANT.

Обозначим: О - множество объектов (например, файлов или сегментов

ФОРМАЛЬНОЕ ОПИСАНИЕ МОДЕЛИ TAKE-GRANT. Обозначим: О - множество объектов (например, файлов или
памяти);
S  ⊆  О - множество активных объектов - субъектов (например, пользователей или процессов);
R (r1, r2,…, rK ) ∪ {t, g} - множество прав доступа, где t(take) - право брать права доступа, g(grant) - право давать права доступа;
G = (S, О, E) - конечный помечен­ный ориентированный граф без петель, представляющий текущие досту­пы в системе;
множества S, О соответствуют вершинам графа, которые обозначим: 
⊗ - объекты (элементы множества O\S); 
• -субъекты (элемен­ты множества S);
элементы множества E ⊆ O x O x R представляют дуги графа, помеченные непустыми подмножествами из множества прав дос­тупа R.

Слайд 5

ОСНОВНЫЕ ПОЛОЖЕНИЯ МОДЕЛИ

1. Компьютерная система рассматривается как граф Γ (O, S, E),

ОСНОВНЫЕ ПОЛОЖЕНИЯ МОДЕЛИ 1. Компьютерная система рассматривается как граф Γ (O, S,
в котором множество вершин представлено (см. рис.1.):
- множеством объектов O доступа;
- множеством субъектов S доступа, причем S ⊆ O, а множество ребер:
- множеством E установленных прав доступа (x, y, α) субъекта x к объекту y с правом α из конечного набора прав α ⊆ R (r1, r2,…, rK ) ∪ {t, g}, в том числе с двумя специфическими правами – правом take (t – право брать права доступа у какого-либо объекта по отношению к другому объекту) и правом grant (g – право предоставлять права доступа к определенному объекту другому субъекту).

Слайд 6

Граф доступов Γ в модели TAKE-GRANT (обозначения:
• – вершины, соответствующие субъектам,

Граф доступов Γ в модели TAKE-GRANT (обозначения: • – вершины, соответствующие субъектам,
⊗ – вершины, соответствующие объектам доступа, α1 ⊆ R – права доступа)

Рис.1.

ОСНОВНЫЕ ПОЛОЖЕНИЯ МОДЕЛИ

Слайд 7

2. Состояния компьютерной системы (т. е. состояние системы разграничения доступа) изменяются под

2. Состояния компьютерной системы (т. е. состояние системы разграничения доступа) изменяются под
воздействием команд 4-х видов:

ОСНОВНЫЕ ПОЛОЖЕНИЯ МОДЕЛИ

2.1. Команда "Брать" – take (α, x, y, z) – см. рис. 2.

Изменение состояния фрагмента графа доступов Γ по команде "Брать" – субъект x берет права доступа α ⊆ β на объект z у объекта y (обозначения:├с – переход графа Γ в новое состояние Γ ' по команде c ; x∈ S; y, z∈ O).

Рис.2.

Слайд 8

ОСНОВНЫЕ ПОЛОЖЕНИЯ МОДЕЛИ

2.2. Команда "Давать" – grant (α, x, y, z) –

ОСНОВНЫЕ ПОЛОЖЕНИЯ МОДЕЛИ 2.2. Команда "Давать" – grant (α, x, y, z)
см. рис. 3.

Субъект x дает объекту y право α ⊆ β на доступ к объекту z

Рис.3.

Слайд 9

ОСНОВНЫЕ ПОЛОЖЕНИЯ МОДЕЛИ

2.3. Команда "Создать" – create (β, x, y) – см.

ОСНОВНЫЕ ПОЛОЖЕНИЯ МОДЕЛИ 2.3. Команда "Создать" – create (β, x, y) –
рис. 4.

Субъект x создает объект y с правами доступа на него β1 ⊆ R (y – новый объект, O'=O ∪{y})

Рис.4.

Слайд 10

ОСНОВНЫЕ ПОЛОЖЕНИЯ МОДЕЛИ

2.4. Команда "Удалить" – remove (α, x, y) – см.

ОСНОВНЫЕ ПОЛОЖЕНИЯ МОДЕЛИ 2.4. Команда "Удалить" – remove (α, x, y) –
рис. 5.

Субъект x удаляет права доступа α ⊆ β на объект y

Рис.5.

Слайд 11

Выразительные методологические возможности модели TAKE - GRANT позволили на ее основе разработать

Выразительные методологические возможности модели TAKE - GRANT позволили на ее основе разработать
расширенную модель TAKE - GRANT, играющую важную роль в исследовании возможностей неявных информационных потоков в дискреционных системах разграничения доступа.

РАСШИРЕННАЯ МОДЕЛЬ TAKE-GRANT

Слайд 12

Определение. Неявным информационным потоком между объектами системы называется процесс переноса информации между

Определение. Неявным информационным потоком между объектами системы называется процесс переноса информации между
ними без их непосредственного взаимодействия.

Слайд 13

Наиболее простым и наглядным примером неявного информационного потока является наличие общего буфера

Наиболее простым и наглядным примером неявного информационного потока является наличие общего буфера
(объекта с правом доступа к нему Read, Write) у двух субъектов. Тогда один из субъектов, просматривая (читая) информацию в буфере, может искать и находить информацию из объектов, которые доступны другому пользователю, и информация из которых в процессе работы с ними может оказаться в общем буфере или, скажем, в общей мусорной информационной корзине. В результате может существовать поток без непосредственного взаимодействия субъекта с объектом доступа.

Слайд 14

ОСНОВНЫЕ ПОЛОЖЕНИЯ МОДЕЛИ

1. КС рассматривается как граф Γ (O, S, E), в

ОСНОВНЫЕ ПОЛОЖЕНИЯ МОДЕЛИ 1. КС рассматривается как граф Γ (O, S, E),
котором множество вершин представлено:
- множеством объектов O доступа;
- множеством субъектов S доступа, причем S⊆O, а множество ребер:
- множеством установленных прав доступа (x, y, α) субъекта x к
объекту y с правом α из набора прав доступа R, включающего
всего два вида (методов) доступа – Read и Write.
2. Для исследования процессов возникновения неявных информационных потоков вводятся шесть команд (операций) преобразования графа доступов1, каждая из которых сопровождается порождением мнимой дуги, собственно и отображающей неявный информационный поток между объектами системы:

Слайд 15

ОСНОВНЫЕ ПОЛОЖЕНИЯ МОДЕЛИ

2.1. Команда (без названия) – см. рис. 6.

Субъект x получает

ОСНОВНЫЕ ПОЛОЖЕНИЯ МОДЕЛИ 2.1. Команда (без названия) – см. рис. 6. Субъект
возможность записи (в себя) информации, осуществляя доступ r к объекту y.

Рис.6.

Слайд 16

ОСНОВНЫЕ ПОЛОЖЕНИЯ МОДЕЛИ

2.2. Команда (без названия) – см. рис. 7.

Субъект x получает

ОСНОВНЫЕ ПОЛОЖЕНИЯ МОДЕЛИ 2.2. Команда (без названия) – см. рис. 7. Субъект
возможность чтения информации, осуществляя доступ w к объекту y.

Рис.7.

Слайд 17

ОСНОВНЫЕ ПОЛОЖЕНИЯ МОДЕЛИ

2.3. Команда post (x, y, z) – см. рис. 8.

Субъект

ОСНОВНЫЕ ПОЛОЖЕНИЯ МОДЕЛИ 2.3. Команда post (x, y, z) – см. рис.
x получает возможность чтения информации от (из) другого субъекта z, осуществляя доступ r к объекту y, к которому субъект z осуществляет доступ w, а субъект z, в свою очередь, получает возможность записи своей информации в субъект x.

Рис.8.

Слайд 18

ОСНОВНЫЕ ПОЛОЖЕНИЯ МОДЕЛИ

2.4. Команда spy (x, y, z) – см. рис. 9.

Субъект

ОСНОВНЫЕ ПОЛОЖЕНИЯ МОДЕЛИ 2.4. Команда spy (x, y, z) – см. рис.
x получает возможность чтения информации из объекта z, осуществляя доступ r к субъекту y, который, в свою очередь, осуществляет доступ r к объекту z, при этом также у субъекта x возникает возможность записи к себе информации из объекта z.

Рис.9.

Слайд 19

ОСНОВНЫЕ ПОЛОЖЕНИЯ МОДЕЛИ

2.5. Команда find (x, y, z) – см. рис. 10.

Субъект

ОСНОВНЫЕ ПОЛОЖЕНИЯ МОДЕЛИ 2.5. Команда find (x, y, z) – см. рис.
x получает возможность чтения информации из объекта z, осуществляя доступ w к субъекту y, который, в свою очередь, осуществляет доступ w к объекту z, при этом также у субъекта x возникает возможность записи к себе информации из объекта z.

Рис.10.

Слайд 20

ОСНОВНЫЕ ПОЛОЖЕНИЯ МОДЕЛИ

2.6. Команда pass (x, y, z) – см. рис. 11.

При

ОСНОВНЫЕ ПОЛОЖЕНИЯ МОДЕЛИ 2.6. Команда pass (x, y, z) – см. рис.
осуществлении субъектом y доступа r к объекту z возникает возможность внесения из него информации в другой объект x, к которому субъект y осуществляет доступ w, и, кроме того, возникает возможность получения информации (чтения) в объекте x из объекта z.

Рис.11.

Слайд 21

ОСНОВНЫЕ ПОЛОЖЕНИЯ МОДЕЛИ

В классической модели Take-Grant по существу рассматриваются два права доступа:

ОСНОВНЫЕ ПОЛОЖЕНИЯ МОДЕЛИ В классической модели Take-Grant по существу рассматриваются два права
t и g, а также четыре правила (правила де-юре) преобразо­вания графа доступов: take, grant, create, remove. В расширенной модели дополнительно рассматриваются два права доступа: на чтение r(read) и на запись w(write), а также шесть правил (правила де-факто) преобразо­вания графа доступов: post, spy, find, pass и два правила без названия.

Слайд 22

ОСНОВНЫЕ ПОЛОЖЕНИЯ МОДЕЛИ

3. Анализ возможности возникновения неявного информационного канала (потока) между двумя

ОСНОВНЫЕ ПОЛОЖЕНИЯ МОДЕЛИ 3. Анализ возможности возникновения неявного информационного канала (потока) между
произвольными объектами (субъектами) x и y системы осуществляется на основе поиска и построения в графе доступов пути между x и y, образованного мнимыми дугами, порождаемыми применением команд 2.1,…, 2.6 к различным фрагментам исходного графа доступов.

Слайд 23

ТЕОРИЯ

В расширенной модели Take-Grant рассматриваются пути и стоимости возникновения информационных потоков в

ТЕОРИЯ В расширенной модели Take-Grant рассматриваются пути и стоимости возникновения информационных потоков
системах с дискреционным разграничением доступа.
Правила де-факто служат для поиска путей возникновения возможных информационных потоков в системе. Эти правила являются следствием уже имеющихся у объектов системы прав доступа и могут стать, причиной возникновения информационного потока от одного объекта к другому без их непосредственного взаимодействия.

Слайд 24

ТЕОРИЯ

В результате применения к графу доступов правил де-факто в него добавляются мнимые

ТЕОРИЯ В результате применения к графу доступов правил де-факто в него добавляются
дуги, помечаемые r или w и изображаемые пунктиром. Вместе с дугами графа, соответствующими правам доступа r и w ( реальными дугами ), мнимые дуги указывают на направление информационных каналов в системе.
Важно отметить, что к мнимым дугам нельзя применять правила де-юре преобразования графа доступов. Информационные каналы нельзя брать или передавать другим объектам системы.

Слайд 25

Каждое правило де-юре требует для достижения своей цели участия одного субъекта, а

Каждое правило де-юре требует для достижения своей цели участия одного субъекта, а
для реализаций правила де-факто необходимы один или два субъекта. Например, в де-факто правилах post, spy, find обязательно взаимодействие двух субъектов. Желательно во множестве всех субъектов выделить подмножество так называемых субъектов - заговорщиков - участников процессов передачи прав или информации. В небольших системах эта задача легко решаема. Многократно просматривая граф доступов и применяя к нему все возможные правила де-юре и де-факто, можно найти замыкание графа доступов, которое будет содержать дуги, соответствующие всем информационным каналам системы. Однако, если граф доступов большой, то найти его замыкание весьма сложно.

ТЕОРИЯ

Слайд 26

В заключение, модель Take-Grant служит для анализа систем защиты с дискреционной политикой

В заключение, модель Take-Grant служит для анализа систем защиты с дискреционной политикой
безопасности. В модели определены условия, при которых происходит передача или похищение прав доступа. Однако на практике редко возникает необходимость в использовании указанных условий, так как при анализе большинства реальных систем защиты не возникают столь сложные по взаимосвязи объектов графы доступов. А сами правила take и grant сравнительно редко используются на практике. В тоже время наиболее часто в реальных системах субъекты используют права доступа на чтение и запись. Поэтому предложенные в расширенной модели Take-Grant подходы к поиску и анализу путей возникновения в системе информационных каналов, определению их стоимости представляются наиболее интересными и актуальными.

ТЕОРИЯ

Имя файла: Расширенная-модель-Take-Grant.pptx
Количество просмотров: 61
Количество скачиваний: 0