Формализация модели безопасности
Формализация модели безопасности заключается в том, что представляются логические выражения, связывающие множества субъектов-объектов с множествами видов доступа (операций) в сети. Эта связь управляется и контролируется администраторами, вызывающими те или иные сервисы/механизмы безопасности.
Рассмотрим наиболее часто встречающиеся операции, характерные для АС масштаба подразделения. При этом будем придерживаться таких обозначений: Comm(S) —-—>0 означает, что
субъект S выполняет команду Сотт над объектом О под управлением (при разрешении) администратора А.
Создание пары «субъект—объект» — достаточно часто встречающаяся операция, выполняющаяся при появлении как нового пользователя АС, так и нового объекта доступа. Конечно, для ускорения ее выполнения на практике обычно будет связываться не конкретный субъект с конкретным объектом, а член группы субъектов с членом группы объектов.
Для каждой группы ресурсов определена группа субъектов, которые имеют к нему различные типы доступов. Точно так же для каждой группы субъектов определены их права на доступ к группам объектов. Для простоты изложения рассмотрим создание связи «субъект—объект» (СО).
|
|
Создание субъекта.
1. АС создает вначале «пустого» субъекта: Generate(As) -> Sh где
As — АС, затем наделяет его определенными правами по отношению к объекту (группе объектов), включает в ту или иную группу субъектов (например, присваивает ему определенный уровень конфиденциальности). Эта информация включается в базы данных АУД. Обозначим эту операцию как RightsQ(As) -» S,,Ad, где RightsQ (•) — права субъекта по отношению к объекту. А,, — АУД.
2. Однако простого наличия прав у субъекта недостаточно для получения доступа к объекту: он может быть лишь идентифицирован. Для того чтобы он мог быть аутентифицирован, ему необходимы атрибуты безопасности. АС через АУД выдает такие атрибуты субъекту. Например, пользователь может физически прибыть для получения пароля/ключа к АС. Другим вариантом является получение пользователем атрибутов удаленным образом — здесь уже АС не вмешивается в работу АУД. Однако в данном случае АРМ пользователя должен быть способен как-то установить защищенное соединение с АУД еще до получения пользователем атрибутов безопасности. Выходом является использование механизмов безопасности на сетевом или канальном уровне, например сетевой карты с криптоинтерфейсом.
Операция получения пользователем атрибутов безопасности может быть записана в виде: Attribs/ —4d4—>5,, где вертикальная черта показывает, что АУД работал по команде АС (хотя в данном случае это не всегда обязательно).
|
|
3. После создания нового пользователя можно проверить его работоспособность. АУД выдает ему команду, по которой субъект штоматически посылает некоторую текстовую последовательность, например, хэш пароля или какой-то зашифрованный постоянный текст. АУД проверяет результаты инициализации, делает отметки в журнале аудита и выдает отчет АС:
QuestiAj) -* S,; Rpl(S,) -» Ad; Лю(4*) -» As.
С этого момента субъект может приступать к передаче непосредственных команд для операции со своим ресурсом.
Запишем данную процедуру с помощью введенных обозначений, кроме квитанций подтверждений об успешности выполнения операций:
1. Generate(As) -* 5,.
2. Afefttt0(i4,)-»S,,i4rf.
3. jutribs, *» iS,\
4. Quest (Ad) 5* S,; ф/(5,-) -> Ad\ Res(Ad) -» As.
Процедуру регистрации событий в журнале аудита можно представить в виде модификации объекта — журнала аудита:
ModiJy(A) — **—>(),. Создание объекта.
Объекты могут создавать пользователи, администраторы, а также субъекты — программные модули. Принцип для всех один и тот же.
Запрос на создание объекта: Questa(Si) -» Аы, где Ard — администратор разграничения доступом (АРД). В команду Quest включены идентификатор и аутентификатор пользователя.
Аутентификация AuthentiA^) -» SJ.
Если результат положительный, то запрос к АУД:
АУД отвечает: Rpl^.o^d^ ~* 4rf'
АРД сообщает субъекту о разрешении или отказе в создании объе кта: RplSi <0l Ы^) -» St.
Если ответ положительный, субъект создает объект:
Generate(Si) —4*4 > 5,;
Далее он наделяет его атрибутами безопасности (теми, которыми ему разрешено наделять): Attribs^S,) —4*4*—>0..