Процедура создания пары субъект-объект, наделение их атрибутами безопасности

Формализация модели безопасности

Формализация модели безопасности заключается в том, что представляются логические выражения, связывающие множества субъектов-объектов с множествами видов доступа (операций) в сети. Эта связь управляется и контролируется администраторами, вызывающими те или иные сервисы/механизмы безопасности.

Рассмотрим наиболее часто встречающиеся операции, харак­терные для АС масштаба подразделения. При этом будем придер­живаться таких обозначений: Comm(S) —-—>0 означает, что

субъект S выполняет команду Сотт над объектом О под управ­лением (при разрешении) администратора А.

Создание пары «субъект—объект» — достаточно часто встре­чающаяся операция, выполняющаяся при появлении как нового пользователя АС, так и нового объекта доступа. Конечно, для уско­рения ее выполнения на практике обычно будет связываться не конкретный субъект с конкретным объектом, а член группы субъек­тов с членом группы объектов.

Для каждой группы ресурсов определена группа субъектов, которые имеют к нему различные типы доступов. Точно так же для каждой группы субъектов определены их права на доступ к группам объектов. Для простоты изложения рассмотрим создание связи «субъект—объект» (СО).

Создание субъекта.

1. АС создает вначале «пустого» субъекта: Generate(A_s) -> S_h где

A_s — АС, затем наделяет его определенными правами по отно­шению к объекту (группе объектов), включает в ту или иную группу субъектов (например, присваивает ему определенный уровень кон­фиденциальности). Эта информация включается в базы данных АУД. Обозначим эту операцию как Rights_Q(A_s) -» S,,A_d, где Rights_Q (•) — права субъекта по отношению к объекту. А,, — АУД.

2. Однако простого наличия прав у субъекта недостаточно для получения доступа к объекту: он может быть лишь идентифици­рован. Для того чтобы он мог быть аутентифицирован, ему необ­ходимы атрибуты безопасности. АС через АУД выдает такие атри­буты субъекту. Например, пользователь может физически при­быть для получения пароля/ключа к АС. Другим вариантом явля­ется получение пользователем атрибутов удаленным образом — здесь уже АС не вмешивается в работу АУД. Однако в данном случае АРМ пользователя должен быть способен как-то устано­вить защищенное соединение с АУД еще до получения пользова­телем атрибутов безопасности. Выходом является использование механизмов безопасности на сетевом или канальном уровне, на­пример сетевой карты с криптоинтерфейсом.

Операция получения пользователем атрибутов безопасности может быть записана в виде: Attribs/ —4d4—>5,, где вертикальная черта показывает, что АУД работал по команде АС (хотя в данном случае это не всегда обязательно).

3. После создания нового пользователя можно проверить его работоспособность. АУД выдает ему команду, по которой субъект штоматически посылает некоторую текстовую последовательность, например, хэш пароля или какой-то зашифрованный постоян­ный текст. АУД проверяет результаты инициализации, делает от­метки в журнале аудита и выдает отчет АС:

QuestiAj) -* S,; Rpl(S,) -» A_d; Лю(4*) -» A_s.

С этого момента субъект может приступать к передаче непо­средственных команд для операции со своим ресурсом.

Запишем данную процедуру с помощью введенных обозначе­ний, кроме квитанций подтверждений об успешности выполне­ния операций:

1. Generate(A_s) -* 5,.

2. Afefttt₀(i4,)-»S,,i4_rf.

3. jutribs, *» iS,\

4. Quest (A_d) 5* S,; ф/(5,-) -> A_d\ Res(A_d) -» A_s.

Процедуру регистрации событий в журнале аудита можно пред­ставить в виде модификации объекта — журнала аудита:

ModiJy(A) — **—>(),. Создание объекта.

Объекты могут создавать пользователи, администраторы, а так­же субъекты — программные модули. Принцип для всех один и тот же.

Запрос на создание объекта: Quest_a(Si) -» А_ы, где A_rd — адми­нистратор разграничения доступом (АРД). В команду Quest вклю­чены идентификатор и аутентификатор пользователя.

Аутентификация AuthentiA^) -» SJ.

Если результат положительный, то запрос к АУД:

АУД отвечает: Rpl^.o^d^ ~* 4rf'

АРД сообщает субъекту о разрешении или отказе в создании объе кта: Rpl_{Si <0l} Ы^) -» S_t.

Если ответ положительный, субъект создает объект:

Generate(S_i) —4*4 > 5,;

Далее он наделяет его атрибутами безопасности (теми, кото­рыми ему разрешено наделять): Attribs^S,) —4*4*—>0..