BC/NW 2003г., №1(3)/ 13.1
СУБЪЕКТНО-ОБЪЕКТНАЯ
МОДЕЛЬ ВЗАИМОДЕЙСТВИЯ
В РАСПРЕДЕЛЕННЫХ ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ
Теренин А.А.
(аспирант МЭИ, Москва, Российская Федерация)
На основе анализа существующих формальных моделей безопасности и стандартов безопасности, используя доказательный подход, была создана адекватная модель распределенной вычислительной сети, обеспечивающая требуемый уровень защищенности, а также устраняющую выявленные недостатки в исследованных моделях и стандартах.
Для данной предметной области, пользуясь составленным неформальным описанием системы и политикой управления безопасностью, производится формализация этого описания и правил ПБ в терминах формальной модели безопасности.
Выявляются объекты и субъекты системы. Объекты группируются по принадлежности к субъектам. Формальная модель позволяют обосновать практическую пригодность системы, определяя ее базовую архитектуру и используемые технологические решения при ее построении. В терминах формальной модели задаются словесные утверждения политики безопасности. Таким образом, строится полная и непротиворечивая формальная модель системы.
Определение 1 Объектом относительно
языка Я (или просто объектом, когда
из контекста однозначно определен язык) называется произвольное конечное
множество слов языка Я.
Аксиома
1 Все аспекты безопасности системы
определяются доступами субъектов к объектам.
Определение 2 Замкнутая ВС называется ВС, в которой все субъекты зафиксированы, существует формально описанная процедура инициализации системы с контролем корректного выполнения данной процедуры, в процессе функционирования ВС не происходит порождения новых субъектов.
Другими словами мощность множества
субъектов остается постоянным в течение всего времени функционирования ВС.
Определение 3 Открытая (незамкнутая) ВС – система, в которой допускается порождение новых субъектов во время ее функционирования.
Операция порождения субъекта
Определение 4 Если субъект Si в данный момент времени обладает правом доступа к объекту On, то говорят, что объект On находится в состоянии принадлежности субъекту Si.
Следствие 1 (к определению) Любой объект On принадлежит своему родителю (породившему его субъекту Si).
" O, => On « Si (значок принадлежности).
Следствие 2 (обратное) Любому субъекту принадлежит объект, из которого он был порожден.
" S, => On « Si.
Введем важные ограничения:
В каждый момент времени t объект может принадлежать только одному субъекту. Исключение составляет момент передачи данных между субъектами системы, когда в момент t-1 до передачи, объект принадлежит одному субъекту (передающему), в момент t+1 (после передачи), объект принадлежит принимающему субъекту, это будет подробно показано ниже.
" t, On, On « Si => Ø$ Sj, On « Sj
Обозначим множество объектов Om, принадлежащий субъекту Sj в момент времени t: Sj({Om}t).
Утверждение 1 Субъекты ВС не оказывают влияния друг на друга в процессе всего времени функционирования ВС.
Доказательство:
Исходя из условия, что в каждый момент времени t объект может принадлежать только одному субъекту получаем, что множества объектов принадлежащие всем субъектам системы не пересекаются.
S1({O1}t)
Ù S2({O2}t) Ù … Ù Si({Oi}t) Ù …Ù Sk({Ok}t) = Æ
Определение 5 Правила разграничения доступа (ПРД) – формализовано описанные потоки Í L.
Утверждение 2 Система остается в безопасном состоянии при корректном выполнении ПРД.
Доказательство:
Безопасность системы нарушается, когда ее состояние относиться к подмножеству небезопасных состояний. Как оговаривалось, политика безопасности, как раз разделяет множество состояний системы на два подмножества безопасное и небезопасное. Если система находится в безопасном состоянии, то возникновение любого потока из разрешенного подмножества потоков L не может перевести систему в опасное состояние. Таким образом, в случае адекватности правил разграничения доступа заданной политики безопасности и корректного выполнения ПРД в системе, подобная система остается в безопасном состоянии.
Состояние субъекта описывается его собственным состоянием и упорядоченной совокупностью принадлежащих ему объектов,
[Si] = {[O]}, {O} « Si – обозначим квадратными скобками состояние элемента, а фигурными – множество элементов.
Определение 6 Состояние системы – упорядоченная совокупность состояний всех субъектов и объектов системы:
[C] = {[S,О]}.
Определение 7 Скомпрометированное состояние системы – небезопасное состояние, достигнутое из безопасного.
Определение 8 Потоком информации между объектом On и объектом Ok называется произвольная операция над объектом On, реализуемая субъектом Si.
- поток информации от объекта On к объекту Ok.
Определение 9 Доступ – это взаимодействие между субъектом и объектом, в результате которого происходит передача информации между ними.
Дадим еще одно определение доступа:
Определение 10 Доступ субъекта к объекту – порождение потока.
Через права доступа происходит управление субъектом.
{P} – множество доступов, разделаются на L и N – легальные и несанкционированные.
Утверждение 3 достаточное условие гарантированной защиты от НСД
Правила корректного разрешения доступа к объектам системы (потоки из множества L) реализуются совокупностью субъектов системы.
Доказательство:
В любой момент времени, каждый субъект ВС имеет доступ только к принадлежащим ему объектам. Каждый субъект способен реализовать соблюдение правил доступа к совокупности множества своих объектов, так как все информационные потоки к этим объектам управляются самим субъектом. Как уже было доказано, субъекты функционируют не влияя друг на друга. В силу этого, в системе не могут существовать потоки к объектам, принадлежащим некоторому субъекту, в обход этого субъекта.
$ Sj
, Ok Ø« Sj , => Ø$
Утверждение 4 Если состояния всех объектов, принадлежащих субъекту, безопасны, то при корректном выполнении субъектом контроля ПРД, состояния всех объектов остаются безопасными.
Доказательство:
При корректном выполнении правил разграничения доступа переход какого-либо объекта в небезопасное состояние невозможен. Таким образом, такой переход возможен только при нарушении функционирования субъекта, который разрешил поток, не принадлежащий L. Пока объект выполняет корректно функции разграничения доступа, все объекты, принадлежащие ему, остаются в безопасном состоянии.
Следствие:
Состояние системы определяется только совокупностью состояний своих субъектов.
Доказательство:
Как уже было
доказано: все объекты, находящиеся в безопасном состоянии и принадлежащие
некоторому объекту, остаются в безопасном состоянии, пока этот субъект сам находится
в безопасном состоянии. Нарушение безопасности какого-либо объекта системы не
может произойти без нарушения безопасного состояния субъекта, которому он
принадлежит. Оба события наступают одновременно и не могут произойти отдельно.
Из этого следует, что состояние системы полностью можно описать совокупностью
состояний одних только субъектов этой системы.
Утверждение 5 Состояние системы безопасно, пока все ее субъекты корректно выполняют функции обеспечения безопасности (контроля выполнения ПРД).
Доказательство:
Состояние системы определяется совокупным состоянием ее субъектов. Если один из субъектов перестает адекватно выполнять функции контроля выполнения ПРД, то это означает, что субъект перешел в небезопасное состояние, следовательно, состояние системы определяется, как небезопасное.
Распределенное взаимодействие:
1. , создание объекта для передачи,
op = Create, данную операцию в рамках рассмотрения только распределенного взаимодействия можно назвать Create().
2., связь между субъектами: аутентификация, защищенное соединение и т.д.
3.воздействие на удаленный объект, операция над объектом, под управлением и с санкции Sj. Далее можно обозначать по имени операции op – Operate().
Формализованное описание распределенного взаимодействия, в специально введенных для этого терминах:
1. , создание объекта для передачи.
2. , связь между субъектами.
3. , операция над удаленным объектом.
Аксиома 2 Время в ВС является дискретным – пособытейным, временное расстояние между двумя соседними по очередности событиями = 1. Единица времени.
Определение 11 Состояние объекта в некоторый момент времени t обозначается O[t] и характеризуется содержимым объекта. Напомним, что из определения объект – есть некоторое слово из множества конечных слов, образующих язык Я.
Определение 12 Тождественность объекта, обозначается O[t] = O[t+1], трактуется, как неизменность состояния объекта за прошедший период времени. Общая формула: O[ti] = O[tj], i ¹ j.
Изменение состояния объекта, тогда будет обозначаться следующим образом:
O[ti] ¹ O[tj], i ¹ j.
Контроль за целостностью объектов и
субъектов
Обозначим через t – время до проведения рассматриваемой операции, а t+Δt – время после проведения операции.
Создание субъекта.
– для гарантии целостности объекта, при создании (активизации) из него нового субъекта накладывается дополнительное достаточное условие о тождественности объекта, а также порождающего субъекта в течение всего времени порождения нового субъекта.
On[t] = On[t+Δt],
Si[t] = Si [t+Δt].
Создание объекта.
On[t] = On[t+Δt] ,
Si[t] = Si [t+Δt].
Создание канала передачи между субъектами и
передача данных.
Onk[t] = Onk[t+Δt] ,
Si[t] = Si [t+Δt] ,
Sj[t] = Sj [t+Δt].
Подразумевается время до передачи данных и после передачи (до установления соединения и до полного закрытия соединения).
Операция над объектом.
Onk[t] = Onk[t+Δt] ,
Sj[t] = Sj
[t+Δt].
Контроль за состоянием
объектов и субъектов системы
Утверждение 6 Установление контроля над целостностью объектов позволяет отслеживать и управлять переходами ВС из одного состояния в любое допустимое другое.
Доказательство
Из приведенных выше
определений следует, что совокупность состояний объектов, принадлежащих
субъекту, определяет состояние этого
субъекта. В свою очередь совокупность состояний субъектов системы определяет
множество состояний ВС. Контроль целостности субъекта и объекта, участвующих в
любой из операций, гарантирует
корректное выполнение данной операции над некоторым результирующим объектом. В
результате, после выполнения каждой операции происходит изменение состояния
системы только в пределах допустимых безопасных состояний.
Определение 12 МЦО – активизированный субъект ВС, осуществляющий контроль целостности объектов в процессе функционирования ВС, в течение времени участия объекта в текущих операциях. {S} Í {O} , таким образом, МЦО контролирует тождественность субъектов.
Утверждение 7
Для гарантированного выполнения контроля целостности над объектами ВС, МЦО должен активизироваться и корректно выполнять свои функции до начала инициализации всех остальных субъектов ВС.
Доказательство
Инициализация субъектов происходит из объектов (ресурсов) составляющих ВС. Таким образом, для выполнения гарантированно защищенной активации субъекта необходимо и достаточно соблюдения условия тождественности объекта, из которого порождается субъект, и порождающего субъекта в течение всего времени порождения: On[t] = On[t+Δt], Si[t] = Si [t+Δt]. Выполнение данного условия способен провести МЦО.
Утверждение 8
Если в замкнутой ВС существует МЦО и контролируется целостность всех объектов системы, то в такой ВС реализуется только доступ, описанный в ПРД.
Доказательство
Правила доступа реализуются совокупностью субъектов системы (утверждение №3), субъекты и объекты, участвующие в операциях, контролируются на целостность (утверждение №6). Отсюда следует, что в системе не могут возникать информационные потоки, не контролируемые неизменяемыми субъектами.
При функционировании МЦО в ВС, выполняются следующие важные функции и ограничения:
- нет нелегального изменения состояния объектов ВС;
- все операции, происходящие в ВС – корректны (в случае их замкнутости внутри системы);
- Следствие Состояние системы остается безопасным.
Инициализация ВС
Утверждение 9 Для гарантированной защищенной инициализации ВС, достаточно, чтобы контроль за целостностью объектов начал выполняться до активации первого субъекта системы.
Доказательство
Необходимо, чтобы каждый субъект был создан корректно. Для этого создание субъекта, порождающего другие субъекты системы должно провидится из порождающего объекта с установленным контролем целостности. Далее должен быть проконтролирован на целостность каждый объект, из которого будет порождаться субъект системы. Все это время должна проверяться целостность порождающего субъекта. Если в каком-то из перечисленных пунктов будет отсутствовать контроль целостности, это может привести к неконтролируемому появлению небезопасных субъектов системы, что не может гарантировать защищенной инициализации. Отсюда следует, что механизмы контроля целостности должны начинать работать до момента активизации первого субъекта системы.
Это утверждение подобно утверждению №7.
Определение 13 Инициализационная последовательность (ИП) – объект, содержащий список объектов системы, из которых должны активироваться субъекты в момент запуска системы.
Утверждение 10 Для гарантированной корректной инициализации ВС достаточно, чтобы в процессе ее штатной работы, никакой субъект не имел доступа на изменение ИП и объектов, принадлежащих МЦО.
Под штатной работой подразумевается функционирование системы для выполнения поставленных целей. Сюда не включается ее настройка, но входит обязательно процесс старта и завершения работы.
Доказательство
От противного. Если будут существовать субъекты, обладающие правами доступа на изменение к ИП и других объектов, определяющих работу МЦО, то невозможно будет гарантировать соответствия этих объектов безопасным эталонам. Отсюда пропадает гарантия того, что система запускаемая, на основе некорректных объектов, инициализируется в безопасном состоянии.
Утверждение 11 В случае выполнения гарантированной корректной защищенной инициализации системы, ее начальное состояние C[0] безопасно.
Доказательство
Из утверждения №9 следует, что при контроле целостности гарантированно создаются субъекты в безопасном состоянии. Состояние системы определяется совокупность состояний ее субъектов, таким образом, начальное состояние системы – безопасно.
Утверждение 12 Для гарантированного поддержания системы в замкнутом состоянии, достаточно, чтобы в ней не было ни одного объекта, имеющего право на создание (активизацию) новых субъектов в системе.
Доказательство
По определению замкнутая система – ВС в процессе функционирования которой не порождаются новые объекты. В случае отсутствия субъекта, обладающего правом создания новых субъектов, система будет оставаться в замкнутом состоянии. В случае наличия такого субъекта, обладающего правом активации новых субъектов в системе, условие ее замкнутости будет нарушено.
Определение 14 Менеджер инициализации субъектов (МИС) – единственный субъект в системе, обладающий правом порождения новых субъектов, запускающий все субъекты системы, пользуясь ИП, и самоуничтожающийся после проведения инициализации системы.
Формализованное описание инициализации замкнутой ВС.
-; U – обозначает привилегированного пользователя (администратора системы);
- , OМИС[t]
= OМИС[t+Δt];
- FOR i = 1 TO i = n USE ИП
-, Oi[t] = Oi[t+Δt], SМИС[t] = SМИС[t+Δt];
- Delete (SМИС).
Положения (требования безопасности):
1. Правила корректного разрешения доступа к объектам системы (потоки из множества L) реализуются совокупностью субъектов системы.
2. В замкнутой ВС существует МЦО и контролируется целостность всех объектов системы. (В такой ВС реализуется только доступ, описанный в ПРД).
3. В случае выполнения гарантированной защищенной инициализации системы, ее начальное состояние C[0] безопасно.
4. Для гарантированного поддержания системы в замкнутом состоянии, достаточно, чтобы в ней не было ни одного объекта, имеющего право на создание (активизацию) новых субъектов в системе.
Теорема безопасности.
Если в системе выполняются положения 1-4, ВС гарантировано остается в безопасном состоянии в любой момент времени в процессе своего функционирования.
Доказательство
При выполнении корректной инициализации система находится в безопасном состоянии, совокупность составляющих ее субъектов и объектов также находится в безопасном состоянии. Система является замкнутой, появление новых небезопасных субъектов исключено. Субъекты функционируют, не влияя друг на друга, подмножества объектов, принадлежащих разным субъектам, изолированы друг от друга. Правила доступа к объектам реализуются совокупностью субъектов системы. Все потоки в системе регулируются субъектами, невозможен поток от субъекта к чужому объекту и одновременный доступ к одному объекту различных субъектов. Контроль целостности, осуществляемый МЦО, гарантирует неизменность состояния субъектов в процессе выполнения операций, что в свою очередь предотвращает появление в системе небезопасных субъектов или объектов. В системе возможны только потоки, разрешаемые ПРД. Таким образом, все переходы системы из одного состояния в другое не нарушают безопасного состояния на всем протяжении ее функционирования.
Конфигурационный режим работы ВС
Определение 15 Конфигурационная последовательность (КП) – объект, хранящий всю
необходимую информацию для настройки и конфигурации системы в защищенном виде.
Композиция управляющей, конфигурационной и ключевой информации или ссылок на
места ее хранения.
Определение 16 Менеджер Распределения Конфигурационной Информации (МРКИ) – субъект, выполняющий и контролирующий доставку и встраивание конфигурационной информации из КП в существующие или новые объекты в системе.