Институтзащиты информации
Кафедра БИТ
Курсовая работа
По дисциплине ОЗИТ
На тему: Модели TAKE-GRANT иих исследования.
Выполнила: Тискина Е.О.
ИЗМАИЛ-2005г
Содержание
Введение………………………………………………..3
1.Основныеположения модели Take-Grant………4
1.1.Правило«БРАТЬ»………………………….……..5
1.2. Правило «ДАВАТЬ»………………………...5
1.3. Правило «СОЗДАТЬ»……………………….5
1.4. Правило «УДАЛИТЬ»…………………….…6
2.Санкционированноеполучение прав доступа…7
3.Возможностьпохищения прав доступа……..….12
4.Расширеннаямодель Take-Grant………………..13
Заключение………………………………………..….18
Списоклитературы…………………………………..19
Введение
Информационная защита есть насущнаянеобходимость. Организации постепенно осознают это и переходят к внедрению или,по крайней мере, исследованию различных программ безопасности, охватывающихтакие области компьютерных технологий, как коммуникации, операционные системы,информационное управление.
Проблема отчасти заключается в том,что у разных организаций существуют весьма разнообразные потребности винформационной защите. Для некоторых коммерческих организаций случайные утечкиинформации не составляют большой угрозы (если не считать осложнений, связанныхс Законом о конфиденциальности). Такие компании значительно больше озабоченыпроблемами доступности систем, предотвращением порчи приложений, вызваннойвирусами, Троянскими конями, червями и проч. и, возможно, недопущениемнесанкционированных изменений данных (в особенности, финансовой информации,такой как балансы банковских счетов).
В то же время в других организациях –например, в военных ведомствах — раскрытие данных высокого уровня секретностиможет нанести значительный ущерб. Разглашение имен агентов, планов военныхкампаний и тому подобных сведений может серьезно нарушить способность военногоформирования успешно решать свои задачи.
Доказательство того факта, чтособлюдение политики безопасности обеспечивает то, что траекториивычислительного процесса не выйдут в неблагоприятное множество, проводится врамках некоторой модели системы. В данной курсовой работе рассматривается модель Take-Grant и приводятся примеры результатов, которые доказываются вданной области, а также рассматривается модель распространения прав доступа всистеме с дискреционной политикой безопасности.
1.Основные положения моделиTake-Grant
Модель распространения прав доступаTake-Grant, предложенная в 1976 г., используется для анализа систем дискреционногоразграничения доступа, в первую очередь для анализа путей распространения правдоступа в таких системах. В качестве основных элементов модели используютсяграф доступов и правила его преобразования. Цель модели -дать ответ на вопрос овозможности получения прав доступа субъектом системы на объект в состоянии,описываемом графом доступов. В настоящее время модель Take-Grant получилапродолжение как расширенная модель Take-Grant, в которой рассматриваются путивозникновения информационных потоков в системах с дискреционным разграничениемдоступа.
О — множество активных объектов -субъектов(например, пользователей или процессов); R = {t)- право давать права доступа; G = (S,О, E)- конечный помеченный ориентированный граф без петель, представляющийтекущие доступы в системе; множества S, О соответствуют вершинам графа,которые обозначим:
Состояние системы описывается его графомдоступов. Переход системы из состояния в состояние определяется операциями илиправилами преобразования графа доступов. Преобразование графа G в граф G' врезультате выполнения правила ор обозначим через G -opG'.
В классической модели Take-Grant правило преобразования графа может быть одним из четырех, перечисленных ниже.
1.1.Правило «БРАТЬ».
Правило «Брать»-take(a,x,y,z). Пусть x, у,zО-различные вершины графа G,нового графа доступов G' из графа G (рис.1).
Рис1. Субъект х берету объекта у права на объект z
1.2. Правило «ДАВАТЬ»
Правило «Давать»-grant(a,x, у,z).Пусть х О-различные вершиныграфа G,
Рис.2. Субъектх дает объекту у права на объект z
1.3. Правило «СОЗДАТЬ»
Правило «Создать»-create(X. Правило определяетпорядок получения нового графа G' из графа G;у О-новый объектили субъект (рис..3).
Рис 3.СубъектХ создает новый
1.4. Правило«УДАЛИТЬ»
Правило«Удалить»- remove (а, х, у). Пусть x
вершины графа G.
Рис.4.СубъектХ удаляет права доступа на объект у
В модели Take-Grant основное внимание уделяется определению условий, при которых в системе возможнораспространение прав доступа определеннымспособом. Далее будут рассмотрены условия реализации:
• способа санкционированного получения прав доступа;
• способа похищения прав доступа.
2.Санкционированное получение правдоступа
Данный способ характеризуется тем,что при передаче прав доступа не накладываются ограничения на кооперациюсубъектов
Пусть х, у О -различные объектыграфа доступа Go = (So, Oo.Eo), такие, что:
Говорят, что вершины графадоступов являются tg-связнымиили что они соединены tg-путем, если (без учета направления дуг) в графе междуними существует такой путь, что каждая дуга этого пути помечена t или g. Будем говорить, что вершинынепосредственно tg-связны,если tg-путьмежду ними состоит из единственной дуги.
Теорема 1.Пусть Go = (So, Оо, Ео) — граф доступов, содержащий только вершины-субъекты.Тогда предикат «возможен доступ» (a,x,y, Go) истинен тогда и толькотогда, когда выполняются следующие условия 1 и 2.
Условие 1.Существуют субъекты )для i=1,………..m и
Условие 2.Субъект х соединен в графе Go tg-путемс каждым субъектом i=1 ,…….m
Доказательство.Проведем доказательство теоремы для m=1,так как схему доказательства для этого случая легко продолжить на случай m>1.
При m=1 условия 1 и 2 формулируются следующимобразом:
Условие 1.Существует субъект s, такой, что справедливо (s,y,a)
Условие 2.Субъекты х и s соединены tgпутемв графе . Необходимость. Пустьистинен предикат «возможен доступ» (a,x,y,Go). По определениюистинности предиката существует последовательность графов доступов
при этом N является минимальным, т.е. (x,y,a)
При N=0 очевидно (х, у, а)
ПустьN>0, и утверждение теоремы истинно для некоторого правилаopN. Очевидно, это не правила «Создать» или «Удалить».Если opN правило «Брать» («Давать»), то по его определению
и )
Возможны два случая: s' So и s' So.
Пустьs'Eo иs' соединен с s tg-путемв графе Go. Кроме этого, истинен предикат «возможен доступ» (t,x,s',Go) («возможен доступ»(g,s',x,Go)), при этом число преобразований графов меньше N. Следовательно, попредположению индукции t) Ео и s" соединенс х tg-путемв графе Go((s",x,g)tg-путем в графе Go). Таким образом, tg-путем в графе Go. Выполнение условий 1и 2 для случая s' Eo доказано.
Пустьs'N минимально, поэтому новые субъектысоздаются только в тех случаях, когда без этого невозможна передача правдоступа. Следовательно, преобразования графов отвечают следующим требованиям:
-субъект-создательберет на созданный субъект максимально не
обходимый набор прав {t,g};
-каждыйимеющийся в графе Go субъект не создает более одного
субъекта;
-созданныйсубъект не создает новых субъектов;
-созданныйсубъект не использует правило «Брать» для получения
прав доступа на другие субъекты.
Из перечисленных требований следует, что N-1, t},s",s),opN=take(a,x,t,x, s'.Gm), а так как s"-единственный субъект в графе Gm, имеющий права на субъект s', то попредположению индукции s" соединен с х tg-путем в графе Go. Из истинностипредиката «возможен доступ» (a,s",y,Go) и по предположениюиндукции tg-путем в графе Go. Следовательно, tg-путемвграфе Go. Выполнение условий 1 и 2 для случая s'Eoдоказано. Индуктивный шагдоказан.
Достаточность. Пусть выполнены условия 1 и 2.Доказательство проведем индукцией по длине tg-пути,соединяющего субъекты х и s.
Пусть N=0.Следовательно, x=s, (х, у,a) и предикат «возможендоступ" (a,x,y,Go) истинен. Пусть N = 1, т.е. существует (s,y,a) и субъекты х, s непосредственно tg-связны. Возможны четыре случая такого соединения х и s (рис.5), для каждого из которых указана последовательность преобразований графа, требуемая для передачи прав доступа.
Пусть N>1. Рассмотрим вершину z, находящуюся на tg-пути между х и s и являющуюся смежной с s в графе Go.Тогда по доказанному для случая N=1 существуетпоследовательность преобразований графов доступов
и длина tg-пути между z и х равна N=1, что позволяетприменить предположение индукции.
Рис.5.Возможные случаи непосредственной tg-связности x и s
Теоремадоказана.
Дляопределения истинности предиката «возможен доступ» в произвольном графе необходимо ввести ряд дополнительных понятий.
Определение 2. Островом в произвольном графе доступов Go называется его максимальный tg-связный подграф, состоящий только из вершин субъектов.
Определение 3. Мостом в графе доступов Go называется tg-путь, концами которого являются вершины-субъекты;
Определение 4. Начальным пролетом моста в графе доступов Go называется tg-путь,началом которого является вершина-субъект.
Определение 5. Конечным пролетом моста в графе доступов Go называется tg-путь, началом которого являетсявершина-субъект.
3.Возможностьпохищения прав доступа
Способпередачи прав доступа предполагает идеальноесотрудничество субъектов В случае похищения прав доступа предполагается, что передачаправ доступа объекту осуществляется без содействия субъекта, изначальнообладавшего передаваемыми правами Пусть х, у О-различные объектыграфа доступа Go = (So,O0,Eo), a Определим предикат «возможно похищение» (a,x,y,Go), который будетистинным тогда и только тогда, когда (x,y,a)Eo исуществуют графы = (
и (x,y,a), при этом, если(s,y,a), то =0,1,, N выполняется opK(a,s,z,y), К=1,N.
Теорема 2.Пусть Go = (So, Oo, Eo)- произвольный графдоступов Предикат «возможнопохищение» (a,x,y,Go) истинен тогда и только тогда, когда выполняются условия 3, 4, 5
Условие 3 (х, у, а) Ео
Условие 4 Существуют объекты , ,sm, такие, что (s,,y,Eo для i=1, , ти a =
Условие 5 Являются истинными предикаты «возможен доступ» (t,x, s,Go) для i =1, ,m
4.Расширеннаямодель Take-Grant
В расширенной модели Take-Grant рассматриваются пути и стоимости возникновенияинформационных потоков в системах с дискреционнымразграничением доступа
Вклассической модели Take-Grant по существу рассматриваются два права доступа t и g, а также четыре правила (правила де-юре)преобразования графа доступов take, grant, create, remove В расширенной модели дополнительнорассматриваются два права доступа на чтение r (read) и на запись w (write), а также шесть правил (правила де-факто) преобразования графадоступов