30526

Модель Белла - Ла-Падулы

Доклад

Математика и математический анализ

Устная часть Основным положением политики безопасности является назначение всем участникам процесса обработки защищаемой информации и документам в которых она содержится специальной метки секретно совершенно секретно и т. Такая метка называется уровнем безопасности. Все уровни безопасности упорядочиваются с помощью установленного отношения доминирования. Контроль доступа осуществляется в зависимости от уровней безопасности взаимодействующих сторон на основании двух правил: 1.

Русский

2013-08-24

97 KB

11 чел.

Модель Белла - Ла-Падулы

Доска

Все формулы:

(1),(2),(3),(4),(5),(6),(7),(8),(9),(10),(11),(12),(13),(14),(15),(16),(17),(18),(19), (20),(21),(22),(23),(24),(25).

Устная часть

Основным положением политики безопасности является назначение всем участникам процесса обработки защищаемой информации и документам, в которых она содержится, специальной метки (секретно, совершенно секретно и т.д.). Такая метка называется уровнем безопасности. Все уровни безопасности упорядочиваются с помощью установленного отношения доминирования. Контроль доступа осуществляется в зависимости от уровней безопасности взаимодействующих сторон на основании двух правил:

 1.уполномоченное лицо (субъект) имеет право читать только те документы, уровень безопасности которых не превышает его собственный уровень безопасности

2.уполномоченное лицо (субъект) имеет право заносить информацию только

в те документы, уровень безопасности которых не ниже его собственного уровня безопасности.

Таким образом, мандатные модели управляют доступом неявным образом – с помощью назначения всем сущностям системы уровней безопасности, которые определяют все допустимые взаимодействия между ними. Следовательно, мандатное управление доступом не различает сущностей, которым присвоен одинаковый уровень безопасности, и на их взаимодействия ограничения отсутствуют. Поэтому в тех ситуациях, когда управление доступом требует более гибкого подхода, мандатная модель применяется совместно в какой-либо дискреционной, которая используется для контроля за взаимодействиями между сущностями одного уровня и для установки дополнительных ограничений, усиливающих мандатную модель.

Обозначим:

    

S (1) – множество субъектов (осуществляют доступ к информации)

O (2) – множество объектов, содержащих защищаемую информацию

Принято считать, что (3), т.е. субъекты одновременно являются и объектами (это сделано для того, чтобы включить в область действия модели отношения между субъектами)

(4) - множество прав доступа, означающих полномочия на выполнение соответствующих действий (чтение, запись)

L (5)– множество уровней безопасности

L - решетка уровней безопасности (это формальная алгебра , где оператор £ определяет частичное нестрогое соответствие порядка для базового множества уровней безопасности L)

V (6) – множество состояний системы, которое представляется в виде набора упорядоченных пар (F,M), где

M (7) – матрица доступа, отражающая текущую ситуацию с правами доступа субъектов к объектам (содержание матрицы аналогично матрице прав доступа в модели Харрисона-Руззо-Ульмана, но набор прав ограничен правами read и write)

F (8) – функция уровня безопасности

(9) - модель системы, где(10) - начальное состояние системы

(11) - функция перехода, которая в ходе выполнения запросов переводит систему из одного состояния в другое; система, находящаяся в состоянии при получении запроса , переходит в следующее состояние ; состояние v достижимо в системе Û для ; (12) тривиально достижимо

Уровни безопасности субъектов и объектов задаются с помощью функции уровня безопасности , которая ставит в соответствие каждому объекту и субъекту уровень безопасности, принадлежащий множеству уровней безопасности L, на котором определена решетка L.

    

   

Классическая мандатная модель Белла-ЛаПадулы

В мандатных моделях функция уровня безопасности F вместе с решеткой уровней определяют все допустимые отношения доступа между сущностями системы.

Состояния системы делятся на:

— безопасные (отношения доступа не противоречат установленным в моделиправилам)

— небезопасные (правила нарушаются, и происходит утечка информации)

Состояние (F,M) называется безопасным по чтению (или просто безопасным) тогда и только тогда, когда для каждого субъекта, осуществляющего в этом состоянии доступ чтения к объекту, уровень безопасности этого субъекта доминирует над уровнем безопасности этого объекта: (13).

Состояние (F,M) называется безопасным по записи (или *-безопасным) тогда и только тогда, когда для каждого субъекта, осуществляющего в этом состоянии доступ записи к объекту, уровень безопасности этого объекта доминирует над уровнем безопасности этого субъекта: (14).

Состояние безопасно тогда и только тогда, когда оно безопасно и по чтению и

по записи.

    Критерий безопасности модели Белла-ЛаПадулы:

    Система  безопасна тогда и только тогда, когда безопасны ее начальное состояние  и все состояния, достижимые из  путем применения конечной последовательности запросов из R.

    Основная теорема безопасности модели Белла-ЛаПадулы:

    Система  безопасна тогда и только тогда, когда:

    a) начальное состояние  безопасно и

    b) для любого состояния v, достижимого из  

путем применения конечной последовательности запросов из R таких, что ,(15) и (16), для каждого  и  выполняются следующие условия:

    1)      если  и , то (17)

    2)      если  и , то (18)

    3)      если  и , то (19)

    4)      если  и , то (20)

Таким образом, по утверждению теоремы система с безопасным начальным состоянием является безопасной тогда и только тогда, когда при любом переходе системы из одного состояния в другое не возникает никаких новых и не сохраняется никаких старых отношений доступа, которые будут небезопасны по отношению к функции уровня безопасности нового состояния.

Дополнительная часть

Решетка уровней безопасности L

Решетка уровней безопасности L - это формальная алгебра , где оператор £ определяет частичное нестрогое соответствие порядка для базового множества уровней безопасности L (т.е. оператор £ - антисимметричен, транзитивен и рефлексивен).

Отношение £ на L:

    

1) рефлексивно, если (21);

Нет смысла запрещать потоки информации между сущностями одного и того же класса (сущности одного класса с точки зрения безопасности содержат одинаковую информацию).

2) антисимметрично, если (22);

Антисимметричность необходима для удаления избыточных классов (если информация может передаваться как от сущностей класса A к сущностям класса B, так и наоборот, то классы A и B содержат одноуровневую информацию и сточки зрения безопасности эквивалентны классу (AB)).

3) транзитивно, если (23);

Если информация может передаваться от сущностей класса A к сущностям класса B, а также от сущностей класса B к сущностям класса C, то очевидно, что она будет также передаваться от сущностей класса A к сущностям класса C.

Свойство решетки:

    Для каждой пары  и  элементов множества L можно указать единственный элемент наименьшей верхней границы и единственный элемент наибольшей границы. Эти элементы также принадлежат L и обозначаются с помощью операторов · и Ä соответственно:

1) (24)

    

Для пары сущностей x и y, обладающих уровнями безопасности a и b соответственно, обозначим наибольший уровень безопасности их комбинации как ,при этом  и . Тогда, если существует некоторый уровень c такой, что  и , то должно иметь место отношение , поскольку  - это минимальный уровень субъекта, для которого доступна информация как из x , так и из y. Следовательно,  должен быть наименьшей верхней границей a и b.

2) (25)

    

Для пары сущностей x и y, обладающих уровнями безопасности a и b соответственно, обозначим наименьший уровень безопасности их комбинации как , при этом  и . Тогда, если существует некоторый уровень c такой, что  и , то должно иметь

место отношение , поскольку  - это максимальный уровень субъекта, для которого разрешена передача информации как в x, так и в y. Следовательно,  должен быть наибольшей нижней границей a и b.

Смысл этих определений состоит в том, что для каждой пары элементов всегда можно указать единственный элемент, ограничивающий ее сверху или снизу таким образом, что между ними и этим элементом не будет других элементов. Функция уровня безопасности F назначает каждому субъекту и объекту некоторый уровень безопасности из L, разбивая множество сущностей системы на классы, в пределах которых их свойства с точки зрения модели безопасности являются эквивалентными. Тогда оператор £ определяет направление потоков информации (если , то информация может передаваться от элементов класса A к элементам класса B).

Использование решетки для описания отношения между уровнями безопасности позволяет использовать в качестве атрибутов безопасности (элементов множества L) не только целые числа, для которых определено отношение “меньше или равно”, но и более сложные составные элементы.


 

А также другие работы, которые могут Вас заинтересовать

37005. Застосування статистичних методів у педагогічному дослідженні 29.13 KB
  Статистичні методи в педагогіці. Організація та методика науководослідницької діяльності: Підручник. ТЕОРЕТИЧНІ ВІДОМОСТІ Система методів і методика педагогічного дослідження У відповідності з логікою наукового пошуку здійснюється розробка методики дослідження що є сукупністю теоретичних та емпіричних методів які дають можливість з найбільшою достовірністю дослідити такий складний і багатофункціональний об'єкт яким є освітньовиховний процес. Методи педагогічного дослідження на відміну від методології це власне способи вивчення...
37006. Побудова вольт-фарадної характеристики варикапа. Напівпровідникові діоди 351.5 KB
  Дослідження напруги і струму діода при прямому і зворотньому зміщенні рн переходу. Побудова та дослідження вольтамперної характеристики ВАХ напівпроводнікового діода. Дослідження опору діода при прямому і зворотньому зсуві по вольтамперній характеристиці. Короткі теоретичні відомості Для дослідження напруги та струму діода при прямому і зворотному зсуві рн переходу досить мати універсальний прилад мультиметр.
37008. Робота із утилітою SiSoftware Sandra 1.59 MB
  SiSoftwre Sndr розроблена для роботи в ОС Windows 32. Запускаємо програму SiSoftwre Sndr. Ознайомлюймось з меню програми SiSoftwre Sndr.
37009. Файлова система NTFS 1.45 MB
  Ім’я робочої групи домену в який входить комп’ютер MSHOME Ім’я користувача dmin Характеристики комп’ютера: Процесор 1.6GHz Оперативна пам'ять 512Mб Об’єм жорсткого диска 80Gb Моделі мережевих пристроїв внутрішніх і зовнішніх Reltek RTL8139 810x Fmily Fst Ethernet NIC 10 100 mb s Наявність локальної мережі Ні Наявність глобальної мережі Так Операційна система Microsoft Windows XP Порядок виконання роботи: 1.txt рис1 Рис 1 1.
37010. Створення консольних додатків. Обробка розгалужених обчислювальних процесів на мові програмування C# 31.5 KB
  Індивідуальні завдання. Дано порядковий номер факультету вивести на екран його назву. Дан порядковый номер месяца вывести на экран количество месяцев оставшихся до конца года. Дан порядковый номер дня месяца вывести на экран количество дней оставшихся до конца месяца.
37011. Команди переходів 142 KB
  Теоретична частина Команди цієї групи дозволяють міняти послідовність виконання команд програми. Команди переходів і виклику підпрограм є однією із складових процесу прийняття рішень. Команди переходів і виклику підпрограм провіряють значення розрядів регістра ознак і визначають слідуючий крок виконання програми в залежності від результату провірки.
37012. Команди виклику підпрограм і повернення з підпрограм 194 KB
  Коли здійснюється звернення до підпрограми то на початку виконання вона реалізує запам’ятовування поточного значення лічильника команд точка повернення. Коли виконання підпрограми закінчується то за допомогою команди повернення мікропроцесору вказується що початкове значення лічильника команд потрібно взяти з пам’яті. Для запам’ятовування точки повернення використовується стек куди записується адреса команди слідуюча за адресою команди виклику підпрограми. Безумовний виклик підпрограми При виконанні даної команди виклик підпрограми...