Лекція 13 План лекції


НазваЛекція 13 План лекції
Дата конвертації12.03.2013
Розмір445 b.
ТипЛекція


Теоретичні основи захисту інформації

  • Лекція 13


План лекції

  • Модель Белла-лаПадула



Модель Белла-лаПадула

  • Модель Б-Л побудована для обґрунтування безпеки систем, що використовують політику MLS

    • Модель стала частиною стандарту TCSEC
    • Матеріали, у яких опублікована модель у 1976 р., дотепер недоступні (classified information)
    • У викладі моделі Б-Л будемо користуватися роботою J. McLean (1987), у якій класи об'єктів передбачаються незмінними


Опис обчислювальної системи для опису моделі Б-Л

  • Нехай визначені скінченні множини S, O, R, L.

    • S – множина суб'єктів системи;
    • O – множина об'єктів, що не є суб'єктами;
    • R – множина прав доступу; R = {read (r), write(w), execute (e), append (a)};
    • L – рівні таємності.
  • Множина V станів системи визначається добутком множин:

  • ,

  • де співмножники визначаються в такий спосіб:

    • B – множина поточних доступів і є підмножина множини підмножин добутку .
      • Множину підмножин будемо позначати
      • Елементи множини B будемо позначати b і вони представляють у поточний момент t графи поточного доступу (у кожен момент суб'єкт може мати тільки один вид доступу до даного об'єкта).


Опис обчислювальної системи для опису моделі Б-Л (2)

    • M – матриця дозволених доступів,
    • M=|Mij|, MijR.
    • F – підмножина множини , де кожен – вектор, що складається з трьох компонентів:
      • fs – рівень допуску суб'єктів (це деяке відображення f: SL);
      • fo – рівень таємності об'єктів (це деяке відображення f: OL);
      • fc – поточний рівень таємності суб'єктів (це також деяке відображення fc: SL).
      • Елементи підмножини F, що допущені для визначення стану, повинні задовольняти співвідношенню:
    • H – поточний рівень ієрархії об'єктів, у роботі McLean цей рівень не змінюється, збігається з f0 і далі не розглядається
  • Елементи множини V станів будуть позначатися через v.



Опис обчислювальної системи для опису моделі Б-Л (3)

  • Нехай визначені

    • множина Q - запитів до системи і
    • множина D – рішень із приводу цих запитів (D = {yes, no, error}).
  • Визначимо множину W дій системи як

    • Кожна дія системи (q, d, v2, v1) має наступний сенс: якщо система знаходилася в даний момент у стані v1, надійшов запит q, тo прийняте рішення d і система перейшла в стан v2.
  • Нехай T – множина значень часу

    • для зручності будемо вважати, що T=N – множина натуральних чисел
  • Визначимо набір із трьох функцій (x, y, z)

    • x: TQ,
    • y: TD,
    • z: TV,
  • і позначимо множини таких функцій X, Y, Z відповідно.



Поняття системи в моделі Б-Л

  • Означення. Системою (Q, D, W, z0) називається підмножина така, що, (x, y, z)(Q, D, W, z0) (xt, yt, zt, zt-1)W для кожного значення tT, де z0 – початковий стан системи

  • Означення. Кожен набір (x, y, z)(Q, D, W, z0) називається реалізацією системи

  • Означення. Якщо (x, y, z) – реалізація системи, то кожна четвірка (xt, yt, zt, zt-1) називається дією системи.

    • Неважко бачити, що при відсутності обмежень на запити в такий спосіб визначений деякий автомат, у якого вхідний алфавіт Q, вихідний D, а множина внутрішніх станів V.
      • Автомат задається множиною своїх реалізацій.


Визначення понять, пов'язаних з безпекою системи

  • Безпека системи визначається за допомогою трьох властивостей

    • ss-властивості (простої безпеки – simple security)
    • * - властивості (властивості “зірка”)
    • ds-властивості (дискреційної безпеки – discretionary security)
  • Означення. Трійка (S,O,X)SOR задовольняє властивості простої безпеки (ss-властивість) відносно f,

    • якщо X=execute,
    • або X=append,
    • або X=read і fs(S)  fo(O),
    • або X=write і fs(S)  f0(O).
  • Означення. Стан v=(b, M, f, h) має ss-властивість, якщо для кожного елемента (S,O,X)B цей елемент має ss-властивість відносно f.



Визначення понять, пов'язаних з безпекою системи (*-властивість)

  • Означення. Стан v=(b, M, f, h) володіє *-властивістю, якщо для кожного (S,O,X)B

    • X=execute
    • або при X=write поточний рівень суб'єкта fc(S)=f0(O),
    • або при X=read fc(S)>f0(O),
    • або при X=append fo(O)>fc(S).
  • Означення. Стан володіє * - властивістю щодо множини суб'єктів S', S'S, якщо воно виконується для усіх трійок (S,O,X) таких, що SS'

  • Означення. Суб'єкти з множини S\S' називаються довіреними

    • Довірені суб’єкти мають право порушувати правила політики безпеки
  • Лема. З * - властивості для стану v=(b, M, f, h) випливає ss - властивість відносно f для усіх (S, O, X)B

    • Доведення. Просто порівняти умови


Визначення понять, пов'язаних з безпекою системи (ds-властивість)

  • Означення. Стан v=(b, M, f, h) володіє ds - властивістю, якщо (S, O, X)b=>Xmso, де M=||mso|| - матриця доступу стану v.

  • Означення. Стан v = (b, M, f, h) називається безпечним, якщо він володіє одночасно ss-властивістю, * – властивістю відносно S' і ds - властивістю.



Модель Б-Л і MLS – ss-властивість

  • Формулювання політики MLS, пов'язаної з решіткою цінностей SCL, де L – лінійний порядок, SC – решітка підмножин в інформації:

    • інформаційний потік між двома об'єктами називається дозволеним, якщо клас об'єкта одержувача домінує над класом об'єкта джерела
  • З визначення ss-властивості випливає, що в безпечному стані можливе читання вниз, що погоджується з еквівалентним визначенням MLS політики

  • Крім того, ss-властивість визначає обмеження на можливість модифікації, що пов'язане з write:

    • fs(S)>fo(O).


Модель Б-Л і MLS – *-властивість

  • Якщо суб'єкт може понизити свій поточний допуск до fc(S)=f0(O), то, згідно * - властивості, він може писати в об'єкт

  • При цьому він не може читати об'єкти на більш високих рівнях, хоча допуск fs(S) йому це може дозволити

  • Тим самим виключається можливий канал витоку:

    • High O1 fs(S)
    • r
    • Low SO2 fo(O)
    • w


Деякі висновки

  • Таким чином, при записі інформаційний потік знову не може бути спрямований униз.

    • Виключення можливе тільки для довірених суб'єктів, яким дозволено будувати інформаційний потік униз.
    • При цьому довіреність суб'єкта означає безпеку такого потоку вниз (тому ці потоки вважаються дозволеними)
  • Сказане вище означає, що безпечний стан моделі Б-Л підтримує політику MLS

  • Для того, щоб довести, що будь-який потік на траєкторії обчислювальної системи дозволений, досить показати, що виходячи з безпечного стану і вживаючи лише припустимі дії ми знову приходимо в безпечний стан

    • тим самим будь-яка реалізація процесу буде безпечною.


Строге обґрунтування висновку

  • Означення. Реалізація (x, y, z) системи (Q, D, W, z) має ss - властивість (відповідно, * - властивість, ds - властивість), якщо в послідовності (z0, z1, ...) кожен стан zn має ss - властивість (* - властивість, ds - властивість).

  • Означення. Система має ss-властивість (відповідно, *- властивість, ds - властивість), якщо кожна її реалізація має ss-властивість (* - властивість, ds - властивість).

  • Означення. Система називається безпечною, якщо вона володіє одночасно ss - властивістю, * - властивістю, і ds - властивістю.

  • Теорема 1. (Q, D, W, z0) володіє ss-властивістю для будь-якого початкового z0, що має ss-властивість тоді і тільки тоді, коли W задовольняє наступним умовам для кожної дії (q, d, (b*, M*, i*, h*), (b, М, f, h)):

    • (S, O, X)b*\b має ss-властивість відносно f*.
    • якщо (S, O, X)b і не має ss-властивості відносно f*, то (S, O, X)b*


Строге обґрунтування висновку (2)

  • Теорема 2. Система (R, D, W, z0) володіє * - властивістю відносно S' для будь-якого початкового стану z0, що володіє * - властивістю відносно S' тоді і тільки тоді, коли W задовольняє наступним умовам для кожної дії (q, d, (b*, M*,f*, h*), (b, M, f, h)):

    • SS’, (S, O, X)b*\b володіє * - властивістю відносно f*;
    • SS’, якщо (S, O, X)b і (S, O, X) володіє * - властивістю відносно f*, то (S, O, X)b*.
  • Теорема З. Система (Q, D, W, z0) має ds - властивість тоді і тільки тоді коли для будь-якого початкового стану, що володіє ds - властивістю, W задовольняє наступним умовам для будь-якої дії (q, d, (b*, M*, f*, h*), (b, M, f, h)):

    • (S, O, X)b*\b то Xmso*,
    • якщо (S, O, X)b*\b Xmso*, то (S, O, X)b*


BST

  • Теорема 4. (Basic Security Theorem – BST). Система (Q, D, W, z0) безпечна тоді і тільки тоді, коли z0 – безпечний стан і W задовольняє умовам теорем 1, 2, 3 для кожної дії



Схожі:

Лекція 13 План лекції iconПлан лекції: План лекції
Суспільно-політичне та економічне становище України на початку XX ст. Україна в Першій Світовій війні
Лекція 13 План лекції iconЛекція 2 тема термінальні стани. Серцево-легенево-мозкова реанімація план лекції

Лекція 13 План лекції iconПлан лекції. План лекції
Культура в 30-х роках 28 грудня 1920 р між рсфрр та усрр був укладений договір про військовий та господарський союз
Лекція 13 План лекції iconЛекція 5 План лекції
Підмножина потоків, що пов’язані з несанкціонованим доступом для ознайомлення з інформацією
Лекція 13 План лекції iconПлан лекції План лекції
України періоду міжвоєнного часу та часів голодоморів. Сформувати у майбутніх лікарів почуття гордості за свій багатостраждальний...
Лекція 13 План лекції iconПечінка Підшлункова залоза План лекції: План лекції

Лекція 13 План лекції iconЛекція 3 План лекції
Вважаємо далі, що будь-яка інформація може бути представлена у вигляді слова у деякій мові
Лекція 13 План лекції iconЛекція 3 тема гостра дихальна недостатність план лекції анатомо-фізіологічні особливості органів дихання. Поняття про гіпоксію

Лекція 13 План лекції iconЛекція 4 План лекції
...
Лекція 13 План лекції iconВодневий показник. Буферні системи, класифікація та механізм їх дії. План лекції: План лекції
Гідрогену, тобто значення рН середовища, при добавлянні до них невеликих кількостей кислоти чи лугу або при розбавлянні їх

Додайте кнопку на своєму сайті:
dok.znaimo.com.ua


База даних захищена авторським правом ©dok.znaimo.com.ua 2013
звернутися до адміністрації
dok.znaimo.com.ua
Головна сторінка