Модели TAKE-GRANT и их исследования

Модели TAKE-GRANT и их исследования

Институт защиты информации

Кафедра БИТ

Курсовая работа

По дисциплине ОЗИТ

На тему: Модели TAKE-GRANT и их исследования.

Выполнила: Тискина Е.О.

ИЗМАИЛ-2005г

Содержание

Введение………………………………………………..3

1.Основные положения модели Take-Grant………4

1.1.Правило «БРАТЬ»………………………….……..5

1.2. Правило «ДАВАТЬ»………………………...5

1.3. Правило «СОЗДАТЬ»……………………….5

1.4. Правило «УДАЛИТЬ»…………………….…6

2.Санкционированное получение прав доступа…7

3.Возможность похищения прав доступа……..….12

4.Расширенная модель Take-Grant………………..13

Заключение………………………………………..….18

Список литературы…………………………………..19

Введение

Информационная защита есть насущная необходимость. Организации постепенно осознают это и переходят к внедрению или, по крайней мере, исследованию различных программ безопасности, охватывающих такие области компьютерных технологий, как коммуникации, операционные системы, информационное управление.

Проблема отчасти заключается в том, что у разных организаций существуют весьма разнообразные потребности в информационной защите. Для некоторых коммерческих организаций случайные утечки информации не составляют большой угрозы (если не считать осложнений, связанных с Законом о конфиденциальности). Такие компании значительно больше озабочены проблемами доступности систем, предотвращением порчи приложений, вызванной вирусами, Троянскими конями, червями и проч. и, возможно, недопущением несанкционированных изменений данных (в особенности, финансовой информации, такой как балансы банковских счетов).

В то же время в других организациях – например, в военных ведомствах - раскрытие данных высокого уровня секретности может нанести значительный ущерб. Разглашение имен агентов, планов военных кампаний и тому подобных сведений может серьезно нарушить способность военного формирования успешно решать свои задачи.

Доказательство того факта, что соблюдение политики безопасности обеспечивает то, что траектории вычислительного процесса не выйдут в неблагоприятное множество, проводится в рамках некоторой модели системы. В данной курсовой работе рассматривается модель Take-Grant и приводятся примеры результатов, которые доказываются в данной области, а также рассматривается модель распространения прав доступа в системе с дискреционной политикой безопасности.

1.Основные положения модели Take-Grant

Модель распространения прав доступа Take-Grant, предложенная в 1976 г., используется для анализа систем дискреционного разграниче­ния доступа, в первую очередь для анализа путей распространения прав доступа в таких системах. В качестве основных элементов модели ис­пользуются граф доступов и правила его преобразования. Цель модели -дать ответ на вопрос о возможности получения прав доступа субъектом системы на объект в состоянии, описываемом графом доступов. В на­стоящее время модель Take-Grant получила продолжение как расширен­ная модель Take-Grant , в которой рассматриваются пути возникнове­ния информационных потоков в системах с дискреционным разграничени­ем доступа.

Перейдем к формальному описанию модели Take-Grant, Обозначим: О-множество объектов (например, файлов или сегментов памяти); S О - множество активных объектов -субъектов (например, пользователей или процессов); R = {}{t,g}- множество прав доступа, где t(take) - право брать права доступа, g(grant)- право давать права доступа; G = (S, О, E)- конечный помечен­ный ориентированный граф без петель, представляющий текущие досту­пы в системе; множества S, О соответствуют вершинам графа, которые обозначим: -объекты (элементы множества O\S); -субъекты (элемен­ты множества S); элементы множества EOxOxR представляют дуги графа, помеченные непустыми подмножествами из множества прав доступа R.

Состояние системы описывается его графом доступов. Переход сис­темы из состояния в состояние определяется операциями или правилами преобразования графа доступов. Преобразование графа G в граф G' в результате выполнения правила ор обозначим через G \-opG'.

В классической модели Take-Grant правило преобразования графа может быть одним из четырех, перечисленных ниже.

1.1.Правило «БРАТЬ».

Правило "Брать"-take(a,x,y,z). Пусть xS,у,zО-различные вершины графа G,. Правило определяет порядок получения нового графа доступов G' из графа G (рис.1).

Рис1. Субъект х берет у объекта у права на объект z

1.2. Правило «ДАВАТЬ»

Правило "Давать"-grant(a,x,у,z). Пусть хS, у, z О-различные вершины графа G, . Правило определяет порядок получения нового графа G' из графа G (рис. 2).

 

Рис.2. Субъект х дает объекту у права на объект z

1.3. Правило «СОЗДАТЬ»

Правило "Создать"-create(,x,у). Пусть X. Правило определяет порядок получения нового графа G' из графа G; у О-новый объект или субъект (рис..3).

 

Рис 3.Субъект Х создает новый -доступный объект у

1.4. Правило «УДАЛИТЬ»

Правило "Удалить"- remove (а, х, у). Пусть xS, уО-различные
вершины графа G. . Правило определяет порядок получения нового графа G' из графа G (рис.4).

Рис.4.Субъект Х удаляет права доступа на объект у

В модели Take-Grant основное внимание уделяется определению ус­ловий, при которых в системе возможно распространение прав доступа определенным способом. Далее будут рассмотрены условия реализации:

•   способа санкционированного получения прав доступа;

•   способа похищения прав доступа.

2.Санкционированное получение прав доступа

Данный способ характеризуется тем, что при передаче прав доступа не накладываются ограничения на кооперацию субъектов системы, участ­вующих в этом процессе.

Пусть х, у О -различные объекты графа доступа Go = (So, Oo.Eo), . Определим предикат "возможен доступ"(,x,y,Go), который будет истинным тогда и только тогда, когда существуют графы ,….. такие, что:

Определение 1. Говорят, что вершины графа доступов являются tg-связными или что они соединены tg-путем, если (без учета направле­ния дуг) в графе между ними существует такой путь, что каждая дуга этого пути помечена t или g. Будем говорить, что вершины непосредственно tg-связны, если tg-путь между ними состоит из единственной дуги.

Теорема 1. Пусть Go = (So, Оо, Ео) - граф доступов, содержащий толь­ко вершины-субъекты. Тогда предикат "возможен доступ" (a,x,y, Go) исти­нен тогда и только тогда, когда выполняются следующие условия 1 и 2.

Условие 1. Существуют субъекты ,..., , такие, что( )для i=1,………..m и

Условие 2. Субъект х соединен в графе Go tg-путем с каждым субъ­ектом для i=1 ,…….m

Доказательство. Проведем доказательство теоремы для m=1, так как схему доказательства для этого случая легко продолжить на случай m>1.

При m=1 условия 1 и 2 формулируются следующим образом:

Условие 1. Существует субъект s, такой, что справедливо (s,y,a)Eo.

Условие 2. Субъекты х и s соединены tg путем в графе . Необходимость. Пусть истинен предикат "возможен доступ" (a,x,y,Go). По определению истинности предиката существует последователь­ность графов доступов ,..., , такая, что:

при этом N является минимальным, т.е. (x,y,a). Докажем необходимость условий 1 и 2 индукцией по N.

При N=0 очевидно (х,у,а)Ео. Следовательно, условия 1, 2 выпол­нены.

Пусть N>0, и утверждение теоремы истинно для . Тогда (x,y,a)Eo и дуга (х,у,а) появляется в графе доступов GN в результате применения к графу некоторого правила opN. Очевидно, это не пра­вила "Создать" или "Удалить". Если opN правило "Брать" ("Давать"), то по его определению

и )

Возможны два случая: s' So и s' So.

Пусть s'So. Тогда истинен предикат "возможен доступ" (a,s',y,Go), при этом число преобразований графов меньше N. Следовательно, по предположению индукции . (s,y,a)Eo и s' соединен с s tg-путем в графе Go. Кроме этого, истинен предикат "возможен доступ" (t,x,s',Go) ("возможен доступ" (g,s',x,Go)), при этом число преобразований графов меньше N. Следовательно, по предположению индукции s"So:(s",s',t) Ео и s" соединен с х tg-путем в графе Go((s",x,g)Eo и s" соединен с s' tg-путем в графе Go). Таким образом, : (s,y,a)Eo и субъекты х, s соединены tg-путем в графе Go. Выполнение условий 1 и 2 для случая s' Eo доказано.

Пусть s'So. Заметим, что число преобразований графов N мини­мально, поэтому новые субъекты создаются только в тех случаях, когда без этого невозможна передача прав доступа. Следовательно, преобразо­вания графов отвечают следующим требованиям:

-субъект-создатель берет на созданный субъект максимально не­
обходимый набор прав {t,g};

-созданный субъект не создает новых субъектов;

-созданный субъект не использует правило "Брать" для получения
прав доступа на другие субъекты.

Из перечисленных требований следует, что М<N-1, opM= = create({g,t},s",s), opN=take(a,x,,y) и истинен предикат "возможен доступ" (a,s",y,Go). Отсюда - истинен предикат "возможен доступ" (t,x, s'.Gm), а так как s"- единственный субъект в графе Gm, имеющий права на субъект s', то по предположению индукции s" соединен с х tg-путем в гра­фе Go. Из истинности предиката "возможен доступ" (a,s",y,Go) и по пред­положению индукции sSo: (s,y,a)Eo и s", s соединены tg-путем в гра­фе Go. Следовательно, sSo: (s,y,a)E0 и х, s соединены tg-путем в графе Go. Выполнение условий 1 и 2 для случая s'Eo доказано. Индук­тивный шаг доказан.

Достаточность. Пусть выполнены условия 1 и 2. Доказательство прове­дем индукцией по длине tg-пути, соединяющего субъекты х и s.

Пусть N=0. Следовательно, x=s, (х,у,a) и предикат "возможен доступ" (a,x,y,Go) истинен. Пусть N = 1, т.е. существует (s,y,a) и субъекты х, s непосредст­венно tg-связны. Возможны четыре случая такого соединения х и s (рис.5), для каждого из которых указана последовательность преобразо­ваний графа, требуемая для передачи прав доступа.

Пусть N>1. Рассмотрим вершину z, находящуюся на tg-пути между х и s и являющуюся смежной с s в графе Go. Тогда по доказанному для слу­чая N=1 существует последовательность преобразований графов досту­пов

и длина tg-пути между z и х равна N=1, что позволяет применить предположение индукции.

Рис.5.Возможные случаи непосредственной tg-связности x и s

Теорема доказана.

Для определения истинности предиката "возможен доступ" в произ­вольном графе необходимо ввести ряд дополнительных понятий.

Определение 2. Островом в произвольном графе доступов Go назы­вается его максимальный tg-связный подграф, состоящий только из вер­шин субъектов.

Определение 3. Мостом в графе доступов Go называется tg-путь, концами которого являются вершины-субъекты;

Определение 4. Начальным пролетом моста в графе доступов Go на­зывается tg-путь, началом которого является вершина-субъект.

Определение 5. Конечным пролетом моста в графе доступов Go на­зывается tg-путь, началом которого является вершина-субъект.

3.Возможность похищения прав доступа

Способ передачи прав доступа предполагает идеальное сотрудничество субъектов В случае похищения прав доступа предполагается, что передача прав доступа объекту осуществляется без содействия субъекта, изначально обладавшего передаваемыми правами Пусть х,у О-различные объекты графа доступа Go = (So,O₀,Eo), aR Определим предикат "возможно похищение" (a,x,y,Go), который будет ис­тинным тогда и только тогда, когда (x,y,a)Eo и существуют графы = (), , такие, что

и (x,y,a), при этом, если (s,y,a)Eo, то =0,1, , N выполняется opKgranf(a,s,z,y), К=1, N.

Теорема 2. Пусть Go = (So, Oo, Eo)- произвольный граф доступов Предикат "возможно похищение" (a,x,y,Go) истинен тогда и только тогда, когда выполняются условия 3, 4, 5

Условие 3 (х,у,а) Ео

Условие 4 Существуют объекты , ,s_m, такие, что (s,,y,,)Eo для i=1, ,т и a =

Условие 5 Являются истинными предикаты "возможен доступ" (t,x, s,Go) для i =1, ,m

4.Расширенная модель Take-Grant

В расширенной модели Take-Grant рассматриваются пути и стои­мости возникновения информационных потоков в системах с дискрецион­ным разграничением доступа

В классической модели Take-Grant по существу рассматриваются два права доступа t и g, а также четыре правила (правила де-юре) преобразо­вания графа доступов take, grant, create, remove В расширенной модели дополнительно рассматриваются два права доступа на чтение r (read) и на запись w (write), а также шесть правил (правила де-факто) преобразо­вания графа доступов post, spy, find, pass и два правила без названия

Правила де-факто служат для поиска путей возникновения возмож­ных информационных потоков в системе. Эти правила являются следст­вием уже имеющихся у объектов системы прав доступа и могут стать при­чиной возникновения информационного потока от одного объекта к друго­му без их непосредственного взаимодействия.

В результате применения к графу доступов правил де-факто в него добавляются мнимые дуги, помечаемые r или w и изображаемые пункти­ром (рис.6.) Вместе с дугами графа, соответствующими правам доступа r и w (реальными дугами), мнимые дуги указывают на направления ин­формационных каналов в системе.

Рис.6.Правило де-факто (везде вместо реальных дуг могут быть мнимые дуги)

Важно отметить, что к мнимым дугам нельзя применять правила де-юре преобразования графа доступов Информационные каналы нельзя брать или передавать другим объектам системы

Чтобы пояснить смысл правил де-факто рассмотрим ряд примеров

Пример 1. Пусть субъект х не имеет право r на объект z но имеет это право на субъект у. Пусть, кроме этого, х имеет право r на у Тогда х может, просматривая информацию в у, пытаться искать в нем информацию из z. Таким образом, в системе может возникнуть информационный канал от объекта z к субъекту х что демонстрирует правило де-факто spy. Очевидно также, если бы у был объектом т е пассивным элементом системы, то информационный канал от z к х возникнуть не мог.

Пример 2. Пусть субъект у имеет право r на объект z и право w на объект х. Прочитанная субъектом у информация в z может быть записана в х. Следователь­но, в системе может возникнуть информационный канал от объекта z к объекту х, что демонстрирует правило де-факто pass.

Проблемы взаимодействия - центральный вопрос при похищении прав доступа.

Каждое правило де-юре требует для достижения своей цели участия одного субъекта, а для реализаций правила де-факто необходимы один или два субъекта. Например, в де-факто правилах post, spy, find обяза­тельно взаимодействие двух субъектов. Желательно во множестве всех субъектов выделить подмножество так называемых субъектов-заговорщиков - участников процессов передачи прав или информации. В небольших системах эта задача легко решаема. Многократно просматри­вая граф доступов и применяя к нему все возможные правила де-юре и де-факто, можно найти замыкание графа доступов, которое будет содер­жать дуги, соответствующие всем информационным каналам системы. Однако, если граф доступов большой, то найти его замыкание весьма сложно.

Можно рассмотреть проблему поиска и анализа информационных каналов в ином свете. Допустим, факт нежелательной передачи прав или информации уже состоялся .Каков наиболее вероятный путь его осущест­вления? В классической модели Take-Grant не дается прямого ответа на этот вопрос - что есть возможность передачи прав или информации, но не можем определить, какой из путей при этом ис­пользовался

Предположим, что чем больше узлов на пути между вершинами, по которому произошла передача прав доступа или возник информационный поток, тем меньше вероятность использования этого пути Например, на рис 4 9 видно, что интуитивно наиболее вероятный путь передачи инфор­мации от субъекта z к субъекту х лежит через объект у В тоже время зло­умышленник для большей скрытности может специально использовать более длинный путь.

Рис 7. Пути возникновения информационного канала от z к х

Таким образом, в расширенную модель Take-Grant можно включить понятие вероятности или стоимости пути передачи прав или информации. Путям меньшей стоимости соответствует наивысшая вероятность и их надо исследовать в первую очередь. Есть два основных подхода к опре­делению стоимости путей.

1. Подход, основанный на присваивании стоимости каждой дуге на пути в графе доступов. В этом случае стоимость дуги определяется в за­висимости от прав доступа, которыми она помечена, а стоимость пути есть сумма стоимостей пройденных дуг.

2. Подход, основанный на присваивании стоимости каждому исполь­зуемому правилу де-юре или де-факто. Стоимость правила при этом мож­но выбрать, исходя из сферы применения модели Take-Grant. Стои­мость может:

•   быть константой;

•   зависеть от специфики правила;

•   зависеть от числа участников при применении правила;

•   зависеть от степени требуемого взаимодействия объектов.

Стоимость пути в этом случае определяется как сумма стоимостей примененных правил.

Заключение

В заключение можно отметить, что модель Take-Grant служит для анализа систем защиты с дискреционной политикой безопасности. В модели опре­делены условия, при которых происходит передача или похищение прав доступа. Однако на практике редко возникает необходимость в использо­вании указанных условий, так как при анализе большинства реальных сис­тем защиты не возникают столь сложные по взаимосвязи объектов графы доступов. А сами правила take и grant сравнительно редко используются на практике. В тоже время наиболее часто в реальных системах субъекты используют права доступа на чтение и запись. Поэтому предложенные в расширенной модели Take-Grant подходы к поиску и анализу путей воз­никновения в системе информационных каналов, определению их стоимости представляются наиболее интересными и актуальными.

Список литературы

1.Теоретические основы компьютерной безопасности: Учеб. пособие для вузов / П.Н. Девянин, 0.0. Михальский, Д.И. Пра­виков и др.-М.: Радио и связь, 2000.

2.Методы и средства защиты информации. В.А. Хорошко, А.А. Чекатков. Киев «Издательство «Юниор», 2003г.

3. Грушо А. А., Тимонина Е.Е. Теоретические основы защиты информации –М. Изд-во агентства "Яхтсмен" -1996.