3.3.3.2. Понятие и классификация каналов взаимодействия субъектов доступа. Модели управления доступом с взаимодействием субъектов доступа.
Рассмотренная выше каноническая модель управления доступом характеризуется полным разграничением доступа субъектов к объектам, при котором субъекты не имеют каналов взаимодействия – каналов обмена информацией. Если в системе может находиться несколько субъектов (например, пользователей), то появляется задача предоставления субъектам возможности обмена информацией.
Введем несколько определений.
Определение. Под каналом взаимодействия субъектов доступа понимается реализуемая диспетчером доступа возможность обмена субъектами доступа информацией в рамках канонической модели управления доступом.
Определение.
Под симплексным
каналом взаимодействия субъектов
доступа понимается канал, обеспечивающий
возможность одностороннего обмена
субъектами доступа информацией, будем
обозначать Сi
Cj
(информация может передаваться в одну
сторону – от субъекта Сi
к субъекту Cj).
Определение.
Под дуплексным
каналом взаимодействия субъектов
доступа понимается канал, обеспечивающий
возможность двухстороннего обмена
субъектами доступа информацией, будем
обозначать Сi
Cj
.
Замечание. Дуплексный канал взаимодействия субъектов доступа представляет собою два встречно-направленных симплексных канала.
О пределение. Под активным симплексным каналом взаимодействия субъектов доступа Сi Cj понимается канал взаимодействия, в котором активным является отправитель информации (отправитель, в данном случае субъект Сi выдает информацию получателю). Активный симплексный канал взаимодействия субъектов доступа может быть реализован с использованием операций «запись», «модификация» или «добавление». Операция «модификация» отличается от операции «запись» тем, что в отличие от операции «запись» не позволяет читать объект, перед занесенем в него информации. Операция «добавление» отличается от операций «запись» и «модификация» тем, что ее выполнение не позволяет ни читать, ни модифицировать информацию, располагаемую в объекте, в который добавляется информация по каналу взаимодействия - данная операция позволяет лишь добавить информацию, предотвращая возможность изменить существующую в объекте информацию.
О пределение. Под пассивным симплексным каналом взаимодействия субъектов доступа Сi Cj понимается канал взаимодействия, в котором активным является получатель информации (получатель, в данном случае субъект Сj) забирает информацию у отправителя. Пассивный симплексный канал взаимодействия субъектов доступа реализуется с использованием операции «чтение».
Модели управления доступом с взаимодействием субъектов.
Отметим, что в задачу управления доступом в общем случае (защита от НСД) входит не только защита данных субъектов (в данном случае пользователей) от несанкционированного их прочтения другими субъектами, но и защита данных субъектов от возможности их искажения другими субъектами. Этим, кстати говоря, защита данных средствами защиты от НСД принципиально отличается от защиты данных (управления доступом) с использованием средств криптографической защиты.
Для иллюстрации сказанного, рассмотрим каноническую матрицу доступа D, реализуемую с использованием средств криптографической защиты.
С1 С2….Ck-1 Ck
O1 Зп/Чт Зп Зп Зп
O2 Зп Зп/Чт Зп Зп
……………………….……..………………………………
D = .
.
Ok-1 Зп Зп Зп/Чт Зп
Ok Зп Зп Зп Зп/Чт
где элемент «Зп» обозначает разрешение доступа с использованием операции «запись» (прочитать информацию пользователь может, но не имеет возможности ее преобразовать к читаемому виду, т.к. информация зашифрована), «Зп/Чт» – соответственно операции «запись» и «чтение».
С учетом введенных выше понятий и определений данную матрицу доступа можно охарактеризовать, как каноническую матрицу доступа, расширенную дуплексными каналами взаимодействия между собою всех субъектов, реализованных на основе активных симплексных каналов взаимодействия субъектов доступа с использованием операции «запись». Другими словами, это частный случай управления доступом, не обеспечивающий защиту данных от их несанкционированной модификации (удаления).
Модель управления доступом с взаимодействием субъектов доступа посредством выделеного канала.
Особенностью данной модели является включение в систему дополнительного объекта (группы объектов) доступа, используемого субъектами доступа в качестве выделенного канала взаимодействия. Отметим, что в качестве канала взаимодействия здесь должны использоваться дуплексные каналы, причем в обе стороны взаимодействия должны быть реализованы как активный, так и пассивный симплексных каналы.
Ниже представлена каноническая матрица доступа D с выделенным каналом взаимодействия субъектов доступа (соответствественно с организацией активного симплексного канала операцией “запись” и “чтение” – полный доступ). Для организации выделенного канала взаимодействия в систему включен объект доступа Ok+1.
С1 С2….Ck-1 Ck
O1 Зп/Чт 0 0 0
O2 0 Зп/Чт 0 0
……………………….……..………………………………
D = .
.
Ok-1 0 0 Зп/Чт 0
Ok 0 0 0 Зп/Чт
Ok+1 Зп/Чт Зп/Чт Зп/Чт Зп/Чт
Недостатком данной модели, ограничивающим возможность ее практического использования, является доступность информации, находящейся в канале взаимодействия, одновременно всем субъектам доступа. Данный недостаток может частично преодолеваться созданием группы каналов взаимодействия (включением группы дополнительных объектов доступа) с соответствующим разграничением к ним доступа субъектов. Однако это приводит к неэффективному использованию ресурсов защищаемого объекта.
Модели управления доступом с взаимодействием субъектов доступа посредством виртуальных каналов.
Определение. Под виртуальным каналом взаимодействия субъектов доступа будем понимать канал взаимодействия, реализованный с использованием существующих объектов доступа (без включения в систему дополнительных объектов).
Естественно, что в соответствии с классификацией каналов взаимодействия субъектов доступа виртуальные каналы для рассматриваемых моделей должны быть дуплексными и должны строиться на основе реализации пассивного симплексного канала, либо активного симплексного канала, реализованного с использованием операции “добавления” (использование операции “запись” здесь недопустимо в части необходимости защиты информации субъектов от возможности ее модификации).
Замечание. Для организации канала взаимодействия субъектов доступа целесообразно рассматривать следующее множество прав доступа, используемое для реализации канала взаимодействия субъектов доступа {Чт, Д}, где элемент «Д» обозначает добавление – это возможность пользователя добавить информацию в объект без возможности чтения объекта и без возможности модификации существующей в объекте информации при добавлении новой информации. Право доступа «Зп/Чт» обозначает право пользователя на чтение и запись информации.
Замечание. Право доступа «добавление» может быть реализовано с использованием права доступа «запись» при реализации соответствующих настроек (в предположении, что право «запись» может устанавливаться на все иерархические объекты – логический диск, каталог, файл). Например, если в качестве виртуального канала взаимодействия субъектов доступа использовать каталог, то всем пользователям следует разрешить в этот каталог записывать данные, но всем прользователям, кроме одного – владельца данных в каталоге, необходимо запретить «запись» в уже существующие в каталоге объекты (подкаталоги и файлы).
Замечание. При описании моделей нами будут рассматриваться только основные типы запросов доступа (общий их список может быть существенно расширен, например, моделью Белла-Лападулы рассматриваются 11 типов запросов), т.к. интерпретация моделей для остальных типов запросов доступа достаточна очевидна.
Модель управления доступом с дуплексными виртуальными каналами взаимодействия на основе пассивных симплексных каналов.
Рассмотрим матрицу доступа D для модели управления доступом с дуплексными виртуальными каналами взаимодействия на основе пассивных симплексных каналов.
С1 С2….Ck-1 Ck
O1 Зп/Чт Чт Чт Чт
O2 Чт Зп/Чт Чт Чт
……………………….……..………………………………
D = .
.
Ok-1 Чт Чт Зп/Чт Чт
Ok Чт Чт Чт Зп/Чт
Модель управления доступом формально может быть описана следующим образом - элемент (Dij) матрицы Dij = Зп/Чт, если i = j, иначе Dij = Чт.
К недостаткам данной модели можно отнести то, что она предотвращает лишь возможность несанкционированной модификации информации объектов, при этом, не разграничивая субъектам доступа к объектам «по чтению». Очевидно, что в таком виде виртуальный канал взаимодействия субъектов не применим (может использоваться лишь при введении дополнительных разграничений, либо условий, для канала взаимодействия субъектов доступа).
Модель управления доступом с дуплексными виртуальными каналами взаимодействия на основе активных симплексных каналов.
Рассмотрим матрицу доступа D для модели управления доступом с дуплексными виртуальными каналами взаимодействия на основе активных симплексных каналов.
С1 С2….Ck-1 Ck
O1 Зп/Чт Д Д Д
O2 Д Зп/Чт Д Д
……………………….……..………………………………
D = .
.
Ok-1 Д Д Зп/Чт Д
Ok Д Д Д Зп/Чт
Модель управления доступом формально может быть описана следующим образом - элемент (Dij) матрицы Dij = Зп/Чт, если i = j, иначе Dij = Д.
Данная модель практически лишена недостатков, присущих ранее рассмотренным моделям. Здесь в полном объеме реализуется каноническая модель управления доступом, при этом обеспечивается возможность полноценного корректного взаимодействия субъектов доступа (каждый субъект доступа может взаимодействовать со всеми другими субъектами доступа системы без снижения уровня защищенности от НСД).
Будем называть данную модель, наиболее приемлемую для использования в рассматриваемых приложениях, канонической моделью управления доступом с взаимодействием субъектов.
Определение. Под канонической моделью управления доступом с взаимодействием субъектов для линейно упорядоченных множеств субъектов (групп субъектов) и объектов (групп объектов) доступа понимается модель, описываемая матрицей доступа, элементы главной диагонали которой «Зп/Чт» – задают полный доступ субъектов к объектам, остальные элементы «Д» – задают активные симплексные каналы взаимодействия с использованием операции «добавление».
Выводы:
1. Модели управления доступом различаются реализуемым в них каналом (каналами) взаимодействия субъектов доступа, при этом канал взаимодействия может быть выделенным, либо виртуальным; пассивным, либо активным; симплексным, либо дуплексным.
2. Для корректной реализации канала взаимодействия субъектов доступа в общем случае следует рассматривать не право доступа “Зп” – “запись”, а право доступа “Д” - “добавление”, где «Д» предоставляет возможность пользователю добавить информацию в объект без возможности чтения объекта и без возможности модификации существующей в объекте информации при добавлении новой информации.