Модели TAKE-GRANT и их исследования — страница 5

  • Просмотров 2517
  • Скачиваний 251
  • Размер файла 132
    Кб

разграничением доступа В классической модели Take-Grant по существу рассматриваются два права доступа t и g, а также четыре правила (правила де-юре) преобразо­вания графа доступов take, grant, create, remove В расширенной модели дополнительно рассматриваются два права доступа на чтение r (read) и на запись w (write), а также шесть правил (правила де-факто) преобразо­вания графа доступов post, spy, find, pass и два правила без названия Правила де-факто служат для

поиска путей возникновения возмож­ных информационных потоков в системе. Эти правила являются следст­вием уже имеющихся у объектов системы прав доступа и могут стать при­чиной возникновения информационного потока от одного объекта к друго­му без их непосредственного взаимодействия. В результате применения к графу доступов правил де-факто в него добавляются мнимые дуги, помечаемые r или w и изображаемые пункти­ром (рис.6.)

Вместе с дугами графа, соответствующими правам доступа r и w (реальными дугами), мнимые дуги указывают на направления ин­формационных каналов в системе. Рис.6.Правило де-факто (везде вместо реальных дуг могут быть мнимые дуги) Важно отметить, что к мнимым дугам нельзя применять правила де-юре преобразования графа доступов Информационные каналы нельзя брать или передавать другим объектам системы Чтобы пояснить смысл правил

де-факто рассмотрим ряд примеров Пример 1. Пусть субъект х не имеет право r на объект z но имеет это право на субъект у. Пусть, кроме этого, х имеет право r на у Тогда х может, просматривая информацию в у, пытаться искать в нем информацию из z. Таким образом, в системе может возникнуть информационный канал от объекта z к субъекту х что демонстрирует правило де-факто spy. Очевидно также, если бы у был объектом т е пассивным элементом

системы, то информационный канал от z к х возникнуть не мог. Пример 2. Пусть субъект у имеет право r на объект z и право w на объект х. Прочитанная субъектом у информация в z может быть записана в х. Следователь­но, в системе может возникнуть информационный канал от объекта z к объекту х, что демонстрирует правило де-факто pass. Проблемы взаимодействия - центральный вопрос при похищении прав доступа. Каждое правило де-юре требует для

достижения своей цели участия одного субъекта, а для реализаций правила де-факто необходимы один или два субъекта. Например, в де-факто правилах post, spy, find обяза­тельно взаимодействие двух субъектов. Желательно во множестве всех субъектов выделить подмножество так называемых субъектов-заговорщиков - участников процессов передачи прав или информации. В небольших системах эта задача легко решаема. Многократно просматри­вая