summaryrefslogtreecommitdiff
path: root/security-models/lectures/lecture8.tex
diff options
context:
space:
mode:
Diffstat (limited to 'security-models/lectures/lecture8.tex')
-rw-r--r--security-models/lectures/lecture8.tex148
1 files changed, 148 insertions, 0 deletions
diff --git a/security-models/lectures/lecture8.tex b/security-models/lectures/lecture8.tex
new file mode 100644
index 0000000..afc6c39
--- /dev/null
+++ b/security-models/lectures/lecture8.tex
@@ -0,0 +1,148 @@
+% Лекция 8 (10.11.23)
+
+Похищение прав доступа является примером случая, когда передача прав доступа
+к объекту осуществляется без содействия субъекта, изначально обладавшего
+передаваемыми правами, таким образом, не все субъекты системы кооперируют друг с
+другом.
+
+Пусть $x, y \in O_0, \, x \neq y$ --- различные объекты графа доступов $G_0 =
+(S_0, O_0, E_0),\, \alpha \subseteq R$. Определим предикат $\fn{can_steal}(
+\alpha, x, y, G_0)$, который будет истинным $\iff (x, y, \alpha) \cap E_0 =
+\varnothing$, существуют графы $G_1 = (S_1, O_1, E_1)$, $\dots$, $G_N = (S_N,
+O_N, E_N)$ и правила $op_1, \dots, op_N$, где $N \geq 1$, такие, что $G_0
+\vdash_{op_1} G_1 \vdash_{op_2} \dots \vdash_{op_N} G_N$ и $(x, y, \alpha)
+\subset E_N$, при этом, если существует $(s, y, \gamma) \subset E_0$, где
+$\gamma \subseteq \alpha$, то справедливо неравенство $op_k \neq \fn{grant}(
+\gamma, s, z, y)$, где $z \in O_{K - 1}, K = 1, \dots, N$.
+
+Говоря иначе, согласно определению похищением прав является процесс получения
+прав доступа на какой-либо объект без представления прав третьим субъектам со
+стороны субъекта, обладающего в начальном состоянии требуемыми правами на
+объект <<интересе>>.
+
+%% NOTE: 2.7
+\begin{theorem}
+ Пусть $G_0 = (S_0, O_0, E_0)$ --- произвольный граф доступов, $x, y \in O_0$,
+ $x \neq y$. Предикат $\fn{can_steal}(\alpha, x, y, G_0)$ истинен $\iff$
+ выполняются следующие четыре условия:
+ \begin{enumerate}
+ \item $(x, y, \alpha) \cap E_0 = \varnothing$;
+ \item существуют объекты $s_1, \dots, s_m \in O_0$ такие, что $(s_i, y,
+ \gamma_i) \subset E_0$ для $i = 1, \dots, m$ и $\alpha = \gamma_1 \cup
+ \dots \cup \gamma_m$;
+ \item являются истинными предикаты $\fn{can_share}(\set{t}, x, s_i, G_0)$,
+ где $i = 1, \dots, m$;
+ \item
+ для $i = 1, \dots, m$ граф доступов $G_0$ не является графом вида,
+ приведённого на рисунке 2.7
+ %% TODO: рис 1 (2.7)
+ %% TODO: Условие 4 теоремы 2.5
+ \end{enumerate}
+\end{theorem}
+
+Данная теорема означает, что если политика разграничения доступа в компьютерной
+системе запрещает субъектам, имеющим в исходном состоянии права доступа к
+определённым объектам, непосредственно предоставлять эти права другим субъектам
+(то есть такие потоки, для которых в графе доступов $G_0$ нет дуг <<$g$>> от
+этих субъектов), которые изначально такими правами не обладают, то тем не менее,
+такие первоначально <<обделённые>> субъекты могут получить данные права при
+наличии в графе доступов возможностей получения доступа с правом $t$ к первым
+субъектам.
+
+Таким образом, модель \emph{take-grant} играет важную методологическую роль,
+предоставляя теоретико-графовый инструмент анализа систем разграничения доступа
+с точки зрения санкционированного и несанкционированного со стороны определённых
+субъектов распространения прав доступа в рамках дискреционной политики.
+
+Правила де-юре контролируют только передачу полномочий, они ничего не говорят о
+передач информации, поэтому на основе классической модели \emph{Take-Grant}
+были разработаны её расширения, которые предлагают новые механизмы анализа, в
+большей степени применимые к современным системам защиты информации.
+
+Рассмотрим некоторые расширения модели.
+
+%% NOTE: 1
+\paragraph{Де-факто правила, предназначенные для поиска и анализа информационных
+потоков.}
+
+Вместо прав доступа take и grant в расширенной модели в первую очередь
+рассматриваются права read и write, наличие которых у субъектов системы является
+причиной возникновения информационных потоков.
+
+Основные элементы (дополнения):
+\begin{itemize}
+ \item
+ $R = \set{r_1, r_2, \dots, r_m} \cup \set{t, g} \cup \set{r, w}$ ---
+ множество видов прав доступа информационных потоков, где r (read) --- право
+ на чтение или информационный поток на чтение, w (write) --- право на запись
+ или информационный поток на запись;
+ \item
+ $G = (S, O, E \cup F)$ --- граф доступов и информационных потоков;
+ \item
+ Элементы множества $E \subseteq O \times O \times R$ являются <<реальными>>
+ дугами графа, соответствующими правам доступа, и в графе доступов
+ обозначается сплошными линиями;
+ \item
+ Элементы множества $F \subseteq O \times O \times \set{r, w}$ являются
+ <<мнимыми>> дугами, соответствующими информационным потокам, и в графе
+ доступов обозначаются пунктирными линиями.
+ \item
+ Каждая <<реальная>> дуга помечена непустым подмножеством множества всех видов
+ прав доступа $R$, каждая <<мнимая>> дуга помечена непустым подмножеством
+ множества $\set{r, w}$;
+ \item
+ Порядок перехода системы расширенной модели \emph{Take-Grant} из состояния
+ в состояние определяется де-юре и де-факто правилами преобразования графов
+ доступов и информационных потоков;
+ \item
+ Преобразование графа $G$ в граф $G'$ в результате выполнения правила $op$
+ обозначается $G \vdash_{op} G'$.
+\end{itemize}
+
+Определение де-юре правил take, grant, create, remove совпадает с определением
+этих правил в классической модели Take-Grant.
+
+Де-юре правила применяются только к <<реальным>> дугам (элементам множества
+$E$). Де-факто правила применяются к <<реальным>> или <<мнимым>> дугам
+(элементам множества $E \cup F$), помеченным $r$ или $w$.
+
+Результатом применения де-факто правил является добавление новых <<мнимых>> дуг
+в множество $F$. Рассматриваются шесть де-факто правил: два вспомогательных и
+четыре основных
+
+\begin{itemize}
+ \item
+ См. рисунок 2.8: субъект $x$ получает возможность записи (в себя) информации,
+ осуществляя доступ $r$ к объекту $y$.
+ %% TODO: рис. 2 (2.8)
+ %% TODO: Применение первого де-факто правила
+ \item
+ См. рисунок 2.8: субъект $x$ получает возможность чтения информации,
+ осуществляя доступ $w$ к объекту $y$.
+ %% TODO: рис. 3 (2.9)
+ %% TODO: Применение второго де-факто правила
+ \item
+ \emph{Spy} (шпион) (см. рисунок 2.10): субъект $x$ получает возможность
+ чтения информации из объекта $z$, осуществляя доступ $r$ к субъекту $y$,
+ который, в свою очередь, осуществляет доступ $r$ к объекту $z$, при этом
+ также у субъекта $x$ возникает возможность записи к себе информации из
+ объекта $z$.
+
+ Получается, $x$ шпионит за $z$, используя $y$, другими словами, $x$ <<смотрит
+ через плечо>> $y$, чтобы следить за $z$.
+ %% TODO: рис. 4 (2.10)
+ %% TODO: Применение правила spy(x, y, z)
+ \item
+ \emph{Find} (находить) (см. рисунок 2.11): субъект $x$ получает возможность
+ чтения информации из объекта $z$, осуществляя доступ $w$ к субъекту $y$,
+ который, в свою очередь, осуществляет доступ $w$ к объекту $z$, при этом
+ также у субъекта $x$ возникает возможность записи к себе информации из
+ объекта $z$.
+ %% TODO: рис. 5 (2.11)
+ %% TODO: Применение правила spy(x, y, z)
+ \item
+ \emph{Post} (почта) (см. рисунок 2.12): субъект $x$ получает возможность чтения
+ информации от (из) другого субъекта $z$, осуществляя доступ $r$ к объекту
+ $y$, к которому субъект $z$ осуществляет доступ $w$, а субъект $z$, в
+ свою очередь.
+\end{itemize}
generated by cgit v1.2.3 (git 2.25.1) at 2025-12-17 11:04:39 +0000