Модель Харрисона-Руззо-Ульмана

Модель Харрисона-Руззо-Ульмана (HRU-модель) — одна из формальных моделей управления доступом субъектов (пользователей) к объектам, реализованная с помощью матрицы доступов. Названа в честь трёх его авторов: Майкла Харрисона^[en], Уолтера Руззо и Джеффри Ульмана.^[1]

Описание модели[править | править код]

Введение[править | править код]

В современном мире одной из главных ценностей является информация. Поэтому так важно сделать доступ к информации безопасным. В связи с этим были разработаны модели управления доступом. Одной из таких моделей является модель Харрисона-Руззо-Ульмана, главной особенностью которой является матрица с полным описанием пользовательских прав к файлам. Изменения в эту матрицу вводятся с помощью специальных команд.

Описание состояния системы[править | править код]

Основной задачей любой модели управления доступом является ограничение на выполнениe операций, которые разрешено проводить субъекту (пользователю) над объектом. Такими операциями могут являться, например, чтение (поток информации от объекта к субъекту) и запись (поток информации от субъекта к объекту). Введем некоторые обозначения:

${\displaystyle S}$ — множество субъектов,

${\displaystyle O}$ — множество объектов,

${\displaystyle R=(r_{1},r_{2},...,r_{n})}$ — множество прав доступа.

Для реализации этих прав в данной модели используется матрица доступов ${\displaystyle M}$, строки которой соответствуют субъектам, а столбцы — объектам. На пересечении строчек и столбцов указаны права доступа, которыми обладает данный субъект по отношению к данному объекту. Тогда текущее состояние системы ${\displaystyle Q}$ можно однозначно записать в таком виде:^[2]

${\displaystyle Q=(S,O,M)}$

Переходы между состояниями системы[править | править код]

Для того, чтобы был возможен переход из ${\displaystyle Q=(S,O,M)}$ в ${\displaystyle Q'=(S',O',M')}$, нужно ввести некоторые элементарные операции. Для этой цели в данной модели существует шесть операторов ${\displaystyle op}$:^[3]

1. Добавление права ${\displaystyle r}$ в ячейку ${\displaystyle M[s;o]}$:
   • ${\displaystyle op=enter~r~into~M[s,o]}$
2. Удаление права ${\displaystyle r}$ из ячейки ${\displaystyle M[s;o]}$:
   • ${\displaystyle op=delete~r~from~M[s,o]}$
3. Создание нового субъекта ${\displaystyle s}$:
   • ${\displaystyle op=create~subject~s'}$
4. Создание нового объекта ${\displaystyle o}$:
   • ${\displaystyle op=create~object~o'}$
5. Удаление субъекта ${\displaystyle s}$:
   • ${\displaystyle op=destroy~subject~s}$
6. Удаление объекта ${\displaystyle o}$:
   • ${\displaystyle op=destroy~object~o}$

Условия выполнения и новое состояние системы записаны в виде таблицы:^[4]

Оператор	Условия выполнения	Новое состояние системы
${\displaystyle op=enter~r~into~M[s,o]}$	${\displaystyle s\in S~,o\in O}$	${\displaystyle S'=S,~O'=O,~A'[s,o]=A[s,o]\cup \{r\},}$ ${\displaystyle if~(s',o')\neq (s,o)\Rightarrow A'[s',o']=A[s',o']}$
${\displaystyle op=delete~r~from~M[s,o]}$	${\displaystyle s\in S~,o\in O}$	${\displaystyle S'=S,~O'=O,~A'[s,o]=A[s,o]\setminus \{r\},}$ ${\displaystyle if~(s',o')\neq (s,o)\Rightarrow A'[s',o']=A[s',o']}$
${\displaystyle op=create~subject~s'}$	${\displaystyle s'\notin S}$	${\displaystyle S'=S\cup \{s'\},~O'=O,}$ ${\displaystyle if~(s,o)\in S\times O\Rightarrow A'[s,o]=A[s,o],}$ ${\displaystyle if~o\in O'\Rightarrow A'[s',o]=\varnothing }$
${\displaystyle op=create~object~o'}$	${\displaystyle o'\notin O}$	${\displaystyle S'=S,~O'=O\cup \{o'\},}$ ${\displaystyle if~(s,o)\in S\times O\Rightarrow A'[s,o]=A[s,o],}$ ${\displaystyle if~s\in S'\Rightarrow A'[s,o']=\varnothing }$
${\displaystyle op=destroy~subject~s}$	${\displaystyle s'\in S}$	${\displaystyle S'=S\setminus \{s'\},~O'=O,}$ ${\displaystyle if~(s,o)\in S'\times O'\Rightarrow A'[s,o]=A[s,o],}$
${\displaystyle op=destroy~object~o}$	${\displaystyle o'\in O}$	${\displaystyle S'=S,~O'=O\setminus \{o'\},}$ ${\displaystyle if~(s,o)\in S'\times O'\Rightarrow A'[s,o]=A[s,o],}$

Любой переход может быть осуществлен с помощью такой команды:^[5]

command ${\displaystyle \alpha (x_{1},x_{2},...,x_{n})}$
    if ${\displaystyle r_{1}~in~M[s_{1},o_{1}]~and}$
       ${\displaystyle r_{2}~in~M[s_{2},o_{2}]~and}$
       ${\displaystyle ...}$
       ${\displaystyle r_{m}~in~M[s_{m},o_{m}]}$
    then
         ${\displaystyle op_{1},}$
         ${\displaystyle op_{2},}$
         ${\displaystyle ...}$
         ${\displaystyle op_{k},}$
end

Пример команды[править | править код]

Примером команды, которая является комбинацией элементарных операций ${\displaystyle op}$, может служить создание файла ${\displaystyle F}$ пользователем ${\displaystyle P}$ и получение им прав на чтение ${\displaystyle read}$:^[1]

command ${\displaystyle CreateFile(F,P)}$ 
      ${\displaystyle createobjectF,}$
      ${\displaystyle enterreadintoM[P,F],}$
end

Системы в модели Харрисона-Руззо-Ульмана[править | править код]

Любая система в модели Харрисона-Руззо-Ульмана характеризуется матрицей доступа ${\displaystyle M}$, конечным количеством прав ${\displaystyle R=(r_{1},r_{2},...,r_{n})}$, объектов ${\displaystyle O=(o_{1},o_{2},...,o_{m})}$, субъектов ${\displaystyle S=(s_{1},s_{2},...,s_{l})}$ и операций ${\displaystyle A=(\alpha _{1},\alpha _{2},...,\alpha _{k})}$. Система является монооперационной, если каждая команда ${\displaystyle \alpha _{i}}$ данной системы выполняет лишь одну элементарную операцию ${\displaystyle op}$.^[6]

Безопасность[править | править код]

Критерий безопасности системы[править | править код]

Для заданной системы исходное состояние ${\displaystyle Q_{0}=(S_{0},O_{0},M_{0})}$ называется безопасным относительно права ${\displaystyle r}$, если не существует такой последовательности команд, которая изменила бы заданное начальное состояние системы так, что право ${\displaystyle r}$ записалось бы в ячейку ${\displaystyle M[s;o]}$, в которой оно отсутствовало в начальном состоянии ${\displaystyle Q_{0}}$. Если это условие не выполнено, то произошла утечка информации.^[7]

Теорема 1[править | править код]

Существует алгоритм, проверяющий на безопасность исходное состояние ${\displaystyle Q_{0}}$ монооперационной системы на безопасность относительно права ${\displaystyle r}$.^[8]

Доказательство[править | править код]

Чтобы показать, что исходное состояние системы является безопасным относительно права ${\displaystyle r}$, нужно перебрать все последовательности операций и проверить на отсутствие утечки права ${\displaystyle r}$ для каждого конечного состояния. Из этого следует, что условием возможности проверки на безопасность будет ограниченность количества последовательностей операций. Пусть ${\displaystyle \alpha _{1},\alpha _{2},...,\alpha _{k}}$ — некоторая последовательность операций. Заметим, что её можно упростить. Команды ${\displaystyle delete}$ и ${\displaystyle destroy}$ уберем из последовательности, так как нас интересует наличие права в ячейке, а не его отсутствие. Добавим команду ${\displaystyle create~subject}$ в начало последовательности операций и создадим таким образом субъект ${\displaystyle s_{add}}$. Заменим ссылки на субъекты и объекты, создаваемые другими командами ${\displaystyle create~subject}$ и ${\displaystyle create~object}$, ссылкой на ${\displaystyle s_{add}}$. Остальные команды ${\displaystyle create~subject}$ и ${\displaystyle create~object}$ убираем, так как ввиду монооперационности системы нельзя создать субъект и определить для него права в одной операции. В результате остается одна команда ${\displaystyle create~subject}$ и множество команд ${\displaystyle enter}$, максимальное число которых легко посчитать по формуле ${\displaystyle N=|R|(|S_{0}|+1)(|O_{0}|+1)}$. Из этого следует, что число последовательностей операций ограниченно, а значит возможно перебором проверить на безопасность состояние системы относительно права ${\displaystyle r}$.^[8]

Теорема 2[править | править код]

Задача определения безопасности исходного состояния ${\displaystyle Q_{0}}$ системы общего вида для данного права ${\displaystyle r}$ является неразрешимой.^[9]

Доказательство[править | править код]

Чтобы доказать данную теорему, достаточно свести задачу определения безопасности к задаче остановки машины Тьюринга, которая является заведомо неразрешимой.^[9]

Преимущества и недостатки[править | править код]

Преимущества^[10][править | править код]

1. Простота и наглядность, так как для данной модели не требуется сложных алгоритмов.
2. Эффективность в управлении, так как возможно управление правами пользователей с точностью до операции.
3. Сильный критерий безопасности.

Недостатки^[10][править | править код]

1. Не существует алгоритма проверки на безопасность для произвольной системы.
2. Уязвимость для атаки с помощью троянского коня, так как в данной модели не существует контроля за потоками информации между субъектами.

Применение[править | править код]

Несмотря на то, что модель Харрисона-Руззо-Ульмана не предоставляет алгоритма проверки на безопасность для произвольной системы, данная модель нашла свою нишу в мире и используется при формальной верификации корректности построения систем разграничения доступа в высокозащищённых автоматизированных системах. На данный момент создание и развитие моделей управления доступом заключается в основном в проектировании различных модификаций модели Харрисона-Руззо-Ульмана и в поиске условий, при которых бы задача определения безопасности была алгоритмически разрешимой.^{[9] [11]}

Сравнение с аналогом[править | править код]

Аналогом модели Харрисона-Руззо-Ульмана является модель Белла-Лападулы, которая предусматривает разделение объектов и субъектов на уровни секретности, а также контролирует поток данных от субъекта к субъекту. Так субъект, имеющий менее высокий уровень секретности, чем у объекта, не получит права доступа к этому объекту. Это создает ряд преимуществ и недостатков по сравнению с моделью Харрисона-Руззо-Ульмана. Модель Белла — Лападулы не подвержена атакам с помощью троянских коней, более безопасна. Но модель Харрисона-Руззо-Ульмана более эффективна в управлении и проста в использовании. Поэтому каждая из этих моделей нашла свое применение.^[12]

См. также[править | править код]

• Модель Грэхэма-Деннинга
• Модель Белла — Лападулы

Примечания[править | править код]

Литература[править | править код]

• Цирлов В.Л. Основы информационной безопасности автоматизированных систем. — Феникс, 2008. — С. 34—40. — 173 с. — ISBN 978-5-222-13164-0.
• Harrison M., Ruzzo W., Ullman J. ESIGN: Protection in operating systems (англ.). — 1976. — Август (т. 19, № 8). — С. 461–471. — ISSN 0001-0782.
• Девянин П.Н. 2.1.1. Элементы теории ХРУ // Модели безопасности компьютерных систем. — Москва: Академия, 2005. — С. 18—25. — 144 с. — ISBN 5-7695-2053-1.
• Гаценко О. Ю. Защита информации. Основы организационного управления.. — Санкт-Петербург: Сентябрь, 2001. — С. 34—45. — 228 с. — ISBN 5-94234-015-3.