访问控制的主题-对象模型
例如,在v.A.Gerasimenko的作品中考虑了建模信息保护过程的基础知识,他是国内最着名的自动化系统信息保护理论和实践方面的研究人员之一,他是信息安全系统概念方法的作者。 V.A.Gerasimenko提出了信息保护过程的一般模型,将其结构化为相互关联的组件,并将其分离为资源访问控制系统的单独块模型。
对信息访问的区分是将信息系统中循环的信息划分为部分、元素、组件、对象等。 以及组织一个处理信息的系统,涉及用户访问他们履行职能职责所需的信息的那一部分(对那些组成部分)。
访问控制直接确保了信息的机密性,并减少了对完整性和可访问性的威胁的可能性。 访问控制可以被认为是确保信息安全的其他方法之一,作为信息保护的综合软件和技术方法。 访问控制也是保证信息安全的必要条件。
大多数访问控制模型基于系统作为一组访问主体和对象的表示。
让我们考虑最常见的安全策略的主要规定,这些策略基于对对象访问的控制,并使用状态空间对系统的行为进行建模,其中一些是安全的,而另一些则不 所有考虑的安全模型都基于以下基本概念:
1. 系统具有离散时间。
2. 在每个固定的时间点,系统是一个有限元集合,分为两个子集:
访问主体s的子集;
访问对象的子集O。
访问主体是一个活动实体,它可以通过生成对象上的进程来改变系统的状态,包括生成新对象和初始化新主体的生成。
访问对象是一个被动实体,其上的过程在某些情况下可以是新主体生成的来源。
通过系统的这种表示,通过解决按照形成安全策略的一组给定规则和限制控制主体对对象的访问的问题来确保信息处理的安全性。 所有模型的一个共同方法恰恰是将构成系统的一组实体划分为一组主体和客体,尽管概念"客体"和"主体"的定义在不同的模型中可能不同。
该模型假设存在一种通过活动属性区分主体和客体的机制。 此外,还假定在任何给定时间tk,包括初始时刻tk,访问主体集合不为空。
3. 用户由代表特定用户的一组或一组访问主体表示。
用户是一个人,外部因素,通过一些信息认证并控制一个或多个主体,感知对象并通过他控制的主体接收关于系统状态的信息。
因此,在主体-客体模型中,访问主体和用户的概念并不相同。 假设用户控制动作不能改变访问主体本身的属性,这与用户可以通过改变程序来改变主体属性的真实系统并不对应。 但是,这种理想化允许您构建流程和访问机制的清晰图表。
4. 主体只能由活动实体(另一个主体)从对象生成。
如果存在主体sj,则对象oi被称为主体sm的源,其结果是主体sm出现在对象oi上。 被检体sj正在为被检体sm激活。
为了描述生成访问主体的过程,输入以下命令:创建(sj,oi)sm-主体sm是从对象oi生成的,具有主体sj的激活效果。
创建被称为生成主体的操作。 由于离散时间在系统中操作的事实,在时间tk处的激活主体的影响下,在时间tk+1处产生新的主体。
Create操作的结果取决于激活主体的属性和源对象的属性。
访问主体的主动本质在于它们对对象执行某些操作的能力,这导致了信息流的出现。
5. 系统中的所有交互都是通过在主体和客体之间建立某种类型的关系来建模的。 许多类型的关系被定义为主体可以对对象执行的一组操作。
6. 系统中的所有过程都通过主体对导致信息流的对象的访问来描述。
在客体oi和客体oj之间的信息流是对客体oj的任意操作,在主体sm中实现并且取决于客体oi。
流程可以以对对象的各种操作的形式执行:读取,更改,删除,创建等。
参与流的对象既可以是信息的源也可以是信息的接收者,既与主体相关联又可以是未关联的,还可以是空对象(例如,在创建或删除文件时)。 信息流只能在客体之间,不能在主体和客体之间。
Sm主体对oj对象的访问被称为由sm主体产生oj对象和一些oi对象之间的信息流。
访问概念的正式定义使得可以借助主体-客体模型直接进行受保护系统中信息安全过程的描述。 为了这个目的,在所有时间点为系统的整个固定分解集合引入了一组流P(集合P是系统运行中所有点的流的并集)。
定界主体对对象的访问的规则在形式上描述为属于r的集合。
7. 安全策略以规则的形式设置,根据该规则必须进行主体和对象之间的所有交互。 导致违反这些规则的交互由访问控制阻止,并且无法执行。
8. 所有操作都由安全监视器监控,并根据安全策略的规则禁止或允许。
9. 主体,对象和它们之间的关系(已建立的相互作用)集合的总体决定了系统的状态。 根据模型中提出的安全准则,系统的每个状态要么是安全的,要么是不安全的。
10. 安全模型的主要元素是声明(定理)的证明,即如果遵守所有既定的规则和限制,处于安全状态的系统就不能进入不安全状态。
