Модель Харрисона-Руззо-Ульмана

Модель Харрисона-Руззо-Ульмана (HRU-модель) — одна из формальных моделей управления доступом субъектов (пользователей) к объектам, реализованная с помощью матрицы доступов. Названа в честь трёх его авторов: Шаблон:Iw, Уолтера Руззо и Джеффри Ульмана.Шаблон:Sfn

В современном мире одной из главных ценностей является информация. Поэтому так важно сделать доступ к информации безопасным. В связи с этим были разработаны модели управления доступом. Одной из таких моделей является модель Харрисона-Руззо-Ульмана, главной особенностью которой является матрица с полным описанием пользовательских прав к файлам. Изменения в эту матрицу вводятся с помощью специальных команд.

Основной задачей любой модели управления доступом является ограничение на выполнениe операций, которые разрешено проводить субъекту (пользователю) над объектом. Такими операциями могут являться, например, чтение (поток информации от объекта к субъекту) и запись (поток информации от субъекта к объекту). Введем некоторые обозначения:

${\displaystyle S}$ — множество субъектов,

${\displaystyle O}$ — множество объектов,

${\displaystyle R=(r_1,r_2,...,r_n)}$ — множество прав доступа.

Для реализации этих прав в данной модели используется матрица доступов ${\displaystyle M}$, строки которой соответствуют субъектам, а столбцы — объектам. На пересечении строчек и столбцов указаны права доступа, которыми обладает данный субъект по отношению к данному объекту. Тогда текущее состояние системы ${\displaystyle Q}$ можно однозначно записать в таком виде:Шаблон:Sfn

${\displaystyle Q=(S,O,M)}$

Для того чтобы был возможен переход из ${\displaystyle Q=(S,O,M)}$ в ${\displaystyle Q^{\prime }=(S^{\prime },O^{\prime },M^{\prime })}$, нужно ввести некоторые элементарные операции. Для этой цели в данной модели существует шесть операторов ${\displaystyle op}$:Шаблон:Sfn

1. Добавление права ${\displaystyle r}$ в ячейку ${\displaystyle M[s;o]}$:
   • ${\displaystyle op=enterrintoM[s,o]}$
2. Удаление права ${\displaystyle r}$ из ячейки ${\displaystyle M[s;o]}$:
   • ${\displaystyle op=deleterfromM[s,o]}$
3. Создание нового субъекта ${\displaystyle s}$:
   • ${\displaystyle op=createsubject{s}^{\prime }}$
4. Создание нового объекта ${\displaystyle o}$:
   • ${\displaystyle op=createobject{o}^{\prime }}$
5. Удаление субъекта ${\displaystyle s}$:
   • ${\displaystyle op=destroysubjects}$
6. Удаление объекта ${\displaystyle o}$:
   • ${\displaystyle op=destroyobjecto}$

Условия выполнения и новое состояние системы записаны в виде таблицы:Шаблон:Sfn

Оператор	Условия выполнения	Новое состояние системы
${\displaystyle op=enterrintoM[s,o]}$	${\displaystyle s\in S,o\in O}$	${\displaystyle S^{\prime }=S,O^{\prime }=O,A^{\prime }[s,o]=A[s,o]\cup \{r\},}$ ${\displaystyle if(s^{\prime },o^{\prime })\ne (s,o)\Rightarrow A^{\prime }[s^{\prime },o^{\prime }]=A[s^{\prime },o^{\prime }]}$
${\displaystyle op=deleterfromM[s,o]}$	${\displaystyle s\in S,o\in O}$	${\displaystyle S^{\prime }=S,O^{\prime }=O,A^{\prime }[s,o]=A[s,o]\setminus \{r\},}$ ${\displaystyle if(s^{\prime },o^{\prime })\ne (s,o)\Rightarrow A^{\prime }[s^{\prime },o^{\prime }]=A[s^{\prime },o^{\prime }]}$
${\displaystyle op=createsubject{s}^{\prime }}$	${\displaystyle s^{\prime }\notin S}$	${\displaystyle S^{\prime }=S\cup \{s^{\prime }\},O^{\prime }=O,}$ ${\displaystyle if(s,o)\in S\times O\Rightarrow A^{\prime }[s,o]=A[s,o],}$ ${\displaystyle ifo\in O^{\prime }\Rightarrow A^{\prime }[s^{\prime },o]=\varnothing }$
${\displaystyle op=createobject{o}^{\prime }}$	${\displaystyle o^{\prime }\notin O}$	${\displaystyle S^{\prime }=S,O^{\prime }=O\cup \{o^{\prime }\},}$ ${\displaystyle if(s,o)\in S\times O\Rightarrow A^{\prime }[s,o]=A[s,o],}$ ${\displaystyle ifs\in S^{\prime }\Rightarrow A^{\prime }[s,o^{\prime }]=\varnothing }$
${\displaystyle op=destroysubjects}$	${\displaystyle s^{\prime }\in S}$	${\displaystyle S^{\prime }=S\setminus \{s^{\prime }\},O^{\prime }=O,}$ ${\displaystyle if(s,o)\in S^{\prime }\times O^{\prime }\Rightarrow A^{\prime }[s,o]=A[s,o],}$
${\displaystyle op=destroyobjecto}$	${\displaystyle o^{\prime }\in O}$	${\displaystyle S^{\prime }=S,O^{\prime }=O\setminus \{o^{\prime }\},}$ ${\displaystyle if(s,o)\in S^{\prime }\times O^{\prime }\Rightarrow A^{\prime }[s,o]=A[s,o],}$

Любой переход может быть осуществлен с помощью такой команды:Шаблон:Sfn

command ${\displaystyle \alpha (x_1,x_2,...,x_n)}$
    if ${\displaystyle r_{1}inM[s_1,o_1]and}$
       ${\displaystyle r_{2}inM[s_2,o_2]and}$
       ${\displaystyle ...}$
       ${\displaystyle r_{m}inM[s_m,o_m]}$
    then
         ${\displaystyle o{p}_1,}$
         ${\displaystyle o{p}_2,}$
         ${\displaystyle ...}$
         ${\displaystyle o{p}_k,}$
end

Примером команды, которая является комбинацией элементарных операций ${\displaystyle op}$, может служить создание файла ${\displaystyle F}$ пользователем ${\displaystyle P}$ и получение им прав на чтение ${\displaystyle read}$:Шаблон:Sfn

command ${\displaystyle CreateFile(F,P)}$ 
      ${\displaystyle createobjectF,}$
      ${\displaystyle enterreadintoM[P,F],}$
end

Любая система в модели Харрисона-Руззо-Ульмана характеризуется матрицей доступа ${\displaystyle M}$, конечным количеством прав ${\displaystyle R=(r_1,r_2,...,r_n)}$, объектов ${\displaystyle O=(o_1,o_2,...,o_m)}$, субъектов ${\displaystyle S=(s_1,s_2,...,s_l)}$ и операций ${\displaystyle A=({\alpha }_1,{\alpha }_2,...,{\alpha }_k)}$. Система является монооперационной, если каждая команда ${\displaystyle {\alpha }_i}$ данной системы выполняет лишь одну элементарную операцию ${\displaystyle op}$.Шаблон:Sfn

Для заданной системы исходное состояние ${\displaystyle Q_0=(S_0,O_0,M_0)}$ называется безопасным относительно права ${\displaystyle r}$, если не существует такой последовательности команд, которая изменила бы заданное начальное состояние системы так, что право ${\displaystyle r}$ записалось бы в ячейку ${\displaystyle M[s;o]}$, в которой оно отсутствовало в начальном состоянии ${\displaystyle Q_0}$. Если это условие не выполнено, то произошла утечка информации.Шаблон:Sfn

Существует алгоритм, проверяющий на безопасность исходное состояние ${\displaystyle Q_0}$ монооперационной системы на безопасность относительно права ${\displaystyle r}$.Шаблон:Sfn

Чтобы показать, что исходное состояние системы является безопасным относительно права ${\displaystyle r}$, нужно перебрать все последовательности операций и проверить на отсутствие утечки права ${\displaystyle r}$ для каждого конечного состояния. Из этого следует, что условием возможности проверки на безопасность будет ограниченность количества последовательностей операций. Пусть ${\displaystyle {\alpha }_1,{\alpha }_2,...,{\alpha }_k}$ — некоторая последовательность операций. Заметим, что её можно упростить. Команды ${\displaystyle delete}$ и ${\displaystyle destroy}$ уберем из последовательности, так как нас интересует наличие права в ячейке, а не его отсутствие. Добавим команду ${\displaystyle createsubject}$ в начало последовательности операций и создадим таким образом субъект ${\displaystyle s_{add}}$. Заменим ссылки на субъекты и объекты, создаваемые другими командами ${\displaystyle createsubject}$ и ${\displaystyle createobject}$, ссылкой на ${\displaystyle s_{add}}$. Остальные команды ${\displaystyle createsubject}$ и ${\displaystyle createobject}$ убираем, так как ввиду монооперационности системы нельзя создать субъект и определить для него права в одной операции. В результате остается одна команда ${\displaystyle createsubject}$ и множество команд ${\displaystyle enter}$, максимальное число которых легко посчитать по формуле ${\displaystyle N=|R|(|S_0|+1)(|O_0|+1)}$. Из этого следует, что число последовательностей операций ограниченно, а значит возможно перебором проверить на безопасность состояние системы относительно права ${\displaystyle r}$.Шаблон:Sfn

Задача определения безопасности исходного состояния ${\displaystyle Q_0}$ системы общего вида для данного права ${\displaystyle r}$ является неразрешимой.Шаблон:Sfn

Чтобы доказать данную теорему, достаточно свести задачу определения безопасности к задаче остановки машины Тьюринга, которая является заведомо неразрешимой.Шаблон:Sfn

1. Простота и наглядность, так как для данной модели не требуется сложных алгоритмов.
2. Эффективность в управлении, так как возможно управление правами пользователей с точностью до операции.
3. Сильный критерий безопасности.

1. Не существует алгоритма проверки на безопасность для произвольной системы.
2. Уязвимость для атаки с помощью троянского коня, так как в данной модели не существует контроля за потоками информации между субъектами.

Несмотря на то, что модель Харрисона-Руззо-Ульмана не предоставляет алгоритма проверки на безопасность для произвольной системы, данная модель нашла свою нишу в мире и используется при формальной верификации корректности построения систем разграничения доступа в высокозащищённых автоматизированных системах. На данный момент создание и развитие моделей управления доступом заключается в основном в проектировании различных модификаций модели Харрисона-Руззо-Ульмана и в поиске условий, при которых бы задача определения безопасности была алгоритмически разрешимой.Шаблон:Sfn Шаблон:Sfn

Аналогом модели Харрисона-Руззо-Ульмана является модель Белла-Лападулы, которая предусматривает разделение объектов и субъектов на уровни секретности, а также контролирует поток данных от субъекта к субъекту. Так субъект, имеющий менее высокий уровень секретности, чем у объекта, не получит права доступа к этому объекту. Это создает ряд преимуществ и недостатков по сравнению с моделью Харрисона-Руззо-Ульмана. Модель Белла — Лападулы не подвержена атакам с помощью троянских коней, более безопасна. Но модель Харрисона-Руззо-Ульмана более эффективна в управлении и проста в использовании. Поэтому каждая из этих моделей нашла свое применение.Шаблон:Sfn

• Модель Грэхэма-Деннинга
• Модель Белла — Лападулы

Шаблон:Примечания

• Шаблон:Книга
• Шаблон:Статья
• Шаблон:Книга
• Шаблон:Книга