Seguridad en la matriz de control de acceso y modelo Take-Grant

4

Estoy aprendiendo sobre el Modelo de Take-Grant y la Matriz de control de acceso, y tengo un par de preguntas con respecto a las fugas y la pregunta de seguridad.

Definiciones

Estas son las definiciones que estoy usando (vea, por ejemplo, aquí [pdf] :)

  • Fugas: Agregar un derecho genérico r donde no había uno
  • Seguro: si un sistema S no puede filtrarse a la derecha r, es seguro con respecto a la derecha r
  • Pregunta de seguridad: ¿Existe un algoritmo para determinar si un sistema de protección S es seguro con respecto al derecho genérico r?

Matriz de control de acceso

Digamos que tenemos una matriz de control de acceso:

    S1      S2      O1
S1  o               r
S2  r,w,x   o
  • ¿Podría decir que en esta matriz, la derecha r de S1 sobre O1 se filtra a S2 (porque S2 puede usar S1 para acceder a O1)?
  • ¿O necesitaría un tipo de derecho de copia, que permita la copia real de un derecho de un campo a otro? Y si es así, ¿no sería la mayoría de los sistemas que tienen un derecho de copia automáticamente inseguro (vea también mi pregunta con respecto al modelo de take-grant)?

Modelo de Take-Grant

  • En el modelo de take-grant, ¿un sistema solo puede ser seguro si para cada sujeto S1 que tiene derecho sobre otro sujeto S2 también tiene todos los derechos que S2 tiene sobre cualquier objeto y sujeto?
  • y si no, ¿por qué no? ¿Estoy mal entendiendo lo que significa filtrar?

Entonces, por ejemplo, esto:

¿

noseríaseguro,porqueS1podríaobtenerrsobreO1desdeS2,yporlotantohabríaunrdondenohabíaunoantes?

Enestecaso,¿sedeberíadiseñarunsistemasegurocomoeste?:

Esto me parece un poco extraño, porque si ese fuera el caso, la toma correcta (o la concesión correcta) no tendría mucho sentido (al menos si uno quiere crear un sistema seguro).

    
pregunta tim 22.11.2014 - 19:49
fuente

1 respuesta

2

Voy a intentar responderte por separado:

Matriz de control de acceso

P: "¿Podría decir que en esta matriz, la r derecha de S1 sobre O1 se filtra a S2 (porque S2 puede usar S1 para acceder a O1)?"

A: No. Si considera que ejecución tiene el derecho de comportarse como tomar a la derecha, entonces Los derechos de lectura de S1 sobre O1 se han filtrado a S2, porque originalmente S2 no tenía derechos sobre O1. Pero los documentos que pude encontrar solo mostraron ese comportamiento cuando S2 tenía propios derechos sobre S1. Por lo tanto, sus derechos S1 de ejemplo no se filtrarían a S2 porque S2 no tenía derechos propios sobre S1.

Modelo de Take-Grant

P: "En el modelo take-grant, un sistema solo puede ser seguro si para cada sujeto S1 que tiene derecho sobre otro S2 también tiene todos los derechos que S2 tiene sobre cualquier objetos y sujetos? "

A: Eso es correcto. Recuerde que, de acuerdo con las definiciones 3-1 y 3-2 en el documento que vinculó, la seguridad de su sistema se calcula derecho por derecho. Si lo convierte a una Máquina Turing, su sistema se considera seguro cuando, dadas todas las operaciones posibles, comenzando desde un estado inicial s0 , no es posible lograr un estado sN donde un Sujeto tiene algún derecho que no tenía originalmente. Para ponerlo más claro:

  

¿Existe una secuencia arbitraria de comandos que agrega un derecho genérico a una celda de la matriz de acceso donde no se encuentra en la configuración inicial?

Creo que la gráfica que creaste no fue muy didáctica. Si está dispuesto, el segundo enlace que publico aquí ofrece una mejor idea de las operaciones disponibles y los posibles gráficos resultantes.

El tercer enlace hace referencia al documento original que describe el modelo de Take-Grant. En este documento, usan el nombre "llamada" en uno de los comandos descritos. Debe tener en cuenta que esta operación está relacionada con el derecho de crear nuevos nodos en un gráfico, no es el concepto de ejecución que utilizamos anteriormente, ¿vale?


Referencias:

enlace
enlace
enlace

    
respondido por el DarkLighting 01.12.2014 - 16:50
fuente

Lea otras preguntas en las etiquetas