Model af militære meddelelsessystemer

Modellen for militære meddelelsessystemer ( SVS model , English  Military Message System , MMS ) er en adgangskontrol- og styringsmodel med fokus på systemer til modtagelse, transmission og behandling af meddelelser, der implementerer en obligatorisk sikkerhedspolitik [1] . SAF-modellen blev udviklet i 1984 i det amerikanske militærs interesse af ansatte i US  Naval Research Laboratory ( NRL) af Karl Landwehr, Constance Heitmeier og John McLean for at eliminere manglerne ved Bell-modellen, der blev brugt på det tidspunkt - Lapadula [2] .

Historie

Før fremkomsten af ​​CBC- modellen blev Bell-LaPadula-modellen [3] hovedsageligt brugt i regerings- og militærstrukturer til at bygge sikkerhedssystemer, der implementerer obligatorisk adgangskontrol . Men i slutningen af ​​1970'erne og begyndelsen af ​​1980'erne gennemførte det amerikanske militær MME-eksperimentet ( Military Message Experiment ) [4] for at forbedre kommunikationssystemet for den amerikanske Stillehavskommando. Det eksisterende system, baseret på AUTODIN -systemet med lokal distribution af beskeder ved hjælp af pneumatisk post , skulle udskiftes med et nyt bygget på ARPANET -systemet og e-mail . Det blev antaget, at det nye system ville have en sikkerhedsstruktur på flere niveauer ( eng. Multilevel security , MLS) [2] . Samtidig blev der forsket i udvikling af styresystemer baseret på samme princip [5] .   

Under MME blev det konstateret, at Bell-Lapadula-modellen har en række alvorlige mangler [4] :

Erfaringen med at eksperimentere og bygge MLS-operativsystemer førte til forskning i at overvinde begrænsningerne ved Bell -LaPadula-modellen beskrevet ovenfor af Carl Landwehr, Constance Heitmyer og John McLean ved NRL. Målet med udviklerne var at skabe en prototype af en universel model, der fuldt ud opfylder kravene til militære meddelelsessystemer, uden at fokusere på de teknikker og mekanismer, der bruges til at implementere modellen og sikre overholdelse af sikkerhedspolitikken . Den resulterende sikkerhedsmodel blev indsendt som en NRL teknisk rapport, og i august 1984 blev en artikel offentliggjort i ACM Transactions on Computer Systems [2] .

Funktioner af modellen

Terminologi

Brugerrolle - et sæt brugerrettigheder, bestemt af arten af ​​de handlinger, han udfører i systemet. Brugeren kan ændre sine roller, mens han arbejder i systemet.

Et objekt er en enkelt-niveau blok af information.

En container er en lagdelt informationsstruktur, der kan indeholde objekter og andre containere.

En enhed er et objekt eller en beholder.

Container Content Access Method (CCR) er en attribut for containere, der bestemmer rækkefølgen, hvori dens indhold tilgås (afhængigt af containerens privatlivsniveau eller kun i betragtning af følsomhedsniveauet for den containerenhed, der tilgås).

Enheds-id - et unikt nummer eller navn på enheden.

Et direkte link er en enhedsreference, der matcher enhedsidentifikatoren.

En indirekte reference er en reference til en enhed, der er en del af en container gennem en sekvens af to eller flere entitetsreferencer, hvor kun den første reference er en identifikator (umiddelbar reference).

En besked er en speciel type enhed, der findes i CBC. I de fleste tilfælde er en meddelelse en container, selvom den i nogle meddelelsessystemer kan være et objekt. Hver meddelelse som en container indeholder flere entiteter, der beskriver dens parametre, for eksempel: til hvem, fra hvem, information, dato-tid-gruppe, tekst, sikkerhed.

En operation er en funktion, der kan udføres på enheder. I CBC-modellen er de vigtigste handlinger på meddelelser:

Sådan fungerer modellen

Brugeren kan kun få adgang til systemet efter at have bestået identitetskortet. For at gøre dette fortæller brugeren systemet sin identifikator (ID), og systemet udfører autentificering ved hjælp af adgangskoder, fingeraftryk eller andre midler til at identificere identiteten. I tilfælde af vellykket godkendelse anmoder brugeren om operationer fra systemet for at bruge systemets funktioner. De operationer, som en bruger kan anmode om fra systemet, afhænger af hans ID eller den rolle, som han er autoriseret til: ved hjælp af operationer kan brugeren se eller ændre objekter eller beholdere [8] [2] .

Sikkerhedspostuler

Brugeren kan altid kompromittere oplysninger, som han har lovlig adgang til. Der er således behov for at formulere sikkerhedspostulater, som kun kan opfyldes af brugere af systemet [8] .

  1. Systemsikkerhedsansvarlig tillader korrekt brugeradgang til enheder og tildeler enhedens privatlivsniveauer og flere roller.
  2. Brugeren tildeler eller omtildeler de korrekte privatlivsniveauer til enheder, når de opretter eller redigerer oplysninger i dem.
  3. Brugeren dirigerer meddelelser korrekt til modtagere og definerer adgangssæt til enheder oprettet af ham.
  4. Brugeren indstiller CCR-attributten for containerne korrekt.

Modelegenskaber

I alt er ti uformelle egenskaber beskrevet i SHS-modellen [9] :

  1. Autorisation . En bruger kan kun udføre en handling på enheder, hvis bruger-id'et eller rollen er til stede i entitetens adgangssæt sammen med handlingen og de korrekte entitetsoperandindekser.
  2. Hierarki af privatlivsniveauer . Privatlivsniveauet for enhver container er mindst lige så højt som det maksimale privatlivsniveau for de enheder, den indeholder.
  3. Sikker overførsel af information . Oplysninger hentet fra et objekt arver objektets privatlivsniveau. Oplysninger, der er indlejret i et objekt, bør ikke have en højere grad af fortrolighed end selve objektet.
  4. Sikker browsing . Brugeren kan se (på en eller anden outputenhed) en enhed med et privatlivsniveau, der ikke er højere end brugerens adgangsniveau og outputenhedens privatlivsniveau.
  5. Adgang til enheder med CCR-attributten . En bruger kan kun få adgang til indirekte containerenheder med CCR-attributten, hvis brugeren har et adgangsniveau, der er større end eller lig med containerens privatlivsniveau.
  6. Adgang via indirekte link . En bruger kan kun bruge en containeridentifikator til at opnå en indirekte reference til en enhed gennem den, hvis han er autoriseret til at se denne enhed ved hjælp af denne reference.
  7. Udgangsmærke . Enhver enhed, der ses af brugeren, skal markeres med dens privatlivsniveau.
  8. Definition af adgange, flere roller, enhedsniveauer . Kun en bruger med rollen System Security Officer kan definere adgangsrettigheder og flere brugerroller, såvel som privatlivsniveauet for outputenheder. Valget af den aktuelle rolle fra sættet af autoriserede brugerroller kan kun udføres af brugeren selv eller af en bruger med rollen som System Security Officer.
  9. Nedgradering af sikker privatliv . Intet niveau af privatliv kan nedgraderes, medmindre det nedgraderes af en bruger med den relevante rolle.
  10. Sender beskeder sikkert . Ingen kladdemeddelelse kan sendes, medmindre en bruger med afsenderrollen gør det.

Ulemper ved modellen

Selvom SHS-modellen har fordele i forhold til Bell-LaPadula-modellen [10] , er den stadig ikke uden ulemper [11] :

Brug af modellen i andre projekter

Den beskrevne model af militære meddelelsessystemer blev brugt næsten uændret i udviklingen af ​​Diamond [2] [12] meddelelsesdistributionssystemet . SHS-modellen har også fundet anvendelse i styringen af ​​bibliografiske systemer [10] .

Noter

  1. Devyanin, 2005 , s. 68-69.
  2. 1 2 3 4 5 Landwehr, 2001 , s. en.
  3. Tsirlov, 2008 , s. 40.
  4. 1 2 3 4 Landwehr, 2001 , s. fire.
  5. EJ McCauley, PJ Drongowski. KSOS-Designet af et sikkert operativsystem . - 1979. - Juni. - S. 345-353 .
  6. Landwehr, 2001 , s. 4-5.
  7. Devyanin, 2005 , s. 68-77.
  8. 1 2 Baranov, 1997 , s. 39.
  9. Devyanin, 2005 , s. 70-71.
  10. 1 2 Landwehr, 2001 , s. femten.
  11. Gribunin, 2009 , s. 239-242.
  12. H. C. Forsdick, R. H. Thomas. Designet af en diamant – Et distribueret multimediedokumentsystem. - Cambridge, Mass., 1982. - Oktober. - S. 15 .

Litteratur