Модель Харрисона — Руззо — Ульмана

В современном мире одной из главных ценностей является информация, поэтому важнейшей задачей становится обеспечение её безопасности. Для этой цели были разработаны различные модели управления доступом, среди которых выделяется модель Харрисона — Руззо — Ульмана. Главная особенность этой модели — использование матрицы, полностью описывающей права пользователей к объектам. Изменения в права доступа вносятся с помощью специальных команд.

Основной задачей любой модели управления доступом является ограничение операций, которые разрешено выполнять субъекту (пользователю) над объектом. Примерами таких операций являются чтение (поток информации от объекта к субъекту) и запись (поток информации от субъекта к объекту). Введём обозначения:

${\displaystyle S}$ — множество субъектов,

${\displaystyle O}$ — множество объектов,

${\displaystyle R=(r_{1},r_{2},...,r_{n})}$ — множество прав доступа.

Для реализации прав в модели используется матрица доступов ${\displaystyle M}$, где строки соответствуют субъектам, а столбцы — объектам. На пересечении строки и столбца указаны права, которыми обладает данный субъект в отношении данного объекта. Текущее состояние системы ${\displaystyle Q}$ можно представить как: ${\displaystyle Q=(S,O,M)}$^[2].

Для осуществления перехода из ${\displaystyle Q=(S,O,M)}$ в ${\displaystyle Q'=(S',O',M')}$ вводятся элементарные операции. В модели определено шесть операторов ${\displaystyle op}$:^[2]

1. Добавление права ${\displaystyle r}$ в ячейку ${\displaystyle M[s,o]}$: ${\displaystyle op=enter~r~into~M[s,o]}$
2. Удаление права ${\displaystyle r}$ из ячейки ${\displaystyle M[s,o]}$: ${\displaystyle op=delete~r~from~M[s,o]}$
3. Создание нового субъекта ${\displaystyle s'}$: ${\displaystyle op=create~subject~s'}$
4. Создание нового объекта ${\displaystyle o'}$: ${\displaystyle op=create~object~o'}$
5. Удаление субъекта ${\displaystyle s}$: ${\displaystyle op=destroy~subject~s}$
6. Удаление объекта ${\displaystyle o}$: ${\displaystyle op=destroy~object~o}$

Условия выполнения операций и новое состояние системы приведены в таблице:^[3]

Оператор	Условия выполнения	Новое состояние системы
${\displaystyle op=enter~r~into~M[s,o]}$	${\displaystyle s\in S,~o\in O}$	${\displaystyle S'=S,~O'=O,~A'[s,o]=A[s,o]\cup \{r\},}$ ${\displaystyle if~(s',o')\neq (s,o)\Rightarrow A'[s',o']=A[s',o']}$
${\displaystyle op=delete~r~from~M[s,o]}$	${\displaystyle s\in S,~o\in O}$	${\displaystyle S'=S,~O'=O,~A'[s,o]=A[s,o]\setminus \{r\},}$ ${\displaystyle if~(s',o')\neq (s,o)\Rightarrow A'[s',o']=A[s',o']}$
${\displaystyle op=create~subject~s'}$	${\displaystyle s'\notin S}$	${\displaystyle S'=S\cup \{s'\},~O'=O,}$ ${\displaystyle if~(s,o)\in S\times O\Rightarrow A'[s,o]=A[s,o],}$ ${\displaystyle if~o\in O'\Rightarrow A'[s',o]=\varnothing }$
${\displaystyle op=create~object~o'}$	${\displaystyle o'\notin O}$	${\displaystyle S'=S,~O'=O\cup \{o'\},}$ ${\displaystyle if~(s,o)\in S\times O\Rightarrow A'[s,o]=A[s,o],}$ ${\displaystyle if~s\in S'\Rightarrow A'[s,o']=\varnothing }$
${\displaystyle op=destroy~subject~s}$	${\displaystyle s'\in S}$	${\displaystyle S'=S\setminus \{s'\},~O'=O,}$ ${\displaystyle if~(s,o)\in S'\times O'\Rightarrow A'[s,o]=A[s,o],}$
${\displaystyle op=destroy~object~o}$	${\displaystyle o'\in O}$	${\displaystyle S'=S,~O'=O\setminus \{o'\},}$ ${\displaystyle if~(s,o)\in S'\times O'\Rightarrow A'[s,o]=A[s,o],}$

Любой переход может быть осуществлён с помощью команды следующего вида:^[2]

command ${\displaystyle \alpha (x_{1},x_{2},...,x_{n})}$
    if ${\displaystyle r_{1}\in M[s_{1},o_{1}]~and}$
       ${\displaystyle r_{2}\in M[s_{2},o_{2}]~and}$
       ${\displaystyle ...}$
       ${\displaystyle r_{m}\in M[s_{m},o_{m}]}$
    then
         ${\displaystyle op_{1},}$
         ${\displaystyle op_{2},}$
         ${\displaystyle ...}$
         ${\displaystyle op_{k},}$
end

Пример команды, являющейся комбинацией элементарных операций ${\displaystyle op}$: создание файла ${\displaystyle F}$ пользователем ${\displaystyle P}$ и получение им права на чтение ${\displaystyle read}$:^[1]

command ${\displaystyle CreateFile(F,P)}$
      ${\displaystyle create~object~F,}$
      ${\displaystyle enter~read~into~M[P,F],}$
end

Любая система в модели характеризуется матрицей доступа ${\displaystyle M}$, конечным числом прав ${\displaystyle R=(r_{1},r_{2},...,r_{n})}$, объектов ${\displaystyle O=(o_{1},o_{2},...,o_{m})}$, субъектов ${\displaystyle S=(s_{1},s_{2},...,s_{l})}$ и операций ${\displaystyle A=(\alpha _{1},\alpha _{2},...,\alpha _{k})}$. Система называется монооперационной, если каждая команда ${\displaystyle \alpha _{i}}$ выполняет лишь одну элементарную операцию ${\displaystyle op}$^[1].

Для заданной системы исходное состояние ${\displaystyle Q_{0}=(S_{0},O_{0},M_{0})}$ называется безопасным относительно права ${\displaystyle r}$, если не существует такой последовательности команд, которая могла бы изменить начальное состояние так, чтобы право ${\displaystyle r}$ появилось в ячейке ${\displaystyle M[s,o]}$, в которой оно отсутствовало в ${\displaystyle Q_{0}}$. В противном случае происходит утечка информации^[3].

Существует алгоритм, позволяющий проверить на безопасность исходное состояние ${\displaystyle Q_{0}}$ монооперационной системы относительно права ${\displaystyle r}$^[3].

Для проверки безопасности исходного состояния по праву ${\displaystyle r}$ необходимо перебрать все возможные последовательности операций и убедиться в отсутствии утечки для любого конечного состояния. Количество возможных последовательностей ограничено, если число операций и объектов конечно. Таким образом, задача разрешима перебором для монооперационных систем. Максимальное число последовательностей операций можно вычислить по формуле ${\displaystyle N=|R|\cdot (|S_{0}|+1)\cdot (|O_{0}|+1)}$^[3].

Определение безопасности произвольной (необязательно монооперационной) системы относительно права ${\displaystyle r}$ является неразрешимой задачей.^[1]

Этот вывод базируется на сведении задачи проверки безопасности к задаче остановки машины Тьюринга, которая доказанно неразрешима.^[1]

1. Простота и наглядность: для модели не требуются сложные алгоритмы.
2. Эффективное управление: возможно управление правами с точностью до операции.
3. Строгий критерий безопасности^[4].

1. Отсутствует алгоритм проверки безопасности для произвольной системы.
2. Возможна атака с помощью троянских программ, так как модель не контролирует информационные потоки между субъектами^[4].

Несмотря на отсутствие алгоритма проверки для произвольных систем, модель Харрисона — Руззо — Ульмана активно используется при формальной верификации корректности систем разграничения доступа в защищённых автоматизированных системах. Современное развитие моделей управления доступом во многом связано с построением различных модификаций HRU-модели и поиском условий, при которых задача проверки безопасности становится разрешимой^[1][3].

Аналогом HRU-модели является модель Белла — Лападулы, которая предусматривает разделение субъектов и объектов на уровни секретности и контроль потоков данных между ними. Субъект с меньшим уровнем секретности не сможет получить доступ к более секретному объекту. Модель Белла — Лападулы обеспечивает большую защищённость (не подвержена атакам троянских программ), но HRU-модель проще и эффективнее в управлении правами, поэтому обе находят своё применение.^[4]