Modell av militära meddelandesystem

Modellen för militära meddelandesystem ( SVS-modell , engelska  Military Message System , MMS ) är en åtkomstkontroll- och hanteringsmodell inriktad på system för att ta emot, sända och bearbeta meddelanden som implementerar en obligatorisk säkerhetspolicy [1] . SAF-modellen utvecklades 1984 i den amerikanska militärens intresse av anställda vid US  Naval Research Laboratory ( NRL) av Karl Landwehr, Constance Heitmeier och John McLean för att eliminera bristerna i Bell-modellen som användes vid den tiden - Lapadula [2] .

Historik

Före tillkomsten av CBC -modellen användes Bell-LaPadula-modellen [3] främst i statliga och militära strukturer för att bygga säkerhetssystem som implementerar obligatorisk åtkomstkontroll . Men i slutet av 1970-talet och början av 1980-talet genomförde den amerikanska militären MME-experimentet ( Military Message Experiment ) [4] för att förbättra kommunikationssystemet för US Pacific Command. Det befintliga systemet, baserat på AUTODIN- systemet med lokal distribution av meddelanden med pneumatisk post , behövde ersättas med ett nytt byggt på ARPANET -systemet och e-post . Det antogs att det nya systemet skulle ha en säkerhetsstruktur på flera nivåer ( eng. Multilevel security , MLS) [2] . Samtidigt bedrivs forskning kring utveckling av operativsystem baserade på samma princip [5] .   

Under MME fann man att Bell-Lapadula-modellen har ett antal allvarliga brister [4] :

Erfarenheterna av att experimentera och bygga MLS-operativsystem ledde till forskning om att övervinna begränsningarna i Bell- LaPadula-modellen som beskrivs ovan av Carl Landwehr, Constance Heitmyer och John McLean vid NRL. Målet för utvecklarna var att skapa en prototyp av en universell modell som helt uppfyller kraven för militära meddelandesystem, utan att fokusera på de tekniker och mekanismer som används för att implementera modellen och för att säkerställa efterlevnad av säkerhetspolicyn . Den resulterande säkerhetsmodellen lämnades in som en teknisk rapport från NRL, och i augusti 1984 publicerades en artikel i ACM Transactions on Computer Systems [2] .

Funktioner i modellen

Terminologi

Användarroll - en uppsättning användarrättigheter, bestäms av arten av de åtgärder som utförs av honom i systemet. Användaren kan ändra sina roller medan han arbetar i systemet.

Ett objekt är ett informationsblock på en nivå.

En behållare är en skiktad informationsstruktur som kan innehålla objekt och andra behållare.

En enhet är ett objekt eller en behållare.

Container Content Access Method (CCR) är ett attribut för behållare som bestämmer i vilken ordning innehållet nås (beroende på behållarens sekretessnivå, eller endast med tanke på känslighetsnivån för den behållarenhet som nås).

Enhetsidentifierare – ett unikt nummer eller namn på enheten.

En direktlänk är en enhetsreferens som matchar enhetsidentifieraren.

En indirekt referens är en referens till en enhet som är en del av en container genom en sekvens av två eller flera entitetsreferenser där endast den första referensen är en identifierare (omedelbar referens).

Ett meddelande är en speciell typ av enhet som finns i CBC. I de flesta fall är ett meddelande en behållare, även om det i vissa system med endast meddelanden kan vara ett objekt. Varje meddelande som en behållare innehåller flera entiteter som beskriver dess parametrar, till exempel: till vem, från vem, information, datum-tid-grupp, text, säkerhet.

En operation är en funktion som kan utföras på entiteter. I CBC-modellen är huvudoperationerna för meddelanden:

Hur modellen fungerar

Användaren kan komma åt systemet först efter att ha passerat identitetskortet. För att göra detta berättar användaren för systemet sin identifierare (ID), och systemet utför autentisering med hjälp av lösenord, fingeravtryck eller andra sätt att identifiera identiteten. I händelse av framgångsrik autentisering begär användaren operationer från systemet för att använda systemets funktioner. De operationer som en användare kan begära från systemet beror på hans ID eller rollen som han är behörig för: med hjälp av operationer kan användaren se eller ändra objekt eller behållare [8] [2] .

Säkerhet postulerar

Användaren kan alltid äventyra information som han har laglig tillgång till. Det finns alltså ett behov av att formulera säkerhetspostulat som endast kan uppfyllas av användare av systemet [8] .

  1. Systemsäkerhetsansvarig tillåter korrekt användaråtkomst till enheter och tilldelar enhetens sekretessnivåer och flera roller.
  2. Användaren tilldelar eller omtilldelar rätt sekretessnivåer till enheter när de skapar eller redigerar information i dem.
  3. Användaren riktar meddelanden korrekt till mottagare och definierar åtkomstuppsättningar till enheter som skapats av honom.
  4. Användaren ställer in behållarnas CCR-attribut korrekt.

Modellegenskaper

Totalt beskrivs tio informella fastigheter i SHS-modellen [9] :

  1. Auktorisation . En användare kan endast utföra en operation på entiteter om användar-ID eller roll finns i entitetens åtkomstuppsättning tillsammans med operationen och korrekta entitetsoperandindex.
  2. Hierarki av integritetsnivåer . Sekretessnivån för alla behållare är minst lika hög som de maximala sekretessnivåerna för de enheter den innehåller.
  3. Säker överföring av information . Information som hämtas från ett objekt ärver objektets sekretessnivå. Information som är inbäddad i ett objekt bör inte ha en högre nivå av konfidentialitet än själva objektet.
  4. Säker webbsökning . Användaren kan se (på en viss utenhet) en enhet med en integritetsnivå som inte är högre än användarens åtkomstnivå och utdataenhetens sekretessnivå.
  5. Åtkomst till enheter med CCR-attributet . En användare kan komma åt indirekt behållarenheter med CCR-attributet endast om användaren har en åtkomstnivå som är större än eller lika med behållarens sekretessnivå.
  6. Åtkomst via indirekt länk . En användare kan använda en containeridentifierare för att erhålla en indirekt referens till en entitet genom den endast om han är behörig att se den entiteten med den referensen.
  7. Utgångsmärke . Alla enheter som användaren ser ska märkas med dess sekretessnivå.
  8. Definition av åtkomster, flera roller, enhetsnivåer . Endast en användare med rollen System Security Officer kan definiera åtkomsträttigheter och flera användarroller, såväl som integritetsnivån för utenheter. Valet av den aktuella rollen från uppsättningen av auktoriserade användarroller kan endast utföras av användaren själv eller av en användare med rollen som System Security Officer.
  9. Nedgradering av säker integritet . Ingen sekretessnivå kan nedgraderas om den inte nedgraderas av en användare med lämplig roll.
  10. Skicka meddelanden säkert . Inget utkast kan skickas om inte en användare med avsändarrollen gör det.

Nackdelar med modellen

Även om SHS-modellen har fördelar jämfört med Bell-LaPadula-modellen [10] , är den fortfarande inte utan nackdelar [11] :

Använda modellen i andra projekt

Den beskrivna modellen av militära meddelandesystem användes nästan oförändrad i utvecklingen av Diamond [2] [12] meddelandedistributionssystem . SHS-modellen har också funnit tillämpning i hanteringen av bibliografiska system [10] .

Anteckningar

  1. Devyanin, 2005 , sid. 68-69.
  2. 1 2 3 4 5 Landwehr, 2001 , sid. ett.
  3. Tsirlov, 2008 , sid. 40.
  4. 1 2 3 4 Landwehr, 2001 , sid. fyra.
  5. EJ McCauley, PJ Drongowski. KSOS - Utformningen av ett säkert operativsystem . - 1979. - Juni. - S. 345-353 .
  6. Landwehr, 2001 , s. 4-5.
  7. Devyanin, 2005 , sid. 68-77.
  8. 1 2 Baranov, 1997 , sid. 39.
  9. Devyanin, 2005 , sid. 70-71.
  10. 1 2 Landwehr, 2001 , sid. femton.
  11. Gribunin, 2009 , sid. 239-242.
  12. H. C. Forsdick, R. H. Thomas. Designen av en diamant – ett distribuerat multimediadokumentsystem. - Cambridge, Massachusetts, 1982. - Oktober. - S. 15 .

Litteratur