ГРУ (охрана)

Эта статья может чрезмерно полагаться на источники, слишком тесно связанные с предметом , что потенциально препятствует тому, чтобы статья была проверяемой и нейтральной . Пожалуйста, помогите улучшить его , заменив их более подходящими цитатами из надежных, независимых сторонних источников . ( Август 2014 г. ) ( Узнайте, как и когда удалить это сообщение )

Модель безопасности HRU ( модель Харрисона , Руццо, Ульмана ) — это операционной системы на уровне модель компьютерной безопасности , которая касается целостности в прав доступа системе. Это расширение модели Грэма-Деннинга , основанное на идее конечного набора процедур , доступных для редактирования прав доступа субъекта. ${\displaystyle s}$ на объекте ${\displaystyle o}$. Он назван в честь трех его авторов: Майкла А. Харрисона, Уолтера Л. Руццо и Джеффри Д. Ульмана. ^[1]

Наряду с представлением модели Харрисон, Руццо и Ульман также обсудили возможности и ограничения доказательства безопасности систем с помощью алгоритма . ^[1]

Модель HRU определяет систему защиты, из набора общих прав R и набора команд C. состоящую Мгновенное описание системы называется конфигурацией и определяется как кортеж. ${\displaystyle (S,O,P)}$ текущих предметов ${\displaystyle S}$, текущие объекты ${\displaystyle O}$ и матрица доступа ${\displaystyle P}$. Поскольку субъекты должны быть частью объектов, матрица доступа содержит одну строку для каждого субъекта и один столбец для каждого субъекта и объекта. Запись по теме ${\displaystyle s}$ и объект ${\displaystyle o}$ является подмножеством общих прав ${\displaystyle R}$.

Команды состоят из примитивных операций и дополнительно могут иметь список предварительных условий, требующих наличия определенных прав для пары. ${\displaystyle (s,o)}$ предметов и объектов.

Примитивные запросы могут изменять матрицу доступа путем добавления или удаления прав доступа для пары субъектов и объектов, а также путем добавления или удаления субъектов или объектов. Для создания субъекта или объекта требуется, чтобы субъект или объект не существовал в текущей конфигурации, тогда как для удаления субъекта или объекта требуется, чтобы он существовал до удаления. В сложной команде последовательность операций выполняется только целиком. Неудачная операция в последовательности приводит к сбою всей последовательности, что является формой транзакции базы данных .

Харрисон, Руццо и Ульман ^[1] обсуждается, существует ли алгоритм, который принимает произвольную начальную конфигурацию и отвечает на следующий вопрос: существует ли произвольная последовательность команд, добавляющая родовое право в ячейку матрицы доступа, где его не было в исходной конфигурации?

Они показали, что такого алгоритма не существует, следовательно, задача неразрешима в общем случае . Они также показали ограничение модели командами только с одной примитивной операцией, позволяющей сделать проблему разрешимой.

• EROS — Чрезвычайно надежная операционная система