Модель Харрисона-Руззо-Ульмана

Модель Харрисона-Руззо-Ульмана (HRU-модель) — одна из формальных моделей управления доступом субъектов (пользователей) к объектам, реализованная с помощью матрицы доступов. Названа в честь трёх его авторов: Майкла Харрисона^[англ.], Уолтера Руззо и Джеффри Ульмана.^[1]

В современном мире одной из главных ценностей является информация. Поэтому так важно сделать доступ к информации безопасным. В связи с этим были разработаны модели управления доступом. Одной из таких моделей является модель Харрисона-Руззо-Ульмана, главной особенностью которой является матрица с полным описанием пользовательских прав к файлам. Изменения в эту матрицу вводятся с помощью специальных команд.

Основной задачей любой модели управления доступом является ограничение на выполнениe операций, которые разрешено проводить субъекту (пользователю) над объектом. Такими операциями могут являться, например, чтение (поток информации от объекта к субъекту) и запись (поток информации от субъекта к объекту). Введем некоторые обозначения:

${\displaystyle S}$ — множество субъектов,

${\displaystyle O}$ — множество объектов,

${\displaystyle R=(r_{1},r_{2},...,r_{n})}$ — множество прав доступа.

Для реализации этих прав в данной модели используется матрица доступов ${\displaystyle M}$, строки которой соответствуют субъектам, а столбцы — объектам. На пересечении строчек и столбцов указаны права доступа, которыми обладает данный субъект по отношению к данному объекту. Тогда текущее состояние системы ${\displaystyle Q}$ можно однозначно записать в таком виде:^[2]

${\displaystyle Q=(S,O,M)}$

Для того, чтобы был возможен переход из ${\displaystyle Q=(S,O,M)}$ в ${\displaystyle Q'=(S',O',M')}$, нужно ввести некоторые элементарные операции. Для этой цели в данной модели существует шесть операторов ${\displaystyle op}$:^[3]

1. Добавление права ${\displaystyle r}$ в ячейку ${\displaystyle M[s;o]}$:
   • ${\displaystyle op=enter~r~into~M[s,o]}$
2. Удаление права ${\displaystyle r}$ из ячейки ${\displaystyle M[s;o]}$:
   • ${\displaystyle op=delete~r~from~M[s,o]}$
3. Создание нового субъекта ${\displaystyle s}$:
   • ${\displaystyle op=create~subject~s'}$
4. Создание нового объекта ${\displaystyle o}$:
   • ${\displaystyle op=create~object~o'}$
5. Удаление субъекта ${\displaystyle s}$:
   • ${\displaystyle op=destroy~subject~s}$
6. Удаление объекта ${\displaystyle o}$:
   • ${\displaystyle op=destroy~object~o}$

Условия выполнения и новое состояние системы записаны в виде таблицы:^[4]

Оператор	Условия выполнения	Новое состояние системы
${\displaystyle op=enter~r~into~M[s,o]}$	${\displaystyle s\in S~,o\in O}$	${\displaystyle S'=S,~O'=O,~A'[s,o]=A[s,o]\cup \{r\},}$ ${\displaystyle if~(s',o')\neq (s,o)\Rightarrow A'[s',o']=A[s',o']}$
${\displaystyle op=delete~r~from~M[s,o]}$	${\displaystyle s\in S~,o\in O}$	${\displaystyle S'=S,~O'=O,~A'[s,o]=A[s,o]\setminus \{r\},}$ ${\displaystyle if~(s',o')\neq (s,o)\Rightarrow A'[s',o']=A[s',o']}$
${\displaystyle op=create~subject~s'}$	${\displaystyle s'\notin S}$	${\displaystyle S'=S\cup \{s'\},~O'=O,}$ ${\displaystyle if~(s,o)\in S\times O\Rightarrow A'[s,o]=A[s,o],}$ ${\displaystyle if~o\in O'\Rightarrow A'[s',o]=\varnothing }$
${\displaystyle op=create~object~o'}$	${\displaystyle o'\notin O}$	${\displaystyle S'=S,~O'=O\cup \{o'\},}$ ${\displaystyle if~(s,o)\in S\times O\Rightarrow A'[s,o]=A[s,o],}$ ${\displaystyle if~s\in S'\Rightarrow A'[s,o']=\varnothing }$
${\displaystyle op=destroy~subject~s}$	${\displaystyle s'\in S}$	${\displaystyle S'=S\setminus \{s'\},~O'=O,}$ ${\displaystyle if~(s,o)\in S'\times O'\Rightarrow A'[s,o]=A[s,o],}$
${\displaystyle op=destroy~object~o}$	${\displaystyle o'\in O}$	${\displaystyle S'=S,~O'=O\setminus \{o'\},}$ ${\displaystyle if~(s,o)\in S'\times O'\Rightarrow A'[s,o]=A[s,o],}$

Любой переход может быть осуществлен с помощью такой команды:^[5]

command ${\displaystyle \alpha (x_{1},x_{2},...,x_{n})}$
    if ${\displaystyle r_{1}~in~M[s_{1},o_{1}]~and}$
       ${\displaystyle r_{2}~in~M[s_{2},o_{2}]~and}$
       ${\displaystyle ...}$
       ${\displaystyle r_{m}~in~M[s_{m},o_{m}]}$
    then
         ${\displaystyle op_{1},}$
         ${\displaystyle op_{2},}$
         ${\displaystyle ...}$
         ${\displaystyle op_{k},}$
end

Примером команды, которая является комбинацией элементарных операций ${\displaystyle op}$, может служить создание файла ${\displaystyle F}$ пользователем ${\displaystyle P}$ и получение им прав на чтение ${\displaystyle read}$:^[1]

command ${\displaystyle CreateFile(F,P)}$ 
      ${\displaystyle createobjectF,}$
      ${\displaystyle enterreadintoM[P,F],}$
end

Любая система в модели Харрисона-Руззо-Ульмана характеризуется матрицей доступа ${\displaystyle M}$, конечным количеством прав ${\displaystyle R=(r_{1},r_{2},...,r_{n})}$, объектов ${\displaystyle O=(o_{1},o_{2},...,o_{m})}$, субъектов ${\displaystyle S=(s_{1},s_{2},...,s_{l})}$ и операций ${\displaystyle A=(\alpha _{1},\alpha _{2},...,\alpha _{k})}$. Система является монооперационной, если каждая команда ${\displaystyle \alpha _{i}}$ данной системы выполняет лишь одну элементарную операцию ${\displaystyle op}$.^[6]

Для заданной системы исходное состояние ${\displaystyle Q_{0}=(S_{0},O_{0},M_{0})}$ называется безопасным относительно права ${\displaystyle r}$, если не существует такой последовательности команд, которая изменила бы заданное начальное состояние системы так, что право ${\displaystyle r}$ записалось бы в ячейку ${\displaystyle M[s;o]}$, в которой оно отсутствовало в начальном состоянии ${\displaystyle Q_{0}}$. Если это условие не выполнено, то произошла утечка информации.^[7]

Существует алгоритм, проверяющий на безопасность исходное состояние ${\displaystyle Q_{0}}$ монооперационной системы на безопасность относительно права ${\displaystyle r}$.^[8]

Чтобы показать, что исходное состояние системы является безопасным относительно права ${\displaystyle r}$, нужно перебрать все последовательности операций и проверить на отсутствие утечки права ${\displaystyle r}$ для каждого конечного состояния. Из этого следует, что условием возможности проверки на безопасность будет ограниченность количества последовательностей операций. Пусть ${\displaystyle \alpha _{1},\alpha _{2},...,\alpha _{k}}$ — некоторая последовательность операций. Заметим, что её можно упростить. Команды ${\displaystyle delete}$ и ${\displaystyle destroy}$ уберем из последовательности, так как нас интересует наличие права в ячейке, а не его отсутствие. Добавим команду ${\displaystyle create~subject}$ в начало последовательности операций и создадим таким образом субъект ${\displaystyle s_{add}}$. Заменим ссылки на субъекты и объекты, создаваемые другими командами ${\displaystyle create~subject}$ и ${\displaystyle create~object}$, ссылкой на ${\displaystyle s_{add}}$. Остальные команды ${\displaystyle create~subject}$ и ${\displaystyle create~object}$ убираем, так как ввиду монооперационности системы нельзя создать субъект и определить для него права в одной операции. В результате остается одна команда ${\displaystyle create~subject}$ и множество команд ${\displaystyle enter}$, максимальное число которых легко посчитать по формуле ${\displaystyle N=|R|(|S_{0}|+1)(|O_{0}|+1)}$. Из этого следует, что число последовательностей операций ограниченно, а значит возможно перебором проверить на безопасность состояние системы относительно права ${\displaystyle r}$.^[8]

Задача определения безопасности исходного состояния ${\displaystyle Q_{0}}$ системы общего вида для данного права ${\displaystyle r}$ является неразрешимой.^[9]

Чтобы доказать данную теорему, достаточно свести задачу определения безопасности к задаче остановки машины Тьюринга, которая является заведомо неразрешимой.^[9]

1. Простота и наглядность, так как для данной модели не требуется сложных алгоритмов.
2. Эффективность в управлении, так как возможно управление правами пользователей с точностью до операции.
3. Сильный критерий безопасности.

1. Не существует алгоритма проверки на безопасность для произвольной системы.
2. Уязвимость для атаки с помощью троянского коня, так как в данной модели не существует контроля за потоками информации между субъектами.

Несмотря на то, что модель Харрисона-Руззо-Ульмана не предоставляет алгоритма проверки на безопасность для произвольной системы, данная модель нашла свою нишу в мире и используется при формальной верификации корректности построения систем разграничения доступа в высокозащищённых автоматизированных системах. На данный момент создание и развитие моделей управления доступом заключается в основном в проектировании различных модификаций модели Харрисона-Руззо-Ульмана и в поиске условий, при которых бы задача определения безопасности была алгоритмически разрешимой.^{[9] [11]}

Аналогом модели Харрисона-Руззо-Ульмана является модель Белла-Лападулы, которая предусматривает разделение объектов и субъектов на уровни секретности, а также контролирует поток данных от субъекта к субъекту. Так субъект, имеющий менее высокий уровень секретности, чем у объекта, не получит права доступа к этому объекту. Это создает ряд преимуществ и недостатков по сравнению с моделью Харрисона-Руззо-Ульмана. Модель Белла — Лападулы не подвержена атакам с помощью троянских коней, более безопасна. Но модель Харрисона-Руззо-Ульмана более эффективна в управлении и проста в использовании. Поэтому каждая из этих моделей нашла свое применение.^[12]

• Модель Грэхэма-Деннинга
• Модель Белла — Лападулы

• Цирлов В.Л. Основы информационной безопасности автоматизированных систем. — Феникс, 2008. — С. 34—40. — 173 с. — ISBN 978-5-222-13164-0.
• Harrison M., Ruzzo W., Ullman J. ESIGN: Protection in operating systems (англ.). — 1976. — Август (т. 19, № 8). — С. 461–471. — ISSN 0001-0782.
• Девянин П.Н. 2.1.1. Элементы теории ХРУ // Модели безопасности компьютерных систем. — Москва: Академия, 2005. — С. 18—25. — 144 с. — ISBN 5-7695-2053-1.
• Гаценко О. Ю. Защита информации. Основы организационного управления.. — Санкт-Петербург: Сентябрь, 2001. — С. 34—45. — 228 с. — ISBN 5-94234-015-3.