350 rub
Journal Highly available systems №2 for 2011 г.
Article in number:
Approaches to development of access control formal models for Linux operating systems
security
Authors:
P.N. Devyanin, V.G. Proskurin
Abstract:
This article represents approaches to development of two new DP-models on the basis of existing models of access control and information flows in computer systems (DP-models): discretionary DP-model for protected operating systems (ZОS DP-models) and role-based DP-model for Linux operating systems (ROSL DP-models).
Discretionary ZOS DP-model includes following basic elements: user accounts, subjects, entities, accesses, access rights, information flows, hierarchy of entities, mandatory levels of integrity, shared access options, etc., allowing considering essential parameters of functioning of the modern or future releases of Linux operating systems (OS). By model development it is planned to set values of its elements according to access control mechanism options of the Linux OS. Then will be made the theoretical analysis of conditions of unapproved access rights cession or forbidden information flows implementation, so that the approaches fulfilled thus could be used for developing of mandatory ZOS DP-models and further developing on its basis the mandatory access control mechanisms for a secure OS.
The main new elements of ROSL DP-model in comparison with existing DP-models are: entities parametric associated with roles, restrictions on authorized role sets of user accounts, access rights of roles, current roles of subjects-sessions, functions of integrity levels of user accounts, entities, roles and subjects-sessions. Besides, at the definition of entities hierarchy the presence of hard links in the Linux file system is considered. The mechanism of restrictions is included in ROSL DP-models for implementation in the long term of mandatory access control on the basis of role-based access control.
Within the ZOS and ROSL DP-models are resulted detailed descriptions of conditions and results of system state transformation rules which can be used by developers of secure OS for the description of access control and information flows mechanism specifications and the formal substantiation of a correctness of its software implementation. Further development of DP-models is planned for the purpose of introducing in them new elements for more precisely representation parameters of functioning of the Linux OS, a formulation and a substantiation within the models conditions of a cession of access right and an implementation of forbidden information flows by time, and also developing of the scientifically-justified technical decisions directed on perfection of security enforcement mechanisms for OS
Pages: 93-96
References
- План перехода федеральных органов исполнительной власти и федеральных бюджетных учреждений на использование свободного программного обеспечения на 2011-2015 годы // Правительство Российской Федерации. Распоряжение от 17 декабря 2010 г. № 2299-р.
- Девянин П.Н. Модели безопасности компьютерных систем. Управление доступом и информационными потоками. Учебное пособие для вузов. М.: Горячая линия. Телеком. 2011. 320 с.
- Девянин П.Н. Анализ в рамках базовой ролевой ДП-модели безопасности систем с простыми траекториями функционирования // Прикладная дискретная математика. 2010. № 1(7). С.16-36.
- Девянин П.Н. Обзор семейства ДП-моделей безопасности логического управления доступом и информационными потоками в компьютерных системах // Информационные технологии. 2010. № 5. С. 20-25.
- Девянин П.Н. Правила преобразования состояний базовой ролевой ДП-модели управления доступом и информационными потоками в операционных системах // Прикладная дискретная математика, 2011. № 1(11). С. 78-95.
- Проскурин В.Г. Антивирусная защита операционных систем штатными средствами // Материалы Четвертой международной научной конференции по проблемам безопасности и противодействия терроризму. Московский государственный университет им. М.В. Ломоносова. 30-31 октября 2008 г. Том 2. Материалы Седьмой общероссийской научной конференции «Математика и безопасность информационных технологий» (МаБИТ-2008). М.: МЦНМО. 2009. С. 248-254.