В качестве основы для решения второй задачи при создании моделей мандатного доступа был использован аппарат математических решеток.
Введем следующие определения.
Определение 1. Решеткой уровней безопасности ALназывается формальная алгебра AL(L, ≤, •,
),где L– базовое множество уровней безопасности;
≤ - оператор, который определяет частичное нестрогое отношение порядка для элементов множества L, обладающее свойствами антисимметричности, транзитивности и рефлективности:
(рефлективность); (антисимметричность); (транзитивность).• - оператор, задающий для любой пары
элементов множества Lединственный элемент наименьшей верхней границы: - оператор, задающий для любой пары элементов множества Lнаибольшей нижней границы:Определение 2. Функцией уровня безопасности FL:X→Lназывается однозначное отображения множества сущностей компьютерной системы X=S
Oво множество уровней безопасности Lрешетки AL.Обратное отображение FL-1:L→Xзадает разделение всех сущностей компьютерное системы на классы безопасности
такие, что:где N– мощность базового множества уровней безопасности L;
где гдеПокажем, что введенная решетка и функция уровней безопасности адекватно отражают парадигму градуированного доверия и критерий безопасности систем на ее основе.
1. Предположим, что информация может передаваться от сущностей класса
к сущностям класса и наоборот, т.е. от сущности класса к сущностям класса . Тогда для выполнения критерия безопасности сущности классов и должны образовывать один общий класс . Для того, чтобы не создавать избыточных классов, необходимо, чтобы отношение, задаваемое оператором доминирования , было антисимметричным.2. Предположим, что информация может передаваться от сущностей класса
к сущностям класса , и, кроме того, от сущностей класса к сущностям класса . Если каждая такая передача безопасна в отдельности, то, очевидно, безопасна и передача информации от сущностей класса к сущностям класса . Таким образом, отношение, задаваемое оператором , должно быть транзитивным.3. Внутри класса сущности имеют одинаковый уровень безопасности. Следовательно, передача информации между сущностями одного класса безопасна. Отсюда следует сравнимость по оператору
сущностей одного класса между собой и самих собой, т.е. рефлективность отношения .4. Предположим, что имеется два различных класса сущностей
и . Тогда, из соображений безопасности, очевидно, что существует только один класс , потоки от сущностей которого безопасны по отношению к сущностям класса или класса , совпадающий с классом или с классом , и не имеется никакого другого класса , менее безопасного чем , и с такими же возможностями по потокам к сущностям классов и . Это означает, что должен быть наименьшей верхней границей по уровням безопасности классов и .5. Аналогично по условиям предыдущего пункта должен существовать ближайший снизу к классам
и класс , такой, что потоки от сущностей классов и к сущностям класса безопасны, и совпадающий с классом или с классом , при этом не имеется никакого другого класса , более безопасного, чем , и с такими же возможностями по потокам от сущностей классов и . Это означает, что должен быть наибольшей нижней границей по уровням безопасности классов и .Таким образом, аппарат решетки и функция уровней безопасности адекватно отражают сущность принципов и отношений политики мандатного разграничения доступа, на базе которых строятся конкретные модели, специфицирующие, в том числе, формализацию правил NRUи NWD, а также другие особенности мандатного доступа.
В заключение общей характеристики политики мандатного доступа отметим, что в ней разграничение доступа осуществляется до уровня классов безопасности сущностей системы. Иначе говоря, любой объект определенного уровня безопасности доступен любому субъекту соответствующего уровня безопасности (с учетом правил NRUи NWD). Нетрудно видеть, что мандатный подход к разграничению доступа, основываясь только лишь на идеологии градуированного доверия, без учета специфики характеристик субъектов и объектов, приводит в большинстве случаев к избыточности прав доступа для конкретных субъектов в пределах соответствующих классов безопасности, что противоречит самому понятию разграничения доступа. Для устранения данного недостатка мандатный принцип доступа дополняется дискреционным внутри соответствующих классов безопасности. В теоретических моделях для этого вводят матрицу доступа, разграничивающую разрешенный по мандатному принципу доступ к объектам одного уровня безопасности.