Svoboda | Graniru | BBC Russia | Golosameriki | Facebook

Для установки нажмите кнопочку Установить расширение. И это всё.

Исходный код расширения WIKI 2 регулярно проверяется специалистами Mozilla Foundation, Google и Apple. Вы также можете это сделать в любой момент.

4,5
Келли Слэйтон
Мои поздравления с отличным проектом... что за великолепная идея!
Александр Григорьевский
Я использую WIKI 2 каждый день
и почти забыл как выглядит оригинальная Википедия.
Статистика
На русском, статей
Улучшено за 24 ч.
Добавлено за 24 ч.
Альтернативы
Недавние
Show all languages
Что мы делаем. Каждая страница проходит через несколько сотен совершенствующих техник. Совершенно та же Википедия. Только лучше.
.
Лео
Ньютон
Яркие
Мягкие

Из Википедии — свободной энциклопедии

Модель Take-Grant (от англ. take «брать», grant «давать») — это формальная модель, используемая в области компьютерной безопасности, для анализа систем дискреционного разграничения доступа; подтверждает либо опровергает степени защищенности данной автоматизированной системы, которая должна удовлетворять регламентированным требованиям. Модель представляет всю систему как направленный граф, где узлы — либо объекты, либо субъекты[1]. Дуги между ними маркированы, и их значения указывают права, которые имеет объект или субъект (узел). В модели доминируют два правила: «брать» и «давать». Они играют в ней особую роль, переписывая правила, описывающие допустимые пути изменения графа. В общей сложности существует 4 правила преобразования:

  • правило «брать»;
  • правило «давать»;
  • правило «создать»;
  • правило «удалить»;

Используя эти правила, можно воспроизвести состояния, в которых будет находиться система в зависимости от распределения и изменения прав доступа. Следовательно, можно проанализировать возможные угрозы для данной системы.

Обычная модель

  • О — множество объектов (файлы, сегменты памяти и т. д.);
  • S — множество субъектов (пользователи, процессы системы);
  • R = {r1, r2, r3, r4, …, rn} U {t, g} — множество прав доступа;
  • t [take] — право брать «права доступа»;
  • g [grant] — право давать «права доступа»;
  • G = (S, O, E) — конечный, помеченный, ориентированный граф без петель;
  • × — объекты, элементы множества О;
  • • — субъекты, элементы множества S;
  • E ∈ O x O x R — дуги графа. Состояние системы описывается её графом.

Преобразование G в граф G' = правило и обозначается:

Правило «брать»

Брать = take(r, x, y, s), r ∈ R. Пусть s ∈ S, x, y ∈ O — вершины графа G.

Тогда граф G:

То есть субъект S берет у объекта X права r на объект Y.

Правило «давать»

Давать = grant(r, x, y, s), r ∈ R. Пусть s ∈ S, x, y ∈ O — вершины графа G.

Тогда граф G:

То есть субъект S дает объекту X права r на объект Y.

Правило «создать»

Создать = create(p, x, s), r ∈ R. Пусть s ∈ S, x, y ∈ O — вершины графа G.

Тогда граф G:

То есть субъект S создает p-доступный объект X.

Правило «удалить»

Удалить = remove(r, x, s), r ∈ R. Пусть s ∈ S, x, y ∈ O — вершины графа G.

Тогда граф G:

То есть субъект S удаляет права доступа r на объект X.

Примеры реализации

В графе Р1 и Р2 составляют субъекты (возможные пользователи), а также Ds и Fs представляют объекты, каталоги и файлы, соответственно. Право «чтение» было изменено на правило «брать» для всех уровней, за исключением фактически файловых уровней в каталогах. Право «записи» также изменилось правилом «давать». Становится ясно из этого графа: если субъект имеет право чтения(брать) объекта, то он может иметь право чтения любых других объектов, на которые этот первый объект имеет какие-то права. Аналогично, если субъект имеет право записи (давать) объекта, он может предоставить любую из своих прав на этот объект.

Графическое представление структуры каталогов.






Посредством комбинации из указанных выше четырех правил, новый файл может быть добавлен в каталог структуры. И права на чтение или запись, будут назначены согласно правилам использующимся каталогом, в которой этот файл записывается.

Следующие четыре шага необходимы для добавления файла и разрешения права:

  1. P1 создает R/W для нового объекта F7;
  2. P1 принять t для D1 от D;
  3. P1 принять g для D11 с D1;
  4. P1 дарить RW от F7 до D11.
Добавление файла к структуре каталогов





Примечания

  1. Lipton R.J., Snayder L. A linear time algorithm for deciding subject security // Journal of ACM (Addison-Wesley). N.3, 1977. p.455-464

Ссылки

blog.iq74.ru

Эта страница в последний раз была отредактирована 7 марта 2023 в 11:11.
Как только страница обновилась в Википедии она обновляется в Вики 2.
Обычно почти сразу, изредка в течении часа.
Основа этой страницы находится в Википедии. Текст доступен по лицензии CC BY-SA 3.0 Unported License. Нетекстовые медиаданные доступны под собственными лицензиями. Wikipedia® — зарегистрированный товарный знак организации Wikimedia Foundation, Inc. WIKI 2 является независимой компанией и не аффилирована с Фондом Викимедиа (Wikimedia Foundation).