|
х = хi' или хi' соединен с х начальным пролетом моста для i=1, …, m;
si = si' или si' соединен с si конечным пролетом моста для i=1, … , m.
Условие 2.1.4.3. Для каждой пары (xi', si' ), i=1,…,m, существуют острова Ii1,…, Iiui, ui≥ 1, такие, что xi'∈ Ii1, si'∈Iiui , и мосты между островами Iij, и Iij+ 1.
Доказательство. Доказательство теоремы проводится для m=1, так как схему доказательства для этого случая легко продолжается на случай m>1. Для большей наглядности доказательства можно привести пример рассматриваемого по условиям теоремы графа доступа – см. рис. 2.8.
При m=1 условия 2.1.4.1, 2.1.4.2 и 2.1.4.3 формулируются следующим образом:
Условие 2.1.4.1. ∃ s∈O0 : (s, y, α) ∈E0. Условие 2.1.4.2. ∃ x', s'∈ S0 :
- х = х' или х' соединен с х начальным пролетом моста; - s = s' или s' соединен с s конечным пролетом моста.
Условие 2.1.4.3. Существуют острова I1,…, Iu такие, что x'∈ I1, s'∈ Iu, и мосты между островами Ij и Ij+ 1 для j=1,…, u -1.
Необходимость. Пусть истинен предикат "возможен доступ(α, x, y, Γ0)". По определению истинности предиката существует последовательность графов доступов Γ1 (O1, S1, E1), Γ2 (O2, S2, E2),…, ΓN (ON, SN, EN), такая, что: Γ0├с1 Γ1├с2…├сN ΓN и (x, y, α) ∈ EN, при этом
N является минимальным, т. е. (x, y, α) ∉ EN -1. Докажем необходимость условий 2.1.4.1, 2.1.4.2, 2.1.4.3 индукцией по N.
Рис. 2.8. Пример графа доступов с возможностью передачи объекту x прав доступа α на объект y
При N=0 очевидно (x, y, α)∈E0. Следовательно, условия 2.1.4.1, 2.1.4.2, 2.1.4.3 выполнены.
Пусть N>0 и утверждение теоремы истинно для ∀ k < N. Тогда (x, y, α)∉E0 и дуга (x, y, α) появляется в графе доступов ΓN в результате применения к графуΓN -1 некоторой команды cN . При этом возможны два случая x ∈ S0 и x ∉ S0.
Если x∉S0, то ∃ x1∈SN -1 : cN =grant(α, x1, x, y). С учетом минимальности N и замечаний, сделанных при доказательстве теоремы 2.1.3, можно считать, что x1∈S0. Следовательно:
1. Истинен предикат "возможен доступ(g, x1, x, Γ0)" с числом преобразований графов, меньшим N. Тогда по предположению индукции выполнены условия 2.1.4.1, 2.1.4.2, 2.1.4.3:
∃ x2 ∈ O0 : (x2, x, g) ∈ E0 ;
∃ x' ∈ S0, соединенный с x2 конечным пролетом моста;
существуют острова I1,…, Iv, v≥1 такие, что x1∈Iv , x'∈I1 , и мосты между островами Ij и Ij+ 1;
2. Истинен предикат "возможен доступ(α, x1, y, Γ0)" с числом преобразований графов, меньшим N. Тогда по предложению индукции выполнены условия 2.1.4.1, 2.1.4.2, 2.1.4.3:
s∈ O0 : (s, y, α) ∈ E0 ;
∃ s' ∈ S0 : s=s' или s' соединен с s конечным пролетом моста;
существуют острова I1,…, Iu, (v-u) ≥ 1, такие, что x1∈Iv, s' ∈ I1 и мосты между островами Ij и Ij+ 1, для j=v,…, u-1.
Путь, соединяющий вершины x', x2, x есть начальный пролет моста. Таким образом, для случая x ∉ S0 условия выполняются, и индуктивный шаг доказан.
Если x∈S0, то п.1 условия 2.1.4.2 теоремы 2.1.4 очевидно выполняется. Многократно применяя технику доказательства, использованную выше, можно доказать индуктивный шаг и в данном случае. Достаточность. Условия 2.1.4.1, 2.1.4.2, 2.1.4.3 конструктивны.
По условию 2.1.4.1 существует объект s, который обладает правами α на объект y. По п. 2 условия 2.1.4.2 существует субъект s', который либо совпадает с s, либо по конечному пролету моста может забрать у субъекта s права α на объект y.
По теореме 2.1.3 права доступа, полученные одним субъектом, принадлежащим острову, могут быть переданы любому другому субъекту острова. По условию 2.1.4.3 между островами существуют мосты, по которым возможна передача прав доступа. В качестве примера на рис. 2.9 представляется последовательностьr gr s преобразований графа доступов при передаче прав по мосту вида t t . По п.1 условия 2.1.4.2 теоремы 2.1.4 существует субъект x', который или совпадает с x, или, получив права доступа, может передать их x по начальному пролету моста. Теорема доказана. ■
Смысл теоремы 2.1.4 состоит в том, что если в системе разграничения доступа в начальном состоянии между двумя какими-либо объектами имеется tg-путь, включающий, в том числе, мосты между островами, то найдется такая последовательность команд вида 2.1, 2.2 и 2.3, в результате которой первый объект получит необходимые права доступа над другим объектом. Существенным при этом является отсутствие какихлибо ограничений на кооперацию субъектов и объектов доступа, в частности, отсутствие запретов на передачу прав доступа к объекту субъектами, изначально обладающими необходимыми правами на объект, представляющий интерес для других субъектов. Говоря иначе, подобный порядок вещей характеризует идеальное сотрудничество и доверие между субъектами доступа.
r r
Рис. 2.9. Пример передачи прав доступа по мосту вида t g ts
В модели также анализируются условия, в которых получение прав доступа возможно и без участия в передаче прав субъектов (операция grant), изначально обладающими правами доступа на объект.
3.2. Похищение прав доступа
Пусть x, y∈O0 – различные объекты графа доступа Γ0 (S0, O0, E0).
Определение 2.1.12. Для исходного состояния системы Γ0 (O0, S0, E0) и прав доступа α ⊆ R предикат "возможно похищение(α, x, y, Γ0)" является истинным тогда и только тогда, когда существуют графы доступов системы Γ1 (O1, S1, E1), Γ1 (O2, S2, E2), …, ΓN (ON, SN, EN) такие, что:
Γ0 (O0,S0,E0)├с1 Γ1 (O1,S1,E1)├с2…├сN ΓN (ON,SN,EN) и (x, y,α)∈EN
Do'stlaringiz bilan baham: |
