Теоретические основы защиты информации.

Это очень сильное предположение и оно противоречит, по крайней мере, возможности присваивать уникальные имена объектам. В самом деле, если объектам присвоены уникальные имена, то в D необходимо иметь информацию о уже присвоенных именах, что противоречит предположению 3 о том, что доступы от имени пользователей не отражаются в информации объектов общего пользования. В случае имен можно выйти из положения, используя случайные векторы, вероятности совпадения которых за обозримый период работы системы можно сделать как угодно малыми. Все построения и выводы возможны при стохастическом способе присвоения имен, но должны содержать элементы

вероятностной конструкции. Чтобы не усложнять систему стохастическими элементами мы будем следовать сделанным выше предположениям.

Тогда в (1) достаточно ограничиться объектами О, не лежащими в D. Это значит, что в одном из доступов в (1) имеется , где OÎO_t(U_j), . Таким образом, в системе считаются неблагоприятными доступы вида:

,

, OÎO_t(U_j), .               (2)

то есть доступы от имени какого-либо пользователя к объекту, созданному другим пользователем. Такие доступы будем далее называть утечкой информации.

Предположение 4. Если некоторый субъект S, SÎD, активизирован от имени пользователя U_i (т.e. ), в свою очередь субъекту S предоставлены в момент t доступ к объекту О, то либо OÎD, либо OÎO_t(U_i), либо система прекращает работу и выключается. Определим следующую политику безопасности (ПБ):

Если , то при S,OÎO_t(U) доступ  разрешается, если SÎO_t(U_i), OÎO_t(U_j), i¹j, то доступ невозможен.

Теорема 1. Пусть в построенной системе выполняются предположения 1-4. Если все доступы осуществляются в соответствии с ПБ, то утечка информации (2) невозможна.

Доказательство. Предположим противное, то есть

Пусть S₁,..., S_m - все активизированные субъекты, имеющие доступы bÊр, i=l,...,m, в момент t к объекту О. Тогда согласно лемме 2 множество этих субъектов разбивается на три непересекающиеся множества:

A = {S₁|S₁ÎD},

B = {S₁|S₁ÎO_t(U_i)},

C = {S₁|S₁ÎO_t(U_j),i¹j}.

Согласно лемме 1 для любого S_l, l=l.....m, существует единственный пользователь, от имени которого активизирован субъект S_l. Если S₁ÎA, то согласно предположению 4 и условию теоремы 1, что доступ - разрешен, получаем, что S, активизирован от имени U_j. Это противоречит предположению.

Если S₁ÎВ, то  невозможен согласно политике безопасности. Значит, если , то существует цепочка длины (k+l)

,

и субъект .Тогда существует цепочка длины k такая, что

.

Повторяя эти рассуждения, через k шагов получим, что

.

Последний доступ невозможен, если выполняется ПБ.