HRU (seguridad)

El modelo de seguridad HRU (modelo Harrison , Ruzzo, Ullman ) es un modelo de seguridad informática a nivel de sistema operativo que se ocupa de la integridad de los derechos de acceso al sistema. Es una extensión del modelo de Graham-Denning , basada en la idea de que hay un conjunto finito de procedimientos disponibles para editar los derechos de acceso de un sujeto a un objeto . Lleva el nombre de sus tres autores, Michael A. Harrison, Walter L. Ruzzo y Jeffrey D. Ullman. ^[1] ${\displaystyle s}$ ${\displaystyle o}$

Además de presentar el modelo, Harrison, Ruzzo y Ullman también discutieron las posibilidades y limitaciones de demostrar la seguridad de los sistemas mediante un algoritmo . ^[1]

Descripción del modelo

El modelo HRU define un sistema de protección que consta de un conjunto de derechos genéricos R y un conjunto de comandos C. Una descripción instantánea del sistema se llama configuración y se define como una tupla de sujetos actuales , objetos actuales y una matriz de acceso . Dado que se requiere que los sujetos formen parte de los objetos, la matriz de acceso contiene una fila para cada sujeto y una columna para cada sujeto y objeto. Una entrada para sujeto y objeto es un subconjunto de los derechos genéricos . ${\displaystyle (S,O,P)}$ ${\displaystyle S}$ ${\displaystyle O}$ ${\displaystyle P}$ ${\displaystyle s}$ ${\displaystyle o}$ ${\displaystyle R}$

Los comandos se componen de operaciones primitivas y, además, pueden tener una lista de condiciones previas que requieren que ciertos derechos estén presentes para un par de sujetos y objetos. ${\displaystyle (s,o)}$

Las solicitudes primitivas pueden modificar la matriz de acceso agregando o eliminando derechos de acceso para un par de sujetos y objetos y agregando o eliminando sujetos u objetos. La creación de un sujeto u objeto requiere que el sujeto u objeto no exista en la configuración actual, mientras que la eliminación de un sujeto u objeto requiere que haya existido antes de la eliminación. En un comando complejo, una secuencia de operaciones se ejecuta sólo en su totalidad. Una operación fallida en una secuencia hace que toda la secuencia falle, una forma de transacción de base de datos .

Discusión de seguridad

Harrison, Ruzzo y Ullman ^[1] discutieron si existe un algoritmo que toma una configuración inicial arbitraria y responde a la siguiente pregunta: ¿existe una secuencia arbitraria de comandos que agrega un derecho genérico a una celda de la matriz de acceso donde no se ha colocado? en la configuración inicial?

Demostraron que no existe tal algoritmo, por lo que el problema es indecidible en el caso general. También mostraron una limitación del modelo a comandos con una sola operación primitiva para hacer que el problema sea decidible.

Ver también

• EROS: sistema operativo extremadamente confiable

Referencias

1. Harrison, Michael A.; Ruzzo, Walter L.; Ullman, Jeffrey D. (agosto de 1976). "Protección en Sistemas Operativos". Comunicaciones de la ACM . 19 (8): 461–471. CiteSeerX  10.1.1.106.7226 . doi :10.1145/360303.360333.