1. Разработка и реализация мандатного механизма
управления доступом в СУБД MySQL
Денис Колегов, Николай Ткаченко, Дмитрий Чернов
Национальный исследовательский Томский государственный университет
Кафедра защиты информации и криптографии
( ) 1 / 19

2. Актуальность
Одной из актуальных задач компьютерной безопасности является
разработка и реализация мандатного управления доступом в
изначально дискреционных СУБД
Недостатки:
Отсутствуют формальные модели политик безопасности
управления доступом
Корректность мандатного управления доступом формально не
обоснована
Не учитываются требования обеспечения безопасности
информационных потоков
Механизмы мандатного управления доступом не интегрированы в
ядро СУБД
( ) 2 / 19

3. Цель работы
Обеспечение безопасности управления доступом и информационными
потоками в СУБД MySQL путем реализации формально
обоснованного мандатного управления доступом
Для достижения цели решаются следующие задачи:
исследование реализации дискреционного управления доступом
разработка формальной модели безопасности мандатного
управления доступом
реализация механизма мандатного управления доступом на
основе построенной модели
проведение тестовых испытаний механизма управления доступом
( ) 3 / 19

4. Исследование управления доступом в MySQL
Выполнено исследование исходного кода, изучение документации,
а также проведены эксперименты
Идентифицированы основные механизмы реализации
информационных потоков по времени
Выявлены методы реализации запрещенных информационных
потоков по памяти в обход монитора безопасности
( ) 4 / 19

5. Исследование управления доступом в MySQL
Выявлены следующие типы запросов SQL, потенциально приводящие
к реализации запрещенных информационных потоков по памяти:
«INSERT INTO . . . VALUES((SELECT. . . ), . . . )»;
«INSERT . . . SELECT»;
«UPDATE . . . SET . . . = (SELECT . . . )».
( ) 5 / 19

6. Исследование управления доступом в MySQL
user> insert tab2 values((select col1 from tab1 limit 1));
( ) 6 / 19

7. Ограничения
Информационные потоки рассматриваются в рамках СУБД
Рассматриваются только информационные потоки по памяти,
порождаемые SQL-операторами SELECT, INSERT, UPDATE и
DELETE
Информационные потоки по времени не рассматриваются
( ) 7 / 19

8. Теория ДП-моделей
П.Н. Девянин, ИКСИ Академии ФСБ России
Монография «Анализ безопасности управления доступом и
информационными потоками в компьютерных системах»
Основа - модели Take-Grant, Белла-ЛаПадулы, СВС, ИПС
Учитываются особенности построения защищенных
отечественных компьютерных систем
Доверенные субъекты, функция иерархии сущностей,
блокирующие доступы, функциональная и параметрическая
ассоциированность
( ) 8 / 19

9. Основные элементы модели
Сущности-объекты O: столбцы COL, процедуры Op, триггеры Ot,
представления Ov и переменные Ov
Сущности-контейнеры C: таблицы TAB, базы данных DB и
корневой каталог C0
Субъект-сессии S, учетные записи пользователей U
Функция иерархии сущностей H : C ∪ Op ∪ Ot ∪ S → 2O∪C
Функция уровней конфиденциальности сущности-объекта
fe : (O Ov ) ∪ C → L
Функция уровней доступа учетной записи пользователя
fs : U → L
Функция, определяющая пользователя субъект-сессии
user : S → U
( ) 9 / 19

10. Основные элементы модели
Множество прав доступов Rr = {readr , writer , appendr , deleter ,
alterr , executer , creater , dropr , create_routiner , create_userr ,
triggerr , create_viewr }
Множества доступов Ra = {reada, writea, appenda}
Множество информационных потоков Rf = {writem}
Множество прав, которые могут быть переданы
Grant ⊆ U × (C ∪ O) × Rr
Состояние модели G = (U, S, E, R, A, H, (fs, fe), user, Grant,
execute_as, triggers, owner, operations, var)
Σ(G∗, OP) – система
( ) 10 / 19

11. Примеры правил преобразования
Правило Исходное состояние Результирующее состоя-
ние
create_session(u, s) u ∈ U, s ∈ S Ss = Ss ∪ {s}, fs (s) =
fs (u), user (s) = u
create_user(s, u, l) s ∈ S, user(s) ∈ Lu,
u ∈ U, l ≤ fs (user(s)),
(user(s), c0, create_userr ) ∈ R
U = U ∪ {u}, fs (u) = l
grant_right(s, u, e, α,
grant_option)
s ∈ S, u ∈ U, e ∈ C∪O, α ∈ Rr ,
grant_option ∈ {true, false},
∃c ≥ e : (s, c , α) ∈ Rr , ∃c ≥
e : (user(s), c, α) ∈ Grant
R = R ∪ {(u, e, α)}, ес-
ли grant_option = true,
то Grant = Grant ∪
{(u, e, α)}
access_read(s, e) s ∈ S, e ∈ DB ∪ TAB ∪ COL,
∃c ∈ C ∪ O, что e < c или
e = c, fs (user(s)) ≥ fe (c) и
HLS(e, c) = true, e1 ∈ O ∪ C :
fe (e1) < fe (e) и (s, e1, α) ∈ A,
где α ∈ {writea, appenda}
A = A ∪ {(s, e, reada)},
F = F ∪ {(e, s, writem)}
( ) 11 / 19

12. Утверждение
Определение 1
В состоянии G системы Σ(G∗, OP) доступ (s, e, α) ∈ A обладает
ss-свойством, если α = appenda или выполняется условие
fs(user(s)) ≥ fe(e).
Определение 2
В состоянии G системы Σ(G∗, OP) доступы (s, e1, reada), (s, e2, α) ∈ A,
где α ∈ {writea, appenda} обладают *-свойством, если выполняется
условие fe(e1) ≤ fe(e2).
Теорема
Пусть G0 – начальное состояние системы Σ(G∗, OP, G0), являющееся
безопасным в смысле Белла – ЛаПадулы, и A0 = F0 = ∅. Тогда
система Σ(G∗, OP, G0) является безопасной в смысле Белла –
ЛаПадулы.
( ) 12 / 19

13. Структурная схема управления доступом
( ) 13 / 19

14. Хранение меток безопасности
( ) 14 / 19

15. Обработка меток безопасности
( ) 15 / 19

16. Схема мандатного управления доступом
( ) 16 / 19

17. Сравнение механизмов мандатого управления доступом
( ) 17 / 19

18. Результаты работы
1) Выявлены методы реализации запрещенных информационных
потоков в обход механизмов управления доступом СУБД MySQL
2) Разработана формальная ДП-модель мандатного управления
доступом СУБД MySQL
3) Произведена адаптация построенной модели к механизмам СУБД
MySQL
4) Реализован мандатный механизм управления доступом на уровне
ядра безопасности СУБД MySQL
( ) 18 / 19

19. Благодарю за внимание!!!
Денис Колегов,
d.n.kolegov@gmail.com
Николай Ткаченко,
n.o.tkachenko@gmail.com
Дмитрий Чернов,
dm.vl.chernov@gmail.com
( ) 19 / 19