next up previous
Next: Ограничения Up: Формальная Модель Секретности Previous: Переменные состояния

Инварианты

Следующие инварианты определяют условия для системного состояния для объединения специфических принципов секретности (так называемого секрето-ориентированного состояния). Формально, они определяют вышеупомянутую политику секретности. Для предписания такой политики секретности должно быть обеспечено создание этих инвариант в каждом системном состоянии, определенном переменными состояния.

  1. Текущая задача субъекта должна быть авторизована для субъекта (свойство авторизации задачи): " Si: S : CT(Si) I AT(Si).
  2. Текущая процедура трансформации субъекта для текущей задачи субъекта должна быть авторизована (свойство авторизации TP): " Si: S : CTP(Si) I ATP( CT(Si)).
  3. Субъект может иметь доступ только к объектам личных данных, если для выполнения текущей задачи необходим допуск на выполнение процедуры трансформации к объекту данного класса (необходимость обработки данных): " Si:S, Oj:OP: (Si,Oj, x) I CA (CT(Si), Class(Oj ), CTP(Si) , x) I NA.
  4. Субъект может иметь доступ только к объектам личных данных, если цель его текущей задачи соответствует целям, для которых получен объект данного класса, или если это одобрено объектом данных (взаимосвязанность целей): " Si:S, Oj:OP: (Si,Oj, x) I CA
T-Purpose (CT (Si)) I O-Purposes (Class(Oj))U' (T-Purpose( CT(Si)),Oj ) I C

Если пользовательским ролям назначены авторизованные задачи, то в первом инварианте секретности AT(Si) будет заменено на AT(role(Si)).

Пример: Следующий пример демонстрирует различия между концепциями необходимости обработки данных и концепцией взаимосвязанности целей: В больнице, в "лечебных" целях, собраны "данные диагностики". Для исследователя необходимо провести статистический анализ при помощи программы статистики с доступом на чтение к данным диагностики. Таким образом, должны быть назначены соответствующие необходимые права доступа I NA. Задача "статистический анализ" обслуживает цель "исследование". Следовательно, принцип взаимосвязанности целей позволяет получить доступ к даным диагностики пациента в исследовательских целях только с согласия пациента.


next up previous
Next: Ограничения Up: Формальная Модель Секретности Previous: Переменные состояния