HRU（セキュリティ）

この記事は、主題に関連が深すぎる情報源に過度に依存している可能性があり、検証可能性と中立性を損なう可能性があります。より適切な、信頼できる独立した情報源への引用に置き換えて、記事の改善にご協力ください。 （2014年8月）（このメッセージを削除する方法とタイミングについてはこちらをご覧ください）

HRUセキュリティモデル（ハリソン、ルッツォ、ウルマンモデル）は、システムにおけるアクセス権の整合性を扱うオペレーティングシステムレベルのコンピュータセキュリティモデルです。これはグラハム・デニングモデルの拡張であり、オブジェクトに対するサブジェクトのアクセス権を編集するための手続きが有限集合で利用可能であるという考え方に基づいています。このモデルは、その3人の著者、マイケル・A・ハリソン、ウォルター・L・ルッツォ、ジェフリー・D・ウルマンにちなんで名付けられました。^[1]${\displaystyle s}$${\displaystyle o}$

ハリソン、ルッツォ、ウルマンはモデルの提示に加えて、アルゴリズムを用いてシステムの安全性を証明することの可能性と限界についても議論した。^[1]

HRUモデルは、汎用権限RのセットとコマンドCのセットで構成される保護システムを定義します。システムの瞬間的な記述は構成と呼ばれ、現在のサブジェクト、現在のオブジェクト、およびアクセスマトリックスのタプルとして定義されます。サブジェクトはオブジェクトの一部である必要があるため、アクセスマトリックスにはサブジェクトごとに1行、サブジェクトとオブジェクトごとに1列が含まれます。サブジェクトとオブジェクトのエントリは、汎用権限のサブセットです。 ${\displaystyle (S,O,P)}$${\displaystyle S}$${\displaystyle O}$${\displaystyle P}$${\displaystyle s}$${\displaystyle o}$${\displaystyle R}$

コマンドは基本的な操作で構成されており、さらに、サブジェクトとオブジェクトのペアに対して特定の権限が存在することを要求する前提条件のリストを持つことができます。 ${\displaystyle (s,o)}$

プリミティブリクエストは、サブジェクトとオブジェクトのペアに対するアクセス権の追加または削除、およびサブジェクトまたはオブジェクトの追加または削除によって、アクセスマトリックスを変更できます。サブジェクトまたはオブジェクトを作成するには、現在の構成にサブジェクトまたはオブジェクトが存在しない必要があります。一方、サブジェクトまたはオブジェクトを削除するには、削除前にサブジェクトまたはオブジェクトが存在していた必要があります。複雑なコマンドでは、一連の操作は全体としてのみ実行されます。シーケンス内の操作が失敗すると、シーケンス全体が失敗します。 これは、データベーストランザクションの一種です。

ハリソン、ルッツォ、ウルマン^[1]は、任意の初期構成を取り、次の質問に答えるアルゴリズムがあるかどうかについて議論しました。アクセスマトリックスのセルに、初期構成にはなかった一般的な権限を追加する任意のコマンドシーケンスはありますか？

彼らは、そのようなアルゴリズムは存在しないこと、したがってこの問題は一般的な場合には決定不可能であることを示した。また、問題を決定可能にするためには、モデルが1つの基本操作のみを含むコマンドに限定されることも示した。

• EROS - 極めて信頼性の高いオペレーティングシステム