مدل های کنترل دسترسی اجباری (MAC)

مدل های کنترل دسترسی اجباری (MAC)

اسلاید 1: 1مدلهای کنترل دسترسی اجباری (MAC)رسول جلیلیjalili@sharif.edu

اسلاید 2: 2ضعف کنترل دسترسی اختیاریعدم امکان کنترل انتشار اطلاعات توسط عاملهای دیگرعلی صاحب فایل A، اجازه خواندن را به حسن می دهدحسن فایل A را می خواند و در فایل B می نویسدعلی دیگر هیچ کنترلی روی B (حاوی اطلاعات A) ندارد.عدم امکان کنترل جریان اطلاعات از یک شیئ به شیئ دیگر با فرض معتمد بودن عامل هابه نرم افزارها نمی توان اعتماد کرداحتمال وجود اسب تروا (Trojan Horse)o2فوق سریسریمحرمانهعادینوشتنso1خواندنجریان اطلاعاتخواندن

اسلاید 3: 3ضعف کنترل دسترسی اختیاریاحتمال وجود اسب تروا (Trojan Horse)

اسلاید 4: 4کنترل دسترسی اجباریکنترل دسترسی عامل ها به اشیاء بر اساس سطوح امنیتی آنها و قواعد ثابتمدل های حفظ محرمانگیمدل BLPمدل های حفظ صحتمدل Bibaمدل های خاص پایگاه داده هامدل Sea-Viewمدل Jajodia & Sandhuمدل Smith & Winslett

اسلاید 5: 5مدل حفظ محرمانگی BLP

اسلاید 6: 6مدل BLPارائه شده به وسيلة Bell و Lapadula در سال 1976توسعه‌يافتة مدل ماتريس دسترسي براي حفظ امنیت چند سطحیمناسب برای محیط های نظامیعامل ها و اشیاء دارای سطح امنیتی (سطح محرمانگي)هر سطح امنيتي با دو جزء مشخص مي‌گردد L=(C, S):C: رده (classification)S: رسته (category)رسته، معرف سازمان يا كاربرد است (مانند ناتو، هسته‌اي).

اسلاید 7: 7مدل BLP -2مبتني بر مفهوم عامل / شئ است:عاملها، اجزاي فعال بوده و عمليات را اجرا مي‌كنند.اشياء، اجزاي غيرفعال بوده و داراي اطلاعات هستند.حالات دسترسي:فقط خواندن (يا خواندن) = Rالحاق (نوشتن بدون خواندن) = Aاجرا (اجراي يك شئ يا برنامه) = Eنوشتن - خواندن (يا نوشتن) = WObserveModify+-+WA-RE

اسلاید 8: 8مدل BLP -3سطوح رده‌بندي عاملها (يا برنامه‌ها) و اشياء (يا منابع):خيلي سري يا TS (مخفف Top Secret)سري يا S (مخفف Secret)محرمانه يا C (مخفف Confidential)بدون رده يا U (مخفف Unclassified)رابطه تفوق (dominance): مقایسه دو سطح امنيتي (L1 = (C1, S1 و (L2 = (C2, S2L1  L2  C1  C2  S1  S2سطوح امنيتی بر اساس رابطه ترتيب جزئي تفوق (≥) تشکيل يک شبکه (Lattice) مي دهند.اگر هیچ یک از دو رابطه زیر برقرار نبود، دو سطح را غیر قابل مقایسه می نامیم: L1  L2 و یا L1 ≤ L2

اسلاید 9: 9مدل BLP -4حالت سيستم به كمك 4تايي (b, M, f, H) بيان مي‌شود كه:b: مجموعة حالتهاي دسترسي فعلي (s, o, m) M: ماتريس دسترسي M[s,o] ، مانند مدل ماتريس دسترسي بیانگر مجموعه حالات مجازf: تابع تعيين سطح كه به هر عامل و شئ سيستم، يك سطح امنيتي متناظر مي‌كند. f: O  S  Lfs: سطح امنیتی اصلی عامل fc: سطح امنیتی فعلی عامل fo: سطح امنیتی شیئH: سلسله‌مراتب فعلي اشياء

اسلاید 10: اعمال مدل BLP -1وضعیت سیستم با اجرای اعمال تغییر می کند.با اجرای یک عمل بروی حالت (b, M, f, H) یک گذر به حالت (b’, M’, f’, H’) بوجود می آید که حداقل در یک جزء با حالت مبدا متفاوت است.انواع اعمال مختلف:تغییر بروی b:Get Access: برای مقدار دهی اولیه به یک شیئ در حالت دسترسی درخواست شدهRelease Access: برای اختتام دسترسی داده شده توسط getتغییر روی M:Give Access: برای اعطای یک حالت دسترسی بروی یک شیئ به یک عاملRescind Access: برای بازپس گیری یک حالت دسترسی از یک عامل بروی یک شیئ (بازپس گیری حالت دسترسی داده شده به عامل توسط Give)10

اسلاید 11: اعمال مدل BLP -2انواع اعمال مختلف:تغییر بروی H:Create Object: برای اضافه کردن اشیای غیر فعال به سلسله مراتب اشیاءبرای یک شیئ دو حالت می تواند وجود داشته باشد:شیئ وجود دارد ولی غیر فعال است. در نتیجه بعضی دسترسی ها روی آن ممکن نیستشیئ وجود دارد و فعال است. در نتیجه در سلسله مراتب اشیاء وجود دارد و قابل دسترسی است.Delete Object: برای غیر فعال کردن شیئ فعال است. عکس عمل Create است.تغییر روی M:Change subject security level: برای تغییر سطح امنیتی جاری f یک عامل.اجرای این عمل، در f، سطح امنیتی جدید را به عامل مربوطه، مرتبط می کند.Change object security level: برای تغییر سطح امنیتی یک شیئ.این عمل تنها می تواند بروی اشیای غیر فعال اجرا گردد و سطح جدید امنیتی را به شیئ مربوطه در f مرتبط می کند.11

اسلاید 12: 12قواعد مدل BLP -1(1) قاعدة سادة امنيتي (SS): يك عامل، مجوز مشاهده (خواندن R يا نوشتن W) يك شئ را دارد فقط اگر سطح امنيتي اصلی عامل، بزرگتر يا مساوي سطح امنيتي شئ باشد.< s, o, r/w >  b  fs(s)  fo(o)oفوق سریسریمحرمانهعادیمشاهدهs

اسلاید 13: 13قواعد مدل BLP -2(2) قاعدة ستاره (*): يك عامل، اگر امکان مشاهده شیئ o1 و تغییر شیئ o2 را داشته باشد، آنگاه باید: fo(o2)  fo(o1) مثال نقض:o2فوق سریسریمحرمانهعادیتغییرso1مشاهدهجریان اطلاعات

اسلاید 14: 14قواعد مدل BLP -3(2) ادامة قاعدة ستاره (*): يك عامل، مجوز الحاق (A) يك شئ را دارد فقط اگر سطح امنيتي فعلی عامل، كوچكتر يا مساوي سطح امنيتي شئ باشد. fc(s)  fo(o) يك عامل، مجوز نوشتن (W) يك شئ را دارد فقط اگر سطح امنيتي فعلی عامل، مساوي سطح امنيتي شئ باشد. fc(s) = fo(o) يك عامل، مجوز خواندن (R) يك شئ را دارد فقط اگر سطح امنيتي فعلی عامل، بزرگتر يا مساوي سطح امنيتي شئ باشد. fc(s)  fo(o)

اسلاید 15: 15قواعد مدل BLP -4(3) قاعدة آرامش(Tranquility principle):هیچ عاملی نمی تواند رده (classification) یک شیئ را تغییر دهد (هرچند این قاعده در نسخه های بعدی حذف گردید.)(4) قاعدة کنترل دسترسی اختیاری (DS):هر دسترسی فعلی، بايد طبق ماتريس دسترسي، مجاز باشد.< s, o, m >  b  m  M[s, o]

اسلاید 16: 16خلاصه ای از مدل BLPبه طور خلاصه و ساده: عامل از اشياي با سطوح امنيتي پايينتر يا مساوي خود، مي‌خواند(مشاهده).No Read Up عامل در اشياي با سطوح امنيتي بالاتر يا مساوي خود، مي‌نويسد (تغییر).No Write Down

اسلاید 17: 17مدل حفظ صحت Biba

اسلاید 18: 18مدل Bibaمدل BLP: صرفاً حفظ محرمانگینیاز به حفظ صحت داده ها در مقابل تغییرات غیرمجازمدل ارائه شده توسط Biba در سال 1977مبانی مدل Biba مشابه مدل BLP است.

اسلاید 19: 19مدل Biba -2عامل ها و اشیاء دارای سطح صحتهر سطح صحت با دو جزء مشخص مي‌گردد L=(C, S):C: رده (classification)S: رسته (category)رسته، معرف سازمان يا كاربرد است (مانند ناتو، هسته‌اي)سطح صحت عامل: ميزان اعتماد به فرد (عامل) در عدم تغيير ناصحيح داده هاي يك شيئسطح صحت شيئ: ميزان اعتماد به داده هاي يك شيئ و ميزان خسارت ناشي از تغيير غيرمجاز در داده هاي آن

اسلاید 20: 20مدل Biba-3سطوح رده‌بندي صحت عاملها (يا برنامه‌ها) و اشياء (يا منابع):حياتي يا C (مخفف Crucial)خيلي مهم يا VI (مخفف Very Important)مهم يا I (مخفف Important)رابطه تفوق (dominance): مقایسه دو سطح صحت (L1 = (C1, S1 و (L2 = (C2, S2L1  L2  C1  C2  S1  S2سطوح امنيتی بر اساس رابطه ترتيب جزئي تفوق (≥) تشکيل يک شبکه (Lattice) مي دهند.اگر هیچ یک از دو رابطه زیر برقرار نبود، دو سطح را غیر قابل مقایسه می نامیم: L1  L2 و یا L1 ≤ L2

اسلاید 21: 21مدل Biba -4مبتني بر مفهوم عامل / شئ است:عاملها، اجزاي فعال بوده و عمليات را اجرا مي‌كنند.اشياء، اجزاي غيرفعال بوده و داراي اطلاعات هستند.حالات دسترسي:تغيير (Modify): نوشتن داده ها در يك شيئارتباط (Invoke): ارتباط يك عامل با عامل ديگرمشاهده (Observe): خواندن داده هاي يك شيئ

اسلاید 22: 22اصول یا خط مشیهای اجباری در مدل Biba -1مدل شامل تعدادي خط مشيخط مشي آب نشان پايين براي عامل ها (Low Watermark Policy for Subjects)خط مشي آب نشان پايين براي اشياء (Low Watermark Policy for Objects)خط مشي آب نشان پايين بازنگری صحت(Low Watermark integrity audit Policy)خط مشی حلقه(Ring Policy)خط مشي حفظ صحت سختگيرانه (Strict Integrity Policy)هر خط مشي شامل تعدادي اصول موضوعه

اسلاید 23: 23اصول یا خط مشیهای اجباری در مدل Biba -2(1) خط مشي نشان آب پايين براي عامل ها (1 از 3)تغيير: يك عامل، مجوز تغيير يك شئ را دارد فقط اگر سطح صحت عامل، بزرگتر يا مساوي سطح صحت شئ باشد. I(s)  I(o)oحياتيخيلي مهممهمعادیتغييرs

اسلاید 24: 24اصول یا خط مشیهای اجباری در مدل Biba -3(1) خط مشي نشان آب پايين براي عامل ها (2 از 3)اجرا: يك عامل، مجوز اجرا (فراخوانی) يك عامل ديگر را دارد فقط اگر سطح صحت عامل اول بزرگتر يا مساوي سطح صحت عامل دوم باشد. I(s1)  I(s2)حياتيخيلي مهممهمعادیاجرا (فراخوانی)s1s2

اسلاید 25: 25اصول یا خط مشیهای اجباری در مدل Biba -4(1) خط مشي آب نشان پايين براي عامل ها (3 از 3)مشاهده: يك عامل، مجوز مشاهده هرشيئي را دارد به شرط آنكه پس از مشاهده، سطح عامل به بزرگترين سطح پائين (GLB) سطوح عامل و شيئ تقليل يابد. Inew(s) = GLB [ Iold(s), I(o) ]oحياتيخيلي مهممهمعادیمشاهدهss

اسلاید 26: 26oاصول یا خط مشیهای اجباری در مدل Biba -5(2) خط مشي آب نشان پايين براي اشياء (1 از 3)تغيير: يك عامل، مجوز تغيير هرشيئي را دارد به شرط آنكه پس از تغيير، سطح شيئ به بزرگترين سطح پائين (GLB) سطوح عامل و شيئ تقليل يابد. Inew(o) = GLB [ I(s), Iold(o) ]oحياتيخيلي مهممهمعادیتغييرs

اسلاید 27: 27اصول یا خط مشیهای اجباری در مدل Biba -6(2) خط مشي نشان آب پايين براي اشياء (2 از 3)اجرا: يك عامل، مجوز اجرا (فراخوانی) يك عامل ديگر را دارد فقط اگر سطح صحت عامل اول بزرگتر يا مساوي سطح صحت عامل دوم باشد. I(s1)  I(s2)حياتيخيلي مهممهمعادیاجرا (فراخوانی)s1s2

اسلاید 28: 28اصول یا خط مشیهای اجباری در مدل Biba -7(2) خط مشي نشان آب پايين براي اشياء (3 از 3)مشاهده: يك عامل، مجوز مشاهده يك شئ را دارد فقط اگر سطح صحت عامل، كوچكتر از سطح صحت شئ باشد. I(o)  I(s)oحياتيخيلي مهممهمعادیمشاهدهs

اسلاید 29: اصول یا خط مشیهای اجباری در مدل Biba -8(3) خط مشي نشان آب پايين صحت با ثبتLow-Watermark Integrity Audit Policy(1 از 1)تغییر: یک عامل می تواند هر شیئ در هر سطحی از صحت را تغییر دهد.اگر یک عامل یک شیئ در را در سطح صحت بالاتر و یا غیر قابل مقایسه تغییر دهد، تنها در سیستم ثبت(Audit) ثبت گردد.29

اسلاید 30: اصول یا خط مشیهای اجباری در مدل Biba -9(4) خط مشي حلقه(1 از 1)سطح صحت ثابت.تغییر: يك عامل، مجوز تغییر يك شئ را دارد فقط اگر سطح صحت عامل، بزرگتر از سطح صحت شئ باشد. I(s)  I(o)اجرا: يك عامل، مجوز اجرای روی عامل دیگر را دارد فقط اگر سطح صحت عامل اول ، کوچکتر از سطح صحت عامل دوم باشد. I(s2)  I(s1)مشاهده: يك عامل، مجوز مشاهده يك شئ را در هر سطحی دارد.30

اسلاید 31: 31اصول یا خط مشیهای اجباری در مدل Biba -8(5) خط مشي حفظ صحت سختگيرانه (1 از 3)خصوصيت ستاره (*) صحت: يك عامل، مجوز تغيير يك شئ را دارد فقط اگر سطح صحت عامل، بزرگتر يا مساوي سطح صحت شئ باشد. I(s)  I(o)oحياتيخيلي مهممهمعادیتغييرs

اسلاید 32: 32اصول یا خط مشیهای اجباری در مدل Biba -9(5) خط مشي حفظ صحت سختگيرانه (2 از 3)خصوصيت اجرا: يك عامل، مجوز اجرا (فراخوانی) يك عامل ديگر را دارد فقط اگر سطح صحت عامل اول بزرگتر يا مساوي سطح صحت عامل دوم باشد. I(s1)  I(s2)حياتيخيلي مهممهمعادیاجرا (فراخوانی)s1s2

اسلاید 33: 33اصول یا خط مشیهای اجباری در مدل Biba -10(5) خط مشي حفظ صحت سختگيرانه (3 از 3)خصوصيت ساده صحت: يك عامل، مجوز مشاهده يك شئ را دارد فقط اگر سطح صحت عامل، كوچكتر از سطح صحت شئ باشد. I(o)  I(s)oحياتيخيلي مهممهمعادیمشاهدهs

اسلاید 34: خط مشی های اختیاری مدل Biba-1لیست های کنترل دسترسی به هر شیئ یک لیست کنترل دسترسی اختصاص می یابد که نشان دهنده عامل ها و حالات دسترسی ای است که می توانند به آن شیئ دسترسی پیدا نمایند.این لیست می تواند توسط عامل هایی که دارای حق modify بروی ACL مربوطه هستند تغییر نماید.سلسله مراتب اشیاءاشیاء به صورت سلسله مراتبی بوسیله یک درخت ریشه دار مرتب میشوندبرای دسترسی به یک شیئ، یک عامل باید دارای حق observe به تمام اجداد آن شیئ داشته باشد.34

اسلاید 35: خط مشی های اختیاری مدل Biba-2حلقهبه هر عامل یک صفت مجوزی(حلقه) اختصاص می یابد.حلقه ها عددگذاری میشوند.حلقه ها با اعداد کوچکتر نشان دهنده حقوق با مجوزهای بالاتر است.خط مشی ها نیاز به برقرار بودن اصول زیر را دارد:یک عامل می تواند حق modify بروی اشیاء، فقط در بازه مجازی از حلقه ها داشته باشدیک عامل می تواند حق دسترسی invoke را بروی عواملی با مجوز بالاتر تنها بروی بازه مجازی از حلقه ها داشته باشد. البته هر عامل می تواند حق دسترسی invoke را بروی تمام عوامل با مجوز پایین تر و مساوی داشته باشد.هر عامل می تواند دسترسی observe را بروی اشیاء در یک بازه مجاز از حلقه ها داشته باشد.35

اسلاید 36: 36خلاصه مدل Bibaمدل Biba بيشتر با خط مشي سختگيرانه اش شناخته شده است.خط مشي حفظ صحت سختگيرانه به طور خلاصه: عامل از اشياي با سطوح امنيتي بالاتر يا مساوي خود، مي‌خواند(مشاهده).No Read Down عامل در اشياي با سطوح امنيتي پايينتر يا مساوي خود، مي‌نويسد (تغییر).No Write Up

اسلاید 37: 37مدل كنترل دسترسي اجباري پايگاه داده‌ها Dion

اسلاید 38: 38مدل Dion-1ارائه شده در سال 1981کنترل دسترسی اجباریحفاظت از صحت و محرمانگی داده هاترکیب مدل های کنترل دسترسی BLP و Bibaبرخلاف دو مدل قبلی هیچ نوع خط مشی اختیاری را پشتیبانی نمی کند و با ارضای تمام خط مشی های امنیتی اجباری، دسترسی مجاز شمرده می شود.جریان داده ها میان اشیاء به عوامل تعریف نمی شود بلکه میان اشیاء به اشیاء تعریف می گردد.به همین دلیل مفهوم اتصال(connection) مطرح می گردد که یک ارتباط میان شیئ مبدا به مقصد باید توسط عامل ایجاد گردد تا امکان برقراری جریان اطلاعات میان آنها را فراهم نماید.

اسلاید 39: مدل Dion-2مدل Dion مبتنی بر رده های اشیاء و عوامل هستند که شامل سطوح صحتی و محرمانگی هستند.سطوح محرمانگی و معانی آنها همانند مدل کنترل دسترسی BLP هستندسطوح صحتی و معانی آنها همانند مدل کنترل دسترسی Biba هستند.39

اسلاید 40: عوامل و رده های مدل Dion-1در این مدل، عوامل همان برنامه هایی هستند که در سیستم به نمایندگی از کاربر اجرا می شوند.به هر عامل سیستم سه سطح محرمانگی و سه سطح صحتی اختصاص می یابدسطوح امنیتی:سطح محرمانگی مطلق(Absolute Security Level): سطح امنیتی است که به عامل در زمان ایجاد داده می شود. این سطح امنیتی در طول حیات عامل ثابت استسطح محرمانگی خواندن(Read Security Level): بالاترین سطح امنیتی است که عامل مجاز است بخواند.سطح محرمانگی نوشتن(Write Security Level): پایین ترین سطح امنیتی است که یک عامل مجاز است بنویسد.40

اسلاید 41: عوامل و رده های مدل Dion-2سطوح صحتی:سطح صحتی مطلق(Absolute Integrity Level): سطح صحتی است که به عامل در زمان ایجاد داده می شود. این سطح صحتی در طول حیات عامل ثابت استسطح صحتی خواندن(Read Integrity Level): پایین ترین سطح صحتی است که عامل مجاز است بخواند.سطح صحتی نوشتن(Write Integrity Level): بالاترین سطح صحتی است که عامل مجاز است بنویسد.41

اسلاید 42: عوامل و رده های مدل Dion-3روابط زیر باید در هر سیستم برای هر عامل s برقرار باشد:WSL(s) ≤ ASL(s) ≤ RSL(s)RIL(s) ≤ AIL(s) ≤ WIL(s)هر عامل که حداقل یکی از نامساوی های بالا به صورت اکید ارضا کند عامل معتمد(Trusted Subject) نامیده می شود.یک عامل می تواند از دید امنیتی، صحتی و یا هردو بسته به تعداد نامساوی هایی که به صورت اکید ارضا می کند، معتمد باشد.هر عاملی که چهار رابطه بالا را به صورت تساوی ارضا نماید، عامل غیر معتمد نامیده می شود.42

اسلاید 43: اشیاء و رده های مدل Dion-1در این مدل، اشیاء به هر موجودیت انباره داده در سیستم اطلاق می گردد.به هر شیئ سیستم سه سطح امنیتی و سه سطح صحتی اختصاص می یابدسطوح امنیتی:سطح امنیتی مطلق(Absolute Security Level): سطح امنیتی داده ای است که در شیئ قرار می گیرد. این سطح امنیتی در طول حیات شیئ ثابت استسطح امنیتی مهاجرتی (Migration Security Level): بالاترین سطح امنیتی است که داده در اين شیئ، مجاز است به شیئ در آن سطح جریان پیدا کند.سطح امنیتی تحریفی(Corruption Security Level): پایین ترین سطح امنیتی است که داده از آن سطح می تواند به این شیئ جریان پیدا کند.43

اسلاید 44: عوامل و رده های مدل Dion-2سطوح صحتی:سطح صحتی مطلق(Absolute Integrity Level): سطح صحتی داده ای است که در شیئ قرار می گیرد. این سطح صحتی در طول حیات شیئ ثابت استسطح صحتی مهاجرتی(Migration Integrity Level): پایین ترین سطح صحتی است که داده از این شیئ، مجاز است به شیئ در آن سطح جریان پیدا کند.سطح صحتی تحریفی(Corruption Integrity Level): بالاترین سطح صحتی است که داده از آن سطح می تواند به این شیئ جریان پیدا کند.44

اسلاید 45: عوامل و رده های مدل Dion-3روابط زیر باید در هر سیستم برای هر شیئ o برقرار باشد:CSL(o) ≤ ASL(o) ≤ MSL(o)MIL(o) ≤ AIL(o) ≤ CIL(o)45

اسلاید 46: اصول مدل Dion-1خصوصیت مهاجرتسطوح مهاجرت شیئ که اطلاعات در آن نوشته می شود(o2) باید محدودتر از سطح مهاجرتی شیئ ای باشد که از آن خوانده می شود (o1). MSL(o1) ≥ MSL(o2)MIL(o1) ≤ MIL(o2)این خصوصیت تضمین می کند که سطوح امنیتی و صحتی توسط یک مهاجرت دور زده نشود.اگر این خصوصیت ارضا نگردد، داده های o1 می تواند به صورت غیر مستقیم، به سطوح امنیتی ای که مجاز نمی باشد (مانند o2) مهاجرت داده شود.46

اسلاید 47: مثال47

اسلاید 48: اصول مدل Dion-2خصوصیت تحریفسطوح تحریف شیئ ای که از آن اطلاعات خوانده میشود (o1) باید حداقل از سطوح تحریف شیئ ای که در آن اطلاعات نوشته می شود، محدودتر باشد.CSL(o1) ≥ CSL(o2)CIL(o1) ≤ CIL(o2)این خصوصیت تضمین میکند سطوح امنیتی و صحتی O2 به صورت غیر مستقیم دور زده نشود.48

اسلاید 49: مثال49

اسلاید 50: اصول مدل Dion-3خصوصیت امنیتیعاملی که یک اتصال را ایجاد می کند، باید سطح دسترسی خواندن بروی شیئ ای که می خواند (O1) و سطح دسترسی نوشتن بروی شیئ ای که می نویسد (O2) داشته باشد.RSL(s) ≥ ASL(o1)WSL(s) ≤ ASL(o2)این خصوصیت معادل همان No-Read-Up و No-Write-Down از مدل کنترل دسترسی BLP می باشد50

اسلاید 51: اصول مدل Dion-4خصوصیت صحتیعاملی که یک اتصال را ایجاد می کند، باید سطح دسترسی خواندن بروی شیئ ای که می خواند (O1) و سطح دسترسی نوشتن بروی شیئ ای که می نویسد (O2) داشته باشد.RIL(s) ≤ AIL(o1)WIL(s) ≥ AIL(o2)این خصوصیت معادل همان No-Read-Down و No-Write-Up از مدل کنترل دسترسی Biba می باشد51

اسلاید 52: اصول مدل Dion-5خصوصیت نوشتن/تحریفسطح امنیتی مطلق یک عامل بر سطح امنیتی تحریف یک شیئ که به آن انتقال اطلاعات صورت می گیرد باید تفوق داشته باشدسطح صحتی مطلق یک عامل باید بوسیله سطح صحتی تحریف شیئ ای که انتقال اطلاعات به آن صورت می گیرد، متفوق باشد.ASL(s) ≥ CSL(o2)AIL(s) ≤ CIL(o2)این خصوصیت ارضای سطوح تحریف یک شیئ که به آن انتقال داده، انجام می گیرد را تضمین می کند.ASL(s) ≥ ASL (O1) ≥ CSL(O1) ≥ CSL (O2)52

اسلاید 53: اصول مدل Dion-6خصوصیت خواندن/مهاجرتسطح امنیتی مطلق یک عامل بوسیله سطح امنیتی مهاجرت یک شیئ که از آن انتقال اطلاعات صورت می گیرد باید متفوق باشدسطح صحتی مطلق یک عامل باید بر سطح صحتی مهاجرت شیئ ای که انتقال اطلاعات از آن صورت می گیرد، تفوق داشته باشد.ASL(s) ≤ MSL(o1)AIL(s) ≥ MIL(o1)این خصوصیت ارضای سطوح مهاجرت یک شیئ که از آن انتقال داده، انجام می گیرد را تضمین می کند.53

اسلاید 54: 54مدل كنترل دسترسي اجباري پايگاه داده‌ها Sea-View

اسلاید 55: 55مدل Sea-Viewارائه شده به وسيلة Dorothy Denning در سال 1987مخفف مدل SEcure dAta VIEW برای حفاظت از مدل رابطه ای در پايگاه داده هامدل پايگاه محاسباتي مطمئن (TCB)Trusted Computing Base Modelمدل كنترل دسترسي اجباری (MAC)Mandatory Access Control Modelمدل Sea-Viewكنترل دسترسي اجباريBLP & Bibaكنترل دسترسي اختياري

اسلاید 56: 56مدل Sea-View لايه مدل كنترل دسترسي اجباري-1رده‌هاي دسترسي شامل دو جزء است:ردة محرمانگي: مشابه با ردة امنيتي مدل BLPردة صحت: مشابه مدل Bibaاشياءاشیای حفاظت شده توسط MAC فایلهایی تک سطحی هستندعاملهاعوامل همان پردازه هایی هستند که به نمایندگی از کاربران اجرا میشوندبه هر کاربر بازه ای از رده های امنیتی و صحتی تخصیص داده می شود که مجاز است اجرا نماید.حالتهاي دسترسي: خواندن، نوشتن و اجرا

اسلاید 57: 57مدل Sea-View لايه مدل كنترل دسترسي اجباري-2رده‌هاي دسترسي، بر اساس رابطة تفوق تشكيل يك شبكه (Lattice) مي‌‌‌‌‌‌‌‌‌دهند.ردة دسترسي C1 بر ردة دسترسي C2 تفوق دارد اگر و فقط اگرجزء محرمانگي C1 بر جزء محرمانگي C2 تفوق داشته باشد وC1.Secrecy  C2. Secrecyجزء صحتی C2 بر جزء صحتیC1 تفوق داشته باشد.C1.Integrity ≤ C2.Integrityمثال:((TS, Nato), (I, Nato)) ≥ ((S, Nato), (VI, Nato))

اسلاید 58: 58مدل Sea-View لايه مدل كنترل دسترسي اجباري-3به هر كاربر رده‌هاي محرمانگي و صحتی حداقل و حداكثري، تخصيص مي‌يابد كه به آنها minsecrecy ، minintegrity ، maxsecrecy و maxintegrity گفته مي‌شود.زوج مرتب (minsecrecy , maxintegrity) ردة نوشتن يك عامل زوج مرتب (maxsecrecy , minintegrity) ردة خواندن يك عامل ردة خواندن هر عامل بايد بر ردة نوشتن وي تفوق داشته باشد. يك عامل، قابل اعتماد است اگر ردة خواندنش بر ردة نوشتن وي قوياً تفوق داشته باشد.يك عامل، غيرقابل اعتماد است اگر رده خواندن و نوشتن آن برابر باشد.

اسلاید 59: 59مدل Sea-View لايه مدل كنترل دسترسي اجباري -4(1) قاعدة خواندن: عامل s مي‌تواند شيئ o را بخواند فقط اگر ردة خواندن عامل بر ردة دسترسي شيئ تفوق داشته باشد.readclass (s)  access-class (o)i.e. maxsecrecy (s)  o.seccrecy & minintegrity (s) ≤ o.integrityNO-READ-UP secrecy principle + NO-READ-DOWN integrity policy

اسلاید 60: 60مدل Sea-View لايه مدل كنترل دسترسي اجباري -5(2) قاعدة نوشتن: عامل s مي‌تواند شيئ o را بنويسد فقط اگر ردة دسترسي شيئ بر ردة نوشتن عامل تفوق داشته باشد.writeclass (s) ≤ access-class (o)i.e. minsecrecy (s) ≤ o.seccrecy & maxintegrity (s)  o.integrityNO-WRITE-DOWN secrecy policy + NO-WRITE-UP integrity policy.

اسلاید 61: 61مدل Sea-View لايه مدل كنترل دسترسي اجباري -6(3) قاعدة اجرا: عامل s مي‌تواند شئ o را اجرا كند فقط اگر maxintegrity عامل، كوچكتر يا مساوي ردة صحت شئ و maxsecrecy عامل، بزرگتر يا مساوي ردة محرمانگي شئ باشد.maxintegrity (s) ≤ integrity-class(o) maxsecrecy (s)  confidentiality-class(o)قوانين فوق بيان مي‌كنند كه عاملهاي مطمئن، مي‌توانند داده‌هايي با سطح صحت كمتر از maxintegrity خودشان را خوانده و برنامه‌هاي با سطح صحت بيشتر يا مساوي maxintegrity خودشان را اجرا كنند.

اسلاید 62: 62مدل Sea-View لايه مدل كنترل دسترسي اجباري -7

اسلاید 63: 63مدل Sea-View لايه مدل محاسباتي مطمئن-1مدل پايگاه محاسباتي مطمئن (TCB): روابط چندسطحي را تعريف كرده و از خط‌مشي اختياري استفاده مي‌كند.رابطة چندسطحي (Multilevel Relation): رابطه‌اي است كه در آن براي هر خصيصة Ai يك ردة Ci ، و براي هر سطر نيز يك ردة Tc وجود دارد. شماي رابطه چندسطحي:براي سادگي صرفاً سطح محرمانگي را در نظر مي‌گيريم. :شِماي رابطهR(A1, C1, …, An, Cn, Tc)a1|c1, …, an|cn, t :تاپل

اسلاید 64: 64مدل Sea-View لايه مدل محاسباتي مطمئن -2عامل‌ها بر حسب سطح دسترسي خود ديدهاي مختلفي نسبت به پايگاه داده‌ها دارند.NameCNameDeptCDeptSalaryCSalaryTCBabakSd1S10KSSAliSd2S-SSTS instanceS instance

اسلاید 65: 65مدل Sea-View – خصوصيات رده‌بندي اشياء-1سطح اشياء بايد در شرايط زير صدق كند:(1) جامعيت ردة پايگاه داده:سطح دسترسي يك شما بايد بزرگتر از سطح دسترسي نام پايگاه داده‌اي باشد كه به آن متعلق است.(2) جامعيت ردة ديد:سطح دسترسي ديد بايد بزرگتر از سطح دسترسي هر رابطه يا ديدي باشد كه در تعريف آن قيد شده است.

اسلاید 66: 66مدل Sea-View – خصوصيات رده‌بندي اشياء-2(3) قانون داده‌هاي قابل رؤيت:سطح دسترسي يك شِماي رابطه بايد كوچكتريامساوی از پايين‌ترين ردة دسترسي داده هايی باشد كه مي‌تواند در آن ذخيره شود.سطح دسترسي شِماي رابطه بايد كوچكتر يامساوی بالاترين حد پايين سطوح دسترسي مشخص شده براي يك صفت باشد.

اسلاید 67: 67مدل Sea-View – خصوصيات روابط چندسطحي-1(1) جامعيت موجوديت چندسطحي (Multilevel entity integrity)AK مجموعه صفات تشكيل دهنده كليد اصليسطح دسترسي Ci تمام صفات AiAK در همه تاپلها يكسانسطح Ci كوچكتر از سطح Cj همه صفات AjAK غير دخيل در كليد اصليهيچ‌يك از صفات دخيل در كليد اصلي در هيچ‌يك از تاپل‌ها نمي‌توانند null باشند.

اسلاید 68: 68مدل Sea-View – خصوصيات روابط چندسطحي-2(2) جامعيت ارجاعي چندسطحي (Multilevel referential integrity)هيچ تاپلي نمي‌تواند كليد خارجي غيرnull داشته باشد، مگر آنكه تاپلي در رابطه ارجاع داده شده با كليد اصلي معادل آن وجود داشته باشد.سطح دسترسي تمام خصوصيات دخيل در كليد خارجي در همه تاپلها يكسانسطح دسترسي كليد خارجي بزرگتر مساوي سطح دسترسي كليد اصلي مورد ارجاع

اسلاید 69: 69مدل Sea-View - چند نمونه‌سازي-1چندنمونگي (Polyinstantiation): وجود همزمان چند شيئ داده‌اي با اسامي يكسان ولي سطح دسترسي متفاوتروابط چندنمونه (Polyinstatiated Relations): روابط با نام رابطه يكسان و سطح دسترسي متفاوتتاپل‌هاي چندنمونه (Polyinstatiated Tuples): تاپل‌هاي با كليد اصلي يكسان و سطح دسترسي متفاوت براي كليد اصليعناصر چندنمونه (Polyinstantiated Elements): عناصر مربوط به يك خصيصه با سطح دسترسي متفاوت و كليد اصلي و سطح دسترسي كليد اصلي يكسان

اسلاید 70: 70مدل Sea-View - چند نمونه‌سازي-2NameCNameDeptCDeptSalaryCSalaryTCBabakSd1S10KSSAliAliSSd2d2SS30K20kTSSTSSSaraTSd2TS30KTSTSUpdate of the Ali record by a “S-subject”Insert another Sara record by a “S-subject”Polyinstantiated TuplesPolyinstantiated Elements

اسلاید 71: 71مدل Sea-View - چند نمونه‌سازي-3با وجود رابطه R و كليد اصلي AK با سطح دسترسي CKبراي هر خصيصه AiAK با سطح دسترسي Ci :وابستگي تابعي (functional dependency)(AK, CK, Ci )  Aiوابستگي چندمقداري (multivalued dependency)(AK, CK)   Ai,Ci

اسلاید 72: 72مدل Sea-View – دسترسي به روابط چندسطحيعمل خواندن (select):عامل‌ها مي‌توانند به نمونه‌هاي روابط چندسطحي در سطح دسترسي خود دسترسي دارند.به عبارت ديگر عامل‌ها به داده‌هاي هم‌سطح خود و يا پايين‌تر دسترسي دارند.عمل درج يا بروزرساني (insert or update):فرض: وجود داده‌اي با كليد اصلي يكسانقوانين بر حسب ارتباط بين سطح دسترسي داده موجود و سطح دسترسي عامل

اسلاید 73: 73مدل Sea-View – نوشتن در روابط چندسطحي-1(1) سطح دسترسي عامل كوچكتر از (غيرقابل قياس با) سطح دسترسي دادهايجاد يك تاپل چندنمونهعامل قصد درج يك تاپل را داردتاپلي با كليد اصلي يكسان (ولي مخفي از ديد عامل) در سطح بالاتر وجود دارد.NameCNameDeptCDeptSalaryCSalaryTCBabakSd1S10KSSAliSd2S30KTSTSSaraSaraTSSd2d1TSS30K10kTSSTSSInsert another Sara record by a “S-subject”

اسلاید 74: 74مدل Sea-View – نوشتن در روابط چندسطحي-2(1) سطح دسترسي عامل كوچكتر از (غيرقابل قياس با) سطح دسترسي دادهايجاد يك عنصر چندنمونهعامل قصد بروزرساني يك خصيصه null از يك تاپل را دارد.خصيصه موردنظر از تاپل، واقعاً null نيست، بلكه سطح دسترسي آن بالاتر است و از ديد اين عامل مخفي است.NameCNameDeptCDeptSalaryCSalaryTCBabakSd1S10KSSAliAliSSd2d2SS30K20kTSSTSSSaraTSd2TS30KTSTSUpdate of the Ali record by a “S-subject”

اسلاید 75: 75مدل Sea-View – نوشتن در روابط چندسطحي-3(2) سطح دسترسي عامل بزرگتر از سطح دسترسي دادهايجاد يك تاپل چندنمونهعامل قصد درج يك تاپل را دارد.تاپلي با كليد اصلي يكسان در سطح پايين‌تر وجود دارد.NameCNameDeptCDeptSalaryCSalaryTCBabakTSd2TS30kTSTSBabakSd1S10kSSAliSd2S30kTSTSAliSd2S20kSSSaraTSd2TS30KTSTSInsert another Babak record by a “TS-subject”

اسلاید 76: 76مدل Sea-View – نوشتن در روابط چندسطحي-4(2) سطح دسترسي عامل بزرگتر از سطح دسترسي دادهايجاد يك تاپل چندنمونهعامل قصد بروزرساني يك خصيصه از يك تاپل را دارد.خصيصه موردنظر از تاپل حاوي داده‌اي با سطح دسترسي پايين‌تر است.

اسلاید 77: 77مدل Sea-View – نوشتن در روابط چندسطحي-5مثال ايجاد يك تاپل چندنمونه در بروزرساني داده سطح پايين‌ترUpdate of the Ali record by a “TS-subject” SET Dept = “d1” WHERE Name = “Ali”NameCNameDeptCDeptSalaryCSalaryTCBabakTSd2TS30kTSTSBabakSd1S10kSSAliSd2S30kTSTSAliSd1TS30kTSTSAliSd2S20kSSAliSd1TS20kSTSSaraTSd2TS30KTSTS

اسلاید 78: 78مدل Sea-View-حالت های دسترسی-1حالتهاي دسترسي مختلف بر اساس انواع اشيا (مانند پايگاه داده و رابطه) مشخص مي شود.(1) حالتهاي دسترسي پايگاه داده:Null: ممانعت از هر گونه دسترسي به يك پايگاه داده.List: براي فهميدن اسامي و شماهاي روابط چندسطحي موجود در پايگاه داده.Create_mrelation: براي ايجاد يك رابطة چندسطحي در پايگاه داده.Delete_db: حذف يك پايگاه داده.

اسلاید 79: 79مدل Sea-View-حالت های دسترسی-2(1) حالتهاي دسترسي پايگاه داده(ادامه):Grant: براي اعطاي مجوز حالتهاي دسترسي پايگاه داده (به جز grant و give_grant) توسط يك كاربر به كاربران ديگر.Give_grant: براي اعطاي مجوز حالتهاي دسترسي پايگاه داده (شامل grant و give_grant) توسط يك كاربر به كاربران ديگر.

اسلاید 80: 80مدل Sea-View-حالت های دسترسی-3(2) حالتهاي دسترسي رابطه (اختياري):Null: ممانعت از هر گونه دسترسي به يك رابطه.Select: براي بازيابي سطرها از يك رابطه.Insert: براي درج سطرها در يك رابطه.(Update(i: براي تغيير دادة خصيصة iام يك رابطه.Delete_tuple: براي حذف سطرها از يك رابطه.Create_view: براي ايجاد ديد مبتني بر يك رابطه.Delete_mrelation: براي حذف يك رابطه.

اسلاید 81: 81مدل Sea-View-حالت های دسترسی-4(2) حالتهاي دسترسي رابطه (اختياري)(ادامه):Reference: براي ارجاع به يك رابطه. (به منظور دسترسي به ديدهايي كه بر مبناي رابطة مذكور تعريف شده‌اند، لازم است)Grant: براي اعطاي مجوز حالتهاي دسترسي رابطه (به جز grant و give_grant) توسط يك كاربر به كاربران ديگر.Give_grant: براي اعطاي مجوز حالتهاي دسترسي رابطه (شامل grant و give_grant) توسط يك كاربر به كاربران ديگر.

اسلاید 82: 82مدل Sea-View-حالت های دسترسی-5(3) حالتهاي دسترسي اشياء ( لاية MAC):Read: براي خواندن يك شيئ.Write: براي نوشتن يك شيئ.Null: ممانعت از هر گونه دسترسي به يك شيئ.Grant: براي اعطاي مجوز حالتهاي دسترسي شيئ (به جز grant و give_grant) توسط يك كاربر به كاربران ديگر.Give_grant: براي اعطاي مجوز حالتهاي دسترسي شيئ (شامل grant و give_grant) توسط كاربري به ديگران.

اسلاید 83: 83مجازشماری در مدل Sea-View -1ويژگي denial takes precedence: اگر كاربري آشكارا از دسترسي به يك شئ منع شود، تمامي مجوزهاي شخصي يا مجوزهايي كه از طريق عضويت در يك گروه، نسبت به آن شئ دارد بي‌اثر خواهد شد.(2) اگر براي دسترسي كاربري به يك شئ، چيزي بيان نشده باشد و اين كاربر عضو گروهي است كه دسترسي به آن شئ براي گروه منع نگرديده، در آن صورت وي مي‌تواند تمامي مجوزهاي دسترسي گروه به اين شئ را در اختيار داشته باشد.

اسلاید 84: 84مجازشماری در مدل Sea-View -2(3) اگر كاربري هيچ اجازة منفي مشخصي بر روي يك شيئ نداشته، ولي اجازة مثبت مشخصي براي برخي حالات دسترسي آن شئ را داشته باشد، در آن صورت به وي فقط اين مجوزها اعطا شده و هيچ مجوز ديگري از طريق عضويت وي در يك گروه (مجوز گروهي) به او داده نمي‌شود.

اسلاید 85: 85پایانمركز امنيت شبكه شريفhttp://nsc.sharif.edu