مروری بر مدل های کنترل دسترسی مشبک-مبنا

صفحه 1:
مروري بر مدلهاي کنترل دسترسي مشبک- مبنا جعفرهادي جعفریان ‎jafarian @ce.sharif.edu‏ 

صفحه 2:
* محرمانگي. جلوگيري از افشاي غیرمجاز اطلاعات * صحت. جلوگيري از تغییر غیرمجاز اطلاعات . دسترس پذيري با جلوگيري از منع دسترسي ‎(DoS)‏ * هدف مدلهاي کنترل دسترسي مشبک- مبناء كنترل جريان اطلاعات است * در کنترل جریان اطلاعات * محرمانگي هدف مركزي است * صحت تا حدي مورد نظر است * دسترس پذيري اهمیت چنداني ندارد 1/1/85 و2 

صفحه 3:
* تعیین مسيرهاي مجاز و جلوگيري از جريان‌هاي غیرمجاز با BID ‏حفظ محرمانگي‎ * ‏جلوگيري از جاري‌شدن اطلاعات به سوي موجوديت‌هاي غیرمجاز‎ * ‏حفظ صحت‎ * * جلوگيري از جاري‌شدن اطلاعات به سوي موجوديت‌هاي با صحت پایین By 1/1/85 

صفحه 4:
"" دو رويكرد كلي ۴ بیان خصوصیات مورد انتظار امنيتي در فرایند تولید با رويه‌هاي مهندسي نرم‌افزار " استفاده از مدل‌هاي کنترل دسترسي مشبک‌مبنا * انتزاعي از خط‌مشي‌هاي مشبک‌مبنا * نوع خاصي از خط مشي‌هايي جربان اطلاعات any 1/1/85 

صفحه 5:
* هدف: کنترل جریان اطلاعات بین كلاسهاي امنيتي * به هر شيء یک کلاس امنيتي تخصیص داده مي شود تعریف خط مشي جریان اطلاعات (1(6101110): " يك سه تاب ب ‎se.‏ > که در آن 962 مجموعه اي از كلاسهاي ‎CSC*SC> So |‏ يك رابطه دوتايى به نام 8307© وروی 96 است و :86 مد ‎ius & SC* SE‏ پیوند روي 562 است. ‎B= Ce"‏ ۸:اشيائي که شامل اطلاعاتي از كلاسهاي امنيتي ذو 13 هستند باکلاس امنيتي ‎C‏ باید برچسب گذاري شوند ‎1/1/85 

صفحه 6:
"" یک مثال بديهي از یک خط مشي جریان اطلاعات ‎a‏ هیچ جریان اطلاعاتي بین كلاسهاي امنيتي مختلف وجود ندارد ‎SC = {A,... An} #‏ "ا براي ...1 >1 داريم * لد بو ۳۸ به " براي ظ.. 1-1 ول 1داريم: ‎“A ,Ai>/ Aj"‏ ,۵تعریففشدملست By 1/1/85 

صفحه 7:
# تنها دو کلاس امنيتي بالا ( 01 و پایین (.1) وجود دارد * تنها جریان اطلاعات غیر مجاز از 11 به با است. ‎{H,L}®‏ - 50 وه - ‎(LED, (L,L),(H,H)}‏ 7 * عملیات ‎٩‏ به صورت زیر تعریف شده است L 81 < ۴ 1 L @=L" H @=H" دیاگرام ماس 1/1/85 ار 7 

صفحه 8:
"ا خطمشي جریان اطلاعات متضمن عدم وجود جریان غیرمجاز "گر 6 دوه د ط آنگاه 6 جه 8 © 2 Boos rea ‏تفت‎ 

صفحه 9:
* مشبک‌بودن, شرط کافي براي تضمین عدم وجود جریان غیرمجاز "" شرط مشبک‌بودن یک خطمشي (اصول موضوعه دنینگ): * متناهي بودن مجموعه‌ي کلاس‌هاي ‎SC‏ * جزناً مرتب بودن رابطه قابل جریان () روي ‎SC‏ " دارا بودن كران يايين نسبت به رابطهي ه- " كوجكترين كران بالاي كاملاً تعريفشده براي عملكر © ‎a‏ خطمشي بالا-پایین مشبک‌مبناست ‎9 cot rea ‏تفت‎ 

صفحه 10:
"" محدود بودن تعداد كلاسهاي امنيتي موجود در ‎SC‏ ‏تعداد كلاسهاي امنيتي موجود در 6 ثابت است "ا اما تعداد اشیاه مي نواند بصورت يويا تغيير کند اصول موضوعة مربوط به كلاسهاي امنيشي است نه اشیاه 10 1/1/85 

صفحه 11:
* «- یک رابطه ترتیب جزئي روي 961 است تعدي بدین معناست که اگر 8 < ۸۵و 0 - 3 آنگاه 6 + ل * اگر یک جریان غیر مستقیم از ۸ به 6 وجود داشته باشد. آنگاه یک جریان مستقیم از ۸ به ) مفروض است * در برخي سیستمهاء چنین فرضي درست نیست * مثلا در یک سیستم جریان از ] به سا تنها در صورت وجود یک دستگاه سنکرون کننده امکان پذیر است. يعني: ‎H-/LuwSan>-L,H- San‏ "" با توجه به خاصیت بازتابي و تعدي, خاصیت عدم تقارن به معناي حذف كلاسهاي امنيتي تكراري * 28 ۸و۸ د 8 لنكاء 8 > لم lines 1/1/85 

صفحه 12:
"" وجود كران يايين سآ براي ‎Lo A gx SC‏ # این اصل موضوعه به معناي وجود اطلاعات عمومي در سيستم است * به عنوان مثال. اطلاعات درباره ثابت ها باید اجازه جریان یافتن به هر شيء ديگري را داشته باشد 12 0 1/1/85 

صفحه 13:
* کاملا تعریف شده: 8 © ۸ براي هر جفت کلاس امنيتي متعلق به 962 تعریف شده باشد * عملگر پیوند یک کوچکترین کران بالاست * خاصیت اول: 3 © ۸ - .68 ۸ د ۸ " خاصيت دوم: اكر ل) جه هدو ن) < ظ آنگاه ت) + 98 كر "" كوجكترين كران بالا يك عملكر انجمني و جابجايي يذير است *" عملگر ييوند مي تواند به هر تعداد كلاس امنيتي اعمال شود. ‎An"‏ ..© 2ه 1م 1/1/85 ان 13 

صفحه 14:
* انتزاعي از خطمشي‌هاي مشبک‌مبنا * مشکل کانال‌هاي پنهان 2 دسته‌ي بزرگي از مدل‌هاي کنترل دسترسي اجباري» مشبک‌مبنا . مدلهاي بل لايادولاء بيباء دايون * خطمشي ديوار جيني 14 00 © Sh je il m= ‏اطلاعات‎ 

صفحه 15:
* ساده ترین شکل خط مشی جریان اطلاعات وقتی رخ می دهد که رابطه 080-1101 یک ترتیب کلي یا خطي از كلاسهاي امنیتی باشد. ۱ 1 * هیچ دو کلاس غیر قابل مقایسه اي وجود ندارد Ts ‏اين كلاسهاي امنيتي در سيستمهاي نظامي عبارتند از:‎ . 8 ‏(فوق‌سري‎ TS* يرس(٩‎ * 3 ‏(محرمانه)‎ * ‏لا(طبقه بندین شده)‎ * ‏ی‎ 1/1/85 اذك 15 

صفحه 16:
* شکل مقابل يك مشبك زيرمجموعه ‎(subset lattice)‏ را نشان مي دهد * رابطه ‎Can-flow‏ همان رابطه زیر مجموعه است * عملگر پیوند همان عملگر اجتماع }8{ ‎{A}‏ است % (category) abB,A®™ نامیده مي شوند {A,B} 1/1/85 انه 16 

صفحه 17:
* در محيطهاي نظامي, مشبک کاملا مرتب و مشبک زیر مجموعه با هم ادغام مي شوند * هر کلاس امنيتي دو مولفه دارد: * یک مولفه از مشبك كاملا مرتب * یک مولفه از مشبک زیر مجموعه "" یک برچسب بر برچسب دیگر تفوق دارد اگر مولفه هاي برچسب اول بر مولفه هاي برچسب دوم تفوق داشته باشند * حاصل پیوند دو برچسب. حاصل پیوند مولفه هاي مرتبط آنهاست 1/1/85 انه 17 

صفحه 18:
"" ايده اصلي ”811 افزودن خط مشى هاي اجباري به مدل كنترل دسترسي اختياري در جهت حصول خط مشي هاي جريان اطلاعات مي باشد * در مدل طباظ كنترل يك دسترسي دو مرحله دارد: * ابتدا مجازشناسي درخواست دسترسي بر اساس یک ماتریس دسترسي اختياري (1 " وسپس؛ مجازشناسي درخواست بر اساس خط مشي هاي اجباري 1/1/85 اذه 18 

صفحه 19:
* به هریک از موجودیت هاي سیستم یک برچسب امنيتي تخصیص داده مي شود * برچسبهاي اشیاء طبقه بندي امنيتي (56010[137 ‎Classification‏ نامیده مي شود ۴ برچسب کاربر مجوز امنيتي ‎(S@CUrity Clearance)‏ ناميده مي شود 8 یک کاربر مي تواند با عاملهايي با سطح امنيتي پائین تر از سطح امنيتي خودش وارد سيستم شود 1/1/85 اذم 19 

صفحه 20:
۸ نشاز برجسبهاي امنيتي منتسب به عاملها يا اشياء باشدء فان قبط عبارتند آژ: 1 ی 2767 ‎property}‏ -85): عامل 5 مي تواند شيء 0 را ‎wl 9‏ > ۶ ‎property) ay yey 2‏ عامل 5 مي تواند در شيء © بنويسد * اين دو قاعده از ديدكاه جريان اطلاعات قابل توجيهند * در عمل خواندن. جریان اطلاعات از شي به عامل است * در عمل نوشتنء جريان اطلاعات از عامل به شيء است * رابطه «- عكس رابطه تفوق است ۴ <ظ ب وريدم 2005) 1/1/85 

صفحه 21:
ديكر عملياتها بر اساس مدل 1311. همه عملياتهاي سيستم ماهيتي خواندني يا نوشتني دارند ‎alteration vs. observation)‏ * به عنوان مثال عملیات از بین بردن شيء (010[60 1651۳0[7)). از نوع نوشتني است. چراکه منجر به تفییر حالت شيء مي شود ‎ge ib Only ify “st” cool BLP 51,3 8‏ تنها شرط لازمند "" 55-07006171 در مورد کایبرلنو بسرنامه ها مورد لستفاده قرار مي‌گبرد ‎Property-* Li #‏ فقط در مورد برنامه هاست تي سري براي نوشتن در یک مستند طبقه بندي نشده مي تواند به عنوان یک عامل طبقه بندي نشده وارد سیستم شود 21 1/1/85 

صفحه 22:
* یک ایراد *-010[061/7] این است که یک عامل طبقه بندي نشده مي تواند در یک فایل سري بنویسد " براي جلوگيري از این مشکل صحت. خاصیت ستاره اصلاح شده ‎*-property)‏ 020016601 ارائه شده است كه در آن A(s) = A(o) 2205 1/1/85 

صفحه 23:
* مدلهاي کنترل دسترسي اجباري. مشکل کانالهاي ‎covert) Bie‏ ‎(channels‏ را حل تمي کنند * یک عامل سري. مي تواند مقدار زيادي حافظه در سیستم استفاده کند و یک عامل طبقه بندي نشده. مي تواند با بررسي حافظه موجود. از این قضیه مطلع شود * کانالهاي پنهان يکي از مشکلات اساسي در خط مشي هاي جریا اطلاعات هستند 2 ۲ "" مدلهاي مشبك - مبنا مشكل كانال ينهان را مورد توجه قرار نداده اند " اين مدلها به دنبال كنترل جريان اطلاعات بين اشيائى هستند كه صريحا به منظور به اشتراك كذاري و ردوبدل اطلاعات طراحي شده اند " مشكل جلوكيري از كانالهاي ينهان؛ يك مساله مهددسي محسوب مي گردد 1/1/85 ان و2 

صفحه 24:
* مفهوم اصلی در مدل 121108 این است که اطلاعات با صحت يائين نبايد به اشياء با صحت بالا جريان يابند در 1 حالي که عکس آن امکان پذیر است | 24051 1/1/85 

صفحه 25:
" اكر لدا برجسبهاي صحتي اشیاء و عاملها را نشان دهد. قوانین صحتي مدل 8112 عبارتند از: * خاصیت صحتي ‎Jele “Simple-integrity property) oo.‏ دمي تواند شيء 0 را بخواند اگر ‎ )0(‏ (5)ده * خاصیت ستاره صحتي ‎<dntegrity *-property)‏ عامل 5 مي تواند در شيء © بنويسد اكر (0)0) = ‎W(S)‏ ‏* رابطه «- معادل رابطه تفوق است ‎A-B @- BSA"‏ " اين دو خصيصه همزاد خصيصه هاي معادل در ‎sue BLP‏ 1/1/85 ان 25 

صفحه 26:
7 تفاوت عمده اي بین مدلهاي ‎Biba » BLP‏ وجود ندارد * هر دو سعي در کنترل جریان در مشبكي از كلاسهاي امنيتي دارند که در آن جریان اطلاعات در مشبک تنها در ٍ یک جهت مجاز است 1/1/85 إن 26 

صفحه 27:
و یب و نت ان مدلهاي 3102 , ‎BLP‏ را ادغام نمود ‎tical‏ تست نیک مو رنه زو برچسب استفاده شود . یک عامل تنها اجازه خواندن یا نوشتن در اشيائي را دارد که برچسبي برابر برچسب خود عامل دارند * خط مشي كلاسهاي مجزا *# بنابراين از دو برجسب امنيتى و صحتى استفاده مى كنيم 271 1/1/85 

صفحه 28:
* اگر ‎W‏ نشان دهنده برچسبهاي صحتي و ۱ نشان دهنده برچسبهاي امنیتی باشد. آنگاه: " عامل 5 مي تواند شيء 0 را بخواند. اگر (200 < (205 و > ‎(s)‏ ‎oo)‏ ~ * عامل 5 مي تواند در شي ۵ بنویسد (2)0 ک (2)6 و (0)مه = ‎w(s)‏ "" اين مدل عملا استفاده همزمان از دو مشبك است كه در آن اطلاعات در دو جهت متضاد حركت مى كند * در مشیک محرمانه بهٌ سمت بالا و ذر مشبک صحت به سمت پایین * مي توان با برعکس کردن مشبک صحت و ضرب این دو مشبک. به یک مشبک واحد رسید * خط مشي هاي جریان اطلاعات مشبک - مبنایی که چندین مشبک را ترکیب مي کنند مي توانند تبدیل به یک مشبک گردند" 285) 1/1/85 

صفحه 29:
"يك سه تابي (© ‎SC,‏ ‏* 50 مجموعدي كاارهائيمنيتيه شكل!6,1» كه در لن ‎i¢ IntegLvl = «,,,.. o,) ;¢ € ConfLvl = A,,.., 44) *‏ * تعداد كلاس‌هاي امنيتي: تعداد سطوح محرمانگي 6( تعداد سطوح صحتي ‎Ap Ws) > Ap, Og) *‏ لكر ‎q=s,r=p-1 *‏ * در سطوح محرمانگي, چریاناطلاعات از پایین‌ترین به بالائرين سطح ۴ یا 1+ < 5و ۲20 * در سطوح صحتي, چریان اطلاعت از بالاترين به بايينترين سطح ‎es Oy) 9 yy, Oy) = Amaxee2¢ Ominy,w) *‏ * )1 مر بالاترین سطح 

صفحه 30:
12 > 8 < 3 ‏نمودار هاس خطمشي تركيبي براي‎ ‏سیر‎ 2301 a Mea a ro, J "0 ‏ل‎ ‎Da. Dales \ | وهی 

صفحه 31:
‎a‏ مشبک‌مبنا بودن خطمشي تركيبي ثابت بودن مجموعه کلاس‌هاي امنيتي 21 جزتاً مرتب بودن رابطه‌ي > دارا بودن كوجكترين كران يايين نسبت به رابطه‌ي ‎TF‏ ‎ys Om) AS"‏ 1 کوچکترین کران بالاي کاملاً تعریف‌شده براي عملگر 9 * خطمشي تركيبي ضرب دو مشبک بل لاپادولا و بیبا * ضرب دو مشبک خود یک مشبک است 

صفحه 32:
Ravi S. Sandhu, “Lattice-Based Access Control Models”, IEEE Computer Society Press, 1993 Indrakshi Ray, Mahendra Kumar, “Towards a location-based mandatory access control model’, Computer & Security, 2006 D. Bell and L. LaPadula, “Secure Computer Systems: Mathematical Foundations’, Technical Report MTR-2547, Vol. I, MITRE Corporation, 1973. 1/1/85 ان 32