مروری بر مدل های کنترل دسترسی مشبک-مبنا

مروری بر مدل های کنترل دسترسی مشبک-مبنا

اسلاید 1: مروري بر مدلهاي کنترل دسترسي مشبک-مبناجعفرهادي جعفريانjafarian@ce.sharif.edu

اسلاید 2: 15/11/852 از 29مقدمهمحرمانگي، جلوگيري از افشاي غيرمجاز اطلاعاتصحت، جلوگيري از تغيير غيرمجاز اطلاعاتدسترس پذيري، با جلوگيري از منع دسترسي (DoS)هدف مدلهاي کنترل دسترسي مشبک- مبنا، کنترل جريان اطلاعات استدر کنترل جريان اطلاعاتمحرمانگي هدف مرکزي استصحت تا حدي مورد نظر استدسترس پذيري اهميت چنداني ندارد

اسلاید 3: کنترل جريان اطلاعاتتعيين مسيرهاي مجاز و جلوگيري از جريان‌‌هاي غيرمجاز با هدفحفظ محرمانگيجلوگيري از جاري‌‌شدن اطلاعات به سوي موجوديت‌‌هاي غيرمجازحفظ صحتجلوگيري از جاري‌‌شدن اطلاعات به سوي موجوديت‌‌هاي با صحت پايين15/11/853 از 29

اسلاید 4: کنترل جريان اطلاعات: رويکردهادو رويکرد کلي بيان خصوصيات مورد انتظار امنيتي در فرايند توليد با رويه‌‌هاي مهندسي نرم‌‌افزار استفاده از مدل‌‌هاي کنترل دسترسي مشبک‌‌مبناانتزاعي از خط‌‌مشي‌‌هاي مشبک‌‌مبنانوع خاصي از خط‌‌مشي‌‌هاي جريان اطلاعات15/11/854 از 29

اسلاید 5: 15/11/855 از 29خط مشي هاي جريان اطلاعاتهدف: کنترل جريان اطلاعات بين کلاسهاي امنيتيبه هر شيء يک کلاس امنيتي تخصيص داده مي شودتعريف خط مشي جريان اطلاعات (Denning):يک سه تايي <SC,→, > که در آن SC مجموعه اي از کلاسهاي امنيتي است، →SC*SC يک رابطه دوتايي به نام can-flow روي SC است و :SC * SC → SC يک عملگر پيوند روي SC است، َA B = C : اشيائي که شامل اطلاعاتي از کلاسهاي امنيتي A و B هستند باکلاس امنيتي C بايد برچسب گذاري شوند

اسلاید 6: 15/11/856 از 29کلاسهاي مجزا (Isolated Classes)يک مثال بديهي از يک خط مشي جريان اطلاعاتهيچ جريان اطلاعاتي بين کلاسهاي امنيتي مختلف وجود نداردSC = {A1…,An}براي i=1...n داريم Ai →Ai و Ai Ai=Aiبراي i,j=1..n و i j داريم:Ai →/ Aj و Ai Aj تعريف نشده است

اسلاید 7: 15/11/857 از 29خط مشي بالا - پايينتنها دو کلاس امنيتي بالا (H) و پايين (L) وجود داردتنها جريان اطلاعات غير مجاز از H به L است.SC = {H,L} و → = {(H,H),(L,L),(L,H)}عمليات به صورت زير تعريف شده استL H = HL L = LH L = Hدياگرام هاس

اسلاید 8: يک مدل آگاه از زمينه‌ي کنترل جريان اطلاعات - جعفرهادي جعفريان8 از 55خط‌‌مشي جريان اطلاعات متضمن عدم وجود جريان غيرمجاز نيستاگر a  c و b  c آنگاه a  b  c خط‌‌مشي مشبک‌‌مبنا ecab

اسلاید 9: يک مدل آگاه از زمينه‌ي کنترل جريان اطلاعات - جعفرهادي جعفريان9 از 55 خط‌‌مشي مشبک‌‌مبنا (ادامه)مشبک‌‌بودن، شرط کافي براي تضمين عدم وجود جريان غيرمجازشرط مشبک‌‌بودن يک خط‌‌مشي (اصول موضوعه دنينگ):متناهي بودن مجموعه‌‌ي کلاس‌‌هاي SCجزئاً مرتب بودن رابطه قابل جريان () روي SCدارا بودن کران پايين نسبت به رابطه‌‌ي کوچکترين کران بالاي کاملاً تعريف‌‌شده براي عملگر خط‌‌مشي بالا-پايين مشبک‌‌مبناست

اسلاید 10: 15/11/8510 از 29اصل موضوعه اول Denningمحدود بودن تعداد کلاسهاي امنيتي موجود در SCتعداد کلاسهاي امنيتي موجود در SC ثابت استاما تعداد اشياء مي تواند بصورت پويا تغيير کنداصول موضوعه مربوط به کلاسهاي امنيتي است نه اشياء

اسلاید 11: 15/11/8511 از 29اصل موضوعه دوم Denning→ يک رابطه ترتيب جزئي روي SC استتعدي بدين معناست که اگر A → B و B → C آنگاه A → C اگر يک جريان غير مستقيم از A به C وجود داشته باشد، آنگاه يک جريان مستقيم از A به C مفروض استدر برخي سيستمها، چنين فرضي درست نيستمثلا در يک سيستم جريان از H به L تنها در صورت وجود يک دستگاه سنکرون کننده امکان پذير است، يعني:H → San و San → L اما H → / Lبا توجه به خاصيت بازتابي و تعدي، خاصيت عدم تقارن به معناي حذف کلاسهاي امنيتي تکراري استA →B و B → A آنگاه A = B

اسلاید 12: 15/11/8512 از 29اصل موضوعه سوم Denningوجود کران پايين L براي SC، يعني L → A اين اصل موضوعه به معناي وجود اطلاعات عمومي در سيستم استبه عنوان مثال، اطلاعات درباره ثابت ها بايد اجازه جريان يافتن به هر شيء ديگري را داشته باشد

اسلاید 13: 15/11/8513 از 29اصل موضوعه چهارم Denningکاملا تعريف شده: A B براي هر جفت کلاس امنيتي متعلق به SC تعريف شده باشدعملگر پيوند يک کوچکترين کران بالاستخاصيت اول: A → A B، B → A Bخاصيت دوم: اگر A → C و B → C آنگاه A B → Cکوچکترين کران بالا يک عملگر انجمني و جابجايي پذير استعملگر پيوند مي تواند به هر تعداد کلاس امنيتي اعمال شود، A1 A2 … An

اسلاید 14: يک مدل آگاه از زمينه‌ي کنترل جريان اطلاعات - جعفرهادي جعفريان14 از 55مدل‌‌هاي کنترل دسترسي مشبک‌‌مبناانتزاعي از خط‌‌مشي‌‌هاي مشبک‌‌مبنامشکل کانال‌‌هاي پنهاندسته‌‌ي بزرگي از مدل‌‌هاي کنترل دسترسي اجباري، مشبک‌‌مبنا هستند.مدل‌‌هاي بل‌‌لاپادولا، بيبا، دايونخط‌‌مشي ديوار چيني

اسلاید 15: 15/11/8515 از 29مشبک نظاميساده ترين شکل خط مشي جريان اطلاعات وقتي رخ مي دهد که رابطه can-flow يک ترتيب کلي يا خطي از کلاسهاي امنيتي باشد.هيچ دو کلاس غير قابل مقايسه اي وجود ندارداين کلاسهاي امنيتي در سيستمهاي نظامي عبارتند از:TS (فوق سري)، S(سري)C(محرمانه)U(طبقه بندي نشده)

اسلاید 16: 15/11/8516 از 29مشبک نظامي (ادامه)شکل مقابل يک مشبک زيرمجموعه (subset lattice) را نشان مي دهدرابطه can-flow همان رابطهزير مجموعه استعملگر پيوند همان عملگر اجتماع استA و B طبقه (category)ناميده مي شوند

اسلاید 17: 15/11/8517 از 29مشبک نظامي (ادامه)در محيطهاي نظامي، مشبک کاملا مرتب و مشبک زير مجموعه با هم ادغام مي شوندهر کلاس امنيتي دو مولفه دارد:يک مولفه از مشبک کاملا مرتبيک مولفه از مشبک زير مجموعهيک برچسب بر برچسب ديگر تفوق دارد اگر مولفه هاي برچسب اول بر مولفه هاي برچسب دوم تفوق داشته باشندحاصل پيوند دو برچسب، حاصل پيوند مولفه هاي مرتبط آنهاست

اسلاید 18: 15/11/8518 از 29مدل Bell-LaPadulaايده اصلي BLP افزودن خط مشی هاي اجباري به مدل کنترل دسترسي اختياري در جهت حصول خط مشي هاي جريان اطلاعات مي باشددر مدل BLP کنترل يک دسترسي دو مرحله دارد:ابتدا مجازشناسي درخواست دسترسي بر اساس يک ماتريس دسترسي اختياري Dو سپس، مجازشناسي درخواست بر اساس خط مشي هاي اجباري

اسلاید 19: 15/11/8519 از 29مدل Bell-LaPadula(ادامه)به هريک از موجوديت هاي سيستم يک برچسب امنيتي تخصيص داده مي شودبرچسبهاي اشياء طبقه بندي امنيتي (security classification) ناميده مي شودبرچسب کاربر، مجوز امنيتي (security clearance) ناميده مي شوديک کاربر مي تواند با عاملهايي با سطح امنيتي پائين تر از سطح امنيتي خودش وارد سيستم شود

اسلاید 20: 15/11/8520 از 29مدل Bell-LaPadula(ادامه)اگر λ نشانگر برچسبهاي امنيتي منتسب به عاملها يا اشياء باشد، قوانين BLP عبارتند از:خاصيت امنيتي ساده (ss-property): عامل s مي تواند شيء o را بخواند اگر λ(s)≥ λ(o)خاصيت ستاره (*-property): عامل s مي تواند در شيء o بنويسد اگر λ(s) ≤ λ(o)اين دو قاعده از ديدگاه جريان اطلاعات قابل توجيهنددر عمل خواندن، جريان اطلاعات از شي به عامل استدر عمل نوشتن، جريان اطلاعات از عامل به شيء استرابطه → عکس رابطه تفوق استA → B  B ≥ A

اسلاید 21: 15/11/8521 از 29مدل Bell-LaPadula(ادامه)ديگر عملياتهابر اساس مدل BLP، همه عملياتهاي سيستم ماهيتي خواندني يا نوشتني دارند (alteration vs. observation)به عنوان مثال عمليات از بين بردن شيء (destroy object)، از نوع نوشتني است، چراکه منجر به تغيير حالت شيء مي شودقوانين BLP ماهيت ”اگر“ (only if) دارند، چون تنها شرط لازمندss-property در مورد کاربران و برنامه ها مورد استفاده قرار مي گيرداما *-property فقط در مورد برنامه هاستکاربري با برچسب امنيتي سري براي نوشتن در يک مستند طبقه بندي نشده مي تواند به عنوان يک عامل طبقه بندي نشده وارد سيستم شود

اسلاید 22: 15/11/8522 از 29مدل Bell-LaPadula(ادامه)يک ايراد *-property اين است که يک عامل طبقه بندي نشده مي تواند در يک فايل سري بنويسدبراي جلوگيري از اين مشکل صحت، خاصيت ستاره اصلاح شده (modified *-property) ارائه شده است که در آن λ(s) = λ(o)

اسلاید 23: 15/11/8523 از 29مدل Bell-LaPadula(ادامه)مدلهاي کنترل دسترسي اجباري، مشکل کانالهاي پنهان (covert channels) را حل نمي کننديک عامل سري، مي تواند مقدار زيادي حافظه در سيستم استفاده کند و يک عامل طبقه بندي نشده، مي تواند با بررسي حافظه موجود، از اين قضيه مطلع شودکانالهاي پنهان يکي از مشکلات اساسي در خط مشي هاي جريان اطلاعات هستندمدلهاي مشبک – مبنا مشکل کانال پنهان را مورد توجه قرار نداده انداين مدلها به دنبال کنترل جريان اطلاعات بين اشيائي هستند که صريحا به منظور به اشتراک گذاري و ردوبدل اطلاعات طراحي شده اندمشکل جلوگيري از کانالهاي پنهان، يک مساله مهندسي محسوب مي گردد

اسلاید 24: 15/11/8524 از 29مدل Bibaمفهوم اصلي در مدل Biba اين است که اطلاعات با صحت پائين نبايد به اشياء با صحت بالا جريان يابند در حالي که عکس آن امکان پذير است

اسلاید 25: 15/11/8525 از 29مدل Bibaاگر ω برچسبهاي صحتي اشياء و عاملها را نشان دهد، قوانين صحتي مدل Biba عبارتند از:خاصيت صحتي ساده (simple-integrity property): عامل s مي تواند شيء o را بخواند اگر ω(s) ≤ ω(o)خاصيت ستاره صحتي (integrity *-property): عامل s مي تواند در شيء o بنويسد اگر ω(s) ≥ ω(o)رابطه → معادل رابطه تفوق استA → B  B ≤ Aاين دو خصيصه همزاد خصيصه هاي معادل در BLP هستند

اسلاید 26: 15/11/8526 از 29ادغام مدلهاي Biba و BLPتفاوت عمده اي بين مدلهاي BLP و Biba وجود نداردهر دو سعي در کنترل جريان در مشبکي از کلاسهاي امنيتي دارند که در آن جريان اطلاعات در مشبک تنها در يک جهت مجاز است

اسلاید 27: 15/11/8527 از 29ادغام مدلهاي Biba و BLP (ادامه)در محيطهايي که محرمانگي و صحت هردو مورد نظرند مي توان مدلهاي Biba و BLP را ادغام نموداگر براي نمايش سطح صحت و امنيتي موجوديتها تنها از يک برچسب استفاده شوديک عامل تنها اجازه خواندن يا نوشتن در اشيائي را دارد که برچسبي برابر برچسب خود عامل دارندخط مشي کلاسهاي مجزابنابراين از دو برچسب امنيتي و صحتي استفاده مي کنيم

اسلاید 28: 15/11/8528 از 29ادغام مدلهاي Biba و BLP (ادامه)اگر ω نشان دهنده برچسبهاي صحتي و λ نشان دهنده برچسبهاي امنيتي باشد، آنگاه:عامل s مي تواند شيء o را بخواند، اگر λ(s) ≥ λ(o) و ω(s) ≤ ω(o)عامل s مي تواند در شي o بنويسد λ(s) ≤ λ(o) و ω(s) ≥ ω(o)اين مدل عملا استفاده همزمان از دو مشبک است که در آن اطلاعات در دو جهت متضاد حرکت مي کنددر مشبک محرمانه به سمت بالا و در مشبک صحت به سمت پايينمي توان با برعکس کردن مشبک صحت و ضرب اين دو مشبک، به يک مشبک واحد رسيدخط مشي هاي جريان اطلاعات مشبک – مبنايي که چندين مشبک را ترکيب مي کنند مي توانند تبديل به يک مشبک گردند

اسلاید 29: ادغام مدلهاي Biba و BLP (ادامه)يک سه تايي SC,→, SC مجموعه‌‌ي کلاس‌‌هاي امنيتي به شکل c,i که در آنc  ConfLvl = n,.., 1 و i  IntegLvl = m,.. 1تعداد کلاس‌‌هاي امنيتي: تعداد سطوح محرمانگي تعداد سطوح صحتيr, s  p, q اگر r = p-1 و q=sدر سطوح محرمانگي، جريان اطلاعات از پايين‌‌ترين به بالاترين سطح يا s = q+1 و r=pدر سطوح صحتي، جريان اطلاعات از بالاترين به پايين‌‌ترين سطحx, y  z, w = max(x,z), min(y,w) n, 1 بالاترين سطح

اسلاید 30: ادغام مدلهاي Biba و BLP (ادامه)نمودار هاس خط‌‌مشي ترکيبي براي m = n = 3312132221133122313مفاهيم اوليهنيازهاي امنيتي محيط‌‌هاي جديدمدل CAMACگويايي مدل CAMACCAMAC به عنوان يک مدل مشبک‌‌مبناارزيابيجمع‌‌بندي

اسلاید 31: ادغام مدلهاي Biba و BLP (ادامه)مشبک‌‌مبنا بودن خط‌‌مشي ترکيبي ثابت بودن مجموعه کلاس‌‌هاي امنيتي  جزئاً مرتب بودن رابطه‌‌ي  دارا بودن کوچکترين کران پايين نسبت به رابطه‌‌ي کلاس 1, m کوچکترين کران بالاي کاملاً تعريف‌‌شده براي عملگر خط‌‌مشي ترکيبي ضرب دو مشبک بل‌‌لاپادولا و بيباضرب دو مشبک خود يک مشبک است

اسلاید 32: 15/11/8532 از 29منابعRavi S. Sandhu, “Lattice-Based Access Control Models”, IEEE Computer Society Press, 1993Indrakshi Ray, Mahendra Kumar, “Towards a location-based mandatory access control model”, Computer & Security, 2006D. Bell and L. LaPadula, “Secure Computer Systems: Mathematical Foundations”, Technical Report MTR-2547, Vol. I, MITRE Corporation, 1973.