مروری بر مدلهای کنترل دسترسی شبکه-مبنا
15/11/85
2 از 29
مقدمه
مقدمه
محرمانگی، مرتبط با افشای اطلاعات
جامعیت، مرتبط با تغییر اطلاعات
دسترس پذیری، مرتبط با منع دسترسی (DoS)
هدف مدلهای کنترل دسترسی شبکه – مبنا، کنترل جریان اطلاعات است
در کنترل جریان اطلاعات
محرمانگی هدف مرکزی است
جامعیت تا حدی مورد نظر است
دسترس پذیری اهمیت چندانی ندارد
15/11/85
3 از 29
خط مشی های جریان اطلاعات
هدف: کنترل جریان اطلاعات بین کلاسهای امنیتی
به هر شیء یک کلاس امنیتی تخصیص داده می شود
تعریف خط مشی جریان اطلاعات (Denning):
یک سه تایی <SC,→, > که در آن SC مجموعه ای از کلاسهای امنیتی است، →SC*SC یک رابطه دوتایی به نام can-flow روی SC است و :SC * SC → SC یک عملگر پیوند روی SC است،
َA B = C : اشیائی که شامل اطلاعاتی از کلاسهای امنیتی A و B هستند باکلاس امنیتی C باید برچسب گذاری شوند
15/11/85
4 از 29
کلاسهای مجزا (Isolated Classes)
یک مثال بدیهی از یک خط مشی جریان اطلاعات
هیچ جریان اطلاعاتی بین کلاسهای امنیتی مختلف وجود ندارد
SC = {A1…,An}
برای i=1…n داریم
Ai →Ai و Ai Ai=Ai
برای i,j=1..n و i j داریم:
Ai →/ Aj و Ai Aj تعریف نشده است
15/11/85
5 از 29
خط مشی بالا – پایین
تنها دو کلاس امنیتی بالا (H) و پایین (L) وجود دارد
تنها جریان اطلاعات غیر مجاز از H به L است.
SC = {H,L} و → = {(H,H),(L,L),(L,H)}
عملیات به صورت زیر تعریف شده است
L H = H
L L = L
H L = H
دیاگرام هاس
15/11/85
6 از 29
اصول موضوعه Denning
Denning نشان داد که تحت مفروضات خاصی، یک خط مشی جریان اطلاعات یک شبکه متناهی را تشکیل می دهد
مجموعه کلاسهای امنیتی SC محدود باشد
رابطه can-flow (→)، روی SC یک رابطه ترتیب جزئی باشد
SC نسبت به → یک کران پایین داشته باشد (وجود کران بالا)
عملگر + کوچکترین کران بالا (LUB)ی کاملا تعریف شده باشد
خط مشی کلاسهای مجزا (فاقد اصول موضوعه 3 و 4)
خط مشی بالا – پایین: همه اصول را شامل می گردد
15/11/85
7 از 29
اصل موضوعه اول Denning
محدود بودن تعداد کلاسهای امنیتی موجود در SC
تعداد کلاسهای امنیتی موجود در SC ثابت است
اما تعداد اشیاء می تواند بصورت پویا تغییر کند
اصول موضوعه مربوط به کلاسهای امنیتی است نه اشیاء
15/11/85
8 از 29
اصل موضوعه دوم Denning
→ یک رابطه ترتیب جزئی روی SC است
تعدی بدین معناست که اگر A → B و B → C آنگاه A → C
اگر یک جریان غیر مسقتیم از A به C وجود داشته باشد، آنگاه یک جریان مستقیم از A به C مفروض است
در برخی سیستمها، چنین فرضی درست نیست
مثلا در یک سیستم جریان از H به L تنها در صورت وجود یک دستگاه سنکرون کننده امکان پذیر است، یعنی:
H → San و San → L اما H → / L
با توجه به خاصیت بازتابی و تعدی، خاصیت عدم تقارن به معنای حذف کلاسهای امنیتی تکراری است
A →B و B → A آنگاه A = B
15/11/85
9 از 29
اصل موضوعه سوم Denning
وجود کران پایین L برای SC، یعنی L → A
این اصل موضوعه به معنای وجود اطلاعات عمومی در سیستم است
به عنوان مثال، اطلاعات درباره ثابت ها باید اجازه جریان یافتن به هر شیء دیگری را داشته باشد
15/11/85
10 از 29
اصل موضوعه چهارم Denning
کاملا تعریف شده: A B برای هر جفت کلاس امنیتی متعلق به SC تعریف شده باشد
عملگر پیوند یک کوچکترین کران بالاست
خاصیت اول: A → A B، B → A B
خاصیت دوم: اگر A → C و B → C آنگاه A B → C
کوچکترین کران بالا یک عملگر انجمنی و جابجایی پذیر است
عملگر پیوند می تواند به هر تعداد کلاس امنیتی اعمال شود،
A1 A2 … An
15/11/85
11 از 29
رابطه تفوق (Dominance)
عکس رابطه Can-flow
A ≥ B (A بر B تفوق دارد) اگر و تنها اگر B → A.
A و B قابل مقایسه هستند اگر یا A ≥ B یا B ≥ A
15/11/85
12 از 29
شبکه نظامی
ساده ترین شکل خط مشی جریان اطلاعات وقتی رخ می دهد که رابطه can-flow یک ترتیب کلی یا خطی از کلاسهای امنیتی باشد.
هیچ دو کلاس غیر قابل مقایسه ای وجود ندارد
این کلاسهای امنیتی در سیستمهای نظامی عبارتند از:
TS (فوق سری)،
S(سری)
C(محرمانه)
U(طبقه بندی نشده)
15/11/85
13 از 29
شبکه نظامی (ادامه)
شکل مقابل یک شبکه زیرمجموعه (subset lattice) را نشان می دهد
رابطه can-flow همان رابطه
زیر مجموعه است
عملگر پیوند همان عملگر اجتماع
است
A و B طبقه (category)
نامیده می شوند
15/11/85
14 از 29
شبکه نظامی (ادامه)
در محیطهای نظامی، شبکه کاملا مرتب و شبکه زیر مجموعه با هم ادغام می شوند
هر کلاس امنیتی دو مولفه دارد:
یک مولفه از شبکه کاملا مرتب
یک مولفه از شبکه زیر مجموعه
یک برچسب بر برچسب دیگر تفوق دارد اگر مولفه های برچسب اول بر مولفه های برچسب دوم تفوق داشته باشند
حاصل پیوند دو برچسب، حاصل پیوند مولفه های مرتبط آنهاست
15/11/85
15 از 29
مدل Bell-LaPadula
ایده اصلی BLP افزودن خط مشهای اجباری به مدل کنترل دسترسی اختیاری در جهت حصول خط مشی های جریان اطلاعات می باشد
در مدل BLP کنترل یک دسترسی دو مرحله دارد:
ابتدا مجازشناسی درخواست دسترسی بر اساس یک ماتریس دسترسی اختیاری D
و سپس، مجازشناسی درخواست بر اساس خط مشی های اجباری
15/11/85
16 از 29
مدل Bell-LaPadula(ادامه)
به هریک از موجودیت های سیستم یک برچسب امنیتی تخصیص داده می شود
برچسبهای اشیاء طبقه بندی امنیتی (security classification) نامیده می شود
برچسب کاربر، مجوز امنیتی (security clearance) نامیده می شود
یک کاربر می تواند با عاملهایی با سطح امنیتی پائین تر از سطح امنیتی خودش وارد سیستم شود
قاعده آرامش (Tranquility): برچسبهای امنیتی پس از انتساب نمی توانند تغییر کنند
15/11/85
17 از 29
مدل Bell-LaPadula(ادامه)
اگر λ نشانگر برچسبهای امنیتی منتسب به عاملها یا اشیاء باشد، قوانین BLP عبارتند از:
خاصیت امنیتی ساده (ss-property): عامل s می تواند شیء o را بخواند اگر λ(s)≥ λ(o)
خاصیت ستاره (*-property): عامل s می توان در شیء o بنویسد اگر λ(s) ≤ λ(o)
این دو قاعده از دیدگاه جریان اطلاعات قابل توجیهند
در عمل خواندن، جریان اطلاعات از شی به عامل است
در عمل نوشتن، جریان اطلاعات از عامل به شیء است
15/11/85
18 از 29
مدل Bell-LaPadula(ادامه)
دیگر عملیاتها
بر اساس مدل BLP، همه عملیاتهای سیستم ماهیتی خواندنی یا نوشتنی دارند (alteration vs. observation)
به عنوان مثال عملیات از بین بردن شیء (destroy object)، از نوع نوشتنی است، چراکه منجر به تغییر حالت شیء می شود
قوانین BLP ماهیت ”اگر“ (only if) دارند، چون تنها شرط لازمند
ss-property در مورد کاربران و برنامه ها مورد استفاده قرار می گیرد
اما *-property فقط در مورد برنامه هاست
کاربری با برچسب امنیتی سری برای نوشتن در یک مستند طبقه بندی نشده می تواند به عنوان یک عامل طبقه بندی نشده وارد سیستم شود
15/11/85
19 از 29
مدل Bell-LaPadula(ادامه)
یک ایراد *-property این است که یک عامل طبقه بندی نشده می تواند در یک فایل سری بنویسد
برای جلوگیری از این مشکل جامعیت، خاصیت ستاره اصلاح شده (modified *-property) ارائه شده است که در آن λ(s) = λ(o)
15/11/85
20 از 29
مدل Bell-LaPadula(ادامه)
مدلهای کنترل دسترسی اجباری، مشکل کانالهای پنهان (covert channels) را حل نمی کنند
یک عامل سری، می تواند مقدار زیادی حافظه در سیستم استفاده کند و یک عامل طبقه بندی نشده، می تواند با بررسی حافظه موجود، از این قضیه مطلع شود
کانالهای پنهان یکی از مشکلات اساسی در خط مشی های جریان اطلاعات هستند
مدلهای شبکه – مبنا مشکل کانال پنهان را مورد توجه قرار نداده اند
این مدلها به دنبال کنترل جریان اطلاعات بین اشیائی هستند که صریحا به منظور به اشتراک گذاری و ردوبدل اطلاعات طراحی شده اند
مشکل جلوگیری از کانالهای پنهان، یک مساله مهندسی محسوب می گردد
15/11/85
21 از 29
مدل Bell-LaPadula(ادامه)
بر اساس فرض آرامش، برچسبهای امنیتی عاملها و اشیاء پس از انتساب اولیه تغییر نخواهد کرد
می توان این فرض را به طرق مختلفی راحت تر کرد
مثلا، یک عامل می تواند برچسب امنیتی یک شیء را تغییر دهد به شرط آنکه λ(s) = λ(o) و λ’(o) > λ(o)
این یک تغییر امن است، چرا که منجر به جریان اطلاعات از سری به طبقه بندی نشده نمی گردد
15/11/85
22 از 29
مدل Biba
مفهوم اصلی در مدل Biba این است که اطلاعات با جامعیت پائین نباید به اشیاء با جامعیت بالا جریان یابند در حالی که عکس آن امکان پذیر است
اطلاعات با جامعیت بالا در بالای شبکه قرار می گیرند و اطلاعات با جامعیت پائین در پائین شبکه و جریان اطلاعات از بالا به پائین است
این دقیقا عکس مدل BLP و اصول موضوعه Denning است
15/11/85
23 از 29
مدل Biba
اگر ω برچسبهای جامعیتی اشیاء و عاملها را نشان دهد، قوانین جامعیتی مدل Biba عبارتند از:
خاصیت جامعیتی ساده (simple-integrity property): عامل s می تواند شیء o را بخواند اگر ω(s) ≤ ω(o)
خاصیت ستاره جامعیتی (integrity *-property): عامل s می تواند در شیء o بنویسد اگر ω(s) ≥ ω(o)
این دو خصیصه همزاد خصیصه های معادل در BLP هستند
15/11/85
24 از 29
ادغام مدلهای Biba و BLP
قرار دادن جامعیت بالا در بالای شبکه، امری قراردادی است
تفاوت عمده ای بین مدلهای BLP و Biba وجود ندارد
هر دو سعی در کنترل جریان در شبکه ای از کلاسهای امنیتی دارند که در آن جریان اطلاعات در شبکه تنها در یک جهت مجاز است
این جهت در مدل BLP رو به بالاست و در مدل Biba رو به پایین
15/11/85
25 از 29
ادغام مدلهای Biba و BLP (ادامه)
در محیطهایی که محرمانگی و جامعیت هردو مورد نظرند می توان مدلهای Biba و BLP را ادغام نمود
اگر برای نمایش سطح جامعیت و امنیتی موجودیتها تنها از یک برچسب استفاده شود
یک عامل تنها اجازه خواندن یا نوشتن در اشیائی را دارد که برچسبی برابر برچسب خود عامل دارند
خط مشی کلاسهای مجزا
بنابراین از دو برچسب امنیتی و جامعیتی استفاده می کنیم
15/11/85
26 از 29
ادغام مدلهای Biba و BLP (ادامه)
اگر ω نشان دهنده برچسبهای جامعیتی و λ نشان دهنده برچسبهای امنیتی باشد، آنگاه:
عامل s می تواند شیء o را بخواند، اگر λ(s) ≥ λ(o) و ω(s) ≤ ω(o)
عامل s می تواند در شی o بنویسد λ(s) ≤ λ(o) و ω(s) ≥ ω(o)
این مدل عملا استفاده همزمان از دو شبکه است که در آن اطلاعات در دو جهت متضاد حرکت می کند
در شبکه محرمانه به سمت بالا و در شبکه جامعیت به سمت پایین
می توان با برعکس کردن شبکه جامعیت و ضرب این دو شبکه، به یک شبکه واحد رسید
خط مشی های جریان اطلاعات شبکه – مبنایی که چندین شبکه را ترکیب می کنند می توانند تبدیل به یک شبکه گردند
15/11/85
27 از 29
ادغام مدلهای Biba و BLP (ادامه)
بیشترین دسترسی عاملهایی با برچسب ردیف به اشیائی با برچسب ستون
15/11/85
28 از 29
ادغام مدلهای Biba و BLP (ادامه)
کلاسهای حاصل از ادغام Biba و BLP با جریان پایین به بالا
15/11/85
29 از 29
منابع
Ravi S. Sandhu, “Lattice-Based Access Control Models”, IEEE Computer Society Press, 1993
Indrakshi Ray, Mahendra Kumar, “Towards a location-based mandatory access control model”, Computer & Security, 2006
D. Bell and L. LaPadula, “Secure Computer Systems: Mathematical Foundations”, Technical Report MTR-2547, Vol. I, MITRE Corporation, 1973.