Security models
-
Upload
konrad-russa -
Category
Education
-
view
167 -
download
0
Transcript of Security models
Modele teoretycznych ograniczeń systemów bezpieczeństwa teleinformatycznego
• rozszerzenie modelu macierzowego• wyprowadzane wnioski związane są z teorią obliczalności• zadaniem jest wykazanie m. in. Formalnych ograniczeń abstrakcyjnego
systemu bezpieczeństwa informacji
Model Grahama-Denninga
• wczesne lata 70-te• koncepcja formalnego systemu reguł ochrony informacji• podstawami elementarnymi są:
– zbiór podmiotów S, – zbiór obiektów O– zmodyfikowana macierz dostępu A• macierz dostepu ma jeden wiersz dla każdego podmiotu i jedną
kolumnę dla każdego podmiotu i każdego obiektu• prawa (włąsności, czytania, kasowania itd.) podmiotu do innego
podmiotu lub obiektu zaznaczone są w odpowiednim elemencie macierzy
• podmiot oznaczony jako włąściciel (ang. owner) każdego z obiektów ma specjalne prawa
• podmiot oznaczony jako sterujący (ang. control) każdego innego podmiotu ma specjalne prawa
Model Grahama-Denninga cd.
• osiem podstawowych reguł ochrony wyrażonych w postaci poleceń realizowanych przez podmiot, oddziaływujących na inny podmiot lub obiekt. – create_object – obiekt wydający polecenie może wprowadzić nowy obiekt do systemu– create_subject, delete_object, delete_subject – umożliwoają utworzyć lub wykasować
podmiot lub obiekt– read_access_right – pozwala podmiotowi ustalić aktualne prawa dostępu podmiotu do
obiektu– grant_access_right – pozwala właścicielowi obiektu przenieść prawa dostępu do
obiektu na inny podmiot (prawo przenoszalne)– delete_access_right – pozwala podmiotowi skasować prawa dostępu do obiektu
posiadane przez inny podmiot pod warunkiem, że kasujący podmiot jest właścicielem obiektu albo steruje podmiotem, którego prawa kasuje
– transfer_access_right – pozwala podmiotowi przenieść prawo dostępu do obiektu na inny podmiot z jednoczesną utratą tego prawa (prawo nieprzenoszalne)
Model Grahama-Denninga cd.• prawa mogą być przenoszalne (r*) i nieprzanoszalne (r)
– podmiot posiadający prawo przenoszalne, może to prawo przenieść na inny podmiot bez utraty posiadanego prawa
– podmiot posiadający prawo nieprzenoszalne
• macierz uprawnień oznaczana jest jako A[si,oj], gdzie si jest podmiotem, a oj jest obiektem, x to podmiot wykonujący polecenie
Polecenie Warunek wstępny Wynik
Create object o ---- Add column for o in A;place owner in A[x,o]
Create subject s ---- Add row for s in A;place control in A[x,o]
Delete object o Owner in A[x,o] Delete column o
Delete subject s Control in A[x,s] Delete row s
Read access right of s on o Control in A[x,s] or owner in A[x,o]
Copy A[s,o] to x
Delete access right of s on o Control in A[x,s] or owner in A[x,o]
Remove r from A[s,o]
Grant access right to s on o
Owner in A[x,o] Add r to A[s,o]
Transfer access right r or r* to s on o r* in A[x,o]
Add r or r* to A[s,o]
Model Harrisona-Ruzzo-Ullmana (HRU)• jest wariantem modelu Grahama-Denninga• wykorzystuje polecenia (ang. command), które wyprowadzają warunki i operacje
elementarne
command name (o1, o2,…,ok)if r1 in A[s1,o1] and
r2 in A[s2,o2] and..rm in A[sm,om] and
thenop1
op2
.
.opn
end
Model Harrisona-Ruzzo-Ullmana (HRU) cd.• struktura polecenia przypomina procedurę z parametrami od o1 do om
• Różnica w stosunku do modelu Grahama-Denninga polega na tym że każdy podmiot jest też obiektem
• kolumny macierzy dostępu obejmują wszystkie podmioty i obiekty (z tego powodu wszystkie wszystkie parametry poleceń są etykietowane jako o)
• każde prawo r jest prawem ogólnym (obejmuje różne możliwości dostępu, w macierzy dostępu są wyspecyfikowane konkretne prawa na przecięciu poszczególnych kolumn i wierszy)
• każda operacja op jest elementarna z podanej listy:– create subject s– create object o– destroy subject s– destroy object o– enter right r into A[s,o]– delete right r from A[s,o]
Model Harrisona-Ruzzo-Ullmana (HRU) cd.
• system ochrony informacji skłąda się ze zbioru obiektów, podmiotów, praw dostępu i poleceń.
PodmiotyObiekty
s1 s2 s3 o1 o2 o3
s1 przełącz zawieś własność pisz czytaj, kasuj
s2 wykonaj rozszerz
s3 czytaj czytaj, pisz pisz wykonaj
…
Model Harrisona-Ruzzo-Ullmana (HRU) cd.
Na podstawie modelu HRU można otrzymać dwa znaczące w projektowaniu systemów ochrony informacji wyniki dotyczące przeciekania informacji:– w systemie ochrony, gdzie każde polecenie ograniczone jest do pojedyńczej operacji,
jest możliwe ustalenie czy danemu podmiotowi uda się uzyskać określone prawo dostępu do obiektu
– w systemie ochrony, gdzie polecenia nie są ograniczone do pojedyńczych operacji, nie zawsze jest możliwe do ustalenia, czy danemu podmiotowi uda się uzyskać określone prawo dostępu do obiektu
Z powyższego wynika, że jeśli każde polecenie zawiera tylko jednąo perację elementarną, istnieje algorytm mówiący czy w konkretnym systemie ochrony, startując od ustalonej konfiguracji początkowej macierzy dostępu, użytkownik uzyska określony dostęp do zadanego obiektu (czy system zezwala na określoną propagację prawa dostępu)
Model Harrisona-Ruzzo-Ullmana (HRU) cd.
Dowód pierwszego z twierdzeń wykorzystuje analiz₃ę minimalnej liczby poleceń, za pomocą których można uzyskać prawo dostępu. Operacja delete nie daje efektu rozszerzania praw dostępu i może być pominięta.Najkrótsza sekwencja poleceń, za pomocą której można nadać określone prawo, zawiera:
m = |r| * (|s| + 1) * (|o| + 1) + 1
poleceń, gdzie |r| - jestliczbą praw, |s| - jest liczbą podmiotów, |o| - jest liczbą obiektów w modelowanym systemie ochrony. Decyzja, czy dla pewnej ustalonej konfiguracji początkowej macierzy dostępu określony użytkownik uzyska ządany dostęp do zadanego obiektu, jest podejmowana na podstawie testowania wszystkich takich poleceń o długości do m (tj. istnieje 2^km takich sekwencji dla ustalonego k)Dowód drugiego twierdzenia wykorzystuje maszynę Turinga w celu wykazania, że procedura decyzyjna odnośnie do ogólnego bezpieczeństwa systemu ochrony zawarta w tym twierdzeniu sprowadza się do „problemu stopu” – problem nierozstrzygalny
Model take-grant
• potocznie zwany „przejmij-przekaż”• wprowadza się:
– zbiór podmiotów S;– zbiór obiektów O (aktywne czyli podmioty, oraz pasywne – inne niż
podmioty)– zbiór praw dostępu R
• System ochrony jest modelowany za pomocą grafu, w którym każdy obiekt bądź podmiot jest wierzchołkiem grafu, a prawa określonego podmiotu do pewnego obiektu są modelowane za pomocą etykietowanej i skierowanej od podmiotu do obiektu krawędzi
Model take-grant cd.
Cztery elementarne operacje w modelu to:– create(o, r) – dodaje nowy wierzchołek do grafu. Z s do o jest
utworzony łuk z etykietą r opisującą prawo s do o.– revoke(o, r) – s usuwa prawo r do obiektu o. Łuk z s do o jest
etykietowany jako q\r, gdzie q jest zbiorem uprawnień.– grant(o, p, r) – podmiot s przyznaje o prawo dostępu r do p. Prawo
nazywa się ”grantem”. Podmiot s może przyznać o prawo dostępu r do p tylko wtedy, jeżeli s przyznaje prawo s i s ma prawo r do p. W grafie dodawany jest łuk z o do p etykietowany jako r.
– take(o, p, r) – podmiot s zabiera o prawo dostępu r do p. Prawo nazywa się ”take”. Podmiot s może zabrać o prawo r do p jedynie wtedy, gdy s ma prawo „take” do o i o ma prawo do p. W grafie dodawany jest łuk z o do p etykietowany jako r.
Model take-grant cd.
Na podstawie tego modelu można szybko odpowiedzieć na pytania z dziedziny ochrony informacji:– Czy można ustalić, że dany podmiot może dzielić określony obiekt z
innym podmiotem.Tak. Dzielenie może nastąpić tylko wtedy, gdy kilka różnych podmiotów ma dany dostęp do obiektu i pierwszy z podmiotów jest połączony z innymi podmiotami w grupie za pomocąodpowiedniej ścieżki. Istnieje wtedy algorytm wykrywający w czasie proporcjonalnym do rozmiaru grafu, współużytkowanie obiektu.
– Czy można ustalić, że dany podmiot może wykraść prawa dostępu do określonego obiektu innemu obiektowi.Odpowiedź na to pytanie jest zależne od konkretnej sytuacji i wyników algorytmu odpowiadającego na pierwsze pytanie.
Model take-grant cd.
Użyteczność modelu „take-grant” polega na tym, że identyfikuje warunki, na jakich użytkownik może otrzymać dostęp do obiektu.
Bibliografia
• Krzysztof Liderman „Podręcznik administratora bezpieczeństwa teleinformatycznego”, wydawnictwo Mikom