مدلهای کنترل دسترسی اجباری (MAC) رسول جلیلی jalili@sharif.edu

ضعف کنترل دسترسی اختیاری عدم امکان کنترل انتشار اطلاعات توسط عاملهای دیگر علی صاحب فایل A، اجازه خواندن را به حسن می دهد حسن فایل A را می خواند و در فایل B می نویسد علی دیگر هیچ کنترلی روی B (حاوی اطلاعات A) ندارد. عدم امکان کنترل جریان اطلاعات از یک شیئ به شیئ دیگر با فرض معتمد بودن عامل ها به نرم افزارها نمی توان اعتماد کرد احتمال وجود اسب تروا (Trojan Horse) s خواندن o1 فوق سری سری نوشتن جریان اطلاعات محرمانه عادی خواندن o2

ضعف کنترل دسترسی اختیاری احتمال وجود اسب تروا (Trojan Horse)

کنترل دسترسی اجباری کنترل دسترسی عامل ها به اشیاء بر اساس سطوح امنیتی آنها و قواعد ثابت مدل های حفظ محرمانگی مدل BLP مدل های حفظ صحت مدل Biba مدل های خاص پایگاه داده ها مدل Sea-View مدل Jajodia & Sandhu مدل Smith & Winslett

مدل حفظ محرمانگی BLP

مدل BLP ارائه شده به وسيلة Bell و Lapadula در سال 1976 توسعه‌يافتة مدل ماتريس دسترسي براي حفظ امنیت چند سطحی مناسب برای محیط های نظامی عامل ها و اشیاء دارای سطح امنیتی (سطح محرمانگي) هر سطح امنيتي با دو جزء مشخص مي‌گردد L=(C, S): C: رده (classification) S: حیطه(category) حیطه، معرف سازمان يا كاربرد است (مانند ناتو، هسته‌اي).

مدل BLP -2 + - مبتني بر مفهوم عامل / شئ است: مبتني بر مفهوم عامل / شئ است: عاملها، اجزاي فعال بوده و عمليات را اجرا مي‌كنند. اشياء، اجزاي غيرفعال بوده و داراي اطلاعات هستند. حالات دسترسي: فقط خواندن (يا خواندن) = R الحاق (نوشتن بدون خواندن) = A اجرا (اجراي يك شئ يا برنامه) = E نوشتن - خواندن (يا نوشتن) = W Observe Modify + - W A R E

مدل BLP -3 سطوح رده‌بندي عاملها (يا برنامه‌ها) و اشياء (يا منابع): خيلي سري يا TS (مخفف Top Secret) سري يا S (مخفف Secret) محرمانه يا C (مخفف Confidential) بدون رده يا U (مخفف Unclassified) رابطه تفوق (dominance): مقایسه دو سطح امنيتي (L1 = (C1, S1 و (L2 = (C2, S2 L1  L2  C1  C2  S1  S2 سطوح امنيتی بر اساس رابطه ترتيب جزئي تفوق (≥) تشکيل يک شبکه (Lattice) مي دهند. اگر هیچ یک از دو رابطه زیر برقرار نبود، دو سطح را غیر قابل مقایسه می نامیم: L1  L2 و یا L1 ≤ L2

fs: سطح امنیتی اصلی عامل fc: سطح امنیتی فعلی عامل fo: سطح امنیتی شیئ مدل BLP -4 حالت سيستم به كمك 4تايي (b, M, f, H) بيان مي‌شود كه: b: مجموعة حالتهاي دسترسي فعلي (s, o, m) M: ماتريس دسترسي M[s,o] ، مانند مدل ماتريس دسترسي بیانگر مجموعه حالات مجاز f: تابع تعيين سطح كه به هر عامل و شئ سيستم، يك سطح امنيتي متناظر مي‌كند. f: O  S  L fs: سطح امنیتی اصلی عامل fc: سطح امنیتی فعلی عامل fo: سطح امنیتی شیئ H: سلسله‌مراتب فعلي اشياء

اعمال مدل BLP -1 وضعیت سیستم با اجرای اعمال تغییر می کند. با اجرای یک عمل بروی حالت (b, M, f, H) یک گذر به حالت (b’, M’, f’, H’) بوجود می آید که حداقل در یک جزء با حالت مبدا متفاوت است. انواع اعمال مختلف: تغییر بروی b: Get Access: برای مقدار دهی اولیه به یک شیئ در حالت دسترسی درخواست شده Release Access: برای اختتام دسترسی داده شده توسط get تغییر روی M: Give Access: برای اعطای یک حالت دسترسی بروی یک شیئ به یک عامل Rescind Access: برای بازپس گیری یک حالت دسترسی از یک عامل بروی یک شیئ (بازپس گیری حالت دسترسی داده شده به عامل توسط Give)

اعمال مدل BLP -2 انواع اعمال مختلف: تغییر بروی H: تغییر روی M: Create Object: برای اضافه کردن اشیای غیر فعال به سلسله مراتب اشیاء برای یک شیئ دو حالت می تواند وجود داشته باشد: شیئ وجود دارد ولی غیر فعال است. در نتیجه بعضی دسترسی ها روی آن ممکن نیست شیئ وجود دارد و فعال است. در نتیجه در سلسله مراتب اشیاء وجود دارد و قابل دسترسی است. Delete Object: برای غیر فعال کردن شیئ فعال است. عکس عمل Create است. تغییر روی M: Change subject security level: برای تغییر سطح امنیتی جاری f یک عامل. اجرای این عمل، در f، سطح امنیتی جدید را به عامل مربوطه، مرتبط می کند. Change object security level: برای تغییر سطح امنیتی یک شیئ. این عمل تنها می تواند بروی اشیای غیر فعال اجرا گردد و سطح جدید امنیتی را به شیئ مربوطه در f مرتبط می کند.

< s, o, r/w >  b  fs(s)  fo(o) قواعد مدل BLP -1 (1) قاعدة سادة امنيتي (SS): يك عامل، مجوز مشاهده (خواندن R يا نوشتن W) يك شئ را دارد فقط اگر سطح امنيتي اصلی عامل، بزرگتر يا مساوي سطح امنيتي شئ باشد. < s, o, r/w >  b  fs(s)  fo(o) s فوق سری مشاهده سری محرمانه o عادی

قواعد مدل BLP -2 (2) قاعدة ستاره (*): يك عامل، اگر امکان مشاهده شیئ o1 و تغییر شیئ o2 را داشته باشد، آنگاه باید: fo(o2)  fo(o1) مثال نقض: s مشاهده o1 فوق سری تغییر جریان اطلاعات سری محرمانه o2 عادی

قواعد مدل BLP -3 (2) ادامة قاعدة ستاره (*): يك عامل، مجوز الحاق (A) يك شئ را دارد فقط اگر سطح امنيتي فعلی عامل، كوچكتر يا مساوي سطح امنيتي شئ باشد. fc(s)  fo(o) يك عامل، مجوز نوشتن (W) يك شئ را دارد فقط اگر سطح امنيتي فعلی عامل، مساوي سطح امنيتي شئ باشد. fc(s) = fo(o) يك عامل، مجوز خواندن (R) يك شئ را دارد فقط اگر سطح امنيتي فعلی عامل، بزرگتر يا مساوي سطح امنيتي شئ باشد. fc(s)  fo(o)

< s, o, m >  b  m  M[s, o] قواعد مدل BLP -4 (3) قاعدة آرامش(Tranquility principle): هیچ عاملی نمی تواند رده (classification) یک شیئ را تغییر دهد (هرچند این قاعده در نسخه های بعدی حذف گردید.) (4) قاعدة کنترل دسترسی اختیاری (DS): هر دسترسی فعلی، بايد طبق ماتريس دسترسي، مجاز باشد. < s, o, m >  b  m  M[s, o]

خلاصه ای از مدل BLP به طور خلاصه و ساده: عامل از اشياي با سطوح امنيتي پايينتر يا مساوي خود، مي‌خواند(مشاهده). No Read Up عامل در اشياي با سطوح امنيتي بالاتر يا مساوي خود، مي‌نويسد (تغییر). No Write Down

مدل حفظ صحت Biba

مدل Biba مدل BLP: صرفاً حفظ محرمانگی نیاز به حفظ صحت داده ها در مقابل تغییرات غیرمجاز مدل ارائه شده توسط Biba در سال 1977 مبانی مدل Biba مشابه مدل BLP است.

مدل Biba -2 عامل ها و اشیاء دارای سطح صحت هر سطح صحت با دو جزء مشخص مي‌گردد L=(C, S): C: رده (classification) S: رسته (category) رسته، معرف سازمان يا كاربرد است (مانند ناتو، هسته‌اي) سطح صحت عامل: ميزان اعتماد به فرد (عامل) در عدم تغيير ناصحيح داده هاي يك شيئ سطح صحت شيئ: ميزان اعتماد به داده هاي يك شيئ و ميزان خسارت ناشي از تغيير غيرمجاز در داده هاي آن

مدل Biba-3 سطوح رده‌بندي صحت عاملها (يا برنامه‌ها) و اشياء (يا منابع): حياتي يا C (مخفف Crucial) خيلي مهم يا VI (مخفف Very Important) مهم يا I (مخفف Important) رابطه تفوق (dominance): مقایسه دو سطح صحت (L1 = (C1, S1 و (L2 = (C2, S2 L1  L2  C1  C2  S1  S2 سطوح امنيتی بر اساس رابطه ترتيب جزئي تفوق (≥) تشکيل يک شبکه (Lattice) مي دهند. اگر هیچ یک از دو رابطه زیر برقرار نبود، دو سطح را غیر قابل مقایسه می نامیم: L1  L2 و یا L1 ≤ L2

مدل Biba -4 مبتني بر مفهوم عامل / شئ است: مبتني بر مفهوم عامل / شئ است: عاملها، اجزاي فعال بوده و عمليات را اجرا مي‌كنند. اشياء، اجزاي غيرفعال بوده و داراي اطلاعات هستند. حالات دسترسي: تغيير (Modify): نوشتن داده ها در يك شيئ ارتباط (Invoke): ارتباط يك عامل با عامل ديگر مشاهده (Observe): خواندن داده هاي يك شيئ

اصول یا خط مشیهای اجباری در مدل Biba -1 مدل شامل تعدادي خط مشي خط مشي آب نشان پايين براي عامل ها (Low Watermark Policy for Subjects) خط مشي آب نشان پايين براي اشياء (Low Watermark Policy for Objects) خط مشي آب نشان پايين بازنگری صحت(Low Watermark integrity audit Policy) خط مشی حلقه(Ring Policy) خط مشي حفظ صحت سختگيرانه (Strict Integrity Policy) هر خط مشي شامل تعدادي اصول موضوعه

اصول یا خط مشیهای اجباری در مدل Biba -2 (1) خط مشي نشان آب پايين براي عامل ها (1 از 3) تغيير: يك عامل، مجوز تغيير يك شئ را دارد فقط اگر سطح صحت عامل، بزرگتر يا مساوي سطح صحت شئ باشد. I(s)  I(o) s حياتي تغيير خيلي مهم مهم o عادی

اصول یا خط مشیهای اجباری در مدل Biba -3 (1) خط مشي نشان آب پايين براي عامل ها (2 از 3) اجرا: يك عامل، مجوز اجرا (فراخوانی) يك عامل ديگر را دارد فقط اگر سطح صحت عامل اول بزرگتر يا مساوي سطح صحت عامل دوم باشد. I(s1)  I(s2) s1 حياتي اجرا (فراخوانی) خيلي مهم مهم s2 عادی

اصول یا خط مشیهای اجباری در مدل Biba -4 (1) خط مشي آب نشان پايين براي عامل ها (3 از 3) مشاهده: يك عامل، مجوز مشاهده هرشيئي را دارد به شرط آنكه پس از مشاهده، سطح عامل به بزرگترين سطح پائين (GLB) سطوح عامل و شيئ تقليل يابد. Inew(s) = GLB [ Iold(s), I(o) ] s s حياتي مشاهده خيلي مهم مهم o عادی

اصول یا خط مشیهای اجباری در مدل Biba -5 (2) خط مشي آب نشان پايين براي اشياء (1 از 3) تغيير: يك عامل، مجوز تغيير هرشيئي را دارد به شرط آنكه پس از تغيير، سطح شيئ به بزرگترين سطح پائين (GLB) سطوح عامل و شيئ تقليل يابد. Inew(o) = GLB [ I(s), Iold(o) ] o o حياتي خيلي مهم تغيير مهم s عادی

اصول یا خط مشیهای اجباری در مدل Biba -6 (2) خط مشي نشان آب پايين براي اشياء (2 از 3) اجرا: يك عامل، مجوز اجرا (فراخوانی) يك عامل ديگر را دارد فقط اگر سطح صحت عامل اول بزرگتر يا مساوي سطح صحت عامل دوم باشد. I(s1)  I(s2) s1 حياتي اجرا (فراخوانی) خيلي مهم مهم s2 عادی

اصول یا خط مشیهای اجباری در مدل Biba -7 (2) خط مشي نشان آب پايين براي اشياء (3 از 3) مشاهده: يك عامل، مجوز مشاهده يك شئ را دارد فقط اگر سطح صحت عامل، كوچكتر از سطح صحت شئ باشد. I(o)  I(s) o حياتي خيلي مهم مشاهده مهم s عادی

اصول یا خط مشیهای اجباری در مدل Biba -8 (3) خط مشي نشان آب پايين صحت با ثبت Low-Watermark Integrity Audit Policy(1 از 1) تغییر: یک عامل می تواند هر شیئ در هر سطحی از صحت را تغییر دهد. اگر یک عامل یک شیئ در را در سطح صحت بالاتر و یا غیر قابل مقایسه تغییر دهد، تنها در سیستم ثبت(Audit) ثبت گردد.

اصول یا خط مشیهای اجباری در مدل Biba -9 (4) خط مشي حلقه(1 از 1) سطح صحت ثابت. تغییر: يك عامل، مجوز تغییر يك شئ را دارد فقط اگر سطح صحت عامل، بزرگتر از سطح صحت شئ باشد. I(s)  I(o) اجرا: يك عامل، مجوز اجرای روی عامل دیگر را دارد فقط اگر سطح صحت عامل اول ، بزرگتر یا مساوی سطح صحت عامل دوم باشد. I(s2)  I(s1) مشاهده: يك عامل، مجوز مشاهده يك شئ را در هر سطحی دارد.

اصول یا خط مشیهای اجباری در مدل Biba -8 (5) خط مشي حفظ صحت سختگيرانه (1 از 3) خصوصيت ستاره (*) صحت: يك عامل، مجوز تغيير يك شئ را دارد فقط اگر سطح صحت عامل، بزرگتر يا مساوي سطح صحت شئ باشد. I(s)  I(o) s حياتي تغيير خيلي مهم مهم o عادی

اصول یا خط مشیهای اجباری در مدل Biba -9 (5) خط مشي حفظ صحت سختگيرانه (2 از 3) خصوصيت اجرا: يك عامل، مجوز اجرا (فراخوانی) يك عامل ديگر را دارد فقط اگر سطح صحت عامل اول بزرگتر يا مساوي سطح صحت عامل دوم باشد. I(s1)  I(s2) s1 حياتي اجرا (فراخوانی) خيلي مهم مهم s2 عادی

اصول یا خط مشیهای اجباری در مدل Biba -10 (5) خط مشي حفظ صحت سختگيرانه (3 از 3) خصوصيت ساده صحت: يك عامل، مجوز مشاهده يك شئ را دارد فقط اگر سطح صحت عامل، كوچكتر از سطح صحت شئ باشد. I(o)  I(s) o حياتي خيلي مهم مشاهده مهم s عادی

خط مشی های اختیاری مدل Biba-1 لیست های کنترل دسترسی به هر شیئ یک لیست کنترل دسترسی اختصاص می یابد که نشان دهنده عامل ها و حالات دسترسی ای است که می توانند به آن شیئ دسترسی پیدا نمایند. این لیست می تواند توسط عامل هایی که دارای حق modify برروی ACL مربوطه هستند تغییر نماید. سلسله مراتب اشیاء اشیاء به صورت سلسله مراتبی بوسیله یک درخت ریشه دار مرتب میشوند برای دسترسی به یک شیئ، یک عامل باید دارای حق observe به تمام اجداد آن شیئ داشته باشد.

خط مشی های اختیاری مدل Biba-2 حلقه به هر عامل یک صفت مجوزی(حلقه) اختصاص می یابد. حلقه ها عددگذاری میشوند. حلقه ها با اعداد کوچکتر نشان دهنده حقوق با مجوزهای بالاتر است. خط مشی ها نیاز به برقرار بودن اصول زیر را دارد: یک عامل می تواند حق modify بروی اشیاء، فقط در بازه مجازی از حلقه ها داشته باشد یک عامل می تواند حق دسترسی invoke را بروی عواملی با مجوز بالاتر تنها در بازه مجازی از حلقه ها داشته باشد. البته هر عامل می تواند حق دسترسی invoke را بروی تمام عوامل با مجوز پایین تر و مساوی داشته باشد. هر عامل می تواند دسترسی observe را بروی اشیاء در یک بازه مجاز از حلقه ها داشته باشد.

خلاصه مدل Biba مدل Biba بيشتر با خط مشي سختگيرانه اش شناخته شده است. خط مشي حفظ صحت سختگيرانه به طور خلاصه: عامل از اشياي با سطوح امنيتي بالاتر يا مساوي خود، مي‌خواند(مشاهده). No Read Down عامل در اشياي با سطوح امنيتي پايينتر يا مساوي خود، مي‌نويسد (تغییر). No Write Up

مدل كنترل دسترسي اجباري پايگاه داده‌ها Dion

مدل Dion-1 ارائه شده در سال 1981 کنترل دسترسی اجباری حفاظت از صحت و محرمانگی داده ها ترکیب مدل های کنترل دسترسی BLP و Biba برخلاف دو مدل قبلی هیچ نوع خط مشی اختیاری را پشتیبانی نمی کند و با ارضای تمام خط مشی های امنیتی اجباری، دسترسی مجاز شمرده می شود. جریان داده ها میان اشیاء به عوامل تعریف نمی شود بلکه میان اشیاء به اشیاء تعریف می گردد. به همین دلیل مفهوم اتصال(connection) مطرح می گردد که یک ارتباط میان شیئ مبدا به مقصد باید توسط عامل ایجاد گردد تا امکان برقراری جریان اطلاعات میان آنها را فراهم نماید.

مدل Dion-2 مدل Dion مبتنی بر رده های اشیاء و عوامل هستند که شامل سطوح صحتی و محرمانگی هستند. سطوح محرمانگی و معانی آنها همانند مدل کنترل دسترسی BLP هستند سطوح صحتی و معانی آنها همانند مدل کنترل دسترسی Biba هستند.

عوامل و رده های مدل Dion-1 در این مدل، عوامل همان برنامه هایی هستند که در سیستم به نمایندگی از کاربر اجرا می شوند. به هر عامل سیستم سه سطح محرمانگی و سه سطح صحتی اختصاص می یابد سطوح امنیتی: سطح محرمانگی مطلق(Absolute Security Level): سطح امنیتی است که به عامل در زمان ایجاد داده می شود. این سطح امنیتی در طول حیات عامل ثابت است سطح محرمانگی خواندن(Read Security Level): بالاترین سطح امنیتی است که عامل مجاز است بخواند. سطح محرمانگی نوشتن(Write Security Level): پایین ترین سطح امنیتی است که یک عامل مجاز است بنویسد.

عوامل و رده های مدل Dion-2 سطوح صحتی: سطح صحتی مطلق(Absolute Integrity Level): سطح صحتی است که به عامل در زمان ایجاد داده می شود. این سطح صحتی در طول حیات عامل ثابت است سطح صحتی خواندن(Read Integrity Level): پایین ترین سطح صحتی است که عامل مجاز است بخواند. سطح صحتی نوشتن(Write Integrity Level): بالاترین سطح صحتی است که عامل مجاز است بنویسد.

عوامل و رده های مدل Dion-3 روابط زیر باید در هر سیستم برای هر عامل s برقرار باشد: WSL(s) ≤ ASL(s) ≤ RSL(s) RIL(s) ≤ AIL(s) ≤ WIL(s) هر عامل که حداقل یکی از نامساوی های بالا به صورت اکید ارضا کند عامل معتمد(Trusted Subject) نامیده می شود. یک عامل می تواند از دید امنیتی، صحتی و یا هردو بسته به تعداد نامساوی هایی که به صورت اکید ارضا می کند، معتمد باشد. هر عاملی که چهار رابطه بالا را به صورت تساوی ارضا نماید، عامل غیر معتمد نامیده می شود.

اشیاء و رده های مدل Dion-1 در این مدل، اشیاء به هر موجودیت انباره داده در سیستم اطلاق می گردد. به هر شیئ سیستم سه سطح امنیتی و سه سطح صحتی اختصاص می یابد سطوح امنیتی: سطح امنیتی مطلق(Absolute Security Level): سطح امنیتی داده ای است که در شیئ قرار می گیرد. این سطح امنیتی در طول حیات شیئ ثابت است سطح امنیتی مهاجرتی (Migration Security Level): بالاترین سطح امنیتی است که داده در اين شیئ، مجاز است به شیئ در آن سطح جریان پیدا کند. سطح امنیتی تحریفی(Corruption Security Level): پایین ترین سطح امنیتی است که داده از آن سطح می تواند به این شیئ جریان پیدا کند.

عوامل و رده های مدل Dion-2 سطوح صحتی: سطح صحتی مطلق(Absolute Integrity Level): سطح صحتی داده ای است که در شیئ قرار می گیرد. این سطح صحتی در طول حیات شیئ ثابت است سطح صحتی مهاجرتی(Migration Integrity Level): پایین ترین سطح صحتی است که داده از این شیئ، مجاز است به شیئ در آن سطح جریان پیدا کند. سطح صحتی تحریفی(Corruption Integrity Level): بالاترین سطح صحتی است که داده از آن سطح می تواند به این شیئ جریان پیدا کند.

عوامل و رده های مدل Dion-3 CSL(o) ≤ ASL(o) ≤ MSL(o) MIL(o) ≤ AIL(o) ≤ CIL(o)

اصول مدل Dion-1 خصوصیت مهاجرت سطوح مهاجرت شیئ که اطلاعات در آن نوشته می شود(o2) باید محدودتر از سطح مهاجرتی شیئ ای باشد که از آن خوانده می شود (o1). MSL(o1) ≥ MSL(o2) MIL(o1) ≤ MIL(o2) این خصوصیت تضمین می کند که سطوح امنیتی و صحتی توسط یک مهاجرت دور زده نشود. اگر این خصوصیت ارضا نگردد، داده های o1 می تواند به صورت غیر مستقیم، به سطوح امنیتی ای که مجاز نمی باشد (مانند o2) مهاجرت داده شود.

مثال

اصول مدل Dion-2 خصوصیت تحریف CSL(o1) ≥ CSL(o2) CIL(o1) ≤ CIL(o2) این خصوصیت تضمین میکند سطوح امنیتی و صحتی O2 به صورت غیر مستقیم دور زده نشود.

مثال

اصول مدل Dion-3 خصوصیت امنیتی عاملی که یک اتصال را ایجاد می کند، باید سطح دسترسی خواندن بروی شیئ ای که می خواند (O1) و سطح دسترسی نوشتن بروی شیئ ای که می نویسد (O2) داشته باشد. RSL(s) ≥ ASL(o1) WSL(s) ≤ ASL(o2) این خصوصیت معادل همان No-Read-Up و No-Write-Down از مدل کنترل دسترسی BLP می باشد

اصول مدل Dion-4 خصوصیت صحتی عاملی که یک اتصال را ایجاد می کند، باید سطح دسترسی خواندن بروی شیئ ای که می خواند (O1) و سطح دسترسی نوشتن بروی شیئ ای که می نویسد (O2) داشته باشد. RIL(s) ≤ AIL(o1) WIL(s) ≥ AIL(o2) این خصوصیت معادل همان No-Read-Down و No-Write-Up از مدل کنترل دسترسی Biba می باشد

اصول مدل Dion-5 خصوصیت نوشتن/تحریف سطح امنیتی مطلق یک عامل بر سطح امنیتی تحریف یک شیئ که به آن انتقال اطلاعات صورت می گیرد باید تفوق داشته باشد سطح صحتی مطلق یک عامل باید بوسیله سطح صحتی تحریف شیئ ای که انتقال اطلاعات به آن صورت می گیرد، متفوق باشد. ASL(s) ≥ CSL(o2) AIL(s) ≤ CIL(o2) این خصوصیت ارضای سطوح تحریف یک شیئ که به آن انتقال داده، انجام می گیرد را تضمین می کند. ASL(s) ≥ ASL (O1) ≥ CSL(O1) ≥ CSL (O2)

اصول مدل Dion-6 خصوصیت خواندن/مهاجرت سطح امنیتی مطلق یک عامل بوسیله سطح امنیتی مهاجرت یک شیئ که از آن انتقال اطلاعات صورت می گیرد باید متفوق باشد سطح صحتی مطلق یک عامل باید بر سطح صحتی مهاجرت شیئ ای که انتقال اطلاعات از آن صورت می گیرد، تفوق داشته باشد. ASL(s) ≤ MSL(o1) AIL(s) ≥ MIL(o1) این خصوصیت ارضای سطوح مهاجرت یک شیئ که از آن انتقال داده، انجام می گیرد را تضمین می کند.

مدل كنترل دسترسي اجباري پايگاه داده‌ها Sea-View

مدل Sea-View ارائه شده به وسيلة Dorothy Denning در سال 1987 مخفف مدل SEcure dAta VIEW برای حفاظت از مدل رابطه ای در پايگاه داده ها مدل پايگاه محاسباتي مطمئن (TCB) Trusted Computing Base Model مدل كنترل دسترسي اجباری (MAC) Mandatory Access Control Model كنترل دسترسي اختياري مدل Sea-View كنترل دسترسي اجباري BLP & Biba

مدل Sea-View لايه مدل كنترل دسترسي اجباري-1 رده‌هاي دسترسي شامل دو جزء است: ردة محرمانگي: مشابه با ردة امنيتي مدل BLP ردة صحت: مشابه مدل Biba اشياء اشیای حفاظت شده توسط MAC فایلهایی تک سطحی هستند عاملها عوامل همان پردازه هایی هستند که به نمایندگی از کاربران اجرا میشوند به هر کاربر بازه ای از رده های امنیتی و صحتی تخصیص داده می شود که مجاز است اجرا نماید. حالتهاي دسترسي: خواندن، نوشتن و اجرا

مدل Sea-View لايه مدل كنترل دسترسي اجباري-2 رده‌هاي دسترسي، بر اساس رابطة تفوق تشكيل يك شبكه (Lattice) مي‌‌‌‌‌‌‌‌‌دهند. ردة دسترسي C1 بر ردة دسترسي C2 تفوق دارد اگر و فقط اگر جزء محرمانگي C1 بر جزء محرمانگي C2 تفوق داشته باشد و C1.Secrecy  C2. Secrecy جزء صحتی C2 بر جزء صحتیC1 تفوق داشته باشد. C1.Integrity ≤ C2.Integrity مثال: ((TS, Nato), (I, Nato)) ≥ ((S, Nato), (VI, Nato))

مدل Sea-View لايه مدل كنترل دسترسي اجباري-3 به هر كاربر رده‌هاي محرمانگي و صحتی حداقل و حداكثري، تخصيص مي‌يابد كه به آنها minsecrecy ، minintegrity ، maxsecrecy و maxintegrity گفته مي‌شود. زوج مرتب (minsecrecy , maxintegrity) ردة نوشتن يك عامل زوج مرتب (maxsecrecy , minintegrity) ردة خواندن يك عامل ردة خواندن هر عامل بايد بر ردة نوشتن وي تفوق داشته باشد. يك عامل، قابل اعتماد است اگر ردة خواندنش بر ردة نوشتن وي قوياً تفوق داشته باشد. يك عامل، غيرقابل اعتماد است اگر رده خواندن و نوشتن آن برابر باشد.

مدل Sea-View لايه مدل كنترل دسترسي اجباري -4 (1) قاعدة خواندن: عامل s مي‌تواند شيئ o را بخواند فقط اگر ردة خواندن عامل بر ردة دسترسي شيئ تفوق داشته باشد. readclass (s)  access-class (o) i.e. maxsecrecy (s)  o.seccrecy & minintegrity (s) ≤ o.integrity NO-READ-UP secrecy principle + NO-READ-DOWN integrity policy

مدل Sea-View لايه مدل كنترل دسترسي اجباري -5 (2) قاعدة نوشتن: عامل s مي‌تواند شيئ o را بنويسد فقط اگر ردة دسترسي شيئ بر ردة نوشتن عامل تفوق داشته باشد. writeclass (s) ≤ access-class (o) i.e. minsecrecy (s) ≤ o.seccrecy & maxintegrity (s)  o.integrity NO-WRITE-DOWN secrecy policy + NO-WRITE-UP integrity policy.

مدل Sea-View لايه مدل كنترل دسترسي اجباري -6 (3) قاعدة اجرا: عامل s مي‌تواند شئ o را اجرا كند فقط اگر maxintegrity عامل، كوچكتر يا مساوي ردة صحت شئ و maxsecrecy عامل، بزرگتر يا مساوي ردة محرمانگي شئ باشد. maxintegrity (s) ≤ integrity-class(o) maxsecrecy (s)  confidentiality-class(o) قوانين فوق بيان مي‌كنند كه عاملهاي مطمئن، مي‌توانند داده‌هايي با سطح صحت كمتر از maxintegrity خودشان را خوانده و برنامه‌هاي با سطح صحت بيشتر يا مساوي maxintegrity خودشان را اجرا كنند.

مدل Sea-View لايه مدل كنترل دسترسي اجباري -7

مدل Sea-View لايه مدل محاسباتي مطمئن-1 مدل پايگاه محاسباتي مطمئن (TCB): روابط چندسطحي را تعريف كرده و از خط‌مشي اختياري استفاده مي‌كند. رابطة چندسطحي (Multilevel Relation): رابطه‌اي است كه در آن براي هر خصيصة Ai يك ردة Ci ، و براي هر سطر نيز يك ردة Tc وجود دارد. شماي رابطه چندسطحي: براي سادگي صرفاً سطح محرمانگي را در نظر مي‌گيريم. :شِماي رابطهR(A1, C1, …, An, Cn, Tc) a1|c1, …, an|cn, t :تاپل

مدل Sea-View لايه مدل محاسباتي مطمئن -2 عامل‌ها بر حسب سطح دسترسي خود ديدهاي مختلفي نسبت به پايگاه داده‌ها دارند. Name CName Dept CDept Salary CSalary TC Babak S d1 10K Ali d2 - S instance Name CName Dept CDept Salary CSalary TC Babak S d1 10K Ali d2 30K TS Sara TS instance

مدل Sea-View – خصوصيات رده‌بندي اشياء-1 سطح اشياء بايد در شرايط زير صدق كند: (1) جامعيت ردة پايگاه داده: سطح دسترسي يك شما بايد بزرگتر از سطح دسترسي نام پايگاه داده‌اي باشد كه به آن متعلق است. (2) جامعيت ردة ديد: سطح دسترسي ديد بايد بزرگتر از سطح دسترسي هر رابطه يا ديدي باشد كه در تعريف آن قيد شده است.

مدل Sea-View – خصوصيات رده‌بندي اشياء-2 (3) قانون داده‌هاي قابل رؤيت: سطح دسترسي يك شِماي رابطه بايد كوچكتريامساوی از پايين‌ترين ردة دسترسي داده هايی باشد كه مي‌تواند در آن ذخيره شود. سطح دسترسي شِماي رابطه بايد كوچكتر يامساوی بالاترين حد پايين سطوح دسترسي مشخص شده براي يك صفت باشد.

مدل Sea-View – خصوصيات روابط چندسطحي-1 (1) جامعيت موجوديت چندسطحي (Multilevel entity integrity) AK مجموعه صفات تشكيل دهنده كليد اصلي سطح دسترسي Ci تمام صفات AiAK در همه تاپلها يكسان سطح Ci كوچكتر از سطح Cj همه صفات AjAK غير دخيل در كليد اصلي هيچ‌يك از صفات دخيل در كليد اصلي در هيچ‌يك از تاپل‌ها نمي‌توانند null باشند.

مدل Sea-View – خصوصيات روابط چندسطحي-2 (2) جامعيت ارجاعي چندسطحي (Multilevel referential integrity) هيچ تاپلي نمي‌تواند كليد خارجي غيرnull داشته باشد، مگر آنكه تاپلي در رابطه ارجاع داده شده با كليد اصلي معادل آن وجود داشته باشد. سطح دسترسي تمام خصوصيات دخيل در كليد خارجي در همه تاپلها يكسان سطح دسترسي كليد خارجي بزرگتر مساوي سطح دسترسي كليد اصلي مورد ارجاع

مدل Sea-View - چند نمونه‌سازي-1 چندنمونگي (Polyinstantiation): وجود همزمان چند شيئ داده‌اي با اسامي يكسان ولي سطح دسترسي متفاوت روابط چندنمونه (Polyinstatiated Relations): روابط با نام رابطه يكسان و سطح دسترسي متفاوت تاپل‌هاي چندنمونه (Polyinstatiated Tuples): تاپل‌هاي با كليد اصلي يكسان و سطح دسترسي متفاوت براي كليد اصلي عناصر چندنمونه (Polyinstantiated Elements): عناصر مربوط به يك خصيصه با سطح دسترسي متفاوت و كليد اصلي و سطح دسترسي كليد اصلي يكسان

مدل Sea-View - چند نمونه‌سازي-2 Name CName Dept CDept Salary CSalary TC Babak S d1 10K Ali d2 30K TS Sara 10k Polyinstantiated Tuples Insert another Sara record by a “S-subject” Name CName Dept CDept Salary CSalary TC Babak S d1 10K Ali d2 30K 20k TS Sara Polyinstantiated Elements Update of the Ali record by a “S-subject”

مدل Sea-View - چند نمونه‌سازي-3 با وجود رابطه R و كليد اصلي AK با سطح دسترسي CK براي هر خصيصه AiAK با سطح دسترسي Ci : وابستگي تابعي (functional dependency) (AK, CK, Ci )  Ai وابستگي چندمقداري (multivalued dependency) (AK, CK)   Ai,Ci

مدل Sea-View – دسترسي به روابط چندسطحي عمل خواندن (select): عامل‌ها مي‌توانند به نمونه‌هاي روابط چندسطحي در سطح دسترسي خود دسترسي دارند. به عبارت ديگر عامل‌ها به داده‌هاي هم‌سطح خود و يا پايين‌تر دسترسي دارند. عمل درج يا بروزرساني (insert or update): فرض: وجود داده‌اي با كليد اصلي يكسان قوانين بر حسب ارتباط بين سطح دسترسي داده موجود و سطح دسترسي عامل

مدل Sea-View – نوشتن در روابط چندسطحي-1 (1) سطح دسترسي عامل كوچكتر از (غيرقابل قياس با) سطح دسترسي داده ايجاد يك تاپل چندنمونه عامل قصد درج يك تاپل را دارد تاپلي با كليد اصلي يكسان (ولي مخفي از ديد عامل) در سطح بالاتر وجود دارد. Name CName Dept CDept Salary CSalary TC Babak S d1 10K Ali d2 30K TS Sara 10k Insert another Sara record by a “S-subject”

مدل Sea-View – نوشتن در روابط چندسطحي-2 (1) سطح دسترسي عامل كوچكتر از (غيرقابل قياس با) سطح دسترسي داده ايجاد يك عنصر چندنمونه عامل قصد بروزرساني يك خصيصه null از يك تاپل را دارد. خصيصه موردنظر از تاپل، واقعاً null نيست، بلكه سطح دسترسي آن بالاتر است و از ديد اين عامل مخفي است. Name CName Dept CDept Salary CSalary TC Babak S d1 10K Ali d2 30K 20k TS Sara Update of the Ali record by a “S-subject”

مدل Sea-View – نوشتن در روابط چندسطحي-3 (2) سطح دسترسي عامل بزرگتر از سطح دسترسي داده ايجاد يك تاپل چندنمونه عامل قصد درج يك تاپل را دارد. تاپلي با كليد اصلي يكسان در سطح پايين‌تر وجود دارد. Name CName Dept CDept Salary CSalary TC Babak TS d2 30k S d1 10k Ali 20k Sara 30K Insert another Babak record by a “TS-subject”

مدل Sea-View – نوشتن در روابط چندسطحي-4 (2) سطح دسترسي عامل بزرگتر از سطح دسترسي داده ايجاد يك تاپل چندنمونه عامل قصد بروزرساني يك خصيصه از يك تاپل را دارد. خصيصه موردنظر از تاپل حاوي داده‌اي با سطح دسترسي پايين‌تر است.

مدل Sea-View – نوشتن در روابط چندسطحي-5 مثال ايجاد يك تاپل چندنمونه در بروزرساني داده سطح پايين‌تر Name CName Dept CDept Salary CSalary TC Babak TS d2 30k S d1 10k Ali 20k Sara 30K Update of the Ali record by a “TS-subject” SET Dept = “d1” WHERE Name = “Ali”

مدل Sea-View-حالت های دسترسی-1 حالتهاي دسترسي مختلف بر اساس انواع اشيا (مانند پايگاه داده و رابطه) مشخص مي شود. (1) حالتهاي دسترسي پايگاه داده: Null: ممانعت از هر گونه دسترسي به يك پايگاه داده. List: براي فهميدن اسامي و شماهاي روابط چندسطحي موجود در پايگاه داده. Create_mrelation: براي ايجاد يك رابطة چندسطحي در پايگاه داده. Delete_db: حذف يك پايگاه داده.

مدل Sea-View-حالت های دسترسی-2 (1) حالتهاي دسترسي پايگاه داده(ادامه): Grant: براي اعطاي مجوز حالتهاي دسترسي پايگاه داده (به جز grant و give_grant) توسط يك كاربر به كاربران ديگر. Give_grant: براي اعطاي مجوز حالتهاي دسترسي پايگاه داده (شامل grant و give_grant) توسط يك كاربر به كاربران ديگر.

مدل Sea-View-حالت های دسترسی-3 (2) حالتهاي دسترسي رابطه (اختياري): Null: ممانعت از هر گونه دسترسي به يك رابطه. Select: براي بازيابي سطرها از يك رابطه. Insert: براي درج سطرها در يك رابطه. (Update(i: براي تغيير دادة خصيصة iام يك رابطه. Delete_tuple: براي حذف سطرها از يك رابطه. Create_view: براي ايجاد ديد مبتني بر يك رابطه. Delete_mrelation: براي حذف يك رابطه.

مدل Sea-View-حالت های دسترسی-4 (2) حالتهاي دسترسي رابطه (اختياري)(ادامه): Reference: براي ارجاع به يك رابطه. (به منظور دسترسي به ديدهايي كه بر مبناي رابطة مذكور تعريف شده‌اند، لازم است) Grant: براي اعطاي مجوز حالتهاي دسترسي رابطه (به جز grant و give_grant) توسط يك كاربر به كاربران ديگر. Give_grant: براي اعطاي مجوز حالتهاي دسترسي رابطه (شامل grant و give_grant) توسط يك كاربر به كاربران ديگر.

مدل Sea-View-حالت های دسترسی-5 (3) حالتهاي دسترسي اشياء ( لاية MAC): Read: براي خواندن يك شيئ. Write: براي نوشتن يك شيئ. Null: ممانعت از هر گونه دسترسي به يك شيئ. Grant: براي اعطاي مجوز حالتهاي دسترسي شيئ (به جز grant و give_grant) توسط يك كاربر به كاربران ديگر. Give_grant: براي اعطاي مجوز حالتهاي دسترسي شيئ (شامل grant و give_grant) توسط كاربري به ديگران.

مجازشماری در مدل Sea-View -1 ويژگي denial takes precedence: اگر كاربري آشكارا از دسترسي به يك شئ منع شود، تمامي مجوزهاي شخصي يا مجوزهايي كه از طريق عضويت در يك گروه، نسبت به آن شئ دارد بي‌اثر خواهد شد. (2) اگر براي دسترسي كاربري به يك شئ، چيزي بيان نشده باشد و اين كاربر عضو گروهي است كه دسترسي به آن شئ براي گروه منع نگرديده، در آن صورت وي مي‌تواند تمامي مجوزهاي دسترسي گروه به اين شئ را در اختيار داشته باشد.

مجازشماری در مدل Sea-View -2 (3) اگر كاربري هيچ اجازة منفي مشخصي بر روي يك شيئ نداشته، ولي اجازة مثبت مشخصي براي برخي حالات دسترسي آن شئ را داشته باشد، در آن صورت به وي فقط اين مجوزها اعطا شده و هيچ مجوز ديگري از طريق عضويت وي در يك گروه (مجوز گروهي) به او داده نمي‌شود.

مركز امنيت شبكه شريف http://nsc.sharif.edu پایان مركز امنيت شبكه شريف http://nsc.sharif.edu