مدلهاي کنترل دسترسي اختياري رسول جليلي Jalili@sharif.edu

رئوس مطالب مقدمه مدل ماتريس دسترسي لمپسون مدل ماتريس دسترسي HRU مدل اخذ-اعطا مدل Acten مدلet al. Wood مروري بر مدلهاي کنترل دسترسي اختياري

مقدمه مدل کنترل دسترسي اختياري: اداره کردن دسترسي کاربران به اطلاعات بر اساس شناسه کاربران و بعضي قواعد که براي هر کاربر و شيء در سيستم، انواع دسترسي مجاز کاربر به شيء را مشخص ميکند. به طور کلي به کاربران اجازه داده ميشود که دسترسي به اشيا را به ديگر کاربران اعطا نمايند. شکل عمده مديريت، استفاده از رويکرد مالک-مبنا است. ايجاد کننده يک شيئ مي تواند دسترسي ديگر کاربران به شيء را اعطا يا لغو نمايد.

مدل ماتريس دسترسي لمپسون لمپسون در سال 1971 براي اولين بار مساله حفاظت (protection) را به صورت زير تعريف کرد: Protection is a general term for all the mechanisms that control the access of a program to other things in the system. ارائه شده براي حفاظت سيستم عامل تکميل و بهسازي مدل توسط گراهام و دنينگ (1972) ارائه مدل کلي تري از آن توسط هريسون، روزو، اولمن (HRU) جهت: تحليل خصوصيات امنيتي بررسي مساله ايمني (Safety)

مدل ماتريس دسترسي لمپسون (ادامه) مدل لمپسون: (X, D, A) X: يک مجموعه از اشياء D: يک مجموعه از دامنه ها (عاملها) A:ماتريس دسترسي ماتريس دسترسي هر سطر مربوط به يک دامنه (عامل) هر ستون مربوط به يک شيء هر سلول ماتريس شامل يک رشته از دسترسيها (access attributes) مانند read، write، owner و ...

مدل ماتريس دسترسي لمپسون (ادامه) هر عامل و يا شيء داراي يک مالک است هر عامل داراي يک کنترل کننده (controller) است که ميتواند خودش باشد. هر مجوزي ممکن است قابل انتقال (*) و يا غيرقابل انتقال باشد. d1 d2 file1 file2 *owner *control *read *write read owner control write

مدل ماتريس دسترسي لمپسون (ادامه) شامل 4 قاعده: Rule 1- d can remove access attributes from Ad’,x , if it has control access to d’. Rule 2- d can copy to Ad’,x any access attributes it has for x which has the copy flag set, and can say whether the copied attributes shall have copy flag set or not Rule 3- d can add any access attribute to Ad’,x with or without the copy flag, if it has owner access to x. Rule 4- d can remove access attributes from Ad’,x , if d has owner access to x, provided d’ doesn’t have protected access to x.

مدل HRU کاربرد در سيستم عامل (OS) و پايگاه داده (DB) ارائه شده به وسيلة Harrison، Ruzzo و Ullman در سال 1976 هدف: ارائه يک مدل کلي که بتوان مدلهاي ديگر را توصيف کرد ارائه يک مدل دقيق براي تحليل خصوصيات امنيتي بررسي مسأله ايمني (Safety) در کنترل دسترسي یک عامل S روی شیئ O دسترسی A را بدست نمی آورد اين مدل نشان مي دهد که مسأله ايمني به طور کلي تصميم ناپذير است در حالاتي خاص تصميم پذير است

مدل HRU (ادامه) يک سيستم حفاظتي داراي يک مجموعه محدود C از دستورات سيستم حفاظتي فوق، يک سيستم گذار حالات است براي مدل کردن سيستم به مولفه هاي زير نياز مي باشد: مجموعه تمام عاملهاي ممکن S مجموعه تمام اشياء ممکن O مجموعه حقوق R

مدل HRU )ادامه( حالت مجازشناسي (Authorization State) بوسيله يک سه تايي تعريف مي شود. S: مجموعة عاملها، موجوديتهاي فعال سيستم كه به منابع دسترسي داشته و بايد از سيستم در مقابل آنها حفاظت كرد. O: مجموعة اشياء، موجوديتهايي كه بايد حفاظت شوند. (SO) A: ماتريس دسترسي، سطرها معرف عاملها و ستونها معرف اشياء هستند. Q = (S, O, A)

مدل HRU (ادامه)

مدل HRU (ادامه) انواع محدوديتهايي كه مي‌توان براي مجوزهاي دسترسي (در هر عنصر ماتريس) اعمال كرد: داده‌اي: تعيين محدوديت بر اساس مقدار داده هايي كه مورد دسترسي قرار مي‌گيرد. مثلا حقوق کمتر از 1000000. زماني: تعيين محدوديت براي زمان دسترسي. مثلاً در ساعت اداري. زمينه اي(context): تعيين محدوديت بر مبناي تركيب داده‌هايي كه مي‌تواند مورد دسترسي واقع شود (مانند نام يا حقوق يك كارمند و نه همزمان هر دو). سابقه‌اي: تعيين محدوديت بر اساس سابقة دسترسي‌هاي انجام گرفته (مانند حقوق كارمنداني که قبلا نام آنها را نخوانده است).

حالتهاي دسترسي مدل ماتريس دسترسي حالتهاي دسترسي(Access Modes): بستگي به نوع اشياء و عملکردهاي سيستم دارد. معمولاً:خواندن، نوشتن، الحاق (append) ، اجرا، و مالکيت (own) اگر مجوز مالکيت در مدخل A[s, o] ماتريس دسترسي باشد آنگاه s مالک است و مديريت مجوزهاي o را خواهد داشت.

اعمال پايه‌اي مدل ماتريس دسترسي-1 يک فرد مجاز مي تواند شش عمل پايه اي زير را انجام دهد: Enter r into A[s,o] به عامل s حق دسترسي r روي شيء o اعطا ميشود. ماتريس با اضافه شدن دسترسي r به مدخل A[s,o] تغيير ميکند. Delete r from A[s,o] از عامل s حق دسترسي r روي شيء o پس گرفته ميشود. از مدخل A[s,o]، دسترسي r حذف ميشود. Create subject s اضافه کردن يک عامل جديد به سيستم موجب اضافه کردن يک سطر و يک ستون جديد به ماتريس دسترسي ميشود.

اعمال پايه‌اي مدل ماتريس دسترسي-2 Destroy subject s عامل s را از سيستم حذف ميکند. موجب حذف شدن يک سطر و يک ستون از ماتريس دسترسي ميشود. Create object o شيء جديد o را براي محافظت در سيستم تعريف ميکند. يک ستون جديد به ماتريس دسترسي اضافه ميشود. Destroy object o شيئ o را از سيستم حذف ميکند موجب حذف ستون متناظر در ماتريس دسترسي ميشود.

جدول ص 46 کتاب : To be written on the board.

قالب دستورات در مدل HRU command c (x1, …, xk) if r1 in A[xs1, xo1] and . . . rm in A[xsm, xom] then op1 op2 opn end در هر دستور فقط وجود حقوق کنترل مي شود نه عدم وجود آن

دستورات در مدل HRU اجراي هر دستور موجب انتقال حالت Q به حالت Q’ مي شود به نحوي که opj* همان opj است که پارامترهاي صوري (x1,…xk)، با مقادير واقعي فراخواني دستور پر شده باشد. دستورات مي توانند تامين کننده نيازهاي امنيتي سيستم باشند مثال: command CONFERread (owner, friend, file) if o in A[owner, file] then enter r into A[friend, file] end

مديريت مجوزها در مدل HRU استفاده از رويکرد مالک-مبنا به عامل ها امکان مديريت مجازشماري روي اشيائي که ايجاد کرده اند داده ميشود. کپي انتقال Command TRANSFERread(S1, S2, file) if R* is in A[S1, file] then enter R into A[S2, file] Command TRANSFER_ONLYread(S1, S2, file) if R+ is in A[S1, file] then delete R+ from A[S1, file] enter R+ into A[S2, file]

پياده سازي مدل HRU

مسأله ايمني در مدل HRU آيا با داشتن يک حالت اوليه، يک حالت قابل دسترس وجود دارد که در آن يک عامل مشخص مجوز خاصي روي شيء مشخصي داشته باشد؟ در حالت کلي تصميم ناپذير. در حالات خاص تصميم پذير.

مدل اخذ – اعطا(Take-Grant) ارائه شده به وسيلة Jones et al در سال 1976 براي حفاظت از سيستم عامل و پايگاه داده ها حالت سيستم به وسيلة يك حالت مجاز مشخص مي‌شود كه يك سه‌تايي (S, O, G) است: S: مجموعة عاملها (عناصر فعال) O: مجموعة اشياء (عناصر غير فعال) G: گرافي كه حالت مجاز سيستم را مشخص مي‌كند. G=(S,O,E):

حالتهاي دسترسي مدل اخذ–اعطا -1 حالتهاي دسترسي: خواندن، نوشتن، اخذ و اعطا خواندن: يك لبه با برچسب “read” از A به B بيان مي‌كند كه عامل (شئ) A مي تواند اطلاعاتي را كه در شئ B است، بخواند. نوشتن: يك لبه با برچسب “write” از A به B بيان مي‌كند كه عامل (شئ) A مي تواند اطلاعاتي را در شئ B بنويسد.

حالتهاي دسترسي مدل اخذ–اعطا -2 اخذ: يك لبه با برچسب “take” از A به B بيان مي‌كند كه A قادر است هر مجوزي را كه B بر روي عاملها يا اشياي سيستم دارد، اخذ كند. اعطا: يك لبه با برچسب “grant” از A به B بيان مي‌كند كه A مي‌تواند مجوزهاي خود بر روي عاملها يا اشياي سيستم را، به B اعطا كند.

عمليات مدل اخذ–اعطا -1 take (d, s, x, y): عامل s ، مجوز d بر روي شئ يا عامل y را از شئ يا عامل x اخذ مي‌كند. براي انجام موفقيت‌آميز اين عمل بايد: s مجوز عمل اخذ را براي x داشته باشد. x مجوز d را بر روي y داشته باشد. s x y d t take (d, s, x, y)

عمليات مدل اخذ–اعطا -2 grant (d, s, x, y): عامل s ، مجوز d بر روي شئ يا عامل y را به شئ يا عامل x اعطا مي‌كند. s x y d g grant (d, s, x, y)

عمليات مدل اخذ–اعطا -3 create [subjectp | objectp] (s, x) : عامل s ، شئ يا عامل x را ايجاد و مجموعه مجوزهاي p روی x به او اعطا مي شود. s x Create subject p (s, x) p Create object p (s, x)

عمليات مدل اخذ–اعطا -4 remove (s, x): از عامل s ، مجموعة مجوزهاي p بر روي شئ يا عامل x را لغو مي‌شود. remove p(s, x) s x e e-p

مثال حالت اولیه: (a) r r,w O2 t S1 O1 g S2 (a) (b) (c) (d) (e) create object [r,w](s1,o2) grant (r,s1,o1,o2) take (r,s2,o1,o2) remove w(s1,o2) توجه: عامل s1 که حق خواندن روی o2 را به o1 داده بود، کنترل خود را روی انتقال حق به دیگر عاملها از دست داد و s2 توانست حق خواندن را بدون کنترل s1 داشته باشد.

محدودیتهای اخذ-اعطا عدم انتخاب پذیری حقوق مدیریتی (Non-selectivity of administration rights) عدم وجود کنترل بروی انتشار مجازشماریها (No control on propagation of authorizations) محلی نبودن، مجوزها از/به يک دامنه بدون توجه به مجوزهای موجود در آن دامنه جريان مي يابد. (Non locality) معکوس پذیری جریان انتقال مجوزها (Reversibility of the privileges transport flow)

مثالی از معکوس پذیری جریان انتقال مجوزها g O g,t S2 S1 (c) (b) (a)

مدل کنترل دسترسی Acten-1 ارائه شده توسط بوسولاتی و دیگر همکارانش در سال 1983 گسترش یافته مدل TG رفع دو محدودیت حل مشکل عدم انتخاب پذیری حقوق مدیریتی گسترش کنترل روی جریان انتقال حقوق استفاده از دو گراف مجزا مجازشماریهای دسترسی مجازشماریهای مدیریتی 33

مدل کنترل دسترسی Acten-2 هر عنصر مرتبط با امنیت به عنوان یک موجودیت(Entity) قلمداد میشود. شامل عاملها(Subjects) و اشیاء (Objects) میباشد. موجودیت ها انواع منابع می باشند. حالات دسترسی: می توانند ایستا و یا پویا باشند. به هردوی این حالات عمل(Action) گفته میشود. 34

حالات دسترسی مدلActen -1 حالات دسترسی ایستا اعمال ایستا: با انجام این اعمال حالت مجازشماری سیستم تغییر نمی کند. حالات دسترسی پویا اعمال پویا: با اجرای این اعمال حالت مجاز شماری تغییر میکند، چون به حقوق دسترسی اضافه یا کم می کند. 35

حالات دسترسی مدلActen -2 حالات دسترسی ایستا اعمال ایستا: با انجام این اعمال حالت مجازشماری سیستم تغییر نمی کند. Use: میان کاربران، اپراتورها، منابع I/O و برنامه های کاربردی Read: برای دسترسی به محتوای یک موجودیت Update: برای تغییر و یا دستکاری یک موجودیت Create: برای اضافه کردن یک موجودیت به سیستم Delete: برای حذف موجودیتها از سیستم 36

حالات دسترسی مدلActen -3 حالات دسترسی پویا اعمال پویا: با اجرای این اعمال حالت مجاز شماری تغییر میکند، چون به حقوق دسترسی اضافه یا کم می کند. Grant: اگر Ei دارای این حق بروی Ej مرتبط با حالت دسترسی ایستای m باشد و مرتبط با موجودیت Ek باشد، اجازه می دهد Ei به Ej حق دسترسی m روی Ek را اعطا نماید. Revoke Delegate: اگر Ei دارای این حق بروی Ej مرتبط با حالت دسترسی ایستای m باشد و ارجاع به موجودیت Ek داشته باشد، اجازه می دهد Ei به Ej حق دسترسی پویای grant را مرتبط با m روی Ek اعطا نماید. Abrogate 37

حالات دسترسی مدلActen -4 اگر موجودیت Ei بالاترین حالت سطح دسترسی (Create/Delete) و حق Delegate/Abrogate را روی موجودیت Ej داشته باشد، Ei مالک Ej خواهد بود. مالک یک موجودیت یکتا است. حق مجازشماری Delegate/Abrogate تنها به مالک داده میشود. 38

حالات دسترسی مدلActen -5 حالات دسترسی به صورت سلسله مراتبی مرتب هستند. اگر Ei بروی Ej حالت دسترسی در سطح L را داشته باشد، بروی Ej حالت دسترسی در تمام سطوح L’ را دارد اگر L’<L اگر یک حالت دسترسی از Ei گرفته شود حالات دسترسی در تمام سطوح بالاتر نیز گرفته میشود. Create/Delete 4 Update 3 Read 2 Use 1 Delegate/Abrogate 2 Grant/Revoke 1 حالات دسترسی ایستا حقوق دسترسی مدیریتی 39

مجازشماری های مدلActen -1 مجازشماری یک رابطه دودویی میان موجودیتها است: به وسیله موجودیتها، حالات دسترسی، یک جهت (direction) و یک یا چند صفت (attribute) که گزاره (predicate) نامیده میشوند، مشخص می شود. گزاره ها همان شرایطی هستند که با ارضا شدن آنها دسترسی مجاز شمرده می شود. گزاره ها تنها شرایط سیستم را در نظر میگیرند مانند زمان(time) و مبدا(origin) برای ایجاد یک موجودیت محدودتر گزاره های وابسته به مقدار باید به موجودیت اِعمال گردد. 40

مجازشماری های مدلActen -2 مجازشماری ایستا a حالت دسترسی مجاز Ei بروی Ej است اگر شرط Pij برآورده شود. مجازشماری پویا a حالت دسترسی است که می تواند مدیریت شود Ek موجودیتی است که حق دسترسی به آن مربوط است. Ei موجودیتی است که آن دسترسی را مدیریت می کند. Ej موجودیتی است که حقوق دسترسی آن می تواند اعطا و یا از آن باز پس گرفته شود. Aij = a ~ {Pij} Aij/k = a ~ {Pij} 41

دسته بندی موجودیت ها در مدلActen برای هر موجودیت دو مجموعه تعریف می شود: وضعیت مجازشماری(Authorization State) تمام مجازشماریهایی که این موجودیت روی دیگر موجودیت های سیستم دارد وضعیت حفاظتی(Protection State) تمام مجازشماریهایی که دیگر موجودیتهای سیستم روی این موجودیت دارند با توجه به Sa و Sp، موجودیتها به دسته بندی میشوند: موجودیت های فعال موحودیت های غیر فعال موجودیت های فعال/غیر فعال : هر دو شرط بالا برقرار باشد Sa Sp 42

ساختارهای مدلActen عنصرهای مدل با دو گراف نمایش داده میشوند: SG: شامل مجازشماریهای اعمال ایستا نودهای گراف: موجودیتها یالهای گراف: مجازشماری ها یالهای دارای X: مجازشماریهای دارای شرط DG: شامل مجازشماریهای اعمال پویا نودها و یالها مشابه SG یالهای دارای | و با برچسب DA SA {M}: به معنی داشتن مجازشماری مدیریتی DA روی حالت دسترسی ایستای SA روی موجودیت M 43

گراف ایستا 44

گراف پویا 45

ساختارهای داده ای در مدلActen-1 جدول کلاسهای امنیتی برای هر Ei اطلاعات زیر نگه داشته میشود: عمل ایستای Ai+ در بالاترین سطحی که Ei میتواند روی موجودیتهای سیستم اجرا نماید : پتانسیل فعالانه Ei عمل ایستای Ai- در پایین ترین سطحی که میتواند برروی Ei توسط موجودیتهای سیستم اجرا گردد :پتانسیل منفعلانه Ei هیچ پتانسیل فعالانه ای برای موجودیتهای منفعل تعریف نمی شود هیچ پتانسیل منفعلانه ای برای موجودیتهای فعال تعریف نمی شود این جدول به مدیر این امکان را میدهد که به هر موجودیت یک سطح مجازشماری و یک سطح حفاظتی اختصاص دهد. 46

جدول کلاسهای امنیتی Potentiality Action E1: user A1+ Update A1- - E2: application A2+ A2- Create/delete E3: Peripheral A3+ A3- Use E4: Data Record A4+ A4- E5: Application A5+ A5- 47

ساختارهای داده ای در مدلActen-2 جدول وضعیتهای موجودیت موجودیتهای مالک و موجودیتهای تحت مالکیت آنها را نشان میدهد. جدول سلسله مراتب اعمال لیست سلسله مراتبی اعمال ایستا و پویا را نشان میدهد Owner entity Owned entities E1 E8, E5, E7 E4 E6 E7 E3, E2 48

قواعد سازگاری و انتقال در Acten-1 قواعد سازگاری داخلی(Internal Consistency Rules) ساختار گرافهای SG و DG باید با ساختار، طبیعت و روابط امنیتی سیستم حفاظت شده، سازگار باشد. قواعد سازگاری دو جانبه(Mutual Consistency Rules) گرافهای SG و DG باید در نمایش مجوزها باهم سازگار باشند. قواعد تبدیل(Transformation Rules) این قواعد، مجازشماریهای غیرمستقیم و انتشار حقوق دسترسی را کنترل می کند. 49

قواعد سازگاری و انتقال در Acten-2 قواعد سازگاری داخلی برای SG تنها حالات دسترسی ای می تواند توسط/ روی یک موجودیت سیستم اجرا شود که متناسب با نوع و یا نقش آن موجودیت باشد. حالت دسترسی use برای فایلها مبهم است حالت دسترسی delete نمی تواند بروی دستگاههای جانبی اجرا گردد. 50

قواعد سازگاری و انتقال در Acten-3 قواعد سازگاری داخلی برای DG دارای 4 قاعده اصلی فرض کنید Ej مالک Ek باشد. هیچ موجودیت دیگری مانند Ei ( i, k ≠ j, k ≠ i) نمیتواند مجازشماری Aij/k از نوع Grant SA را داشته باشد (SA هر عمل ایستایی میتواند باشد) یک موجودیت Ei میتواند برای اجرای اعمال delegate/abrogate بروی Ek مجاز شمرده شود اگگر Ei مالک Ek باشد فرض کنید Ej یک موجودیت مجاز برای اعطای یک حالت دسترسی ایستای سطح L’ روی Ek به موجودیت Em باشد( یعنی دارای حق Grant برای یک حالت دسترسی ایستای سطح L’ روی Ek به موجودیت Em باشد). Ei (مالک Ek) می تواند Aij/k از نوع Delegate SA را تنها در صورتی اجرا نماید که L(SA)>L’ باشد موجودیت گیرنده Ej می تواند حالت دسترسی ایستای SA در سطح L که بوسیله یک عمل Delegate بدست آمده است را به Emهایی اعطا (grant) کند که پتانسیل فعالانه (A+) آنها سطحی بالاتر یا مساوی از L باشد. 51

قواعد سازگاری و انتقال در Acten-4 قواعد تبدیل برای SG هدف: تمام مجوزهایی که یک موجودیت بروی دیگر موجودیتها به صورت غیر مستقیم دارد را نشان دهد. فرض کنید سه موجودیت Ei، Ej و Ez و دو مجازشماری Aij و Ajz تعریف شده اند هر قاعده، Aiz هایی را استخراج می کند که با اجرای زنجیره مجازشماری Aij-Ajz بدست می آید هر قاعده تبدیل به صورت Aiz = F(Aij, Ajz, Ei, Ez) تعریف میشود. سطح Aiz نمی تواند بالاتر از سطح پتانسیل فعالانهEi و یا پایین تر از سطح پتانسیل منفعلانه Ez باشد. 52

قواعد سازگاری و انتقال در Acten-5 قواعد تبدیل برای SG-ادامه الگوریتمF: L(Ai+) نشان دهنده سطح مجازشماری A می باشد. اگرگزاره متناظر Aij و Ajz برابر Pij, Pjz باشد، گزاره شرطی متناظرAiz برابر خواهد بود با: 53

54

قواعد سازگاری و انتقال در Acten-6 قواعد تبدیل برای DG هدف: برای کنترل کردن جریان مجوزها به کار می رود. یعنی جریان اعمال پویا و ایستا را که به واسطه اجرای اعمال پویا به وجود می آید، بررسی می کند. مثال: اگر کاربر E1 بتواند مجوز update روی فایل E3 را به کاربر E2 اعطا (grant) کند، و E2 بتواند مجوز read را روی همان فایل E3 به برنامه کاربردی E4 اعطا کند، پس E1 می تواند به صورت غیر مستقیم به E4 بواسطه یک زنجیره ای از موجودیتهای E1، E2 و E4، یک مجوز را اعطا(grant) کند. مفهوم مجازشماری غیر مستقیم: مجازشماری هایی که می تواند در نتیجه اجرای یک یا چند اعمال پویا بوجود آید 55

قواعد سازگاری و انتقال در Acten-7 قواعد تبدیل برای DG -ادامه فرض کنید سه موجودیت Ei، Ej و Ez و دو عمل پویای Aij/k و Ajz/k بروی موجودیت مشترک Ek تعریف شده اند هر قاعده، مجازشماری های غیر مستقیم Aiz/k را استخراج می کند مجازشماری غیر مستقیم همواره بوجود نمی آید. زمانی به وجود می آید که مجازشماری Ajz/k به Aij/k وابستگی دارد؛ اجرای Ajz/kتابع امکان اجرای Aij/k است. قاعده: با داشتن یک مجازشماری Aij/k از نوع delegate SA” یا grant SA” و یک مجازشماریAjz/k از نوع grant SA’ که تابع Aij/k است، یک مجازشماری غیر مستقیم Aiz/k (اگر وجود داشته باشد) می تواند بوسیله قاعده زیر محاسبه شود: SA=F(SA”, SA’, Ei, Ez) 56

57

قواعد سازگاری و انتقال در Acten-8 قواعد سازگاری دو جانبه برای SG و DG هدف: این قواعد تضمین می کنند که حقوق پویا سازگار با وضعیت مجازشماریهای حالات دسترسی هستند و برعکس قواعد: Ei می تواند حق اجرای عمل ایستای SA در سطح L را بروی Ek به Ej اعطا (grant) نماید، اگگر در SG، Ei بتواند SA’ از سطح L’>= L بروی Ek را اجرا نماید. اگر Ej بتواند عمل ایستای Ajk را در سطح L اجرا کند، در گراف DG، Ei می تواند به Ej تنها مجوز اجرای مجازشماری های ایستا در سطح L’>L روی Ek را بدهد. برای هر مجازشماری Aij/k از نوع delegate SA، ..متناظر Aik از نوع create/delete باید در SG وجود داشته باشد 58

پایان 59