مروري بر مدلهاي کنترل دسترسي مشبک-مبنا

32
- ک ب ش م ي س ر ست رل د ت ن ک هاي ل ر مد ب وري ر م- ک ب ش م ي س ر ست رل د ت ن ک هاي ل ر مد ب وري ر م ا# ب ب م ا# ب ب م% ان ري# عف ج رهادي# عف ج% ان ري# عف ج رهادي# عف ج[email protected]

Upload: jill

Post on 23-Jan-2016

88 views

Category:

Documents


6 download

DESCRIPTION

مروري بر مدلهاي کنترل دسترسي مشبک-مبنا. جعفرهادي جعفريان [email protected]. مقدمه. محرمانگي، جلوگيري از افشاي غيرمجاز اطلاعات صحت، جلوگيري از تغيير غيرمجاز اطلاعات دسترس پذيري، جلوگيري از با منع دسترسي ( DoS ) هدف مدلهاي کنترل دسترسي مشبک- مبنا، کنترل جريان اطلاعات است - PowerPoint PPT Presentation

TRANSCRIPT

مروري بر مدلهاي کنترل مروري بر مدلهاي کنترل دسترسي مشبک-مبنادسترسي مشبک-مبنا

جعفرهادي جعفريانجعفرهادي جعفريان[email protected]

2929از از 15/11/8515/11/8522

مقدمهمقدمه

محرمانگي، جلوگيري از افشاي غيرمجاز اطالعاتمحرمانگي، جلوگيري از افشاي غيرمجاز اطالعاتصحت، جلوگيري از تغيير غيرمجاز اطالعاتصحت، جلوگيري از تغيير غيرمجاز اطالعات دسترس پذيري، جلوگيري از با منع دسترسي دسترس پذيري، جلوگيري از با منع دسترسي

((DoSDoS))-مبنا، کنترل جريان مبنا، کنترل جريان هدف مدلهاي کنترل دسترسي مشبک-هدف مدلهاي کنترل دسترسي مشبک

اطالعات استاطالعات استدر کنترل جريان اطالعاتدر کنترل جريان اطالعات

محرمانگي هدف مرکزي استمحرمانگي هدف مرکزي استصحت تا حدي مورد نظر استصحت تا حدي مورد نظر استدسترس پذيري اهميت چنداني ندارددسترس پذيري اهميت چنداني ندارد

کنترل جريان اطالعاتکنترل جريان اطالعات

هاي هاي تعيين مسيرهاي مجاز و جلوگيري از جريانتعيين مسيرهاي مجاز و جلوگيري از جريانغيرمجاز با هدفغيرمجاز با هدف

حفظ محرمانگيحفظ محرمانگيهاي هاي شدن اطالعات به سوي موجوديتشدن اطالعات به سوي موجوديت جلوگيري از جاريجلوگيري از جاري

غيرمجازغيرمجاز

حفظ صحتحفظ صحتهاي هاي شدن اطالعات به سوي موجوديتشدن اطالعات به سوي موجوديت جلوگيري از جاريجلوگيري از جاري

با صحت پايينبا صحت پايين

2929از از 15/11/8515/11/8533

کنترل جريان اطالعات: کنترل جريان اطالعات: رويکردهارويکردها

دو رويکرد کلي دو رويکرد کلي بيان خصوصيات مورد انتظار امنيتي در فرايند توليد بيان خصوصيات مورد انتظار امنيتي در فرايند توليد

افزارافزار هاي مهندسي نرمهاي مهندسي نرم با رويهبا رويه

مبنامبنا هاي کنترل دسترسي مشبکهاي کنترل دسترسي مشبک استفاده از مدلاستفاده از مدلمبنامبنا هاي مشبکهاي مشبک مشيمشي انتزاعي از خطانتزاعي از خط

هاي جريان اطالعاتهاي جريان اطالعات مشيمشي خطخطنوع خاصي از نوع خاصي از

2929از از 15/11/8515/11/8544

2929از از 15/11/8515/11/8555

خط مشي هاي جريان خط مشي هاي جريان اطالعاتاطالعات

هدف: کنترل جريان اطالعات بين کالسهاي امنيتيهدف: کنترل جريان اطالعات بين کالسهاي امنيتي به هر شيء يک کالس امنيتي تخصيص داده مي به هر شيء يک کالس امنيتي تخصيص داده مي

شودشود( تعريف خط مشي جريان اطالعات( تعريف خط مشي جريان اطالعاتDenningDenning:):)

يک سه تايي يک سه تايي<<SCSC> ,→,> ,→, که در آن که در آن SCSC مجموعه اي از مجموعه اي از يک رابطه دوتايي به يک رابطه دوتايي به SC*SCSC*SC→→کالسهاي امنيتي است، کالسهاي امنيتي است،

يک يک SC * SC → SCSC * SC → SC : : است و است و SCSC روي روي can-flowcan-flowنام نام است، است، SCSCعملگر پيوند روي عملگر پيوند روي

kَkَA B = CA B = C اشيائي که شامل اطالعاتي از کالسهاي : اشيائي که شامل اطالعاتي از کالسهاي : بايد برچسب بايد برچسب CC هستند باکالس امنيتي هستند باکالس امنيتي BB و و AAامنيتي امنيتي

گذاري شوندگذاري شوند

2929از از 15/11/8515/11/8566

Isolated Isolatedکالسهاي مجزا )کالسهاي مجزا )ClassesClasses))

يک مثال بديهي از يک خط مشي جريان اطالعاتيک مثال بديهي از يک خط مشي جريان اطالعات هيچ جريان اطالعاتي بين کالسهاي امنيتي مختلف هيچ جريان اطالعاتي بين کالسهاي امنيتي مختلف

وجود نداردوجود نداردSC = {ASC = {A11……,A,Ann}}

براي برايi=1...ni=1...n داريم داريم AAii →A →Aii و و AAii A Aii=A=Aii

براي برايi,j=1..ni,j=1..n و و i ji j:داريم: داريم Ai →/ AjAi →/ Aj و و AAii A Ajj تعريف نشده استتعريف نشده است

2929از از 15/11/8515/11/8577

خط مشي باال - پايينخط مشي باال - پايين

( تنها دو کالس امنيتي باال( تنها دو کالس امنيتي باالHH)) ( و پايين ( و پايين LL وجود ) وجود )دارددارد

تنها جريان اطالعات غير مجاز از تنها جريان اطالعات غير مجاز ازHH به به LL.است. است SC = {H,L}SC = {H,L} و و ({ = →({ = →H,HH,H(,)(,)L,LL,L(,)(,)L,HL,H})})عمليات به صورت زير تعريف شده استعمليات به صورت زير تعريف شده است

L H = HL H = HL L = LL L = LH L = HH L = H

دياگرام هاس

يک مدل آگاه از زمينه ي کنترل يک مدل آگاه از زمينه ي کنترل جريان اطالعات - جعفرهادي جريان اطالعات - جعفرهادي

5555 ازاز 88جعفريانجعفريان

مشي جريان اطالعات متضمن عدم وجود مشي جريان اطالعات متضمن عدم وجود خطخط

نيستنيستجريان غيرمجاز جريان غيرمجاز اگر اگرa a c c و و b b c c آنگاه آنگاه a a b b c c

مبنا مبنا مشي مشبکمشي مشبک خطخط

e

c

a b

يک مدل آگاه از زمينه ي کنترل يک مدل آگاه از زمينه ي کنترل جريان اطالعات - جعفرهادي جريان اطالعات - جعفرهادي

5555 ازاز 99جعفريانجعفريان

مبنا مبنا مشي مشبکمشي مشبک خطخط )ادامه()ادامه(

بودن، شرط کافي براي تضمين عدم وجود جريان بودن، شرط کافي براي تضمين عدم وجود جريان مشبکمشبک

غيرمجازغيرمجاز

مشي )اصول موضوعه دنينگ(:مشي )اصول موضوعه دنينگ(: بودن يک خطبودن يک خط شرط مشبکشرط مشبکهاي هاي ي کالسي کالس متناهي بودن مجموعهمتناهي بودن مجموعهSCSC( مرتب بودن رابطه قابل جريان � � مرتب بودن رابطه قابل جريان )جزئا SCSC( روي ( روي جزئاي ي دارا بودن کران پايين نسبت به رابطهدارا بودن کران پايين نسبت به رابطهتعريف � � تعريفکوچکترين کران باالي کامال شده براي عملگر شده براي عملگر کوچکترين کران باالي کامال

مبناستمبناست مشي باال-پايين مشبکمشي باال-پايين مشبک خطخط

2929از از 15/11/8515/11/851010

اصل موضوعه اول اصل موضوعه اول DenningDenning

محدود بودن تعداد کالسهاي امنيتي موجود در محدود بودن تعداد کالسهاي امنيتي موجود درSCSC تعداد کالسهاي امنيتي موجود در تعداد کالسهاي امنيتي موجود درSCSCثابت است ثابت است اما تعداد اشياء مي تواند بصورت پويا تغيير کنداما تعداد اشياء مي تواند بصورت پويا تغيير کند اصول موضوعه مربوط به کالسهاي امنيتي است اصول موضوعه مربوط به کالسهاي امنيتي است

نه اشياءنه اشياء

2929از از 15/11/8515/11/851111

اصل موضوعه دوم اصل موضوعه دوم DenningDenning

→→ يک رابطه ترتيب جزئي روي يک رابطه ترتيب جزئي روي SCSCاست است تعدي بدين معناست که اگر تعدي بدين معناست که اگرA → BA → B و و B → CB → C آنگاه آنگاه A A

→ C→ C اگر يک جريان غير مسقتيم از اگر يک جريان غير مسقتيم ازAA به به CC ،وجود داشته باشد، وجود داشته باشد

مفروض است مفروض استCC به به AAآنگاه يک جريان مستقيم از آنگاه يک جريان مستقيم از در برخي سيستمها، چنين فرضي درست نيستدر برخي سيستمها، چنين فرضي درست نيست

مثال در يک سيستم جريان از مثال در يک سيستم جريان ازHH به به LL تنها در صورت وجود يک تنها در صورت وجود يک دستگاه سنکرون کننده امکان پذير است، يعني:دستگاه سنکرون کننده امکان پذير است، يعني:

H → SanH → San و و San → LSan → L اما اما H → / LH → / L با توجه به خاصيت بازتابي و تعدي، خاصيت عدم تقارن با توجه به خاصيت بازتابي و تعدي، خاصيت عدم تقارن

به معناي حذف کالسهاي امنيتي تکراري استبه معناي حذف کالسهاي امنيتي تکراري استA →BA →B و و B → AB → A آنگاه آنگاه A = BA = B

2929از از 15/11/8515/11/851212

اصل موضوعه سوم اصل موضوعه سوم DenningDenning

وجود کران پايين وجود کران پايينLL براي براي SCSC يعني ، يعني ،L → AL → A اين اصل موضوعه به معناي وجود اطالعات اين اصل موضوعه به معناي وجود اطالعات

عمومي در سيستم استعمومي در سيستم است به عنوان مثال، اطالعات درباره ثابت ها بايد به عنوان مثال، اطالعات درباره ثابت ها بايد

اجازه جريان يافتن به هر شيء ديگري را اجازه جريان يافتن به هر شيء ديگري را داشته باشدداشته باشد

2929از از 15/11/8515/11/851313

اصل موضوعه چهارم اصل موضوعه چهارم DenningDenning

:کامال تعريف شده: کامال تعريف شدهA BA B براي هر جفت کالس امنيتي براي هر جفت کالس امنيتي تعريف شده باشد تعريف شده باشدSCSCمتعلق به متعلق به

عملگر پيوند يک کوچکترين کران باالستعملگر پيوند يک کوچکترين کران باالست :خاصيت اول: خاصيت اولA → A BA → A B، ، B → A BB → A B خاصيت دوم: اگر خاصيت دوم: اگرA → CA → C و و B → CB → C آنگاه آنگاه A B → CA B → C

کوچکترين کران باال يک عملگر انجمني و جابجايي پذير کوچکترين کران باال يک عملگر انجمني و جابجايي پذيراستاست

،عملگر پيوند مي تواند به هر تعداد کالس امنيتي اعمال شود، عملگر پيوند مي تواند به هر تعداد کالس امنيتي اعمال شودA1 A2 A1 A2 …… An An

يک مدل آگاه از زمينه ي کنترل يک مدل آگاه از زمينه ي کنترل ييجريان اطالعات - جعفرهادجريان اطالعات - جعفرهاد

5555 ازاز 1414انانييجعفرجعفر

هاي کنترل دسترسي هاي کنترل دسترسي مدلمدلمبنامبنا مشبکمشبک

مبنامبنا هاي مشبکهاي مشبک مشيمشي انتزاعي از خطانتزاعي از خط

هاي پنهانهاي پنهان مشکل کانالمشکل کانال

کنترل دسترسي کنترل دسترسي هاي هاي ي بزرگي از مدلي بزرگي از مدل دستهدستهمبنا هستند.مبنا هستند. ، مشبک، مشبکاجبارياجباري

الپادوال، بيبا، دايونالپادوال، بيبا، دايون هاي بلهاي بل مدلمدلمشي ديوار چينيمشي ديوار چيني خطخط

2929از از 15/11/8515/11/851515

مشبک نظاميمشبک نظامي

ساده ترين شکل خط مشي جريان اطالعات ساده ترين شکل خط مشي جريان اطالعات يک ترتيب يک ترتيب can-flowcan-flowوقتي رخ مي دهد که رابطه وقتي رخ مي دهد که رابطه

کلي يا خطي از کالسهاي امنيتي باشد.کلي يا خطي از کالسهاي امنيتي باشد.هيچ دو کالس غير قابل مقايسه اي وجود نداردهيچ دو کالس غير قابل مقايسه اي وجود ندارد اين کالسهاي امنيتي در سيستمهاي نظامي عبارتند اين کالسهاي امنيتي در سيستمهاي نظامي عبارتند

از:از:TSTS ،)فوق سري(، )فوق سري( SS)سري()سري(CC)محرمانه()محرمانه(UU)طبقه بندي نشده()طبقه بندي نشده(

2929از از 15/11/8515/11/851616

مشبک نظامي )ادامه(مشبک نظامي )ادامه(

( شکل مقابل يک مشبک زيرمجموعه )شکل مقابل يک مشبک زيرمجموعهsubset subset latticelatticeرا نشان مي دهد( را نشان مي دهد )

رابطه رابطهcan-flowcan-flowهمان رابطه همان رابطه زير مجموعه استزير مجموعه است

عملگر پيوند همان عملگر اجتماععملگر پيوند همان عملگر اجتماع است است

AA و و BB( طبقه ( طبقه categorycategory))ناميده مي شوندناميده مي شوند

2929از از 15/11/8515/11/851717

مشبک نظامي )ادامه(مشبک نظامي )ادامه(

در محيطهاي نظامي، مشبک کامال مرتب و مشبک در محيطهاي نظامي، مشبک کامال مرتب و مشبکزير مجموعه با هم ادغام مي شوندزير مجموعه با هم ادغام مي شوند

:هر کالس امنيتي دو مولفه دارد:هر کالس امنيتي دو مولفه دارديک مولفه از مشبک کامال مرتبيک مولفه از مشبک کامال مرتبيک مولفه از مشبک زير مجموعهيک مولفه از مشبک زير مجموعه

يک برچسب بر برچسب ديگر تفوق دارد اگر مولفه يک برچسب بر برچسب ديگر تفوق دارد اگر مولفههاي برچسب اول بر مولفه هاي برچسب دوم هاي برچسب اول بر مولفه هاي برچسب دوم

تفوق داشته باشندتفوق داشته باشند حاصل پيوند دو برچسب، حاصل پيوند مولفه هاي حاصل پيوند دو برچسب، حاصل پيوند مولفه هاي

مرتبط آنهاستمرتبط آنهاست

2929از از 15/11/8515/11/851818

Bell-LaPadulaBell-LaPadulaمدل مدل

ايده اصلي ايده اصليBLPBLP افزودن خط مشهاي اجباري به افزودن خط مشهاي اجباري به مدل کنترل دسترسي اختياري در جهت حصول مدل کنترل دسترسي اختياري در جهت حصول

خط مشي هاي جريان اطالعات مي باشدخط مشي هاي جريان اطالعات مي باشد در مدل در مدلBLPBLP:کنترل يک دسترسي دو مرحله دارد: کنترل يک دسترسي دو مرحله دارد

ابتدا مجازشناسي درخواست دسترسي بر اساس يک ابتدا مجازشناسي درخواست دسترسي بر اساس يکDDماتريس دسترسي اختياري ماتريس دسترسي اختياري

و سپس، مجازشناسي درخواست بر اساس خط مشي و سپس، مجازشناسي درخواست بر اساس خط مشيهاي اجباريهاي اجباري

2929از از 15/11/8515/11/851919

)ادامه()ادامه(Bell-LaPadulaBell-LaPadulaمدل مدل

به هريک از موجوديت هاي سيستم يک برچسب به هريک از موجوديت هاي سيستم يک برچسبامنيتي تخصيص داده مي شودامنيتي تخصيص داده مي شود

( برچسبهاي اشياء طبقه بندي امنيتي )برچسبهاي اشياء طبقه بندي امنيتيsecurity security classificationclassificationناميده مي شود( ناميده مي شود )

( برچسب کاربر، مجوز امنيتي( برچسب کاربر، مجوز امنيتيsecurity clearancesecurity clearance)) ناميده مي شودناميده مي شود

يک کاربر مي تواند با عاملهايي با سطح امنيتي پائين يک کاربر مي تواند با عاملهايي با سطح امنيتي پائينتر از سطح امنيتي خودش وارد سيستم شودتر از سطح امنيتي خودش وارد سيستم شود

2929از از 15/11/8515/11/852020

)ادامه()ادامه(Bell-LaPadulaBell-LaPadulaمدل مدل

اگر اگرλλ نشانگر برچسبهاي امنيتي منتسب به عاملها يا نشانگر برچسبهاي امنيتي منتسب به عاملها يا عبارتند از: عبارتند از:BLPBLPاشياء باشد، قوانين اشياء باشد، قوانين

( خاصيت امنيتي ساده( خاصيت امنيتي سادهss-propertyss-property عامل :) عامل :)ss مي تواند مي تواند λλ(s)≥ (s)≥ λλ(o)(o) را بخواند اگر را بخواند اگر ooشيء شيء

( خاصيت ستاره( خاصيت ستاره-*-*propertyproperty عامل :) عامل :)ss مي توان در شيء مي توان در شيء oo λλ(s) ≤ (s) ≤ λλ(o)(o)بنويسد اگر بنويسد اگر

اين دو قاعده از ديدگاه جريان اطالعات قابل اين دو قاعده از ديدگاه جريان اطالعات قابلتوجيهندتوجيهند

در عمل خواندن، جريان اطالعات از شي به عامل استدر عمل خواندن، جريان اطالعات از شي به عامل استدر عمل نوشتن، جريان اطالعات از عامل به شيء استدر عمل نوشتن، جريان اطالعات از عامل به شيء است

عکس رابطه تفوق است عکس رابطه تفوق است→→رابطه رابطه A → BA → B B ≥ AB ≥ A

2929از از 15/11/8515/11/852121

)ادامه()ادامه(Bell-LaPadulaBell-LaPadulaمدل مدل

ديگر عملياتهاديگر عملياتها بر اساس مدل بر اساس مدلBLPBLP همه عملياتهاي سيستم ماهيتي خواندني يا ، همه عملياتهاي سيستم ماهيتي خواندني يا ،

((alteration vs. observationalteration vs. observationنوشتني دارند )نوشتني دارند )( به عنوان مثال عمليات از بين بردن شيء( به عنوان مثال عمليات از بين بردن شيءdestroy objectdestroy object از نوع ،) از نوع ،)

نوشتني است، چراکه منجر به تغيير حالت شيء مي شودنوشتني است، چراکه منجر به تغيير حالت شيء مي شود قوانين قوانينBLPBLP( “ماهيت ”اگر ( “ماهيت ”اگر only ifonly if دارند، چون تنها شرط ) دارند، چون تنها شرط )

الزمندالزمندss-propertyss-property در مورد کاربران و برنامه ها مورد استفاده قرار در مورد کاربران و برنامه ها مورد استفاده قرار

مي گيردمي گيردامااما-* -* propertyproperty فقط در مورد برنامه هاست فقط در مورد برنامه هاست

کاربري با برچسب امنيتي سري براي نوشتن در يک مستند طبقه بندي کاربري با برچسب امنيتي سري براي نوشتن در يک مستند طبقه بندينشده مي تواند به عنوان يک عامل طبقه بندي نشده وارد سيستم شودنشده مي تواند به عنوان يک عامل طبقه بندي نشده وارد سيستم شود

2929از از 15/11/8515/11/852222

)ادامه()ادامه(Bell-LaPadulaBell-LaPadulaمدل مدل

يک ايراد يک ايراد-*-*propertyproperty اين است که يک عامل اين است که يک عامل طبقه بندي نشده مي تواند در يک فايل سري طبقه بندي نشده مي تواند در يک فايل سري

بنويسدبنويسد براي جلوگيري از اين مشکل صحت، خاصيت براي جلوگيري از اين مشکل صحت، خاصيت

( ارائه ( ارائه modified *-propertymodified *-propertyستاره اصالح شده )ستاره اصالح شده )λλ(s) = (s) = λλ(o)(o)شده است که در آن شده است که در آن

2929از از 15/11/8515/11/852323

)ادامه()ادامه(Bell-LaPadulaBell-LaPadulaمدل مدل

( مدلهاي کنترل دسترسي اجباري، مشکل کانالهاي پنهان )مدلهاي کنترل دسترسي اجباري، مشکل کانالهاي پنهانcovert covert channelschannelsرا حل نمي کنند( را حل نمي کنند )

يک عامل سري، مي تواند مقدار زيادي حافظه در سيستم استفاده کند يک عامل سري، مي تواند مقدار زيادي حافظه در سيستم استفاده کندو يک عامل طبقه بندي نشده، مي تواند با بررسي حافظه موجود، از و يک عامل طبقه بندي نشده، مي تواند با بررسي حافظه موجود، از

اين قضيه مطلع شوداين قضيه مطلع شود کانالهاي پنهان يکي از مشکالت اساسي در خط مشي هاي کانالهاي پنهان يکي از مشکالت اساسي در خط مشي هاي

جريان اطالعات هستندجريان اطالعات هستند مدلهاي مشبک – مبنا مشکل کانال پنهان را مورد توجه قرار مدلهاي مشبک – مبنا مشکل کانال پنهان را مورد توجه قرار

نداده اندنداده اند اين مدلها به دنبال کنترل جريان اطالعات بين اشيائي هستند که صريحا اين مدلها به دنبال کنترل جريان اطالعات بين اشيائي هستند که صريحا

به منظور به اشتراک گذاري و ردوبدل اطالعات طراحي شده اندبه منظور به اشتراک گذاري و ردوبدل اطالعات طراحي شده اند مشکل جلوگيري از کانالهاي پنهان، يک مساله مهندسي محسوب مي مشکل جلوگيري از کانالهاي پنهان، يک مساله مهندسي محسوب مي

گرددگردد

2929از از 15/11/8515/11/852424

BibaBibaمدل مدل

مفهوم اصلي در مدل مفهوم اصلي در مدلBibaBiba اين است که اين است که اطالعات با صحت پائين نبايد به اشياء با اطالعات با صحت پائين نبايد به اشياء با

صحت باال جريان يابند در حالي که عکس صحت باال جريان يابند در حالي که عکس آن امکان پذير استآن امکان پذير است

2929از از 15/11/8515/11/852525

BibaBibaمدل مدل

اگر اگرωω ،برچسبهاي صحتي اشياء و عاملها را نشان دهد، برچسبهاي صحتي اشياء و عاملها را نشان دهد عبارتند از: عبارتند از:BibaBibaقوانين صحتي مدل قوانين صحتي مدل

( خاصيت صحتي ساده( خاصيت صحتي سادهsimple-integrity propertysimple-integrity property عامل :) عامل :)ss ωω(s) ≤ (s) ≤ ωω(o)(o) را بخواند اگر را بخواند اگر ooمي تواند شيء مي تواند شيء

( خاصيت ستاره صحتي( خاصيت ستاره صحتيintegrity *-propertyintegrity *-property عامل :) عامل :)ss مي مي ωω(s) ≥ (s) ≥ ωω(o)(o) بنويسد اگر بنويسد اگر ooتواند در شيء تواند در شيء

معادل رابطه تفوق است معادل رابطه تفوق است→→رابطه رابطه A → BA → B B ≤ AB ≤ A

اين دو خصيصه همزاد خصيصه هاي معادل در اين دو خصيصه همزاد خصيصه هاي معادل درBLPBLP هستندهستند

2929از از 15/11/8515/11/852626

BLPBLP و و BibaBibaادغام مدلهاي ادغام مدلهاي

تفاوت عمده اي بين مدلهاي تفاوت عمده اي بين مدلهايBLPBLP و و BibaBiba وجود وجود نداردندارد

هر دو سعي در کنترل جريان در مشبکي از هر دو سعي در کنترل جريان در مشبکي ازکالسهاي امنيتي دارند که در آن جريان اطالعات در کالسهاي امنيتي دارند که در آن جريان اطالعات در

مشبک تنها در يک جهت مجاز استمشبک تنها در يک جهت مجاز است

2929از از 15/11/8515/11/852727

BLPBLP و و BibaBibaادغام مدلهاي ادغام مدلهاي )ادامه()ادامه(

در محيطهايي که محرمانگي و صحت هردو مورد در محيطهايي که محرمانگي و صحت هردو مورد را ادغام نمود را ادغام نمودBLPBLP و و BibaBibaنظرند مي توان مدلهاي نظرند مي توان مدلهاي

اگر براي نمايش سطح صحت و امنيتي موجوديتها اگر براي نمايش سطح صحت و امنيتي موجوديتهاتنها از يک برچسب استفاده شودتنها از يک برچسب استفاده شود

يک عامل تنها اجازه خواندن يا نوشتن در اشيائي را يک عامل تنها اجازه خواندن يا نوشتن در اشيائي رادارد که برچسبي برابر برچسب خود عامل دارنددارد که برچسبي برابر برچسب خود عامل دارند

خط مشي کالسهاي مجزاخط مشي کالسهاي مجزا بنابراين از دو برچسب امنيتي و صحتي استفاده بنابراين از دو برچسب امنيتي و صحتي استفاده

مي کنيممي کنيم

2929از از 15/11/8515/11/852828

BLPBLP و و BibaBibaادغام مدلهاي ادغام مدلهاي )ادامه()ادامه(

اگر اگرωω نشان دهنده برچسبهاي صحتي و نشان دهنده برچسبهاي صحتي و λλ نشان دهنده نشان دهنده برچسبهاي امنيتي باشد، آنگاه:برچسبهاي امنيتي باشد، آنگاه:

عامل عاملss مي تواند شيء مي تواند شيء oo را بخواند، اگر را بخواند، اگر λλ(s) ≥ (s) ≥ λλ(o)(o) و و ωω(s) ≤ (s) ≤ ωω(o)(o)

عامل عاملss مي تواند در شي مي تواند در شي oo بنويسد بنويسد λλ(s) ≤ (s) ≤ λλ(o)(o) و و ωω(s) ≥ (s) ≥ ωω(o)(o) اين مدل عمال استفاده همزمان از دو مشبک است که اين مدل عمال استفاده همزمان از دو مشبک است که

در آن اطالعات در دو جهت متضاد حرکت مي کنددر آن اطالعات در دو جهت متضاد حرکت مي کند در مشبک محرمانه به سمت باال و در مشبک صحت به سمت در مشبک محرمانه به سمت باال و در مشبک صحت به سمت

پايينپايين مي توان با برعکس کردن مشبک صحت و ضرب اين دو مي توان با برعکس کردن مشبک صحت و ضرب اين دو

مشبک، به يک مشبک واحد رسيدمشبک، به يک مشبک واحد رسيد خط مشي هاي جريان اطالعات مشبک – مبنايي که چندين خط مشي هاي جريان اطالعات مشبک – مبنايي که چندين

مشبک را ترکيب مي کنند مي توانند تبديل به يک مشبک گردندمشبک را ترکيب مي کنند مي توانند تبديل به يک مشبک گردند

BLPBLP و و BibaBibaادغام مدلهاي ادغام مدلهاي )ادامه()ادامه(

يک سه تايي يک سه تاييSC,→, SC,→, SCSCهاي امنيتي به شکل هاي امنيتي به شکل ي کالسي کالس مجموعه مجموعهc,ic,iکه در آن که در آن

c c ConfLvl = ConfLvl = nn,.., ,.., 11 و و i i IntegLvl = IntegLvl = mm,.. ,.. 11هاي امنيتي: تعداد سطوح محرمانگي هاي امنيتي: تعداد سطوح محرمانگي تعداد کالستعداد کالستعداد سطوح صحتيتعداد سطوح صحتي

rr, , ss pp, , qqاگر اگر r = p-1r = p-1 و و q=sq=s

ترين به باالترين سطحترين به باالترين سطح در سطوح محرمانگي، جريان اطالعات از پاييندر سطوح محرمانگي، جريان اطالعات از پايين يا يا s = q+1s = q+1 و و r=pr=p

ترين سطحترين سطح در سطوح صحتي، جريان اطالعات از باالترين به پاييندر سطوح صحتي، جريان اطالعات از باالترين به پايين

xx, , yy zz, , ww = = max(x,z)max(x,z), , min(y,w)min(y,w) nn, , 11باالترين سطح باالترين سطح

BLPBLP و و BibaBibaادغام مدلهاي ادغام مدلهاي )ادامه()ادامه(

مشي ترکيبي براي مشي ترکيبي براي نمودار هاس خطنمودار هاس خطm = n = 3m = n = 331

21 32

22

11 33

22 23

13

مفاهيم اوليههاي جديد نيازهاي امنيتي محيط

CAMACمدل CAMACگويايي مدل

CAMACمبنا به عنوان يک مدل مشبکارزيابي

بندي جمع

BLPBLP و و BibaBibaادغام مدلهاي ادغام مدلهاي )ادامه()ادامه(

مشي ترکيبيمشي ترکيبي مبنا بودن خطمبنا بودن خط مشبکمشبکهاي امنيتي هاي امنيتي ثابت بودن مجموعه کالس ثابت بودن مجموعه کالس

مرتب بودن رابطه � � مرتب بودن رابطه جزئا ي ي جزئا ي ي دارا بودن کوچکترين کران پايين نسبت به رابطهدارا بودن کوچکترين کران پايين نسبت به رابطه

کالس کالس11, , mm

تعريف � � تعريفکوچکترين کران باالي کامال شده براي عملگر شده براي عملگر کوچکترين کران باالي کامالالپادوال و بيباالپادوال و بيبا مشي ترکيبي ضرب دو مشبک بلمشي ترکيبي ضرب دو مشبک بل خطخط

ضرب دو مشبک خود يک مشبک استضرب دو مشبک خود يک مشبک است

2929از از 15/11/8515/11/853232

منابعمنابع

Ravi S. Sandhu, Ravi S. Sandhu, “Lattice-Based Access Control “Lattice-Based Access Control Models”, Models”, IEEE Computer Society Press, 1993IEEE Computer Society Press, 1993

Indrakshi Ray, Mahendra Kumar, “Indrakshi Ray, Mahendra Kumar, “Towards a Towards a location-based mandatory access control modellocation-based mandatory access control model”, ”, Computer & Security, 2006Computer & Security, 2006

D. Bell and L. LaPadula, D. Bell and L. LaPadula, ““Secure Computer Secure Computer Systems: Mathematical FoundationsSystems: Mathematical Foundations””, Technical , Technical Report MTR-2547, Vol. I, MITRE Corporation, Report MTR-2547, Vol. I, MITRE Corporation, 1973.1973.