مدلهای کنترل دسترسی اجباری (mac)

MCIMCI

1

مدلهای کنترل دسترسی (MAC)اجباری

رسول جلیلی[email protected]

MCIMCI

رسول جليلي- درس امنيت پايگاه داده ها- نيمسال دوم 87-86تحصيلي

2

ضعف کنترل دسترسی اختیاری

اطالعات توسط عاملهای دیگرانتشار عدم امکان کنترل •، اجازه خواندن را به حسن می دهدAعلی صاحب فایل –

می نویسدB را می خواند و در فایل Aحسن فایل –

( ندارد.A )حاوی اطالعات Bعلی دیگر هیچ کنترلی روی –

عدم امکان کنترل جریان اطالعات از یک شیئ به شیئ •دیگر

با فرض معتمد بودن عامل ها•به نرم افزارها نمی توان اعتماد کرد–

(Trojan Horse)احتمال وجود اسب تروا –

o

2

o

2

فوق سریسری

محرمانه

عادی

شتننو

s

o1o1

خواندن

جریان اطالعات

خواندن

MCIMCI


3

ضعف کنترل دسترسی اختیاری

(Trojan Horse)احتمال وجود اسب تروا

MCIMCI


4

کنترل دسترسی اجباری

سطوح کنترل دسترسی عامل ها به اشیاء بر اساس •قواعد ثابتآنها و امنیتی

مدل های حفظ محرمانگی•BLPمدل –

مدل های حفظ صحت•Bibaمدل –

مدل های خاص پایگاه داده ها•Sea-Viewمدل –

Jajodia & Sandhuمدل –

Smith & Winslettمدل –

MCIMCI

5

BLPمدل حفظ محرمانگی

MCIMCI


6

BLPمدل

1976 در سال Lapadula و Bellارائه شده به وسيلة •

حفظ امنیت يافتة مدل ماتريس دسترسي براي توسعه•چند سطحی

مناسب برای محیط های نظامی•

(سطح محرمانگي)سطح امنیتی عامل ها و اشیاء دارای •

:L=(C, S) گردد هر سطح امنيتي با دو جزء مشخص مي•

–C :( ردهclassification)

–Sر :( ستهcategory)

سته، معرف سازمان يا كاربرد است )مانند ناتو، راي(. هسته

MCIMCI


7

BLP -2مدل

مبتني بر مفهوم عامل / شئ است:•

كنند. عاملها، اجزاي فعال بوده و عمليات را اجرا مي–

اشياء، اجزاي غيرفعال بوده و داراي اطالعات –هستند.

حاالت دسترسي:•

R = فقط خواندن )يا خواندن(–

A = الحاق )نوشتن بدون خواندن(–

E = اجرا )اجراي يك شئ يا برنامه(–

W = نوشتن - خواندن )يا نوشتن(–

Observe

Modify + -

+ W A

- R E

MCIMCI


8

BLP -3مدل

ها( و اشياء )يا منابع(: بندي عاملها )يا برنامه سطوح رده•(Top Secret )مخفف TSخيلي سري يا •

(Secret )مخفف Sسري يا •

(Confidential )مخفف Cمحرمانه يا •

(Unclassified )مخفف Uبدون رده يا •

= L1دو سطح امنيتي ) مقایسه (:dominanceرابطه تفوق )•

(C1, S1( و L2 = (C2, S2

L1 L2 C1 C2 S1 S2

)≤(سطوح امنيتی بر اساس رابطه ترتيب جزئي تفوق •( مي دهند.Latticeتشکيل يک شبکه )

غیر اگر هیچ یک از دو رابطه زیر برقرار نبود، دو سطح را • L1 ≤ L2 و یا L1 L2 می نامیم:قابل مقایسه

MCIMCI


9

BLP -4مدل

شود كه: ( بيان ميb, M, f, Hتايي )4حالت سيستم به كمك

•b( مجموعة حالتهاي دسترسي فعلي :s, o, m )

•M ماتريس دسترسي :M[s,o] مانند مدل ماتريس ، بیانگر مجموعه حاالت مجازدسترسي

•f تابع تعيين سطح كه به هر عامل و شئ سيستم، يك : f: O كند. سطح امنيتي متناظر مي

S L

fs سطح امنیتی اصلی عامل :fc سطح امنیتی فعلی عامل : fo سطح :

امنیتی شیئ

•Hمراتب فعلي اشياء : سلسله

MCIMCI


BLP -1مدل اعمال

وضعیت سیستم با اجرای اعمال تغییر می کند.• ’(b’, M’, f’, H) یک گذر به حالت (b, M, f, H)با اجرای یک عمل بروی حالت –

بوجود می آید که حداقل در یک جزء با حالت مبدا متفاوت است.

انواع اعمال مختلف:•:bتغییر بروی –

•Get Access برای مقدار دهی اولیه به یک شیئ در حالت دسترسی :درخواست شده

•Release Accessداده شده توسط : برای اختتام دسترسیget

:Mتغییر روی –

•Give Accessبرای اعطای یک حالت دسترسی بروی یک شیئ به یک عامل :

•Rescind Access برای بازپس گیری یک حالت دسترسی از یک عامل بروی :(Giveیک شیئ )بازپس گیری حالت دسترسی داده شده به عامل توسط

10

MCIMCI


BLP -2مدل اعمال

انواع اعمال مختلف:•:Hتغییر بروی –

•Create Objectبرای اضافه کردن اشیای غیر فعال به سلسله مراتب اشیاء :

برای یک شیئ دو حالت می تواند وجود داشته باشد:–

شیئ وجود دارد ولی غیر فعال است. در نتیجه بعضی دسترسی ها روی آن ممکن نیست«

شیئ وجود دارد و فعال است. در نتیجه در سلسله مراتب اشیاء وجود دارد و قابل «دسترسی است.

•Delete Object برای غیر فعال کردن شیئ فعال است. عکس عمل :Create.است

:Mتغییر روی –

•Change subject security level برای تغییر سطح امنیتی جاری :f.یک عامل

، سطح امنیتی جدید را به عامل مربوطه، مرتبط می کند.fاجرای این عمل، در –

•Change object security level.برای تغییر سطح امنیتی یک شیئ :

این عمل تنها می تواند بروی اشیای غیر فعال اجرا گردد و سطح جدید امنیتی را به شیئ – مرتبط می کند.fمربوطه در

11

MCIMCI


12

BLP -1مدل قواعد

(:SS( قاعدة سادة امنيتي )1)

يا نوشتنR خواندنمشاهده )يك عامل، مجوز W) اصلی يك شئ را دارد فقط اگر سطح امنيتي

سطح امنيتي شئ باشد.بزرگتر يا مساويعامل،

<s, o, r/w > b fs(s) fo(o)

oo

فوق سری

سری

محرمانه

عادی

شاهدم

ه

s

MCIMCI


13


( قاعدة ستاره )*(: 2)

و تغییر o1اگر امکان مشاهده شیئ ،يك عامل

را داشته باشد، آنگاه باید:o2شیئ

fo(o2) fo(o1)

مثال نقض:

o

2

o

2

فوق سری

سری

محرمانه

عادی

تغییر

s

o

1

o

1

مشاهده

جریان اطالعات

MCIMCI


14


( ادامة قاعدة ستاره )*(:2)

يك شئ را دارد فقط اگر ( A)يك عامل، مجوز الحاق – سطح يا مساوي كوچكتر عامل، فعلیسطح امنيتي

fc(s) fo(o) امنيتي شئ باشد.

يك شئ را دارد فقط اگر ( W) يك عامل، مجوز نوشتن – سطح امنيتي شئ مساويعامل، فعلی سطح امنيتي

fc(s) = fo(o) باشد.

يك شئ را دارد فقط اگر (R) يك عامل، مجوز خواندن – سطح يا مساوي بزرگترعامل، فعلی سطح امنيتي

fc(s) fo(o) .امنيتي شئ باشد

MCIMCI


15


(:Tranquility principle)آرامش( قاعدة 3)

یک (classification)هیچ عاملی نمی تواند رده هرچند این قاعده در نسخه شیئ را تغییر دهد )

های بعدی حذف گردید.(

(:DS )کنترل دسترسی اختیاری( قاعدة 4)

ماتريس طبق، بايد دسترسی فعلیهر ، مجاز باشد.دسترسي

<s, o, m > b m M[s, o]

MCIMCI


16

BLPمدل خالصه ای از

: و سادهبه طور خالصه عامل از اشياي با سطوح امنيتي پايينتر يا –

.)مشاهده(خواند مساوي خود، مي

No Read Up

عامل در اشياي با سطوح امنيتي باالتر يا –. )تغییر(نويسد مساوي خود، مي

No Write Down

MCIMCI

17

Bibaمدل حفظ صحت

MCIMCI


18

Bibaمدل

: صرفا� حفظ محرمانگیBLPمدل •

نیاز به حفظ صحت داده ها در مقابل تغییرات •

غیرمجاز

1977 در سال Bibaمدل ارائه شده توسط •

است.BLP مشابه مدل Bibaمبانی مدل •

MCIMCI


19

Biba -2مدل

عامل ها و اشیاء دارای سطح صحت•

:L=(C, S) گردد با دو جزء مشخص ميصحتهر سطح •

–C :( ردهclassification)

–Sر :( ستهcategory)

سته، معرف سازمان يا كاربرد است )مانند ناتو، راي( هسته

ميزان اعتماد به فرد )عامل( در سطح صحت عامل:•عدم تغيير ناصحيح داده هاي يك شيئ

ميزان اعتماد به داده هاي يك شيئ و سطح صحت شيئ:•ميزان خسارت ناشي از تغيير غيرمجاز در داده هاي آن

MCIMCI


20

Biba-3مدل

ها( و اشياء )يا عاملها )يا برنامهصحت بندي سطوح رده•منابع(:(Crucial )مخفف Cحياتي يا •(Very Important )مخفف VI يا مهمخيلي •(Important )مخفف Iيا مهم •

,L1 = (C1 )صحتدو سطح مقایسه (:dominanceرابطه تفوق )•S1( و L2 = (C2, S2

L1 L2 C1 C2 S1 S2

)≤(سطوح امنيتی بر اساس رابطه ترتيب جزئي تفوق •( مي دهند.Latticeتشکيل يک شبکه )

غیر اگر هیچ یک از دو رابطه زیر برقرار نبود، دو سطح را • L1 ≤ L2 و یا L1 L2 می نامیم:قابل مقایسه

MCIMCI


21

Biba -4مدل

مبتني بر مفهوم عامل / شئ است:•

عاملها، اجزاي فعال بوده و عمليات را اجرا –كنند. مي

اشياء، اجزاي غيرفعال بوده و داراي اطالعات –هستند.

حاالت دسترسي:•

نوشتن داده ها در يك شيئ(: Modifyتغيير )–

ارتباط يك عامل با عامل ديگر(: Invokeارتباط )–

خواندن داده هاي يك شيئ(: Observe) مشاهده–

MCIMCI


22

اصول یا خط مشیهای اجباری در Biba -1مدل

مدل شامل تعدادي خط مشي•

Low Watermark Policy forخط مشي آب نشان پايين براي عامل ها )1.

Subjects)

Low Watermark Policy for ) خط مشي آب نشان پايين براي اشياء2.

Objects)

Low Watermark integrity audit)خط مشي آب نشان پايين بازنگری صحت3.

Policy)

(Ring Policy)خط مشی حلقه4.

(Strict Integrity Policyخط مشي حفظ صحت سختگيرانه )5.

هر خط مشي شامل تعدادي اصول موضوعه2.

MCIMCI


23


از 1)خط مشي نشان آب پايين براي عامل ها ( 1)3)

يك شئ را دارد تغيير يك عامل، مجوز تغيير: – بزرگتر يا مساوي عامل، صحتفقط اگر سطح

I(s) I(o) شئ باشد.صحتسطح

oo

حياتي

خيلي مهم

مهم

عادی

تغيير

s

MCIMCI


24


(3 از 2)خط مشي نشان آب پايين براي عامل ها ( 1)

عامليك اجرا )فراخوانی( يك عامل، مجوز اجرا: –عامل اول صحترا دارد فقط اگر سطح ديگر

.عامل دوم باشد صحت سطح بزرگتر يا مساوي

I(s1) I(s2)

حياتي

خيلي مهم

مهم

عادی

اجرا (

فراخوانی

)

s1

s2

MCIMCI


25


(3 از 3)خط مشي آب نشان پايين براي عامل ها ( 1)

مشاهده هرشيئي را يك عامل، مجوز مشاهده: – به سطح عاملدارد به شرط آنكه پس از مشاهده،

( سطوح عامل و شيئ GLBبزرگترين سطح پائين )

Inew(s) = GLB [ Iold(s), I(o) ] تقليل يابد.

oo

حياتي

خيلي مهم

مهم

عادی

شاهدم

ه

ss

MCIMCI


26

oo


(3 از 1)خط مشي آب نشان پايين براي اشياء ( 2)

تغيير هرشيئي را دارد به يك عامل، مجوز تغيير: – به سطح شيئشرط آنكه پس از تغيير، ( سطوح عامل و GLBبزرگترين سطح پائين )

Inew(o) = GLB [ I(s), Iold(o) ] شيئ تقليل يابد.

ooحياتي

خيلي مهم

مهم

عادی

يرغي

ت

s

MCIMCI


27


(3 از 2)خط مشي نشان آب پايين براي اشياء ( 2)

يك اجرا )فراخوانی( يك عامل، مجوز اجرا: –عامل صحترا دارد فقط اگر سطح ديگر عاملعامل دوم صحت سطح بزرگتر يا مساوياول

I(s1) I(s2) .باشد

حياتي

خيلي مهم

مهم

عادی

اجرا (

فراخوانی

)

s1

s2

MCIMCI


28


(3 از 3)خط مشي نشان آب پايين براي اشياء ( 2)

يك شئ را دارد مشاهده يك عامل، مجوز مشاهده: – سطح ازكوچكتر عامل، صحتفقط اگر سطح

I(o) I(s) شئ باشد.صحت

ooحياتي

خيلي مهم

مهم

عادی

هدشا

مه

s

MCIMCI



خط مشي نشان آب پايين صحت با ثبت( 3)

Low-Watermark Integrity Audit Policy(1 1 از)

هر یک عامل می تواند هر شیئ در تغییر: –را تغییر دهد.سطحی از صحت

اگر یک عامل یک شیئ در را در سطح صحت –تغییر دهد، تنها در غیر قابل مقایسه و یا باالتر

ثبت گردد.(Audit)سیستم ثبت

29

MCIMCI



(1 از 1)خط مشي حلقه( 4)

سطح صحت ثابت.

يك شئ را دارد فقط اگر سطح تغییر يك عامل، مجوز تغییر: –I(s) I(o) شئ باشد.صحت سطح ازبزرگتر عامل، صحت

فقط اگر اجرای روی عامل دیگر را دارد يك عامل، مجوز اجرا: –عامل دوم صحت سطح ازکوچکتر ، اول عاملصحتسطح باشد.

I(s2) I(s1)

در هر سطحی يك شئ را مشاهده يك عامل، مجوز مشاهده: –.دارد

30

MCIMCI


31


(3 از 1)خط مشي حفظ صحت سختگيرانه ( 5)

يك عامل، مجوز خصوصيت ستاره )*( صحت: – صحتيك شئ را دارد فقط اگر سطح تغيير

شئ صحت سطح بزرگتر يا مساويعامل، I(s) I(o) باشد.

oo

حياتي

خيلي مهم

مهم

عادی

تغيير

s

MCIMCI


32



اجرا يك عامل، مجوز خصوصيت اجرا: –را دارد فقط اگر ديگر عامليك )فراخوانی(

سطح بزرگتر يا مساويعامل اول صحتسطح

I(s1) I(s2) .عامل دوم باشد صحت

حياتي

خيلي مهم

مهم

عادی

اجرا (

فراخوانی

)

s1

s2

MCIMCI


33



يك عامل، مجوز خصوصيت ساده صحت: – صحتيك شئ را دارد فقط اگر سطح مشاهده شئ باشد.صحت سطح ازكوچكترعامل،

I(o) I(s)

ooحياتي

خيلي مهم

مهم

عادی

هدشا

مه

s

MCIMCI


خط مشی های اختیاری مدل Biba-1

لیست های کنترل دسترسی 1.اختصاص می یابد که نشان لیست کنترل دسترسی به هر شیئ یک –

ای است که می توانند به آن حاالت دسترسی و عامل ها دهنده شیئ دسترسی پیدا نمایند.

بروی modifyاین لیست می تواند توسط عامل هایی که دارای حق –ACL نماید.تغییر مربوطه هستند

سلسله مراتب اشیاء2.مرتب درخت ریشه دار بوسیله یک سلسله مراتبی اشیاء به صورت –

میشوند

به observeبرای دسترسی به یک شیئ، یک عامل باید دارای حق –داشته باشد.تمام اجداد آن شیئ

34

MCIMCI


خط مشی های اختیاری مدل Biba-2

حلقه3.اختصاص می یابد.صفت مجوزی)حلقه( به هر عامل یک –

میشوند.عددگذاریحلقه ها –

است.مجوزهای باالتر نشان دهنده حقوق با اعداد کوچکتر حلقه ها با –

خط مشی ها نیاز به برقرار بودن اصول زیر را دارد:–بازه مجازی از حلقه ها بروی اشیاء، فقط در modifyیک عامل می تواند حق •

داشته باشد

تنها مجوز باالتر را بروی عواملی با invokeیک عامل می تواند حق دسترسی •داشته باشد. البته هر عامل می تواند حق بازه مجازی از حلقه ها بروی

داشته باشد.مجوز پایین تر و مساوی را بروی تمام عوامل با invokeدسترسی

بازه مجاز از حلقه را بروی اشیاء در یک observeهر عامل می تواند دسترسی •داشته باشد.ها

35

MCIMCI


36

Bibaخالصه مدل

بيشتر با خط مشي سختگيرانه اش Bibaمدل •شناخته شده است.

به طور خط مشي حفظ صحت سختگيرانه •خالصه:

يا باالتر عامل از اشياي با سطوح امنيتي –.)مشاهده(خواند مساوي خود، مي

No Read Down

يا پايينتر عامل در اشياي با سطوح امنيتي –. )تغییر(نويسد مساوي خود، مي

No Write Up

MCIMCI

37

مدل كنترل دسترسي اجباري Dionپايگاه داده ها

MCIMCI


38

Dion-1مدل

1981ارائه شده در سال •

کنترل دسترسی اجباری•

داده هامحرمانگی و صحتحفاظت از •

Bibaو BLPمدل های کنترل دسترسی ترکیب •

را پشتیبانی نمی کند و با اختیاری نوع خط مشی هیچ برخالف دو مدل قبلی •

شمرده می شود.مجاز ، دسترسی اجباریارضای تمام خط مشی های امنیتی

اشیاء به اشیاء تعریف نمی شود بلکه میان اشیاء به عوامل میان جریان داده ها •

تعریف می گردد.

شیئ مبدا به مقصد میان ارتباط مطرح می گردد که یک (connection)اتصالبه همین دلیل مفهوم –

میان آنها را فراهم نماید.جریان اطالعات ایجاد گردد تا امکان برقراری عامل باید توسط

MCIMCI


Dion-2مدل

رده های اشیاء و مبتنی بر Dionمدل • و صحتیهستند که شامل سطوح عوامل

هستند.محرمانگی

و معانی آنها همانند محرمانگی سطوح •هستند BLPمدل کنترل دسترسی

و معانی آنها همانند مدل صحتی سطوح•هستند. Bibaکنترل دسترسی

39

MCIMCI


Dion-1عوامل و رده های مدل

هایی هستند که در سیستم به برنامه در این مدل، عوامل همان •می شوند.اجرا نمایندگی از کاربر

سه سطح صحتی و محرمانگی سه سطح به هر عامل سیستم •اختصاص می یابد

سطوح امنیتی:•است که به عامل امنیتی : سطح (Absolute Security Level)مطلقمحرمانگی سطح –

در زمان ایجاد داده می شود. این سطح امنیتی در طول حیات عامل ثابت است

است که امنیتی : باالترین سطح (Read Security Level)خواندنمحرمانگی سطح –.بخواندعامل مجاز است

است که امنیتی : پایین ترین سطح (Write Security Level)نوشتنمحرمانگی سطح –.بنویسدیک عامل مجاز است

40

MCIMCI



سطوح صحتی:•: سطح صحتی (Absolute Integrity Level)سطح صحتی مطلق–

سطح داده می شود. این زمان ایجاد است که به عامل در در طول حیات عامل ثابت استصحتی

سطح پایین ترین : (Read Integrity Level)سطح صحتی خواندن–.بخوانداست که عامل مجاز است صحتی

سطح باالترین : (Write Integrity Level)سطح صحتی نوشتن–.بنویسداست که عامل مجاز است صحتی

41

MCIMCI



برقرار باشد:sروابط زیر باید در هر سیستم برای هر عامل •–WSL(s) ≤ ASL(s) ≤ RSL(s)

–RIL(s) ≤ AIL(s) ≤ WIL(s)

اکید های باال به صورت نامساوی یکی از حداقل هر عامل که • نامیده می شود.(Trusted Subject)عامل معتمدارضا کند

بسته به هردو و یا صحتی ، امنیتیدید یک عامل می تواند از •معتمد ارضا می کند، اکید نامساوی هایی که به صورت تعداد باشد.

ارضا نماید، تساوی را به صورت چهار رابطه باال هر عاملی که •نامیده می شود.عامل غیر معتمد

42

MCIMCI


Dion-1اشیاء و رده های مدل

در سیستم اطالق موجودیت انباره داده به هر اشیاء در این مدل، •می گردد.

اختصاص سه سطح صحتی و سه سطح امنیتی به هر شیئ سیستم •می یابد

سطوح امنیتی:•داده ای است که امنیتی : سطح (Absolute Security Level)سطح امنیتی مطلق–

در شیئ قرار می گیرد. این سطح امنیتی در طول حیات شیئ ثابت است

امنیتی : باالترین سطح (Migration Security Level)سطح امنیتی مهاجرتی –.جریان پیدا کنداست که داده در اين شیئ، مجاز است به شیئ در آن سطح

امنیتی : پایین ترین سطح (Corruption Security Level)سطح امنیتی تحریفی–.جریان پیدا کنداست که داده از آن سطح می تواند به این شیئ

43

MCIMCI



سطوح صحتی:•صحتی : سطح (Absolute Integrity Level)سطح صحتی مطلق–

داده ای است که در شیئ قرار می گیرد. این سطح صحتی در طول حیات شیئ ثابت است

: پایین ترین (Migration Integrity Level)سطح صحتی مهاجرتی–است که داده از این شیئ، مجاز است به شیئ صحتی سطح

.جریان پیدا کنددر آن سطح

: باالترین (Corruption Integrity Level)سطح صحتی تحریفی–است که داده از آن سطح می تواند به این صحتی سطح .جریان پیدا کندشیئ

44

MCIMCI



برقرار oروابط زیر باید در هر سیستم برای هر شیئ •باشد:

–CSL(o) ≤ ASL(o) ≤ MSL(o)

–MIL(o) ≤ AIL(o) ≤ CIL(o)

45

MCIMCI


Dion-1اصول مدل

خصوصیت مهاجرت1. باید (o2)سطوح مهاجرت شیئ که اطالعات در آن نوشته می شود–

محدودتر از سطح مهاجرتی شیئ ای باشد که از آن خوانده می شود (o1) .

MSL(o1) ≥ MSL(o2)

MIL(o1) ≤ MIL(o2)

این خصوصیت تضمین می کند که سطوح امنیتی و صحتی توسط –نشود.دور زده یک مهاجرت

غیر می تواند به صورت o1اگر این خصوصیت ارضا نگردد، داده های –( o2، به سطوح امنیتی ای که مجاز نمی باشد )مانند مستقیم

مهاجرت داده شود.

46

MCIMCI


مثال

47

MCIMCI



خصوصیت تحریف2.سطوح تحریف شیئ ای که از آن اطالعات خوانده –

باید حداقل از سطوح تحریف شیئ ای (o1)میشود باشد.محدودترکه در آن اطالعات نوشته می شود،

CSL(o1) ≥ CSL(o2)

CIL(o1) ≤ CIL(o2)

این خصوصیت تضمین میکند سطوح امنیتی و –دور زده نشود.صورت غیر مستقیم به O2صحتی

48

MCIMCI


مثال

49

MCIMCI



خصوصیت امنیتی3.عاملی که یک اتصال را ایجاد می کند، باید سطح –

و (O1) بروی شیئ ای که می خواند خواندندسترسی بروی شیئ ای که می نویسد نوشتنسطح دسترسی

(O2).داشته باشد

RSL(s) ≥ ASL(o1)

WSL(s) ≤ ASL(o2)

-No-Writeو No-Read-Upاین خصوصیت معادل همان –

Down از مدل کنترل دسترسی BLPمی باشد

50

MCIMCI



خصوصیت صحتی4.عاملی که یک اتصال را ایجاد می کند، باید سطح –

و (O1) بروی شیئ ای که می خواند خواندندسترسی بروی شیئ ای که می نویسد نوشتنسطح دسترسی

(O2).داشته باشد

RIL(s) ≤ AIL(o1)

WIL(s) ≥ AIL(o2)

-No-Writeو No-Read-Downاین خصوصیت معادل همان 4.

Up از مدل کنترل دسترسی Bibaمی باشد

51

MCIMCI



خصوصیت نوشتن/تحریف5.سطح امنیتی تحریف یک شیئ بر سطح امنیتی مطلق یک عامل –

داشته باشدتفوق انتقال اطالعات صورت می گیرد باید به آن که

سطح صحتی تحریف بوسیله سطح صحتی مطلق یک عامل باید –باشد.متفوق صورت می گیرد، به آن شیئ ای که انتقال اطالعات

ASL(s) ≥ CSL(o2)

AIL(s) ≤ CIL(o2)

این خصوصیت ارضای سطوح تحریف یک شیئ که به آن انتقال –داده، انجام می گیرد را تضمین می کند.

• ASL(s) ≥ ASL (O1) ≥ CSL(O1) ≥ CSL (O2)

52

MCIMCI



خصوصیت خواندن/مهاجرت6.سطح امنیتی مهاجرت بوسیله سطح امنیتی مطلق یک عامل –

انتقال اطالعات صورت می گیرد باید از آن یک شیئ که باشدمتفوق

سطح صحتی مهاجرت بر سطح صحتی مطلق یک عامل باید –تفوق صورت می گیرد، از آن شیئ ای که انتقال اطالعات

داشته باشد.

ASL(s) ≤ MSL(o1)

AIL(s) ≥ MIL(o1)

این خصوصیت ارضای سطوح مهاجرت یک شیئ که از آن –انتقال داده، انجام می گیرد را تضمین می کند.

53

MCIMCI

54

مدل كنترل دسترسي اجباري Sea-Viewپايگاه داده ها

MCIMCI


55

Sea-Viewمدل

1987 در سال Dorothy Denningارائه شده به وسيلة •

SEcure dAta VIEWمخفف مدل •

برای حفاظت از مدل رابطه ای در پايگاه داده ها•

پايگاه محاسباتي مطمئن مدل

(TCB)

Trusted Computing Base Model

اجباریكنترل دسترسي مدل

(MAC)

Mandatory Access Control Model

ل مد

Sea

- Vie

w

كنترل دسترسي اجباري

BLP & Biba

كنترل دسترسي اختياري

MCIMCI


56

Sea-Viewمدل 1اليه مدل كنترل دسترسي اجباري-

هاي دسترسي شامل دو جزء است: رده•BLP مشابه با ردة امنيتي مدلردة محرمانگي:–Biba مشابه مدل ردة صحت:–

اشياء•هستندفایلهایی تک سطحی MACاشیای حفاظت شده توسط –

عاملها•نمایندگی از کاربران هستند که به پردازه هاییعوامل همان –

میشونداجراتخصیص داده بازه ای از رده های امنیتی و صحتی به هر کاربر –

است اجرا نماید.مجازمی شود که

حالتهاي دسترسي: خواندن، نوشتن و اجرا•

MCIMCI


57


تشكيل يك شبكه تفوقهاي دسترسي، بر اساس رابطة رده•(Latticeمي ) .دهند

اگر و تفوق دارد C2 ردة دسترسي بر C1ردة دسترسي •

فقط اگر

تفوق داشته C2 جزء محرمانگي بر C1جزء محرمانگي –

وباشدC1.Secrecy C2. Secrecy

تفوق داشته باشد. C1صحتیجزء بر C2 صحتیجزء –

C1.Integrity ≤ C2.Integrity

مثال:•((TS, Nato), (I, Nato)) ≥ ((S, Nato), (VI, Nato))

MCIMCI


58


، حداكثري و حداقلصحتی هاي محرمانگي و به هر كاربر رده•

minsecrecy ، minintegrity ، maxsecrecyيابد كه به آنها تخصيص مي

شود. گفته ميmaxintegrityو

يك عامل نوشتن( ردة minsecrecy , maxintegrityزوج مرتب )–

يك عاملخواندن( ردة maxsecrecy , minintegrityزوج مرتب )–

تفوق داشته ردة نوشتن وي بر بايد عامل ردة خواندن هر –

.باشد

براست اگر ردة خواندنش قابل اعتماد يك عامل،•.� تفوق داشته باشدردة نوشتن وي قويا

است اگر رده خواندن و غيرقابل اعتماديك عامل، •نوشتن آن برابر باشد.

MCIMCI


59

Sea-Viewمدل 4اليه مدل كنترل دسترسي اجباري -

( قاعدة خواندن:1)

را بخواند فقط oئ يتواند ش ميsعامل ردة دسترسي براگر ردة خواندن عامل

.تفوق داشته باشدئ يش

readclass (s) access-class (o)

i.e. maxsecrecy (s) o.seccrecy & minintegrity (s) ≤ o.integrity

NO-READ-UP secrecy principle +

NO-READ-DOWN integrity policy

MCIMCI


60


( قاعدة نوشتن:2)

را بنويسد فقط oئ يتواند ش ميsعامل عامل نوشتنردة شيئ بر دسترسياگر ردة

.تفوق داشته باشد

writeclass (s) ≤ access-class (o)

i.e. minsecrecy (s) ≤ o.seccrecy & maxintegrity (s) o.integrity

NO-WRITE-DOWN secrecy policy+

NO-WRITE-UP integrity policy .

MCIMCI


61


( قاعدة اجرا:3)

را اجرا كند فقط اگر oتواند شئ ميsعامل maxintegrity عامل، كوچكتر يا مساوي ردة صحت شئ و

maxsecrecy عامل، بزرگتر يا مساوي ردة محرمانگي شئ باشد.

maxintegrity (s) ≤ integrity-class(o)

maxsecrecy (s) confidentiality-class(o)

توانند كنند كه عاملهاي مطمئن، مي قوانين فوق بيان مي• خودشان را maxintegrityهايي با سطح صحت كمتر از داده

هاي با سطح صحت بيشتر يا مساوي خوانده و برنامهmaxintegrity.خودشان را اجرا كنند

MCIMCI


62


MCIMCI


63

Sea-Viewمدل 1اليه مدل محاسباتي مطمئن-

روابط چندسطحي (: TCB) پايگاه محاسباتي مطمئنمدلكند. استفاده ميخط مشي اختياريرا تعريف كرده و از

اي است كه رابطه:(Multilevel Relation )رابطة چندسطحي ، و براي هر سطر Ci يك ردة Aiدر آن براي هر خصيصة

وجود دارد. Tcنيز يك ردة

:شماي رابطه چندسطحي

براي سادگي صرفا� سطح محرمانگي را در نظر مي گيريم.

ماي رابطه: R(A1, C1, …, An, Cn, Tc)ش�

a1|c1, …, an|cn, t تاپل:

MCIMCI


64

Sea-Viewمدل 2اليه مدل محاسباتي مطمئن -

عامل ها بر حسب سطح دسترسي خود ديدهاي •مختلفي نسبت به پايگاه داده ها دارند.

Name CName Dept CDept Salary CSalary TC

Babak S d1 S 10K S S

Ali S d2 S 30K TS TS

Sara TS d2 TS 30K TS TS



Ali S d2 S - S S

TS

inst

ance

S in

stan

ce

MCIMCI


65

– خصوصيات Sea-Viewمدل 1رده بندي اشياء-

اشياء بايد در شرايط زير صدق كند:سطح

ردة پايگاه داده:جامعيت ( 1)

بزرگتر از دسترسي يك شما بايدسطحكه باشد اي دسترسي نام پايگاه دادهسطح

.به آن متعلق است

ردة ديد:جامعيت ( 2)

بزرگتر از سطح دسترسي ديد بايد سطحكه در باشد دسترسي هر رابطه يا ديدي

.تعريف آن قيد شده است

MCIMCI


66

– خصوصيات Sea-Viewمدل 2رده بندي اشياء-

هاي قابل رؤيت: ( قانون داده3)

ماي رابطه بايد � دسترسي يك شسطح–ترين ردة پايينكوچكتريامساوی از

تواند در كه ميباشد هايیدسترسي داده.آن ذخيره شود

بايد كوچكتر ماي رابطه � دسترسي شسطح– سطوحباالترين حد پايين يامساوی

صفت دسترسي مشخص شده براي يك باشد.

MCIMCI


67

– خصوصيات روابط Sea-Viewمدل 1چندسطحي-

Multilevel entity)( جامعيت موجوديت چندسطحي 1)integrity)

–AKمجموعه صفات تشكيل دهنده كليد اصلي

در همه تاپلها AiAKصفات تمام Ciدسترسي سطح –

يكسان

غير AjAKهمه صفات Cj كوچكتر از سطح Ciسطح –

دخيل در كليد اصلي

هيچ يك از صفات دخيل در كليد اصلي در هيچ يك از – باشند.nullتاپل ها نمي توانند

MCIMCI


68

– خصوصيات روابط Sea-Viewمدل 2چندسطحي-

Multilevel referential)( جامعيت ارجاعي چندسطحي 2)

integrity)

داشته باشد، مگر nullهيچ تاپلي نمي تواند كليد خارجي غير–آنكه تاپلي در رابطه ارجاع داده شده با كليد اصلي معادل

آن وجود داشته باشد.

تمام خصوصيات دخيل در كليد خارجي در دسترسي سطح –همه تاپلها يكسان

سطح بزرگتر مساويكليد خارجي دسترسي سطح –كليد اصلي مورد ارجاعدسترسي

MCIMCI


69

1 - چند نمونه سازي-Sea-Viewمدل

وجود همزمان چند (: Polyinstantiationچندنمونگي )شيئ داده اي با اسامي يكسان ولي سطح

دسترسي متفاوت

روابط با نام (:Polyinstatiated Relationsروابط چندنمونه )1(رابطه يكسان و سطح دسترسي متفاوت

تاپل هاي با (:Polyinstatiated Tuplesتاپل هاي چندنمونه )2(كليد اصلي يكسان و سطح دسترسي متفاوت براي

كليد اصلي

عناصر (:Polyinstantiated Elementsعناصر چندنمونه )3(مربوط به يك خصيصه با سطح دسترسي متفاوت و

كليد اصلي و سطح دسترسي كليد اصلي يكسان

MCIMCI


70





Sara

Sara

TS

S

d2

d1

TS

S

30K

10k

TS

S

TS

S



Ali

Ali

S

S

d2

d2

S

S

30K

20k

TS

S

TS

S

Sara TS d2 TS 30K TS TSUpdate of the Ali record by a “S-subject”

Insert another Sara record by a “S-subject”

Pol

yins

tant

iate

d

Tupl

es

Pol

yins

tant

iate

d

Ele

men

ts

MCIMCI


71


با سطح AK و كليد اصلي Rبا وجود رابطه •

CKدسترسي

: Ci با سطح دسترسي AiAKبراي هر خصيصه •

(functional dependency )وابستگي تابعي–

(AK, CK, Ci ) Ai

(multivalued dependency )وابستگي چندمقداري–

(AK, CK ) Ai,Ci

MCIMCI


72

به روابط دسترسي – Sea-Viewمدل چندسطحي

(:selectعمل خواندن )عامل ها مي توانند به نمونه هاي روابط –

چندسطحي در سطح دسترسي خود دسترسي دارند.

به عبارت ديگر عامل ها به داده هاي هم سطح –خود و يا پايين تر دسترسي دارند.

(:insert or updateعمل درج يا بروزرساني ) وجود داده اي با كليد اصلي يكسانفرض:–

قوانين بر حسب ارتباط بين سطح دسترسي –داده موجود و سطح دسترسي عامل

MCIMCI


73

در روابط نوشتن – Sea-Viewمدل 1چندسطحي-

( سطح دسترسي عامل كوچكتر از )غيرقابل قياس با( 1)سطح دسترسي داده

ايجاد يك تاپل چندنمونه–

يك تاپل را دارددرجعامل قصد •

تاپلي با كليد اصلي يكسان )ولي مخفي از ديد عامل( در •Nameسطح باالتر وجود دارد. CName Dept CDept Salary CSalary TC



Sara

Sara

TS

S

d2

d1

TS

S

30K

10k

TS

S

TS

S

Insert another Sara record by a “S-subject”

MCIMCI


74


( سطح دسترسي عامل كوچكتر از )غيرقابل قياس با( 1)سطح دسترسي داده

ايجاد يك عنصر چندنمونه–

از يك تاپل را null يك خصيصه بروزرسانيعامل قصد •دارد.

نيست، بلكه سطح nullخصيصه موردنظر از تاپل، واقعا� •دسترسي آن باالتر است و از ديد اين عامل مخفي

است.



Ali

Ali

S

S

d2

d2

S

S

30K

20k

TS

S

TS

S

Sara TS d2 TS 30K TS TSUpdate of the Ali record by a “S-subject”

MCIMCI


75


( سطح دسترسي عامل بزرگتر از سطح دسترسي داده2)


يك تاپل را دارد.درجعامل قصد •

تاپلي با كليد اصلي يكسان در سطح پايين تر وجود دارد.•


Babak TS d2 TS 30k TS TS

Babak S d1 S 10k S S

Ali S d2 S 30k TS TS

Ali S d2 S 20k S S

Sara TS d2 TS 30K TS TSInsert another Babak record by a “TS-subject”

MCIMCI


76


( سطح دسترسي عامل بزرگتر از سطح دسترسي داده2)


يك خصيصه از يك تاپل را دارد.بروزرسانيعامل قصد •

خصيصه موردنظر از تاپل حاوي داده اي با سطح •دسترسي پايين تر است.

MCIMCI


77


مثال ايجاد يك تاپل چندنمونه در بروزرساني داده سطح •پايين تر

Update of the Ali record by a “TS-subject” SET Dept = “d1” WHERE Name = “Ali”


Babak TS d2 TS 30k TS TS

Babak S d1 S 10k S S

Ali S d2 S 30k TS TS

Ali S d1 TS 30k TS TS

Ali S d2 S 20k S S

Ali S d1 TS 20k S TS

Sara TS d2 TS 30K TS TS

MCIMCI


78

-حالت های Sea-Viewمدل 1دسترسی-

حالتهاي دسترسي مختلف بر اساس انواع اشيا )مانند پايگاه داده و رابطه( مشخص مي شود.

( حالتهاي دسترسي پايگاه داده:1)

–Null ممانعت از هر گونه دسترسي به يك :پايگاه داده.

–List براي فهميدن اسامي و شماهاي روابط :چندسطحي موجود در پايگاه داده.

–Create_mrelation براي ايجاد يك رابطة :چندسطحي در پايگاه داده.

–Delete_db.حذف يك پايگاه داده :

MCIMCI


79


:)ادامه(( حالتهاي دسترسي پايگاه داده1)

–Grant براي اعطاي مجوز حالتهاي : و grantدسترسي پايگاه داده )به جز

give_grant توسط يك كاربر به كاربران )ديگر.

–Give_grant براي اعطاي مجوز حالتهاي : و grantدسترسي پايگاه داده )شامل

give_grant توسط يك كاربر به كاربران )ديگر.

MCIMCI


80


(:اختياري( حالتهاي دسترسي رابطه )2)

–Null.ممانعت از هر گونه دسترسي به يك رابطه :

–Select.براي بازيابي سطرها از يك رابطه :

–Insert.براي درج سطرها در يك رابطه :

–(Update(i براي تغيير دادة خصيصة :i.ام يك رابطه

–Delete_tuple.براي حذف سطرها از يك رابطه :

–Create_view.براي ايجاد ديد مبتني بر يك رابطه :

–Delete_mrelation.براي حذف يك رابطه :

MCIMCI


81


:)ادامه((اختياري( حالتهاي دسترسي رابطه )2)

–Reference براي ارجاع به يك رابطه. )به :منظور دسترسي به ديدهايي كه بر مبناي

اند، الزم است( رابطة مذكور تعريف شده

–Grant براي اعطاي مجوز حالتهاي دسترسي :( توسط يك give_grant و grantرابطه )به جز

كاربر به كاربران ديگر.

–Give_grant براي اعطاي مجوز حالتهاي :( give_grant و grantدسترسي رابطه )شامل

توسط يك كاربر به كاربران ديگر.

MCIMCI


82


(:MAC( حالتهاي دسترسي اشياء ) الية 3)

–Readئ.ي: براي خواندن يك ش

–Writeئ.ي: براي نوشتن يك ش

–Nullئ.ي: ممانعت از هر گونه دسترسي به يك ش

–Grant براي اعطاي مجوز حالتهاي دسترسي :( توسط يك كاربر give_grant و grantئ )به جز يش

به كاربران ديگر.

–Give_grant براي اعطاي مجوز حالتهاي :( give_grant و grantئ )شامل يدسترسي ش

توسط كاربري به ديگران.

MCIMCI


83

Sea-View -1مجازشماری در مدل

:denial takes precedenceويژگي )1(

منع از دسترسي به يك شئ آشكارااگر كاربري شود، تمامي مجوزهاي شخصي يا مجوزهايي كه از طريق عضويت در يك گروه، نسبت به آن شئ دارد

خواهد شد.اثر بي

چيزي ( اگر براي دسترسي كاربري به يك شئ، 2)و اين كاربر عضو گروهي است بيان نشده باشد

، منع نگرديدهكه دسترسي به آن شئ براي گروه مجوزهاي تماميتواند در آن صورت وي مي

دسترسي گروه به اين شئ را در اختيار داشته باشد.

MCIMCI


84

Sea-View -2مجازشماری در مدل

شخصي بر ماجازة منفي هيچ( اگر كاربري 3) اجازة مثبتئ نداشته، ولي يروي يك ش

شخصي براي برخي حاالت دسترسي آن مشئ را داشته باشد، در آن صورت به وي

اين مجوزها اعطا شده و هيچ مجوز فقطديگري از طريق عضويت وي در يك گروه

شود. )مجوز گروهي( به او داده نمي

MCIMCI

85

پایان

مركز امنيت شبكه شريف

http://nsc.sharif.edu

مدلهای کنترل دسترسی اجباری (mac)

Documents