محرمانگی، جلوگیری از افشای غیرمجاز اطلاعات
صحت، جلوگیری از تغییر غیرمجاز اطلاعات
دسترس پذیری، با جلوگیری از منع دسترسی (DoS)
هدف مدلهای کنترل دسترسی مشبک- مبنا، کنترل جریان اطلاعات است
در کنترل جریان اطلاعات
محرمانگی هدف مرکزی است
صحت تا حدی مورد نظر است
دسترس پذیری اهمیت چندانی ندارد
کنترل جریان اطلاعات:
تعیین مسیرهای مجاز و جلوگیری از جریانهای غیرمجاز با هدف
حفظ محرمانگی
جلوگیری از جاریشدن اطلاعات به سوی موجودیتهای غیرمجاز
حفظ صحت
جلوگیری از جاریشدن اطلاعات به سوی موجودیتهای با صحت پایین
کنترل جریان اطلاعات: رویکردها:
دو رویکرد کلی
بیان خصوصیات مورد انتظار امنیتی در فرایند تولید با رویههای مهندسی نرمافزار
استفاده از مدلهای کنترل دسترسی مشبکمبنا
انتزاعی از خطمشیهای مشبکمبنا
نوع خاصی از خطمشیهای جریان اطلاعات
خط مشی های جریان اطلاعات:
هدف: کنترل جریان اطلاعات بین کلاسهای امنیتی
به هر شیء یک کلاس امنیتی تخصیص داده می شود
تعریف خط مشی جریان اطلاعات (Denning):
یک سه تایی <SC,→, > که در آن SC مجموعه ای از کلاسهای امنیتی است، →ÍSC*SC یک رابطه دوتایی به نام can-flow روی SC است و :SC * SC → SC یک عملگر پیوند روی SC است،
A B = C : اشیائی که شامل اطلاعاتی از کلاسهای امنیتی A و B هستند باکلاس امنیتی C باید برچسب گذاری شوند
کلاسهای مجزا (Isolated Classes):
یک مثال بدیهی از یک خط مشی جریان اطلاعات
هیچ جریان اطلاعاتی بین کلاسهای امنیتی مختلف وجود ندارد
{SC = {A1…,A
برای i=1...n داریم
Ai →Ai و Ai Ai=Ai
برای i,j=1..n و i j داریم:
Ai →/ Aj و Ai Aj تعریف نشده است
خط مشی بالا - پایین:
تنها دو کلاس امنیتی بالا (H) و پایین (L) وجود دارد
تنها جریان اطلاعات غیر مجاز از H به L است.
nSC = {H,L} و → = {(H,H),(L,L),(L,H)}
عملیات به صورت زیر تعریف شده است
L H = H
L L = L
H L = H
خط مشی مشبک مبنا:
خطمشی جریان اطلاعات متضمن عدم وجود جریان غیرمجاز نیست
اگر a ® c و b ® c آنگاه a Å b ® c
مشبکبودن، شرط کافی برای تضمین عدم وجود جریان غیرمجاز
شرط مشبکبودن یک خطمشی (اصول موضوعه دنینگ):
متناهی بودن مجموعهی کلاسهای SC
جزئاً مرتب بودن رابطه قابل جریان (®) روی SC
دارا بودن کران پایین نسبت به رابطهی ®
کوچکترین کران بالای کاملاً تعریفشده برای عملگر Å
خطمشی بالا-پایین مشبکمبناست
اصل موضوعه اول Denning:
محدود بودن تعداد کلاسهای امنیتی موجود در SC
تعداد کلاسهای امنیتی موجود در SC ثابت است
اما تعداد اشیاء می تواند بصورت پویا تغییر کند
اصول موضوعه مربوط به کلاسهای امنیتی است نه اشیاء
اصل موضوعه دوم Denning:
→ یک رابطه ترتیب جزئی روی SC است
تعدی بدین معناست که اگر A → B و B → C آنگاه A → C
اگر یک جریان غیر مستقیم از A به C وجود داشته باشد، آنگاه یک جریان مستقیم از A به C مفروض است
در برخی سیستمها، چنین فرضی درست نیست
مثلا در یک سیستم جریان از H به L تنها در صورت وجود یک دستگاه سنکرون کننده امکان پذیر است، یعنی:
H → San و San → L اما H → / L
با توجه به خاصیت بازتابی و تعدی، خاصیت عدم تقارن به معنای حذف کلاسهای امنیتی تکراری است
A →B و B → A آنگاه A = B
شامل 32 اسلاید POWERPOINT
دانلود پاورپوینت مروری بر مدلهای کنترل دسترسی مشبک - مبنا
