ΕΡΓΑΣΙΑ ΣΤΗ ΘΕΩΡΙΑ ΓΡΑΦΩΝ Διδάσκων : Π. Κατσαρός Διδάσκων : Π. Κατσαρός Παπαδημητρίου Παπαδημητρίου Δήμητρα Δήμητρα
ΘΕΜΑ « Εφαρμογή των γράφων στη μοντελοποίηση πολυεπίπεδων « Εφαρμογή των γράφων στη μοντελοποίηση πολυεπίπεδων ασφαλών κατανεμημένων ασφαλών κατανεμημένων συστημάτων » συστημάτων » συγγραφείς-ερευνητές : John C. Williams George W. Dinolt
Γενική περιγραφή του συστήματος Ι Βασικό σενάριο: συλλογή διαδικασιών (processes) συλλογή διαδικασιών (processes) εγγραφής-αποστολής (write-send)εγγραφής-αποστολής (write-send) ανάγνωσης-λήψης (read-write)ανάγνωσης-λήψης (read-write) πάνω από συνδεδεμένα κανάλια. διατήρηση διατήρηση Διαδικασίες πληροφορίας. διαχείριση διαχείριση
Γενική περιγραφή του συστήματος ΙΙ δυναμικό : τόσο οι διεργασίες όσο και τα κανάλια εχουν συγκεκριμένη διάρκεια ζωής. Ορισμένες διεργασίες έχουν τη δυνατότητα να δημιουργούν και τερματίζουν τη λειτουργία καναλιών ή/και άλλων διεργασιων. Ορισμένες διεργασίες έχουν τη δυνατότητα να δημιουργούν και τερματίζουν τη λειτουργία καναλιών ή/και άλλων διεργασιων. κατανεμημένο: η δημιουργία, ο τερματισμός καθώς και τα υπόλοιπα γεγονότα ως ολότητες μπορούν να συμβούν ταυτόχρονα ή παράλληλα. Από την άποψη της ασφάλειας: η πληροφορία είναι ταξινομημένη σε διάφορες κατηγορίες και επίπεδα ευαισθησίας. Άτυπα περιγράφεται ως : ένα ασφαλές,κατανεμημένο σύστημα
Το θεωρητικό μοντέλο με γράφους The graph-theoretic model Λαμβάνοντας υπόψη τη λειτουργία του συστήματος προκύπτει ότι για την περιγραφή του: χρήση ¨ασφαλών κατάστασεων¨ : ακατάλληλη η νέα προσέγγιση του Williams : Συγκεκριμένα : δυναμικοί κατευθυνόμενοι γράφοι με ετικέτες γράφοι
Ο γράφος G = (V, E, SL, Δ) G = (V, E, SL, Δ) V: σύνολο κόμβων E: σύνολο ακμών SL: σύνολο επιγραφών ασφαλείας Δ: σύνολο δυναμικών γεγονότων που επιδρούν πάνω στο γράφο με τη δημιουργία ή διαγραφη ακμών ή/και κορυφών. - Κατευθυνόμενος : κάθε ακμή κατευθύνεται από μία κορυφή σε μία άλλη (η διπλή κατεύθυνση αναπαρίσταται με 2 διαφορετικές ακμές). - Δυναμικός : ανάλογα με τα γεγονότα η μορφή του γράφου ποικίλει. - Δυναμικός : ανάλογα με τα γεγονότα η μορφή του γράφου ποικίλει. - Με ετικέτες : κάθε ακμή σχετίζεται με μιά ετικέτα.
Αντιστοιχία μοντέλου-συστήματος το θεωρητικό μοντέλο το θεωρητικό μοντέλο το πραγματικό σύστημα το πραγματικό σύστημα κόμβος στιγμιότυπο διεργασίας ακμήκανάλι κατεύθυνση ακμης ικανότητα ροής πληροφορίας ικανότητα ροής πληροφορίας γεγονότα που επιδρούν στο γράφο με τη δημιουργία ή διαγραφη ακμών ή/ και κομβων ενέργειες που επιδρούν στο σύστημα και δημιουργούν/τερματίζουν διεργασίες ή/και κανάλια στο σύστημα και δημιουργούν/τερματίζουν διεργασίες ή/και κανάλια ετικέτα ασφάλειας κατηγορία πληροφοριάς που επιτρέπεται να ρεύσει που επιτρέπεται να ρεύσει πολλαπλές ακμές με διακριτές ετικέτες πολυεπίπεδο κανάλι (μονής ή διπλής κατεύθυνσης) πολυεπίπεδο κανάλι (μονής ή διπλής κατεύθυνσης)
Αποσύνθεση καναλιών Σε ένα πολυεπίπεδο σύστημα μιά διεργασία μπορεί να στείλει (λάβει) πληροφορία υπό περισσότερες από μία κατηγορίες σε (από) μιά άλλη διεργασία. Σε ένα πολυεπίπεδο σύστημα μιά διεργασία μπορεί να στείλει (λάβει) πληροφορία υπό περισσότερες από μία κατηγορίες σε (από) μιά άλλη διεργασία. Παράδειγμα : Οι διεργασίες Α και Β επικοινωνούν αμφίδρομα υπό τις ετικέτες Top Secret : Nato και Secret: Crypto. Η παρουσίαση με 4 κατευθυνόμενες ακμές με ετικέτες θα μπορούσε να γίνει και μόνο με ένα κανάλι. Όι 4 ακμές δεν οδηγούν σε πλεονασμό οντοτήτων Είναι απαραίτητες για τη μοντελοποίηση και τη διασφάλιση ασφαλούς επικοινωνίας. Α Β TS: NATO S:Crypto ΑΒ TS: NATO {TS:NATO, S:Crypto} S:Crypto ΑΒ σύμπτυξη σύμπτυξη
Διάταξη των ετικέτων ασφάλειας Το σύνολο SL είναι σε μερική διάταξη : < sl Έστω λ, μ SL Έστω λ, μ SL λ < sl μ λ < sl μ συγκρίσιμες λ ≤> sl μ λ = μ λ > sl μ λ > sl μ μη συγκρίσιμες (λ ≤> sl μ) Παραδείγματα Παραδείγματα (TS: NATO ≤> sl S: Crypto) (TS: NATO ≤> sl S: Crypto) (TS: NATO, Crypto ) > sl TS: NATO (TS: NATO, Crypto ) > sl TS: NATO (TS: NATO, Crypto ) > sl S: Crypto (TS: NATO, Crypto ) > sl S: Crypto
Ο χρόνος Η έννοια του χρόνου προσδιορίζεται από το σύνολο των διατεταγμένων, σχετικών με την ασφάλεια γεγονότων. αλλαγές στη μορφή του γράφου μπορεί διακριτός αλλαγές στη μορφή του γράφου μπορεί διακριτός να συμβούν σε διακριτές χρονικές στιγμές χρόνος να συμβούν σε διακριτές χρονικές στιγμές χρόνοςΣυμπερασματικά Σφαιρική ολοκληρωμένη εικόνα του γράφου καθόλη τη διάρκεια ζωής του συστήματος δεν έχουμε. Σφαιρική ολοκληρωμένη εικόνα του γράφου καθόλη τη διάρκεια ζωής του συστήματος δεν έχουμε. Αλλά Αλλά Η μελέτη σε τοπικό επίπεδο κάθε κορυφής είναι επαρκής για την περιγραφή της ασφάλειας ολόκληρου του συστήματος. Η μελέτη σε τοπικό επίπεδο κάθε κορυφής είναι επαρκής για την περιγραφή της ασφάλειας ολόκληρου του συστήματος.
Εμπιστευτικότητα I Πώς θα αποφευχθεί η μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες ; μη έμπιστη διεργασία (untrusted process): δεν μπορεί να διαβάσει πληροφορίες πάνω από το δικό της επίπεδο δεν μπορεί να γράφει σε χαμηλότερο επίπεδο από αυτό που διάβασε Επαρκεί ο ορισμός αυτός ; Επαρκεί ο ορισμός αυτός ; πρόβλημα: στο μοντέλο οι διεργασίες πρόβλημα: στο μοντέλο οι διεργασίες εμπεριέχουν μνήμη προηγούμενων εισόδων. εμπεριέχουν μνήμη προηγούμενων εισόδων. Αν το προηγούμενο εισερχόμενο κανάλι της ήταν ανώτερου επιπέδου από το τρέχον η διεργασία θα πρέπει να μη στείλει προηγούμενη πληροφορία Η μελέτη των τρέχοντων καναλιών της διεργασίας Η μελέτη των τρέχοντων καναλιών της διεργασίας δεν διασφαλίζει την ασφάλεια του συστήματος. δεν διασφαλίζει την ασφάλεια του συστήματος.
Εμπιστευτικότητα II μη έμπιστη διεργασία : μη έμπιστη διεργασία : εάν ισχύει πάντα ότι για κάθε εισερχόμενο κανάλι εώς και την τρέχουσα στιγμή e in και οποιοδήποτε τρέχον εξερχόμενο εάν ισχύει πάντα ότι για κάθε εισερχόμενο κανάλι εώς και την τρέχουσα στιγμή e in και οποιοδήποτε τρέχον εξερχόμενο κανάλι e out, οι ετικέτες ασφάλειας sl(e in ), sl(e out ) κανάλι e out, οι ετικέτες ασφάλειας sl(e in ), sl(e out ) ικανοποιούν τη σχέση :. ικανοποιούν τη σχέση :. ισχύει πάντά ; Δηλαδή : Q=Q (v) για κάθε v Δ ισχύει πάντά ; Δηλαδή : Q=Q (v) για κάθε v Δ Όμως αν το ν είναι μη συγκρίσιμο με όλα τα γεγονότα Όμως αν το ν είναι μη συγκρίσιμο με όλα τα γεγονότα ● που συμβαίνουν στην κορυφή χ ● που διαγράφουν ή προσθέτουν ακμές στη χ Ποιά e in και e out θα λάβουμε υπόψή; Ο ορισμός αυτός ενδείκνυται για συστήματα με σειριακά γεγονότα. Για τα υπόλοιπα είναι αρκετά περιοριστικός. Ο ορισμός αυτός ενδείκνυται για συστήματα με σειριακά γεγονότα. Για τα υπόλοιπα είναι αρκετά περιοριστικός. sl(e in ) ≤ sl sl(e out )
Βασική υπόθεση για λόγους απλότητας Δ=U Δ χ χV χV Δ χ : το σύνολο των γεγονότων που επιδρούν στη x Δ χ : το σύνολο των γεγονότων που επιδρούν στη x μη κενό μη κενό γραμμικά ταξινομημένο γραμμικά ταξινομημένο Η υπόθεση αυτή δεν επιτρέπει σε ταυτόχρονα ή παράλληλα γεγονότα την αλλαγή ακμών στην ίδια κορυφή. Η υπόθεση αυτή δεν επιτρέπει σε ταυτόχρονα ή παράλληλα γεγονότα την αλλαγή ακμών στην ίδια κορυφή. Οπότε για κάθε κορυφή έχουμε μία καλα ορισμένη χρονολογική ακολουθία γεγονότων. Οπότε για κάθε κορυφή έχουμε μία καλα ορισμένη χρονολογική ακολουθία γεγονότων.
Ασθενής γραμμικότητα o βαθμός συσχέτισης μεταξύ των κορυφών εξαρτάται από τη δυνατότητα διάταξης στο χρόνο των σχετικών με την ασφάλεια γεγονότων. κεντρική (central) ισχυρή (tight) xαλαρή (loose) x, y, z v x,1 v Χ,2 v y,1 v z,1 v y,2 v x,3 v Z,2 x y z v x,1 v y,1 v z,1 v Χ,2 v y,2 v z,2 v x,3 x y z x y z v x,1 v y,1 v z,1 v x,1 v y,1 v z,1 v x,2 v x,3 v y,2 v z,2 ακμές : γεγονότα χρόνος γραμμική διάταξηγραμμική διάταξη όλα τα γεγονότα που επηρεάζουν δεδομένη κορυφή είναι γραμμικά διατεταγμένα. γεγονότα που επηρεάζουν δεδομένη κορυφή μπορεί να είναι μη συγκρίσιμα.
Ορολογία Η μερικη διάταξη σε ένα Η μερικη διάταξη σε ένα πεπερασμένο σύνολο πεπερασμένο σύνολο μπορεί να επεκταθεί μπορεί να επεκταθεί σε μερική διάταξη σε μερική διάταξη ενός μεγαλύτερου ενός μεγαλύτερου πεπερασμένου συνόλου. πεπερασμένου συνόλου. διάταξη ετικέτων ασφαλείας lub : ελάχιστο ανώτερο όριο glb: μέγιστο χαμηλότερο όριο επέκταση Για χ V, v Δχ IN(v,x) : εισερχόμενες ακμές στη χ OUT(v,x) : εξερχόμενες ακμές από τη χ in sl (v,x) lub{sl(e) |e U IN(w,x)} wΔχ, w ≤v wΔχ, w ≤v out sl (v,x) glb{sl(e) |e OUT(v,x)}
Τελικός ορισμός μη έμπιστης διεργασίας Έστω χ V, η χ είναι μη έμπιστη αν για κάθε v V ισχύει: in sl (v,x) ≤ sl out sl (v,x) αν για κάθε v V ισχύει: in sl (v,x) ≤ sl out sl (v,x) με απλά λόγια : με απλά λόγια : αν για κάθε γεγονός που επηρεάζει τις ακμές της χ, η ετικέτα κάθε εξερχόμενης ακμής υπερισχύει της ετικέτας οποιασδήποτε εισερχόμενης ακμής εως τώρα. Σε κάθε άλλη περίπτωση είναι έμπιστη. Παρατήρηση :Έστω η χ έναι μη έμπιστη διεργασία ● αν το ν προσθέσει μία εξερχόμενη ακμή e πρέπει: sl(e) sl in sl (v,x) ● αν το ν προσθέσει μία εισερχόμενη ακμή e πρέπει: sl(e) sl out sl( (v,x) ασυμμετρία : πρώτη περίπτωση παρελθόν της ακμής ασυμμετρία : πρώτη περίπτωση παρελθόν της ακμής δεύτερη περίπτωση μόνο για το παρόν. δεύτερη περίπτωση μόνο για το παρόν.
Η έννοια της κατάστασης όχι πρωταρχική αλλά παράγεται από την αναπαράσταση του γράφου δεν μπορει να είναι σφαιρική εστιάζεται σε κάθε κορυφή ξεχωριστά Συγκεκριμένα : Αν ν Δ διαγράφει ή προσθέτει μία ακμή σε μία μη έμπιστη διεργασία για να περιγράψουμε μιά ασφαλή κατάσταση θα πρέπει να γνωρίζουμε το lub του in sl (v,x) το lub του in sl (v,x) και το glb του out sl (v,x) και το glb του out sl (v,x)
Ασφάλεια ισχυρά συνδεδεμένων συστημάτων ασφάλεια σε τοπικό επίπεδο : απαγορεύεται η εγγραφή απαγορεύεται η εγγραφή μη έμπιστες διεργασίες σε κατώτερα επίπεδα (no write down) (no write down) ασφάλεια ολόκληρου του συστήματος : σε οποιοδήποτε κατευθυνόμενο μονοπάτι μη έμπιστων κορυφών η ακολουθία των αντίστοιχων ετικετών ασφάλειας πρέπει να είναι μη φθίνουσα. σε οποιοδήποτε κατευθυνόμενο μονοπάτι μη έμπιστων κορυφών η ακολουθία των αντίστοιχων ετικετών ασφάλειας πρέπει να είναι μη φθίνουσα.
Ασφάλεια ολόκληρου του συστήματος : Θεώρημα : Έστω ότι ικανοποιείται η βασική υπόθεση. Έστω ότι ικανοποιείται η βασική υπόθεση. Για i=1,....n, έστω v i η δημιουργία και w i η ακόλουθη διαγραφή της e i και υπάρχει ακμή από την μη έμπιστη διεργασιά χ i στην επίσης μη έμπιστη χ i+1 έτσι ώστε : ¬(v i > w i+1 ). Για i=1,....n, έστω v i η δημιουργία και w i η ακόλουθη διαγραφή της e i και υπάρχει ακμή από την μη έμπιστη διεργασιά χ i στην επίσης μη έμπιστη χ i+1 έτσι ώστε : ¬(v i > w i+1 ). Τότε, η αντίστοιχη ακολουθία ετικέτων ασφάλειας είναι μονοτονικά αύξουσα: sl(e i ) sl sl(e i+1 ),i=1,…..n-1. Τότε, η αντίστοιχη ακολουθία ετικέτων ασφάλειας είναι μονοτονικά αύξουσα: sl(e i ) sl sl(e i+1 ),i=1,…..n-1. Τι διασφαλίζει ;.... χ i χ i+1 χ i αποτρέπει oποιαδήποτε πληροφορία επιπέδου i που μεταφέρεται από τη χ i στη χ i+1 να μετααφερθεί και στη χ i+2 ως πληροφορία i+1 επιπέδου. sl(e i ) sl(e i+1 )
Σύνοψη Στο μοντέλο του Williams εάν Στο μοντέλο του Williams εάν οι μη έμπιστες κορυφές προσδιορισθούν σωστά και οι έμπιστες κορυφές λειτουργούν σωστά διασφαλίζεται η ασφάλεια του σύστηματος ως διασφαλίζεται η ασφάλεια του σύστηματος ως ολότητα. ολότητα.
Σύγκριση με προϋπάρχοντα μοντέλα Από την έρευνα πάνω στην ανάπτυξη ασφαλών κατανεμημένων συστημάτων έχουν προκύψει ποικίλα μοντέλα. Από την έρευνα πάνω στην ανάπτυξη ασφαλών κατανεμημένων συστημάτων έχουν προκύψει ποικίλα μοντέλα. Ενδεικτικά : Bell and La Padula, J McLeans Model Z, Take-Grant προηγούμενες προσεγγίσεις μοντέλο του Williams πραγματικό κατανεμημένο σύστημα διάταξη γεγο- νότων σχετικών με την ασφάλεια γραμμική γραμμική μερική μερική κατάσταση (state) (state)πρωταρχική έννοια έννοια η έννοια περιορίζεται σε τοπικό επίπεδο μη πρωταρχική έννοια
Βιβλιογραφία J.C Williams. J.C Williams. A graph theoretic formulation of multilevel distributed systems. An overview. Proceedings of the Symposium on Security and Privacy. IEEE Computer society, A graph theoretic formulation of multilevel distributed systems. An overview. Proceedings of the Symposium on Security and Privacy. IEEE Computer society, Bell D. E. and La Padula, L. J, Bell D. E. and La Padula, L. J, Secure Computer System Unified Exposition and Multics Interpretation”,1979. Secure Computer System Unified Exposition and Multics Interpretation”,1979. McLean, J., “Model Z” Comp. Sec. Forum, McLean, J., “Model Z” Comp. Sec. Forum, Denning, D.E., Cryptography and Data Security, Addison – Wesley Pub, Denning, D.E., Cryptography and Data Security, Addison – Wesley Pub, 1982.