1 / 9

Antonio Mattioli Non-Interferenza e Composizione delle Policy 12-12-2007

I. II. Indice - Modello di Bell-La Padula…………1 Non-Interferenza…………………...4 Unwinding Theorem……………….7 Composizione di Sistemi…………..8 - Non-Deducibilità………………….11 Non-Interferenza Forte……………13 - Conclusioni………………………..14. Antonio Mattioli Non-Interferenza e Composizione delle Policy

chaney
Download Presentation

Antonio Mattioli Non-Interferenza e Composizione delle Policy 12-12-2007

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. I II • Indice • - Modello di Bell-La Padula…………1 • Non-Interferenza…………………...4 • Unwinding Theorem……………….7 • Composizione di Sistemi…………..8 • - Non-Deducibilità………………….11 • Non-Interferenza Forte……………13 • - Conclusioni………………………..14 Antonio Mattioli Non-Interferenza e Composizione delle Policy 12-12-2007 Intro Di solito le organizzazioni hanno policy differenti a seconda della struttura a cui sono assegnate. Se ci sono conflitti o necessità differenti, quale policy deve essere adottata? Si possono fondere due policy differenti?

  2. 1 2 Modello di Bell - La Padula Accesso ai Dati ModalitàdiAccessoaiDati Definizione Utilizzaunaclassificazionedisicurezza per glioggettiedautorizzazioni per isoggetti. Unamodalitàdiaccesso ad un oggetto è permessa solo dopo la comparazionetraclassificazioneedautorizzazione. (LivellodiSicurezza) É un modello di policy di sicurezza che definisce un insieme di regole di accesso ad informazioni riservate. Regole Subjects Objects - Proprietà di Sicurezza Semplice: un soggetto con un certo livello di sicurezza non può accedere ad oggetti a livelli di sicurezza superiori (no read-up) Top Secret Top Secret Read Secret Secret High High - *-property (proprietà-stella): un soggetto con un livello di sicurezza non può scrivere oggetti con livelli di sicurezza inferiori (no write-down) Write Low Low Public Public - Proprietà di Sicurezza Discrezionale: utilizzo di una matrice per controllare gli accessi

  3. 3 4 Non-Interferenza: Definizione Problema Il Sistema Definizione Un gruppo di utenti [...] non-interferisce con un altro gruppo di utenti se quello che il primo gruppo fa [...] non ha effetto su quello che il secondo gruppo può vedere [Goguen, Meseguer] VMA System VMB CPU Sharing La non-interferenza è un metodo alternativo per costruire modelli di policy di sicurezza Comunicazionetra A e B ACPU=100% ACPU=0% ACPU=100% Per ottenereunaseparazionenettatraisoggettidi un sistemasidevonointerromperetuttiicanalitradiloro, e non solo quellichetradizionalmentepermettono la trasmissionedelleinformazioni t t0 t1 t2 Send Send Send B=1 B=0 B=1 Interferenza

  4. 5 6 Non-Interferenza Non-Interferenza: Esempio Automa a Due Bit Eseguiamo i comandi con alcuni stati: Esempio • Consideriamoquestoautoma: • Lo stato è definitoda due bit: H(igh) e L(ow); • Due comandi: xor0 e xor1; • -Due utenti: Holly (chepuòleggereinformazioniditipo High e Low) e Lucy (chepuòleggere solo informazioni Low); • -L’automamantiene lo stato con due bit (H,L). (0,1) (1,1) (0,0) (1,0) xor0 (0,1) (0,0) (1,0) (1,1) xor1 (0,1) (0,0) (1,0) (1,1) Gli output dell’automa sono concatenati. L’output per Holly è costituito da entrambi i bit (es. (0,1)) mentre per Lucy solo dal bit Low (es. (1)) Questo è l’Automa a Due Bit. Considerazioni Ogni comando può produrre un output, però alcuni utenti non hanno le autorizzazioni per visualizzarlo

  5. 7 8 Composizione di Sistemi UnwindingTheorem Idea Sistema Se si riesce a provare che in una sequenza di comandi ogni singolo comando che modifica lo stato di un automa è sicuro, allora lo sarà anche tutta la sequenza bL bH bLH Louie Rispetto Policy Hughie bLDH Siac un comandochesecondo la policy r non ha nessuneffettosuldominiod. Se applicando c allostatocorrente non siottienealcuneffettosu d, allorailsistemarispetta r. Dewey bDH Prendiamo in esamequestosistema: - Louie e Deweyelaborano a livelloLow - Hughieelabora a livelloHigh - Tuttipossonoleggereil buffer di output bL - C’è un buffer bh per gli input ditipoHigh - Cisonotre buffer blh, bdh, bldhcheconnetonoisistemi; possonoesserescrittidaLouie e Dewey e lettidaHughie - I buffer bdh e blhhannocapacità1 Consistenza Transazione Unatransizione è consistente se per ognic lo statorimaneequivalenterispetto a d Unwinding Theorem Siaruna policy, X un sistemaconsistenterispettoall’outputedalletransazioni, e cherispetti al policy r. AlloraX è sicuroripettoalla non-interferenza

  6. 9 10 Composizione di Sistemi Composizione di Sistemi Non-Interferenza Ognuno dei tre sistemi è sicuro rispetto alla non-interferenza: -Hughie non ha output, quindi gli input non possono interferire. -Louie e Dewey non hanno input, quindi non c’è interferenza con gli output. In Azione bl 0 bh 0 blh 0 Louie Esempio Hughie blDh 0 -Luoieinvia un messaggio a blh. Il buffer è pieno Dewey -Louie invia un secondomessaggio a blh 1 -Louie mandauno 0 a bl -Luoiemanda un messaggio a bdlh per segnalare ad Houghieche Louie ha completato un ciclo In questocaso un input ditipo High vienecopiato in un buffer checontienedatiditipo Low. Questosistemanon è sicurorispettoalla non-interferenza Dewey segue la stessaprocedura con bdh al postodiblh e invia 1 a bl Houghielegge un bit dabh, riceve un messaggiodablh (se legge0 dabh) o dabdh (se legge1 dabh) e poi ricevedabldh.

  7. 11 12 Non-Deducibilità Non-Deducibilità Premessa Considerazioni • Adesso consideriamo l’automa a due bit visto in precedenza, però con alcune modifiche: • Due set di input: High e Low; • Due set di output: High e Low; Lucy puòvisualizzare solo i bit Low, cioè 0001111 Questa funzione non è sicurarispettoalla non-interferenza; infattieliminandoicomandidi Holly, l’output per Lucy dovrebbeessere 00111 In quest’ultimocaso Lucy non puòdedurrequaliistruzionisono state eseguite e poi cancellate, perché non hannoinfluenzatol’output (ma solo la sualunghezza) Se un utente Low, che può inserire e ottenere solo dati di tipo Low, da questi riesce a dedurre i dati High, allora i dati sono trapelati da High a Low. Introduciamo un’altra modifica: se Holly esegue un’operazione, cambia solo il bit High, se invece è Lucy a farlo, varia solo il bit Low. H,xor1 L,xor0 H,xor1 IS L,xor0 L,xor1 L,xor0 H (0,0) (1,0) (1,0) (1,1) (0,1) (0,1) (1,1) (0) (0) (1) (1) (1) (1) (0) L Lo stato iniziale è (0,0), i comandi eseguiti sono: (Holly,xor1), (Lucy,xor0), (Lucy,xor1), (Lucy,xor0), (Holly,xor1), (Lucy,xor0). L’output risultante è 00101011110101 compreso lo stato iniziale. I bit dispari sono gli High, i pari sono i Low Definizione Un sistema è non-deducibile se, analizzando gli output, un utente non può dedurre gli input di un altro utente

  8. 13 14 Non-Interferenza Forte Conclusioni Premessa In generale (ma non lo dimostriamo), i sistemi non-deducibili non sono componibili. C’è una modifica che permette la composizione Campi di Studio - Studiare come approssiamare il minimo numero di operazioni negate che permettono il massimo livello di sicurezza ed autonomia - I sistemi non deducibili non incorporano la probabilità degli eventi Non-Interferenza Forte Nessun output di tipo High viene prodotto senza un input di tipo High Esempio Conclusioni Nell’automa a due bit un’operazione modifica solo il bit corrispondente, però invia all’output sia il bit High che quello Low; se invece inviasse all’output solo il bit del livello dell’operazione, allora soddisferebbe la non-interferenza forte La Non-Interferenza è una formulazione alternativa di modelli di policy di sicurezza; una separazione stretta tra i soggetti può avvenire solo se tutti i canali sono chiusi. La composizione di sistemi che presi singolarmente sono sicuri non sempre ha come risultato un sistema sicuro, ma ha sempre bisogno di modifiche ed ottimizzazioni, anche per garantire l’autonomia degli oggetti che lo compongono Conclusione Si può dimostrare (ma non in questa sede) che dei sistemi che soddisfano la non-interferenza forte sono componibili tra di loro mantenendo il requisito della non-interferenza [Weber]

  9. III IV Antonio Mattioli Non-Iterferenza e Composizione delle Policy 12-12-2007 • Bibliografia • -libro, di ---, capitolo 8 • Abstract Non-Interference, di Mastroeni • -Varie, risorse in rete • Grazie per l’Attenzione. • Domande?

More Related