Embed Size (px)
Citation preview
8/14/2019 Security Model
http://slidepdf.com/reader/full/security-model 1/17
M T 5 1 0 4 - C o m p u t e r S e c u r i t y - L e c t u r e 3
1
S e c u r i t y
M o d e l s
• A s e c u r i t y m o d e l i s a f o r m a l d e s c r i p t i o n o f a
s e c u r i t y p o l i c y .
• W h a t i s a
s e c u r i t y p o l i c y ?
• A s e c u r i t y p o l i c y c o u l d
c a p t u r e t h e s e c u r i t y
r e q u i r e m e n t s o f a n e n t e r p r i s e o r d e s c
r i b e t h e s t e p s
t h a t h a v e
t o b e t a k e n t o
a c h i e v e s e c u r i t y .
• S e c u r i t y m o d e l s a r e u s e d i n s e c u r i t y
e v a l u a t i o n ,
s o m e t i m e s f o r p r o o f s o
f s e c u r i t y .
• T h e B e l l - L a P a d u l a m o d e l ( B L P ) i s a
n i m p o r t a n t
h i s t o r i c m
i l e s t o n e i n c o
m p u t e r s e c u r i t y .
M T 5 1 0 4 - C o m p u t e r S e c u r i t y - L e c t u r e 3
2
A g e n d a
• T h e B e l l - L a P a d u l a m o d e l
• T r y t o b e m o r e g e n e
r a l : H a r r i s o n - R u z o -
U l l m a n
• C h a n g e
o f a c c e s s r i g
h t s : C h i n e s e W a l l
m o d e l
• I n t e g r i t y
m o d e l s : B i b a , C l a r k - W
i l s o n
• P e r f e c t i o n : i n f o r m a t i o n f l o w a n d
n o n -
i n t e r f e r e
n c e m o d e l s
8/14/2019 Security Model
http://slidepdf.com/reader/full/security-model 2/17
M T 5 1 0 4 - C o m p u t e r S e c u r i t y - L e c t u r e 3
3
S t a t e M a c h
i n e M o d
e l s
• C a p t u r e t h e s
t a t e o f a s y s t e m . S t a t e s c h a n g e o
n l y a t d i s c r e t e
p o i n t s i n t i m e , e . g . t r i g g e r e d b y a c l o c k o r a n
i n p u t e v e n t .
• T h e s t a t e s h o
u l d c a p t u r e t h e e s s e n t i a l f e a t u r e s o f t h e s y s t e m
u n d e r i n v e s t i g a t i o n , e . g . t h e s
e c u r i t y o f a c o m
p u t e r s y s t e m .
• H o w t o u s e s t a t e m a c h i n e m o
d e l s ?
– D e f i n e t h e s t a t e s e t s o t h a t i t c a
p t u r e s ` s e c u r i t y ’ .
– C h e c k t h a t a l l s t a t e t r a n s i t i o n s s t a r t i n g i n a ` s e c u r e
’ s t a t e y i e l d a ` s e c u
r e ’
s t a t e .
– C h e c k t h a t t h e i n i t i a l s t a t e o f t h
e s y s t e m i s ` s e c u r e ’ .
• S e c u r i t y i s t h
e n p r e s e r v e d b y
a l l s t a t e t r a n s i t i o n s . T h e s y s t e m
w i l l a l w a y s b
e ` s e c u r e ’ .
• T h i s B a s i c S e c u r i t y T h e o r e m
h a s b e e n d e r i v e
d w i t h o u t a n y
d e f i n i t i o n o f ` s e c u r i t y ’ ! .
M T 5 1 0 4 - C o m p u t e r S e c u r i t y - L e c t u r e 3
4
B e l l -
L a P a d u l a M o d e l ( B L P )
• B L P i s a s t a
t e m a c h i n e m o d e l c a p t u r i n g
c o n f i d e n t i a l i
t y
a s p e c t s o f a c c e s s c o n t r o l .
• A c c e s s p e r m
i s s i o n s a r e d e f i n e d t h r o u g h
a n a c c e s s
c o n t r o l m a t r i x a n d t h r o u g
h a p a r t i a l o r d
e r i n g o f s e c u r i t y
l e v e l s .
• S e c u r i t y p o l i c i e s p r e v e n t i n f o r m a t i o n f l o w i n g d o w n -
w a r d s f r o m
a h i g h s e c u r i t y l e v e l t o a l o w s e c u r i t y l e v
e l .
• B L P o n l y c o n s i d e r s t h e i n
f o r m a t i o n f l o w t h a t o c c u r s
w h e n a s u b j e c t o b s e r v e s o
r a l t e r s a n o b j e c t .
8/14/2019 Security Model
http://slidepdf.com/reader/full/security-model 3/17
M T 5 1 0 4 - C o m p u t e r S e c u r i t y - L e c t u r e 3
5
W h a t d o w e h a v e t o m o d e l ?
1 A l l c u r r e n t a c c e s s o p e r a t i o
n s :
– a n a c c e
s s o p e r a t i o n i s d
e s c r i b e d b y a t u p l e ( s , o , a ) ,
s ∈ S ( u b j e c t s ) , o ∈ O ( b j e c t s ) , a ∈ A ( c c e
s s_ O p e r a t i o n s )
– T h e s e t
o f a l l c u r r e n t a c
c e s s o p e r a t i o n s
i s a n e l e m e n t o f
P ( S × O
× A ) .
– W e u s e
B a s s h o r t h a n d
f o r P ( S × O × A ) .
– W e u s e
b t o d e n o t e a p a r t i c u l a r s e t o f a c c e s s o p e r a t i o n s .
2 T h e c u r r e n
t p e r m i s s i o n s a s
d e f i n e d b y t h e a c c e s s c o n t r o l
m a t r i x M
–
M
i s t h
e s e t o f a c c e s s c
o n t r o l m a t r i c e s .
M T 5 1 0 4 - C o m p u t e r S e c u r i t y - L e c t u r e 3
6
W h a t d o w e h a v e t o m o d e l ?
3 T h e c u r r e n
t a s s i g n m e n t o f
s e c u r i t y l e v e l s :
– m a x i m a l s e c u r i t y l e v e l : f S : S → L ( L …
l a b e l s )
– c u r r e n t
s e c u r i t y l e v e l : f C : S → L
– c l a s s i f i c a t i o n : f o : O → L
• T h e s e c u r i t y l e v e l o f a u s e r i s t h e u s e r ’ s c l e a r a n c e .
• T h e c u r r e n
t s e c u r i t y l e v e l a l l o w s s u b j e c t s t o b e d o w n -
g r a d e d t e m
p o r a r i l y .
• F ⊆ L S × L
S × L O i s t h e s e t o f s e c u r i t y l e v e
l a s s i g n m e n t s .
• f = ( f S , f C , f O ) d e n o t e s a n e
l e m e n t o f F .
• T h e s t a t e s
e t o f B L P : V = B × M
× F
• A s t a t e i s d
e n o t e d b y ( b , M , f ) .
8/14/2019 Security Model
http://slidepdf.com/reader/full/security-model 4/17
M T 5 1 0 4 - C o m p u t e r S e c u r i t y - L e c t u r e 3
7
B L P P
o l i c i e s
• P r e v e n t i n f o r m a t i o n f l o w f
r o m ` h i g h ’ s e c u r i t y l e v e l s t o
` l o w ’ s e c u r i t y l e v e l s .
• I n B L P , i n f o r m a t i o n f l o w c a n o n l y o c c u r d
i r e c t l y t h r o u g h
a c c e s s o p e
r a t i o n s .
• S i m p l e S e
c u r i t y P r o p e r t y
( s s - p r o p e r t y )
• I n f o r m a t i o
n f l o w i s s t i l l p o
s s i b l e .
– A l o w s u b j e c t c o u l d c r e
a t e a h i g h l e v e l
T r o j a n h o r s e
p r o g r a m
t h a t r e a d s a h i g h l e v e l d o c u m e
n t a n d c o p i e s i t s
c o n t e n t s t o a l o w l e v e l f i l e .
– T h i s w o u l d c o n s t i t u t e a
n i m p r o p e r ` d e c l a s s i f i c a t i o n ’ o f
t h e d o c
u m e n t .
N o r e a d - u p : f S ( s ) ≥
f O ( o )
i f a c c e s s i s i n o
b s e r v e m o d e
M T 5 1 0 4 - C o m p u t e r S e c u r i t y - L e c t u r e 3
8
T r o j a n h o r s e
c o p y
r e a d
c r e a t e
8/14/2019 Security Model
http://slidepdf.com/reader/full/security-model 5/17
M T 5 1 0 4 - C o m p u t e r S e c u r i t y - L e c t u r e 3
9
B L P P o l i c i e s c t d .
• ∗ - P r o p e r
t y ( s t a r p r o p e r
t y )
• T h e v e r y f i r s t v e r s i o n o f B L P d i d n o t c o n s i d e r t h e
∗ - p r o p e r t y .
• M a n d a t o r y
B L P p o l i c i e s : s
s - p r o p e r t y a n d
∗ - p r o p e r t y .
• D i s c r e t i o n
a r y S e c u r i t y P r o p e r t y ( d s - p r o
p e r t y )
N o w r i t e - d o w n : f C ( s ) ≤ f O ( o ) i f a c c e s s i s i n a l t e r m o d e ;
a l s o , i f s u b j e c t s h a s a c c e s s t o a n o b j e c t o i n a l t e r m o d e ,
t h e n f O ( o ’ )
≤
f O ( o ) f o r a l l
o b j e c t s o ’ a c c e s
s e d b y s i n
o b s e r v e m
o d e .
A c c e s s m u s t b e p e r m i t t e d
b y t h e a c c e s s c o
n t r o l m a t r i x :
( s , o , a ) ∈ M
s o .
M T 5 1 0 4 - C o m p u t e r S e c u r i t y - L e c t u r e 3
1 0
N o W r i
t e - D o w n
• T h e ∗ - p r o p e r t y i m p l i e s t h
a t a h i g h l e v e l s u b j e c t i s n o t
a b l e t o s e n
d m e s s a g e s t o a
l o w l e v e l s u b j e c t .
• T h e r e a r e t w o w a y s t o e s c a p e f r o m t h i s r e s
t r i c t i o n .
– T e m p o r a r i l y d o w n g r a d e a h i g h l e v e l s u
b j e c t . T h i s i s
t h e r e a s o n f o r t h e c u r r e n t s e c u r i t y l e v e l
f C . B L P
a s s u m e
s t h a t s u b j e c t s h a v e n o m e m o r y
o f t h e i r o w n !
– I d e n t i f y a s e t o f t r u s t e d
s u b j e c t s , w h i c h
a r e p e r m i t t e d t o
v i o l a t e
t h e ∗ - p r o p e r t y .
• W e r e d e f i n e t h e ∗ - p r o p e r t y a n d d e m a n d i t o n l y f o r
s u b j e c t s , w
h i c h a r e n o t t r u s t e d . T r u s t e d s u b j e c t s m a y
v i o l a t e s e c
u r i t y p o l i c i e s !
• D i s t i n g u i s h b e t w e e n t r u s t e d s u b j e c t s a n d t r u s t w o r t h y
s u b j e c t s .
8/14/2019 Security Model
http://slidepdf.com/reader/full/security-model 6/17
M T 5 1 0 4 - C o m p u t e r S e c u r i t y - L e c t u r e 3
1 1
B a
s i c S e c u r i t y T h e o
r e m
• A s t a t e i s s e c u r e , i f a l l c u r r e n t a c c e s s t u p l e
s ( s , o , a ) a r e
p e r m i t t e d b y t h e s s - p r o p e r t y , ∗ - p r o p e r t y , a n d d s - p r o p e r t y .
• A s t a t e t r a n s i t i o n i s s e c u r e
i f i t g o e s f r o m a
s e c u r e s t a t e t o a
s e c u r e s t a t e .
• B a s i c S e c u r i t y T h e o r e m
• T h i s h a s n
o t h i n g t o d o w i t h s e c u r i t y , o n l y
w i t h s t a t e
m a c h i n e m
o d e l i n g .
I f t h e i n i t i a l s t a t e o f a s y s t e m i s s e c u r e a n d i f a l l s t a t e
t r a n s i t i o n s a r e s e c u r e , t h e n t h e s y s t e m w i l
l a l w a y s b e
s e c u r e .
M T 5 1 0 4 - C o m p u t e r S e c u r i t y - L e c t u r e 3
1 2
T r a n q u i l i t y
• M c L e a n : c o n s i d e r a s y s t e m w i t h a n o p e r a t i o n d o w n g r a d e :
– d o w n g r a d e s a l l s u b j e c t s t o s y s t e m l o w
– d o w n g r a d e s a l l o b j e c t s t o
s y s t e m l o w
– e n t e r s a l l
a c c e s s r i g h t s i n
a l l p o s i t i o n s o f t h e a c c e s s c o n t r o l
m a t r i x .
• T h e r e s u l t i n g s t a t e i s s e c u r e a c c o r d i n g t o B L
P .
• S h o u l d s u c h
a s y s t e m b e r e g a r d e d a s s e c u r e ?
– M c L e a n : n
o , e v e r y b o d y i s a l l o w e d t o d o e v e r y t h i n g
– B e l l : y e s , i
f d o w n g r a d e w a s p a r t o f t h e s y s t e m s p
e c i f i c a t i o n
• P r o b l e m : B L
P h a s n o p o l i c i e
s f o r c h a n g i n g a
c c e s s c o n t r o l d a
t a .
• F a c t : B L P a s s u m e s t r a n q u i l i t y , i . e . a c c e s s c o
n t r o l d a t a d o n o t
c h a n g e .
8/14/2019 Security Model
http://slidepdf.com/reader/full/security-model 7/17
M T 5 1 0 4 - C o m p u t e r S e c u r i t y - L e c t u r e 3
1 3
C o v e r t C h a n n e l s
• C o v e r t C h a n n e l : a c o m m u n i c a t i o n s c h a n n e l t h a t a l l o w s
t r a n s f e r o f
i n f o r m a t i o n i n a m a n n e r t h a t v i o l a t e s t h e
s y s t e m ’ s s e c u r i t y p o l i c y .
– S t o r a g e
c h a n n e l s : e . g . t
h r o u g h o p e r a t i n g s y s t e m
m e s s a g
e s , f i l e n a m e s , e
t c .
– T i m i n g
c h a n n e l s : e . g . t h r o u g h m o n i t o r i n g s y s t e m
p e r f o r m
a n c e
• O r a n g e B o
o k : 1 0 0 b i t s p e r
s e c o n d i s ` h i g h ’ b a n d w i d t h f o r
s t o r a g e c h a n n e l s , n o u p p e r
l i m i t o n t i m i n g
c h a n n e l s .
• T h e b a n d w
i d t h o f s o m e c o
v e r t c h a n n e l s c a
n b e r e d u c e d b y
r e d u c i n g t h e p e r f o r m a n c e o f t h e s y s t e m .
• C o v e r t c h a
n n e l s a r e n o t d e t e c t e d b y B L P m o d e l i n g .
M T 5 1 0 4 - C o m p u t e r S e c u r i t y - L e c t u r e 3
1 4
A s p e c t s o f B L P
• T h e d e s c r i
p t i v e c a p a b i l i t y
o f i t s s t a t e m a c h
i n e m o d e l ;
– c a n b e u s e d f o r o t h e r p r o p e r t i e s , e . g . f o r i n t e g r i t y
• T h e a c c e s s c o n t r o l s t r u c t u r e s p r o p o s e d , a c c e s s c o n t r o l
m a t r i x a n d
s e c u r i t y l e v e l s ;
– c a n b e r e p l a c e d b y o t h e
r s t r u c t u r e s , e . g . o n S × S × O t o
c a p t u r e
` d e l e g a t i o n ’ .
• T h e a c t u a l
s e c u r i t y p o l i c i e s , t h e s s - p r o p e r t y , ∗ - p r o p e r t y ,
a n d d s - p r o
p e r t y ;
– c a n b e r e p l a c e d b y o t h e
r p o l i c i e s ( s e e B
i b a m o d e l )
• A s p e c i f i c
a p p l i c a t i o n o f B
L P , e . g . i t s M u l t i c s
i n t e r p r e t a t i o n .
8/14/2019 Security Model
http://slidepdf.com/reader/full/security-model 8/17
M T 5 1 0 4 - C o m p
u t e r S e c u r i t y - L e c t u r e 3
1 5
L i m i t a t i o
n s o f B L
P
• R e s t r i c t e d t o c o n f i d e n t i a l i t y
• N o p o l i c i e s f o r c h a n g i n g a c c e s s r i g h t s ; a g e n e r a l
a n d c o m p l e t e d o w n g r a
d e i s s e c u r e ; B
L P i s
i n t e n d e d
f o r s y s t e m s w
i t h s t a t i c s e c u
r i t y l e v e l s .
• B L P c o n t a i n s c o v e r t c h a n n e l s : a l o w
s u b j e c t c a n
d e t e c t t h e e x i s t e n c e o f
h i g h o b j e c t s w
h e n i t i s
d e n i e d a c c e s s .
• S o m e t i m e s , i t i s n o t s u
f f i c i e n t t o h i d
e o n l y t h e
c o n t e n t s
o f o b j e c t s . A l s o t h e i r e x i s t e
n c e m a y h a v e
t o b e h i d d e n .
M T 5 1 0 4 - C o m p
u t e r S e c u r i t y - L e c t u r e 3
1 6
H a r r i s o n - R u z o
- U l l m a n
M o d e l
• B L P d o e s n o t s t a t e p o l i c i e s f o r c h a n g i n g a c c
e s s r i g h t s o r f o r
t h e c r e a t i o n
a n d d e l e t i o n o f s u b j e c t s a n d o b j e c t s .
• T h e H a r r i s o n - R u z z o - U l l m a n
( H R U ) m o d e l d e f i n e s
a u t h o r i s a t i o n s y s t e m s t h a t a d d r e s s t h e s e i s s u
e s .
• T h e c o m p o n
e n t s o f t h e H R U
m o d e l :
– a s e t o f s u b j e c t s S ,
– a s e t o f o
b j e c t s O ,
– a s e t o f a c c e s s r i g h t s R ,
– a n a c c e s s m a t r i x M = ( M
s o ) s ∈ S , o ∈ O , t h e e n t r y M s o i s t h e
s u b s e t o f
R s p e c i f y i n g t h e r i g h t s s u b j e c t s
h a s o n o b j e c t o .
8/14/2019 Security Model
http://slidepdf.com/reader/full/security-model 9/17
M T 5 1 0 4 - C o m p
u t e r S e c u r i t y - L e c t u r e 3
1 7
P r i m i t i v e O p e
r a t i o n s i n H R U
• T h e r e e x i s
t s i x p r i m i t i v e
o p e r a t i o n s
f o r m a n i p u -
l a t i n g s u b
j e c t s , o b j e c t s ,
a n d t h e a c c e s s m a t r i x :
– e n t e r r i n t o M s o
– d e l e t e r
f r o m M s o
– c r e a t e s u b j e c t s
– d e l e t e s u b j e c t s
– c r e a t e o b j e c t o
– d e l e t e o b j e c t o
• C o m m a n d
s i n H R U m o d e
l :
c ( x 1 , . . . , x k )
i f r 1 i n
M s 1 , o 1 a n d
i f r 2 i n
M s 2 , o 2 a n d
: i f r m i n M s m , o m
t h e n o p 1
o p 2
: o p n
e n d
• s i a n d o i t a k e n f r o m x 1 , … , x k
M T 5 1 0 4 - C o m p
u t e r S e c u r i t y - L e c t u r e 3
1 8
E x a m p l e s
• S u b j e c t s c r e a t e s a f i l e f s o
t h a t s o w n s t h e f i l e ( a c c e s s
r i g h t o ) a n
d h a s r e a d a n d
w r i t e p e r m
i s s i o n t o t h e f i l e
( a c c e s s r i g
h t s r a n d w ) .
c o m m a n d c r e a t e_ f i l e ( s , f )
c r e a t e f
e n t e r o i n t o M
s , f
e n t e r r i n t o
M s , f
e n t e r w i n t o M
s , f
e n d
• T h e o w n e r s o f f i l e f
g r a n t s r e a d a c c e s s t o
a n o t h e r s u
b j e c t p w i t h
c o m m a n d g r a n
t_ r e a d ( s , p , f )
i f o i n M
s , f
t h e n e n t e r r i n M
p , f
e n d
8/14/2019 Security Model
http://slidepdf.com/reader/full/security-model 10/17
M T 5 1 0 4 - C o m p
u t e r S e c u r i t y - L e c t u r e 3
1 9
L e a k i n g o f R
i g h t s i n H R U
• T h e e f f e c t
o f a c o m m a n d i
s r e c o r d e d a s a c h a n g e t o t h e
a c c e s s m a t r i x .
• H e n c e , t h e
a c c e s s m a t r i x d
e s c r i b e s t h e s t a t e o f t h e s y s t e m .
• T h e H R U
m o d e l c a n c a p t u
r e s e c u r i t y p o l i c
i e s r e g u l a t i n g t h
e
a l l o c a t i o n
o f a c c e s s r i g h t s . T o v e r i f y t h a t a
s y s t e m c o m p l i e s
w i t h s u c h a p o l i c y , y o u h a v e t o c h e c k t h a t
t h e r e e x i s t s n o
w a y f o r u n
d e s i r a b l e a c c e s s r i g h t s t o b e g r a
n t e d .
• A n a c c e s s
m a t r i x M i s s a i d t o l e a k t h e r i g h t r i f t h e r e e x i s t s
a c o m m a n
d c t h a t a d d s t h e
r i g h t r i n t o a p o
s i t i o n o f t h e
a c c e s s m a t r i x t h a t p r e v i o u s l y d i d n o t c o n t a
i n r .
• A n a c c e s s
m a t r i x M i s s a i d
t o b e s a f e w i t h
r e s p e c t t o t h e
r i g h t r i f n
o s e q u e n c e o f c o m m a n d s c a n t r a n s f o r m M i n t o a
s t a t e t h a t l e a k s r . M
T 5 1 0 4 - C o m p
u t e r S e c u r i t y - L e c t u r e 3
2 0
S a f e t y P r o p e r t i e s o f H R U
• T h e o r e m . G i v e n a n a c c e s s m
a t r i x M a n d a r i g h t r , v e r i f y i n g t h e
s a f e t y o f M w
i t h r e s p e c t t o r i s u n d e c i d a b l e .
• T h e s a f e t y p r o b l e m c a n n o t b e t a c k l e d i n i t s f u l l g e n e r a l i t y . F o r
r e s t r i c t e d m o
d e l s , t h e r e i s a b
e t t e r c h a n c e o f s u c c e s s .
• M o n o - o p e r a
t i o n a l c o m m a n d
s c o n t a i n a s i n g l e o p e r a t i o n .
• T h e o r e m . G i v e n a m o n o - o p e r a t i o n a l a u t h o r i s a t i o n s y s t e m , a n
a c c e s s m a t r i x M , a n d a r i g h t r , v e r i f y i n g t h e s a f e t y o f M w i t h
r e s p e c t t o r i s d e c i d a b l e .
• W i t h t w o o p e r a t i o n s p e r c o m
m a n d , t h e s a f e t y p r o b l e m i s a g a i n
u n d e c i d a b l e .
L i m i t i n g t h e s i z
e o f t h e a u t h o r i s a t i o n s y s t e m i s
a n o t h e r w a y
o f m a k i n g t h e s a f e t y p r o b l e m t r a c t a b l e .
• T h e o r e m . T h e s a f e t y p r o b l e m f o r a r b i t r a r y a
u t h o r i s a t i o n
s y s t e m s i s d e
c i d a b l e i f t h e n u
m b e r o f s u b j e c t s i s f i n i t e .
8/14/2019 Security Model
http://slidepdf.com/reader/full/security-model 11/17
M T 5 1 0 4 - C o m p
u t e r S e c u r i t y - L e c t u r e 3
2 1
T h e
3 r d D e s
i g n P r i n c i p l e .
• I f y o u d e s i g
n c o m p l e x s y s t e
m s t h a t c a n o n l y b e d e s c r i b e d b y
c o m p l e x m o d e l s , i t b e c o m e s d i f f i c u l t t o f i n d p r o o f s o f
s e c u r i t y . I n
t h e w o r s t c a s e ( u n d e c i d a b i l i t y ) ,
t h e r e d o e s n o t
e x i s t a n u n i v e r s a l a l g o r i t h m
t h a t v e r i f i e s s e c u r i t y i n a l l c a s e s .
• I f y o u w a n t
v e r i f i a b l e s e c u r i t y p r o p e r t i e s , y o u a r e b e t t e r o f f
w h e n t h e c o
m p l e x i t y o f t h e
s e c u r i t y m o d e l i s l i m i t e d . S u c h a
m o d e l m a y
n o t d e s c r i b e a l l
d e s i r a b l e s e c u r i t y p r o p e r t i e s , b u t
y o u m a y g a
i n e f f i c i e n t m e t h
o d s f o r v e r i f y i n g ` s e c u r i t y ' . I n
t u r n , y o u a r
e a d v i s e d t o d e s i g n s i m p l e s y s t e m s t h a t c a n b e
a d e q u a t e l y d e s c r i b e d i n t h e
s i m p l e m o d e l .
• T h e m o r e e
x p r e s s i v e a s e c u
r i t y m o d e l i s , b o t h w i t h r e s p e c t
t o
t h e s e c u r i t y
p r o p e r t i e s a n d
t h e s y s t e m s i t c
a n d e s c r i b e , t h e
m o r e d i f f i c u l t i t i s u s u a l l y t o v e r i f y s e c u r i t y p r o p e r t i e s .
M T 5 1 0 4 - C o m p
u t e r S e c u r i t y - L e c t u r e 3
2 2
C
h i n e s e W
a l l M o d
e l
• I n f i n a n c i a l i n s t i t u t i o n s a n a l y s t s d e a l w i t h a n u m b e r o f
c l i e n t s a n d
h a v e t o a v o i d c
o n f l i c t s o f i n t e r e s t .
• T h e m o d e l h a s t h e f o l l o w i n g c o m p o n e n t s
– s u b j e c t s : a n a l y s t s
– o b j e c t s
: d a t a i t e m f o r a
s i n g l e c l i e n t
– c o m p a n y d a t a s e t s : y : O
→ C g i v e s f o r e
a c h o b j e c t i t s
c o m p a n y d a t a s e t
– c o n f l i c t o f i n t e r e s t c l a s s e s : c o m p a n i e s t h a t a r e
c o m p e t i t o r s ; x : O → C
g i v e s f o r e a c h o b j e c t o t h e
c o m p a n i e s w i t h a c o n f l i c t o n i n t e r e s t o n o
– ` l a b e l s ’ : c o m p a n y d a t a s e t + c o n f l i c t o f
i n t e r e s t c l a s s
– s a n i t i z e d i n f o r m a t i o n : n o a c c e s s r e s t r i c t i o n s .
8/14/2019 Security Model
http://slidepdf.com/reader/full/security-model 12/17
M T 5 1 0 4 - C o m p
u t e r S e c u r i t y - L e c t u r e 3
2 3
C h i n e
s e W a l l M o d e l - P o l i c i e s
• S i m p l e S e
c u r i t y P r o p e r t y : A c c e s s i s o n l y g r a n t e d i f t h e
o b j e c t r e q u e s t e d
– i s i n t h e s a m e c o m p a n y
d a t a s e t a s a n o b j e c t a l r e a d y
a c c e s s e d b y t h a t s u b j e c
t
– b e l o n g s n o t t o a n y o f t h e c o n f l i c t o f i n t e r e s t c l a s s e s o f
o b j e c t s
a l r e a d y a c c e s s e
d b y t h a t s u b j e c t
• F o r m a l l y :
– N = ( N s o
) s ∈ S , o ∈ O , B o o l e
a n m a t r i x , N s o =
t r u e i f s h a s
a c c e s s e d o
– s s - p r o p
e r t y : s u b j e c t s g e t s a c c e s s t o o b j e c t o o n l y i f f o r
a l l o b j e c t s o ’ w i t h N s o ’
= t r u e , y ( o ) ∉ x ( o
’ ) o r y ( o ) = y ( o ’ ) .
M T 5 1 0 4 - C o m p
u t e r S e c u r i t y - L e c t u r e 3
2 4
C h i n e
s e W a l l M o d e l - P o l i c i e s
• I n d i r e c t i n f o r m a t i o n f l o w : t w o c o m p e t i t o r s ,
A a n d B , h a v e
t h e i r a c c o u n t w i t h t h e s a m e
B a n k . A n a l y s t_ A , d e a l i n g w i t h A
a n d t h e B a n
k , u p d a t e s t h e B a n k p o r t f o l i o w i t h s e n s i t i v e
i n f o r m a t i o n
a b o u t A . A n a l y s t_ B , d e a l i n g w i t h B a n d t h e B a n
k ,
n o w h a s a c c e s s t o i n f o r m a t i o n a b o u t a c o m p e t i t o r .
• ∗ - P r o p e r t y : A s u b j e c t s w
i l l b e p e r m i t t e d
w r i t e a c c e s s t o a n
o b j e c t o n l y
i f s h a s n o r e a d a c c e s s t o a n y o b
j e c t o ’ , w h i c h i s
i n a d i f f e r e n t c o m p a n y d a t a
s e t a n d i s u n s a n i t i z e d .
• F o r m a l l y : s u b j e c t s g e t s w r i t e a c c e s s t o o b j e c t o o n l y i f s h a s
n o r e a d a c c e s s t o a n o b j e c t o ’ w i t h y ( o ) ≠ y ( o ’ ) o r x ( o ’ ) ≠ { }
.
• A c c e s s r i g h
t s o f s u b j e c t s c h
a n g e d y n a m i c a l l y w i t h e v e r y
a c c e s s o p e r a t i o n .
8/14/2019 Security Model
http://slidepdf.com/reader/full/security-model 13/17
M T 5 1 0 4 - C o m p
u t e r S e c u r i t y - L e c t u r e 3
2 5
B i b a
M o d e l
• B i b a i s a s t a t e m a c h i n e m
o d e l s i m i l a r t o B L P , c a p t u r i n g
i n t e g r i t y a s p e c t s o f a c c e s s c o n t r o l .
• I n t e g r i t y ≡ p r e v e n t u n a u t h o r i z e d i n f o r m
a t i o n
• I n t e g r i t y l e v e l s a r e a s s i g n
e d t o s u b j e c t s
a n d o b j e c t s
• S i m p l e I n t e g r i t y P r o p e r t y
• I n t e g r i t y ∗ - P r o p e r t y
I f s u b j e c t s c
a n r e a d ( o b s e r v e ) o b j e c t o , t h e n
s c a n h a v e
w r i t e a c c e s s
t o s o m e o t h e r o b j e c t o ’ o n l y i f f O ( o ) ≥ f O ( o ’ ) .
N o w r i t e - u p : I f s u b j e c t s c a n
m o d i f y ( a l t e r ) o
b j e c t o , t h e n
f S ( s ) ≥ f O ( o ) .
M T 5 1 0 4 - C o m p
u t e r S e c u r i t y - L e c t u r e 3
2 6
B i b a
M o d e l ( m o r e p o l i c i e s )
• T h e p r e v i o u s t w o p o l i c i e s a r e t h e d u a l o f t h e m a n d a t o r y
B L P p o l i c i e s . I n t e g r i t y l a
b e l s a r e s t a t i c
( t r a n q u i l i t y ) .
• L o w w a t e r m
a r k p o l i c i e s a u t o m a t i c a l l y
a d j u s t i n t e g r i t y
l e v e l s , l i k e i n t h e C h i n e s e
W a l l m o d e l .
• S u b j e c t L o
w W a t e r m a r
k P o l i c y
• O b j e c t L o w W a t e r m a r k P o l i c y
S u b j e c t s c a n r e a d ( o b s e r v e )
a n o b j e c t o a t a n y i n t e g r i t y
l e v e l . T h e n e w i n t e g r i t y l e v e
l o f s i s g . l . b . ( f S (
s ) , f O ( o ) .
S u b j e c t s c a n m o d i f y ( a l t e r ) a n o b j e c t o a t a n
y i n t e g r i t y
l e v e l . T h e n e w i n t e g r i t y l e v e
l o f o i s g . l . b . ( f S ( s ) , f O ( o ) .
8/14/2019 Security Model
http://slidepdf.com/reader/full/security-model 14/17
M T 5 1 0 4 - C o m p
u t e r S e c u r i t y - L e c t u r e 3
2 7
B i b a M
o d e l ( p o
l i c i e s f o r i n v o k e )
• I n v o k e : a c c
e s s o p e r a t i o n
b e t w e e n s u b j e c t s
• I n v o k e P r o
p e r t y
• A d d s t o t h e f i r s t t w o m a n d a t o
r y i n t e g r i t y p o l i c i e s . A ` d i r t y ’
s u b j e c t s 1 c a n
n o t t o u c h a ` c l e a n ’ o b j e c t i n d i r e c t l y b y i n v o k i n g
s 2 .
• R i n g P r o p e r t y
• A ` d i r t y ’ s u b j e c t s 1 c a n i n v o k
e a ` c l e a n ’ t o o l s
2 t o t o u c h a ` c l e
a n ’
o b j e c t . T h e r i n g p r o p e r t y i s t h
e o p p o s i t e o f t h e i n v o k e p r o p e r t y !
S u b j e c t s 1 c a n i n v o k e s u b j e c
t s 2 o n l y i f f S ( s 1 ) ≥ f S ( s 2 ) .
S u b j e c t s 1 c a n r e a d o b j e c t s a t a l l i n t e g r i t y l e v
e l s , m o d i f y
o b j e c t s o w i t h f S ( s 1 ) ≥ f O ( o ) ,
a n d i n v o k e a s u
b j e c t s 2 o n l y
i f f S ( s 1 ) ≤ f O
( s 2 ) .
M T 5 1 0 4 - C o m p
u t e r S e c u r i t y - L e c t u r e 3
2 8
C
l a r k - W i l s o n M o d e l
• T h i s m o d e l
a t t e m p t s t o c a p t u r e s e c u r i t y
r e q u i r e m e n t s o f
c o m m e r c i a l a p p l i c a t i o n s .
` M i l i t a r y ’ a n d ` c o m m e r c i a l ’
a r e s h o r t h a n d f o r d i f f e r e n
t w a y s o f u s i n g c o m p u t e r s .
• E m p h a s i s o
n i n t e g r i t y
– i n t e r n a l c o n s i s t e n c y : p r o p e r t i e s o f t h e i n t e r n a l s t a t e o f a
s y s t e m
– e x t e r n a l c o n s i s t e n c y : r e l a t i o n o f t h e i n t e r n
a l s t a t e o f a s y s t e m
t o t h e o u t s i d e w o r l d .
• M e c h a n i s m
s f o r m a i n t a i n
i n g i n t e g r i t y
– w e l l - f o r m e d t r a n s a c t i o n s
– s e p a r a t i o n
o f d u t i e s
8/14/2019 Security Model
http://slidepdf.com/reader/full/security-model 15/17
M T 5 1 0 4 - C o m p
u t e r S e c u r i t y - L e c t u r e 3
2 9
C l a r k - W i l s o n :
A c c e s s C o n t r o l
• S u b j e c t s a n
d o b j e c t s a r e ` l a b e l e d ’ w i t h
p r o g r a m s .
• P r o g r a m s s e r v e a s a n i n t e
r m e d i a t e l a y e
r b e t w e e n
s u b j e c t s a n d o b j e c t s .
• A c c e s s c o n t r o l :
– d e f i n e t h e
a c c e s s o p e r a t i o n s ( t r a n s f o r m a t i o n p r o c e d u r e s ) t h a t
c a n b e p e r f o r m e d o n e a c h
d a t a i t e m ( d a t a t y p e s ) .
– d e f i n e t h e
a c c e s s o p e r a t i o n s t h a t c a n b e p e
r f o r m e d b y
s u b j e c t s ( r o l e s ) .
• N o t e t h e d i f f e r e n c e b e t w e e n a g e n e r a l p u r p o s e o p e r a -
t i n g s y s t e m
( B L P ) a n d a n
a p p l i c a t i o n o
r i e n t e d I T
s y s t e m ( C l a r k - W i l s o n ) .
M T 5 1 0 4 - C o m p
u t e r S e c u r i t y - L e c t u r e 3
3 0
C l a r k - W
i l s o n : C
e r t i f i c a t i o n R u l e s
• S e c u r i t y p r o p
e r t i e s a r e p a r t l y
d e f i n e d t h r o u g h
f i v e c e r t i f i c a t i o
n
r u l e s , s u g g e s t i n g t h e c h e c k s t h a t s h o u l d b e c o
n d u c t e d s o t h a t t h e
s e c u r i t y p o l i c
y i s c o n s i s t e n t w
i t h t h e a p p l i c a t i o n r e q u i r e m e n t s .
– I V P s ( i n i t i a l v e r i f i c a t i o n p r o c e d u r e s ) m u s t e n s u r e t h a t a l l C D I s
( c o n s t r a i n e d
d a t a i t e m s ) a r e i n a v a l i d s t a t e w h e n t h e I V P i s r u n .
– T P s ( t r a n s f o
r m a t i o n p r o c e d u r e s ) m u s t b e c e r t i f i e d
t o b e v a l i d , i . e . v a l i d
C D I s m u s t a l w a y s b e t r a n s f o r m e d i n t o v a l i d C D I s . E a c h T P i s c e r t i f i e d
t o a c c e s s a s p e c i f i c s e t o f C D I s
.
– T h e a c c e s s r u l e s m u s t s a t i s f y a n y s e p a r a t i o n o f d u t i e s r e q u i r e m e n t s .
– A l l T P s m u s t w r i t e t o a n a p p e n d - o n l y l o g .
– A n y T P t h a t t a k e s a n U D I ( u n c o n s t r a i n e d d a t a i t e m
) a s i n p u t m u s t e i t h e r
c o n v e r t t h e
U D I i n t o a C D I o r r e j e c t t h e U D I a n d p e r f o r m n o
t r a n s f o r m a t i o n a t a l l .
8/14/2019 Security Model
http://slidepdf.com/reader/full/security-model 16/17
M T 5 1 0 4 - C o m p u t e r S e c u r i t y - L e c t u r e 3
3 1
C l a r k - W
i l s o n : E
n f o r c e m e n t R u l e s
• F o u r e n f o r c e m e n t r u l e s d e s c r i b e t h e s e c u r i t y m e c h a n i s m s w i t
h i n
t h e c o m p u t e r
s y s t e m t h a t s h o u l d e n f o r c e t h e s
e c u r i t y p o l i c y .
T h e s e r u l e s a r e s i m i l a r t o d i s c r e t i o n a r y a c c e s s c o n t r o l i n B L P
.
– T h e s y s t e m
m u s t m a i n t a i n a n d
p r o t e c t t h e l i s t o f e n t r i e s
( T P i : C D I a , C D I b , . . . ) } g i v i n g t h e C D I s t h e T P i s c e r t i f i e d t o a c c e s s .
– T h e s y s t e m
m u s t m a i n t a i n a n d
p r o t e c t t h e l i s t o f e n t r i e s
( U s e r I D , T P
i : C D I a , C D I b , . . . ) } s p e c i f y i n g t h e T P s u
s e r s c a n e x e c u t e .
– T h e s y s t e m
m u s t a u t h e n t i c a t e e
a c h u s e r r e q u e s t i n g
t o e x e c u t e a T P .
– \ O n l y a s u b j e c t t h a t m a y c e r t i f y a n a c c e s s r u l e f o r a T P m a y m o d i f y t h e
r e s p e c t i v e e
n t r y i n t h e l i s t . T h i s s u b j e c t m u s t n o t h
a v e e x e c u t e r i g h t s o n
t h a t T P .
• C l a r k - W i l s o n
i s l e s s f o r m a l t h a n B L P b u t m u
c h m o r e t h a n a n
a c c e s s c o n t r o
l m o d e l .
M T 5 1 0 4 - C o m p u t e r S e c u r i t y - L e c t u r e 3
3 2
I n f o r m a t i o n
F l o w M o d e l s
• S i m i l a r f r a m e w o r k a s B L
P : o b j e c t s a r e
l a b e l e d w i t h
s e c u r i t y c l a
s s e s ( f o r m a l a t t i c e ) , i n f o r m
a t i o n m a y f l o w
u p w a r d s o n
l y .
• I n f o r m a t i o n f l o w i s d e s c r i b e d i n t e r m s
o f c o n d i t i o n a l
e n t r o p y ( e q
u i v o c a t i o n →
i n f o r m a t i o n t h e o r y )
• I n f o r m a t i o n
f l o w s f r o m x
t o y i f w e l e a
r n s o m e t h i n g
a b o u t x b y o b s e r v i n g y :
– e x p l i c i t i n
f o r m a t i o n f l o w :
y : = x
– i m p l i c i t i n
f o r m a t i o n f l o w : I F x = 0 T H E N y
: = 1
– c o v e r t c h a
n n e l s
• P r o v i n g s e c
u r i t y i s n o w u
n d e c i d a b l e .
8/14/2019 Security Model
http://slidepdf.com/reader/full/security-model 17/17
M T 5 1 0 4 - C o m p u t e r S e c u r i t y - L e c t u r e 3
3 3
E x e r c i s e s
•
B L P d o e s n o t s p e c i f y p o l i c i e s f o r c
h a n g i n g a c c e s s r i g h t s . W h i c h p o l i c i e s
w o u l d y o u s u g g
e s t ?
•
S h o u l d t h e s t a r - p r o p e r t y i n t h e C h i n e s e W a l l m o d e l r e
f e r t o c u r r e n t r e a d a c c e s s
o n l y o r t o a n y p
a s t r e a d a c c e s s ?
•
G i v e e x a m p l e s f o r a p p l i c a t i o n a r e a s w h e r e a B i b a p o l i c y w i t h s t a t i c i n t e g r i t y
l a b e l s , a p o l i c y
w i t h d y n a m i c a l l y c h a n g i n g i n t e g r i t y l a
b e l s , o r t h e r i n g - p r o p e r t y
i s a p p r o p r i a t e .
•
C a n y o u u s e B L
P a n d B i b a t o m o d e l c o n f i d e n t i a l i t y a n
d i n t e g r i t y
s i m u l t a n e o u s l y ? C a n y o u u s e t h e s a m e l a b e l s f o r b o t h
p o l i c i e s ?
•
D e v e l o p a s e c u r i t y m o d e l f o r d o c u m e n t s , w h i c h a r e d e c l a s s i f i e d a f t e r 3 0 y e a r s .
•
I n a m e d i c a l i n f
o r m a t i o n s y s t e m t h
a t c o n t r o l s a c c e s s t o p a t i e n t r e c o r d s a n d
p r e s c r i p t i o n s , d o c t o r s m a y r e a d a n d w r i t e p a t i e n t r e c o r d s a n d p r e s c r i p t i o n
s ,
n u r s e s m a y r e a d
a n d w r i t e p r e s c r i p
t i o n s o n l y b u t s h o u l d l e a r n n o t h i n g a b o
u t t h e
c o n t e n t s o f p a t i e n t r e c o r d s . H o w c a
n y o u c a p t u r e t h i s p o l i c y i n a l a t t i c e m
o d e l
t h a t p r e v e n t s i n f o r m a t i o n f l o w f r o m
p a t i e n t r e c o r d s t o
p r e s c r i p t i o n s ? I n y o u r
o p i n i o n , w h i c h s e c u r i t y m o d e l i s m
o s t a p p r o p r i a t e f o r
t h i s p o l i c y ?
M T 5 1 0 4 - C o m p u t e r S e c u r i t y - L e c t u r e 3
3 4
F u r t h e r r e a d i n g
• S t e r n e , D . F . , O n t h e B u z z w
o r d ` S e c u r i t y P
o l i c y ’ ,
P r o c e e d i n g s o f t h e 1 9 9 1 I E E E S y m p o s i u m
o n R e s e a r c h i n
S e c u r i t y a n d P r i v a c y , p a g
e s 2 1 9 - 2 3 0 , 1 9 9
1
• B e l l , D . a n d L a P a d u l a , L . , M I T R E T e c h n i c
a l R e p o r t 2 5 4 7
( S e c u r e C o m p u t e r S y s t e m ) : V o l u m e I I , J o u r n a l o f
C o m p u t e r
S e c u r i t y , v o l . 4 , n o . 2 / 3 , p a g e s 2 3 9 - 2 6 3 , 1 9 9 6
• C l a r k , D . R
. a n d W i l s o n , D
. R . , A C o m p a r i s o n o f
C o m m e r c i a l a n d M i l i t a r y C o m p u t e r S e c u r
i t y P o l i c i e s ,
P r o c e e d i n g s o f t h e 1 9 8 7 I E E E S y m p o s i u m
o n S e c u r i t y a n d
P r i v a c y , p
a g e s 1 8 4 - 1 9 4 , 1 9 8 7
• G o g u e n , J
. A . a n d M e s e g u e r , J . , S e c u r i t y P
o l i c i e s a n d
S e c u r i t y M
o d e l s , P r o c e e d i n g s o f t h e 1 9 8 2
I E E E
S y m p o s i u m o n S e c u r i t y a n d P r i v a c y , p a g e
s 1 1 - 2 0 , 1 9 8 2
