Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Sicherheitsmodelle Informationsfluss

Veröffentlicht von:Rikert Schiferl Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Sicherheitsmodelle Informationsfluss"—  Präsentation transkript:

1 Sicherheitsmodelle Informationsfluss
Grundlagen Sicherheitsmodelle Informationsfluss

2 Zugriffskontrollmodelle
Zugriffsmatrix-Modell Rollenbasierte Modelle Chinese-Wall Modell Bell-LaPadua Modell Dr. Wolf Müller

3 Chinese-Wall Modell Auch Brewer-Nesh Modell Idee:
Entwickelt, um Ausnutzung von Insiderwissen bei Bank- oder Börsentransaktionen sowie bei Unternehmensberatung zu verhindern. Idee: Zukünftige Zugriffsmöglichkeiten eines Subjekts durch Zugriffe in der Vergangenheit beschränkt. Zulässigkeit von Zugriffen hängt von Zugriffshistorie ab. Dr. Wolf Müller

4 Chinese-Wall Modell (2)
Basiert auf Zugriffsmatrix-Methode R = { read, write, execute} S Menge der Berater Zu schützende Objekte werden als Baum strukturiert Blätter des Baumes sind Objekte, die in unterschiedlichen Unternehmen verwaltet werden. Zuordnung zu den Unternehmen wird durch nächste Baumebene dargestellt. Dritte Baumebene: in Konkurrenz stehende Unternehmen Einführung von Sicherheitsmarken: y(o): Unternehmen, zu dem Objekt o gehört. x(o): Interessenkonfliktklasse dieses Unternehmens. Spezielle Markierung y0 und Interessenkonfliktklasse x0 für öffentlich zugängliche Information, die allen Subjekten unbeschränkt zugänglich sein kann. x0 = {y0 } Dr. Wolf Müller

5 Chinese-Wall Modell: Objektbaum
Ölgesellschaft Bank Interessenskonfliktklassen Aral Shell Deutsche Bank Unternehmen Dresdner Bank Objekte o1 o3 o2 o1 Dr. Wolf Müller

6 Chinese-Wall Modell: Schutzzustand
Zusätzlich zu benutzerbestimmbar vergebbaren Rechten gemäß Zugriffsmatrix Mt wird der Schutzzustand durch |S|×|O|-Matrix Nt bestimmt. Nt gibt an, welche Subjekte auf welche Objekte bis zum Zeitpunkt t bereits zugegriffen haben. Dr. Wolf Müller

7 Zugriffshistorie Gegeben System mit Menge der: Subjekte S, Objekte O, Rechte R. Die Zugriffshistorie von Subjekt sS wird durch die Matrix Nt beschrieben mit: Nt: S×O  2R. Es gilt Nt(s,o) = {r1, …, rn}  Es gibt Zeitpunkte t‘<t, zu denen das Subjekt s gemäß der Berechtigungen r1, …, rn auf das Objekt o zugegriffen hat. Zugriff auf Objekt durch zwei systembedingte Regeln: Regel 1: Leseregel (nicht modifizierend) Regel 2: Schreibregel (modifizierende Zugriffe) Dr. Wolf Müller

8 Nt(s,o‘)≠ ø  ( y(o’) = y(o)  x(o’) ≠ x(o)  y(o’) = y0 )
Regel 1 (Leseregel) Ein z-Zugriff, z{read,execute}, auf ein Objekt oO ist für Subjekt sS zum Zeitpunkt t zulässig  z Mt  o‘O : Nt(s,o‘)≠ ø  ( y(o’) = y(o)  x(o’) ≠ x(o)  y(o’) = y0 ) Subjekt s darf zum Zeitpunkt t nur dann lesend (ausführend) auf das Objekt o zugreifen, wenn es das es prinzipiell das entsprechende Lese-/ Ausführungsrecht besitzt und bis dahin auf kein Objekt o‘ zugegriffen hat, das zu einem fremden Unternehmen gehört aber der gleichen Interessenskonfliktklasse wie o angehört. Regel gewährleistet, dass nach Zugriff auf ein Objekt o durch Subjekt s eine spezifische Mauer (um alle Objekte o‘ von anderen Unternehmen der gleichen Interessenskonfliktklasse) gebaut wird. Dr. Wolf Müller

9 Satz: Lesebeschränkung
In einem in Chines-Wall-Modell modellierten System gilt für alle Subjekte s: Hat Subjekt s auf ein Objekt o zugegriffen, so darf es höchstens noch auf Objekte o‘ zugreifen, für die gilt: y(o’) = y(o)  x(o’) ≠ x(o)  y(o’) = y0 Dr. Wolf Müller

10 ( y(o1) = y(o2) ^ y(o1) ≠ y(o2 ) ^ x(o1) = x(o2) ) 
Beweis Annahme: Für Subjekt s und Objekte o1, o2 gelte zum Zeitpunkt t: Nt(s,o1) ≠ Ø ^ Nt(s,o2) ≠ Ø ^ y(o1) ≠ y(o2 ) ^ x(o1) = x(o2) ^ y(o1) ≠ y0 ^ y(o2) ≠ y0 O.B.d.A. erster Zugriff von s auf o1 zum Zeitpunkt t1 < t, erster Zugriff von s auf o2 zum Zeitpunkt t1 < t2 < t. Somit gilt: Nt2(s,o1) ≠ Ø. Nach Regel 1 für zulässigen o2–Zugriff muss gelten: y(o1) = y(o2)  x(o1) ≠ x(o2) Zusammen mit (A): ( y(o1) = y(o2) ^ y(o1) ≠ y(o2 ) ^ x(o1) = x(o2) )  ( x(o1) ≠ x(o2) ^ y(o1) ≠ y(o2 ) ^ x(o1) = x(o2) ) (A) Dr. Wolf Müller

11 Chinese-Wall Modell: Subjektspezifisch Mauerbildung
Ölgesellschaft Bank Aral Shell Deutsche Bank Dresdner Bank o1 o1 o3 o2 o2 o1 s1-spezifische Mauer nach Zugriff auf die Objekte o1 und o2 Dr. Wolf Müller

12 Chinese-Wall Modell: Unerwünschter Informationsfluss
Ölgesellschaft Bank Aral Shell Deutsche Bank Dresdner Bank o1 o1 o3 o2 o2 o1 Zugriff von Subjekt s1 lesend auf Objekt o1, danach schreibend auf Bank-Objekt o2. Anschließend liest Subjekt s2 die Informationen aus dem Objekt o2 und schreibt diese in Objekt o3. Informationsfluss von o1 nach o3. (Konkurrenzfirmen) Dr. Wolf Müller

13 Regel 2 (Schreibregel) Schreibzugriff auf Objekt oO durch Subjekt s S ist zum Zeitpunkt t zulässig genau dann, wenn gilt: write  Mt  o‘O : read  Nt (s,o‘)  ( y(o’) = y(o)  y(o’) = y0 ) Schreibzugriff durch s zum Zeitpunkt t auf Objekt o ist zulässig, wenn s das Schreibrecht besitzt und bis zum Zeitpunkt t nur Lesezugriffe auf solche Objekte hatte, die zum gleichen Unternehmen gehören oder die nur unklassifizierte (frei zugängliche) Informationen beinhalten. Dr. Wolf Müller

14 Chinese-Wall Modell: Mit Regel2
Ölgesellschaft Bank Aral Shell Deutsche Bank Dresdner Bank o1 o3 o2 o1 Zugriff von Subjekt s1 lesend auf Objekt o1, danach ist Schreiben auf Bank-Objekt o2 unzulässig . Kein Informationsfluss von o1 nach o3. (Konkurrenzfirmen) Dr. Wolf Müller

15 Chinese-Wall Modell: Fazit
Grobkörnige Modellierung, aber auch feinkörnige möglich Einfache Rechte: Festlegung einfacher universelle Zugriffsrechte ist vorgeschrieben. Mit Chinese Wall modellierte Systeme legen benutzerbestimmbare Strategie fest, die durch einfache systembedingte Festlegungen erweitert wird. Für Anwendungen ohne strenge Datenintegritätsanforderungen und ohne über die restriktiven Beschränkungen hinausgehenden Vertraulichkeitsanforderungen Dr. Wolf Müller

16 Bell-LaPadula-Modell
D. Bell and L- LaPadula. Secure computer systems: A mathematical model. Technical Report MTR-2547, Vol 2, MITRW Corp., Bedford, MA, November 1973 Sehr bekannt Gilt als erstes vollständig formalisiertes Modell Basiert auf dynamischem Zugriffsmatrix-Modell Menge der universellen Zugriffsrechte: read-only append execute read-write control Dr. Wolf Müller

17 Bell-LaPadula-Modell (2)
Erweiterung des Zugriffsmatrix-Modells durch Einführung einer geordneten Menge von Sicherheitsklassen SC Einordnung in Vertraulichkeitsstufen Element XSC wird durch Paar X=(A,B) beschrieben. A Sicherheitsmarke B Menge von Sicherheitskategorien (compartments) Jedem Subjekt s wird Sicherheitsklasse (clearance) sc(s)SC , Jedem Objekt o eine Sicherheitsklassifikation, die so genannte Classification sc(o)SC zugeordnet. Die Clearance sc(s) ist die maximale Sicherheitsstufe, die ein Subjekt einnehmen darf. Bei Anmeldung muss Subjekt seine aktuelle Clearance scakt(s)≤sc(s) angeben. Partielle Ordnung ≤ auf SC: X,Y SC , mit X=(A,B), Y=(A‘,B‘): X ≤ Y  A ≤ A‘  B ≤ B‘ Dr. Wolf Müller

18 Bell-LaPadula-Modell: Sicherheitsklassen
Krankenhaus, Umgang mit Patientenakten Sicherheitsmarken: {unklassifiziert, vertraulich, geheim, streng geheim} mit Ordnung unklassifiziert ≤ vertraulich ≤ geheim ≤ streng geheim Sicherheitskategorien: {Arzt, Schwester, Patient, Verwaltung} Menge der Sicherheitsklassen SC: SC ={ (geheim,Ø), (vertraulich,Ø), (vertraulich,{Arzt, Schwester}), (vertraulich,{Schwester}), … , } wegen Ordnungsrelation gilt u.a. (geheim,Ø) ≥ (vertraulich,Ø) (vertraulich,{Arzt, Schwester}) ≥ (vertraulich,{Schwester}) Dr. Wolf Müller

19 Bell-LaPadula-Modell: Systembedingte Zugriffsbeschränkungen
no-read-up (Simple-Security)-Regel Lese- oder Execute-Zugriff auf ein Objekt o durch Subjekt s nur zulässig, wenn s das entsprechende Zugriffsrecht r besitzt und die Objektklassifikation kleiner oder gleich der Subjekt-Clearance ist. r  Mt(s,o)  sc(s) ≥ sc(o) no-write-down-Regel (*-Eigenschaft) append-Zugriff auf ein Objekt o durch Subjekt s nur zulässig, wenn die Objektklassifikation mindestens so hoch wie die Subjekt-Clearance ist. append  Mt(s,o)  sc(s) ≤ sc(o) Lese-Schreib-Zugriff auf ein Objekt o durch Subjekt s nur zulässig, wenn die Objektklassifikation gleich der Subjekt-Clearance ist. read-write  Mt(s,o)  sc(s) = sc(o) Dr. Wolf Müller

20 Bell-LaPadula-Modell: Systembedingte Zugriffsbeschränkungen (2)
Die zwei systembedingten Regeln sind leicht zu überprüfende Bedingungen Informationsflüsse höchstens von unten nach oben gemäß der partiellen Ordnung oder innerhalb einer Sicherheitsklasse streng geheim geheim vertraulich unklassifiziert O1 append read-write S1 O2 append, read-write read, execute O4 O3 append read read-write S2 O5 Dr. Wolf Müller

21 Bell-LaPadula-Modell: trusted process
Dynamische Neuklassifizierung von Informationen (insbesondere niedrigere Einstufung): Konzept der vertrauenswürdigen Prozesse (trusted process) Vertrauenswürdiger Prozess = Subjekt, bei dem man davon ausgeht, dass es keine Aktionen durchführt, die Sicherheitseigenschaften des Systems in Frage stellen. Meist Betriebssystemprozesse Dr. Wolf Müller

22 Bell-LaPadula-Modell: Beispiel
UNIX System V/MLS (MLS=Multi Level Security) Erweiterung von UNIX System V um Sicherheitsklassen und kategorien Subjekte: Prozesse im Auftrag von Benutzer Objekte: Dateien, Verzeichnisse, inodes, Signale, Prozesse Erweiterung des Login um Clearance-Angabe Bei Zugriffen werden no-write-down-Regel und no-read-up-Regel überprüft. exec(file) sc(s)≥sc(o) Dr. Wolf Müller

23 Bell-LaPadula-Modell: Probleme
Bell-LaPadula-Modell häufig in der Praxis eingesetzt, hat aber gravierende Mängel: Problem des blinden Schreibens Systembestimmte Regeln erlauben schreiben in ein höher eingestuftes Objekt, aber kein (Kontroll-)Lesen der Veränderungen Integritätsproblem Problem des entfernten Lesens geheim eingestufter Rechner A mit ebenso eingestuftem Subjekt will lesend auf entfernten Rechner B (vertraulich eingestuft) zugreifen. Nach Bell-LaPadula ist Informationsfluss zulässig. (vertraulich < geheim ) Aber Aufbau einer Verbindung notwendig. O.B.d.A sendet A Aufforderung zum Verbindungsaufbau an B. Problem: Verbindungsanfrage impliziert Schreib-Operation auf Rechner B (write-down von A nach B) Lösung: Spezielle Kontrolle der Anfragenachrichten, um sicherzustellen, dass kein unzulässiger Informationsfluss auftritt. Verdeckte Kanäle? Dr. Wolf Müller

24 Bell-LaPadula-Modell: Fazit
Keine Vorgabe für Granularität Zugriffsrechte als universelle Rechte festgelegt Rechtefestlegungen sind kombiniert mit restriktiven systembestimmten Festlegungen des Modells Einschränkung des Spektrums der mit diesem Modell beschreibbaren IT-Systeme (Vielzahl von Zugriffen wegen systembestimmten Festlegungen verboten, obwohl keine Verletzung der internen Strategie auftreten würde) MAC-Regeln leicht zu implementieren Hohe Anforderungen an Datenintegrität nicht realisierbar. Problem: Niedrig eingestufte Subjekte dürfen höher eingestufte Objekte uneingeschränkt schreibend manipulieren. Dr. Wolf Müller

25 Informationsflussmodelle: Verbands-Modell
D.E. Dennig. A Lattice Model of Secure Information Flow. Communications of ACM, 19(5): ,1976 Verallgemeinerung des Ansatzes von Bell-LaPadula Beschreibung des Informationsflusses zwischen Datenvariablen eines Programms Beschränkungen für Informationsflüsse werden unabhängig von den Objekten, die sie repräsentieren, festgelegt. Es werden nicht Objektzugriffe, sondern der Umgang mit Informationen reglementiert. Dr. Wolf Müller

26 Verbandseigenschaft
Ein Verband ist durch das Tupel (SC,≤,,) definiert, wobei SC eine endliche Menge von Sicherheitsklassen beschreibt, die Flussrelation ≤ eine partielle Halbordnung auf SC definiert und die Operatoren  und  für je zwei Sicherheitsklassen die kleinste obere bzw. die größte untere Grenze bezeichnen. Die größte untere Grenze von SC kann als unklassifizierte Information interpretieren, auf die jedes Subjekt zugreifen darf. Für  gilt: A, B, C SC : A ≤ A  B und B ≤ A  B und A ≤ C  B ≤ C  A  B ≤ C. Für  gilt: A, B, C SC : A  B ≤ A und A  B ≤ B A ≤ C  B ≤ C  C ≤ A  B. Dr. Wolf Müller

27 Informationsbeschränkungen
Analog zu Bell-LaPadula wird jedem Subjekt s und jedem Objekt o eine Sicherheitsmarke sc(s) bzw. sc(o) aus SC zugeordnet Im Verbandsmodell nur Informationsfluss innerhalb von Sicherheitsklassen oder aufwärts, gemäß der festgelegten partiellen Halbordnung ≤. Informationsfluss von Objekt mit Sicherheitsklasse A zu einem mit B zulässig wenn gilt: A ≤ B. Grafische Visualisierung: Hasse-Diagramm Elemente des Verbandes sind Knoten im Grafen Kante zwischen zwei Knoten bezeichnet das größte der beiden Elemente am oberen Ende der Kante und das kleinste am unteren Ende. Dr. Wolf Müller

28 Verbandsmodell: Hassediagramm
acht Sicherheitsklassen: SC = { (geheim, Ø}, (geheim, {a}), (geheim, {b}), (geheim, {a, b}), (vertraulich, Ø), (vertraulich, {a}), (vertraulich, {b}), (vertraulich, {Ø}) } Es gilt u.a. : (geheim, {a})  (geheim, {b}) = (geheim, {a, b}) und (geheim, {a})  (geheim, {b}) = (geheim, Ø} Dr. Wolf Müller

29 Verbandsmodell: Hassediagramm (2)
acht Sicherheitsklassen: SC = { (geheim, Ø}, (geheim, {a}), (geheim, {b}), (geheim, {a, b}), (vertraulich, Ø), (vertraulich, {a}), (vertraulich, {b}), (vertraulich, {Ø}) } Es gilt u.a. : (geheim, {a})  (geheim, {b}) = (geheim, {a, b}) (geheim, {a})  (geheim, {b}) = (geheim, Ø} geheim,a,b geheim,b geheim,a geheim,- vertraulich,a,b vertraulich,b vertraulich,a vertraulich,- Dr. Wolf Müller

30 Verbandstruktur: Bedeutung
Transitivität der Relation ≤ impliziert, das jeder implizite Fluss X  Y von einer Variable X zu einer Variablen Y: der aus einer Folge von Flüssen X=Z0  Z1  …  Zn = Y resultiert zulässig ist, falls jeder direkte Fluss Zi  Zi+1 zulässig ist.  Prüfung der direkten Flüsse ausreichend, für Programme bedeutet dies: Folge von Anweisungen zulässig, wenn jede einzelne zulässig ist. Verbandseigenschaft (Existenz Suprenum Infimum für je zwei Verbandselemente) kann benutzt werden, um Kontrollaufwand zu verringern Zuweisung: YX1, … YXn z.B. Y:=X1+X2*X3 Dann: i : sc(Xi) ≤ sc(Yi), statt für jede Variable Xi dies zu überprüfen, ist es ausreichend, die kleinste obere Schranke sc(X1)  …  sc(Xn) zu berechnen, und für diese die Bedingung zu prüfen. Operator  kann zur Kontrolle von Informationsflüssen zu mehreren Variablen benutzt werden. Y1X, … YnX Falls Sicherheitsklassifikation von Objekten während ihrer Existenz invariant, können bereits zur Compilezeit obere u. untere Schranken berechnet und Fluss kontrolliert werden. Dr. Wolf Müller

31 Verbandstruktur: Fazit
Flussrelation (durch partielle Ordnung auf Sicherheitsklassen definiert) legt systembestimmte Informationsfluss-Strategie fest. Benutzer mit gleicher Sicherheitsklasse haben gleiche Rechte zum Informationszugriff. Feinkörnigkeit = große Zahl von Sicherheitsklassen Aufwändig, skaliert nicht Grobkörnige Modellierung schränkt Möglichkeiten zur differenzierten Festlegung zulässiger Informationskanäle stark ein. Starre Sicherheitsklassifikation Statische Zuordnung zwischen Objekten und ihren Sicherheitsklassen Modellierung erfordert in der Regel hohe Einstufung von Objekten in Sicherheitsklassen Niedrig eingestufte Subjekte haben dann oft ungenügende Rechte, in der Praxis dann oft Hochstufung im Widerspruch zu „need to know“. Fokus des Modells: Vertraulichkeit der zu verarbeitenden Informationen Dr. Wolf Müller

Herunterladen ppt "Sicherheitsmodelle Informationsfluss"

Ähnliche Präsentationen

Copyright © Siemens Enterprise Communications GmbH & Co. KG 2010. All rights reserved. Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee.

Copyright © Siemens Enterprise Communications GmbH & Co. KG All rights reserved. Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee.
H - A - M - L - E - IC T Teachers Acting Patterns while Teaching with New Media in the Subjects German, Mathematics and Computer Science Prof. S. Blömeke,

H - A - M - L - E - IC T Teachers Acting Patterns while Teaching with New Media in the Subjects German, Mathematics and Computer Science Prof. S. Blömeke,
Operating Systems Principles

Operating Systems Principles
Modell der Verfahrensdokumentation für die E-Buchführung

Modell der Verfahrensdokumentation für die E-Buchführung
Objektorientierter Zugriffsschutz in RACCOON

Objektorientierter Zugriffsschutz in RACCOON
Thin Clients und SmartCards an der HU

Thin Clients und SmartCards an der HU
Geprüfte/r Industriemeister/in - Fachrichtung Mechatronik

Geprüfte/r Industriemeister/in - Fachrichtung Mechatronik
Programmierung II Prof. Dr. Michael Löwe

Programmierung II Prof. Dr. Michael Löwe
Graphen Ein Graph ist eine Kollektion von Knoten und Kanten. Knoten sind einfache Objekte. Sie haben Namen und können Träger von Werten, Eigenschaften.

Graphen Ein Graph ist eine Kollektion von Knoten und Kanten. Knoten sind einfache Objekte. Sie haben Namen und können Träger von Werten, Eigenschaften.
Modellbasierte Software-Entwicklung eingebetteter Systeme

Modellbasierte Software-Entwicklung eingebetteter Systeme
Verschlüsselte Botschaften - eine Einführung -

Verschlüsselte Botschaften - eine Einführung -
Lizenzen und virtuelle Maschinen

Lizenzen und virtuelle Maschinen
Der Roboter zum selber Bauen.

Der Roboter zum selber Bauen.
Sicherheitsmodelle, Autorisierung und Zugriffskontrolle

Sicherheitsmodelle, Autorisierung und Zugriffskontrolle
Fortgeschrittenenpraktika WS 2003/04 Database Research Group, Prof. Dr. Bernhard Seeger Department of Mathematics and Computer Science University of Marburg.

Fortgeschrittenenpraktika WS 2003/04 Database Research Group, Prof. Dr. Bernhard Seeger Department of Mathematics and Computer Science University of Marburg.
Inhaltlich orientierter Zugriff auf unstrukturierte Daten

Inhaltlich orientierter Zugriff auf unstrukturierte Daten
Design by Contract with JML - Teil 2

Design by Contract with JML - Teil 2
Client-Server-Architekturen

Client-Server-Architekturen
01.07.2000 Universität Dortmund, Lehrstuhl Informatik 1 EINI II Einführung in die Informatik für Naturwissenschaftler und Ingenieure.

Universität Dortmund, Lehrstuhl Informatik 1 EINI II Einführung in die Informatik für Naturwissenschaftler und Ingenieure.
Friedhelm Meyer auf der Heide 1 HEINZ NIXDORF INSTITUTE University of Paderborn Algorithms and Complexity Algorithmen und Komplexität Teil 1: Grundlegende.

Friedhelm Meyer auf der Heide 1 HEINZ NIXDORF INSTITUTE University of Paderborn Algorithms and Complexity Algorithmen und Komplexität Teil 1: Grundlegende.

Ähnliche Präsentationen

Google-Anzeigen