権限システムのモデリング質問する

Question

セキュリティモデルは、大規模でオープンな研究分野です。選択できるモデルは、単純なものから次のようなものまで多岐にわたります。

ランプソンのアクセス制御マトリックスシステム内のすべてのドメインオブジェクトとすべてのプリンシパルを、そのオブジェクトに対してプリンシパルが実行できるアクションとともに一覧表示します。これは非常に冗長であり、実際にこの方法で実装すると、大量のメモリを消費します。
アクセス制御リストランプソンのマトリックスを簡略化したものです。これは、オブジェクトとプリンシパルと許可されたアクションをリストし、ランプソンのマトリックスからすべての「ヌル」エントリをエンコードしない、スパースマトリックス実装のようなものだと考えてください。アクセス制御リストには、便宜上「グループ」を含めることができ、リストはオブジェクトまたはプリンシパル（場合によっては、プログラムを介して、次のように）を介して保存できます。アプリアーマーまたはともよまたは蓋）。
能力システムオブジェクトへの参照またはポインターを持つというアイデアに基づいています。プロセスは、初期の機能セットにアクセスでき、システム上の他のオブジェクトから受け取ることによってのみ、より多くの機能を取得できます。これはかなり突飛に聞こえますが、Unix のファイル記述子について考えてみてください。これは、特定のオープンファイルへの偽造不可能な参照であり、ファイル記述子は他のプロセスに渡すことも渡さないこともできます。記述子を別のプロセスに渡すと、そのプロセスはそのファイルにアクセスできるようになります。このアイデアに基づいて、オペレーティングシステム全体が作成されました。(最も有名なのはおそらく KeyKOS と EROS ですが、これは議論の余地がある点だと思います。:)

... オブジェクトとプリンシパルにセキュリティラベルが割り当てられた、より複雑なものまであります。

セキュリティリング、Multics や x86 CPU などに実装されており、プロセスがリング間を遷移できるようにするセキュリティトラップまたはゲートを提供します。各リングには、異なる特権とオブジェクトのセットがあります。
デニングの格子どのプリンシパルがどのセキュリティラベルと対話できるかを非常に階層的に表すモデルです。
ベル・ラパドゥラDenning's Lattice に似ており、極秘データが非機密レベルに漏洩するのを防ぐためのルールを提供し、共通の拡張機能により、さらに区分化と分類が行われ、軍隊式の「知る必要がある」サポートがより適切に提供されます。
のビバモデルはベル＝ラパドゥーラ法に似ていますが、逆になっています。ベル＝ラパドゥーラ法は機密性を重視していますが、完全性については何も考慮していません。一方、ビバ法は完全性を重視していますが、機密性については何も考慮していません。(ベル＝ラパドゥーラ法は、スパイのリストを読むことを禁止しますが、誰でも何でも書き込むことを許可します。ビバ法は、スパイのリストを読むことを許可しますが、ほとんどすべての人が書き込むことを禁止します。)
タイプの強制(およびその兄弟である Domain Type Enforcement) は、プリンシパルとオブジェクトにラベルを提供し、許可されるオブジェクト-動詞-サブジェクト (クラス) テーブルを指定します。これは、おなじみの SELinux と SMACK です。

..そして時間の経過を取り入れたものもあります:

チャイニーズウォールこれは、特定の市場で競合他社にサービスを提供する組織内の従業員を分離するためにビジネス環境で開発されました。たとえば、ジョンソンがエクソンモービルのアカウントで作業を開始すると、BP アカウントにアクセスできなくなります。ジョンソンが最初に BP で作業を開始していた場合、エクソンモービルのデータへのアクセスは拒否されます。
ロマックそして最高水準2 つの動的アプローチがあります。LOMAC は、プロセスが徐々に高いレベルのデータにアクセスするときにプロセスの権限を変更し、低いレベルへの書き込みを禁止します (プロセスは「トップセキュリティ」に移行します)。ハイウォーターマークは、より高いレベルのプロセスがデータにアクセスするときにデータのラベルを変更します (データは「トップセキュリティ」に移行します)。
クラーク・ウィルソンモデルは非常にオープンエンドです。不変条件と、すべての状態遷移が不変条件に違反しないことを保証するルールが含まれています。（これは次のように単純なものでも構いません。複式簿記または複雑なHIPAAについて) データベースのトランザクションと制約について考えます。

公開されているモデルについてさらに詳しく知りたい場合は、Matt Bishop の「コンピュータセキュリティ: アートおよびサイエンス」をぜひ読んでみてください。

Answer 1

セキュリティモデルは、大規模でオープンな研究分野です。選択できるモデルは、単純なものから次のようなものまで多岐にわたります。

ランプソンのアクセス制御マトリックスシステム内のすべてのドメインオブジェクトとすべてのプリンシパルを、そのオブジェクトに対してプリンシパルが実行できるアクションとともに一覧表示します。これは非常に冗長であり、実際にこの方法で実装すると、大量のメモリを消費します。
アクセス制御リストランプソンのマトリックスを簡略化したものです。これは、オブジェクトとプリンシパルと許可されたアクションをリストし、ランプソンのマトリックスからすべての「ヌル」エントリをエンコードしない、スパースマトリックス実装のようなものだと考えてください。アクセス制御リストには、便宜上「グループ」を含めることができ、リストはオブジェクトまたはプリンシパル（場合によっては、プログラムを介して、次のように）を介して保存できます。アプリアーマーまたはともよまたは蓋）。
能力システムオブジェクトへの参照またはポインターを持つというアイデアに基づいています。プロセスは、初期の機能セットにアクセスでき、システム上の他のオブジェクトから受け取ることによってのみ、より多くの機能を取得できます。これはかなり突飛に聞こえますが、Unix のファイル記述子について考えてみてください。これは、特定のオープンファイルへの偽造不可能な参照であり、ファイル記述子は他のプロセスに渡すことも渡さないこともできます。記述子を別のプロセスに渡すと、そのプロセスはそのファイルにアクセスできるようになります。このアイデアに基づいて、オペレーティングシステム全体が作成されました。(最も有名なのはおそらく KeyKOS と EROS ですが、これは議論の余地がある点だと思います。:)

... オブジェクトとプリンシパルにセキュリティラベルが割り当てられた、より複雑なものまであります。

セキュリティリング、Multics や x86 CPU などに実装されており、プロセスがリング間を遷移できるようにするセキュリティトラップまたはゲートを提供します。各リングには、異なる特権とオブジェクトのセットがあります。
デニングの格子どのプリンシパルがどのセキュリティラベルと対話できるかを非常に階層的に表すモデルです。
ベル・ラパドゥラDenning's Lattice に似ており、極秘データが非機密レベルに漏洩するのを防ぐためのルールを提供し、共通の拡張機能により、さらに区分化と分類が行われ、軍隊式の「知る必要がある」サポートがより適切に提供されます。
のビバモデルはベル＝ラパドゥーラ法に似ていますが、逆になっています。ベル＝ラパドゥーラ法は機密性を重視していますが、完全性については何も考慮していません。一方、ビバ法は完全性を重視していますが、機密性については何も考慮していません。(ベル＝ラパドゥーラ法は、スパイのリストを読むことを禁止しますが、誰でも何でも書き込むことを許可します。ビバ法は、スパイのリストを読むことを許可しますが、ほとんどすべての人が書き込むことを禁止します。)
タイプの強制(およびその兄弟である Domain Type Enforcement) は、プリンシパルとオブジェクトにラベルを提供し、許可されるオブジェクト-動詞-サブジェクト (クラス) テーブルを指定します。これは、おなじみの SELinux と SMACK です。

..そして時間の経過を取り入れたものもあります:

チャイニーズウォールこれは、特定の市場で競合他社にサービスを提供する組織内の従業員を分離するためにビジネス環境で開発されました。たとえば、ジョンソンがエクソンモービルのアカウントで作業を開始すると、BP アカウントにアクセスできなくなります。ジョンソンが最初に BP で作業を開始していた場合、エクソンモービルのデータへのアクセスは拒否されます。
ロマックそして最高水準2 つの動的アプローチがあります。LOMAC は、プロセスが徐々に高いレベルのデータにアクセスするときにプロセスの権限を変更し、低いレベルへの書き込みを禁止します (プロセスは「トップセキュリティ」に移行します)。ハイウォーターマークは、より高いレベルのプロセスがデータにアクセスするときにデータのラベルを変更します (データは「トップセキュリティ」に移行します)。
クラーク・ウィルソンモデルは非常にオープンエンドです。不変条件と、すべての状態遷移が不変条件に違反しないことを保証するルールが含まれています。（これは次のように単純なものでも構いません。複式簿記または複雑なHIPAAについて) データベースのトランザクションと制約について考えます。

公開されているモデルについてさらに詳しく知りたい場合は、Matt Bishop の「コンピュータセキュリティ: アートおよびサイエンス」をぜひ読んでみてください。

権限システムのモデリング質問する

ベストアンサー1

おすすめ記事