Concepts pour le contrôle de flux http://w3.uqo.ca/luigi/INF6153/index.html INF 6153

Pourquoi Étant donné un ensemble de sujets et objets qui peuvent lire et écrire l’un sur l’autre, où peut aboutir l’information A x x B Le sujet B, peut-il arriver à connaître l’information de A? question importante pour la confidentialité INF 6153

Réponse: A x x B Le sujet B, peut-il arriver à connaître l’information de A? La réponse OUI est évidente dans ce cas, mais dans d’autres cas le réseau peut être bien plus complexe. INF 6153

Pour l’intégrité Pour l’intégrité, les questions sont semblables: L’objet O peut-il arriver à stocker une information provenant d’un autre objet O’ L’objet O peut-il arriver à stocker une information provenant d’un sujet S? INF 6153

Modèle de base Nous avons des sujets et des objets Toute communication est effectuée entre sujets par l’entremise d’objets S1 O S2 INF 6153

Définitions CA CanStore (O,x) : l’objet O peut stocker la valeur x CanKnow (S,x) : le sujet S peut connaître la valeur x CanWrite (S,O) : sujet S peut écrire sur objet O CanRead (S,O) : sujet S peut lire de l’objet O x x S O CA O S INF 6153 6

Axiomes Il faut supposer qu’au début quelques objets stockent quelque chose, quelques sujets connaissent quelque chose Donc il y aura des axiomes du type: CanStore(O,a) CanKnow(S,b) Où a, b sont des noms de données spécifiques INF 6153

Règles de dérivation intuitives Afin qu’un sujet puisse connaître une information, il faut que: Ou bien il la connaisse directement, par effet d’un axiome Ou bien qu’il la trouve dans un objet duquel il peut lire Afin qu’un objet puisse stocker une information, il faut que: Ou bien il la stocke directement, par effet d’un axiome, Ou bien qu’il l’obtienne d’un sujet qui le peut écrire INF 6153

Règles de dérivation en logique CanStore(O,x) = ceci est vrai par axiome ou S (CanKnow(S,x)  CanWrite(S,O)) CanKnow(S,x) = ceci est vrai par axiome ou O (CanStore(O,x)  CanRead(S,O)) S1 S4 Donné: CanKnow(S1,x) x x Conclusion: CanKnow(S4,x) CanStore x CanKnow x . . . INF 6153 9

Application à RBAC Pour appliquer ces idées à RBAC, nous n’avons qu’à rédéfinir CanWrite and CanRead: CanWrite(S,O)= R ∈ Roles(S) ((O, write) ∈ Perm(R)) CanRead(S,O)=  R ∈ Roles(S) ((O, read) ∈ Perm(R)) Donc étant donné: CanStore(O,x), nous pouvons arriver à une des conclusions: CanKnow(S,x) or ¬CanKnow(S,x) Évidemment ceci présuppose qu’on connaisse tout le réseau INF 6153

Exemple Étant donné les roles suivants: R1 = {(a,r),(b,w)} //Role 1 peut lire de objet a et écrire sur objet b R2 = {(a,r),(b,r)} R3 = {(c,w)} aussi R3 est rôle senior de R1 et R2 R4 = {(c,r)} INF 6153

Exemple Étant donné les roles et permissions suivants: R1 = {(A,r),(B,w)} //Role 1 peut lire de objet a et écrire sur objet b R2 = {(A,r),(B,r)} R3 = {(C,w)} aussi R3 est rôle senior de R1 et R2 R4 = {(C,r)} INF 6153

Exemple Étant donné les roles et permissions suivants: R1 = {(A,r),(B,w)} //Role 1 peut lire de objet a et écrire sur objet b R2 = {(A,r),(B,r)} R3 = {(C,w),(A,r),(B,w),(B,r)} R4 = {(C,r)} R1 A R2 B R3 R4 C INF 6153

Réprésentation du flux entre objets C C Donc B peut stocker tout le contenu de A C peut stocker tout le contenu de C INF 6153

Réprésentation du flux entre rôles B R3 R3 R4 R4 C Donc un sujet de rôle R2 peut savoir tout ce que un sujet de rôle R1 sait Pareillement pour un sujet de rôle R3 Un sujet de rôle R4 peut savoir tout ce que les sujets de rôle R1 et R2 peuvent savoir INF 6153

CanKnowSet, CanStoreSet Voici deux fonctions auxiliaires utiles: CanStoreSet(O) est l’ensemble de tous les x qui peuvent être stockés dans O {x | CanStore(O,x)= vrai} CanKnowSet(S) est l’ensemble de tous les x qui peuvent être connus par S {x | CanKnow(S,x)= vrai} INF 6153

RBAC: Questions plus simples Les mêmes idées peuvent être utilisées pour répondre à des questions plus simples, comme: Pour un rôle ou sujet donné R, quels sont les objets desquels les sujets qui peuvent avoir R peuvent recevoir des informations, directement ou indirectement? Cette question est importante pour la confidentialité INF 6153

Modèles MAC, etc. Les mêmes idées peuvent être appliquées aux modèles MAC, CW et autres, mais ceci exige une certaine adaptation des définitions Laissé comme exercice … INF 6153

Sujets d’exercice ou de recherche Étant donné un système de protection quelconque, caractérisé par certaines permissions, pour un objet donné O, quels sont les sujets ou données desquels le contenu de O peut provenir, directement ou indirectement? Est-ce-que le système permet à un sujet X d’arriver à connaître des données Y? Si oui ou non, quelles sont les permissions à retirer ou ajouter si on veut rendre ceci impossible ou possible? Est-ce-que le système permet à un sujet X d’arriver à connaître tant les données d’un objet X que les données d’un objet Y? Est-ce-qu’un sujet X peut arriver à stocker ses données tant sur un objet A que sur un objet B? Si ceci devrait être empêché pour une contrainte d’entreprise, quelles permissions sont à retirer pour empêcher ceci? Étant donné certaines permissions, sont-elles compatibles avec ce qui permet un système MAC donné? Etc. etc. … INF 6153