Çok Etki Alanlı Hareketli Ağlar içinFormal Güvenlik Politikası Betimleme ve Doğrulama Devrim Ünal, TÜBİTAK UEKAE, NETLAB

Özet Tanıtım Problem Tanımı İlgili Çalışmalar Modelleme Yaklaşımı

Hareketli Ağ Modeli Güvenlik Politikası

Güvenlik Politikasının Formal Betimlemesi

Doğrulama Coq Teorem Doğrulayıcı’da Betimleme Süren Çalışmalar

Tanıtım Dolaşan kullanıcılara sahip çok etki

alanlı hareketli ağlarda güvenlik politikalarını betimlemek için bir formel betimleme yöntemi önermekteyiz.

Çok etki alanlı hareketli ağların ayırt edici özellikleri, birden fazla yönetimsel etki alanı, dolaşan kullanıcılar ve farklı güvenlik politikaları bulunmasıdır.

Yetkilendirme politikalarının formal betimlemesi kullanıcıların etki alanları arasındaki eylemlerini ve etki alanları arasındaki erişim ve iletişimi içerir.

Problem Tanımı Hareketli kullanıcılar farklı

yönetimsel etki alanlarını gezmektedir. Etki alanı güvenlik politikaları ve etki alanları arasında bir güvenlik politikası mevcutken, kullanıcıların eylemlerinin bu güvenlik politikalarına uygun olup olmadığının ve bu güvenlik politikalarının birbirleriyle uyumlu olup olmadığının formal olarak doğrulanması.

İlgili Çalışmalar Jajodia, Flexible Authorization Framework (FAF):

yetkilendirme politikalarının tanımlanması, türetilmesi ve çelişkilerin çözülmesi için mantık programlamasına dayalı bir yöntemdir.

Scott’un PhD tezi, Mobility Restriction Policy Language hareketli aracıların bir fiziksel ortamdaki dolaşımlarını konu almaktadır.

Fournet ve Gordon’un politikaların uyumunu doğrulamak için tip sistemi: Bir yetkilendirme politikası verildiğinde, belirli bir protokolün politikayı doğru olarak gerçeklediğinin doğrulanması incelenmektedir.

Çevrel Cebir (Ambient Calculus): Hareketli süreç ve sistemleri formal olarak modellemekte kullanılan bir süreç cebridir. (Cardelli, Gordon)

Temel Çevrel CebirP, Q::= Süreçler M::= Yetenekler

0 eylemsizlik N ad

P | Q birleşim in n n’e girebilir

n[P] çevre out n n’den çıkabilir

M.P yetenek eylemi

open n n’i açabilir

(n)P girdi eylemi ε boş

<M> çıktı eylemi M.M’ yol

Çevrel Cebir’de Hareket Hareket uzaysal yapı s’in

zamanla değişimidir.

aa

cc

cc

aa bb

bb

aa[[Q | cQ | c[[out a. in b. Pout a. in b. P]]]]

| b| b[[RR]]

Çevrel Cebir’de Hareket

aa

ccaa bb

cc

bb

aa[[QQ]] | b| b[[RR]]| c| c[[in b. Pin b. P]]

Çevrel Cebir’de Hareket

aa

cc

aa bb

bbcc

aa[[QQ]] | b| b[[R | cR | c[[PP]]]]

KarşılaştırmaYöntem Forma

l Sistem Modeli

Formal Politika Modeli

Rol Tabanlı

Hiyerarşi Hareket-lilik

Çoklu Etki Alanı

FAF X X X X - -MRPL X X - - X -SPI Tip sistemi

X X - - - -

Çevrel Cebir

X - - - X X

(Windows AD)

- - - X - X

Önerilen yöntem

X X X X X X

Modelleme Yaklaşımı

Hareketli Ağ Modeli: Etki alanları, bilgisayarlar, kullanıcılar, kaynaklar, davranışları Çevrel Cebir temel alınmaktadır

Güvenlik Politikası Modeli: Sistem tarafından sağlanması gereken kurallardır Önekli Mantık ve Çevrel Cebir yapısal mantığına dayanır

Hareketli Ağ Modeli: Sistem Modeli Sistem Modeli

Yönetimsel EtkiAlanları

Bilgisayarlar Kullanıcılar Nesneler

Hareketli Ağ Modeli: Hareketlilik Modeli Betimlemesi

Nesne Hareketliliği: Dosya 1, Taşınabilir Bilgisayar 1’e kopyalanıyor:

World[DomainA[Server1[folder [out folder. out Server1. in Portable1. in folder. File1[] | File1 []]] | Portable1[folder[]]]] * World[DomainA[Server1[folder [File1[]]] | Portable1[folder[File1[]]]]]

Hareketlilik Modeli Betimlemesi

Bilgisayar Hareketliliği Taşınabilir Bilgisayar 1, Etki Alanı A’dan

bağlantısını kopararak Etki Alanı B’ye bağlanıyor: World [DomainA[Portable1[out DomainA. in DomainB .0]] | DomainB[]] World [DomainA[] | Portable1[in DomainB. 0] | DomainB[] World [DomainA[] | DomainB[Portable1[]]]

Hareketlilik Modeli Betimlemesi

Kullanıcı Hareketliliği Kullanıcı 1, Sunucu 1’e oturum açıyor:

User1[in Server1.0]|Server1 [File1[]] Server1 [User1[] | File1 []]

Güvenlik Politikası Etki Alanı Güvenlik Politikası

Temel kural yapısı şu şekildedir:Yetkilendirme Terimi at = (as, ao, sa, fo, co), burada: as AS : bir yetkilendirme öznesi ao AO : bir yetkilendirme nesnesi sa: işaretli eylem (+/-) eylem biçiminde olup eylem

A fo: bir formül, çevrel cebir mantığı formülü

biçimindedir co: bir koşul, önekli mantık formülüdür UG: Kullanıcı grupları kümesi, OT: Nesne türleri

kümesi, R: Roller kümesi, AS = U UG R H, AO = O OT H D, A = eylemler = {read, write, execute, move, enrol, leave, connect, disconnect, login, logout, control}.

SP: Güvenlik politikası = Yetkilendirme politikası terimleri at kümesi.

Hareketlilik FormülüFormül Temsil Ettiği Temsil Etme

Yöntemi

Zaman Bir koşulun geçerli olduğu zaman aralığı

Çevrel cebirdeki Bir Zaman () işlemi

Konum Bilgisayar ve etki alanlarına bağlı olarak kullanıcıların ve kaynakların konumları

Bir yer () işlemi, paralel (P|Q) ve konum (η[P]) çevrel cebir formalizasyonları

Neden:1. Bilgisayar ve etki alanlarına bağlı olarak konumun modellenmesi2. Hareketli süreçler eylemleri sonucunda sistemdeki konumlandırma yapılandırmasını değiştirir. Bu nedenle politika modelinde zaman kullanımı gereklidir.Her iki unsur bir çevrel cebir hareketlilik formülüyle betimlenmektedir.

Hiyerarşiler (1)

UGH hiyerarşisi bir ast ilişkisi ile tanımlanmaktadır. Eğer bir kullanıcı grubu farklı bir kullanıcı grubunun içinde yer alıyorsa ast adı verilir. UGH ilişkisinin yaprakları kullanıcılardır.

RH hiyerarşisi rol kümesine bağlı olup türeme ilişkisiyle tanımlanır. Bir türeyen rol bir diğer rolün daha özelleştirilmiş halidir.

OTH hiyerarşisi nesnelerin türünü tanımlar. OTH ilişkisinin elemanları nesnelerdir.

Object

NetworkObject

ApplicationObject

Application

Database

File

Message

Nesne Tür Hiyerarşisi (OTH)

Hiyerarşiler (2)User

University Staff

Academic staff

Administrative staff

University Student

Bachelor Student

Graduate Student

Non-universityUser

Guest user

Joint project user

System Admin

Other staff

Other university user

Assistant

Faculty

Member

Teaching

Research

Student

Administration

Teaching Assistant

Lecturer

ResearchGroup

Member

Research Project Member

Course

Project

Thesis

Faculty

AdministrativeStaff

Rector

Dean

Chair

Manager

ResearchFaculty

Research Assistant

Coordinator

SystemAdmin

Security Admin

Other Staff

Research Assistant

ResearchFaculty

Rol Hiyerarşisi (RH)

Kullanıcı Grubu Hiyerarşisi (UGH)

Etki Alanları arası Güvenlik Politikası Hareketlilik

Etki alanları arasında nesne, bilgisayar ve kullanıcı hareketliliği modellenmektedir.

Bir çevrel cebir formülü kullanılarak betimlenir.

Etki alanları arası erişim hakları Etki alanları arasındaki işlemlerle ilgilidir. Kimler için erişim haklarını belirler

Diğer etki alanından roller, Başka bir etki alanından erişim yapan yerel

roller Umumi erişim

Etki Alanı Güvenlik Politikasının Formal Betimlemesi İki tür politika betimlemesi

vardır:1. Tüm ağ modelleri için geçerli olan

soysal politika ifadeleri2. Modele özgü güvenlik politikaları

bir etki alanı için sistem veya güvenlik yöneticisi tarafından tanımlanır.

Soysal Politika İfadeleri

1. Soysal Politika İfadeleri “Bilgisayarların bağlantı kurmadan

önce bir etki alanına kayıt olmaları şarttır.” (as = host, ao = domain, sa = (+) connect, fo = (domain [T] | host [T] | T), co = hostH domainD EnrolledDomainHost (domain, host))

“Kullanıcıların bir etki alanında işlem yapabilmeleri için bir bilgisayarda oturum açmış olmaları gerekir.” (as = user, ao = domain, sa = (+) A\{login}, fo = host domain domain [host[user]],

co = userU domainD hostH)

Modele Özgü Politika İfadeleri “Bilgisayar 2’deki dosyalar taşınabilir

bilgisayarlar tarafından okunamazlar.” (as = Portable, ao = Portable, sa = (-) read, fo = (Portable [] | Host2 [file[]]), co = T)

“Kullanıcı 1, Kullanıcı 2’ye mesaj gönderemez.”(as = User1, ao = User2, sa = (-) send, fo = User1 [message[] | T] User2[T], co = T)

“Taşınabilir Bilgisayar 1, Etki Alanı B’ye bağlanabilir.” (as = Portable1, ao = DomainB, sa = (+) connect, fo = (Portable1 [T] | DomainB [T]), co = T)

Etki Alanları Arası Güvenlik Politikası Betimleme Varsayıyoruz ki RH = , UGH = {(Kullanıcı,

Öğrenci), (Kullanıcı, Ogretmen)}, OTH = {(Nesne, Uygulama_ Nesnesi), (Uygulama_Nesnesi, Dosya)}

1. “İTÜ etki alanındaki öğrenciler taşınabilir bilgisayarlarını Boğaziçi etki alanına bağlayabilirler.” (as = Portable, ao = Bogazici, sa = (+) connect, fo = World [ITU [Portable [Ogrenci] | T ] | Bogazici [T] | T ], co = EnrolledDomainUser (ITU, Ogrenci))

2. “İTÜ etki alanından öğrenciler, Boğaziçi etki alanına bağlandıkları zaman proje sunucusundaki dosyaları okuyamazlar.”: (as = Ogrenci, ao = proje_sunucusu, sa = (-) read, fo = World [ Bogazici [Ogrenci [] proje_sunucusu [T]] | T], co = EnrolledDomainUser (ITU, Ogrenci) ActiveDomainUser (Ogrenci, Bogazici))

Doğrulama1. Hiyerarşi tanımlarını kullanarak politika kuralındaki

yetkilendirme öznelerini kullanıcı veya bilgisayarlara eşleştir,

2. Politika kuralındaki yetkilendirme nesnelerini bilgisayalara, etki alanlarına veya nesnelere, nesne türü hiyerarşisini kullanarak eşleştir,

3. Ağ modelinin yetkilendirme terimi içerisindeki formülü doğrulamasını kontrol et. P bir çevrel cebir süreç betimlemesi ve fo bir çevrel cebir formülü ise,

P= fo (P sağlar fo) ?4. Yetkilendirme terimi içerisindeki koşulun ağ modeli

ve güvenlik politikasındaki hiyerarşilerde sağlandığını kontrol et.

5. Eyleme izin verilip verilmediğini kontrol et. Burada gerçekleştirilmek istenen eylemin süreçle birlikte verildiği varsayılmaktadır. Bu durumda eylem her bir adımda çevrel cebir mantık formülüne göre denetlenebilir.

Gelecek Çalışmalar Kaynak sınıflandırma eşleşmesi

ve kullanıcı rol eşleşmesinin formal modeli,

Karmaşık ve tam formal modeller Üniversiteler Arası Öğrenci ve

Öğretim Üyesi Dolaşımı Hareketli Ağ Modeli

Doğrulama Etkileşimli doğrulama asistanları

yoluyla doğrulama işlemlerinin otomatik olarak yapılması