Çok Etki Alanlı Hareketli Ağlar için Formal Güvenlik Politikası Betimleme ve Doğrulama Devrim Ünal, TÜBİTAK UEKAE, NETLAB

Özet Tanıtım Problem Tanımı İlgili Çalışmalar Modelleme Yaklaşımı Hareketli Ağ Modeli Güvenlik Politikası Güvenlik Politikasının Formal Betimlemesi Doğrulama Coq Teorem Doğrulayıcı’da Betimleme Süren Çalışmalar

Tanıtım Dolaşan kullanıcılara sahip çok etki alanlı hareketli ağlarda güvenlik politikalarını betimlemek için bir formel betimleme yöntemi önermekteyiz. Çok etki alanlı hareketli ağların ayırt edici özellikleri, birden fazla yönetimsel etki alanı, dolaşan kullanıcılar ve farklı güvenlik politikaları bulunmasıdır. Yetkilendirme politikalarının formal betimlemesi kullanıcıların etki alanları arasındaki eylemlerini ve etki alanları arasındaki erişim ve iletişimi içerir.

Problem Tanımı Hareketli kullanıcılar farklı yönetimsel etki alanlarını gezmektedir. Etki alanı güvenlik politikaları ve etki alanları arasında bir güvenlik politikası mevcutken, kullanıcıların eylemlerinin bu güvenlik politikalarına uygun olup olmadığının ve bu güvenlik politikalarının birbirleriyle uyumlu olup olmadığının formal olarak doğrulanması.

İlgili Çalışmalar Jajodia, Flexible Authorization Framework (FAF): yetkilendirme politikalarının tanımlanması, türetilmesi ve çelişkilerin çözülmesi için mantık programlamasına dayalı bir yöntemdir. Scott’un PhD tezi, Mobility Restriction Policy Language hareketli aracıların bir fiziksel ortamdaki dolaşımlarını konu almaktadır. Fournet ve Gordon’un politikaların uyumunu doğrulamak için tip sistemi: Bir yetkilendirme politikası verildiğinde, belirli bir protokolün politikayı doğru olarak gerçeklediğinin doğrulanması incelenmektedir. Çevrel Cebir (Ambient Calculus): Hareketli süreç ve sistemleri formal olarak modellemekte kullanılan bir süreç cebridir. (Cardelli, Gordon)

Temel Çevrel Cebir P, Q::= Süreçler M::= Yetenekler 0 eylemsizlik N ad P | Q birleşim in n n ’e girebilir n[P] çevre out n n ’den çıkabilir M.P yetenek eylemi open n n ’i açabilir (n)P girdi eylemi ε boş çıktı eylemi M.M’ yol

Çevrel Cebir’de Hareket Hareket uzaysal yapı s’in zamanla değişimi dir. a c c ab b a[Q | c[out a. in b. P]] | b[R]

Çevrel Cebir’de Hareket a c ab c b a[Q]a[Q]a[Q]a[Q] | b[R] | c[in b. P]

Çevrel Cebir’de Hareket a c ab b c a[Q]a[Q]a[Q]a[Q] | b[R | c[P]]

Karşılaştırma Yöntem Formal Sistem Modeli Formal Politika Modeli Rol Tabanlı HiyerarşiHareket- lilik Çoklu Etki Alanı FAF XXXX-- MRPL XX--X- SPI Tip sistemi XX---- Çevrel Cebir X---XX (Windows AD) ---X-X Önerilen yöntem XXXXXX

Modelleme Yaklaşımı Hareketli Ağ Modeli: Etki alanları, bilgisayarlar, kullanıcılar, kaynaklar, davranışları Çevrel Cebir temel alınmaktadır Güvenlik Politikası Modeli: Sistem tarafından sağlanması gereken kurallardır Önekli Mantık ve Çevrel Cebir yapısal mantığına dayanır

Hareketli Ağ Modeli: Sistem Modeli Sistem Modeli Yönetimsel Etki Alanları Bilgisayarlar Kullanıcılar Nesneler

Hareketli Ağ Modeli: Hareketlilik Modeli Betimlemesi Nesne Hareketliliği: Dosya 1, Taşınabilir Bilgisayar 1’e kopyalanıyor: World[DomainA[Server1[folder [out folder. out Server1. in Portable1. in folder. File1[] | File1 []]] | Portable1[folder[]]]]  * World[DomainA[Server1[folder [File1[]]] | Portable1[folder[File1[]]]]]

Hareketlilik Modeli Betimlemesi Bilgisayar Hareketliliği Taşınabilir Bilgisayar 1, Etki Alanı A’dan bağlantısını kopararak Etki Alanı B’ye bağlanıyor: World [DomainA[Portable1[out DomainA. in DomainB.0]] | DomainB[]]  World [DomainA[] | Portable1[in DomainB. 0] | DomainB[]  World [DomainA[] | DomainB[Portable1[]]]

Hareketlilik Modeli Betimlemesi Kullanıcı Hareketliliği Kullanıcı 1, Sunucu 1’e oturum açıyor: User1[in Server1.0]|Server1 [File1[]]  Server1 [User1[] | File1 []]

Güvenlik Politikası Etki Alanı Güvenlik Politikası Temel kural yapısı şu şekildedir: Yetkilendirme Terimi at = (as, ao, sa, fo, co), burada: as  AS : bir yetkilendirme öznesi ao  AO : bir yetkilendirme nesnesi sa: işaretli eylem (+/-) eylem biçiminde olup eylem  A fo: bir formül, çevrel cebir mantığı formülü biçimindedir co: bir koşul, önekli mantık formülüdür UG: Kullanıcı grupları kümesi, OT: Nesne türleri kümesi, R: Roller kümesi, AS = U  UG  R  H, AO = O  OT  H  D, A = eylemler = {read, write, execute, move, enrol, leave, connect, disconnect, login, logout, control}. SP: Güvenlik politikası = Yetkilendirme politikası terimleri at kümesi.

Hareketlilik Formülü FormülTemsil EttiğiTemsil Etme Yöntemi ZamanBir koşulun geçerli olduğu zaman aralığı Çevrel cebirdeki Bir Zaman (  ) işlemi KonumBilgisayar ve etki alanlarına bağlı olarak kullanıcıların ve kaynakların konumları Bir yer (  ) işlemi, paralel (P|Q) ve konum (η[P]) çevrel cebir formalizasyonları Neden: 1. Bilgisayar ve etki alanlarına bağlı olarak konumun modellenmesi 2. Hareketli süreçler eylemleri sonucunda sistemdeki konumlandırma yapılandırmasını değiştirir. Bu nedenle politika modelinde zaman kullanımı gereklidir. Her iki unsur bir çevrel cebir hareketlilik formülüyle betimlenmektedir.

Hiyerarşiler (1) UGH hiyerarşisi bir ast ilişkisi ile tanımlanmaktadır. Eğer bir kullanıcı grubu farklı bir kullanıcı grubunun içinde yer alıyorsa ast adı verilir. UGH ilişkisinin yaprakları kullanıcılardır. RH hiyerarşisi rol kümesine bağlı olup türeme ilişkisiyle tanımlanır. Bir türeyen rol bir diğer rolün daha özelleştirilmiş halidir. OTH hiyerarşisi nesnelerin türünü tanımlar. OTH ilişkisinin elemanları nesnelerdir. Nesne Tür Hiyerarşisi (OTH)

Hiyerarşiler (2) Rol Hiyerarşisi (RH) Kullanıcı Grubu Hiyerarşisi (UGH)

Etki Alanları arası Güvenlik Politikası Hareketlilik Etki alanları arasında nesne, bilgisayar ve kullanıcı hareketliliği modellenmektedir. Bir çevrel cebir formülü kullanılarak betimlenir. Etki alanları arası erişim hakları Etki alanları arasındaki işlemlerle ilgilidir. Kimler için erişim haklarını belirler Diğer etki alanından roller, Başka bir etki alanından erişim yapan yerel roller Umumi erişim

Etki Alanı Güvenlik Politikasının Formal Betimlemesi İki tür politika betimlemesi vardır: 1. Tüm ağ modelleri için geçerli olan soysal politika ifadeleri 2. Modele özgü güvenlik politikaları bir etki alanı için sistem veya güvenlik yöneticisi tarafından tanımlanır.

Soysal Politika İfadeleri 1. Soysal Politika İfadeleri “Bilgisayarların bağlantı kurmadan önce bir etki alanına kayıt olmaları şarttır.” (as = host, ao = domain, sa = (+) connect, fo =  (domain [T] | host [T] | T), co =  host  H  domain  D EnrolledDomainHost (domain, host)) “Kullanıcıların bir etki alanında işlem yapabilmeleri için bir bilgisayarda oturum açmış olmaları gerekir.” (as = user, ao = domain, sa = (+) A\{login}, fo =  host  domain  domain [  host[user]], co =  user  U  domain  D  host  H)

Modele Özgü Politika İfadeleri “Bilgisayar 2’deki dosyalar taşınabilir bilgisayarlar tarafından okunamazlar.” (as = Portable, ao = Portable, sa = (-) read, fo =  (Portable [] | Host2 [file[]]), co = T) “Kullanıcı 1, Kullanıcı 2’ye mesaj gönderemez.” (as = User1, ao = User2, sa = (-) send, fo =  User1 [message[] | T]   User2[T], co = T) “Taşınabilir Bilgisayar 1, Etki Alanı B’ye bağlanabilir.” (as = Portable1, ao = DomainB, sa = (+) connect, fo =  (Portable1 [T] | DomainB [T]), co = T)

Etki Alanları Arası Güvenlik Politikası Betimleme Varsayıyoruz ki RH = , UGH = {(Kullanıcı, Öğrenci), (Kullanıcı, Ogretmen)}, OTH = {(Nesne, Uygulama_ Nesnesi), (Uygulama_Nesnesi, Dosya)} 1. “İTÜ etki alanındaki öğrenciler taşınabilir bilgisayarlarını Boğaziçi etki alanına bağlayabilirler.” (as = Portable, ao = Bogazici, sa = (+) connect, fo = World [ITU [Portable [Ogrenci] | T ] | Bogazici [T] | T ], co = EnrolledDomainUser (ITU, Ogrenci)) 2. “İTÜ etki alanından öğrenciler, Boğaziçi etki alanına bağlandıkları zaman proje sunucusundaki dosyaları okuyamazlar.”: (as = Ogrenci, ao = proje_sunucusu, sa = (-) read, fo = World [ Bogazici [  Ogrenci []   proje_sunucusu [T]] | T], co = EnrolledDomainUser (ITU, Ogrenci)  ActiveDomainUser (Ogrenci, Bogazici))

Doğrulama 1. Hiyerarşi tanımlarını kullanarak politika kuralındaki yetkilendirme öznelerini kullanıcı veya bilgisayarlara eşleştir, 2. Politika kuralındaki yetkilendirme nesnelerini bilgisayalara, etki alanlarına veya nesnelere, nesne türü hiyerarşisini kullanarak eşleştir, 3. Ağ modelinin yetkilendirme terimi içerisindeki formülü doğrulamasını kontrol et. P bir çevrel cebir süreç betimlemesi ve fo bir çevrel cebir formülü ise, P  = fo (P sağlar fo) ? 4. Yetkilendirme terimi içerisindeki koşulun ağ modeli ve güvenlik politikasındaki hiyerarşilerde sağlandığını kontrol et. 5. Eyleme izin verilip verilmediğini kontrol et. Burada gerçekleştirilmek istenen eylemin süreçle birlikte verildiği varsayılmaktadır. Bu durumda eylem her bir adımda çevrel cebir mantık formülüne göre denetlenebilir.

Gelecek Çalışmalar Kaynak sınıflandırma eşleşmesi ve kullanıcı rol eşleşmesinin formal modeli, Karmaşık ve tam formal modeller Üniversiteler Arası Öğrenci ve Öğretim Üyesi Dolaşımı Hareketli Ağ Modeli Doğrulama Etkileşimli doğrulama asistanları yoluyla doğrulama işlemlerinin otomatik olarak yapılması