<< 6.5 Fazit | Index | 7.2 Implementierung der Zugriffsmatrix >>


7.1 Sicherheitsmodelle

Zugriffsmatrix-Modell

  • Merkmale
    • Dynamische Menge von Objekten
    • Dynamische Menge von Subjekten
    • Matrix codiert die Rechte jedes Subjekts an jedem Objekt
  • Modellierung
    • Wenn Rechte weitergegeben werden können, dann gibt es keinen Algorithmus, der das Safety-Problem (Verletzung der ursprünglich vorgesehenen Rechte) entscheiden kann
    • Algorithmen existieren, wenn Einschränkungen bzgl. der Menge der Subjekte oder der Weitergabe der Rechte gemacht werden
    • Textuelle Beschreibungen der Rechte müssen beim Security Engineering in ein formalisiertes Modell überführt werden: Subjekte, Objekte, Rechte, Hierachien, etc.
  • Vorteile
    • Einfach und intuitiv, leicht zu implementieren
    • Sehr feingranular und flexibel
  • Nachteile
    • Keine Klassenbildung
    • Keine Vererbung von Rechten
    • Aufwendige Verwaltung der Rechte

Rollenbasierte Modelle

  • RBAC (Role-based Access Control)
    • Nachbilden der Organisationsstrukturen und des Work-Flows in Rollen
    • Prinzipien
      • Need-to-know: Berechtigungen auf ein Minimum beschränken
      • Separation-of-duty: Aufteilen der Verantwortlichkeiten
  • Modellierung
    • Menge von Objekten
    • Menge von Benutzern (Subjekten)
      • Benutzern werden Rollen zugeordnet
    • Menge von Rollen
      • Rollen werden Rechte und Verantwortlichkeiten zugeordnet
    • Auf Rollen kann eine Hierarchie gebildet werden, in deren Kontext Rechte und Verantwortlichkeiten vererbt werden
      • Aber evtl. Vergabe von zu vielen Rechten für Spitze der Hierarchie
  • Statische und dynamische Beschränkung
    1. Statische Aufgabentrennung
      • Benutzer kann nicht Mitglied von zwei bestimmten Rollen sein
      • Bsp.: Kassenwart und Kassenprüfer
    2. Dynamische Aufgabentrennung
      • Benutzer darf nicht zwei Rollen zur gleichen Zeit wahrnehmen
      • Bsp.: Kundenbetreuer und Kontobesitzer
  • Vorteile
    • Sehr flexibel und skalierbar
    • Relationen auf Rollen lassen noch feinere Administration zu
      • Bsp.: Rolle "WLAN-Benutzer" und "Buchhaltung" aktiv: nur eingeschränkter Zugriff
    • Unternehmensstruktur und Work-Flow kann in Rollen und Hierarchien abgebildet werden
    • Einfachere Verwaltung

Bell LaPadula-Modell

  • Ziel
    • Kontrolle der Informationsflüsse
  • Modellierung
    • Menge von Objekten
    • Menge von Subjekten
    • Menge von Zugriffsrechten
    • Menge von Sicherheitsklassen (public, confidential, secret, top-secret)
      • Für Objekte: Classification
      • Für Subjekte: Clearance
  • Mandatorische Regeln:
    • No read up: Subjekte dürfen nur Objekte lesen, die höchstens ihrer Clearance entsprechen
    • No write down: Subjekte dürfen nur in Objekte schreiben, die mindestens ihrer Clearance entsprechen
=> Partielle Ordnung auf den Sicherheitsklassen, Informationsfluss nur entlang der Ordnung möglich.
  • Vorteile
    • Nachbilden hierarchischer Informationsflüsse (besonders im militärischen Bereich)
  • Nachteile
    • Informationen werden immer höher und höher eingestuft
    • Blindes Schreiben nach oben (darf ja nicht gelesen werden)
    • Kein Zugriff mehr auf selbst nach oben geschriebene Informationen
    • Informationsfluss durch Covert-Channels trotzdem möglich

Nach oben

Zuletzt geändert am 29 März 2005 21:27 Uhr von chrschn