‫کنترل دسترسي بر مبناي مشتري‬
‫سماء گليائي‬
‫استاد راهنما‪ :‬دکتر جليلي‬
‫استاد مشاور‪ :‬دکتر موقر‬
‫‪1‬‬
‫کنترل دسترسي بر مبناي مشتري‬
‫• رويکرد سنتي به کنترل دسترسي‬
‫• نياز به انتقال مکانيزم هاي کنترل دسترسي از سرور به‬
‫دستگاه مشتري‬
‫–‬
‫–‬
‫–‬
‫–‬
‫افزايش بارکاري بر روي سرورها‬
‫افزايش تعداد مشتريان در سيستمها‬
‫قدرت بيان بيشتر‬
‫ايجاد فرسايش در سيستمهاي امنيتي بهمرور زمان‬
‫• کنترل دسترسي بر مبناي مشتري‬
‫‪2‬‬
‫کارهاي انجام شده‬
‫‪3‬‬
‫استفاده از ابزارهاي امن سخت افزاري‬
‫• افزايش ابزارهاي امن سخت افزاري در دستگاه هاي‬
‫مشتريان‬
‫– کارت هاي هوشند‬
‫– سيستم هاي دريافت اثر انگشت‬
‫• کنترل دسترسي ]‪ [Bouganim, 2004‬براي مستندات‬
‫‪XML‬‬
‫– کارت هوشمند‬
‫– محيط امن عملياتي‬
‫‪4‬‬
‫استفاده از رمز نگاري‬
‫• استفاده از کنترل دسترسي بر مبناي رمزنگاري‬
‫– رمز کردن اطالعات و ارسال براي همه مشتريان بدون در نظر گرفتن‬
‫اجازه دسترسي آن ها‬
‫– توزيع کليد در بين مشتريان بر حسب اجازه دسترسي‬
‫• مزايا و معايب‬
‫– عدم نياز به امنيت در سمت مشتري‬
‫– پيچيدگي سيستم‬
‫– ناسازگاري با سيستم هاي پويا‬
‫• مثال‬
‫– سيستم کنترل دسترسي ]‪ [Hengartner, 2005‬براي محيط هاي فراگير‬
‫• کالس بندي اطالعات بر حسب ريزدانگي‬
‫‪5‬‬
‫استفاده از روش منطق و ارائهي اثبات‬
‫• سابقه طوالني‬
‫– سيستم عامل ‪Taos‬‬
‫• استفاده از منطق هاي تصميم ناپذير‬
‫– قدرت بيان بيشتر‬
‫– توصيف ساده تر سياست هاي امنيتي‬
‫– نبود امکان اثبات براي سرور‬
‫• ارائه چهارچوب ‪ PCA‬توسط ]‪ [Appel, 2001‬با استفاده از ايده‬
‫ارائه اثبات‬
‫‪6‬‬
‫ارائهي اثبات‬
‫• ارائه اثباتي براي سازگاري با سياست امنيتي سيستم‬
‫توسط کد‬
‫• مکانيزمي براي انتقال اثبات امن بودن کد از استفاده کننده‬
‫آن به توليد کننده کد‬
‫• کاربرد در استفاده از کدهاي مهاجر‬
‫– راه حل ديگري به جاي استفاده از جعبه شني‬
‫‪7‬‬
‫منطق و ارائهي اثبات در کنترل دسترسي‬
‫• در ‪PCA‬‬
‫– ارائه اثبات براي حق دسترسي بر اساس منطق مرتبه باال توسط مشتري‬
‫– بررسي اثبات توسط سرور و صدور اجازه دسترسي‬
‫– مشتري خود را به يک زير مجموعه تصميم پذير منطق‪ ،‬حسب کاربرد‬
‫خود محدود مي کند‪.‬‬
‫• سابقه استفاده از ‪ PCA‬در کنترل دسترسي‬
‫– در ]‪ [Bauer, 2003‬سيستمي براي کنترل دسترسي در وب بر پايه‬
‫‪PCA‬‬
‫– در ]‪ [Hengartner, 2005‬سيستمي براي کنترل دسترسي در محيطهاي‬
‫فراگير بر پايه ‪PCA‬‬
‫‪8‬‬
‫منطق و ارائهي اثبات در کنترل دسترسي (مثال)‬
‫دانشجو‬
‫استاد‬
‫ارائه گواهی ثبت نام و زمان و استنتاج برای حق دسترسی‬
‫گواهی گذشت زمان از ‪8‬‬
‫درخواست گواهی گذشت زمان از ‪8‬‬
‫‪9‬‬
‫سرور زمان‬
‫درخواست گواهی ثبت نام در درس‬
‫بررسی‬
‫درستی‬
‫اثبات‬
‫گواهی ثبت نام در درس‬
‫بعد از ساعت ‪،8‬‬
‫کسانی که در‬
‫‪ CS101‬ثبت نام‬
‫کرده اند میتوانند‬
‫صفحه را دریافت‬
‫کنند‬
‫صفحه مورد نظر‬
‫سرور ثبت نام درس‬
‫به سوی کارهای آینده‬
‫‪10‬‬
‫استفاده از روش ارائهي گواهي در کنترل دسترسي‬
‫• استفاده از استدالالتي غير از استنتاج با منطق صوري در‬
‫روش ارائه اثبات‬
‫– استفاده از معادالت رياضي‬
‫– استفاده از مسائل ‪-NP‬تمام‬
‫– استفاده مشتري از گواهي هاي قبلي در سيستم هاي کنترل‬
‫دسترسي بر مبناي سابقه‬
‫‪11‬‬
‫استفاده از روش ارائهي گواهي در کنترل دسترسي‬
‫(ادامه)‬
‫• مثال‬
‫– وابستگی اجازه دسترسی مشتريان به دسترسی های قبلی‬
‫• برای دسترسی مشتری به يک منبع‪ ،‬حداقل مقدار مشخصی از زمان‬
‫از دسترسی قبلی گذشته باشد‬
‫– هر مشتری سوابق خود را نگه می دارد‬
‫– سرور نيازی به جمع آوری حجم باالی اطالعات ندارد‬
‫‪12‬‬
‫ارتقاء منطقهاي موجود در روش ارائهي اثبات‬
‫• اصالح و ارتقاء منطق هاي موجود‬
‫– قدرت بيان بيشتري‬
‫– پوشش بيشتر نيازها‬
‫– کارايي بيشتر‬
‫‪13‬‬
‫طراحي مکانيزم به اشتراک گذاشتن اثبات ها‬
‫• نياز به طراحي مکانيزم به اشتراک گذاشتن اثبات ها‬
‫– استفاده مشتريان از يک منطق مشترک در اليه زيرين‬
‫– کم کردن هزينه و زمان اثبات براي مشتريان‬
‫• نکات موجود در مکانيزم به اشتراک گذاشتن اثبات ها‬
‫– بعضی اثبات ها تنها توسط بعضی مشتريان قابل استفاده است‬
‫– بعضی اثبات ها از زمانی به بعد ديگر قابل استفاده نيست‬
‫‪14‬‬
‫جلوگیري از انتشار اطالعات محرمانه در روش‬
‫ارائهي اثبات‬
‫• امکان انتشار اطالعات محرمانه سيستم يا ديگر مشتريان‬
‫در روش ارائه اثبات‬
‫– نياز مشتري به اطالع از سياست امنيتي سيستم‬
‫– وابستگي اجازه دسترسي به اطالعات محرمانه‬
‫• نياز مشتري به اطالعات محرمانه براي ساخت اثبات اجازه دسترسي‬
‫• نياز به طراحي مکانيزمي براي جلوگيري از انتشار‬
‫اطالعات محرمانه‬
‫‪15‬‬
‫منابع‬
‫‪16‬‬
‫منابع‬
•
•
•
•
•
•
•
Bauer, L., Bowers, Kevin D., Pfenning, F., and Reiter, Michael K., “Consumable
credentials in logic-based access control”, Technical Report CMU-CYLAB-06-002,
CyLab, Carnegie Mellon University, February 2006.
Hengartner, U. and Steenkiste, P., “Avoiding Privacy Violations Caused by ContextSensitive Services”, Elsevier Pervasive and Mobile Computing, PerCom 2006 special
issue, 2(4), November 2006.
Hengartner, U. and Steenkiste, P., “Exploiting Information Relationships for Access
Control in Pervasive Computing”, Elsevier Pervasive and Mobile Computing, 2(3),
September 2006.
Garg, D., Bauer, L., Bowers, Kevin D., Pfenning, F., and Reiter, Michael K., “A linear
logic of authorization and knowledge”, In Computer Security—ESORICS 2006: 11th
European Symposium on Research in Computer Security, volume 4189 of Lecture Notes
in Computer Science, September 2006.
Bouganim, L., Cremarenco, C., Ngoc, F. Dang, Dieu, N., Pucheral, P., "Safe Data Sharing
and Data Dissemination on Smart Devices", 24th International Conference on
Management of Data (SIGMOD), June 2005.
Hengartner, U., “Access Control to Information in Pervasive Computing Environments”.
Ph.D. Thesis, available as Technical Report CMU-CS-05-160, Computer Science
Department, Carnegie Mellon University, August 2005.
Kolovski, V., Katz, Y., Hendler, J., Weitzner, D. and Berners-Lee, T., “Towards a PolicyAware Web”, Proceedings of the Semantic Web and Policy Workshop, Galway, Ireland,
2005.
17
)‫منابع (ادامه‬
•
•
•
•
•
•
•
•
Abadi, M., Necula, G., “By Reason and Authority: A System for Authorization of
Proof-Carrying Code”, in Proceedings of the 17th IEEE Computer Security
Foundations Workshop (CSFW), 2004.
Appel, Andrew W., Felten, Edward W., “Models for Security Policies in ProofCarrying Code”, Princeton University Computer Science TR-636-01, March 2001.
Bouganim, L., Dang, Ngoc F., Pucheral, P., “Client-Based Access Control Management
for XML documents”, 30th International Conference on Very Large Data Bases,
VLDB'04, September 2004.
Abadi, M., “Logic in Access Control”,
Proceedings of the Eighteenth Annual IEEE Symposium on Logic in Computer
Science, June 2003.
Abadi, M., “Access Control based on Execution History”, Proceedings of the 10th
Annual Network and Distributed System Security Symposium , February 2003.
Bauer, L., Schneider, Michael A., Felten, Edward W. , "A general and flexible accesscontrol system for the Web", In Proceedings of the 11th USENIX Security Symposium,
pages 93–108, August 2002.
Necula , George C., Schneck, R., “Proof-Carrying Code with Untrusted Proof Rules”,
In Proceedings of the 2nd International Software Security Symposium, November
2002.
18
)‫منابع (ادامه‬
•
•
•
•
•
•
•
Bauer, L., Schneider, Michael A., Felten, Edward W., "A proof-carrying authorization
system.", Technical Report TR-638-01, Princeton University, April 2001.
Appel, Andrew W., Felty, Amy P., “A Semantic Model of Types and Machine
Instructions for Proof-Carrying Code”, 27th ACM SIGPLAN-SIGACT Symposium
on Principles of Programming Languages (POPL '00), January 2000.
Colby, C., Lee, P., Necula, George C., “A Proof-Carrying Code Architecture for Java”,
In Proceedings of the 12th International Conference on Computer Aided Verification
(CAV00), Chicago, 2000.
Appel, Andrew W., Felten, Edward W., “Proof-Carrying Authentication”, 6th ACM
Conference on Computer and Communications Security, November 1999.
Appel, Andrew W., Felten, Edward W., “Proof-Carrying Authentication”, 6th ACM
Conference on Computer and Communications Security, November 1999.
Glasgow, J. I., MacEwen, G.H. and Panangaden, P., “A Logic for Reasoning About
Security", ACM Transactions on Computing Systems, Vol. 10, No. 3, August, 1992.
Abadi, M., Burrows, M., Needham, R., “The Scope of a Logic of Authentication”,
Distributed Computing and Cryptography: Proceedings of a DIMACS Workshop ,
October 1989.
19
‫سؤال؟‬
‫با تشکر‬
‫‪20‬‬