NO326590B1 - Fremgangsmate og anordning for verifikasjon av informasjonstilgang i IKT-system med flere sikkerhetsdimensjoner og sikkerhetsniva. - Google Patents
Fremgangsmate og anordning for verifikasjon av informasjonstilgang i IKT-system med flere sikkerhetsdimensjoner og sikkerhetsniva. Download PDFInfo
- Publication number
- NO326590B1 NO326590B1 NO20071941A NO20071941A NO326590B1 NO 326590 B1 NO326590 B1 NO 326590B1 NO 20071941 A NO20071941 A NO 20071941A NO 20071941 A NO20071941 A NO 20071941A NO 326590 B1 NO326590 B1 NO 326590B1
- Authority
- NO
- Norway
- Prior art keywords
- security
- access
- confidentiality
- integrity
- information
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000012795 verification Methods 0.000 title abstract description 8
- 238000004891 communication Methods 0.000 abstract description 13
- 239000000779 smoke Substances 0.000 abstract description 2
- 230000002093 peripheral effect Effects 0.000 abstract 2
- 238000012360 testing method Methods 0.000 description 13
- 230000008569 process Effects 0.000 description 8
- 230000007246 mechanism Effects 0.000 description 6
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000011160 research Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 208000035155 Mitochondrial DNA-associated Leigh syndrome Diseases 0.000 description 3
- 238000013475 authorization Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 208000003531 maternally-inherited Leigh syndrome Diseases 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000009977 dual effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 230000010076 replication Effects 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- 239000013598 vector Substances 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002730 additional effect Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 239000007789 gas Substances 0.000 description 1
- 238000004215 lattice model Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000010363 phase shift Effects 0.000 description 1
- 229920001690 polydopamine Polymers 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 239000000344 soap Substances 0.000 description 1
- 238000005476 soldering Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Abstract
Fremgangsmåte og anordning for å ivareta informasjonssikkerhet. Et informasjonsobjekt tildeles et sikkerhetsmerke som angir sikkerhetsnivået langs et vilkårlig antall akser. Modellen er rollebasert. En rolle tildeles tilgangsmerke langs de samme aksene. Verifikasjon av en rolles tilgang til informasjon utføres ved å sammenligne tilgangsmerke med sikkerhetsmerke. Siden aspektene som representeres av hver akse er innbyrdes uavhengige, kan hver akse behandles for seg. Dette muliggjør en svært effektiv algoritme for verifikasjon av tilgang. Modellen vil derfor være velegnet i system med lav prosesseringskapasitet. Basert på denne modellen beskriver vi en fremgangsmåte og en anordning for å sikre konfidensialitet, integritet og tilgjengelighet for informasjon fra periferiutstyr i kommunikasjonsnett. Slikt periferiutstyr kan være, men er ikke begrenset til, personlige terminaler for redningsmannskaper, soldater osv, sensorer for røyk, gass, bevegelse, innbrudd osv.
Description
INNLEDNING
Denne oppfinnelsen vedrører en fremgangsmåte og anordning for sikker informasjonstilgang langs flere sikkerhetsakser og sikker informasjonsflyt langs aksene.
BAKGRUNN
System med flernivå sikkerhet ( multilevel security (MLS)) er sikre informasjonssystem med informasjon fra flere sikkerhetsnivå i ett og samme system. Slike system må håndtere informasjonsflyt mellom nivåene i tillegg til informasjonsflyt inn og ut av systemet. Det finnes arkitekturer der hvert system er dedikert ett spesifikt sikkerhetsnivå. Disse kalles MSL-system etter den engelske betegnelsen Multiple Single Level eller MILS etter Multiple Independent hevels of Security. MILS-system tillater i utgangspunktet ikke informasjonsflyt mellom sikkerhetsnivåene, og all informasjon behandles som om den tilhører det høyeste sikkerhetsnivået. Her beskrives et system med flernivå sikkerhet, ikke et MILS-system.
I perioden 1975-1985 ble det utviklet formelle sikkerhetsmodeller for å beskrive og analysere flernivå sikkerhetssystem. For eksempel skal en typisk konfidensialitetsmodell garantere at informasjon ikke kan flyte fra et høyere til et lavere konfidensialitetsnivå, mens informasjonsflyt fra lavere til høyere konfidensialitetsnivå skal være tillatt. Formelle flernivå sikkerhetsmodeller har påvirket dagens sikkerhetsregimer, særlig konfidensialitetsmodeller som regulerer militære informasjonssystem. Modellene er basert på lukkede matematiske strukturer, lattices, som danner sikre utfallsrom gitt at sikkerhetsnivå, enflow operator og en join operator tilfredsstiller visse betingelser. Selv om slike modeller beviselig er sikre, garanterer de ikke sikkerhet om en eller flere betingelser ikke er oppfylt. System som ble basert på disse modellene viste seg å bli dyre, komplekse og upraktiske. Som et resultat av dette avviker dagens praktiske sikkerhetspolicyer fra de formelle aksiomene.
Informasjonssikkerhet deles vanligvis i tre grunnleggende aspekter : Konfidensialitet, integritet og tilgjengelighet. I det følgende tar vi utgangspunkt i definisjonene fra [1], og beskriver de tre aspektene som egenskaper til et informasjonsobjekt.
- Konfidensialitet er egenskapen at data ikke gjøres kjent for systementiteter uten at de er blitt autorisert til å kjenne dataene [1]. En konfidensialitetspolicy beskriver derfor lovlig
informasjonsflyt i et system, og har som mål å hindre at informasjon blir kjent for uautoriserte.
- Integritet er egenskapen at data er pålitelig basert på kildenes troverdighet og hvilke prosedyrer som benyttes for å håndtere data i systemet. Dette omfatter egenskapen at data ikke er endret, slettet eller gått tapt på uautorisert måte eller ved et uhell. Integritet kan også omfatte egenskapen at informasjonen som blir representert av data er nøyaktig og konsistent. En integritetspolicy
handler derfor om datakildenes troverdighet, at dataverdier ikke er endret, at dataverdiene er
konsistente, og kan også omhandle informasjonen som verdiene representerer.
- Tilgjengelighet er egenskapen ved et system eller en systemressurs at den er tilgjengelig, eller brukbar eller i drift på forespørsel, fra en autorisert systementitet, i følge systemets ytelsesspesifikasjon. Det vil si at et system er tilgjengelig hvis det tilbyr tjenester i følge systemspesifikasjonene når brukere etterspør dem. Aspekter av tilgjengelighet kan også inneholde metrikk for tjenestekvalitet (QoS), prioritet, forrang ( pre- emption) og generelle aksessretter til objekter eller bestemte databasesyn ( data base views). Flere formelle policymodeller er foreslått for konfidensialitet og integritet. Vi kjenner ikke til tilsvarende formelle modeller for tilgjengelighet, men antar at også tilgjengelighetskrav kan spesifiseres med kvantitative metrikker.
Sikkerhetsmodeller
Egenskapene ved et lattice tillater presis formulering av sikkerhetskravene til informasjonssystem og gjør det mulig å konstruere mekanismer som håndhever en sikkerhetspolicy. Bell, LaPadula, Denning og Biba utførte den grunnleggende forskningen innen lattice-basert tilgangskontroll i 70-årene. Forskningen deres er oppsummert i [2].
En lattice-modell av sikker informasjonsflyt ble foreslått i [3]. Lattice-strukturen speiler sikkerhetsklasser som korresponderer til disjunkte informasjonsklasser. Sikkerhetsklassene omfatter, men er ikke avgrenset til, de militære sikkerhetsklassifiseringene. Forfatteren viser at en enkel lineær ordning av en mengde sikkerhetsklasser tilfredsstiller lattice-egenskapene. En ulineær ordning av klassene medfører en mer kompleks struktur. Kombinasjonen av lineære og ulineære ordninger øker kompleksiteten ytterligere. Modellen overgår den ordinære tilgangskontrollmatrisen i det den spesifiserer sikker informasjonsflyt.
Bell-LaPadula (BLP)-modellen beskriver en generisk flernivå konfidensialitetspolicy [4].
Modellen har hatt avgjørende innflytelse på militære konfidensialitetspolicyer. Subjektene i modellen er sikkerhetsklarert, mens objektene er sikkerhetsklassifisert. Sikkerhetsmerker kan indikere de forskjellige konfidensialitetsnivåene, som igjen korresponderer til militære klassifiseirngsnivå. Systemet er sikkert hvis mengden av tilstandsoverganger opprettholder følgende: i. Det enkle konfidensialitetsvilkåret som fastslår at et subjekt kan lese et objekt hvis og bare hvis konfidensialitetsnivåsubjekt ^ konfidensialitetsnivå0bjekt> og subjektet har diskret lesetilgang til
objektet. Dette betyr at det er tillatt å "lese ned", mens "lese opp" ikke er tillatt.
ii. <*->egenskapen (stjerne-egenskapen) som fastslår at et subjekt kan skrive (til) et objekt hvis og bare hvis konfidensialitetsnivåsllbjekt ^ konfidensialitetsnivåobjekt» og subjektet har diskret skrivetilgang til objektet. Dette betyr at det er tillatt å "skrive opp", mens "skrive ned" ikke er tillatt.
BLP-modellen kan utvides med kategorier som spesifiserer interesseområder. Kategoriene speiler en need- to- know- policy, og regulerer subjektenes tilgang til informasjon som de i utgangspunktet er klarert for.
Biba-modellen beskriver en generisk flernivå integritetspolicy [5], Modellen stammer fra kommersiell virksomhet, der det har vært spesielt viktig å opprettholde dataintegritet. Modellen har som mål å forhindre uautorisert modifisering av informasjonen. Subjektene og objektene i modellen har integritetsnivå som kan benyttes som et mål på troverdighet. Jo høyere nivå, jo mer troverdig. Sikkerhetsmerker kan indikere de forskjellige integritetsnivåene. Selve modellen danner basis for ulike policyer. Den mest vanlige er den strenge integritetspolicyen ( strict integrity policy), og det er denne som forbindes med Biba-modellen. Reglene som regulerer lese- og skrivetilgang er: i. Et subjekt kan lese et objekt hvis og bare hvis integritetsnivåsubjekt ^ integritetsnivå0bjekt- Dette betyr at det er tillatt å "lese opp", mens "lese ned " ikke er tillatt. ii. Et subjekt kan skrive (til) et objekt hvis og bare hvis integritetsnivåsubjekt ^ integritetsnivåobjekt-Dette betyr at det er tillatt å "skrive ned", mens "skrive opp" ikke er tillatt.
Biba-modellen er den duale til BLP-modellen. Hvis begge modeller benytter identiske sikkerhetsnivå, kan subjektene lese og skrive objekter hvis og bare hvis nivåSUbjekt <=> nivåobjekf Dette står i motstrid til flernivå sikkerhetspolicy.
En sammensatt model er beskrevet i [2]. Modellen benytter uavhengige konfidensialitets- og integritetsmerker. BLP-reglene benyttes for konfidensialitet og Biba-reglene for integritet. Reglene som regulerer lese- og skrivetilgang er: i. Et subjekt kan lese et objekt hvis og bare hvis konfidensialitetsnivåSUbjekt konfidensialitetsnivå0bjekt OG integritetsnivåsubjekt ^ integritetsnivå0bjekf ii. Et subjekt kan skrive (til) et objekt hvis og bare hvis konfidensialitetsnivåsubjekt ^
konfidensialitetsnivåobjekt OG integritetsnivåsubjekt > integritetsniva0bjekt'
Lipner-modellen utvider konfidensialitetsklassifiseringene med integritetsklassifiseringer [6]. Formålet med modellen er å klassifisere subjekter og objekter slik at subjektene får rettigheter til de objektene de trenger for å utføre en jobb. Et subjekts rettighet til et objekt er avhengig av både konfidensialitetsklassiifseringen og integritetsklassifiseringen. En klassifisering består av både et sikkerhetsnivå og et område ( compartment). Et subjekt kan lese et objekt hvis og bare hvis:
i. konfidensialitetsklassifiseirng SUbjekt ^ konfidensialitetsklassifisering objekt
ii. integritetsklassifisering subjekt < integritetsklassifisering objekt
Behovene til U. S. Department ofDefense (DoD) har drevet en stor del av forskningen innen flernivå sikkerhet. Krav og tilnærminger er beskrevet i 7], [8] og [9]. Forskningen har lagt vekt på konfidensialitet, men et nytt arbeid som beskriver en arkitektur som kombinerer BLP og Biba er dokumentert i [10]. Arkitekturen gjør det dermed mulig å håndheve tilgangskontroll på bakgrunn av både konfidensialitet og integritet
En sikkerhetsmodell som støtter dynamisk ommerking er foreslått i [11]. Regler for ommerking kan spesifiseres som del av sikkerhetspolicyen. Modellen er av BLP-type, men kan også støtte integritetspolicyer.
Nyere forskning innen sikkerhetsmodeller omfatter arbeidene presentert i [12], [13], [14] og [15]. For å skille pålitelige OS-prosesser fra upålitelige, foreslår [12] å inkorporere integritetsnivå i BLP-modellen. [13] foreslår en sikkerhetsmodell der kryptografiske funksjoner er del av OS-kjernen. Modellen tar hensyn til både konfidensialitet og integritet, men adresserer ikke flernivå sikkerhet og informasjonsflyt mellom nivå. Modellen beskrevet i [14] kombinerer BLP- og Biba-modellen og utvider lattice-representasjonene med en vektoperasjon. Modellen gjør det dermed mulig å beregne vektleggingen av konfidensialitet versus integritet for et gitt subjekt eller objekt. En annen modell basert på både BLP- og Biba-modellen er foreslått i [15]. Denne modellen forutsetter imidlertid at konfidensialitetsnivået avgjør integritetsnivået til subjekter og objekter. Sikkerhetsmodeller for web-baserte applikasjoner er evaluert i [16].
Sikkerhetsmerker
Internet Engineering Task Force (IETF) har forsøkt å standardisere sikkerhetsmerker for bruk i forbindelse med kommunikasjonsprotokoller. Sikkerhetsmerkene forteller
kommunikasjonsprotokollen hvordan data som skal overføres mellom system, skal håndteres for å opprettholde sikkerhetsnivået. Operativsystem og system som håndterer databaser, merker data i henhold til lokal sikkerhetspolicy og lokalt format. Kommunikasjonsprotokoller krever standarder for å oversette dette til korrekt beskyttelse under overføringen. I løpet av 80-årene ble U. S. Security Optionsfor the Internet Protocol spesifisert [21]. Spesifikasjonen identifiserer og beskriver de forskjellige klassifikasjonsnivåene som kan støttes ved overføring av et IP datagram. Spesifikasjonen beskriver også hvilke instansers regelverk som benyttes. Noen år senere ble Security Label Framework for the Internet spesifisert [18]. Både konfidensialitets- og integritetsmerker er behandlet. Rammeverket tar for seg hvert av de syv OSI kommunikasjonslagene.
Vi nevner også en arkitektur som har som formål å sikkerhetsmerke både XML- og ikke-XML-formattert informasjon for bruk i nettverk av militære MSL-system [19]. Arkitekturen adresserer imidlertid bare informasjon som er leselig for mennesker.
US 6 023 765 Al (Kuhn) beskriver en fremgangsmåte for å implementere rollebasert aksesskontroll (RBAC) over et eksisterende Multi Level Security (MLS)-system. Problemet som søkes løst er å tilveiebringe et tilstrekkelig antall roller for en stor organisasjon med mange tusen ansatte over et eksisterende MLS-system som typisk har "bare" 64-256 sikkerhetsnivåerog et tilsvarende antall "compartments". En forutsetning er at MLS-systemet beholdes ettersom det vanligvis koster mange millioner dollar å bygge og verifisere slike systemer. Fremgangsmåten i US 6 023 765gir a) en entydig avbilding mellom roller i RBAC-systemet og klarering i MLS-systemet, og b) et tilstrekkelig antall privilegier til å støtte store organisasjoner med mange roller. Mer spesifikt avbildes privilegier på par
<C,1> hvor C angir en mengde "compartments" og 1 er et konfidensialitetsnivå. Kuhn fremstiller konfidensialtitetsnivå og compartments langs separate (lineært uavhengige) akser, men beskriver verken integritets- eller tilgjengelighetsaspekter langs tilsvarende akser.
Økt bruk av automatisk overføring av informasjon medfører at et moderne flernivå sikkerhetssystem må ta hensyn til både konfidensialitet, integritet og tilgjengelighet. Økt bruk av mobile informasjonssystem, f eks laptops i trådløse nett på tilfeldige flyplasser, utstyr for redningsoperasjoner eller militære anvendelser, sensornett med mer stiller i tillegg økte krav til effektive fremgangsmåter for å bevare sikkerheten i system med liten regnekraft og/eller nett med lav overføringskapasitet.
KORT BESKRIVELSE AV OPPFINNELSEN
Dette løses ved å tilveiebringe en fremgangsmåte for sikker informasjonstilgang langs flere sikkerhetsakser og sikker informasjonsflyt langs aksene, kjennetegnet ved: at et informasjonsobjekt blir tildelt et sikkerhetsmerke L som består av n>2 innbyrdes uavhengige, ikke overlappende, sikkerhetsmerker Lj, 2<i<n, som representerer lineært uavhengige aspekter av konfidensialitet, integritet og/eller tilgjengelighet, og hvor hvert sikkerhetsaspekt kan ha kj nivåer,
at en rolle eller et subjekt blir tildelt et tilgangsmerke M som består av n>2 innbyrdes uavhengige, ikke overlappende, tilsvarende tilgangsmerker M;, tilpasset å bli sammenlignet med sikkerhetsmerket L; med samme indeks, i, for å gi eller avvise tilgang,
at L og M er tilpasset slik at én binæroperasjon mellom operandene L og M utfører n deltester på de n parene (L;, M;), og
at binæroperasjonen mellom L og M etterfølges av logiske OG-operasjoner eller tilsvarende mellom resultatene av de n deltestene.
Verifikasjon av et subjekts tilgang til et informasjonsobjekt i følge denne fremgangsmåten krever derved noen få klokkesykler, eller den kan utføres med logiske portkretser. Dette gjør det mulig å bruke fremgangsmåten innen et vidt spekter av automatiske informasjons- og kommunikasjonsanvendelser, f eks til å sikre operativsystem, i mobile system med ekstreme krav til lavt ressursforbruk, i robuste systemer med flere sikkerhetsaspekter der forsøk på modifikasjon medfører at enheten blir fysisk ødelagt, eller til å sikre kommersielle applikasjoner på en lett verifiserbar måte.
KORT BESKRIVELSE AV FIGURENE
Oppfinnelsen beskrives nærmere i det følgende med referanse til de vedføyde figurene, hvor:
- Figur 1 viser tre lineært uavhengige sikkerhetsakser for henholdsvis konfidensialitet (C), integritet (I) og tilgjengelighet (A).
- Figur 2 viser skjematisk en terminalenhet
- Figur 3 viser registerenhetene 3, 4 og 5 fra figur 2 i større detalj
DETALJERT BESKRIVELSE
Forutsetninger
Vi forutsetter at det finnes en mekanisme for tilgangskontroll som håndhever en generell tilgangspolicy og regulerer subjekters tilgang til objekter basert på denne. Vår modell angår tilgang til informasjon i følge en flernivå sikkerhetspolicy, og kan betraktes som et tillegg til de regulære mekanismene for tilgangskontroll.
Objekter i vår modell bruker sikkerhetsmerker til å representere sitt sikkerhetsnivå, mens subjekter tilordnes tilgangsmerker. Vi forutsetter at selve verifikasjonen, at tilgangsmerket kontrolleres mot sikkerhetsmerket, foretas etter at subjektet er autentisert som legitim entitet, og etter at tilgangsmerket er testet for dataintegritet.
Videre overlater vi til organisatoriske prosedyrer og autentiseringsmekanismer å avgjøre hvilke personer som skal tilordnes hvilke roller.
Roller
Tradisjonelt har subjekter vært definert som aktive objekter. I utgangspunktet er konfidensialitet, integritet og tilgjengelighet egenskaper til informasjon, og tilgang til informasjonen er en egenskap ved en rolle. En 'rolle' kan være for eksempel et aspekt av en datamaskinprosess, av en brukerkonto eller av en person. Dette virker på samme måte som i den virkelige verden. En person kan ha tilgang til informasjon i hennes eller hans rolle som autorisert yrkesutøver, men ikke i hennes eller hans rolle som forelder, venn eller lignende.
Her kjennetegnes roller ved sin tilgang til informasjon. En rolle med tilgang til hemmelig informasjon trenger ikke å være hemmelig. En rolle klarert for et lavt integritetsnivå kan simpelthen lese alle integritetsnivå. Rollen sier ingenting om en persons personlige integritet. Tilsvarende argumenter kan føres for tilgjengelighetsegenskapene.
Videre skiller vi kun mellom lese- og skrivetilgang, og bemerker at 'opprett' ( create), 'slett' ( delete/ drop) og 'kjør' ( execute) operasjoner kan betraktes som skriveoperasjoner i en annen kontekst. En mer detaljert beskrivelse av dette finnes i [2].
Uavhengige sikkerhetsdimensjoner
Det vises til Fig 1.
Konfidensialitet
Et velkjent eksempel på konfidensialitetsnivå er nivåene Ugradert, Begrenset, Konfidensielt og Hemmelig som brukes militært og i statsforvaltningen. Flere nivå kan åpenbart tilføyes ved behov. Tilsvarende konfidensialitetsnivå brukes også sivilt for å unngå at informasjon med betydning for forretningsdriften kommer på avveie. Hvert nivå kan ha sine egne krav til kryptering, nøkkeladministrasjon og andre sikkerhetsmekanismer. Antall konfidensialitetsnivå og spesifikke regler varierer fra land til land, og fra organisasjon til organisasjon.
Vi definerer generiske konfidensialitetsnivå som en endelig mengde med k nivå { Xlt X,2,... X,k}, hvor k er et heltall og høyere indeks eller nivå betyr høyere konfidensialitet. Videre krever vi at konfidensialitetsnivåene og informasjonen i dem skal tilfredsstille de fundamentale reglene beskrevet i BLP-modellen. Kort sagt:
C 1. Flyt mellom konfidensialitetsnivå ( confidentiality flow operations)
C 1.1. Informasjon får ikke flyte fra et høyere til et lavere konfidensialitetsnivå
C 1.2. Informasjon får flyte fra et lavere til et høyere konfidensialitetsnivå.
C 2. Kombinasjon av konfidensialitetsnivå ( confidentiality join operation)
C 2.1. Hvis informasjonselementer fra to konfidensialitetsnivå kombineres, skal den kombinerte informasjonen ha det høyeste av de to konfidensialitetsnivåene
Det er mulig å tilordne et konfidensialitetsmerke Lc til informasjonen, for eksempel som et attributt i et hvilket som helst objektorientert språk eller i en relasjonsdatabase. På samme måte er det mulig å tilordne et tilgangsmerke Mc til en rolle.
En rolle kan lese informasjon på konfidensialitetsnivå på eller lavere enn sitt klareringsnivå og skrive informasjon til konfidensialitetsnivå på eller over sitt klareringsnivå. Begge tilganger kan sjekkes ved å sammenligne klareringsnivået, representert ved Mc med informasjonens konfidensialitetsmerke Lc. Kombinasjon av konfidensialitetsnivå ( confidentiality join operation) betyr at når informasjon fra to konfidensialitetsnivå kombineres, så får resultatet konfidensialitetsmerket som representerer det høyeste av de to konfidensialitetsnivåene.
Integritet
Anta vi har to biter etterretningsinformasjon. Ett er et rykte, mens det andre er verifisert av flere uavhengige og pålitelige kilder. Disse informasjonsbitene kan settes i to integritetsnivå, men likevel være like konfidensielle.
Vi bruker notasjonen fra [2], og definerer generiske integritetsnivå som et (endelig) hierarki av m nivå
{ ©i, co 2,... co m}, hvor m er et heltall, og hvor høyere indeks eller nivå betyr høyere integritet. Videre krever vi at integritetsnivåene skal tilfredsstille de fundamentale reglene beskrevet i Biba-modellen. Disse er 'motsatte av' (duale til) BLP-reglene for konfidensialitet:
I 1. Flyt mellom integritetsnivå ( integrity flow operations)
I 1.1. Informasjon får ikke flyte fra et lavere til et høyere integritetsnivå
I 1.2. Informasjon får flyte fra et høyere til et lavere integritetsnivå
I 2. Kombinasjon av integritetsnivå ( integrity join operation)
I 2.1 Hvis informasjonselementer fra to integritetsnivå kombineres, skal den kombinerte informasjonen ha det laveste av de to integritetsnivåene
Et trivielt tilfelle vil oppstå hvis vi representerer konfidensialitets- og integritetsnivå på samme akse. Hvis vi flytter et sikkerhetsnivå langs denne felles aksen, må vi bryte reglene for enten konfidensialitetsflyt eller integritetsflyt. Dette gjelder uavhengig av om vi ser integritetsnivåene som undernivå av konfidensialitetsnivåene eller omvendt. Problemet kan selvsagt omgås ved å la høye integritetsnivå representere lav integritet, og legge til regler som skiller mellom hovednivå og undernivå. Referanse [2] beskriver lattice-baserte sikkerhetsklasser konstruert for å bevare både konfidensialitet og integritet uten å ende opp i denne trivielle situasjonen.
Mange av problemene med komplekse regelsett for sikkerhetsklasser som kombinerer konfidensialitet og integritet skyldes tilsynelatende dels at man har sett konfidensialitet og integritet som delvis gjensidig avhengige, og dels at man har betraktet et (kartesisk) produkt mellom (delvis) lineært uavhengige variable, for eksempel alle integritetsnivå som undernivå av konfidensialitetsnivåene eller omvendt.
Vi understreker at vi behandler konfidensialitet og integritet som (lineært) uavhengige variable, og at dette er en nødvendig og tilstrekkelig betingelse for å kunne behandle dem hver for seg, og ikke som (kartesisk) produkt. Vi bemerker at lineær uavhengighet ikke er noen begrensning siden tilsynelatende 'avhengigheter' mellom konfidensialitet og integritet enkelt kan beskrives som en lineær kombinasjon mellom dem.
Integritet kan nå representeres av et integritetsmerke, Ll5 som knyttes til informasjonen. Som for konfidensialitet kan vi teste rollens tilgangsmerke for integritet, Mh mot informasjonens Lj-merke. En rolle kan lese fra integritetsnivå på eller over sitt klareringsnivå og skrive til integritetsnivå på eller under sitt klareringsnivå. En kombinasjon av informasjon fra to integritetsnivå får integritetsmerket som representer det laveste av de to integritetsnivåene.
Test av om en rolle kan lese eller skrive betyr nå:
- Kan lese = {(kan lese konfidensialitetsnivå) OG (kan lese integritetsnivå)}
- Kan skrive = {(kan skrive konfidensialitetsnivå) OG (kan skrive integritetsnivå)}
hvor lese eller skrive konfidensialitets- eller integritetsnivå kun omfatter enkle tester av rollens tilgangsmerker (klareringsnivå) Mc og Mi mot informasjonens respektive Lc og Lrmerker.
Tilgjengelighet
I kommunikasjonsanvendelser kan en tilgjengelighetspolicy regulere et subjekts tilgang til en gitt tjenestekvalitet (QoS). I andre sammenhenger kan tilgjengelighetspolicy regulere subjektets rett til prioritet. Begge deler er uavhengig av konfidensialitet og integritet.
Begrepet tilgjengelighet har altså ulik mening i ulike system. Videre ser vi at flere system kan ha ulike tilgjengelighetsaspekter. For å unngå kartesiske produkter og komplekse regelsett, er det også her nødvendig og tilstrekkelig at 'tilgjengelighet' er lineært uavhengig av konfidensialitet og integritet. Vi definerer derfor helt enkelt: A 1. Tilgjengelighet er enhver sikkerhetsrelatert egenskap som ikke kan uttrykkes som en
(lineær)kombinasjon av konfidensialitet eller tilgjengelighet.
Denne definisjonen sikrer kompletthet, og understreker at konfidensialitet og integritet ikke er de eneste egenskapene som begrenser tilgang til informasjon.
Fra A 1 følger at et komplett sikkerhetsrom kan utspennes av ordnede n-tupler S = [Å,i,C0j,Yi,k._Yn-2,m]» hvor Xi and coj betegner konfidensialitets- og integritetsnivå som før, og yi. - yn_2 representerer innbyrdes uavhengige variable eller akser, som hver kan ha ulike verdier eller nivå, f eks heltallene k eller m. Et hovedpoeng er at eneste betingelse for å betrakte aksene hver for seg (i motsetning til svakt definerte kartesiske produkt), er at aksene betegner innbyrdes uavhengige egenskaper, dvs at de er innbyrdes uavhengige variable. Vi bemerker for ordens skyld at konfidensialitets- og integritetsaksene også kan deles opp.
Tilgjengelighetsmerkene kan være forskjellige fra konfidensialitets- og integritetsmerkene ved at det kan kreves eksakt match mellom et sikkerhetsmerke, LA, og et tilgangsmerke MA. I andre applikasjoner kan tilgjengelighetsnivåene utgjøre et hierarki. Anta for eksempel en kommunikasjonskanal der høyprioritetstrafikk skal gå foran lavprioritetstrafikk. Dette kan modelleres med samme type tilgangsmerker som blir benyttet for konfidensialitet når høy prioritet betyr "høyt merke", eller som for integritet når "første prioritet" representerer høyeste prioritet.
Sikkerhetsdimensjoner og -plan
Modellen vår nivellerer informasjonen langs n dimensjoner og beskriver derfor en sikkerhetspolicy som regulerer flere aspekter av sikkerhet. De grunnleggende dimensjonene er konfidensialitet, integritet og tilgjengelighet. Som nevnt, kan disse deles opp i flere akser.
De grunnleggende dimensjonene utspenner tre plan: Konfidensialitet - Integritet (CI), Konfidensialitet
- Tilgjengelighet (CA), og Integritet - Tilgjengelighet (IA).
- CI-planet kan eksemplifiseres ved militær etterretningsinformasjon. Nivå i henhold til integritet kan skille informasjon som er basert på rykter og ikke-verifiserte observasjoner fra informasjon som er verifisert. Tilgangsmerket til hver prosess muliggjør kontrollert bruk av informasjon fra de ulike nivåene. Nivå i henhold til konfidensialitet kan skille hemmelig informasjon fra informasjon
som kan avdekkes for alle. Disse nivåene er uavhengige av integritetsnivåene.
- CA-planet kan relateres til tradisjonelle militære sikkerhetsmodeller som forutsetter at subjektene er klarert for spesifikke konfidensialitetsnivå og kategorier. En kategori reflekterer need- to- know-prinsippet: Et subjekt kan være klarert for informasjon på et spesifikt konfidensialitetsnivå. I tillegg må subjektet autoriseres for spesifikke kategorier. Kategoriene kan være sammensatt av informasjon som tilhører ulike nasjoner eller konstellasjoner av nasjoner, for eksempel US, US-UK, UK-FR. Som nevnt i kapittel 2, kan konfidensialitetsnivå og kategorier modelleres som et lattice. En kategori kan imidlertid betraktes som en side ved tilgjengelighet. Derfor foreslår vi å representere nivåene langs konfidensialitetsaksen og kategoriene langs tilgjengelighetsaksen. Dermed vil KA-planet uttrykke en rolles tilgangsrettigheter i henhold til tradisjonell militær konfidensialitetspolicy. - IA-planet kan eksemplifiseres ved asynkron replikering til et reservedirftssted. En applikasjon kan inneholde logger i RAM som blir skrevet til disk ved bestemte tidspunkter ( time marks). Intervallet mellom disse tidspunktene definerer den maksimale mengden av data som lovlig kan tapes ( recovery point objective (RPO)). Når data er skrevet til disk, blir alle SCSI-blokkene som er endret siden forrige tidspunkt "hashet" og sendt til en annen lokasjon, ofte over et WAN. Hashfunksjonen sikrer integritet, med andre ord at alle SCSI-blokker er mottatt og at ingen uautorisert modifikasjon av data er utført underveis. Merk at kryptering ikke ville sikret integriteten: En dekryptert blokk med søppel kan generelt ikke skilles fra en dekryptert blokk med gyldige data.
Et policy-basert managementsystem kan lese tilgjengelighetsmerket til en applikasjon. Tilgjengelighetsnivået kan vise applikasjonens maksimale nedetid ( recovery time objective (RTO)). Den kan også vise applikasjonens RPO for å avgjøre intervallet mellom tidspunktene. Dette kan, men trenger ikke å være, konstant. Integritetsnivået kan avgjøre hvilken hash-algoritme som skal benyttes i replikeringen.
Automatisk verifisering
I system basert på mennesker kan konfidensialitetsmekanismer verifisere integritet implisitt. A kontrollere at en dekryptert melding er leselig for mennesker impliserer for eksempel at sender og mottaker bruker samme krypteringsalgoritme og samme krypteringsnøkkel. Dette kan autentisere senderen og verifisere at meldingen ikke er modifisert av uautoriserte.
I automatiske system er det nødvendig å respektere det faktum at konfidensialitet og integritet er innbyrdes uavhengige variabler. Et antall SCSI-blokker som blir overført fra A til B kan ikke lett verifiseres av et menneske i B. I slike tilfeller er det vanlig å bruke et hash for å avdekke uautorisert modifikasjon og evt en signatur som autentiserer senderen. Blokkene kan selvfølgelig også krypteres for å sikre konfidensialitet.
Sjekk av alle dimensjoner med minimal ressursbruk
Sikkerhetsmerker og tilgangsmerker
La L betegne et sikkerhetsmerke som er tilordnet et informasjonsobjekt, og M betegne et tilhørende tilgangsmerke som er tilordnet en rolle for å gi eller avvise tilgang til informasjonsobjektet. Indekser C, I og A betegner henholdsvis konfidensialitet, integritet og tilgjengelighet der det trengs. For operatorene bruker vi notasjonen & (bitvis OG); I (bitvis ELLER); && (logisk OG).
En mulighet er å la Lc, Li og LA være tilfeldige numeriske verdier slik at et høyere tall i Lc betyr høyere konfidensialitetsnivå, og et høyere tall i Li betyr høyere integritetsnivå. Ved å tilordne tilsvarende tall Mc, Mi and MA til en rolle, kan test for lesetilgang til konfidensialitetsklasser reduseres til test av utsagnet Lc < Mc. Lignende tester kan utføres for skriving til konfidensialitetsklasse (Lc Mc), lesing av integritetsklasse (Li > Mi) og skriving til integritetsklasse (Li < Mi). Med denne fremgangsmåten er det mulig å representere 2k nivåer med k bits.
En annen mulighet er å bruke aksessmasker og logiske operatorer til å utføre de samme testene. Denne fremgangsmåten medfører at høyst k nivå kan representeres med k bit, men også at alle deltester i det n-dimensjonale sikkerhetsrommet utspent av konfidensialitets-, integritets- og tilgjengelighetsaksene kan utføres med en enkelt bitvis OG. Fremgangsmåten gjør det også mulig å benytte Hamming-vektorer i sikkerhetsmerkene, hvilket kan være nyttig i noen anvendelser.
I begge tilfeller må deltesting for konfidensialitet, integritet og tilgjengelighet etterfølges av logiske OG operasjoner mellom de boolske resultatene av alle n deltester. For n=3 gjelder for eksempel:
Forskjellige lese- og skrivemasker tilordnes lese- og skriveroller slik at leseroller tester lesetilgang og skriveroller tester skrivetilgang. Vi minner om at det nå er trivielt å dele for eksempel tilgjengelighet i flere innbyrdes uavhengige dimensjoner.
Som ikke-begrensende eksempel, anta et bitfelt med 4 bit og konfidensialitetsklassene {Ugradert, Begrenset, Konfidensielt, Hemmelig}. Konfidensialitetsklassene Ugradert, Begrenset osv kan beskrives av fire bit hvor alle er 0, bortsett fra et 1-bit som flyttes 1 posisjon til venstre for hvert høyere nivå. Dette er vist i tabell 1.
Den siste raden benytter seg av at verdien null blir boolsk USANN og at alle andre verdier blir boolsk
SANN.
Fra Tabell er det klart at tilgangsmerket i form av en aksessmaske 0011 gir tilgang til de to laveste nivåene, og således kan benyttes til å gi lesetilgang til konfidensialitetsklasser.
For å implementere flyt mellom konfidensialitetsklasser definerer vi separate og gjensidig utelukkende lese- og skriveroller, med følgende tilgangsmerker i form av aksessmasker:
- Konfidensialitet, les: 0 eller flere 0'ere fulgt av 0 eller flere 1 'ere, f eks 0011 eller 1111
- Konfidensialitet, skriv: 0 eller flere 1 'ere fulgt av 0 eller flere 0'ere, f eks 1100 eller 1111
Når høyere integritetsmerker Lq representerer høyere integritet, blir de tilsvarende aksessmaskene for å implementere tillatt informasjonsflyt mellom integritetsnivåene:
- Integritet, les: 0 eller flere l'ere fulgt av 0 eller flere 0'ere, f eks 1100 eller 1111
- Integritet, skriv: 0 eller flere 0'ere fulgt av 0 eller flere 1'ere, f eks 0011 eller 0000
Vi kunne naturligvis ha endret den vanlige rekkefølgen og latt et høyere integritetsnivå representere lavere integritet. Dette ville imidlertid avvike fra vanlig praksis, og derfor lett kunne misforstås.
Når informasjon fra ulike konfidensialitets- og integritetsnivå med forutsetninger som ovenfor kombineres gjelder følgende regler: - En kombinasjon av informasjon fra to konfidensialitetsnivå tilordnes konfidensialitetsmerket Lc som representerer det høyeste konfidensialitetsnivået. - En kombinasjon av informasjon fra to integritetsnivå tilordnes integritetsmerket hi som representerer det laveste integritetsnivået.
Ikke alle bit-kombinasjoner er like hensiktsmessige å benytte i sikkerhetsmerkene med en slik fremgangsmåte. Anta for eksempel to konfidensialitetsmerker LCi=0100= 2<2>=4 og LC2=0101=22 + 2° = 5. Hvis alle mulige 4-bit konfidensialitetsmerker var tillatt, ville LC2=5 kunne betraktes som representant for et høyere konfidensialitetsnivå enn LCi=4. Men LC2 & MC=S ANN. Ved å tillate alle mulige verdier i Lc innfører vi dermed behov for en tabell over hvilke merker som representerer hvilke nivå, og poenget med den bitvise OG-operasjonen faller bort.
Vi har vist at verdier som består av en l'er som flyttes 1 posisjon til venstre for hvert nivå, og resten 0'ere gir den tilsiktede effekt, og bemerker at dette ikke er den eneste muligheten. For eksempel kan et lenger sikkerhetsmerke som består av 4 ulike 4-bit underfelt og en aksessmaske som lages ved å tilføye felt med 4 0'ere eller 4 l'ere også benyttes. Dette er vist i Tabell 2.
Tabell 2 viser at et mer generelt sikkerhetsmerke for konfidensialitet eller integritet kan bestå av flere underfelt.. Det er underforstått at underfeltene ikke behøver å være 4 bit lange. Det er ikke engang nødvendig at alle underfeltene er like lange. En gyldig aksessmaske trenger kun å bestå av tilsvarende lange underfelt med bare 0'ere for å nekte tilgang eller bare l'ere for å gi tilgang.
Nå er det lett å se at maksimalt antall tillatte nivå med denne fremgangsmåten og k bit lange sikkerhetsmerker er k. Dette skjer når alle underfeltene er en bit lange.
La oss se nærmere på et sikkerhetsmerke for konfidensialitet og integritet hvor, for eksempel, de første 4 bitene representerer konfidensialitet og de neste 4 bitene representerer integritet:
I dette eksempelet gir de første 4 bitene 0. Det vil si at lesetilgang skal nektes fordi rollen ikke er klarert for konfidensialitetsnivået representert av merket 0100. Det faktum at integritetsfeltet, og dermed hele oktetten, blir ulik null, eller boolsk SANN, kan ikke gi lesetilgang.
Det er derfor viktig å teste konfidensialitet og integritet hver for seg først, og deretter kombinere delresultatene i en logisk OG for å få ønsket resultat.
Vi har vist ovenfor at sikkerhetsmerkene som representerer konfidensialitet, integritet og tilgjengelighet er separate, og at de må behandles uavhengig av hverandre.
Det at de er uavhengige av hverandre forenkler også verifikasjon av systemet. I stedet for å verifisere at et komplekst regelsett på ingen måte kan medføre implisitte nivåoverganger eller kan havne i en udefinert tilstand, er det tilstrekkelig å verifisere at flyt mellom ulike konfidensialitets- og integritetsnivå er ivaretatt hver for seg, og at tilgjengelighetsklassene virker som de skal, avhengig av applikasjon, og uavhengig av konfidensialitet og integritet..
Som vist over, kan flytkontroll langs konfidensialitets- og integritetsaksene håndheves ved å konstruere egnede sikkerhetsmerker og tilgangsmerker i form av aksessmasker, og deretter utføre en bitvis OG. Det er enkelt å demonstrere at de foreslåtte sikkerhetsmerkene, tilgangsmerkene og operatorene implementerer et lattice som beskrevet i [3]. En tilsvarende bitvis OG kan utføres på tilgjengelighetsaksen. Noen ganger kan det være praktisk å kreve eksakt match mellom sikkerhetsmerket LA og tilgangsmerket MA, andre ganger vil det være ønsket å implementere flytkontroll. Begge deler kan oppnås ved å konstruere egnede LAog MA, og teste LA&MA
I noen tilfeller, for eksempel sikre lettvekts-applikasjoner eller datamaskinprogram, kan de innbyrdes uavhengige sikkerhetsmerkene plasseres uten overlapp i ett 32b eller 64b dataord. Tilsvarende gjelder tilgangsmerkene i form av tilgangsmerker. Generelt kan et slikt kombinert sikkerhetsmerke bestå av et dataord på (ordlengde) bit, hvor de første k bitene representerer konfidensialitet, de neste m integritet og de siste n=(ordlengde -k-m) representerer tilgjengelighet.
I anvendelser hvor ulike roller ser på konfidensialitet, integritet og tilgjengelighet kan det være praktisk å utvide tilgangsmerker med 0'ere slik at alle masker blir (ordlengde) bit lange. Mc ville da maske bort alt annet enn Lc, Mi ville maske bort alt annet enn Li, og MA ville maske bort alt annet enn
LA.
I andre anvendelser kan det være mer praktisk å kombinere disse tre med en bitvis ELLER. I så fall er nøyaktig en bitvis OG mellom ordet med sikkerhetsmerkene og ordet med tilgangsmerkene alt som trengs for å gjennomføre alle deltester for konfidensialitet, integritet og tilgjengelighet. Deretter kreves noen få ytterligere klokkesykler for å gjennomføre de logiske OG-operasjonene mellom de uavhengige testresultatene.
Fordeler-funksjonen
Anta at sikkerhetsmerker av typen beskrevet over er attributter i et generisk informasjonsobjekt, for eksempel implementert som attributter i en klasse i et objektorientert språk eller som attributter (kolonne(r)) i tabeller i en relasjonsdatabase.
Anta videre at tilgjengelighetsmerkene allerede er brukt til å bestemme prioritet og/eller autorisasjon, slik at en autentisert og autorisert bruker har lesetilgang til konfidensialitetsnive (C-nivå) < X,; og integritetsnivå (I-nivå) > C0j.
I et slikt tilfelle kan en prosess på serveren, fordeleren, gjennomgå alle sikkerhetsmerkene og vise kun informasjon med C < h og I > coj. For å gjøre dette, trenger fordeleren tilgang til sikkerhetsmerkene. fordeleren trenger ikke å kunne dekryptere eller modifisere noe, men den må kunne lese informasjonen for å videresende, f eks i kryptert form hvis informasjonen er lagret i kryptert form.
Mottakeren kan like gjerne være en prosess i stedet for en menneskelig bruker. Fordeleren kan også være en prosess i et annet system enn en applikasjonsserver, f eks i en flernivå ruter. Sikkerhetsmerkene for tilgjengelighet kan også brukes til å representere andre ting enn autorisasjon.
Generelt trenger Fordeleren
- Leserolle med klarering for høyeste konfidensialitet og laveste integritet for å kunne lese alt
- Skriverolle med klarering for laveste konfidensialitet og høyeste integritet for å kunne skrive alt, og
- Ytterligere egenskaper som anvendelsen krever for tilgjengelighet.
Fordeleren kan valgfritt vise eller skjule at det finnes informasjon som er utilgjengelig for brukeren hvis den kjenner brukerrollens tilgangsmerke.
Alternative likeverdige merker
L < M <=> M > L og (L & M) = (M & L). Dette viser at sikkerhetsmerkene L og tilgangsmerkene M kan bytte plass. Dette modellerer også den virkelige verden. For eksempel kan en sensor i et sensornett tildeles en skriverolle og få (hardkoblete) M-masker for konfidensialitet, integritet og tilgjengelighet. Innkommende signal for polling av en passiv sensor vil da være et sikkerhetsmerke L. Fordi sikkerhetsmerket L må kunne endres i konfidensialitets- og integritetssammenhenger (joins), er det vanskelig å hardkoble L. Fast M og variabel L er mest praktisk i denne sammenhengen, selv om det intuitive like gjerne kunne vært å betrakte sensoren som 'informasjonsobjekt' med sikkerhetsmerke L. Innholdet i merkene L og M er altså vilkårlig så fremt ett av dem representerer et nivå og det andre en tilgangsrett til nivået.
Noen bruksområder for modellen
Web - tjenester
Webservere er vanligvis applikasjoner som genererer ulike XML eller HTML-dokumenter avhengig av klientsidens rolle. Disse dokumentene leses og presenteres av klientprosesser, for eksempel weblesere som presenterer informasjon som kan forstås av mennesker i form av tekst, bilder eller lyd. Det er vanlig at anonyme brukere får se noen websider, "påloggede" (autentiserte og autoriserte) kan få lesetilgang til flere websider, og en redaktørrolle kan få opprette, endre og fjerne sider. Det er her likegyldig om rollen på klientsiden er tildelt et menneske eller en prosess. I sikre applikasjoner er poenget at informasjon kun skal vises til roller som er autorisert for informasjonens konfidensialitets-, integritets- og tilgjengelighetsnivå. Det er selvsagt enklere og sikrere at serveren sender eller ikke sender informasjon basert på klientens autorisasjon enn at det overlates til klientsiden å sile ut informasjonen klienten selv har lovlig tilgang til. Modellen vår vil understøtte slike løsninger uavhengig av formater og protokoller involvert i kommunikasjonen mellom server og klient. Vi nevner spesielt at modellen overflødiggjør (tung) kryptering for implisitt integritetsjekk av meldinger (f eks XML- eller SOAP-dokumenter, som begge er tekstbaserte) og muliggjør nye sikre tjenester basert på tilgjengelighetsaspekter samt forenklinger og tjenester basert på at ulike sikkerhetsakser kan kombineres.
Flernivåruting
Vi forutsetter at sikkerhetsmerket assosieres med et sett av sikkerhetstjenester som kryptering og autentisering. Disse benyttes når informasjonen overføres over et kommunikasjonsnett og skal sikre at sikkerhetsnivåene opprettholdes under overføring. For å beskytte selve IP-nettet kan det være et krav at også rutinginformasjonen skal graderes. I noen scenarier bør rutinginformasjonen deles inn i ulike integritetsnivå. I andre scenarier kan det være viktig å skjule deler av nett-topologien. Det kan da være et krav at rutinginformasjonen også deles inn etter ulike konfidensialitetsnivå. Flernivåruting kan implementeres ved å beregne rutingtabeller for ulike sikkerhetsnivå. Modellen støtter flernivåruting.
Sikrere system
Ved å bruke sikkerhetsmerker på minnelokasjoner, registre etc, økes robustheten mot sikkerhetsfeil og inntrenging, for eksempel virusangrep. Det er også mulig å hardkoble registre som ikke kan modifiseres uten at enheten ødelegges fysisk.. Ved å bruke sikkerhetsmerker på objektene i databaser og ved å kontrollere informasjonsflyten i programmer, økes sikkerheten. Slik kontroll kan utføres av kompilatorer eller i kjøretid. Vår modell for verifikasjon av sikkerhetsmerker kan utføre slik kontroll svært effektivt. Sikkerhets- og tilgangsmerkene kan representeres mer robust ved å benytte Hamming-vektorer. Systemet kan sikres ytterligere ved å inkorporere sikre funksjoner for autorisert reklassifisering (ommerking) av objekter.
Sikre lettvekts-anvendelser
I noen anvendelser, f eks sensornett der sensorene er spredt 'tilfeldig' i et terreng eller anbrakt mer permanent i en bygning, kan det være en forutsetning at sensorene ikke kan tukles med uten å bli ødelagt. Dette kan for eksempel oppnås ved å lodde eller overflatemontere digitale kretser på et kretskort. Slikt utstyr blir både mer robust mot angrep, uautorisert modifikasjon med mer, får lenger batterilevetid og koster mindre enn utstyr med innebygget mikroprosessor.
Ved å tilveiebringe digitale registre som representerer bitmønstrene i henholdsvis L og M merkene ovenfor og sammenligne dem med kjent digitalteknikk kan vi oppnå verifiserbar informasjonsflyt mellom flere sikkerhetsnivåer og langs flere sikkerhetsakser samtidig, uten bruk av mikroprosessorer eller datamaskinprogram.
Sikkerhetsmerker og/eller tilgangsmerker i følge oppfinnelsen kan anbringes på en fysisk utskiftbar enhet som er innført i terminalenheten. Annen sikkerhetsrelatert informasjon som nøkler eller sertifikater kan også være anbrakt på de fysisk utskiftbare enhetene. En slik generisk terminalenhet kan for eksempel være, men er ikke begrenset til, personlig kommunikasjonsutstyr for deltakere i redningsoperasjoner eller soldater. Det fysisk utskiftbare utstyret som innføres i terminalenheten kan være, men er ikke begrenset til, f eks SIM-kort som i en mobiltelefon, smartkort eller PCMCIA-kort i PDAer, laptops, desktopmaskiner eller servere, eller som filer og program i ROM. Slikt utstyr og bruken av det er i seg selv velkjent for en fagmann, og utgjør ikke en del av oppfinnelsen.
Kommunikasjon mellom terminalene vil som regel skje på måter som er kjent for en fagmann, og følgelig heller ikke en del av oppfinnelsen, f eks over trådløse (radio) nett, ledning, busser osv med kjente signaleringsmetoder og protokoller som 8-bit faseskiftkoding. IP, SCSI eller noe annet.
Det nye er at sikkerhetsmerker og/eller tilgangsmerker anbrakt på fysisk utstyr som smartkort eller digitale kretskort uten mikroprosessor tar hensyn til flere sikkerhetsdimensjoner og informasjonsflyt i et fiernivåsystem samtidig. Dette kan gjøre det umulig å modifisere merkene uten å ødelegge dem fysisk, og kan samtidig gjøre det enklere å verifisere sikkerhetsnivåene ved at merkene umulig kan endres ved bruk av instruksjoner i en (mikro)prosessor.
Oppfinnelsen gjør det altså mulig å lage nett og anvendelser hvor selv de ytterste enhetene understøtter korrekt informasjonsflyt langs flere akser og på flere sikkerhetsnivå samtidig. Når konfidensialitet og integritet er dokumentert og verifiserbart, kan det være enklere å bruke den i automatiske beslutningsstøttesystemer.
Figur 2 viser en terminalenhet 1 med en mottaks- og autentiseringsanordning 2, som anbringer et innkommende signal i registre L i registerenheter 3, 4, 5. Antall registerenheter kan være et heltall mellom 1 og n, og trenger ikke å være 3. Ved å sammenligne L-registrene i registerenhetene 3, 4, 5 med tilsvarende fysiske M-registre kan en digital krets sette et digitalt utgangsignal høyt eller lavt avhengig av terminalenhetens forhåndstildelte sikkerhets- eller tilgangsmerke og det innkommende tilgangs- eller sikkerhetsmerket. Det digitale utgangssignalet kan, men er ikke begrenset til å, brukes til å styre en sender som sender data fra en informasjonskilde 6. Dette kan gjøres på kjent måte, for eksempel ved å kople utgangssignalet til basen på en transistor slik at det går strøm i en sendekrets når utsignalet er høyt, og ikke strøm når utsignalet er lavt.
Informasjonskilden kan være, men er ikke begrenset til, en (passiv) sensor som polles på en sikker måte, en (aktiv) sensor som skriver til alle sikkerhetsmessig tillate nivå når den oppdager f eks røyk eller farlige gasser, og som kan få prioritet i nettverket basert på sitt tilgjengelighetsmerke, en kommunikasjonsenhet i mobilt eller stasjonært utstyr, og så videre.
Det skal forstås at et sikkerhetsmerke kan plasseres i ett av to registre L eller M når et tilgangsmerke plasseres i det andre av dem. Resultatet av en bitvis OG mellom de to registrene er uavhengig av om sikkerhetsmerket plasseres i L eller M registeret. Det skal derfor forstås at det innkommende signalet kan representere enten et sikkerhetsmerke eller et tilgangsmerke. Det skal også forstås at oppfinnelsen kan brukes med en senderenhet på tilsvarende måte, selv om dette ikke er vist i figuren. Likeledes kan senderenheten anbringes til å sende et signal som representerer sikkerhetsmerke eller et tilgangsmerke i følge oppfinnelsen på tilsvarende måte som den viste mottakerenheten er anbrakt til å motta et signal i registre L i registerenhetene 3, 4, 5.
Figur 3 viser registerenhetene 3, 4 og 5 fra figur 2 i større detalj. Et innkommende signal anbringes på kjent måte i de uavhengige registrene Lc, Li og LA. Registrene Mc, Mi og MA representerer motsvarende merker som ved bitvise OG-operasjoner regulerer tilgang langs tre uavhengige akser C (konfidensialitet), I (integritet) og A (tilgjengelighet), ivaretar obligatorisk lovlig informasjonsflyt langs aksene C- og I, og om ønsket, informasjonsflyt langs A-aksen.
Resultatene fra hvert uavhengige register, som kan være færre eller flere enn 3, kombineres i logiske OG-operasjoner for å gi et utsignal som for eksempel kan brukes til å indikere om sending av data fra en informasjonskilde er sikkerhetsmessig tillat eller ikke tillat. I et slikt tilfelle kan utsignalet enkelt brukes til å aktivere eller deaktivere en senderkrets slik det er beskrevet i forbindelse med figur 2.
Kretser for å utføre de logiske operasjonene kan lages fra scratch eller leveres kommersielt på brikker med logiske porter, f eks som IKKE-OG brikker (NAND-brikker). Slike logiske porter kan også brukes til å koble både delresultatene oppnådd med bitvis OG mellom registerverdier og logiske OG mellom delresultatene for å gi ønsket utgangssignal. Vi påstår ikke at dette er nytt.
Det er også velkjent for fagfolk innen digitalteknikk hvordan DeMorgans regler IKKE(A OG B) = (A ELLER B) og KKE(A ELLER B)=(A OG B) brukes til å tilpasse logiske operatorer til digitale portkretser som de nevnte ELLER=NAND-kretsene
Til slutt bemerker vi at oppfinnelsen kan benyttes med, men ikke er avhengig av, for eksempel logiske TTL-kretser. For TTL-porter er typiske verdier for utstrømskapasitet (Ljh = -400uA, hvor minus-tegnet kun angir at strømmen forlater porten) og påkrevd innstrøm for logisk HØY (Im = 40uA), mens utstrømskapasitet for logisk LAV kan være IoL=-16mA og innstrøm In=l,6mA. Fan-out er det laveste av forholdene Ioh/Iih og Iol/Iil og angir hvor mange innporter som kan drives fra en portutgang (typisk 10 for TTL). Det er velkjent for en fagmann hvordan slike porter anbringes for å implementere flere enn 10 logiske operatorer. Tallene er hovedsakelig tatt med for å vise at effektforbruket ikke behøver å være stort for å implementere oppfinnelsen. Dette bidrar til å øke batterilevetiden i forhold til tidligere kjent teknikk.
Oppfinnelsen kan bruke (hardkoblede) registerverdier i logiske digitale kretser for bruk i sikre anvendelser til å tilveiebringe bevislig og enkelt verifiserbart sikre enheter som ikke kan modifiseres uten å bli fysisk ødelagt.
Ved å anbringe registerverdier som beskrevet ovenfor i logiske kretser som angitt her eller tilsvarende fysisk utstyr kan en oppfinnelse i følge kravene brukes i IKT-systemer som er sikre i flere sikkerhetsdimensjoner i informasjonsystem med flere sikkerhetsnivå og som sikrer lovlig informasjonsflyt langs en eller flere sikkerhetsakser når det er nødvendig. Vi bemerker også at alle tester kan gjennomføres på en tid i størrelsesorden stigetiden for et signal i en transistor uten bruk av programvare eller prosessorer.
Referanser
[1] R.W. Shirey, "Internet Security Glossary", Internet Engineering Task Force ( IETF) rfc2828, 2000.
[2] R.S. Sandhu, "Lattice-Based Access Control Models", IEEE Computer, vol. 26, no. 11, 1993, pp.
9-19.
[3] D.E. Denning, "A Lattice Model of Secure Information Flow", Communications of the ACM, vol.
19, no. 5, 1976, pp. 236-243.
[4] D.E. Bell and L.J. LaPadula, "Secure Computer Systems, Mathematical Foundations", Mitre Corp.
Report No. MTR- 2547, Bedford, Mass., USA, 1975., vol. 2, No. 3, 1984, pp. 198-222.
[5] K.J. Biba, "Integrity Considerations for Security Systems", Mitre Corp. Report No. MTR- 3153,
Bedford, Mass., USA, 1977.
[6] S.B. Lipner, Non-Discretionary Controls for Commercial Applications", Proceedings of the 1982
IEEE Symposium on Security and Privacy, 1982, pp. 2-10.
[7] T.H. Hinke, "The Trusted Server Approach to Multilevel Security", Proceedings of the 5th Annual
Computer Security Applications Conference, 1989, pp. 335-341.
[8] D. Galik and B. Tretick, "Fielding Multilevel Security into Command and Control Systems",
Proceedings of the 7th Annual Computer Security Applications Conference, 1991, pp. 202-208.
[9] B. Neugent, "Where We Stand in Multilevel Security (MLS): Requirements, Approaches, Issues, and Lessons Learned", Proceedings of the 10th Annual Computer Security Applications Conference, 1994, pp. 304-305.
[10] CE. Irvine et al., "Overview of a High Assurance Architecture for Distributed Multilevel Security", Proceedings of the 2004 IEEE Workshop on Information Assurance and Security, 2004, pp. 38-45.
[11] S.N. Foley, L.Gong, and X. Quian, "A Security Model of Dynamic Labeling Providing a Tiered Approach to Verification", Proceedings of the 1996 IEEE Symposium on Security and Privacy, 1996, pp. 142-153.
[12] J.-M. Kang, W. Shin, C.-G. Park, and D.-I. Lee, "Extended BLP Security Model Based on Process Reliability for Secure Linux Kernel", Proceedings of the Pacific Rim International Symposium on Dependable Computing, 2001.
[13] C. Payne, "Enhanced Security Models for Operating Systems: A Cryptographic Approach", Proceedings of the 28th Annual International Computer Software and Applications Conference (COMPSAC'04), 2004.
[14] Y. Liu and X. Li, "Lattice Model Based on a New Information Security Function", Proceedings of the Autonomous Decentralized Systems, 2005, pp. 566-569.
[15] Q. Huang and C. Shen, "A New MLS Mandatory Policy Combining Secrecy and Integrity Implemented in Highly Classified Secure Level OS", Proceedings of the 2004 7" 1 International Conference on Signal Processing, vol. 3, 2004, pp. 2409-2412 .
[16] J.B.D. Joshi, W.G. Aref, A. Ghafoor, E.H. Spafford, "Security Models for Web-based
Applications", Communications of the ACM, vol. 44, no. 2, 2001, pp. 38-44.
[17] S. Kent, "U.S. Security Options for the Internet Protocol", Internet Engineering Task Force
( IETF) rfc 1108, 1991.
[18] R. Housley, "Security Label Framework for the Internet", Internet Engineering Task Force ( IETF)
rfc 1457, 1993.
[19] A. Thummel and K. Eckstein, "Design and Implementation of a File Transfer and Web Services Guard Employing Cryptographically Secured XML Security Labels", Proceedings of the 2006 IEEE Workshop on Information Assurance and Security, 2006, pp. 26-33.
Claims (9)
1. Fremgangsmåte for sikker informasjonstilgang langs flere sikkerhetsakser og sikker informasjonsflyt langs aksene, karakterisert ved
at et informasjonsobjekt blir tildelt et sikkerhetsmerke L som består av n>2 innbyrdes uavhengige, ikke overlappende, sikkerhetsmerker Lj, 2<i<n, som representerer lineært uavhengige aspekter av konfidensialitet, integritet og/eller tilgjengelighet, og hvor hvert sikkerhetsaspekt kan ha k; nivåer,
at en rolle eller et subjekt blir tildelt et tilgangsmerke M som består av n>2 innbyrdes uavhengige, ikke overlappende, tilsvarende tilgangsmerker M;, tilpasset å bli sammenlignet med sikkerhetsmerket L; med samme indeks, i, for å gi eller avvise tilgang,
at L og M er tilpasset slik at én binæroperasjon mellom operandene L og M utfører n deltester på de n parene (Li5 M;), og
at binæroperasjonen mellom L og M etterfølges av logiske OG-operasjoner eller tilsvarende mellom resultatene av de n deltestene.
2. Fremgangsmåte i følge krav 1, karakterisert ved
at gjensidig utelukkende lese- og skriveroller med hver sine tilgangsmerker MiR og MiW brukes til å regulere lese- og skrivetilgang til ulike konfidensialitets- og integritetsnivåer slik at informasjon med lav konfidensialitet kan flyte til nivå med lik eller høyere konfidensialitet men ikke omvendt, og slik at informasjon med høy integritet kan flyte til nivå med lik eller lavere integritet men ikke omvendt
3. Fremgangsmåte i følge krav 1, karakterisert ved
at ett eller flere av sikkerhetsmerkene L; og tilsvarende tilgangsmerker M; representerer nivå ved hjelp av tilfeldige, monotont stigende numeriske verdier hvor sammenhengen mellom sikkerhetsnivå og numerisk verdi er en-entydig, og at deltestene benytter en eller flere av operatorene <, >, < eller
4. Fremgangsmåte i følge krav 1, karakterisert ved
at ett eller flere av sikkerhetsmerkene Lj er maskerbare bitfelt,
at tilsvarende tilgangsmerker Mj har form av aksessmasker, og
at deltestene inneholder en eller flere av operatorene bitvis OG, bitvis ELLER, logisk OG, eller logisk ELLER samt negasjonsoperatoren IKKE.
5. Fremgangsmåte i følge krav 4 karakterisert ved
at sikkerhetsmerkene Lj skiftes m;>l enkeltbitplasser mellom hvert av de kj sikkerhetsnivåene, og at de tilhørende tilgangsmerkene M; maskerer ut et tilsvarende antall bits.
6. Anordning som gir sikker informasjonstilgang langs flere sikkerhetsakser og sikker informasjonsflyt langs aksene, karakterisert ved
at et informasjonsobjekt blir tildelt et sikkerhetsmerkeregister L som består av n>2 innbyrdes uavhengige, ikke overlappende, sikkerhetsmerkeregistre L;, 2<i<n, som representerer lineært uavhengige aspekter av konfidensialitet, integritet og/eller tilgjengelighet, og hvor hvert sikkerhetsaspekt kan ha kj nivåer,
at en rolle eller et subjekt blir tildelt et tilgangsmerkeregister M som består av n>2 innbyrdes uavhengige, ikke overlappende, ett eller flere tilsvarende tilgangsmerker Mj, tilpasset å bli sammenlignet med sikkerhetsmerket L; med samme indeks, i, for å gi eller avvise tilgang,
at L og M er tilpasset slik at én binæroperasjon mellom operandene L og M utfører n deltester på de n parene (Li5 Mj), og
at binæroperasjonen mellom L og M etterfølges av logiske OG-operasjoner eller tilsvarende mellom resultatene av de n deltestene.
7. Anordning i følge krav 6, karakterisert ved
at gjensidig utelukkende lese- og skriverolleenheter med hver sine tilgangsmerkeregistre MiR og MiW brukes til å regulere lese- og skrivetilgang til ulike konfidensialitets- og integritetsnivåer slik at informasjon med lav konfidensialitet kan flyte til nivå med lik eller høyere konfidensialitet men ikke omvendt, og slik at informasjon med høy integritet kan flyte til nivå med lik eller lavere integritet, men ikke omvendt
8. Anordning i følge krav 6, karakterisert ved
at ett eller flere av sikkerhetsmerkeregistrene L; og tilsvarende tilgangsmerkeregistre M; representerer nivå ved hjelp av tilfeldige, monotont stigende numeriske verdier hvor sammenhengen mellom sikkerhetsnivå og numerisk verdi er en-entydig, og at deltestene benytter en eller flere av operatorene <, >, < eller >.
9. Anordning i følge krav 6, karakterisert ved
at ett eller flere av sikkerhetsmerkeregistrene Lj er en lineær samling av enheter som kan representere logiske nivå 0 eller 1 tilsvarende et maskerbart bitfelt, at tilsvarende tilgangsmerkeregistre M; har form av aksessmasker, og at deltestene inneholder en eller flere av operatorene bitvis OG, bitvis ELLER, logisk OG, eller logisk ELLER samt negasjonsoperatoren IKKE.
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| NO20071941A NO326590B1 (no) | 2007-04-16 | 2007-04-16 | Fremgangsmate og anordning for verifikasjon av informasjonstilgang i IKT-system med flere sikkerhetsdimensjoner og sikkerhetsniva. |
| EP08741726A EP2140658A2 (en) | 2007-04-16 | 2008-04-15 | Method and apparatus for verification of information access in ict- systems having multiple security dimensions and multiple security levels |
| PCT/NO2008/000135 WO2008127124A2 (en) | 2007-04-16 | 2008-04-15 | Method and apparatus for verification of information access in ict- systems having multiple security dimensions and multiple security levels |
| CA002684023A CA2684023A1 (en) | 2007-04-16 | 2008-04-15 | Method and apparatus for verification of information access in ict-systems having multiple security dimensions and multiple security levels |
| US12/595,509 US20100049974A1 (en) | 2007-04-16 | 2008-04-15 | Method and apparatus for verification of information access in ict systems having multiple security dimensions and multiple security levels |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| NO20071941A NO326590B1 (no) | 2007-04-16 | 2007-04-16 | Fremgangsmate og anordning for verifikasjon av informasjonstilgang i IKT-system med flere sikkerhetsdimensjoner og sikkerhetsniva. |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| NO20071941L NO20071941L (no) | 2008-10-17 |
| NO326590B1 true NO326590B1 (no) | 2009-01-19 |
Family
ID=39864481
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| NO20071941A NO326590B1 (no) | 2007-04-16 | 2007-04-16 | Fremgangsmate og anordning for verifikasjon av informasjonstilgang i IKT-system med flere sikkerhetsdimensjoner og sikkerhetsniva. |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20100049974A1 (no) |
| EP (1) | EP2140658A2 (no) |
| CA (1) | CA2684023A1 (no) |
| NO (1) | NO326590B1 (no) |
| WO (1) | WO2008127124A2 (no) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8825611B1 (en) * | 2010-01-12 | 2014-09-02 | Sandia Corporation | Policy enabled information sharing system |
| NO335189B1 (no) | 2010-10-26 | 2014-10-20 | Cupp Computing As | Sikkert databehandlingssystem |
| US9009779B2 (en) * | 2010-11-12 | 2015-04-14 | Content Watch, Inc. | Methods related to network access redirection and control and devices and systems utilizing such methods |
| US10496834B2 (en) * | 2011-10-25 | 2019-12-03 | Cupp Computing As | Secure computing system |
| US8898780B2 (en) * | 2011-11-07 | 2014-11-25 | Qualcomm Incorporated | Encoding labels in values to capture information flows |
| CN104580069B (zh) * | 2013-10-12 | 2017-09-12 | 中国移动通信集团公司 | 一种基于nls负逻辑系统的安全防御方法、设备和系统 |
| KR102125923B1 (ko) * | 2013-10-24 | 2020-06-24 | 삼성전자 주식회사 | 전자 장치의 운영체제 업그레이드 방법 및 장치 |
| GB2520949A (en) * | 2013-12-04 | 2015-06-10 | Ibm | Trustworthiness of processed data |
| US20150222665A1 (en) * | 2014-01-31 | 2015-08-06 | Peter Eberlein | Restricting user actions based on document classification |
| US10235176B2 (en) | 2015-12-17 | 2019-03-19 | The Charles Stark Draper Laboratory, Inc. | Techniques for metadata processing |
| US10936713B2 (en) * | 2015-12-17 | 2021-03-02 | The Charles Stark Draper Laboratory, Inc. | Techniques for metadata processing |
| CN105959322A (zh) * | 2016-07-13 | 2016-09-21 | 浪潮(北京)电子信息产业有限公司 | 一种基于多保护策略融合的强制访问控制方法及系统 |
| US10355916B2 (en) * | 2016-09-27 | 2019-07-16 | Mcafee, Llc | Survivable networks that use opportunistic devices to offload services |
| WO2019152772A1 (en) | 2018-02-02 | 2019-08-08 | The Charles Stark Draper Laboratory, Inc. | Systems and methods for policy execution processing |
| WO2019152792A1 (en) | 2018-02-02 | 2019-08-08 | Dover Microsystems, Inc. | Systems and methods for policy linking and/or loading for secure initialization |
| WO2019213061A1 (en) | 2018-04-30 | 2019-11-07 | Dover Microsystems, Inc. | Systems and methods for checking safety properties |
| TW202022679A (zh) | 2018-11-06 | 2020-06-16 | 美商多佛微系統公司 | 用於停滯主處理器的系統和方法 |
| WO2020132012A1 (en) | 2018-12-18 | 2020-06-25 | Dover Microsystems, Inc. | Systems and methods for data lifecycle protection |
| CN111671399B (zh) * | 2020-06-18 | 2021-04-27 | 清华大学 | 噪声感知强度的测量方法、装置和电子设备 |
| CN112738114B (zh) * | 2020-12-31 | 2023-04-07 | 四川新网银行股份有限公司 | 一种网络安全策略的配置方法 |
| CN114205122A (zh) * | 2021-11-17 | 2022-03-18 | 南方电网数字电网研究院有限公司 | 一种基于ai的电网网络数据安全测试系统及方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6023765A (en) | 1996-12-06 | 2000-02-08 | The United States Of America As Represented By The Secretary Of Commerce | Implementation of role-based access control in multi-level secure systems |
| US7669051B2 (en) * | 2000-11-13 | 2010-02-23 | DigitalDoors, Inc. | Data security system and method with multiple independent levels of security |
| US20030196108A1 (en) * | 2002-04-12 | 2003-10-16 | Kung Kenneth C. | System and techniques to bind information objects to security labels |
| US7536548B1 (en) * | 2002-06-04 | 2009-05-19 | Rockwell Automation Technologies, Inc. | System and methodology providing multi-tier-security for network data exchange with industrial control components |
| US7441264B2 (en) * | 2002-06-24 | 2008-10-21 | International Business Machines Corporation | Security objects controlling access to resources |
| US7577838B1 (en) * | 2002-12-20 | 2009-08-18 | Alain Rossmann | Hybrid systems for securing digital assets |
| US7503067B2 (en) * | 2004-02-02 | 2009-03-10 | Toshiba Corporation | Preset security levels |
| CA2459004A1 (en) * | 2004-02-20 | 2005-08-20 | Ibm Canada Limited - Ibm Canada Limitee | Method and system to control data acces using security label components |
| US20070156691A1 (en) * | 2006-01-05 | 2007-07-05 | Microsoft Corporation | Management of user access to objects |
-
2007
- 2007-04-16 NO NO20071941A patent/NO326590B1/no not_active IP Right Cessation
-
2008
- 2008-04-15 US US12/595,509 patent/US20100049974A1/en not_active Abandoned
- 2008-04-15 WO PCT/NO2008/000135 patent/WO2008127124A2/en active Application Filing
- 2008-04-15 CA CA002684023A patent/CA2684023A1/en not_active Abandoned
- 2008-04-15 EP EP08741726A patent/EP2140658A2/en not_active Withdrawn
Also Published As
| Publication number | Publication date |
|---|---|
| US20100049974A1 (en) | 2010-02-25 |
| NO20071941L (no) | 2008-10-17 |
| EP2140658A2 (en) | 2010-01-06 |
| WO2008127124A2 (en) | 2008-10-23 |
| CA2684023A1 (en) | 2008-10-23 |
| WO2008127124A3 (en) | 2009-03-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| NO326590B1 (no) | Fremgangsmate og anordning for verifikasjon av informasjonstilgang i IKT-system med flere sikkerhetsdimensjoner og sikkerhetsniva. | |
| Shirey | RFC 4949: Internet Security Glossary, Version 2 | |
| CN102077208B (zh) | 向应用程序集发放受保护内容的许可证的方法和系统 | |
| US20210385219A1 (en) | Method and system for data security within independent computer systems and digital networks | |
| JP2018186550A (ja) | 遅延データアクセス | |
| EP3596642A1 (en) | Privacy-preserving identity verification | |
| WO2019104350A1 (en) | User model-based data loss prevention | |
| US7096497B2 (en) | File checking using remote signing authority via a network | |
| CN112241919B (zh) | 具有数据流控制的多域区块链网络 | |
| EP1495389A2 (en) | System and techniques to bind information objects to security labels | |
| JP2023548572A (ja) | ブロックチェーンに機密データを記憶すること | |
| US20160301693A1 (en) | System and method for identifying and protecting sensitive data using client file digital fingerprint | |
| JP2023520632A (ja) | データの保護のためのノイズ・トランザクション | |
| Shivanna et al. | Privacy preservation in cloud computing with double encryption method | |
| Al‐Zewairi et al. | Risk adaptive hybrid RFID access control system | |
| CN112636921A (zh) | 一种提高网络信息传输安全性的方法及系统 | |
| Verma et al. | Applications of Data Security and Blockchain in Smart City Identity Management | |
| Akbarfam et al. | Deep Learning meets Blockchain for Automated and Secure Access Control | |
| Mitchell | Programming language methods in computer security | |
| Brandl | Trusted computing: The tcg trusted platform module specification | |
| Cilliers | Exploring information assurance to support electronic health record systems | |
| Bálint | Creating a Private University Blockchain for More Secure Data Storage | |
| Yasnoff | Privacy, Confidentiality, and Security of Public Health Information | |
| Sivabalan et al. | Securing Sensitive Web Based Student Academic Performance System with Base64 Encoding and Systematic Mirroring | |
| Voorhees et al. | Software Design and Security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM1K | Lapsed by not paying the annual fees |