Claudia Salomone 1 Università G.D’Annunzio Chieti-Pescara CHINESE WALL
Claudia Salomone
1
Università G.D’AnnunzioChieti-Pescara
CHINESE WALL
Claudia Salomone
2
Sommario
Sicurezza Chinese Wall
Classificazione delle informazioni Regole di lettura Regole di scrittura
Confronto con BLP model Confronto Clark-Willson model Alcune applicazioni del modello
Claudia Salomone
3
Sicurezza
Gli obiettivi di una politica di sicurezza sono:Confidenzialità: impedire l’accesso non autorizzato
e il furto delle informazioni.
Integrità: impedire le modificazioni delle informazioni.
Autenticazione: assicurare che gli utenti siano effettivamente chi dichiarino di essere
Claudia Salomone
4
Le politiche di sicurezza più importanti sono:
DAC(Discretionary Access Control): gli utilizzatori possono concedere o revocare gli accessi ai propri oggetti;
MAC(Mandatory Access Control): le decisioni di accesso sono prese basandosi su etichette sicure di oggetti e soggetti. Le etichette sono assegnate esternamente e non sono determinate dal proprietario.
Claudia Salomone
5
MAC
Ci sono diverse tipologie di modelli MAC:
Confidentiality: BLP
Integrity: Biba, Clark-Wilson
Hybrid: ChineseWall
Claudia Salomone
6
Chinese Wall
Claudia Salomone
7
CHINESE WALL
La politica di sicurezza Chinese Wall è un modello ibrido: in quanto, combina elementi di DAC e MAC
Politica usata in ambito commerciale
E’ stata presentata da Brewer a Nash nel 1989
Claudia Salomone
8
CHINESE WALL
La politica di sicurezza della Muraglia Cinese è una politica di sicurezza che garantisce la confidenzialità e l’integrità delle informazioni attraverso regole di lettura e scrittura.
L’idea base: controllare il flusso di dati tra aziende concorrenti, limitando l’accesso alle informazioni riservate di una data compagnia da parte di consulenti finanziari. Ovvero impedire che sorgano conflitti d’interesse.
Claudia Salomone
9
Conflitti di interesse…
C’è conflitto di interesse quando un soggetto compie un’azione che potrebbe produrre un vantaggio per l’attore dell’azione stessa.
Esempio: Borsa e società di investimento
In tale contesto l‘obiettivo del modello è evitare che il consulente rappresentando due clienti con finalità differenti tra loro possa trovarsi in un conflitto d’interesse…
Claudia Salomone
10
…segue
…lo scopo è impedire che il singolo consulente possa accedere a informazioni riservate di due società operanti nello stesso settore (COI class), evitando che:
il suddetto soggetto sia indotto ad abusare di tale conoscenza per profitto personale,
e che generi,conseguentemente, un disservizio per i clienti.
Claudia Salomone
11
…segue
La politica di sicurezza Chinese Wall distingue pertanto le informazioni in due aree:
Insider area contenente informazioni riservate sulla società, al quale possono accedere solo alcuni soggetti (unsanitized date).
Public area contenente informazioni che le società distribuiscono obbligatoriamente e quindi accessibili a tutti, ad es. l’annuale rendiconto degli stackholder (sanitized date).
Claudia Salomone
12
Quindi, la Muraglia Cinese funge da barriera per il passaggio delle informazioni confidenziali e riservate.
Claudia Salomone
13
Classificazione delle informazioni
All’interno della muraglia tutte le informazioni riservate sono archiviate gerarchicamente in 3 livelli:
-Al livello più basso, troviamo gli OGGETTI
-Nel livello intermedio, si posizionano i CD (Company dataset)
-Al livello più alto, le c.d COI (Conflict Of Interest ) class.
Claudia Salomone
14
…In particolare
OGGETTI: files contenenti singoli dati delle società. Ad ogni oggetto è associato il nome della CD al quale si riferisce e il nome della COI class al
quale la CD appartiene.
CD: tutti gli oggetti che si riferiscono ad una data società vengono raggruppati insieme in un database.
COI: tutte le CD delle società in concorrenza tra loro vengono raggruppate insieme e costituiscono la c.d. Classe di conflitti d’interesse.
Claudia Salomone
15
Classificazione dei dati/Oggetti
Claudia Salomone
16
esempio
Per convenzione assumiamo che:OO: indica gli oggetti,ognuno dei quali appartiene esattamente a una COI class;YY: le CD;X: le COI class
e immaginiamo che il nostro sistema contenga le informazioni di tre società, Banca A, Banca B e Compagnia petrolifera A, avremo che:
Claudia Salomone
17
Y può riferirsi alla Banca A, la Banca B o la Compagnia petrolifera A, cioè può contenere tutti gli oggetti riguardanti una di queste tre aziende;
Ci sono due classi di conflitto d’interesse, una per le la banche (contenente i dataset della Banca A e della Banca B) e una per la compagnia petrolifera (contenete il dataset dalla Compagnia A), cioè X può essere “Banca” oppure “Compagnia petrolifera”.
Claudia Salomone
18
Sicurezza semplice
L’idea base della politica della Muraglia Cinese consiste nel far in modo che le persone entrino in possesso di informazioni che non siano in conflitto con quelle già possedute dallo stesso (i soggetti per poter accedere alle informazioni non devono essere dalla parte sbagliata del muro).
“Tale politica è un mix di scelte libere e di controlli obbligatori”
Regole di accesso:Regole di lettura
Regole di scrittura
Claudia Salomone
19
Regole di lettura
Regola di Lettura: Un Soggetto S puo’ leggere un oggetto O se: O e’ nello stesso Dataset di uno gia’ letto da S, sono
cioè all’interno del muro O appartiene a una Classe di COI diversa in cui S non
ha ancora letto alcuna informazione
Bank ABank AC
on
sulen
teC
on
sulen
teBank BBank B
Oil AOil A
RR XX RR
RR
Claudia Salomone
20
Info Info
Bank ABank A Oil AOil A
InfoInfo
Bank BBank B
Info Info
Oil BOil B
COI 1COI 1
Insieme di tutti gli oggettiInsieme di tutti gli oggetti
Info
Oil AOil A
COI 3COI 3
Info InfoInfo
Bank CBank C
= John= John
Info
Bank ABank A
COI 1COI 1 COI 3COI 3
Regole di lettura
Claudia Salomone
21
…segue
Inizialmente un soggetto può liberamente scegliere a quali dataset accedere,ad es. Banca A;
Un soggetto può accedere al più ad un CD in ogni COI class,e questo perché, nel momento in cui egli entra in possesso di alcune informazioni in una COI class, si crea un muro intorno a tutti gli altri dati che sono nella stessa COI class (che sono quindi, in conflitto tra loro).
Da ciò deriva che, gli unici altri dati che il soggetto può leggere nella stessa COI class sono quelli contenuti nello stesso dataset dell’oggetto già letto.
Claudia Salomone
22
Il numero minimo di soggetti che potranno accedere ad ogni dato in una COI class è dato dal numero delle CD che vi fanno parte.
Esempio: database del modello Chinese Wall
Banca A a
Banca B b
Banca C c
Comp.A d
Comp.B e
Classe COI Banca Classe COI Comp.petrolifera
Claudia Salomone
23
Regole di scrittura
Regola di Scrittura: Un Soggetto S puo’ scrivere un oggetto O se:
S puo’ leggere O in base alla regola di lettura Non e’ stato letto alcun oggetto appartenente ad un
Dataset diverso a quello contenente O
Claudia Salomone
24
Regole di Scrittura
InfoInfoInfo
Bank ABank AOil AOil A
COI 1COI 1 COI 3COI 3
Insieme di tutti gli oggettiInsieme di tutti gli oggetti
Info
Oil AOil A
COI 3COI 3
Bank ABank A
COI 1COI 1
ABCABCABCABC
= John
COI 1COI 1
Bank ABank A
Claudia Salomone
25
Sanitized Information …
•Brewer and Nash riconoscono la necessità che gli analisti hanno di dover confrontare le informazioni riservate a loro disposizione con quelle relative alle altre società.
•Chiaramente il problema sorge se l’accesso per alcune aziende è vietato dalle regole di sicurezza semplice (un utente non potrà mai confrontare i dati di due aziende che si trovano nella stessa COI class, ad es. Compagnia petrolifera A e Compagnia petrolifera B, e neppure i dati della Banca A con quelli della Compagnia petrolifera A se egli ha avuto precedentemente accesso ai dati della Compagnia B).
Claudia Salomone
26
…sanitized information
Queste limitazioni possono essere rimosse se si usa una forma purificata per le informazioni richieste
La forma purificata delle informazioni funge da maschera per la società, ha infatti, lo scopo di evitare che si scopra l’identità della società alla quale le informazioni si riferiscono.
Claudia Salomone
27
esempio
Supponiamo che due soggetti John e Jane possano entrambi accedere ai dataset dell’esempio precedente,(Compagnia petrolifera A, Compagnia petrolifera B e Banca A), in particolar modo che:
John ha accesso (R) alla Compagnia A e acceso (W) alla Banca A Jane può accedere alla Compagnia B e alla Banca A
Jane può leggere indirettamente le informazioni della Compagnia A, anche se ciò dovrebbe essere vietato perché c’è conflitto d’interesse tra la Compagnia A e la Compagnia B. Violazione indiretta della Muraglia Cinese..
Claudia Salomone
28
Evitare e le violazioni indirette
aumentando le condizioni di sicurezza semplice, *-property, sostenendo che:
L’accesso scritto è permesso solo se:
1. L’accesso è permesso dalle semplici regole di sicurezza, ovvero,la condizione che permette ad un soggetto S di leggere l’oggetto O;
Claudia Salomone
29
• Per tutti gli oggetti non purificati O’, il soggetto S può leggere O’ solo se appartiene alla CD dell’oggetto a cui ha avuto accesso precedentemente CD(O’)=CD(O).
2. quindi, nessuno oggetto può essere letto se appartiene al dataset di una compagnia diversa per il quale l’accesso scritto è stato richiesto e se contiene informazioni non purificate.
Claudia Salomone
30
Nell’esempio sopra John può accedere alla CD della Comp.A e a quella della Banca A,quindi la condizione 1 è verificata. Cmq, assumendo che la CD della Comp.A contiene oggetti non purificati, perché John possa accedervi la condizione 2 è falsa.
Da ciò, deriva che John non può scrivere nel CD BancaA
Claudia Salomone
31
…segue
Data questa regola possiamo provare che:
Che il flusso delle informazioni non purificate è limitato all’interno della propria Company dataset,mentre le informazioni purificate possono comunque circolare liberamente attraverso il sistema.
Questa regola è analoga alle proprietà delle regole di sicurezza definite nel modello BLP. Perciò chiameremo le regole del modello della muraglia cinese come property security
Claudia Salomone
32
Confronto con BLP model
In entrambi i modelli la composizione e gli attributi di sicurezza degli oggetti e le regole per l’accesso rispettano le condizioni della sicurezza semplice e la *-property, pur avendo differenze fondamentali tra loro.
Claudia Salomone
33
Caratteristiche BLP
OGGETTO:- BLP non richiede che gli oggetti siano archiviati gerarchicamente
all’interno di una CD e di una COI class; esige invece, una struttura per gli attributi degli oggetti(etichettatura sicura) della forma (class , [cat]) dove:
Classe = Tipo di Informazione (Pubblica,Riservata…) Cat = Categoria del dato
Claudia Salomone
34
SOGGETTO:-Nel modello BLP ai soggetti sono assegnate delle etichette
sicure,mentre nel modello della Muraglia Cinese no.
La forma delle etichette è del tipo (clear, [NKT]), dove:
Classe = Massima Classe dei dati che il soggetto e’ abilitato a leggere
NTK = “Need to know” somma delle categorie di oggetti a cui viene permesso l’accesso
Caratteristiche BLP
Claudia Salomone
35
Differenze
Vedremo che le regole di scrittura/lettura nel modello BLP non impongono l’accesso ai dati in base alle informazioni alle quali il soggetto aveva avuto precedentemente accesso, ma dalla sicurezza degli attributi degli oggetti in questione .
BPL non ha la nozione di “accessi passati”, centrale invece nel modello di controllo CW.
Non tiene traccia dei cambiamenti: Es.Susan si ammala e Anna deve prendere il suo
posto, nel BLP non possiamo sapere se Susan può farlo
Claudia Salomone
36
…segue
Fissa per ogni coppia (COI,CD) del Chinese Wall un’ unica categoria BLP
BLP effettua una classificazione per le informazioni purificate e una per quelle non purificate
Etichetta ogni oggetto contenente informazioni non purificate con l’etichetta (x,y) e con l’etichetta (x’,y’) la categoria BLP dei dataset purificati
Claudia Salomone
37
Composizione degli oggetti in BLP
Claudia Salomone
38
Tutte le combinazioni di categorie con al piu’ un dataset per Tutte le combinazioni di categorie con al piu’ un dataset per ogni Classe di COIogni Classe di COI
Es: •Utente John NTK= {1,2,3}Utente John NTK= {1,2,3}•Utente Jane NTK= {4,2,3}Utente Jane NTK= {4,2,3}
Possibili NTK “Need to Know”:Possibili NTK “Need to Know”:
Claudia Salomone
39
Sicurezza semplice
L’accesso è garantito solo se:
Regola di Lettura: Un Soggetto S puo’ leggere un
oggetto O se: La classe del soggetto e’ maggiore della classe
dell’oggetto Il NTK del soggetto include la categoria dell’oggetto
Claudia Salomone
40
*-property
Regola di Scrittura: Un Soggetto S puo’ scrivere un
oggetto se: La classe dell’oggetto di output e’ maggiore di quella
di input La categoria dell’oggetto su cui scrivere (output)
contiene tutte le categorie degli oggetti di input
Claudia Salomone
41
Problemi di BLP
Non risponde a particolari esigenze tipiche del mondo commerciale
Non viene mantenuta la discrezionalita’ nella scelta dei dataset da leggere:
-Nel CW un soggetto può inizialmente accedere liberamente ad alcuni oggetti;
- BLP comprime gli oggetti a cui un soggetto può accedere. Altrimenti si viola il principio del CW
Claudia Salomone
42
Confronto con Clark -Wilson
Applicazioni: sistema di sicurezza militare; sistema di sicurezza commerciale
Tale modello separa le operazioni in sottoparti che sono eseguite obbligatoriamente da persone diverse.
Tale modello definisce un insieme di regole con l’obiettivo di conservare l’integrità dei dati, come la convalida, la verifica e il controllo d’accesso. Poiché il modello CW considera solo l’accesso controllato esso non può emulare il modelloClark-Wilson completamente.
Claudia Salomone
43
Clark-Wilson
La regola d’accesso richiede un controllo basato su una prestabilita relazione del tipo (utente,programma,oggetto) nel quale relazionare un utente, un programma e gli oggetti che il programma può consultare a beneficio dell’utente, nelle diverse CD
-Se, uno considera che il soggetto e il processo sono intercambiabili allora una singola persona può utilizzare più processi per accedere agli oggetti di più CD nella stessa COI class; violazione CW.
-mentre, richiedendo che il soggetto sia un persona ben precisa ed includendo tutti i processi da lui eseguiti, la CW è coerente con il modello Clark-Wilson
Claudia Salomone
44
ALCUNE APPLICAZIONI
Claudia Salomone
45
Applicazioni CW
Politica della Muraglia Cinese per la sicurezza di un Workflow decentralizzato: problema del conflitto di interessi che può sorgere tra aziende concorrenti quando l’esecuzione del flusso lavorativo viene decentrallizato
Approccio della Muraglia Cinese nel WWW per
la sicurezza nel commercio elettronico.
Claudia Salomone
46
Workflow decentralizzato
L’approccio utilizzato consiste nell’individuare oggetti sensibili in grado di manipolare il flusso del lavoro e contenenti informazioni tali che, se portate a conoscenza di una data organizzazione o azienda, potrebbero proporla alla concorrenza.
Claudia Salomone
47
…work flow
Soggetto, S: Agenti responsabili dell’esecuzione dei task
Oggetto, O : Input/output di un task, dipendenze del Workflow
Regola lettura:Un soggetto S può leggere e valutare un oggetto O se non e’ sensibile per S oppure se nel Workflow non esiste un altro soggetto S’ in conflitto di interessi con S
Regola scrittura:Un soggetto S non è abilitato a costruire dei Self, partizioni del flusso di lavoro, con oggetti sensibili che sono in Conflitto di interessi nel workflow
Claudia Salomone
48
CW nel WWW
Per realizzare la politica di sicurezza Chinese Wall in Internet dobbiamo utilizzare delle etichette che contengono informazioni sull’identità dell’utilizzatore e sugli oggetti aquali egli ha avuto accesso precedentemente. Per fare ciò, abbiamo bisogno di meccanismi che provvedono all’autenticazione e autorizzazione dell’utente nel WWW.
Claudia Salomone
49
Meccanismi di autenticazione
Gli standards più comuni sono:Basic Authentication: è inclusa nel protocollo HTTP. L’ utente
deve identificarsi attraverso un USER-ID e una PASSWORD quando richiedono un documento protetto.
Digest Access Authentication: è un’estensione del protocollo HTTP, sviluppatosi per integrare i difetti del precedente modello.
SSL(Secure Socket Layer):è il protocollo proposto dalla Netscape progettato per fornire la cifratura e l’autenticazione fra un client Wed e un server Web.
Claudia Salomone
50
Basic Authentication
Claudia Salomone
51
SSL…
È la base del protocollo di sicurezza dello strato di trasporto(TLS). Può essere considerato come uno strato che giace tra lo strato dell’applicazione e quello di trasporto.
L’SSL fornisce le seguenti caratteristiche:
autenticazione del server SSL, permette ad un utente di confermare l’identità del server.
autenticazione del client SSL,permette ad un server di confermare l’identità di un utente.
una sessione SSL cifrata, nella quale tutte le informazione inviate fra browser e server sono cifrate al software di spedizione (browser o server Web) e decifrate dal
software di ricezione
Claudia Salomone
52
handshake
C’è una fase di handshake tra il client e il server che serve ad autenticare il server e a generare una chiave simmetrica condivisa. Tale fase consiste di messaggi attraverso i quali i soggetti concordano le preferenze di crittografia,affinché si accordino sull’algoritmo a chiave simmetrica che dovranno usare, l’invio del certificato dal server al browser che ha un elenco di CA possibili,.. alla fine della fase di handshake si crea un “canale sicuro” su cui poter comunicare.
Claudia Salomone
53
…segue
Claudia Salomone
54
autorizzazioni
Un requisito necessario per stabilire la connessione tra client e server è il possesso di un certificato chiamato CA(Certification authority).
Nella fase di handshake se il browser non ha nel suo elenco tale certificato l’accesso alla compagnia è negato.
La ragione per cui tale certificato può rappresentare le regole di una politica di sicurezza CW è rappresentata dal fatto che ad es:
Il numero di serie dei certificati invalidi sono pubblicati nella Lista dei Certificati Revocati, client e server;
Claudia Salomone
55
Limiti dell’SSL nel e-commerce
L’SSL non era stato pensato per operazioni di e-commerce,ma per la comunicazione sicura tra client e server,quindi ha una progettazione generica che non soddisfa tutte le caratteristiche richieste in tale settore.
Claudia Salomone
56
Bibliografia
Articolo”The Chinese Wall Security PolicyThe Chinese Wall Security Policy”D.Brewer e Dr. M. Nash
Articolo”Articolo”Lattice-Based Enforcement of Chinese Walls”Lattice-Based Enforcement of Chinese Walls” Ravi S.SandhuRavi S.Sandhu “A Chinese Wall Security Model for Decentralized Workflow
Systems” P. Mazzoleni