비간섭(보안)

비간섭은 1982년 Goguen과 Meseguer에 의해 처음 기술된 엄격한 다단계 보안 정책 모델이며 1984년에 더욱 확대되었습니다.

서론

간단히 말해서, 컴퓨터는 입력과 출력이 있는 기계로 모델링됩니다.입력과 출력은 저감도(저감도, 기밀성이 높지 않음) 또는 고감도(민감도, 삼촌이 볼 수 없음)로 분류된다.컴퓨터는 높은 수준의 입력에 관계없이 낮은 입력 시퀀스가 동일한 낮은 출력을 생성하는 경우에만 비간섭 특성을 가집니다.

즉, 낮은(삭제되지 않은) 사용자가 기계에서 작업하는 경우 높은(삭제된) 사용자가 기밀 데이터를 작업하고 있는지 여부에 관계없이 동일한 방식으로(낮은 출력에서) 응답합니다.낮은 사용자는 높은 사용자의 활동에 대한 정보를 얻을 수 없습니다(있는 경우).

형식적 표현

$(\displaystyle$ M$)$을 메모리 구성으로 하고 M $(\$을 설정합니다.${\displaystyle L_{}}$$}}}$은 $메모리{\displaystyle }$ M${display style$ $M_{H}}$을 낮은$$ 부분과 높은 부분에 투영한다.$=$ ${\displaystyle L_{}}${\$displaystyle$ {=$_{\text}$로 하겠습니다.L$}}}:$ 메모리$$ 구성의 낮은 부분을 비교하는 함수입니다($예{\displaystyle }$: M ${\displaystyle \text{=}{}_{}}$ ${\displaystyle L_{}}$ ${\displaystyle M{}_{}{}^{}}$ ${\$ { $displaystyle$M \ { =$_${ \ $text$} ） 。$L}}\ M^{\prime$}} $iff$ M ${\displaystyle L_{}}$ ${\displaystyle {}_{}}$ ${\displaystyle M_{}^{}}$ L$$ { $display$ M $_${ \ $text$}$L}}=M_{\text{$$L}}^{\prime$${\displaystyle }$(${\displaystyle P}$ ,${\displaystyle M}$ ) ${\displaystyle {}^{}}$ ${\displaystyle {\ast }^{}}$ ${\displaystyle {}^{}{}^{}}$$$$′$ { \ $display style$ ( P , $M$) \ $rightarrow$^ { * } $M$$^$ { \ prime$$${\displaystyle {\}\mathrm{}}^{}}$ the$$ the$$ $config$ config config config config config$$config config config config config config config config config $l$ config config $config$ config config config config config configuration urationuration l l l l lurationurationurationurationurationurationuration$urationurationurationurationurationurationurationurationurationurationurationurationuration{\displaystyle }$ urationurationurationurationurationurationurationurationurationurationurationurationuration urationurationurationurationurationurationurationurationurationuration

결정론적 $프로그램{\displaystyle }$ P$(\displaystyle$ P$$$)$에 대한 비간섭의 정의는 ^[1]다음과 같습니다.

${\displaystyle {begin {array} {rl}\forall M_{1}, M_{2}:\;&M_{1}\ {=_{\text{L}}\ M_{2}&\land \&(P,M_{1}\rightarrow ^{*}M_{1}^{\prime}\\\land \\&(P,M_{2}\rightarrow ^{*}^{2}^{{2}\prime}\\\\\rightarrow \prime {1}^{{{1}^{{{{{{1}^{{{}}}}\}\\}L}}\ M_{2}^{\prime}\end {array}}$

제한 사항

엄격함

이것은 매우 엄격한 정책입니다.비밀 채널을 가진 컴퓨터 시스템은 예를 들어 Bell-LaPadula 모델에는 적합할 수 있지만 비간섭에는 적합하지 않습니다.그 반대의 경우도 있습니다(합리적인 조건에서는, 기동시에 기밀 정보가 없는 경우 등).그러나 비간섭은 비교육성보다 강한 것으로 나타났다.

이 엄격함에는 대가가 따른다.이 특성으로 컴퓨터 시스템을 만드는 것은 매우 어렵다.이 정책에 준거하고 있는 것이 확인된 시판 제품은 1~2개뿐이며, 기본적으로 스위치 및 단방향 정보 필터만큼 간단합니다(단, 이러한 제품은 유용한 동작을 제공하도록 배치될 수 있습니다).

시작 시 기밀 정보 없음

컴퓨터에 높은(즉, 기밀) 정보가 있거나, 낮은 사용자가 time=0(많은 컴퓨터 보안 정책에 의해 허용되는 이른바 "쓰기") 이후에 높은 정보를 생성하는 경우, 컴퓨터는 법적으로 낮은 사용자에게 높은 정보를 모두 유출할 수 있으며, 여전히 간섭하지 않는 사용자에게 적합하다고 말할 수 있습니다.정책을 적용합니다.저사용자는 고사용자의 액티비티에 대해서는 아무것도 배울 수 없지만 고사용자의 액티비티 이외의 방법으로 작성된 고정보에 대해서는 학습할 수 있습니다.(von Oheimb 2004)

Bell-LaPadula 모델에 준거한 컴퓨터 시스템은, 「읽기」를 명시적으로 금지하고 있기 때문에, 이 문제는 발생하지 않습니다.따라서 비간섭을 준수하는 컴퓨터 시스템은 Bell-LaPadula 모델을 반드시 준수하지는 않습니다.따라서 Bell-LaPadula 모델과 비간섭 모델은 비교할 수 없습니다. Bell-LaPadula 모델은 판독에 대해 더 엄격하고 비간섭 모델은 은닉 채널에 대해 더 엄격합니다.

요약 없음

일부 합법적인 다단계 보안 활동은 개별 데이터 기록(예: 개인 정보)을 민감하게 취급하지만, 데이터의 통계 기능(예: 평균, 총 수)을 보다 광범위하게 공개할 수 있다.비간섭 시스템에서는 이 작업을 수행할 수 없습니다.

일반화

비간섭 속성을 사용하려면 시스템이 다양한 낮은 입력에 대한 관측 가능한 출력의 높은 입력에 대한 정보를 공개하지 않아야 합니다.그러나 비간섭을 달성하는 것은 많은 실용 시스템에서는 불가능할 수 있으며, 또한 바람직하지 않을 수도 있다. 프로그램은 비밀 입력에 의존하는 정보를 공개해야 한다. 예를 들어, 사용자가 올바른 자격 증명을 입력할 때와 잘못된 자격 증명을 입력할 때 출력이 달라야 한다.섀넌 엔트로피, 추측 엔트로피 및 최소 엔트로피는 비간섭을 ^[2]일반화하는 양적 정보 유출의 일반적인 개념입니다.

레퍼런스

추가 정보

• McLean, John (1994). "Security Models". Encyclopedia of Software Engineering. Vol. 2. New York: John Wiley & Sons, Inc. pp. 1136–1145.

• von Oheimb, David (2004). "Information Flow Control Revisited: Noninfluence = Noninterference + Nonleakage". European Symposium on Research in Computer Security (ESORICS). Sophia Antipolis, France: LNCS, Springer-Verlag. pp. 225–243.