TSCPN: Timed Secure Colored Petri Net Modélisation et vérification de la sécurité des informations par des réseaux de Petri colorés temporisés

Transcription

1 TSCPN: Timed Secure Colored Petri Net Modélisation et vérification de la sécurité des informations par des réseaux de Petri colorés temporisés Présenté par : Hind Rakkay Dirigé par : Hanifa Boucheneb École Polytechnique de Montréal 30 août 2005

2 Plan de la présentation Plan Motivations Quelques concepts de base Aperçu des modèles de sécurité Objectifs Modèle TSCPN Analyse du modèle TSCPN Conclusion

3 De la sécurité? Pourquoi? Motivations La conception de systèmes informatiques SI sécurisés. Expansion massive de systèmes complexes, coopératifs et distribués. Variété d utilisation : à la collecte, au traitement, au stockage et à la dissémination de l information Le SI devient la pierre angulaire de tout organisation : Assurer un accès rapide aux informations Faciliter plusieurs tâches Faciliter la prise de décision Le rôle stratégique de l information

4 Exemple: Système d information dans un hôpital Motivations Base des dossiers patients Dossier_Patient Base des résultats des analyses Informations administratives Directeur hôpital Assistante administrative Informations médicales Médecin Informations chirurgicales Informations administratives mises à jour Chirurgien Diagnostic Décision finale

5 La sécurité des informations Motivations Évite la corruption ou la destruction des données traitées par le système Intégrité Confidentialité Information Disponibilité Garantie que l information est uniquement accessible aux utilisateurs autorisés Garantie que les ressources et les services du système sont disponibles aux utilisateurs autorisés

6 De la sécurits curité? Pourquoi? Motivations Tous les jours, environ 225 cas majeurs de brèches de sécurité sont rapportés au Centre de Coordination du CERT à l'université de Carnegie Mellon [source : 70% sont très sérieuses : accès non autorisés, vol ou perte d information, sabotage et non disponibilité de données ou de réseaux La perte moyenne causée par la fraude ou le vol de données est supérieure à $1million 71% ont rapporté des attaques provenant de l interne 59% ont indiqué que l Internet était la source la plus fréquente d attaque Besoin de confiance et de sécurité Nécessité de concevoir des systèmes robustes et sûrs

7 Vérification de la sécurité? Comment? Motivations Méthodes formelles de vérification Spécification formelle des besoins de sécurité que l on désire assurer dans le système. Vérification formelle que le système répond bien à ces besoins. La vérification formelle comporte, en général, trois étapes, soient : Propriété ϕ Oui vérifiée! Vérification formelle contre-exemple

8 Politique de sécurité Concepts de base La politique de sécurité d un système est l ensemble des lois, règles et pratiques qui régissent la façon dont l information sensible et les autres ressources sont gérées, protégées et distribuées à l intérieur d un système spécifique [ITSEC91]. Une politique de sécurité établit donc : l ensemble des propriétés de sécurité à assurer dans un système les mécanismes pour les assurer. la définition de base d un système sûr.

9 Modèle de sécurité Concepts de base Lever les ambiguïtés sur la spécification Donner une expression formelle aux règles informelles de la politique de sécurité Utiliser des outils mathématiques et informatiques Avoir la preuve que la spécification assure les propriétés de sécurité Vérifier que l implémentation du système permet bien de garantir les propriétés de sécurité souhaitées. Implémenter des mécanismes de sécurité Le contrôle d accès. Le contrôle du flot d information.

10 Plan de la présentation Plan Motivations Quelques concepts de base Aperçu des modèles de sécurité Objectifs Modèle TSCPN Analyse du modèle TSCPN Conclusion

11 Modèles de Contrôle d accès Mécanisme du contrôle d accès Restreindre l accès aux processus autorisés ayant les droits requis Assurer la confidentialité Les entités primitives du système: Sujets = Entités actives du Système Informatique Objets = Entités passives du Système Informatiques Droits d accès = Lecture, Écriture, Exécution Modèle de sécurité Objets Sujets Modèle formel oj Matrice de contrôle d accès Sujets si aij

12 Modèle discrétionnaire de HRU Harrison, Ruzzo et Ullman Modèle de sécurité Contrôle d accès à la discrétion des utilisateurs. L'état du système correspond à la matrice de droits d'accès. Le modèle évolue d un état à un autre en exécutant des commandes. command créer_ fichier (s, f ) command accorder_droit_lecture (s, s, f ) créer objet f si «propriétaire» dans M s,f alors ajouter «propriétaire» dans M s,f ajouter «lecture» dans M s,f ajouter «écriture» dans M s,f fin Fuites d information fin ajouter «lecture» dans M s,f

13 Modèle discrétionnaire de HRU Harrison, Ruzzo et Ullman Modèle de sécurité Contrôle d accès discrétionnaire DAC: Les droits d accès à chaque information sont manipulés librement par le responsable de l information (généralement le propriétaire), à sa discrétion. (s 1, f 1, propriétaire) octroi un droit au (s 2, f 1, lire) (s 2, f 2, créer) octroi un droit (s 2, f 2, écrire) (s 3, f 2, lire) (s 2, f 1, lire) (s 2, f 2, écrire) (s 3, f 2, lire) (s 3, k(f 1 ), lire) s 3 aura l information contenue dans f 1 àl insudusujets 1 Repose sur la confiance Vulnérabilités aux abus de pouvoir provoqués par maladresse ou par malveillance. Fuites d information

14 Modèle mandataire de Bell-LaPadula Contrôle d accès mandataire MAC: Modèle Contrôle d accès sous l égide du système plutôt que des utilisateurs. de sécurité L une des façons de spécifier ces règles est d imposer une hiérarchie pour les sujets et pour les objets : Concept de sécurité multi-niveaux MLS. Chaque sujet s a un niveau d habilitation h(s) qui désigne la confiance qui lui est accordée. Chaque objet o a un niveau de confidentialité c(o) qui reflète son importance. Secret Treillis de niveaux de sécurité (SC, ) Confidentiel Public

15 Modèle mandataire de Bell-LaPadula Modèle de sécurité Deux règles: No Read Up: (s i, o j, lire) c(o j ) h(s i ) No Write Down: (s i, o j, lire) (s i, o k, écrire) c(o j ) c(o k ) High Sujet malhonnête Read Objet 1 Niveaux de sécurité Write Autre Sujet Read Objet 2 Low

16 Modèle mandataire de Bell-LaPadula Principales limites Modèle de sécurité Surclassification des informations par la règle No Write down. Avec ce principe le niveau de confidentialité des données remonte lentement vers le niveau le plus haut. Pour remettre les objets à leur niveau propre, les procédures de declassification doivent être appliquées fréquemment. Déclassification requise uniquement par des sujets digne de confiance. Quand la declassification devient un événement fréquent, le risque de faute augmente énormément.

17 Modèle de flot d information Mécanisme de flot d information Établir une analyse du flot de toutes les informations qui se trouvent dans le système. Assurer la confidentialité et le bon usage Modèle de sécurité Le modèle de flot d information de Denning, F M = < N, P, SC,, > (SC, ) : un treillis de niveaux de sécurité. N : un ensemble d'objets P : un ensemble de processus : un opérateur associatif-commutatif sur les niveaux de sécurité permet de calculer la borne supérieure (lub) de l ensemble SC. Légalité d'un flot d'information Un flot d'information de l'objet a vers l'objet b (a b) est légal si sc(a) sc(b)

18 Les réseaux de Petri, Pourquoi? Modèle de sécurité particulièrement bien adaptés aux systèmes distribués, étude comportementale et structurelle du système la structure et le comportement des systèmes sont décrits par le même formalisme. fort pouvoir d expression parallélisme, synchronisation, choix, conflit, présentation graphique intuitive et très visuelle. nombreuses extensions (rdp colorés, rdp temporels etc). des outils de vérification.

19 Réseaux de Petri Modèle de sécurité Place Jeton Transition 2 Franchissement de la Transition conduit à l état suivant: 2 Etat 1 Etat 2

20 Réseaux de Petri et Sécurité Modèle de sécurité Contrôle d accès dynamique par Knorr (2000) Contrôle de flot d information dans un environnement multi-niveaux par Knorr (2001) Information Flow Secure net (IFS) par Varadharajan (1990) Modèle à base de réseaux Prédicat / transition par Jari Juopperi (1995) Modèle à base de réseaux colorés par Krzysztof Juszczyszyn (2003) Analyse des modèles mandataires par des réseaux colorés (2004) Confidentialité

21 Objectifs Objectifs Élaborer un modèle formel de sécurité à base des réseaux de Petri colorés : Des réseaux de haut niveau Bon compromis entre la puissance de modélisation et les possibilités d analyse Exprimer, dans un même modèle, plusieurs politiques de sécurité. Effectuer un contrôle du flot d information et un contrôle de l accès Intégrer la dimension temporelle la vérification d un plus grand nombre de propriétés la disponibilité et la validité des informations Élaborer une analyse du modèle proposé. TSCPN (Timed Secure Colored Petri Net)

22 Plan de la présentation Plan Motivations Quelques concepts de base Aperçu des modèles de sécurité Objectifs Modèle TSCPN Analyse du modèle TSCPN Conclusion

23 Réseaux de Petri colorés Modèle TSCPN Une place peut contenir des jetons de différentes couleurs. Un jeton est un tuple <place, couleur> Une transition peut être franchie de différentes manières, selon la couleur. Ainsi, les arcs ne sont pas seulement étiquetés par le nombre de jetons mais aussi par leurs couleurs. p1 1 p p2 1 t p3 p2 1 t p3 F(t) ((p1, ) + (p2, )) = (p3, 2 )

24 Exemple: Système d information dans un hôpital Modèle TSCPN Base des dossiers Dossiers des patients Base des analyses Directeur Canal Assistante Canal Médecin Assistante Docteur Canal chirurgien Canal chirurgien Chirurgien Canal chirurgien

25 RdP colorés : extension au temps Modèle TSCPN Comment? Des intervalles de temps sont associés aux jetons des arcs en sortie des transitions. Lorsqu un jeton est créé, un intervalle de temps et une horloge lui sont associés. [a, b] est un intervalle de disponibilité et de validité. h est une horloge qui mesure la durée de vie du jeton. F(t) <p, c, h, [a,b]> Place Transition

26 RdP colorés : extension au temps Modèle TSCPN But? Dans ce modèle, un jeton ne peut être utilisé qu à l intérieur de l intervalle de disponibilité [a,b]. Avant a unités de temps, le jeton n est pas accessible h<a Au delà de b unités de temps, le jeton n est plus valide h>b Mesure de sécurité: Si le jeton est consommé à l intérieur de son intervalle de disponibilité, on a une garantie de la validité des données du jeton. Si le jeton est resté pendant un temps au-delà de la borne b, on ne peut rien confirmer quant à la validité des données. Propriétés de la disponibilité et validité des informations

27 RdP colorés : extension au temps Modèle TSCPN Contraintes d accès temporelles Please Thank You Bye Sujet s demande accès à la donnée d s obtient accès à d a s relâche d b Temps d attente pour obtenir d Temps d utilisation de d Contraint par la disposition du droit Contraint par l utilisation du droit

28 RdP colorés : extension à la sécurité Modèle TSCPN Associer des niveaux de sécurité aux PLACES psec () qui associe à chaque place un niveau de sécurité. Sert à indiquer les niveaux de sécurité associés aux sujets. Base des dossiers {C} psec(base)={c} Directeur h(directeur)={p,c}

29 RdP colorés : extension à la sécurité Modèle TSCPN Un jeton est un tuple de la forme <p, cdat, sctok, scp, v, h, [a,b] > sctok : niveau de sécurité du jeton (donnée) scp = psec(p): niveau de sécurité de la place (canal) But : Établir le contrôle d accès sctok scp Permet d identifier les informations qui risquent d être accédées par des sujets non habilités. Base des dossiers {C} ( p, d 1, C, C, v ) ( p, d 1, S, C, v ) C C S C Directeur

30 RdP colorés : extension à la sécurité Modèle TSCPN v : symbole {s (secure), i (non secure)} pour établir le contrôle du flot. v = s si le flot est légal, i autrement. Permet d identifier les informations qui résultent de fuites d informations Sens légal du flot : Public Confidentiel Secret Base des dossiers {C} (p, d 1, C, C, v ) Directeur Canal Assistante {P} (p, d 2, P, P, v )

31 Modèle Timed Secure Colored Petri Net Modèle TSCPN Les règles de contrôle (d accès et de flot) sont dictées par la politique de sécurité qui est appliquée au système. La politique est exprimée au moyen de la fonction FS(t). Ainsi, différentes politiques de sécurité peuvent être exprimées dans un même modèle.

32 Exemple: Système d information dans un hôpital Modèle TSCPN P 1 {C} (P 1, (id 1, d 1 ), C, C, s, [0,2]) + (P 1, (id 2, d 1 ), P, C, s, [0,2]) FS(t)=((P 1, (id i, d 1 ), {E}, psec(p 1 ))=((P 2, (id i,d 2 ), t{e}, psec(p 2 ), v 1,[0,2]) Informations administratives P 3 {P} Informations médicales P 2 {C} +(P 3,(id i,d 3 ), t{e}, psec(p 3 ), v 2, [1,2]) t({e}) = E, E {, P,C,S}

33 Évolution du modèle TSCPN Modèle TSCPN À partir de l état initial, le modèle peut évoluer selon deux formes : Progression de temps, Franchissement d évènement Transition Évènement L exécution d une transition dépend des intervalles de disponibilité des jetons et peut être exécutée de différentes manières selon les jetons à consommer. Un évènement est un triplet e=(t, in, out) où : t est la transition sensibilisée. in est le mutli-ensemble de jetons à consommer. out est le mutli-ensemble de jetons à produire.

34 Notion d éd évènement Modèle TSCPN P 1 {C} (P 1, (id 1, d 1 ), C, C, s, 0, [0, 2]) + (P 1, (id 2, d 1 ), P, C, s, 0, [0, 2]) FS(t 1 ) e 0 = (t 1, (P 1, (id 1,d 1 ), C, C s, 0, [0,2])) P 3 {P} e 1 = (t 1, (P 1, (id 2,d 1 ), P, C, s, 0, [0,2]))

35 Évolution du modèle TSCPN Modèle TSCPN P 1 { C} P 1 {C} (P 1, (id 1, d 1 ), C, C, s, 0, [0, 2]) + (P 1, (id 2, d 1 ), P, C, s, 0, [0, 2]) P {C} 1 (P1, (id1, d1 ), C, C, s, 1, [0, 2]) + (P 1, (id 2, d 1 ), P, C, s, 1, [0, 2]) FS(t 1 ) dh=1 FS(t 1 ) P 3 {P} P 3 {P} e 0 = (t 1, (P 1, (id 1,d 1 ), C, C, s, 0, [0,2])) e 1 = (t 1, (P 1, (id 2,d 1 ), P, C, s, 0, [0,2])) e 0 = (t 1, (P 1, (id 1,d 1 ), C, C, s, 1, [0,2])) e 1 = (t 1, (P 1, (id 2,d 1 ), P, C, s, 1, [0,2]))

36 Évolution du modèle TSCPN Modèle TSCPN P 1 { C} P {C} 1 (P 1, (id 1, d 1 ), C, C, s, 0, [0, 2]) + (P 1, (id 2, d 1 ), P, C, s, 0, [0, 2]) (P 1, (id 1, d 1 ), C, C, s, 0, [0, 2]) Franchissement e 1 FS(t 1 ) FS(t 1 ) P 3 {P} P 3 {P} (P 3, (id 2, d 3 ), P, P, s, 0, [1, 2]) e 0 = (t 1, (P 1, (id 1,d 1 ), C, C, s, 0, [0,2])) e 1 = (t 1, (P 1, (id 2,d 1 ), P, C, s, 0, [0,2])) e 0 = (t 1, (P 1, (id 1,d 1 ), C, C, s, 0, [0,2]))

37 Espace des états du modèle TSCPN Modèle TSCPN On construit le graphe de l espace des états qui renferme toute la dynamique du modèle. En générant ce graphe, on peut ainsi déterminer, toutes les propriétés du modèle, les séquences d évènements, les flots indésirables...et autres. Malheureusement,.. Densité du temps Espace infini et à branchement infini!!!!!

38 Analyse du modèle TSCPN Analyse TSCPN Technique du graphe des classes consiste à : regrouper ensemble tous les états atteints suite au franchissement d une même séquence d évènements, indépendamment de leurs dates de franchissement. C 0 =(SM 0, FT 0 ) Etat initial e 0 [a,b] C=(SM, FT) C SM FT : Classe d états : Marquage symbolique : Formule logique

39 Analyse du modèle TSCPN Analyse TSCPN P 1 {C} P 1 {C} (P 1, (id 1, d 1 ), C, C, s, h 0, [0, 2]) (P 1, (id 2, d 1 ), P, C, s, h 1, [0, 2]) (P 1, (id 1, d 1 ), C, C, s, h 0, [0, 2]) FS(t 1 ) Franchissement e 1 FS(t 1 ) e 0 = (t 1, (P 1, (id 1,d 1 ), C, C, s, h 0, [0,2])) e 1 = (t 1, (P 1, (id 2,d 1 ), P, C, s, h 1, [0,2])) P 3 {P} P 3 {P} (P 3, (id 2, d 3 ), P, P, s, h 2, [1, 2]) C 0 =(SM 0, FT 0 ) SM 0 =(P 1, (id 1, d 1 ), C, C, s h 0, [0, 2]) + (P 1, (id 2, d 1 ), P, C, s, h 1, [0, 2]) FT 0 =h 0 =h 1 = 0 C 1 =(SM 1, FT 1 ) SM 1 =(P 1, (id 1, d 1 ), C, C, s, h 0, [0, 2]) + (P 3, (id 2, d 3 ), P, P, s, h 2, [1, 2]) FT 1 = 0 h 0 2 h 2 = 0

40 Analyse du modèle TSCPN Analyse TSCPN Technique de la relaxation consiste à : Subdiviser une classe d états en un ensemble de sous-classes afin d isoler les états où les horloges ont dépassé leurs limites de ceux où les horloges ne l ont pas encore dépassé. C=(SM, FT) SM=(p, c, stok, scp, v, h 1, [2, [) + (p, c, stok, scp, v, h 2, [1,3]) FT= 1 h h 2 4 h 2 4 Graphe de classes fini pour tout modèle borné 3 2 z 2 z 4 z 3 z h 1

41 Analyse du modèle TSCPN Analyse TSCPN Analyse de la sécurité se traduit par : Un contrôle de l accès aux informations. Une protection pour éviter les fuites d information. Une garantie de la disponibilité de ces informations aux utilisateurs ayant le droit d accès à un temps ou un intervalle de temps bien précis. Une garantie de la validité de ces informations. Un enjeu évident est de réussir à spécifier totalement le comportement du système

42 Vérification de la sécurité? Comment? Analyse TSCPN Méthodes formelles de vérification Spécification formelle des besoins de sécurité que l on désire assurer dans le système. Vérification formelle que le système répond bien à ces besoins. La vérification formelle comporte, en général, trois étapes, soient : Propriété ϕ Oui vérifiée! Vérification formelle contre-exemple

43 Spécification des propriétés s de sécurits curité Analyse TSCPN Il existe dans la littérature, deux possibilités qui ont été largement étudiées à cette fin : un ensemble de formules d une logique adéquate, Logique temporelle (LTL, CTL, CTL*) un modèle de comportement Les observateurs

44 Spécification des propriétés s de sécurits curité Analyse TSCPN Dans notre approche les propriétés de sécurité (confidentialité, intégrité et disponibilité) seront décrites en terme de formules de logique temporelle arborescente CTL et seront vérifiées sur le graphe des classes. La logique CTL exprime comment les propriétés se succèdent le long des arbres d exécution. Proposition atomique

45 Analyse du modèle TSCPN Analyse TSCPN Confidentialité Formalisée par la proposition atomique : flot_sûr flot_sûr = vrai si tous les jetons de l état s écrivent sous la forme <p, c, sctok, scp, s, h, [a,b]> et sctok scp, et à faux autrement. On écrira la formule CTL : AG(flot_sûr).

46 Analyse du modèle TSCPN Analyse TSCPN Intégrité Formalisée par la proposition atomique : etat_sur Etat_sur = vrai si tous les jetons de l état <p, c, sctok, scp, v, h, [a,b]> Où v {s,i}vérifient la condition (sctok scp), et à faux autrement. On écrira la formule CTL : AG(etat_sur).

47 Analyse du modèle TSCPN Analyse TSCPN Disponibilité Formalisée par la proposition atomique : violation_temporelle Violation_temporelle = vrai si au moins un jeton <p, c, sctok, scp, v, h, [a,b]> où u,v {s,i} d un état a une horloge au-delà de son intervalle de disponibilité (h>b), et à faux autrement. On écrira la formule CTL : AG( violation_temporelle).

48 Analyse du modèle TSCPN C 1 =(SM 1, FT 1 ) Analyse TSCPN SM 1 = ( P 1, (id 2, d 1 ), P, C, s, h 2, [0, [ ) + ( P 2, (id 1, d 2 ), S, S, s, h 3, [1, 2] ) + ( P 2, (id 2, d 2 ), S, S, s, h 4, [1, 2] ) + ( P 3, (id 1, d 3 ), C, P, s, h 5, [1, 2] ) + ( P 4, (id 1, d 4 ), C, C, s, h 6, [0, 2] ) FT = 1 0 h 2 h 5 = h 6 = 0 h 2 = h 3 = h 4 La confidentialité et l intégrité des informations dans le canal P 3 sont probablement compromises C P (opération Read Up). AG(etat_sur) = False AG(flot_sur) = False La propriété AG( violation_temporelle) n est pas satisfaite car h 3 peut excéder son intervalle de diponibilité [1, 2] (selon la FT 1 ).

49 Analyse du modèle TSCPN Analyse TSCPN La vérification des propriétés de sécurité se ramène ainsi à un problème d accessibilité sur le graphe des classes, La vérification sera basée sur une exploration complète ou partielle du graphe des classes. Vérification à la volée Autres techniques de réduction de la taille de l espace des états: Abstraction par inclusion Abstraction par combinaison convexe

50 Contributions Conclusion Un nouveau modèle de sécurité à base des réseaux de Petri colorés étendus au temps, nommé TSCPN (Timed Secure Colored Petri Net). Le choix des réseaux de Petri colorés est pour leur puissance de modélisation de systèmes complexes tout en gardant les possibilités de vérification (condenser dans un même réseau plusieurs comportements similaires). L intérêt à la notion de temps est motivé par le fait qu elle se trouve au cœur de la majorité des systèmes informatiques et qu elle est un prérequis dans le domaine de la sécurité des informations, notamment pour spécifier leur disponibilité et validité. L intérêt aux notions de sécurité est dans l idée de spécifier des politiques de sécurité multi-niveaux, concept fort utile pour assurer le fonctionnement sûr d un système.

51 Contributions Conclusion Une approche d analyse qui s avère appropriée à l évaluation des spécifications de sécurité du système modélisé. Une approche comportementale qui se base sur la construction du graphe des classes. Une spécification des propriétés de sécurité au moyen de deux approches : logique temporelle et modèle comportemental Confidentialité, Intégrité, Disponibilité et Validité des informations.

52 Développements futurs Conclusion Le modèle intègre la dimension temporelle qui peut être exploitée à diverses fins : une attribution dynamique des niveaux de sécurité une analyse de la disponibilité du système etc. Compléter la conception d un outil dédié au modèle TSCPN proposer un modèle quelconque est extrêmement facile, mais proposer le «meilleur» modèle, c est-à-dire le modèle le plus simple et le plus clair permettant de spécifier de façon concise, un mécanisme considéré, se révèle extrêmement difficile [Michel Diaz] perfectionnement du modèle ainsi que les techniques d analyse

53 MERCI QUESTIONS?