Università G.D’Annunzio
Chieti-Pescara
CHINESE WALL
Claudia Salomone
1
Sommario
 Sicurezza
 Chinese Wall
 Classificazione delle informazioni
 Regole di lettura
 Regole di scrittura
 Confronto con BLP model
 Confronto Clark-Willson model
 Alcune applicazioni del modello
Claudia Salomone
2
Sicurezza
Gli obiettivi di una politica di sicurezza sono:
 Confidenzialità: impedire l’accesso non autorizzato e
il furto delle informazioni.
 Integrità: impedire le modificazioni delle
informazioni.
 Autenticazione: assicurare che gli utenti siano
effettivamente chi dichiarino di essere
Claudia Salomone
3
Le politiche di sicurezza più importanti sono:
DAC(Discretionary Access Control): gli utilizzatori
possono concedere o revocare gli accessi ai propri
oggetti;
MAC(Mandatory Access Control): le decisioni di
accesso sono prese basandosi su etichette sicure di
oggetti e soggetti. Le etichette sono assegnate
esternamente e non sono determinate dal
proprietario.
Claudia Salomone
4
MAC
Ci sono diverse tipologie di modelli MAC:
Confidentiality: BLP
Integrity: Biba, Clark-Wilson
Hybrid: ChineseWall
Claudia Salomone
5
Chinese Wall
Claudia Salomone
6
CHINESE WALL
 La politica di sicurezza Chinese Wall
è un modello ibrido: in quanto,
combina elementi di DAC e MAC
 Politica usata in ambito commerciale
 E’ stata presentata da Brewer a Nash
nel 1989
Claudia Salomone
7
CHINESE WALL
 La politica di sicurezza della Muraglia Cinese è una politica
di sicurezza che garantisce la confidenzialità e l’integrità
delle informazioni attraverso regole di lettura e scrittura.
 L’idea base: controllare il flusso di dati tra aziende
concorrenti, limitando l’accesso alle informazioni riservate
di una data compagnia da parte di consulenti finanziari.
Ovvero impedire che sorgano conflitti d’interesse.
Claudia Salomone
8
Conflitti di interesse…
C’è conflitto di interesse quando un soggetto compie
un’azione che potrebbe produrre un vantaggio per l’attore
dell’azione stessa.
Esempio: Borsa e società di investimento
In tale contesto l‘obiettivo del modello è
evitare che il consulente rappresentando
due clienti con finalità differenti tra loro
possa trovarsi in un conflitto d’interesse…
Claudia Salomone
9
…segue
…lo scopo è impedire che il singolo consulente possa
accedere a informazioni riservate di due società operanti
nello stesso settore (COI class), evitando che:
 il suddetto soggetto sia indotto ad abusare di tale conoscenza
per profitto personale,
 e che generi,conseguentemente, un disservizio per i clienti.
Claudia Salomone
10
…segue
La politica di sicurezza Chinese Wall distingue pertanto le
informazioni in due aree:
Insider area
contenente informazioni riservate sulla
società, al quale possono accedere solo
alcuni soggetti (unsanitized date).
Public area
contenente informazioni che le società
distribuiscono obbligatoriamente e quindi
accessibili a tutti, ad es. l’annuale rendiconto
degli stackholder (sanitized date).
Claudia Salomone
11
Quindi, la Muraglia Cinese funge da barriera per il passaggio
delle informazioni confidenziali e riservate.
Claudia Salomone
12
Classificazione delle
informazioni
All’interno della muraglia tutte le informazioni
riservate sono archiviate gerarchicamente in 3
livelli:
-Al livello più basso, troviamo gli OGGETTI
-Nel livello intermedio, si posizionano i CD
(Company dataset)
-Al livello più alto, le c.d COI (Conflict Of
Interest ) class.
Claudia Salomone
13
…In particolare
OGGETTI: files contenenti singoli dati delle società. Ad ogni
oggetto è associato il nome della CD al quale si
riferisce e il nome della COI class al quale la CD
appartiene.
CD:
COI:
tutti gli oggetti che si riferiscono ad una data società
vengono raggruppati insieme in un database.
tutte le CD delle società in concorrenza tra loro
vengono raggruppate insieme e costituiscono la c.d.
Classe di conflitti d’interesse.
Claudia Salomone
14
Classificazione dei dati/Oggetti
Claudia Salomone
15
esempio
Per convenzione assumiamo che:
O: indica gli oggetti,ognuno dei quali appartiene esattamente
a una COI class;
Y: le CD;
X: le COI class
e immaginiamo che il nostro sistema contenga le informazioni
di tre società, Banca A, Banca B e Compagnia petrolifera A,
avremo che:
Claudia Salomone
16
 Y può riferirsi alla Banca A, la Banca B o la Compagnia
petrolifera A, cioè può contenere tutti gli oggetti riguardanti
una di queste tre aziende;
 Ci sono due classi di conflitto d’interesse, una per le la
banche (contenente i dataset della Banca A e della Banca B)
e una per la compagnia petrolifera (contenete il dataset dalla
Compagnia A), cioè X può essere “Banca” oppure
“Compagnia petrolifera”.
Claudia Salomone
17
Sicurezza semplice
L’idea base della politica della Muraglia Cinese consiste nel far
in modo che le persone entrino in possesso di informazioni
che non siano in conflitto con quelle già possedute dallo
stesso (i soggetti per poter accedere alle informazioni non
devono essere dalla parte sbagliata del muro).
“Tale politica è un mix di scelte libere e di controlli obbligatori”
Regole di accesso:
Regole di lettura
Regole di scrittura
Claudia Salomone
18
Regole di lettura
Regola di Lettura: Un Soggetto S puo’ leggere un oggetto O se:
 O e’ nello stesso Dataset di uno gia’ letto da S, sono
cioè all’interno del muro
 O appartiene a una Classe di COI diversa in cui S non
ha ancora letto alcuna informazione
Bank A
Consulente
R
X
R
Oil A
Claudia Salomone
Bank B
19
Regole di lettura
= John
Insieme di tutti gli oggetti
COI
COI11
Bank
Bank A
A
Info Info
Info
COI 3
Bank B
Info
Bank C
Info Info
Info
Claudia Salomone
Oil
Oil A
A
Info
Info
Oil B
Info
Info
20
…segue
 Inizialmente un soggetto può liberamente scegliere a quali
dataset accedere,ad es. Banca A;
 Un soggetto può accedere al più ad un CD in ogni COI class,e
questo perché, nel momento in cui egli entra in possesso di
alcune informazioni in una COI class, si crea un muro intorno a
tutti gli altri dati che sono nella stessa COI class (che sono
quindi, in conflitto tra loro).
 Da ciò deriva che, gli unici altri dati che il soggetto può
leggere nella stessa COI class sono quelli contenuti nello
stesso dataset dell’oggetto già letto.
Claudia Salomone
21
 Il numero minimo di soggetti che potranno accedere ad ogni
dato in una COI class è dato dal numero delle CD che vi
fanno parte.
Esempio: database del modello Chinese Wall
Classe COI Banca
Banca A
a
Classe COI Comp.petrolifera
Comp.A
Banca B
Banca C
b
c
d
Claudia Salomone
Comp.B
e
22
Regole di scrittura
Regola di Scrittura: Un Soggetto S puo’ scrivere un
oggetto O se:
 S puo’ leggere O in base alla regola di lettura
 Non e’ stato letto alcun oggetto appartenente ad un
Dataset diverso a quello contenente O
Claudia Salomone
23
Regole di Scrittura
= John
Insieme di tutti gli oggetti
COI 1
COI 3
Bank A
Oil A
ABC
Info Info
Claudia Salomone
ABC Info
24
Sanitized Information …
•Brewer and Nash riconoscono la necessità che gli
analisti hanno di dover confrontare le informazioni
riservate a loro disposizione con quelle relative alle
altre società.
•Chiaramente il problema sorge se l’accesso per
alcune aziende è vietato dalle regole di sicurezza
semplice (un utente non potrà mai confrontare i dati
di due aziende che si trovano nella stessa COI class,
ad es. Compagnia petrolifera A e Compagnia
petrolifera B, e neppure i dati della Banca A con
quelli della Compagnia petrolifera A se egli ha
avuto precedentemente accesso ai dati della
Compagnia B).
Claudia Salomone
25
…sanitized information
Queste limitazioni possono essere rimosse se si usa
una forma purificata per le informazioni richieste
La forma purificata delle informazioni funge da
maschera per la società, ha infatti, lo scopo di
evitare che si scopra l’identità della società alla
quale le informazioni si riferiscono.
Claudia Salomone
26
esempio
Supponiamo che due soggetti John e Jane possano entrambi
accedere ai dataset dell’esempio precedente,(Compagnia
petrolifera A, Compagnia petrolifera B e Banca A), in
particolar modo che:
 John ha accesso (R) alla Compagnia A e acceso (W) alla
Banca A
 Jane può accedere alla Compagnia B e alla Banca A
Jane può leggere indirettamente le informazioni della
Compagnia A, anche se ciò dovrebbe essere vietato perché
c’è conflitto d’interesse tra la Compagnia A e la
Compagnia B. Violazione
indiretta della Muraglia Cinese..
Claudia Salomone
27
Evitare e le violazioni indirette
aumentando le condizioni di sicurezza semplice, *property, sostenendo che:
L’accesso scritto è permesso solo se:
1. L’accesso è permesso dalle semplici regole di
sicurezza, ovvero,la condizione che permette ad
un soggetto S di leggere l’oggetto O;
Claudia Salomone
28
• Per tutti gli oggetti non purificati O’, il soggetto S può
leggere O’ solo se appartiene alla CD dell’oggetto a cui ha
avuto accesso precedentemente CD(O’)=CD(O).
2. quindi, nessuno oggetto può essere letto se appartiene al
dataset di una compagnia diversa per il quale l’accesso
scritto è stato richiesto e se contiene informazioni non
purificate.
Claudia Salomone
29
Nell’esempio sopra John può accedere alla CD della
Comp.A e a quella della Banca A,quindi la condizione 1 è
verificata. Cmq, assumendo che la CD della Comp.A
contiene oggetti non purificati, perché John possa accedervi
la condizione 2 è falsa.
Da ciò, deriva che John non può scrivere nel CD BancaA
Claudia Salomone
30
…segue
Data questa regola possiamo provare che:
Che il flusso delle informazioni non purificate è limitato
all’interno della propria Company dataset,mentre le
informazioni purificate possono comunque circolare
liberamente attraverso il sistema.
Questa regola è analoga alle proprietà delle regole di
sicurezza definite nel modello BLP. Perciò chiameremo le
regole del modello della muraglia cinese come property
security
Claudia Salomone
31
Confronto con BLP model
In entrambi i modelli la composizione e gli attributi di
sicurezza degli oggetti e le regole per l’accesso rispettano le
condizioni della sicurezza semplice e la *-property, pur
avendo differenze fondamentali tra loro.
Claudia Salomone
32
Caratteristiche BLP
 OGGETTO:
- BLP non richiede che gli oggetti siano archiviati
gerarchicamente all’interno di una CD e di una COI class;
esige invece, una struttura per gli attributi degli
oggetti(etichettatura sicura) della forma (class , [cat]) dove:
Classe = Tipo di Informazione
(Pubblica,Riservata…)
 Cat = Categoria del dato

Claudia Salomone
33
Caratteristiche BLP
 SOGGETTO:
-Nel modello BLP ai soggetti sono assegnate delle etichette
sicure,mentre nel modello della Muraglia Cinese no.
La forma delle etichette è del tipo (clear, [NKT]), dove:


Classe = Massima Classe dei dati che il soggetto e’
abilitato a leggere
NTK = “Need to know” somma delle categorie di
oggetti a cui viene permesso l’accesso
Claudia Salomone
34
Differenze

Vedremo che le regole di scrittura/lettura nel modello BLP
non impongono l’accesso ai dati in base alle informazioni
alle quali il soggetto aveva avuto precedentemente accesso,
ma dalla sicurezza degli attributi degli oggetti in questione .

BPL non ha la nozione di “accessi passati”, centrale
invece nel modello di controllo CW.

Non tiene traccia dei cambiamenti:
Es.Susan si ammala e Anna deve prendere il suo
posto, nel BLP non possiamo sapere se Susan
può farlo
Claudia Salomone
35
…segue
Fissa per ogni coppia (COI,CD) del Chinese Wall un’ unica
categoria BLP
BLP effettua una classificazione per le informazioni purificate
e una per quelle non purificate
Etichetta ogni oggetto contenente informazioni non purificate
con l’etichetta (x,y) e con l’etichetta (x’,y’) la categoria BLP
dei dataset purificati
Claudia Salomone
36
Composizione degli oggetti in
BLP
Claudia Salomone
37
Possibili NTK “Need to Know”:
Tutte le combinazioni di categorie con al piu’ un dataset per
ogni Classe di COI
Es:
•Utente John NTK= {1,2,3}
•Utente Jane NTK= {4,2,3}
Claudia Salomone
38
Sicurezza semplice
L’accesso è garantito solo se:
Regola di Lettura: Un Soggetto S puo’ leggere un
oggetto O se:
 La classe del soggetto e’ maggiore della classe
dell’oggetto
 Il NTK del soggetto include la categoria dell’oggetto
Claudia Salomone
39
*-property
Regola di Scrittura: Un Soggetto S puo’ scrivere un
oggetto se:
 La classe dell’oggetto di output e’ maggiore di quella
di input
 La categoria dell’oggetto su cui scrivere (output)
contiene tutte le categorie degli oggetti di input
Claudia Salomone
40
Problemi di BLP
 Non risponde a particolari esigenze tipiche del mondo
commerciale
 Non viene mantenuta la discrezionalita’ nella scelta dei
dataset da leggere:
-Nel CW un soggetto può inizialmente
accedere liberamente ad alcuni oggetti;
- BLP comprime gli oggetti a cui un soggetto
può accedere. Altrimenti si viola il principio del
CW
Claudia Salomone
41
Confronto con Clark -Wilson
Applicazioni: sistema di sicurezza militare;
sistema di sicurezza commerciale
Tale modello separa le operazioni in sottoparti che sono
eseguite obbligatoriamente da persone diverse.
Tale modello definisce un insieme di regole con l’obiettivo di
conservare l’integrità dei dati, come la convalida, la verifica
e il controllo d’accesso. Poiché il modello CW considera
solo l’accesso controllato esso non può emulare il
modelloClark-Wilson completamente.
Claudia Salomone
42
Clark-Wilson
La regola d’accesso richiede un controllo basato su una prestabilita
relazione del tipo (utente,programma,oggetto) nel quale
relazionare un utente, un programma e gli oggetti che il
programma può consultare a beneficio dell’utente, nelle diverse
CD
-Se, uno considera che il soggetto e il processo sono intercambiabili
allora una singola persona può utilizzare più processi per accedere
agli oggetti di più CD nella stessa COI class; violazione CW.
-mentre, richiedendo che il soggetto sia un persona ben precisa ed
includendo tutti i processi da lui eseguiti, la CW è coerente con il
modello Clark-Wilson
Claudia Salomone
43
ALCUNE
APPLICAZIONI
Claudia Salomone
44
Applicazioni CW
 Politica della Muraglia Cinese per la sicurezza di
un Workflow decentralizzato: problema del conflitto
di interessi che può sorgere tra aziende concorrenti quando
l’esecuzione del flusso lavorativo viene decentrallizato
 Approccio della Muraglia Cinese nel WWW per
la sicurezza nel commercio elettronico.
Claudia Salomone
45
Workflow decentralizzato
L’approccio utilizzato consiste nell’individuare oggetti
sensibili in grado di manipolare il flusso del lavoro e
contenenti informazioni tali che, se portate a conoscenza di
una data organizzazione o azienda, potrebbero proporla alla
concorrenza.
Claudia Salomone
46
…work flow
 Soggetto, S: Agenti responsabili dell’esecuzione
dei task
 Oggetto, O : Input/output di un task, dipendenze del
Workflow
Regola lettura:Un soggetto S può leggere e valutare un oggetto O
se non e’ sensibile per S oppure se nel Workflow non esiste un
altro soggetto S’ in conflitto di interessi con S
Regola scrittura:Un soggetto S non è abilitato a costruire dei
Self, partizioni del flusso di lavoro, con oggetti sensibili che
sono in Conflitto di interessi nel workflow
Claudia Salomone
47
CW nel WWW
Per realizzare la politica di sicurezza Chinese Wall in Internet
dobbiamo utilizzare delle etichette che contengono
informazioni sull’identità dell’utilizzatore e sugli oggetti
aquali egli ha avuto accesso precedentemente. Per fare ciò,
abbiamo bisogno di meccanismi che provvedono
all’autenticazione e autorizzazione dell’utente nel WWW.
Claudia Salomone
48
Meccanismi di autenticazione
Gli standards più comuni sono:
Basic Authentication: è inclusa nel protocollo HTTP. L’ utente
deve identificarsi attraverso un USER-ID e una
PASSWORD quando richiedono un documento protetto.
Digest Access Authentication: è un’estensione del protocollo
HTTP, sviluppatosi per integrare i difetti del precedente
modello.
SSL(Secure Socket Layer):è il protocollo proposto dalla
Netscape progettato per fornire la cifratura e l’autenticazione
fra un client Wed e un server Web.
Claudia Salomone
49
Basic Authentication
Claudia Salomone
50
SSL…
 È la base del protocollo di sicurezza dello strato di
trasporto(TLS). Può essere considerato come uno strato che giace
tra lo strato dell’applicazione e quello di trasporto.
 L’SSL fornisce le seguenti caratteristiche:
autenticazione del server SSL, permette ad un utente di
confermare l’identità del server.
autenticazione del client SSL,permette ad un server di
confermare l’identità di un utente.
una sessione SSL cifrata, nella quale tutte le informazione
inviate fra browser e server sono cifrate al software di
spedizione (browser o server Web) e decifrate dal software
di ricezione
Claudia Salomone
51
handshake
C’è una fase di handshake tra il client e il server che serve ad
autenticare il server e a generare una chiave simmetrica
condivisa. Tale fase consiste di messaggi attraverso i quali i
soggetti concordano le preferenze di crittografia,affinché si
accordino sull’algoritmo a chiave simmetrica che dovranno
usare, l’invio del certificato dal server al browser che ha un
elenco di CA possibili,.. alla fine della fase di handshake si crea
un “canale sicuro” su cui poter comunicare.
Claudia Salomone
52
…segue
Claudia Salomone
53
autorizzazioni
Un requisito necessario per stabilire la connessione tra client
e server è il possesso di un certificato chiamato
CA(Certification authority).
Nella fase di handshake se il browser non ha nel suo elenco
tale certificato l’accesso alla compagnia è negato.
La ragione per cui tale certificato può rappresentare le regole
di una politica di sicurezza CW è rappresentata dal fatto che
ad es:
Il numero di serie dei certificati invalidi sono pubblicati nella
Lista dei Certificati Revocati, client e server;
Claudia Salomone
54
Limiti dell’SSL nel
e-commerce
L’SSL non era stato pensato per operazioni di
e-commerce,ma per la comunicazione sicura
tra client e server,quindi ha una progettazione
generica che non soddisfa tutte le
caratteristiche richieste in tale settore.
Claudia Salomone
55
Bibliografia
Articolo”The Chinese Wall Security Policy”
D.Brewer e Dr. M. Nash
Articolo”Lattice-Based Enforcement of Chinese Walls”
Ravi S.Sandhu
“A Chinese Wall Security Model for Decentralized Workflow
Systems”
P. Mazzoleni
Claudia Salomone
56