GVHD: Hoàng Công Pháp Nhóm thực hiện: 1. Lê Đức Toàn 2. Trần Văn Thành Lớp: D15TMT-B ACCESS CONTROL TRƯỜNG ĐẠI HỌC DUY TÂN KHOA CÔNG NGHỆ THÔNG TIN BÀI TẬP NHÓM MÔN: KỸ NGHỆ BẢOMẬT Nội dung: 1 2 Giới thiệu 1 Điều khiển truy cập hệ điều hành 2 3 3 4 Bảo vệ ổ đĩa cứng Tóm tắt 4 I. Giới thiệu  Điều khiển truy cập là trung tâm truyền thống của bảo mật máy tính.  Đây là nơi kỹ nghệ bảo mật đáp ứng cho khoa học máy tính.  Chức năng: điều khiển và có thể truy cập tài nguyên trong hệ thống. => Chúng ta sẽ tập trung vào các nguyên tắc cơ bản: điều khiển truy cập ở cấp độ phần cứng và hệ điều hành. Điều khiển truy cập làm việc ở một số tầng, được biểu diễn trong hình vẽ 1, và được mô tả: 1. Điều khiển truy cập có cấu trúc, mà người dùng thấy ở tầng ứng dụng, có thể thực hiện chính sách bảo mật rất phong phú và phức tạp. 2. Ứng dụng có thể được viết trên đỉnh của Middleware, như là: hệ thống quản lý ngân hàng dữ liệu hay gói thanh toán ngân hàng, mà nó thi hành một số thuộc tính bảo vệ. 3. Middleware sẽ dễ dàng được cung cấp bằng sự điều hành hệ thống cơ bản. 4. Cuối cùng, việc truy cập hệ thống điều khiển truy cập sẽ phụ thuộc đặc trưng phần cứng được cung cấp bởi bộ vi xử lý hay bởi kết hợp phần cứng quản lý bộ nhớ. Hình1: Điều khiển truy cập ở cấp độ khác nhau trong một hệ thống II. Điều khiển truy cập hệ điều hành: Sử dụng một số cơ chế xác thực như mật khẩu hay Kerberos, sau đó làm trung gian truy cập của họ đến các tập tin, cổng truyền thông và hệ thống tài nguyên khác. 1/ Nhóm và vai trò:  Định nghĩa cẩn thận hơn nhóm là một danh sách gốc, trong khi vai trò là một tập hợp cố định các quyền truy cập có một hoặc nhiều gốc.  Nhóm và vai trò có thể được kết hợp.  Gần đây, Windows 2000 (Win2K) đã được phát động với sự hỗ trợ rất lớn cho các nhóm, trong khi các nhà nghiên cứu đã bắt đầu làm việc về kiểm soát truy cập dựa trên vai trò (RBAC). Hình: Dùng cơ chế RBAC(Role Based Access Control) 2/ Danh sách kiểm soát truy cập: Một cách khác đơn giản hoá quản lý quyền truy cập là để lưu trữ ma trận điều khiển truy cập một cột cùng một lúc, cùng với các nguồn tài nguyên mà cột tham chiếu. Điều này được gọi là một danh sách điều khiển truy cập, hoặc ACL. ACL có một số lợi thế và bất lợi như:  ACL được sử dụng rộng rãi trong môi trường mà người sử dụng quản lý bảo mật tập tin riêng của họ.  Chính sách điều khiển truy cập được thiết lập thuộc trung tâm phù hợp với môi trường nơi mà sự bảo vệ là dữ liệu theo định hướng.  Ít phù hợp nơi dân số người sử dụng lớn và liên tục thay đổi.  Không hiệu quả như là một phương tiện làm kiểm tra bảo mật trong thời gian chạy. Hình: Managing Traffic With Access Control List 3/ Bảo mật hệ điều hành Unix:  Trong Unix các tập tin không được phép có danh sách điều khiển truy cập tùy ý nhưng chỉ đơn giản là rwx thuộc tính cho các chủ sở hữu nguồn tài nguyên, nhóm, và thế giới. Những thuộc tính này cho phép các tập tin sẽ được đọc, viết, và thực hiện.  Các chương trình kiểm soát được khi máy tính được khởi động (hệ điều hành hạt nhân) và không bị giới hạn truy cập vào toàn bộ máy. Tất cả các chương trình khác chạy như là người sử dụng, và có quyền truy cập qua trung gian của người giám sát. Quyết định truy cập được thực hiện trên cơ sở người dùng id kết hợp với chương trình. Tuy nhiên nếu điều này là không (root), sau đó quyết định điều khiển truy cập là "có." Vì vậy, root có thể làm những gì nó thích - truy cập tập tin bất kỳ, trở thành người sử dụng bất kỳ, hoặc bất cứ điều gì. Hơn thế nữa, có những điều nhất định mà chỉ có root có thể làm, chẳng hạn như bắt đầu quá trình truyền thông nhất định. Các uerid gốc thường được tạo sẵn cho các quản trị hệ thống.  Cách đơn giản và phổ biến nhất để bảo vệ các bản ghi đối với thỏa hiệp gốc là giữ chúng trên một máy chủ riêng biệt. 4/ Windows NT:  Một HĐH quan trọng - bảo vệ phần lớn dựa vào danh sách kiểm soát truy cập là Windows NT. Các phiên bản hiện hành của NT là khá phức tạp, rất hữu ích để theo dõi các tiền thân của nó.  Thay vì chỉ đọc, viết, và thực hiện, có những thuộc tính riêng biệt cho mất quyền sở hữu, quyền thay đổi, và xóa, có nghĩa là sự ủy quyền linh hoạt hơn có thể được khuyến khích.  Một lợi ích của các cú pháp là bạn có thể sắp xếp các vấn đề sao cho ít hơn nhiều so với các đặc quyền quản trị đầy đủ là cần thiết cho nhiệm vụ cấu hình hàng ngày, chẳng hạn như cài đặt máy in.  Một đặc điểm của NT là tất cả mọi người đó là một người đứng đầu, không phải là một mặc định hoặc không có một sự kiểm soát, để loại bỏ tất cả mọi người có nghĩa là chỉ ngăn ngừa một tập tin được truy nhập. Tài nguyên có thể được khóa một cách nhanh chóng bằng cách đặt tất cả mọi người không có quyền truy cập. Hình: Máy chấm công và kiểm soát cửa bằng vân tay và thẻ cảm ứng 5/ Khả năng:  Khả năng giới hạn để quản lý kiểm soát truy cập ma trận là để lưu trữ nó bằng hàng.  Các điểm mạnh và điểm yếu của các khả năng là nhiều hơn hoặc ít hơn các đối diện của ACL. Thời gian chạy kiểm tra bảo mật có hiệu quả hơn. Thời gian chạy an ninh kiểm tra có hiệu quả hơn, và chúng tôi có thể ủy thác mà không có khó khăn hơn nhiều.  Một điểm cần chú ý là khi công chứng chính thường được coi là "mật mã" hơn là "kiểm soát truy cập," ảnh hưởng của họ đối với chính sách kiểm soát truy cập và kiến trúc không phải là luôn luôn nghĩ rằng thông qua.  Nhìn chung, ranh giới giữa các mật mã và kiểm soát truy cập là một dòng lỗi nơi mà mọi thứ có thể dễ dàng đi sai. Các chuyên gia thường đến từ các nền tảng khác nhau, và các sản phẩm từ các nhà cung cấp khác nhau. 6/ Thêm tính năng trong Windows 2000: ACL và khả năng kết hợp trong một nỗ lực để có được cái tốt nhất của cả hai thế giới. Nhưng các ứng dụng quan trọng nhất của khả năng này là của Win2K.  Win2K thêm khả năng trong hai cách mà có thể ghi đè hoặc bổ sung các ACL của NT4.  Chính sách bảo mật được thiết lập bởi các nhóm thay cho hệ thống như một toàn thể. Nhóm dự định được một phương pháp chính cho quản lý cấu hình tập trung và điều khiển.  Nhóm được quy định trong Active Directory, một cơ sở dữ liệu hướng đối tượng trong một không gian tên phân cấp, lập chỉ mục cho họ để họ có thể tìm kiếm trên thuộc tính bất kỳ.  Win2K sử dụng Kerberos làm phương tiện chính của chứng thực người dùng trên mạng.  Win2K cung cấp một tập hợp phong phú hơn và linh hoạt hơn các công cụ kiểm soát truy cập so với bất kỳ hệ thống trước đây được bán ở thị trường đại chúng. [...]... các nhóm đặc biệt, người sử dụng, và các chương trình có thể thông qua lỗi hoặc ác ý Kiểm soát truy cập cũng là một phần quan trọng của việc thiết kế các phần cứng chuyên dụng như smartcards và mã hóa các thiết bị khác Các kỹ thuật mới đang được phát triển để đối phó với các hệ thống hướng đối tượng và mã di động  Các khái niệm chung về kiểm soát truy cập từ đọc, viết, và thực hiện quyền cho nhóm. .. đầu được giới thiệu trong thương mại ('Chất lượng dịch vụ Công nghệ là hứa hẹn của Microsoft cho “the Win2K timeframe.”’) Sự tương tác các tính năng như vậy với các điều khiển truy cập và bảo vệ nói chung là một trong những điều cần xem trong tương lai V Tóm tắt:  Vì nhiều lý do khác nhau, từ phức tạp nội tại để quan thực hiện trình độ kỹ năng Hầu hết các cuộc tấn công liên quan đến việc khai thác... chi tiết Khi hệ điều hành làm việc với các tập tin, điều này thường sẽ được các đối tượng nhỏ nhất mà cơ chế truy cập kiểm soát của nó có thể giải quyết Sẽ được cơ cấu ở cấp áp dụng, ví dụ, đảm bảo rằng một khách hàng của ngân hàng tại một máy rút tiền có thể thấy số dư của riêng mình nhưng không phải ai khác Tất cả các dữ liệu ứng dụng được đóng gói trong một tập tin, và hệ điều hành hoặc là phải cấp... để giới thiệu tính năng bảo vệ phần cứng, chẳng hạn như đăng ký khóa, vào bộ vi xử lý chính bản thân để tranh giữa các quá trình phần cứng khác nhau có thể được quản lý Đây là một ví dụ thú vị của các kỹ thuật bảo vệ điển hình của một hệ điều hành đang được tái chế trong thiết kế bộ vi xử lý đường chính  Hình: Minh họa về bộ vi xử lý ARM 3/ Xử lý bảo mật:  Một số smartcards hiện đại dựa trên bộ xử... hiện kiểm soát truy cập là chỗ thử phần mềm Người dùng muốn chạy một số mã mà họ đã tải về từ trang Web như một applet, có thể làm điều gì đó khó chịu, chẳng hạn như tham gia một danh sách tất cả các tập tin của mình và gửi thư nó đi cho một công ty tiếp thị phần mềm Cung cấp một "hộp cát" cho môi trường mã bị hạn chế trong đó nó không có quyền truy cập vào các ổ đĩa cứng (hoặc ít nhất chỉ là tạm thời... IA-64, là chưa có sẵn tại thời điểm bằng văn bản Theo công khai trước, quản lý bộ nhớ của nó được dựa trên phân chia không gian địa chỉ ảo của từng tiến trình vào một số khu vực có chỉ định nhận dạng tập hợp các bản dịch thuộc về một quá trình, và cung cấp một địa chỉ trung gian ảo duy nhất Điều này là để giúp tránh đòn vấn đề trong cache và dịch trong bộ đệm lookaside Các vùng cung cấp hiệu quả cho . Công Pháp Nhóm thực hiện: 1. Lê Đức Toàn 2. Trần Văn Thành Lớp: D15TMT-B ACCESS CONTROL TRƯỜNG ĐẠI HỌC DUY TÂN KHOA CÔNG NGHỆ THÔNG TIN BÀI TẬP NHÓM MÔN: KỸ NGHỆ BẢOMẬT Nội. cập của họ đến các tập tin, cổng truyền thông và hệ thống tài nguyên khác. 1/ Nhóm và vai trò:  Định nghĩa cẩn thận hơn nhóm là một danh sách gốc, trong khi vai trò là một tập hợp cố định. bảo mật được thiết lập bởi các nhóm thay cho hệ thống như một toàn thể. Nhóm dự định được một phương pháp chính cho quản lý cấu hình tập trung và điều khiển.  Nhóm được quy định trong Active