1 Trường Đại Học Khoa Học Tự Nhiên Tp Hồ Chí Minh Báo cáo: Recent Advances in Access Control GVHD: TS. Đặng Trần Khánh. SV Thực Hiện: Nhóm 2, Lớp K17 HTTT KHTN. 10/4/2009 2 Recent Advances in Access Control Summary Access Control (AC) là tiến trình điều phối mỗi yêu cầu đến tài nguyên và dữ liệu lưu trên một hệ thống và xác định liệu yêu cầu đó được chấp nhận hoặc từ chối. Mô hình quản lý truy xuất truyền thống và ngôn ngữ giới hạn khả năng AC và cần một phương pháp mới để nâng cao quản lý truy xuất. Sau đó nó có thể được áp dụng trên các hệ thống phức tạp, nơi đó các quyết định cấp quyền truy xuất có thể phụ thuộc vào thuộc tính (properties-attributes) của người yêu cầu hơn là nhận dạng hoặc nơi mà giới hạn truy xuất phải tuân theo có thể đến từ một sự ủy quyền khác. Vấn đề này đặt ra nhiều thách thức để thiết kế và thực thi trong các hệ thống quản lý truy xuất. 1. Introduction Thông tin đóng một vai trò quan trọng trong bất kì một tổ chức nào và việc bảo vệ nó chống lại các truy xuất ko được phép (secrecy-sự bí mật) và việc chỉnh sửa không được phép, trong khi vấn đề đảm bảo là một user của hệ thống trở thành một vấn đề tối quan trọng. Một dịch vụ quan trọng trong việc đảm bảo thông tin được bảo vệ là một dịch vụ quản lý truy xuất. Quản lý truy xuất là tiến trình (abstract), một hệ thống điều khiển truy xuất có thể xét ở ba mức trừu tượng khác nhau: Chính sách quản lý truy xuất (access control policy), mô hình quản lý truy xuất (AC model) và cơ chế quản lý truy xuất (AC mechanism). - Policy xác định các luật để thẩm tra liệu yêu cầu được chấp nhận hay từ chối. Policy sau đó được hình thức hóa thông qua mô hình bảo mật (security model) và được làm cho hiệu lực qua cơ chế quản lý truy xuất. Sự tách biệt 3 của Policy và mechanism có một số ưu điểm. Thứ nhất, có thể bàn các yêu cầu bảo vệ độc lập với việc thực thi của nó. Thứ hai, có thể so sánh sự khác biệt cùng một chính sách trên các cơ cấu khác nhau. Thứ ba, thiết kế cơ cấu có nhiều chính sách khác nhau.Với cách này, một sự thay đổi trên các chính sách điều khiển việc truy cập không đòi hỏi phải có bất cứ sự thay đổi trên cơ cấu. Sự tách biệt giữa mô hình và cơ cấu tạo khả năng chứng minh một cách hình thức các thuộc tính bảo mật trên mô hình; mà bất cứ hệ thống nào áp dụng đúng mô hình đó thì có cùng kết quả. - Sự đa dạng và phức tạp yêu cầu bảo vệ trong các hệ thống ngày nay có thể xác định các chính sách điểu khiển truy xuất từ rất sớm thông qua các tiến trình bình thường. Hệ thống điều khiển truy suất nên đơn giản và có nghĩa để dễ dàng quản lý các task và duy trì bảo mật nhất định. Có ý nghĩa để đáp ứng nhu cầu trên các tài nguyên và dữ liệu khác nhau. Hơn nữa một hệ thống điểu khiển truy xuất nên có các đặc tính sau: o Kết hợp chính sách: Thông tin không quản lý với ủy quyền đơn, các chính sách quản lý truy xuất thông tin có thể thay đổi nhưng đòi hỏi của owner, cũng như của collector và phần còn lại. Kịch bản đa ủy quyền nên được hỗ trợ từ quan điểm quản trị cung cấp giải pháp mang tính modun, quy mô lớn, tính co giãn trong việc ghép và tích hợp chính sách. o Tính ẩn: Đa số dịch vụ không cần biết nhận diện thực sự người dùng, sau đó nếu cần thiết sẽ ra quyết định AC phụ thuộc vào đặc tính của yêu cầu, thường được cấp thông qua chứng nhận số. o Data outsourcing: Khuynh hướng hiện nay trong IT là thể hiện thông qua outsourcing, qua đó các công ty sẽ chuyển từ quản lý cục bộ sang quản lý outsourcing thông qua các nhà cung cấp. Vấn đề thách thức là phát triển hệ thống lưa chọn cách truy xuất dữ liệu từ xa hiệu quả. 4 2. Classical Access Control Models 2.1. Điều khiển truy cập tùy quyền (Discretionary Access Control - DAC) Điều khiển truy cập tùy quyền (Discretionary Access Control - DAC) là một chính sách truy cập mà chủ nhân của tập tin hay người chủ của một tài nguyên nào đó tự định đoạt. Chủ nhân của nó quyết định ai là người được phép truy cập tập tin và những đặc quyền (privilege) nào là những đặc quyền người đó được phép thi hành. Hai quan niệm quan trọng trong truy cập tùy quyền là: - Quyền sở hữu tập tin và dữ liệu (File and data ownership): Bất cứ một đối tượng nào trong một hệ thống cũng phải có một chủ nhân là người sở hữu nó. Chính sách truy cập các đối tượng là do chủ nhân tài nguyên quyết định, những tài nguyên bao gồm: các tập tin, các thư mục, dữ liệu, các tài nguyên của hệ thống, và các thiết bị (devices). Theo lý thuyết, đối tượng nào không có chủ sở hữu thì đối tượng đó bị bỏ lơ, không được bảo vệ. Thông thường thì chủ nhân của tài nguyên chính là người đã kiến tạo nên tài nguyên (như tập tin hoặc thư mục). - Các quyền và phép truy cập: Đây là những quyền khống chế những thực thể tài nguyên mà chủ nhân của tài nguyên chỉ định cho mỗi một người hoặc mỗi một nhóm người dùng. Điều khiển truy cập tùy quyền có thể được áp dụng thông qua nhiều kỹ thuật khác nhau: - Danh sách điều khiển truy cập (Access Control List - ACL): Định danh các quyền và phép được chỉ định cho một chủ thể hoặc một đối tượng. Danh sách điều khiển truy cập cho ta một phương pháp linh hoạt để áp dụng quy chế điều khiển truy cập tùy quyền. - Kiểm tra truy cập trên cơ sở vai trò (Role-Based Access Control): Chỉ định tư cách nhóm hội viên dựa trên vai trò của tổ chức hoặc chức năng của 5 các vai trò. Chiến lược này giúp tối giảm việc điều hành quản lý quyền và phép truy cập. Những quyền và phép để truy cập các đối tượng được chỉ định cho từng nhóm, hay hơn nữa, tới từng cá nhân một. Các cá nhân có thể trực thuộc một hoặc nhiều nhóm khác nhau. Mỗi cá nhân có thể được bố trí để họ tự đạt được nhiều hình thức phép truy cập hay phép sửa đổi dưới dạng tích lũy (do mỗi nhóm mà họ là hội viên ban cho và cộng lại), song cũng có thể bị loại khỏi những phép truy cập, là những phép mà tất cả các nhóm họ là hội viên không thể cùng có được. 2.2. Điều khiển truy cập bắt buộc (Mandatory Access Control - MAC) Điều khiển truy cập bắt buộc (Mandatory Access Control - MAC) được dùng để bảo vệ và ngăn chặn các quy trình máy tính, dữ liệu, và các thiết bị hệ thống khỏi sự lạm dụng. Kỹ thuật này có thể mở rộng và thay thế kỹ thuật điều khiển truy cập tùy quyền đối với các phép truy cập và sử dụng hệ thống thông tin (file-system permissions) cùng những khái niệm về người dùng và nhóm người dùng. Đặc trưng quan trọng nhất của MAC bao hàm việc từ chối người dùng toàn quyền truy cập, sử dụng tài nguyên do chính họ kiến tạo. Chính sách an ninh của hệ thống được administrator quy dịnh hoàn toàn quyết định các quyền truy cập được công nhận, và người dùng không thể tự hạn chế quyền truy cập vào các tài nguyên của họ hơn những gì mà administrator chỉ định. Các hệ thống dùng DAC cho phép người dùng toàn quyền quyết định quyền truy cập được công nhận cho các tài nguyên của họ, có nghĩa là họ có thể (do tình cờ hay ác ý) ban quyền truy cập cho những người dùng bất hợp pháp. Mục đích của MAC là định nghĩa một kiến trúc mà trong đó nó đòi hỏi sự đánh giá tất cả các nhãn hiệu có liên quan đến an ninh (security-related labels) và đưa ra những quyết định dựa trên cơ sở ngữ cảnh của các thao tác cùng các nhãn hiệu dữ liệu (data labels) tương đồng. Kiến trúc Cơ cấu tổ chức tổng quát đối với điều khiển truy cập (Generalized Framework for Access Control - GFAC), đi đôi 6 với MAC, trở thành kỹ thuật khả thi cho những hệ thống an ninh đa tầng cấp (multilevel security systems). Một kiến trúc như vậy sẽ ngăn chặn một người dùng đã được xác thực, hoặc một quy trình tại một phân hạng cụ thể nào đấy (classification), hoặc có một mức độ tin cẩn (trust-level) nhất định nào đấy, không cho họ truy cập thông tin, truy cập các quy trình (processes) hoặc truy cập các thiết bị (devices) ở một tầng cấp khác. Kết quả của việc này là nó cung cấp cho chúng ta một cơ chế chính sách ngăn chặn đối với người dùng và các quy trình, hoặc biết, hoặc chưa biết. Ví dụ: một chương trình ứng dụng lạ, chưa từng thấy (unknown program) có thể bao hàm một chương trình ứng dụng không đáng tin (untrusted application) và hệ thống phải theo dõi, giám sát và/hay khống chế những truy cập của nó vào các thiết bị và các tập tin. Những yêu cầu của một kiến trúc trong đó đòi hỏi sự phân tách giữa dữ liệu và các thao tác bên trong một máy tính bao gồm: - Không tránh né hoặc qua mắt được (non-bypassable) - Có thể đánh giá và so sánh được (evaluatable) để xác định tính hữu dụng và tính có hiệu lực của một chính sách - Luôn luôn được khởi động do yêu cầu - không tự động (always-invoked) để ngăn ngừa việc tránh né những kiểm duyệt của hệ thống - Chống can thiệp bên ngoài - như xáo trộn, giả mạo, quấy nhiễu v.v. (tamper-proof) MAC là một chính sách truy cập không do cá nhân sở hữu tài nguyên quyết định, song do hệ thống quyết định. MAC được dùng trong các hệ thống đa tầng cấp, là những hệ thống xử lý các loại dữ liệu nhạy cảm, như các thông tin được phân hạng về mức độ bảo mật trong chính phủ và trong quân đội. Một hệ thống đa tầng cấp là một hệ thống máy tính duy nhất chịu trách nhiệm xử lý bội số các phân loại dưới nhiều tầng cấp giữa các chủ thể và các đối tượng. 7 - Nhãn hiệu nhạy cảm (sensitivity label): Trong hệ thống dùng điều khiển truy cập bắt buộc, hệ thống chỉ định một nhãn hiệu cho mỗi chủ thể và mỗi đối tượng trong hệ thống. Nhãn hiệu nhạy cảm của một chủ thể xác định mức tin cẩn cần thiết để truy cập. Để truy cập một đối tượng nào đấy, chủ thể phải có một mức độ nhạy cảm (tin cẩn) tương đồng hoặc cao hơn mức độ của đối tượng yêu cầu. - Data import and export: Điều khiển việc nhập nội thông tin từ một hệ thống khác và xuất ngoại thông tin sang các hệ thống khác (bao gồm cả các máy in) là một chức năng trọng yếu trong các hệ thống sử dụng điều khiển truy cập bắt buộc. Nhiệm vụ của việc xuất nhập thông tin là phải đảm bảo các nhãn hiệu nhạy cảm được giữ gìn một cách đúng đắn và nhiệm vụ này phải được thực hiện sao cho các thông tin nhạy cảm phải được bảo vệ trong bất kỳ tình huống nào. Có hai phương pháp được dùng phổ biến để áp dụng nguyên tắc điều khiển truy cập bắt buộc: - Điều khiển truy cập dùng chính sách (rule-based access control): Việc điều khiển thuộc loại này định nghĩa thêm những điều kiện cụ thể đối với việc truy cập một đối tượng mà chúng ta yêu cầu. Tất cả các hệ thống dùng điều khiển truy cập bắt buộc đều thực hiện một hình thức đã được đơn giản hóa của thể loại điều khiển truy cập dùng chính sách, nhằm quyết định cho phép hay từ chối yêu cầu truy cập, bằng cách đối chiếu: o Nhãn hiệu nhạy cảm của đối tượng o Nhãn hiệu nhạy cảm của chủ thể - Điều khiển truy cập dùng bố trí mắt lưới (lattice-based access control): Đây là phương pháp người ta sử dụng đối với những quyết định phức tạp trong điều khiển truy cập với sự liên quan bội số các đối tượng và/hay các chủ thể. Mô hình mắt lưới là một cấu trúc toán học, nó định nghĩa các giá trị cận dưới lớn nhất (greatest lower-bound) và cận trên nhỏ nhất (least upper- 8 bound) cho những cặp nguyên tố, chẳng hạn như cặp nguyên tố bao gồm một chủ thể và một đối tượng. 2.3. Điều khiển truy cập trên cơ sở vai trò (Role-Based Access Control - RBAC) Trong an ninh đối với các hệ thống máy tính, điều khiển truy cập trên cơ sở vai trò (Role-Based Access Control - RBAC) là một trong số các phương pháp điều khiển và đảm bảo quyền sử dụng cho người dùng. Đây là một phương pháp có thể thay thế Discretionary Access Control (DAC) và Mandatory Access Control (MAC). Điều khiển truy cập trên cơ sở vai trò (RBAC) khác với hình thức MAC và DAC truyền thống. MAC và DAC trước đây là hai mô hình duy nhất được phổ biến trong điều khiển truy cập. Nếu một hệ thống không dùng MAC thì người ta chỉ có thể cho rằng hệ thống đó dùng DAC, hoặc ngược lại. Song cuộc nghiên cứu trong những năm 1990 đã chứng minh rằng RBAC không phải là MAC hoặc DAC. Trong nội bộ một tổ chức, các vai trò (roles) được kiến tạo để đảm nhận các chức năng công việc khác nhau. Mỗi vai trò được gắn liền với một số quyền hạn cho phép nó thao tác một số hoạt động cụ thể ('permissions'). Các thành viên trong lực lượng cán bộ công nhân viên (hoặc những người dùng trong hệ thống) được phân phối một vai trò riêng, và thông qua việc phân phối vai trò này mà họ tiếp thu được một số những quyền hạn cho phép họ thi hành những chức năng cụ thể trong hệ thống. Vì người dùng không được cấp phép một cách trực tiếp, song chỉ tiếp thu được những quyền hạn thông qua vai trò của họ (hoặc các vai trò), việc quản lý quyền hạn của người dùng trở thành một việc đơn giản, và người ta chỉ cần chỉ định những vai trò thích hợp cho người dùng mà thôi. Việc chỉ định vai trò này đơn giản hóa những công việc thông thường như việc cho thêm một người dùng vào trong hệ thống, hay đổi ban công tác (department) của người dùng. 9 RBAC khác với các danh sách điều khiển truy cập (access control list - ACL) được dùng trong hệ thống điều khiển truy cập tùy quyền, ở chỗ, nó chỉ định các quyền hạn tới từng hoạt động cụ thể với ý nghĩa trong cơ quan tổ chức, thay vì tới các đối tượng dữ liệu hạ tầng. Ví dụ: Một danh sách điều khiển truy cập có thể được dùng để cho phép hoặc từ chối quyền truy cập viết một tập tin hệ thống (system file), song nó không nói cho ta biết phương cách cụ thể để thay đổi tập tin đó. Trong một hệ thống dùng RBAC, một thao tác có thể là việc một chương trình ứng dụng tài chính kiến tạo một giao dịch trong 'tài khoản tín dụng' (credit account transaction), hay là việc một chương trình ứng dụng y học khởi thủy một bản ghi 'thử nghiệm nồng độ đường trong máu' (blood sugar level test). Việc chỉ định quyền hạn cho phép thi hành một thao tác nhất định là một việc làm đầy ý nghĩa, vì các thao tác đã được phân định tinh tế và mỗi cá nhân thao tác có một ý nghĩa riêng trong chương trình ứng dụng. Với khái niệm về hệ thống cấp bậc trong vai trò (role hierarchy) và khái niệm về các hạn chế (constraints), ta có thể điều khiển RBAC để kiến tạo hoặc mô phỏng điều khiển truy cập bố trí mắt lưới (Lattice-Based Access Control - LBAC). Vì thế RBAC có thể được coi như là một siêu tập (superset) của LBAC. Khi định nghĩa một mô hình RBAC, những quy ước sau đây là những quy ước hữu dụng và cần phải cân nhắc: U = Người dùng = Một người hoặc một tác nhân tự động. R = Vai trò = Chức năng công việc/ Danh hiệu dùng định nghĩa một cấp bậc quyền thế. P = Phép được cấp = Sự phê chuẩn một hình thức truy cập tài nguyên. S = Phiên giao dịch = Một xếp đặt liên kết giữa U,R và P UA = Chỉ định người dùng. PA = Cấp phép 10 RH = Sắp xếp trật tự một phần nào theo thứ tự cấp bậc của vai trò. RH còn có thể được viết là > - Một người dùng có thể có nhiều vai trò. - Một vai trò có thể có thể có nhiều người dùng. - Một vai trò có thể có nhiều phép được cấp cho nó. - Một phép được cấp có thể được chỉ định cho nhiều vai trò. Phép được cấp cho các vai trò đối lập có thể sẽ bị hạn chế khả năng thừa kế của chúng, nếu một hạn chế (constraint) nào đấy đặt một điều luật giới hạn nó. Chẳng hạn, một cá nhân không thể vừa được phép kiến tạo một trương mục đăng nhập cho một người nào đấy, vừa được phép ủy quyền thủ tục. Chính vì vậy, bằng việc sử dụng ký hiệu của lý thuyết tập hợp (set theory), chúng ta có thể viết: - PA là một tiểu tập của (hoặc bằng) P x R và là một phép cấp có mối quan hệ nhiều đối nhiều (many to many) với chỉ định vai trò. - UA là một tiểu tập của (hoặc bằng) U x R và có mối quan hệ nhiều đối nhiều (many to many) với chỉ định vai trò. - RH là một tiểu tập của (hoặc bằng) R x R Ký hiệu: x > y có nghĩa là x thừa kế các phép cấp của y. Một người dùng có thể cùng một lúc có một bội số các phiên giao dịch với nhiều phép được cấp khác nhau (multiple simultaneous sessions with different permissions). Việc sử dụng RBAC để quản lý các đặc quyền của người dùng trong một hệ thống duy nhất hay trong một chương trình ứng dụng là một thực hành tốt nhất được rộng rãi chấp thuận. Các hệ thống bao gồm Active Directory của Microsoft, SELinux, Oracle DBMS, PostgreSQL 8.1, SAP R/3 và nhiều cái khác đều hầu như thực thi một trong những hình thức của RBAC. [...]... tương ứng (defining sufficient roles) và chỉ định các tư cách hội viên cho các vai trò một cách phù hợp, trong một tổ chức với hạ tầng cơ sở kỹ thuật thông tin (IT) không đồng nhất, hòng nắm bắt các nhu cầu về quyền lợi, trong khi các nhu cầu này có tầm trải rộng trên hàng chục, hằng trăm hệ thống và trên các chương trình ứng dụng, là một việc hết sức phức tạp 3 Credential-Based Access Control Trong... outsourcing càng trở nên hấp dẫn Dịch vụ data outsourcing cung cấp dịch vụ lưu trữ dữ liệu ở mức độ thấp, cho phép chủ sở hữu dữ liệu tập trung vào lĩnh vực kinh doanh chính của họ trong khi dữ liệu được quản lý bởi một nhà cung cấp dịch vụ bên ngoài Tuy nhiên vấn đề lớn nhất của cách này là các nhà cung cấp dịch vụ này không được tin tưởng tuyệt đối Chủ sở hữu dữ liệu và người dùng cuối thường tin tưởng... sau một quá trình phức tạp, nơi đó các bên trao đổi thông tin không chỉ liên quan đến sự truy cập đó mà còn đến các giới hạn thêm vào được áp đặt bởi bên đối tác Quá trình này, được gọi là thỏa thuận tin cậy, có mục tiêu chính về việc hình thành sự tin cậy giữa các bên tương tác trong một cách tự động Một số lớn các chiến lược thỏa thuận tin cậy đã được để xuất trong tài liệu được mô tả theo các bước... Hình trên minh họa sự tương tác của client/server Điều quan trọng cần nhấn mạnh ở đây là, trước khi phát hành những quy luật đến client, server cần ước lượng những vị từ trạng thái liên quan đến thông tin riêng tư Ví dụ: Client không mong đợi được hỏi nhiều lần những thông tin giống nhau trong suốt phiên làm việc đó và nếu server phải ước lượng xem có phải client được xem xét là không tin cậy, nó không... giảm đi sự thuận lợi của việc quản lý tin cậy mà ở đó việc nhận diện người dùng không nên xem xét 11 Vấn đề của việc gán xác thực trực tiếp đến những khóa đã được giải quyết bằng chứng nhận số Một chứng nhận số là tương tự như những bằng cấp, giấy chứng nhận bằng giấy (như là bằng lái xe) Một giấy chứng nhận số là một báo cáo, được chứng nhận bởi một thực thể tin cậy (người có thẩm quyền xác nhận),... hợp lớn những chiến lược thỏa thuận, gọi là gia đình chiến lược cây phơi bày (DST) , đã được định nghĩa và chứng minh cần được đóng Điều này có nghĩa là nếu hai bên dùng những chiến lược khác nhau từ gia đình DST, chúng sẽ có thể thỏa thuận tin cậy UniPro đã được đề xuất để bảo vệ thông tin được chỉ trong các chính sách UniPro đặt tên cho các chính sách và cho phép bất cứ chính sách được đặt tên P1... đối với việc thỏa thuận tin cậy và đối với việc quy định truy cập dịch vụ trong môi trường mở 3.1 Tổng quan về chiến lược thỏa thuận tin cậy Như phần trên đã chú thích, vì các bên tương tác có lẽ không biết nhau, client có lẽ không hiểu rõ về sự cần thiết về những credentials cho việc lấy quyền truy cập Do đó, trong suốt quá trình điều khiển truy cập, hai bên trao đổi thông tin về credentials cần thiết... chính sách với một tính năng, gọi là policy combiner, và giới thiệu khái niệm về sự suy giảm chính sách (policy attenuatoin) để cho phép thành phần cấu tạo của mâu thuẫn chính sách bảo mật Các hướng tiếp cận khác hướng đến sự phát triển của một framework thống nhất để diễn đạt chính sách không đồng nhất [42, 43, 44, 45, 46] Một cách tiếp cận khác được minh họa như trong phần [36], tại đó tác giả đề... phẫu và phẫu thuật chỉnh hình Mỗi khoa chịu trách nhiệm cấp truy cập cho dữ liệu dưới quyền của nó Với PKhoaTim, PGiaiPhau, PChinhHinh là những chính sách của 3 khoa Giả sử rằng 1 truy cập đựơc cấp phép nếu bất kì chính sách của khoa nào cho phép và rằng giấy phép trong chinh sách PPhauThuat được truyền cho mỗi người dung và tài liệu bằng luật dẫn xuất dựa vào cấu trúc phân cấp cổ điển, kí hiệu là... tài nguyên Công việc quản lý tin cậy đã được phát triển như một giải pháp cho việc hỗ trợ điều khiển truy cập trong những môi trường mở Hướng tiếp cận đầu tiên đề nghị một giải pháp cho quản lý tin cậy đối với điều khiển truy cập là PolicyMarker và KeyNote Ý tưởng chính của đề xuất này là gắn khóa công khai vào việc xác thực và dùng credentials để mô tả việc ủy thác độ tin cậy cụ thể giữa các khóa Sự . Chí Minh Báo cáo: Recent Advances in Access Control GVHD: TS. Đặng Trần Khánh. SV Thực Hiện: Nhóm 2, Lớp K17 HTTT KHTN. 10/4/2009 2 Recent Advances in Access Control. quả. 4 2. Classical Access Control Models 2.1. Điều khiển truy cập tùy quyền (Discretionary Access Control - DAC) Điều khiển truy cập tùy quyền (Discretionary Access Control - DAC) là một. trên cơ sở vai trò (Role-Based Access Control - RBAC) Trong an ninh đối với các hệ thống máy tính, điều khiển truy cập trên cơ sở vai trò (Role-Based Access Control - RBAC) là một trong số