Các mô hình bảo mật Các mô hình bảo mật Bởi: Khoa CNTT ĐHSP KT Hưng Yên Để xây dựng sách bảo mật, phải mô tả thực thể bị chi phối sách phải phát biểu quy tắc cấu thành nên sách Công cụ để làm việc mô hình bảo mật [1] Trong phần này, tập trung vào ba mô hình bảo mật điển hình: mô hình bí mật, mô hình toàn vẹn mô hình hỗn hợp Các định nghĩa sở Về bản, bảo mật thông tin định nghĩa dựa sách bí mật toàn vẹn ngữ cảnh mô hình chuyển trạng thái trừu tượng hệ thống bảo vệ Bảo mật Luồng thông tin hệ chất có liên quan tới bí mật Tính bí mật liên quan đến việc che giấu thông tin ngăn ngừa việc truy xuất trái phép tới tài nguyên Tính toàn vẹn liên quan đến việc ngăn ngừa sửa đổi trái phép Chúng định nghĩa hình thức sau (Matt, 2003, trích dẫn • Bí mật: sách bí mật PC tập C O đối tượng chia tập ¯ ¯ chủ thể S thành hai tập SC SC Các chủ thể SC tồn C thông tin C chúng truy xuất tới sử dụng ¯ quyền Ms'o, ∀ s’ SC PC rõ ràng xác định quyền r mà chủ thể s SC sử dụng để lấy thông tin xác định từ C • Toàn vẹn: sách toàn vẹn PI tập I O đối tượng chia tập ¯ ¯ chủ thể S thành hai tập SI SI Các đối tượng SI không phép sửa đổi thông tin I PI rõ ràng xác định quyền r mà chủ thể s SI sử dụng để sửa đổi thông tin I Các thay đổi thực thực thể SI tất thực thể SI tin tưởng Chính sách luồng thông tin khía cạnh khác bảo vệ thông tin [7] Trong phần tiếp theo, xem xét mô hình bảo mật luồng thông tin mô hình Ma trận truy xuất M chứa quyền truy xuất, thao tác truy xuất phép quyền có hệ thống thao tác hợp lệ Việc thực 1/10 Các mô hình bảo mật sách bí mật toàn vẹn Kiểm soát truy xuất an toàn theo ngữ cảnh ma trận truy xuất xác định định nghĩa sau (sử dụng từ [7]) Định nghĩa (Kiểm soát truy xuất an toàn) ((rMs,o↔(s, o, r) P) (allow_access(s, o, r) ↔ r Ms,o)) Máy trạng thái (state machine) Một mô hình bảo mật gồm hai phần, phần thứ mô hình tổng quan hệ thống máy tính phần thứ hai cung cấp định nghĩa bảo mật Thông thường, hệ thống biểu diễn mô hình dạng máy trạng thái [3] Trong mô hình máy trạng thái (hay ôtô mát), trạng thái biểu diễn trạng thái hệ thống Đầu ôtômat phụ thuộc đầu vào phép biến đổi trạng thái Các phép biến đổi trạng thái định định nghĩa hàm biến đổi trạng thái Hàm xác định trạng thái phụ thuộc vào trạng thái đầu vào [1] Chúng ta nói mô hình bảo mật mối quan tâm ta làm bảo đảm tất trạng thái sinh ôtô mát an toàn hay bảo mật Trong phần tiếp theo, mô hình bảo mật xem xét cẩn thận mục đích Với mô hình, công việc xác định trạng thái an toàn hay bảo mật Máy trạng thái định nghĩa hình thức sau Một máy trạng thái bốn 〈δ0,Δ,Γ,τ〉 cho • Δ tập trạng thái • δ0 ∈ Δ trạng thái bắt đầu • Γ tập ký hiệu thao tác cho γ ∈ Γ, τγ hàm từ Γ × Δ vào Δ Một quy tắc bảo mật tập P ⊆ Δ Một trạng thái δ gọi đến từ δ0 δ= δ0 có dãy thao tác γ1, ,γn cho δ= τγn(τγn − 1( τγ1(δ0))) Định nghĩa (ôtô mát bảo mật)một máy trạng thái 〈δ0,Δ,Γ,τ〉 gọi bảo mật (đối với quy tắc bảo mật P) với δ ∈ Δ, δ đến từ δ0 δ ∈ P Mô hình bí mật Một quy tắc bí mật ví việc định nghĩa nhiều lớp thông tin khác tồn hệ thống cách thông tin trao đổi lớp [3] 2/10 Các mô hình bảo mật Năm 1975, Bell Lapadula hình thức hóa mô hình bảo mật đa cấp MAC (sau gọi mô hình BLP) BLP mô hình máy trạng thái kiểm soát yếu tố bí mật kiểm soát truy xuất Các quyền hạn truy xuất định nghĩa thông qua ma trận kiểm soát truy xuất mức bảo mật Các quy tắc bảo mật ngăn ngừa thông tin rò rỉ từ mức bảo mật cao xuống mức thấp [1] Hình 3.1 mô tả trạng thái mô hình BLP Để biểu diễn mô hình BLP, sử dụng ký hiệu sau • • • • • S tập chủ thể; O tập đối tượng; A={execute, read, append, write} tập quyền truy xuất; L tập mức bảo mật với phép quan hệ thứ tự phận ; Một trạng thái định nghĩa ba (b, M, f) đó: - b ba (s, o, a), mô tả chủ thể s thực thao tác a đối tượng o - M ma trận kiểm soát truy xuất M= (Mso)s ∈ S,o ∈ O - f = (fS,fC,fO), đó: - fS:S → L cho biết mức bảo mật cao chủ thể có - fC:S → L cho biết mức bảo mật chủ thể, luôn có: fC(s) ≤ fS(s) viết “ fSchi phối fC” - fO:O → L cho biết mức bảo mật đối tượng Các chủ thể truy xuất đối tượng [9] BLP định nghĩa bảo mật qua tính chất trạng thái Tính chất thứ tính chất bảo mật đơn giản (simple security property), ký hiệu ss-property 3/10 Các mô hình bảo mật ss-properties Một trạng thái (b, M, f) thỏa mãn tính chất ss-property, phần tử (s, o, a) b, thao tác truy xuất a read write, mức bảo mật chủ thể s chi phối lớp đối tượng o, nghĩa là: fO(o) ≤ fS(s) Đặc trưng đáp ứng sách bảo mật truyền thống no read-up Tuy nhiên, tính chất ss-property không đảm bảo ngăn ngừa việc chủ thể mức bảo mật thấp đọc nội dung đối tượng có mức bảo mật cao Điều phát sinh yêu cầu tính chất khác, gọi tính chất (star property), ký hiệu *-property [1] Luồng thông tin đòi hỏi *-property *-properties Một trạng thái (b, M, f) thỏa mãn tính chất *-property, phần tử (s, o, a) b, thao tác truy xuất a append write, mức bảo mật chủ thể s bị chi phối lớp đối tượng o, nghĩa là: fC(s) ≤ fO(o) Đây sách no writedown Hơn nữa, có tồn phần tử (s, o, a) b, a append write, phải có fO(o') ≤ fO(o) với đối tượng o’ mà (s, o’, a’) b a’ read write Các chủ thể nắm giữ quyền truy xuất cấp lại quyền cho chủ thể khác Trong mô hình BLP, sách đặc tả ma trận kiểm soát truy xuất phải tuân thủ tính chất bảo mật tùy ý (discretionary security property), ký hiệu ds-property ds-properties Một trạng thái (b, M, f) thỏa mãn tính chất ds-property, phần tử (s, o, a) b có a ∈ Mso Định nghĩa (trạng thái bảo mật) Một trạng thái gọi bảo mật ba tính chất bảo mật thỏa mãn Bell LaPadula đề xuất chứng minh định lý bảo mật sau [1] 4/10 Các mô hình bảo mật Định lý Nếu phép biến đổi trạng thái hệ thống bảo mật trạng thái ban đầu bảo mật với đầu vào tùy ý, trạng thái sinh bảo mật Luồng thông tin Để kiểm tra hệ thống bảo mật (theo mô hình BLP), cần kiểm tra trạng thái (b’, M’, f’) sinh từ trạng thái (b, M, f) có bảo mật hay không Ta xem xét số khái niệm sau Ta nói có luồng thông tin hợp lý trực tiếp từ đối tượng o tới đối tượng o' có chủ thể s cho hai điều kiện sau thỏa (s, o, a) b a observe (s, o', a’) b a’ alter Một dãy o1, ,on gọi luồng thông tin hợp lý có luồng thông tin hợp lý trực tiếp từ oi tới oi + với ≤ i < n Chúng ta nói có luồng thông tin hợp lý từ đối tượng o tới đối tượng o' có luồng thông tin hợp lý o1, ,on cho o = o1,o' = on Định nghĩa (Luồng thông tin an toàn) Một luồng thông tin hợp o1, ,on gọi an toàn fO(o1) ≤ fO(on) Mô hình toàn vẹn Năm 1977, Biba đề xuất mô hình (sau gọi mô hình Biba) xử lý tính toàn vẹn hệ thống chủ thể thực truy xuất đối tượng sử dụng mô hình máy bảo mật tương tự mô hình BLP [1] Để diễn tả mô hình Biba, sử dụng quy ước sau (được đề xuất sử dụng [8]): • • • • • S tập chủ thể; O tập đối tượng; L tập mức toàn vẹn với phép thứ tự phận ; fS:S → L cho biết mức toàn vẹn chủ thể; fO:O → L cho biết mức bảo mật đối tượng Hàm fS fO định mức toàn vẹn cho chủ thể đối tượng Những mức bảo mật sở để mô tả tính chất toàn vẹn để ngăn ngừa thao tác kiểu việc “làm sạch” thực thể mức cao cách “làm bẩn” thực thể mức thấp Chúng ta phát biểu tính chất hai trường hợp, mức toàn vẹn cố định 5/10 Các mô hình bảo mật mức toàn vẹn không thay đổi mức toàn vẹn biến đổi ứng với mức toàn vẹn thay đổi Các mức toàn vẹn cố định Hai tính chất toàn vẹn sau ngăn ngừa việc làm vấy bẩn chủ thể đối tượng thông tin bẩn Simple integrity property Nếu chủ thể s sửa đổi (biến đổi) đối tượng o, fS(s) ≥ fO(o) Đây quy tắc không ghi-lên (no write-up) Integrity *-property Nếu chủ thể s đọc (quan sát) đối tượng o, s ghi lên đối tượng p fO(p) ≤ fO(o) Luồng thông tin Chúng ta nói có luồng thông tin hợp lý trực tiếp từ đối tượng o tới đối tượng o' có chủ thể s cho s quan sát o biến đổi o' Một dãy o1, ,on gọi luồng thông tin hợp lý có luồng thông tin hợp lý trực tiếp từ oi tới oi + với ≤ i < n Chúng ta nói có luồng thông tin hợp lý từ đối tượng o tới đối tượng o' có luồng thông tin hợp lý o1, ,on cho o = o1,o' = on Định nghĩa Một luồng thông tin o1, ,on gọi an toàn fO(o1) ≥ fO(on) Các mức toàn vẹn biến đổi Hai tính chất sau giúp tự động điều chỉnh mức toàn vẹn thực thể thực tương tác với thông tin mức thấp Subject low watermark property chủ thể s đọc (quan sát) đối tượng o mức toàn vẹn Mức toàn vẹn chủ thể inf(fS(s),fO(o)), fS(s) fO(o) mức toàn vẹn trước thao tác thực Object low watermark property chủ thể s sửa (biến đổi) đối tượng o mức toàn vẹn Mức toàn vẹn đối tượng inf(fS(s),fO(o)), fS(s) fO(o) mức toàn vẹn trước thao tác thực Luồng thông tin Chúng ta nói có luồng thông tin trực tiếp từ đối tượng o tới đối tượng o', ký hiệu (s,o,o') có chủ thể trước hết quan sát o sau biến đổi o' 6/10 Các mô hình bảo mật Một dãy o1,s1,o2, ,on − 1,sn − 1,on gọi luồng thông tin (oi,si,oi + 1) luồng thông trực tiếp với ≤ i < n Chúng ta nói có luồng thông tin từ đối tượng o tới đối tượng o' có tồn luồng thông tin o1,s1,o2, ,on − 1,sn − 1,on cho o = o1,o' = on Cho a ∈ read,write Theo quy tắc toàn vẹn biến đổi, chủ thể thực thao tác truy xuất a, fS fO bị thay đổi Sự thay đổi biểu diễn ánh xạ α: α(s,o,read,fS,fO) = f'S f'S định nghĩa sau: với chủ thể r: f'S(r) = fS(r) r ≠ s f'S(r) = inf(fS(s),fO(o)) r = s Tương tự định nghĩa: α(s,o,write,fS,fO) = f'O f'O định nghĩa sau: với đối tượng o': f'O(o') = fO(o') o' ≠ o f'O(o') = inf(fS(s),fO(o)) o' = o Gọi s chủ thể thực đọc từ o ghi vào o' Định nghĩa: Ω (s,o,o',fS,fO) = (f'S,f'O) f'S = α(s,o,read,fS,fO) f'O = α(s,o',read,f'S,fO) Định nghĩa Một luồng thông tin o1,s1,o2, ,on − 1,sn − 1,on gọi an toàn fO,n(o1) ≥ fO,n(on) Trong đó: (fS,1,fO,1) = Ω (s,o1,o2,fS,fO) (fS,i + 1,fO,i + 1) = Ω (si,oi,oi + 1,fS,i,fO,i) Thực tế, chủ thể triệu gọi thực thể khác, ví dụ, tiến trình gọi tiến trình khác lúc thực thi Mô hình Biba mở rộng để xử lý thao tác dạng [1] Chúng ta xét hai tính chất sau Invoke property chủ thể s1 triệu gọi chủ thể s2 fS(s2) ≤ fS(s1) 7/10 Các mô hình bảo mật Ring property chủ thể s1 đọc đối tượng tất mức toàn vẹn Nó sửa đổi đối tượng o với fO(o) ≤ fS(s) triệu gọi chủ thể s2 fS(s1) ≤ fS(s2) Mô hình bảo mật hỗn hợp kiểm soát truy xuất theo vai trò Như thảo luận, mô hình có khả định nghĩa túy cho vấn đề toàn vẹn bí mật Hầu hết hệ thống bảo mật thông tin yêu cầu kết hợp hai loại quy tắc bảo mật Vì vậy, nhà nghiên cứu đề xuất mô hình hỗn hợp có khả kiểm soát vấn đề toàn vẹn bí mật ngữ cảnh Hai mô hình tiếng số mô hình Chinese-Wall mô hình kiểm soát truy xuất theo vai trò Mô hình Chinese-Wall phát triển khái niệm xung đột nhóm lợi ích phân chia chủ thể đối tượng thành nhóm tương ứng khác Nó định nghĩa cấu để kiểm soát ý niệm hành vi khứ (hay lịch sử) tác động tới việc truy xuất thông tin tương lai cấu [3] Để diễn tả mô hình Chinese-Wall, sử dụng quy ước sau (được đề xuất sử dụng [8]): • • • • C tập tổ chức; O tập đối tượng; y:O → C kết hợp tài liệu với chủ sở hữu x:O → 2C ánh xạ kết hợp đối tượng với tập tổ chức không phép biết thông tin • Nhãn bảo mật đối tượng (x(o), y(o)) • Một ma trận N = (Nso)s ∈ C,o ∈ O cho Nso = true s truy xuất tới o, ngược lại Nso = false Các quy tắc bảo mật mô hình Chinese-Wall định nghĩa sau ss-property chủ thể s phép truy xuất tới đối tượng o với đối tượng o’ có Ns,o'= true, y(o) x(o’) y(o)=y(o’) weak *-property chủ thể s có quyền ghi lên đối tượng o có quyền đọc đối tượng o’ thì: y(o) = y(o’) x(o’) = θ strong *-property chủ thể s cấp quyền ghi lên đối tượng o quyền đọc đối tượng o’ thì: (y(o) = y(o’) (x(o) θ x(o’) θ )) x(o’) = θ perfect *-property chủ thể s cấp quyền ghi lên đối tượng o quyền đọc tới đối tượng o’ thì: (y (o) = y(o’) (x(o’) x(o) θ )) x(o’) = θ 8/10 Các mô hình bảo mật Luồng thông tin Chúng ta nói có luồng thông tin nhạy cảm hợp lý trực tiếp từ đối tượng o tới đối tượng o' có chủ thể s cho s có quan sát o biến đổi o' Một dãy o1, ,on gọi luồng thông tin nhạy cảm hợp lý có luồng thông tin hợp lý trực tiếp từ oi tới oi + với ≤ i < n Chúng ta nói có luồng thông tin nhạy cảm hợp lý từ đối tượng o tới đối tượng o' có luồng thông tin hợp lý o1, ,on cho o = o1,o' = on Định nghĩa Một luồng thông tin nhạy cảm hợp lý o1, ,on gọi an toàn y(on) ∉ x(o1) Kiểm soát truy xuất sở vai trò (RBAC) xem mô hình hỗn hợp phổ biến công nghiệp Khái niệm cốt lõi RBAC vai trò – đại diện cho nhóm người dùng Mỗi vai trò kết hợp với tập quyền hạn quyền thao tác đối tượng Những vai trò tổ chức theo cấu trúc phân cấp để phản ánh phân cấp người sử dụng hệ thống RBAC trì hai ánh xạ: cấp phát người dùng (user assignment - UA) cấp phát quyền hạn (permission assignment - PA) Hai ánh xạ cập nhật độc lập linh hoạt cung cấp cho người quản trị kỹ thuật hiệu để quản lý quản trị quy tắc kiểm soát truy xuất [7] Công việc quản trị an ninh hệ thống lớn phức tạp đơn giản hóa cách áp dụng mô hình RBAC [10] Để cách làm việc RBAC, ROO đề xuất họ bốn mô hình khái niệm Hình biểu diễn mô hình quan hệ Hình 3.3(b) miêu tả đặc điểm thiết yếu RBAC0, xem mô hình sở nằm bên dưới, yêu cầu tối thiểu hệ thống RBAC Mô hình tiên tiến RBAC1 RBAC2 bao trùm RBAC0, chúng có thêm phân cấp vai trò (các tình vai trò thừa kế quyền hạn từ vai trò khác) ràng buộc (giúp áp đặt giới hạn cấu hình có thành phần khác thuộc RBAC) Mô hình hợp nhất, RBAC3, hàm chứa RBAC1, RBAC2 RBAC0 (theo tính chất bắc cầu) 9/10 Các mô hình bảo mật Một họ mô hình kiểm soát truy xuất theo vai trò Để rõ thêm (chi tiết xem [10]), xem xét định nghĩa hình thức sau RBAC [10] Định nghĩa Mô hình RBAC có thành phần sau: • • • • U, R, P, S (người sử dụng, vai trò, quyền hạn phiên làm việc); PA ⊆ P × R, quan hệ nhiều-nhiều cấp phát quyền hạn cho vai trò; UA ⊆ U × R, quan hệ nhiều-nhiều cấp phát người sử dụng cho vai trò; RH ⊆ R × R, quan hệ thứ tự phận R gọi quan hệ phân cấp hay quan hệ chi phối vai trò, viết ; • user:S → U, hàm ánh xạ phiên làm việc si tới người sử dụng đơn lẻ user(si)(không đổi suốt phiên làm việc); • roles:S → 2R biến đổi từ RBAC0 để yêu cầu roles(si) ⊆ {r ∣ (∃ r' ≥ r)[(user(si),r') ∈ UA]} (có thể thay đổi theo thời gian) phiên si có quyền hạn {p ∣ (∃ r'' ≤ r)[(p,r'') ∈ PA]} r ∈ roles(si) 10/10 ... kiểm soát truy xuất mức bảo mật Các quy tắc bảo mật ngăn ngừa thông tin rò rỉ từ mức bảo mật cao xuống mức thấp [1] Hình 3.1 mô tả trạng thái mô hình BLP Để biểu diễn mô hình BLP, sử dụng ký hiệu... Định nghĩa (trạng thái bảo mật) Một trạng thái gọi bảo mật ba tính chất bảo mật thỏa mãn Bell LaPadula đề xuất chứng minh định lý bảo mật sau [1] 4/10 Các mô hình bảo mật Định lý Nếu phép biến... bảo mật Vì vậy, nhà nghiên cứu đề xuất mô hình hỗn hợp có khả kiểm soát vấn đề toàn vẹn bí mật ngữ cảnh Hai mô hình tiếng số mô hình Chinese-Wall mô hình kiểm soát truy xuất theo vai trò Mô hình