Kiểm soát truy suất Kiểm soát truy suất Bởi: Khoa CNTT ĐHSP KT Hưng Yên Khái niệm Bảo mật thực chất kiểm soát truy xuất Mục đích bảo mật máy tính bảo vệ máy tính chống lại việc cố ý sử dụng sai mục đích chương trình liệu lưu trữ máy tính Nguyên lý kỹ thuật để bảo vệ thông tin hầu hết hệ thống kiểm soát truy xuất (access control) [3] Access control hình dung tình chủ thể chủ động (subject) truy xuất đối tượng bị động (object) với phép truy xuất Trong điều khiển tham chiếu (reference monitor) cho phép từ chối yêu cầu truy xuất [1] Mô hình sở access control đưa Lampson hình Mô hình sở kiểm soát truy xuất Trong hệ thống máy tính, chủ thể người sử dụng hay tiến trình Đối tượng file, nhớ, thiết bị ngoại vi, nút mạng Các phép truy xuất điển hình đọc (read), ghi (write), bổ sung (append) thực thi (execute) Quyền thực phép truy xuất định đối tượng gọi quyền truy xuất (access right) Các luật bảo mật (security policy) định nghĩa điều phối quyền truy xuất cho chủ thể Để biểu diễn kiểm soát truy xuất, tài liệu sử dụng quy ước sau đây: • S tập chủ thể • O tập đối tượng • A tập thao tác 1/6 Kiểm soát truy suất Cài đặt kiểm soát truy xuất Ma trận Nhìn chung, quyền truy xuất hoàn toàn định nghĩa đơn giản ma trận kiểm soát truy xuất M = (Mso)s ∈ S,o ∈ O với Mso ⊂ A Điểm vào Mso xác định tập phép truy xuất chủ thể s thực đối tượng o Nhưng thực tế, ma trận kiểm soát truy xuất khái niệm trừu tượng không thực phù hợp cho việc cài đặt trực tiếp số lượng chủ thể đối tượng lớn tập thay đổi thường xuyên [1] Ví dụ sau (lấy từ [1]) cách thức ma trận kiểm soát truy xuất triển khai mô hình bảo mật Bell-LaPadula Ví dụ : Ma trận kiểm soát truy xuất Chúng ta sử dụng bảng để biểu diễn ma trận, hai người dùng Bob Alice xử lý ba file, bill.doc, edit.exe fun.com Các quyền truy xuất file mô tả sau: • Bob có quyền đọc ghi file bill.doc Alice quyền truy xuất • Bob Alice có quyền thực thi file edit.exe • Bob Alice có quyền thực thi quyền đọc file fun.com có Bob có quyền ghi lên file Bây giờ, có ma trận kiểm soát truy xuất sau: Ma trận kiểm soát truy xuất Khả Phần trước, hạn chế việc cài đặt trực tiếp ma trận kiểm soát truy xuất Để giải vấn đề này, có nhiều giải pháp khả thi đề xuất Hai số giải pháp thảo luận tài liệu khả danh sách kiểm soát truy xuất 2/6 Kiểm soát truy suất Trong cách tiếp cận theo khả năng, quyền truy xuất kết hợp với chủ thể hay nói cách khác chủ thể cấp khả năng, thẻ nhớ xác định quyền truy xuất [1] Khả tương ứng với dòng chủ thể ma trận kiểm soát truy xuất Các quyền truy xuất Ví dụ 2.1 biểu diễn theo quan điểm khả sau: Khả Alice: edit.exe: execute; fun.com: execute, read Khả Bob: bill.doc: read, write; edit.exe: execute; fun.com: execute, read, write Danh sách kiểm soát truy xuất Trong danh sách kiểm soát truy xuất (Access Control List - ACL), quyền truy xuất lưu trữ đối tượng [1] Danh sách kiểm soát truy xuất tương ứng với cột ma trận kiểm soát truy xuất cho biết có quyền truy xuất đối tượng Các quyền truy xuất Ví dụ 2.1 mô tả theo danh sách kiểm soát truy xuất sau: ACL cho bill.doc Bob: read, write ACL cho edit.exe Bob: execute; Alice: execute ACL cho fun.com Bob: execute, read, write; Alice: execute, read Một số cách tiếp cận tới kiểm soát truy xuất Tổng quát, có hai cách tiếp cận tới kiểm soát truy xuất: tùy ý (discretionary) bắt buộc (mandatory) Các kỹ thuật kiểm soát truy xuất tùy ý dựa đặc quyền người dùng không mịn (coarse-grained) Các kỹ thuật kiểm soát truy xuất bắt buộc dựa đặc tả thành phần phần mềm mịn (fine-grained) [4] Chúng ta thấy kiểm soát truy xuất dựa đặc tả người dùng dường không phù hợp môi trường tính toán phân tán kiểm soát truy xuất dựa đặc tả thành phần đề xuất cho trường hợp Lý là: môi trường tính toán phân tán, người dùng chạy nhiều thành phần cấu thành ứng dụng Đương nhiên, tất thành phần có mức độ tin cậy, mã thực thi nhân danh người dùng đơn giản thừa kế quyền người dùng đó, thay vào xem xét dựa tính chất thành phần [5] Cách tiếp cận bật nghiên cứu kiểm soát truy xuất bắt buộc mịn kiểm soát truy xuất theo miền (domain-type enforcement - DTE) kiểm soát truy xuất theo vai trò (role-based access control - RBAC) Xu hướng phát triển thực 3/6 Kiểm soát truy suất chi phối kỹ thuật xử lý thành phần không tin cậy Chúng ta xem xét thay đổi Trong phần sau, giới thiệu số cách tiếp cận; tiếp mô tả số định nghĩa hình thức theo ngữ cảnh mô hình bảo mật Tùy ý Cơ sở kiểm soát truy xuất tùy ý (DAC) người dùng sở hữu quyền truy xuất tới thông tin chuyển giao quyền cho người dùng khác Điều có nghĩa người sử dụng phép xác định sách bảo mật riêng cách cấp thu hồi kiểu truy xuất có thông tin Nói chung có sách chung xem xét cách thức tạo sách địa phương Một sách định nghĩa cách người dùng cấp quyền truy xuất cho người khác, mô tả quyền truy xuất số người dùng không sở hữu Có nhiều mô hình bảo mật dựa kiểm soát truy xuất tùy ý đề xuất (Ví dụ, mô hình HRU BLP) Một sách DAC cụ thể định nghĩa tập quyền truy xuất cho trước – ví dụ, read, write, execute, write mô hình BLP – cách người dùng phép cấp lại quyền – ví dụ, trao quyền dựa khái niệm sở hữu, là, người dùng cấp thu hồi đặc quyền đối tượng họ sở hữu/tạo Các mô hình bảo mật DAC tìm cách trả lời câu hỏi vấn đề an toàn Những vấn đề xảy việc trao quyền vi phạm sách bảo mật chung Đây nguyên tắc áp dụng việc trao quyền truy xuất trao đổi thông tin Vì vậy, tính bí mật thông tin không xem xét [3] Một mô hình DAC thường có đặc điểm sau [6] • Người sở hữu liệu cấp quyền sở hữu thông tin cho người khác • Người sở hữu liệu xác định kiểu truy xuất để cấp cho người khác (read, write, copy ) • Hệ thống cảnh báo giới hạn truy xuất người dùng trường hợp yêu cầu truy xuất tới tài nguyên đối tượng không đáp ứng trình xác thực (thường số lần) • Một phần mềm tăng cường (add-on) bổ sung (plug-in) áp dụng cho máy khách để ngăn ngừa người dùng chép thông tin • Người dùng quyền truy xuất thông tin xác định đặc điểm (kích thước, tên, đường dẫn file ) • Việc truy xuất tới thông tin xác định dựa quyền hợp pháp mô tả danh sách kiểm soát truy xuất theo danh tính người dùng nhóm 4/6 Kiểm soát truy suất Bắt buộc Kiểm soát truy xuất bắt buộc (mandatory access control - MAC) bao gồm khía cạnh người dùng kiểm soát (hoặc thường không phép kiểm soát) Trong MAC, đối tượng gắn nhãn mô tả nhạy cảm thông tin bên MAC giới hạn truy xuất tới đối tượng dựa nhạy cảm chúng Các chủ thể cần có giấy phép thức (được cấp phép) truy xuất tới đối tượng [3] Nói chung, kỹ thuật kiểm soát truy xuất bắt buộc MAC bảo mật DAC đảm bảo cân đối hiệu sử dụng thuận tiện người dùng Kỹ thuật MAC cấp mức bảo mật cho tất thông tin, cấp giấy phép bảo mật cho người dùng bảo đảm tất người dùng có truy xuất tới liệu mà họ có giấy phép MAC thường phù hợp với hệ thống cực mật bao gồm ứng dụng quân có nhiều mức bảo mật ứng dụng liệu quan trọng Một mô hình MAC thường có đặc điểm sau [6] • Chỉ có người quản trị, người sở hữu liệu, thay đổi nhãn bảo mật tài nguyên • Tất liệu cấp/chỉ định mức bảo mật tương ứng với nhạy cảm, tính bí mật giá trị • Người dùng đọc thông tin từ lớp bảo mật thấp mức bảo mật họ cấp (Một người dùng “bảo mật” đọc tài liệu không phân loại) • Người dùng ghi lên thông tin thuộc lớp bảo mật cao (Một người dùng “bảo mật” xuất thông tin lên mức bảo mật cao nhất) • Người dùng cấp quyền đọc/ghi đối tượng có mức bảo mật (một người dùng “bảo mật” đọc/ghi tài liệu bảo mật) • Truy xuất tới đối tượng cấp phép bị giới hạn theo thời gian phụ thuộc vào nhãn gắn với tài nguyên giấy phép người dùng (áp đặt sách) • Truy xuất tới đối tượng cấp phép bị giới hạn dựa đặc tính bảo mật máy khách (ví dụ, độ dài theo bit SSL, thông tin version, địa IP gốc domain ) Kiểm soát truy xuất theo vai trò Trong kiểm soát truy xuất theo vai trò (role-based access control - RBAC), định truy xuất dựa vai trò trách nhiệm riêng rẽ bên tổ chức cá nhân Quá trình định nghĩa vai trò thường dựa việc phân tích mục tiêu cấu trúc tổ chức kết nối tới sách bảo mật Những khía cạnh sau thể đặc điểm RBAC cấu thành mô hình kiểm soát truy xuất [6] 5/6 Kiểm soát truy suất • Các vai trò cấp phát dựa cấu trúc tổ chức với nhấn mạnh đặc biệt cấu trúc bảo mật • Các vai trò cấp phát người quản trị dựa mối quan hệ nội tổ chức cá nhân Ví dụ, người quản lý có giao dịch cấp phép với nhân viên Một người quản trị có giao dịch cấp phép phạm vi quản lý (sao lưu, tạo tài khoản ) • Mỗi vai trò định rõ hồ sơ bao gồm tất câu lệnh, giao dịch truy xuất hợp pháp tới thông tin • Các vai trò cấp quyền hạn dựa nguyên lý đặc quyền tối thiểu (the principle of least privilege) • Các vai trò xác định với nhiệm vụ khác người có vai trò developer không thực nhiệm vụ vai trò tester • Các vai trò kích hoạt tĩnh động tùy thuộc vào kiện kích hoạt có liên quan (hàng đợi trợ giúp, cảnh báo bảo mật, khởi tạo project ) • Các vai trò chuyển giao ủy quyền sử dụng quy trình thủ tục nghiêm ngặt • Các vai trò quản lý tập trung người quản trị bảo mật trưởng dự án 6/6 ... sách kiểm soát truy xuất Trong danh sách kiểm soát truy xuất (Access Control List - ACL), quyền truy xuất lưu trữ đối tượng [1] Danh sách kiểm soát truy xuất tương ứng với cột ma trận kiểm soát truy. . .Kiểm soát truy suất Cài đặt kiểm soát truy xuất Ma trận Nhìn chung, quyền truy xuất hoàn toàn định nghĩa đơn giản ma trận kiểm soát truy xuất M = (Mso)s ∈ S,o ∈ O... người dùng nhóm 4/6 Kiểm soát truy suất Bắt buộc Kiểm soát truy xuất bắt buộc (mandatory access control - MAC) bao gồm khía cạnh người dùng kiểm soát (hoặc thường không phép kiểm soát) Trong MAC,