Các mô hình điều khiển truy cập chuan

Việc kết hợp chặt chẽ giữa các kỹ thuật điều khiển truy cập mạng (Network Access Control NAC) vào cơ sở hạ tầng mạng không phải là một tùy chọn mà đúng hơn là một quy luật tất yếu. Mặc dù vậy, NAC không dễ dàng có thể định nghĩa. Nó bao quát cả một dải rộng lớn về cả nghĩa và phương pháp. NAC là một chính sách có hiệu lực, nó gần như được thắt chặt với các quá trình làm việc trong một công ty. Ví dụ như nhiều hot spot không dây tại các nhà hàng đã được triển khai hệ thống NAC cơ bản để yêu cầu người dùng cần phải chấp nhận một số điều kiện trong chính sách sử dụng trước khi họ được phép truy cập vào mạng.

Nhóm thực hiện: Đặng Đình Đức Nguyễn Văn Ninh Hoàng Thanh Tùng

 Hiện nay, với sự phát triển nhanh chóng của công

nghệ thông tin và xu hướng hội nhập kinh tế quốc tế, nhu cầu trao đổi thông tin và tài nguyên giữa các tổ chức, cá nhân thông qua mạng Internet ngày càng gia tăng Từ việc trao đổi thông tin thư từ cho đến việc

chia sẻ tài nguyên như hình ảnh âm thanh, các tài

liệu…tất cả giờ đây đã được số hóa Các ứng dụng

ngày nay đòi hỏi phải có khả năng kết nối với mạng Internet và phục vụ được hàng triệu người sử dụng

trong cùng một thời điểm Xuất phát từ thực tế đó,

một vấn đề nảy sinh đó là làm thế nào để đảm bảo an ninh và bảo mật dữ liệu trong một hệ thống đa người dùng Đây chính là lý do cho sự ra đời của các mô

hình điều khiển truy cập (Access Control) nói chung.

 Việc kết hợp chặt chẽ giữa các kỹ thuật điều

khiển truy cập mạng (Network Access Control - NAC) vào cơ sở hạ tầng mạng không phải là

một tùy chọn mà đúng hơn là một quy luật tất yếu Mặc dù vậy, NAC không dễ dàng có thể

định nghĩa Nó bao quát cả một dải rộng lớn về

cả nghĩa và phương pháp NAC là một chính

sách có hiệu lực, nó gần như được thắt chặt với các quá trình làm việc trong một công ty Ví dụ như nhiều hot spot không dây tại các nhà hàng

đã được triển khai hệ thống NAC cơ bản để yêu cầu người dùng cần phải chấp nhận một số điều kiện trong chính sách sử dụng trước khi họ được phép truy cập vào mạng.

 Để trả lời câu hỏi làm thế nào để chọn đúng

phương pháp NAC, có hai điều kiện tiên quyết

phải được thỏa mãn

 + Thứ nhất, ta phải hiểu về những gì NAC cung

cấp, và chúng có thể tích hợp vào trong mạng

như thế nào

 + Thứ hai, là sự bảo mật của các công ty và các

chính sách truy cập Các hệ thống NAC không

tạo ra các chính sách mà chỉ ép buộc chúng

 Trong báo cáo này, chúng tôi khái quát về một

số mô hình điều khiển truy cập phổ biến như

MAC (mandatory access control), DAC

(discretionary access control) và RBAC

(Role-based access control).

 Trong báo cáo này sẽ tập trung vào các vấn

 Điều khiển truy cập nói chung được chia ra làm

ba loại, hoặc là tùy quyền (discretionary), hoặc

là bắt buộc (mandatory), hoặc trên cơ sở vai trò

(role-based) Thường hiểu có sự khác nhau giữa điều khiển truy cập tùy quyền (DAC) và điều

khiển truy cập bắt buộc (MAC) cũng như những phương pháp điều khiển truy cập cụ thể thuộc mỗi hạng loại trên, nó là một yêu cầu then chốt

để chúng ta có thể đạt được kết quả tốt về chất lượng an ninh trong hệ thống máy tính.

  

Kỹ thuật điều khiển truy cập

 Điều khiển truy cập tùy quyền

(discretionary access control - DAC) là một

chính sách truy cập vào tài nguyên hệ

thống được điều khiển bởi hệ điều hành

(dưới sự kiểm soát của một người quản trị

hệ thống) Người quản trị hệ thống sẽ quyết định ai là người được phép truy cập tập tin

và những đặc quyền (privilege) nào là

những đặc quyền người đó được phép thi

hành

 Thông thường DAC là cơ chế kiểm soát truy cập mặc định cho hệ điều hành hầu hết các máy

tính để bàn.

 + Trong hệ thống kiểm soát truy cập, DAC được

áp dụng theo quyết định của riêng bạn Với DAC bạn có thể chọn đường gửi đi cho dữ liệu của

bạn, còn với MAC bạn không làm được điều này.

 + DAC không chỉ cho bạn biết ai trong hệ thống

có thể truy cập dữ liệu của bạn, nó cho phép

bạn chỉ định kiểu truy cập được cho phép

với file, bạn có thể đọc file.

với file, bạn có thể viết (thay đổi hoặc thay thế) file.

một chương trình Nếu bạn có quyền thực thi

thực sự với tập tin, bạn có thể chạy nó.

 Hai quan niệm quan trọng trong truy cập tùy quyền là:

 3.1.1.Quyền sở hữu tập tin và dữ liệu (file and data

các thiết bị (devices) Theo lý thuyết, đối tượng nào không có chủ

sở hữu thì đối tượng đó không được bảo vệ Thông thường thì

người chủ của tài nguyên chính là người đã kiến tạo nên tài

nguyên (như tập tin hoặc thư mục).

 Ví dụ:

 Nếu bạn tạo ra một tập tin, bạn là chủ sở hữu của tập tin đó ID đăng nhập của bạn, hoặc một số nhận diện khác, được thêm vào trong phần header file Nếu bạn là chủ sở hữu của tập tin, hệ

thống cơ sở cho phép bạn đọc và thay đổi các tạp tin Nếu bạn không phải là chủ sở hữu của tập tin, bạn không có quyền đối với tập tin Một điều không thực tế là nó không cho phép bạn chia sẻ tập tin với bất cứ ai.

 3.1.2.Các quyền và phép truy cập

 Đây là những quyền khống chế những thực thể tài nguyên mà người chủ của các tài nguyên chỉ định cho một người hoặc một nhóm người dùng.

 Điều khiển truy cập tùy quyền có thể được áp dụng thông qua nhiều kỹ thuật khác nhau như:

control list - ACL) là định danh cho các quyền và

các phép được chỉ định cho một chủ thể hoặc

một đối tượng Danh sách điều khiển truy cập cho ta một phương pháp linh hoạt để áp dụng quy chế điều khiển truy cập tùy quyền ACL

được thực hiện khác nhau trên các hệ thống

khác nhau.

Trong UNIX-based một hệ thống đáng tin cậy sử dụng nhân bảo mật UNIX được phát triển bởi Atlanta- based SecureWare, bạn muốn bảo

vệ tệp tin PAYROLL với ACL theo

mẫu:

<john.acct, r>

<jane.pay, rw>

Trong đó:

+ John và jane là ID đăng nhập

của người dùng được phép truy cập

vào các tập tin PAYROLL.

+ Acct và pay được ID nhóm của

người sử dụng.

+ R và W cho biết loại truy cập

được phép r có nghĩa là người dùng chỉ có thể đọc tệp PAYROLL và w

nghĩa là người dùng có thể thay đổi nó.

 Danh sách điều khiển truy cập(cont)

 - ACL thường hỗ trợ các ký tự đại diện cho phép bạn chỉ định cách truy cập các tập tin một cách tổng quát

 + Trong một số hệ thống, bạn có thể chỉ ra rằng một người dùng cụ thể là không được phép truy cập vào một tập tin

 Danh sách điều khiển truy cập(cont)

◦ Danh sách điều khiển truy cập (Access control list

- ACL) định danh các quyền và phép được chỉ định cho một chủ thể hoặc một đối tượng Danh sách điều khiển truy cập cho ta một phương pháp linh hoạt để áp dụng quy chế điều khiển truy cập tùy quyền.

 Điều khiển truy cập bắt buộc (mandatory

access control - MAC) là một chính sách truy

cập không do cá nhân sở hữu tài nguyên quyết định, mà do hệ thống quyết định MAC được

dùng trong các hệ thống đa tầng đa cấp, là

những hệ thống xử lý các loại dữ liệu nhạy cảm, như các thông tin được phân hạng về mức độ

bảo mật trong chính phủ và trong quân đội Một

hệ thống đa tầng đa cấp là một hệ thống máy tính duy nhất chịu trách nhiệm xử lý bội số của các phân loại dưới nhiều tầng, nhiều cấp, giữa các chủ thể và các đối tượng.

 Nhãn hiệu nhạy cảm (sensitivity label): Trong hệ thống

dùng điểu khiển truy cập bắt buộc, hệ thống chỉ định một nhãn hiệu cho mỗi chủ thể và mỗi đối tượng trong hệ

thống Nhãn hiệu nhạy cảm của một chủ thể xác định mức tin cẩn cần thiết để truy cập Để truy cập một đối tượng

nào đấy, chủ thể phải có một mức độ nhạy cảm (tin cẩn)

tương đồng hoặc cao hơn mức độ của đối tượng yêu cầu

 + Việc xuất dữ liệu và nhập dữ liệu (Data import and

export): là điều khiển việc nhập thông tin từ một hệ thống

khác và xuất thông tin sang các hệ thống khác (bao gồm

cả các máy in) là một chức năng trọng yếu trong các hệ thống sử dụng điều khiển truy cập bắt buộc Nhiệm vụ của việc xuất nhập thông tin là phải đảm bảo các nhãn hiệu nhạy cảm được giữ nguyên một cách đúng đắn và nhiệm

vụ này phải được thực hiện sao cho các thông tin nhạy

cảm phải được bảo vệ trong bất kỳ tình huống nào

 Có hai phương pháp được dùng phổ biến để áp dụng nguyên tắc điều khiển truy cập bắt buộc:

 * Thứ nhất là điều khiển truy cập dùng chính

sách (rule-based access control)

 Việc điều khiển thuộc loại này định nghĩa thêm những điều kiện cụ thể đối với việc truy cập một đối tượng

mà chúng ta yêu cầu Tất cả các hệ thống dùng điều khiển truy cập bắt buộc đều thực hiện một hình thức

đã được đơn giản hóa của thể loại điều khiển truy cập dùng chính sách, nhằm quyết định cho phép hay từ chối yêu cầu truy cập, bằng cách đối chiếu:

 + Nhãn hiệu nhạy cảm của đối tượng

 + Nhãn hiệu nhạy cảm của chủ thể

 * Thứ hai là điều khiển truy cập dùng bố trí mắt

lưới (lattice-based access control):

 Đây là phương pháp người ta sử dụng đối với những

quyết định phức tạp trong điều khiển truy cập với sự liên quan bội số của các đối tượng hay các chủ thể Mô hình mắt lưới là một cấu trúc toán học, nó định nghĩa các giá

trị cận dưới lớn nhất (greatest lower-bound) và cận trên nhỏ nhất (least upper-bound) cho những cặp nguyên tố,

chẳng hạn như cặp nguyên tố bao gồm một chủ thể và một đối tượng

 + Trong mô hình (MAC) còn được dùng để bảo vệ và ngăn chặn các quy trình máy tính, dữ liệu, và các thiết bị hệ

thống khỏi sự lạm dụng Kỹ thuật này có thể mở rộng và thay thế kỹ thuật điều khiển truy cập tùy quyền đối với

các phép truy cập và sử dụng hệ thống tập tin

(file-system permissions) cùng với những khái niệm về người

dùng và nhóm người dùng

 + Đặc trưng quan trọng nhất của MAC bao hàm việc từ

chối người dùng toàn quyền truy cập hay sử dụng tài

nguyên do chính họ kiến tạo Chính sách an ninh của hệ

thống (được người quản trị hệ thống (administrator) quy

định) hoàn toàn quyết định các quyền truy cập được công nhận, và một người dùng không thể tự hạn chế quyền truy cập vào các tài nguyên của họ hơn những gì mà người

quản trị hệ thống chỉ định (các hệ thống dùng điều khiển truy cập tùy quyền cho phép người dùng toàn quyền quyết định quyền truy cập được công nhận cho các tài nguyên của họ, có nghĩa là họ có thể (do tình cờ hay do ác ý) ban quyền truy cập cho những người dùng bất hợp pháp.)

 + Mục đích của MAC là định nghĩa một kiến trúc mà trong

đó nó đòi hỏi sự đánh giá tất cả các nhãn hiệu có liên quan

đến an ninh (security-related labels) và đưa ra những

quyết định dựa trên cơ sở ngữ cảnh của các thao tác cùng

các nhãn hiệu dữ liệu (data labels) tương đồng

 + Kiến trúc nâng cao tính năng bảo mật của nhân

(FLASK) và kiến trúc Cơ cấu tổ chức tổng quát đối với

điều khiển truy cập (Generalized Framework for Access

Control - GFAC), đi đôi với MAC, trở thành những kỹ thuật

khả thi cho những hệ thống an ninh đa tầng, đa cấp

(multilevel security systems).

 + Một kiến trúc như vậy sẽ ngăn chặn một người dùng

đã được xác thực, hoặc một quy trình tại một phân hạng

cụ thể nào đấy (classification), hoặc có một mức độ tin cẩn (trust-level) nhất định nào đấy, không cho họ truy cập thông tin, truy cập các quy trình (processes) hoặc

truy cập các thiết bị (devices) ở một tầng cấp khác Kết

quả của việc này là nó cung cấp cho chúng ta một cơ

chế chính sách ngăn chặn đối với người dùng và các quy trình, hoặc biết, hoặc chưa biết

 3.2.1.Độ nhạy của nhãn:

 Tất cả các chủ đề và đối tượng trong một hệ thống có hỗ trợ mô hình MAC đều có một nhãn nhạy cảm kết hợp với

nó Một nhãn nhạy cảm bao gồm hai phần là: Phân loại A

và một bộ các Phân loại (còn được gọi là khoang)

 Phân loại là một hình thức phân cấp theo cấp bậc

 - Các chủng loại khoang được phân cấp và đại diện cho các khu vực riêng biệt của thông tin trong một hệ thống tạo nên một tập các phân loại hoặc thiết lập một ngăn chứa một số thông tin về các mặt hàng

 - Trong môi trường quân sự, có thể có các loại như:

 3.2.2.Nhập dữ liệu và xuất dữ liệu

 Trong một hệ thống kiểm soát truy cập bắt buộc, nó rất quan trọng để kiểm soát việc nhập thông tin từ các hệ thống khác, và xuất các thông tin cho các hệ thống khác MAC là một hệ thống có nhiều quy tắc

về dữ liệu nhập và dữ liệu xuất Họ cũng kiểm soát được hệ thống thiết bị mà bạn có thể sử dụng để

sao chép và in thông tin

 Ví dụ:

 bạn có thể không được phép in các thông tin nhạy cảm trên một máy in nằm trong một khu vực công cộng của tòa nhà của bạn Ngoài ra còn có các quy tắc cho các thiết bị in nhãn mác (với các trang biểu ngữ và các tiêu đề trang)

 3.2.3 Quyết định truy cập

 + Trong một hệ thống kiểm soát truy cập bắt buộc, tất cả các quyết định truy cập được thực hiện bởi hệ thống Không giống như các điều khiển truy cập tùy ý, cho phép bạn chỉ định, theo quyết định của riêng bạn, những người có thể và không thể chia sẻ tập tin, kiểm soát truy cập bắt buộc đưa ra quyết định truy cập tất cả như dưới sự kiểm soát của hệ thống Quyết định cho phép hay từ chối truy cập đến một đối tượng (ví dụ, một tập tin) bao gồm một sự tương tác giữa tất cả ba điều sau đây:

 + Các nhãn hiệu của đối tượng Ví dụ một nhãn hiệu của đối tượng là:

 * TOP SECRET (VENUS TANK ALPHA)

 + Các nhãn hiệu của đối tượng Ví dụ một LOGISTICS tập tin có tên với một nhãn nhạy cảm là:

 * TUYỆT MẬT (VENUS ALPHA)

 + Một yêu cầu truy cập Ví dụ bạn đang cố gắng để đọc các file

LOGISTICS Khi bạn cố gắng để đọc các file trên, hệ thống sẽ so sánh

nhãn của tập tin để xác định xem bạn có được phép đọc nó hay

không

Hình vẽ cho thấy cách điều khiển truy cập bắt buộc.

 Trong vấn đề an ninh đối với các hệ thống máy tính,

Điều khiển truy cập trên cơ sở vai trò (role-based

access control - RBAC) là một tiếp cận (phương

pháp) để hạn chế người dùng hợp pháp truy cập hệ thống Nó là một phương pháp tiếp cận mới, có thể dùng để thay thế phương pháp điều khiển truy cập tùy quyền (DAC) và điều khiển truy cập bắt buộc

(MAC).

 Điều khiển truy cập dựa trên cơ sở vai trò (RBAC)

khác với các hình thức điều khiển truy cập tùy quyền (DAC) và điều khiển truy cập bắt buộc (MAC) DAC và MAC trước đây là hai mô hình duy nhất được phổ

biến trong điều khiển truy cập Nếu một hệ thống

không dùng DAC thì người ta chỉ có thể cho rằng hệ thống đó dùng MAC mà không có lựa chọn thứ ba

 RBAC bắt đầu với hệ thống đa người sử dụng và đa

ứng dụng trực tuyến được đưa ra lần đầu vào những

năm 70 Ý tưởng trọng tâm của RBAC là

permission (quyền hạn), kết hợp với role (vai trò)

và user (người sử dụng) được phân chia dựa theo

các role thích hợp Điều này làm đơn giản phần lớn việc quản lý những permission Tạo ra các role

cho các chức năng công việc khác nhau trong một

tổ chức và user cũng được phân các role dựa vào trách nhiệm và trình độ của họ Phân lại cho user

từ chức năng này sang chức năng khác Những role được cấp các permission mới vì các ứng dụng gắn kết chặt chẽ với các hệ thống và các permission được hủy khỏi các role khi cần thiết.

 Một role được xem như một kết cấu ngữ nghĩa

mà cơ chế điều khiển truy cập đều hình thành

xung quanh Một tập hợp riêng biệt những user

và các permission được lập ra bởi các role chỉ

là tạm thời Role ổn định hơn bởi vì hoạt động

hay chức năng của một tổ chức thường ít thay đổi hơn

 Một role tương ứng với một năng lực để làm

một nhiệm vụ cụ thể, ví dụ một bác sỹ nội khoa

hay một dựợc sỹ Một role cũng là hiện thân

của một thẩm quyền và một bổn phận như một giám sát dự án.

 Trong nội bộ của một tổ chức, các vai trò (role) được kiến tạo để đảm nhận các chức năng công việc khác nhau Mỗi

vai trò được gắn liền với một số quyền hạn (permissions)

cho phép nó thao tác một số hoạt động cụ thể Các thành

viên trong lực lượng cán bộ công nhân viên (hoặc những

người dùng trong hệ thống) được phân phối một vai trò

riêng, và thông qua việc phân phối vai trò này mà họ tiếp thu được một số những quyền hạn cho phép thi hành

những chức năng cụ thể trong hệ thống

 Vì người dùng không được cấp phép trực tiếp, mà chỉ tiếp

thu được quyền hạn thông qua vai trò của họ (hoặc các

vai trò), việc quản lý quyền hạn của người dùng trở thành

một việc khá đơn giản, và người ta chỉ cần chỉ định những vai trò thích hợp cho người dùng mà thôi Việc chỉ định

vai trò này đơn giản hóa những công việc thông thường như việc cho thêm một người dùng vào trong hệ thống,

hay đổi phòng công tác (department) của người dùng.