Bài giảng Bảo mật cơ sở dữ liệu: Discretionary Access Control (Điều khiển truy cập tùy ý) trình bày các nội dung: Giới thiệu Discretionary Access Control, các loại quyền trong DAC, ưu và nhược điểm của DAC, các mô hình của DAC. Mời các bạn cùng tham khảo.
Trường Đại học Công nghiệp TP HCM Khoa Công nghệ Thông tin Discretionary Access Control Giảng viên: Trần Thị Kim Chi Discretionary Access Control Giới thiệu Discretionary Access Control Các loại quyền DAC Ưu nhược điểm DAC Các mơ hình DAC Discretionary Access Control Điều khiển truy cập tùy ý - Discretionary Access Control (DAC) rõ đặc quyền mà chủ thể có đối tượng hệ thống (object prilvilege, system privilege) Các yêu cầu truy nhập kiểm tra, thơng qua chế kiểm sốt tùy ý, truy nhập trao cho chủ thể thỏa mãn quy tắc cấp quyền hệ thống Sức mạnh DAC: Tính linh hoạt: lý biết đến rộng rãi thực hệ thống điều hành chủ đạo Người dùng bảo vệ thuộc Chủ liệu có tồn quyền liệu Chủ liệu có quyền định nghĩa loại truy cập đọc/ghi/thực thi gán quyền cho người khác Discretionary Access Control DAC dựa vào định danh người dùng có yêu cầu truy nhập vào đối tượng liệu (file, thư mục,…) Cơ chế gọi tùy ý có nghĩa là: Cho phép chủ thể cấp quyền cho chủ thể khác truy cập đối tượng Người sử dụng có khả cấp phát thu hồi quyền truy nhập số đối tượng Việc phân quyền kiểm soát dựa vào quyền sở hữu (kiểu sách cấp quyền dựa vào quyền sở hữu) Discretionary Access Control Discretionary Access Control DAC cho phép đọc thông tin từ đối tượng chuyển đến đối tượng khác (đối tượng ghi chủ thể) Tạo sơ hở công Trojan chép thông tin từ đối tượng đến đối tượng khác Ví dụ: UserA chủ sở hữu tableA, tạo khung nhìn ViewA từ bảng (sao chép thông tin) UserA không cho phép UserB đọc tableA lại vơ tình gán quyền Write cho UserB ViewA Như vậy, UserB đọc thông tin tableA dù không đủ quyền bảng Discretionary Access Control Một mơ hình DAC thường số đặc điểm sau đây: Người sở hữu liệu cấp quyền sở hữu thông tin cho người khác Người sở hữu liệu xác định kiểu truy xuất để cấp cho người khác (read, write, copy ) Hệ thống cảnh báo giới hạn truy xuất người dùng trường hợp yêu cầu truy xuất tới tài ngun đối tượng khơng đáp ứng q trình xác thực (thường số lần) Một phần mềm tăng cường (add-on) bổ sung (plug-in) áp dụng cho máy khách để ngăn ngừa người dùng chép thơng tin Người dùng khơng có quyền truy xuất thơng tin xác định đặc điểm (kích thước, tên, đường dẫn file ) Việc truy xuất tới thông tin xác định dựa quyền hợp pháp mơ tả danh sách kiểm sốt truy xuất theo danh tính người dùng nhóm Discretionary Access Control Cách thức điều khiển truy cập DAC hệ CSDL dựa vào thao tác bản: Gán quyền (granting privileges): Cho phép người dùng khác quyền truy cập lên đối tượng làm chủ Tuy nhiên, DAC lan truyền quyền Ví dụ: Oracle SQL Server có GRANT OPTION, ADMIN OPTION Thu hồi quyền (revoking privileges): thu hồi lại quyền gán cho người dùng khác Ví dụ: user có GRANT OPTION, thu hồi quyền truyền cho người khác Discretionary Access Control Các qui tắc trao quyền Các yêu cầu sách an tồn tổ chức đưa ra, người trao quyền có nhiệm vụ chuyển yêu cầu thành quy tắc trao quyền Qui tắc trao quyền: biểu diễn với môi trường phần mềm/phần cứng bảo vệ Các loại quyền DAC Quyền cấp tài khoản/hệ thống (account/system level): quyền độc lập với đối tượng hệ CSDL Những quyền người quản trị hệ thống định nghĩa gán cho người dùng Quyền cấp đối tượng(object level): quyền đối tượng hệ CSDL Người dùng tạo đối tượng có tất quyền đối tượng DAC – Quyền khẳng định Phủ định Thu hồi quyền cấp cấp quyền cấm Dùng câu lệnh REVOKE: Ta thu hồi lại quyền khẳng định (quyền cấp dùng lệnh GRANT) Ta thu hồi lại quyền phủ định (quyền cấm dùng câu lênh DENY) Câu lệnh REVOKE giống lênh DENY chỗ không cho thực điều Câu lênh REVOKE khác lệnh DENY chỗ REVOKE thu lại quyền cấp, DENY cấm chủ thể (hay vai trò) thực quyền tương lại DAC – Ràng buộc ngữ cảnh Thực tế người dùng phép truy cập liệu khoảng thời gian định Cần phải có chế hỗ trợ việc truy xuất khoảng thời gian cho trước Trong hầu hết HQT CSDK sách thường triển khai chương trình ứng dụng Ví dụ: chế cho phép người làm việc bán thời gian phép truy cập liệu vào khoảng từ 9am đến 1pm ngày 1/1/2015 Hạn chế: xác nhận thay đổi sách điều khiển truy cập, khơng đảm bảo sách thực thi Mơ hình điều khiển truy cập dựa vào thời gian đề xuất để giải vấn đề DAC – Ràng buộc ngữ cảnh Thời gian hiệu lực: Mỗi quyền truy xuất có khoảng thời gian hiệu lực Khi hết thời gian hiệu lực quyền truy xuất tự động bị thu hồi mà không cần người quản trị thu hồi Chu kỳ sử dụng quyền truy xuất: Quyền truy xuất theo chu kỳ quyền khẳng định hay quyền phủ định Nếu khoảng thời gian mà người dùng vừa có quyền khẳng định vừa có quyền phủ định đối tượng phương thức truy cập ưu tiên cho quyền phủ định DAC – Ràng buộc ngữ cảnh Cơ chế suy diễn dựa vào quy tắc suy diễn Quy tắc suy diễn biểu thị ràng buộc quyền truy xuất theo thời gian Qui tắc cho phép suy quyền truy xuất dựa vào tồn hay không tồn quyền truy xuất khác khoảng thời gian xác định Bằng cách sử dụng quy tắc suy diễn đáp ứng yêu cầu bảo vệ liệu cách ngắn gọn rõ ràng Ví dụ: Nếu người làm chung dự án phải quyền truy xuất đối tượng DAC – Ràng buộc ngữ cảnh Quyền truy xuất định nghĩa gồm thuộc tính auth = (s,o,m,pn,g) Trong đó: S(chủ thể), g (người gán), U(danh sách người dùng) mM (phương thức truy cập) oO (đối tượng) pn {+, -}(quyền khẳng định, quyền phủ định) Ví dụ: (B,o1, read, +, C): C gán quyền cho B reac đối tượng o1 (B, o1, write, -, C): C không cho phép B gán quyền write đối tượng o1 DAC – Ràng buộc ngữ cảnh Quyền truy xuất theo chu kỳ ba ([begin, end], P, auth) Trong đó: Begin ngày bắt đầu End ngày kết thúc vá lớn ngày bắt đầu P biểu thức chu kỳ Auth quyền truy xuất Quyền truy xuất theo chu kỳ thể quyền truy xuất có hiệu lực torng chu kỳ P với ngày sử dụng quyền lớn hay tb (ngày bắt đầu) nhỏ hay te (ngày kết thức) Ví dụ 2: A1 ={1/1/15, ], Mondays, (A, o1, read, +, B)) quyền truy xuất B gán, thể A có quyền read đối tượng o1 vào ngày thứ hai ngày 1/1/15 DAC – Ràng buộc ngữ cảnh Khi sử dụng quyền phủ định dẫn đến tượng xung đột Ví dụ: Giả sử có thêm quyền truy xuất A2=([1/1/16,], Working days, [A, o1, read, -, B)) gán quyền truy xuất A1 =([1/1/15, ]], Mondays, (A, o1, read, +, B)) Lúc ngày 1/1/156 A vừa có quyền khẳng định vừa có quyền phủ định đối tượng o1 phương thức read Hiện tượng xung đột giải cách ưu tiên quyền phủ định Do khoảng thời gian [1/1/15, 31/12/15] A có quyền read đối tượng o1 vào ngày thứ 2, nhiên từ ngày 1/1/16 A khơng gán quyền read đối tượng na2uy DAC – Ràng buộc ngữ cảnh Qui tắc suy diễn định nghĩa ba ([begin, end], P, AA) Trong đó: Begin ngày bắt đầu End ngày kết thúc P biểu thức chu kỳ A quyền truy xuất A biểu thức Bool quyền truy xuất OP toán tử WHENEVER, ASLONGAS, UPON Ngữ nghĩa toán tử theo qui tắc suy diễn ([begin,end], P,A, WHWNEVER, A): quyền truy xuất A có hiệu lực vào thời gian t chu kỳ P t[tb, te] A có hiệu lực Ví dụ: A1=([1/1/15,1/1/16], Workings days, (M,o1, read, B)) DAC điều khiển dòng thơng tin Khuyết điểm DAC: cho phép dòng thông tin từ đối tượng truyền sang đối tượng khác cách đọc thông tin lên từ đối tượng ghi thơng tin xuống đối tượng khác Ví dụ: Bob khơng phép xem file A, nên nhờ Alice (đồng lõa với Bob) copy nội dùng file A sang file B (Bob xem file B) Giả sử người dùng đáng tin cậy khơng làm việc Trojan Horses làm việc chép thông tin từ đối tượng sang đối tượng khác DAC điều khiển dòng thơng tin Ví dụ Trojan Horses: DAC điều khiển dòng thơng tin Ví dụ Trojan Horses: DAC điều khiển dòng thơng tin Ví dụ Trojan Horses: Ưu điểm điều khiển truy cập DAC Mơ hình hạn chế Mọi đối tượng có chủ sở hữu Chủ sở hữu có tồn quyền điều khiển đối tượng họ Chủ sở hữu cấp quyền đối tượng cho chủ thể khác Được sử dụng hệ điều hành Microsoft Windows hầu hết hệ điều hành UNIX Dễ dàng thực hiện, hệ thống linh hoạt DAC linh động sách nên hầu hết HQT CSDL ứng dụng Nhược điểm điều khiển truy cập DAC Phụ thuộc vào định người dùng để thiết lập cấp độ bảo mật phù hợp Khó Việc cấp quyền khơng xác quản lý việc gán / thu hồi quyền Quyền chủ thể “thừa kế” chương trình mà chủ thể thực thi Dễ bị lộ thơng tin Khơng thể thiếu dòng thơng tin (information flow control) để chống lại cơng dạng Trojan Horse Kiểm sốt an tồn khơng tốt .. .Discretionary Access Control Giới thiệu Discretionary Access Control Các loại quyền DAC Ưu nhược điểm DAC Các mơ hình DAC Discretionary Access Control Điều khiển truy cập tùy ý -. .. tượng Việc phân quyền kiểm soát dựa vào quyền sở hữu (kiểu sách cấp quyền dựa vào quyền sở hữu) Discretionary Access Control Discretionary Access Control DAC cho phép đọc thông tin từ đối tượng... truy cập cách có hệ thống Access Control Matrix (ACM) công cụ để thể trạng thái bảo vệ hệ thống cách chi tiết xác ACM mơ hình bảo mật dùng cho cấp hệ điều hành cấp sở liệu Cấu trúc mô hình ACM