BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KĨ THUẬT MẬT MÃ BÁO CÁO BÀI TẬP LỚN NHÓM ĐỀ TÀI Nghiên cứu mơ hình điều khiển truy cập bắt buộc Giảng viên hướng dẫn : Vũ Thị Vân Sinh viên thực : Dương Tất Đạt Nguyễn Thiện Đô Nguyễn Tuấn Giang Lớp Học phần : L02 : Cơ sở an tồn thơng tin Hà Nội, tháng năm 2021 MỤC LỤC Contents LỜI MỞ ĐẦU Chương 1: Điều khiển truy cập _6 Tổng quan _6 1.1 Khái niệm 1.2 Các yếu tố cản điều khiển truy cập _7 1.3 Nguyên tắc thiết lập điều khiển truy cập _7 1.4 Quá trình truy cập tài nguyên _7 Ma trận điều khiển truy cập ACM _8 2.1 Khái niệm 2.2 Cấu trúc mơ hình ACM 2.3 Quy tắc hoạt động ACM _9 Danh sách quyền truy cập ACL 10 3.1 Khái niệm chung 10 3.2 Nguyên tắc hoạt động danh sách truy cập 10 3.3 Tổng quan lệnh ACL _13 Danh sách lực (Capability List) _14 Các mơ hình điều khiển truy cập _14 5.1 Mandatory Access Control (MAC) 14 5.2 Discretionary Access Control (DAC) 14 5.3 Role-Base Access Control _15 Chương 2: Điều khiển truy cập bắt buộc _15 Giới thiệu _15 Các tính chất 17 Ưu nhược điểm 19 Mơ hình thực thi theo xu hướng MAC 19 4.1 Mơ hình Bell-LaPadula _19 4.2 Mơ hình Biba _21 Chương 3: Thực nghiệm Oracle 22 Chính sách điều khiển truy cập bắt buộc _22 An toàn dựa vào nhãn Oracle 23 Thực nghiệm Oracle _24 3.1 Mô tả toán 24 3.2 Thực nghiệm Oracle 24 KẾT LUẬN _32 Tài liệu tham khảo 33 LỜI MỞ ĐẦU Với phát triển mạnh mẽ Internet mạng web toàn cầu, ứng dụng dịch vụ mạng Internet ngày phong phú Đi kèm với ứng dụng dịch vụ hữu ích cho người dùng phần mềm độc hại hành động công, đột nhập vào hệ thống máy tính mạng nhằm chiếm quyền kiểm soát hệ thống đánh cắp liệu có giá trị Vì thế, vấn đề đảm bảo an ninh, an toàn cho hệ thống máy tính mạng, an tồn liệu trở nên cấp thiết Nhiều giải pháp đảm bảo an ninh, an toàn nghiên cứu, triển khai biện pháp điều khiển truy cập, rà quét phát phần mềm độc hại, phát công, đột nhập mã hóa liệu Các giải pháp đảm bảo an ninh, an toàn thường sử dụng kết hợp với tạo thành hệ thống an ninh có nhiều lớp có khả giảm thiểu nguy an toàn cho hệ thống Điều khiển truy cập (Access Control) kỹ thuật cho phép kiểm sốt việc truy nhập đến tài ngun tính tốn cho người dùng nhóm người dùng Điều khiển truy cập thường sử dụng lớp phòng vệ thứ nhất, nhằm ngăn chặn các phần mềm độc hại hành động công, đột nhập vào hệ thống máy tính mạng truy cập trái phép vào liệu tài ngun tính tốn Lớp phịng vệ dựa điều khiển truy cập quan trọng giúp ngăn chặn đa số công, đột nhập thông thường Trong điều kiện hạ tầng mạng nhân lực quản trị hệ thống quan, tổ chức Việt Nam hạn chế, việc nghiên cứu sâu điều khiển truy cập để tìm giải pháp ứng dụng phù hợp thực cần thiết Đề tài "Nghiên cứu mơ hình kiểm sốt truy cập bắt buộc" đưa với mục đích nghiên cứu biện pháp điều khiển truy cập ứng dụng phân tích hệ thống điều khiển truy cập hệ điều hành phổ biến Hơn nữa, đề tài đề xuất số biện pháp đảm bảo an ninh, an toàn dựa điều khiển truy cập cho hệ điều hành ứng dụng Chương 1: Điều khiển truy cập Tổng quan 1.1 Khái niệm Điều khiển truy cập (Access control) tập hợp chế cho phép người quản trị hệ thống tác động lên hành vi, công dụng nội dung hệ thống Điều khiển truy cập cho phép xác định người dùng làm gì, truy cập tài nguyên thực thi tác vụ hệ thống Có ba khái niệm ngữ cảnh điều khiển truy cập, bao gồm: • Chính sách (policy): Là luật phận quản trị tài nguyên đề • Chủ thể (subject): Có thể người sử dụng, mạng, tiến trình hay ứng dụng yêu cầu truy cập vào tài nguyên • Đối tượng (object): Là tài nguyên mà chủ thể phép truy cập 1.2 Các yếu tố cản điều khiển truy cập - Subjects: Tồn đối tượng gán quyền truy cập Có thể coi User/Group hệ thống - Objects: Tài nguyên sử dụng - Access Permissions: sử dụng để gán quyền truy cập Objects cho Subjects (Ví dụ User Subject, foder Object, Permission quyền gán cho User truy cập vào Folder) Bảng Access Permissions cho đối tượng gọi Access Control List (ACLs), ACL toàn hệ thống thống kê bảng Access Control Entries (ACEs) 1.3 Nguyên tắc thiết lập điều khiển truy cập - Nguyên tắc đặc quyền nhất: Người dùng (Subjects) gán quyền nhỏ (minimum permissions) với tài nguyên (Object) đảm bảo công việc - Nguyên tắc phân tách nhiệm vụ trách nhiệm: Các hệ thống quan trọng cần phải phân chia thành thành phần khác để dễ dàng phân quyền điều khiên hợp lý - Nguyên tắc cần biết: Người dùng truy cập vào vùng tài nguyên mà họ cần có hiểu biết tài ngun để đảm bảo cho cơng việc họ 1.4 Quá trình truy cập tài nguyên - Nhận dạng: Quá trình nhận dạng người dùng, người dùng cung cấp thông tin cho hệ thống nhận dạng - Xác thực: Bước xác thực người dùng, người dùng cung cấp thông tin xác nhận dạng, hệ thống tiến hành xác thực nhiều phương thức khác - Ủy quyền:Thẩm quyền truy cập tài nguyên hệ thống cấp cho người dùng sau xác thực - Thống kê: Hệ thống giám sát thống kê trình truy cập người dùng vào vùng tài nguyên Ma trận điều khiển truy cập ACM 2.1 Khái niệm Access Control Matrix (ACM) công cụ để thể trạng thái bảo vệ hệ thống cách chi tiết xác ACM mơ hình bảo mật dùng cho cấp hệ điều hành cấp sở liệu 2.2 Cấu trúc mơ hình ACM - Trạng thái định quyền (Authorization state) Q = (S, O, A)  S (Subjects): tập chủ thể - thực thể chủ động (active entity) sử dụng nguồn tài nguyên hệ thống Ví dụ: người dùng, nhóm người dùng (group), q trình (process), chương trình (programs)  (Objects): tập đối tượng - thực thể cần bảo vệ, bao gồm thực thể bị động (passive object) tài nguyên hệ thống chủ thể Ví dụ: cấp hệ điều hành: file, nhớ, segments, trình cấp CSDL: CSDL, quan hệ, thuộc tính, hàng, trường liệu hàng  A (Access matrix): ma trận truy cập Hàng: chủ thể Cột: đối tượng Mỗi ô A[s,o] chứa quyền truy cập mà chủ thể s quyền làm đối tượng o Các quyền truy cập: thêm, xóa, sửa, đọc, thực thi,… 2.3 Quy tắc hoạt động ACM Ví dụ: Hệ thống có hai người dùng Bob Alice xử lý ba file, Bill.doc, Edit.exe Fun.com Các quyền truy xuất file mơ tả sau: - Bob có quyền đọc ghi file Bill.doc Alice khơng có quyền truy xuất - Bob Alice có quyền thực thi file Edit.exe - Bob Alice có quyền thực thi quyền đọc file Fun.com có Bob có quyền ghi lên file S O Bill.doc Alice Bob Read, Write Edit.exe Fun.com Execute Execute, Read Execute Execute, Read, Write Danh sách quyền truy cập ACL 3.1 Khái niệm chung Danh sách truy cập phát biểu dùng để đặc tả điều kiện mà nhà quản trị muốn thiết đặt, nhờ router xử lý truyền tải mô tả danh sách truy cập theo cách thức khơng bình thường Danh sách truy cập đưa vào điều khiển cho việc xử lý gói tin đặc biệt theo cách thức Có hai loại danh sách truy cập là:  Danh sách truy cập chuẩn (standard access list): danh sách sử dụng cho việc kiểm tra địa gởi gói tin chọn đường Kết cho phép hay từ chối gởi cho giao thức dựa địa mạng/mạng hay địa máy  Danh sách truy cập mở rộng (Extended access list): danh sách truy cập mở rộng kiểm tra cho địa gởi nhận gói tin Nó kiểm tra cho giao thức cụ thể, số hiệu cổng tham số khác Điều cho phép nhà quản trị mạng mềm dẻo việc mơ tả muốn danh sách truy cập kiểm tra Các gói tin phép từ chối gởi tùy thuộc vào gói tin xuất phát từ đâu đến đâu 3.2 Nguyên tắc hoạt động danh sách truy cập Danh sách truy cập diễn tả tập hợp qui luật cho phép đưa vào điều khiển gói tin vào giao diện router, gói tin lưu lại tạm thời router gói tin gởi giao diện router Danh sách truy cập khơng có tác dụng gói tin xuất phát từ router xét Nguyên tắc hoạt động danh sách truy cập Khởi đầu tiến trình giống khơng phân biệt có sử dụng danh sách truy cập hay khơng: Khi gói tin vào giao diện, router kiểm tra để xác định xem chuyển gói tin hay khơng Nếu khơng được, gói tin bị xóa Một mục từ bảng chọn đường thể cho đích đến mạng với chiều dài đường đến đích giao diện router hướng đích đến Kế tiếp router kiểm tra để xác định xem giao diện hướng đến đích đến có danh sách truy cập khơng Nếu khơng, gói tin gởi vùng đệm cho ngỏ tương ứng, mà không bị danh sách truy cập chi phối Giả sử giao diện nhận đặt danh sách truy cập mở rộng Nhà quản trị mạng sử dụng biểu thức luận lý, xác để thiết lập danh sách truy cập Trước gói tin đưa đến giao diện ra, phải kiểm tra tập quy tắc định nghĩa danh sách truy cập gán cho giao diện Dựa vào kiểm tra danh sách truy cập mở rộng, gói tin phép danh sách vào (inbound list), có nghĩa tiếp tục xử lý gói tin sau nhận giao diện hay danh sách (outbound list), điều có nghĩa gởi gói tin đến vùng đệm tương ứng giao diện Ngược lại, kết kiểm tra từ chối việc cấp phép nghĩa gói tin bị hủy Khi access control – DAC) nguyên lý điều khiển truy cập bắt buộc (mandatory access control – MAC) Ưu nhược điểm Ưu điểm - Mức độ bảo mật liệu cao: Quản trị viên xác định quyền truy cập vào đối tượng người dùng khơng thể chỉnh sửa quyền - Chi tiết: Quản trị viên đặt quyền truy cập người dùng thông số truy cập đối tượng theo cách thủ công - Miễn nhiễm với công Trojan Horse: Người dùng giải mật liệu chia sẻ quyền liệu truy cập vào liệu phân loại Nhược điểm - Khả bảo trì: Việc cấu hình thủ cơng cấp độ bảo mật khoảng trống yêu cầu quan tâm thường xuyên quản trị viên - Khả mở rộng: MAC không tự động mở rộng quy mô - Không thân thiện người dùng: Người dùng phải yêu cầu quyền truy cập cào phần liệu mới, họ khơng thể định cấu hình thơng số truy cập cho liệu họ Mơ hình thực thi theo xu hướng MAC 4.1 Mơ hình Bell-LaPadula - Được phát triển David Elliot Bell Leonard J La Padula vào năm 1973 - Để chuẩn hóa qui định hệ thống bảo mật nhiều mức - (multilevel security system – MLS) quốc phòng Mỹ - Là mơ hình bảo mật thường sử dụng quân sự, áp dụng cho lĩnh vực khác - Trong quân sự, tài liệu gán mức bảo mật(không phân loại, mật, tối mật) - Người dùng ấn định cấp bảo mật tương ứng, tùy thuộc vào tài liệu mà họ phép xem Ví dụ: Vị tướng xem tất tài liệu, trung úy xem tài liệu mật thấp Hạn chế : - Chỉ tập trung vào tính bảo mật, khơng đảm bảo tính tồn vẹn thơng tin - Khơng linh động việc thay đổi quyền truy cập Nguyên tắc bảo mật tài nguyên  Nguyên tắc đọc xuống(No read-up) Một người mức bảo mật đọc tài liệu mức bảo mật ngang hàng thấp Ví dụ: Ơng tướng đọc tài liệu trung úy, trung úy không đọc tài liệu ông tướng  Nguyên tắc ghi lên (No write-down) Một người mức bảo mật k ghi mức bảo mật cao Nguyên tắc ngăn chặn việc chép từ file cấp cấp xuống cấp thấp Ví dụ: + Trung úy thêm tin nhắn vào hộp thư chung tất thứ ông biết + Nhưng vị tướng thêm tin nhắn trung úy với ơng biết vị tướng nhìn thấy tài liệu mức độ cao mà tiết lộ cho trung úy 4.2 Mơ hình Biba - Được phát triển Kenneth J Biba vào năm 1975 - Là hình thức hệ thống chuyển trạng thái bảo mật máy tính sách mơ tả điều khiển truy cập quy tắc thiết kế để đảm bảo toàn vẹn liệu Dữ liệu chủ thể nhóm thành mức tồn vẹn có thứ tự - Mơ hình thiết kế để đối tượng không làm hỏng liệu cấp xếp hạng cao đối tượng bị hỏng liệu từ cấp thấp đối tượng  Nói chung, mơ hình phát triển để coi tính tồn vẹn nguyên tắc cốt lõi, nguyên tắc nghịch đảo trực tiếp mơ hình Bell – LaPadula Việc bảo tồn tính tồn vẹn liệu có ba mục tiêu:  Ngăn chặn việc sửa đổi liệu bên trái phép  Ngăn chặn việc sửa đổi liệu trái phép bên ủy quyền  Duy trì tính qn bên bên Nguyên tắc bảo mật tài nguyên Nguyên tắc Biba lại trái ngược với nguyên tắc Bell-LaPadula:  Nguyên tắc đọc lên(Read-up) Người dùng xem nội dung cao mức độ bảo mật họ Ví dụ: Một nhà sư đọc sách thầy tế lễ thượng phẩm viết, đọc sách nhỏ dân thường viết  Nguyên tắc ghi xuống(Write-down) Người dùng tạo nội dung thấp mức độ bảo mật họ Ví dụ: Một nhà sư viết sách cầu nguyện mà dân thường đọc, lại khơng thể viết sách cho thầy tế lễ thượng thần đọc Chương 3: Thực nghiệm Oracle Chính sách điều khiển truy cập bắt buộc Mandatory Access Control - MAC sách bắt buộc kiểm sốt truy nhập áp dụng cho thơng tin có u cầu bảo vệ nghiêm ngặt, môi trường mà liệu hệ thống người dùng phân loại mức nhạy cảm rõ ràng Kiểm sốt ln có độ ưu tiên cao kiểm soát tùy chọn người dùng thực hiện, gọi kiểm soát “bắt buộc” Kiểm soát truy nhập tùy ý DAC (Discretionary Access Control) cho phép quyền truy nhập lan truyền từ chủ thể sang chủ thể khác, MAC tất chủ thể đối tượng gắn lớp an toàn, thể sau: Lớp an toàn = (Mức nhạy cảm, Vùng ứng dụng) - Mức nhạy cảm thành phần phân cấp - Vùng ứng dụng thành phần khơng phân cấp Ví dụ qn sự: Mức nhạy cảm: = Không phân loại (U - Unclassified) = Mật (C – Confidential) = Tuyệt mật (S – Secret) = Tối mật (TS – Top Secret) Vùng ứng dụng: Hạt nhân - Nato - Cơ quan tình báo Ví dụ thương mại: Mức nhạy cảm: = Không phân loại (U - Unclassified) = Nhạy cảm (S – Sensitive) = Rất nhạy cảm (HS – High Sensitive) Vùng ứng dụng: Phòng làm việc - Vùng, miền, chi nhánh An toàn dựa vào nhãn Oracle An toàn dựa vào nhãn chế, cho phép kiểm soát truy cập theo mức hàng (row_level), dựa chế VPD Oracle Nó kiểm soát truy cập vào nội dung hàng cách so sánh nhãn (label) hàng với nhãn người dùng đặc quyền họ Khi áp dụng sách OLS, cột thêm vào hàng liệu Cột lưu trữ nhãn phản ánh nhạy cảm hàng liệu CSDL Khi xác định mức độ truy cập người dùng vào CSDL cách so sánh nhãn người dùng với nhãn hàng Mỗi nhãn liệu chứa thông tin mức độ nhạy cảm liệu Nó thuộc tính đơn gồm thành phần: ­ Level (thành phần bắt buộc) thành phần phân cấp biểu thị độ nhạy cảm liệu, chẳng hạn: HIGHLY_SENSITIVE, SENSITIVE, CONFIDENTIAL, PUBLIC Đối với level, ta cần định nghĩa dạng số (numeric form) dạng chuỗi (chuỗi dài- long form chuối ngắn – short form) ­ Compartment (thành phần tùy chọn) thành phần khơng phân cấp giúp phân lớp liệu xác hơn, việc phân loại liệu phân chia theo lĩnh vực, chuyên ngành, dự án,.… Tức ta có liệu thuộc compartment C1 C2, có nghĩa liệu thuộc lĩnh vực khác C1 C2 nghĩa liệu thuộc C1 nhạy cảm liệu thuộc C2 (hay ngược lại) ­ Group (thành phần tùy chọn) biểu diễn mối quan hệ sở hữu (thông thường thể cấu cơng ty) Do group có cấu trúc phân cấp “cha – con” Một user có nhãn chứa group cha truy xuất liệu thuộc group cha tất group group cha Chính sách an toàn dựa vào nhãn chế dựa kiểm soát bắt buộc (Mandatory Access Control - MAC, loại sách kiểm sốt truy cập CSDL) Do vậy, Oracle Label Security có khả đảm bảo tính an tồn cao cho liệu nhạy cảm Thực nghiệm Oracle 3.1 Mơ tả tốn  Tất sinh viên: xem thơng tin sinh viên lớp  Tất lớp trưởng: xem, sửa thêm thơng tin sinh viên lớp  Giám đốc học viện: thực tất hoạt động CSDL 3.2 Thực nghiệm với Oracle Label Security Bước 1: Đăng nhập tài khoản SQL Plus kiểm tra trạng thái  Đã kích hoạt Oracle Label Security Bước 2: Kết nối đến tài khoản sys sqldeveloper Bước 3: thiết lập mật cho tài khoản LBACSYS Bước 4: Tạo tài khoản test Bước 5: Kết nối tới tài khoản test Bước 6: Tạo bảng sinh viên vào Insert liệu Bước 7: Thực connection tài khoản LBACSYS Tạo sách OLS Định nghĩa label Bước 8: Gán nhãn liệu cho bảng (trong sys) Bước 9: Tạo số tài khoản cần thiết Bước 10: Gán quyền cho người dùng Bước 11: Gán quyền người dùng theo nhãn  Kết thu  Giám đốc học viện thực thao tác sở liệu  Các lớp trưởng xem, sửa thơng tin sinh viên thuộc lớp khơng thể xem thông tin lớp khác  Các sinh viên xem thơng tin lớp mà không phép sửa đổi Như vậy, sau áp dụng OLS, hàng liệu bảng người dùng gán nhãn an toàn phù hợp Một người dùng xem, thực câu truy vấn định số ghi mà họ xem khơng phải tất ghi sở liệu KẾT LUẬN Điều khiển truy cập (Access Control) điều quan trọng đảm bảo an tồn thơng tin Sau pha đảm bảo an toàn Xác thực mà hệ thống cần kiểm sốt người dùng Điều khiển truy cập pha thứ hai định người dùng làm hệ thống Dễ thấy AC có mặt hầu hết ứng dụng liên quan đến doanh nghiệp, hệ sở liệu, đương nhiên hệ điều hành trình điều khiển phần cứng Điều khiển truy cập bắt buộc (Mandatory Access Control) sử dụng mạnh mẽ quân Đặc trưng quan trọng MAC bao hàm việc từ chối truy cập tồn quyền sử dụng tài ngun tạo Và sách an ninh hệ thống hồn tồn định quyền truy cập cơng nhận, người dùng tự hạn chế quyền truy cập vào tài nguyên họ mà quản trị viên định Sau thời gian nỗ lực nghiên cứu tìm hiểu thơng tin, chúng em hoàn thành báo cáo với kết đạt sau đây: Đã hiểu quan trọng điều khiển truy cập an ninh máy tính Đã tìm hiểu mức độ phương thức điều khiển truy cập bắt buộc Tìm hiểu hai mơ hình thực thi MAC : Bell-LaPadula Biba Làm demo nhỏ thực thi điều khiển truy cập bắt buộc dựa vào nhãn Oracle sử dụng Oracle Label Security Tuy nhiên hạn chế mặt thời gian nghiên cứu nên chúng em khơng thể tránh khỏi thiếu sót sở lý thuyết lẫn thực nghiệm Những hạn chế gồm: Mới tìm hiểu sở lý thuyết cho mơ hình điều khiển truy cập bắt buộc Trong trình thực nghiệm, làm demonhỏ, chưa thực thi hệ thống lớn Tài liệu tham khảo [1] - Nguyễn Anh Dũng (2013) Nghiên cứu biện pháp điều khiển truy cập ứng dụng Luận văn thạc sĩ, chuyên ngành Truyền liệu mạng máy tính, Học viện Cơng nghệ Bưu viễn thơng [2] – Nguyễn Khanh Văn (2014) Cơ sở an tồn thơng tin, Đại học Bách khoa Hà Nội [3] – Đặng Ngọc Tuyên (2009) Nghiên cứu ngôn ngữ đặc tả Security Policy xây dựng cơng cụ hỗ trợ Khóa luận tốt nghiệp đại học quy, chun ngành Cơng nghệ thơng tin, Đại học Công nghê – ĐHQGHN [4] – CIS/CES 643 Computer Security, Syracuse University [5] – Quân Lê(4/72019) Mô hình phân quyền : ACL, DAC, MAC, RBAC , 1/9/2021, từ< https://kipalog.com/posts/Mo-hinh-phan-quyen -ACL DAC-MAC RBAC?fbclid=IwAR1DXTEpcWUc_pkVW4Bn54lWzB-gpMK53EsFANyEYUJBVg-HA_Ffx0Rn80> [6] – Ekran(11/3/2020) Mandatory Access Control vs Discretionary Access Control: Which to Choose?, 8/9/2021, từ < https://www.ekransystem.com/en/blog/mac-vs-dac> [7] - Stuart Gentry(2/3/2021) Access control: Models and methods [updated 2021], 7/9/2021, từ < https://resources.infosecinstitute.com/certification/accesscontrol-models-and-methods/> [8] - Antonio López (INCIBE)(29/12/2014) SELinux and Mandatory Access Control, 10/9/2021, từ< https://www.incibe-cert.es/en/blog/selinux-and-mac> [9] – Wikipedia(2018) Mandatory Access Control, 2/9/2021, từ< https://en.wikipedia.org/wiki/Mandatory_access_control> ... việc nghiên cứu sâu điều khiển truy cập để tìm giải pháp ứng dụng phù hợp thực cần thiết Đề tài "Nghiên cứu mơ hình kiểm sốt truy cập bắt buộc" đưa với mục đích nghiên cứu biện pháp điều khiển truy. .. Microsoft phương thức điều khiển truy cập hiểu gán User Rights Chương 2: Điều khiển truy cập bắt buộc Giới thiệu Kiểm soát truy cập bắt buộc (MAC) mơ hình kiểm sốt truy cập hệ điều hành cung cấp... điều khiển truy cập an ninh máy tính Đã tìm hiểu mức độ phương thức điều khiển truy cập bắt buộc Tìm hiểu hai mơ hình thực thi MAC : Bell-LaPadula Biba Làm demo nhỏ thực thi điều khiển truy cập