CHƯƠNG 5 CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN THÔNG TIN
5.1.2.1.Điều khiển truy nhập tuỳ chọn
Điều khiển truy nhập tuỳ chọn (còn gọi là tùy quyền) được định nghĩa là cơ chế hạn chế truy nhập đến các đối tượng dựa trên thông tin nhận dạng của các chủ thể, hoặc nhóm của các chủ thể. Các thông tin nhận dạng chủ thể (còn gọi là các nhân tố - factor) có thể gồm:
- Bạn là ai? (CMND, bằng lái xe, vân tay,...)
- Những cái bạn biết (tên truy nhập, mật khẩu, số PIN...) - Bạn có gì? (Thẻ ATM, thẻ tín dụng, ...)
Đặc điểm nổi bật của điều khiển truy nhập tuỳ chọn là cơ chế này cho phép người dùng có thể cấp hoặc huỷ quyền truy nhập cho các người dùng khác đến các đối tượng thuộc quyền điều khiển của họ. Điều này cũng có nghĩa là chủ sở hữu của các đối tượng (owner of objects) là người có toàn quyền điều khiển các đối tượng này. Chẳng hạn, trong một hệ thống nhiều người dùng, mỗi người dùng được cấp 1 thư mục riêng (home directory) và là chủ sở hữu của thư mục này. Người dùng có quyền tạo, sửa đổi và xoá các file trong thư mục của riêng mình. Người dùng cũng có khả năng cấp hoặc huỷ quyền truy nhập vào các file của mình cho các người dùng khác.
Có nhiều kỹ thuật thực hiện cơ chế điều khiển truy nhập tuỳ chọn trên thực tế, trong đó 2 kỹ thuật được sử dụng rộng rãi nhất là Ma trận điều khiển truy nhập (Access Control Matrix - ACM) và Danh sách điều khiển truy nhập (Access Control List - ACL). Ma trận điều khiển truy nhập là một phương pháp thực hiện điều khiển truy nhập thông qua 1 ma trận 2 chiều gồm chủ thể (subject), đối tượng (object) và các quyền truy nhập, như biểu diễn trên Hình 5.1. Các đối tượng, hay khách thể (Object) là các thực thể cần bảo vệ, được ký hiệu là O1, O2, O3,.... Các đối tượng có thể là các file, các thư mục hay các tiến trình (process). Các chủ thể (Subject) là người dùng (user), hoặc các tiến trình tác động lên các đối tượng, được ký hiệu là S1, S2, S3,... Quyền truy nhập là hành động mà chủ thể thực hiện trên đối tượng. Các quyền bao gồm r (read – đọc), w (write - ghi), x (execute – thực hiện) và o (own – chủ sở hữu).
Hình 5.1.Mô hình ma trận điều khiển truy nhập
Ưu điểm của ma trận điều khiển truy nhập là đơn giản, trực quan, dễ sử dụng. Tuy nhiên, khi số lượng các đối tượng và số lượng các chủ thể lớn, kích thước của ma trận sẽ rất lớn. Hơn nữa, quyền truy nhập của các chủ thể vào các đối tượng là khác nhau, trong đó một số chủ thể không có quyền truy nhập vào một số đối tượng, và như vậy ô nhớ chứa quyền truy nhập của chủ thể vào đối tượng là rỗng. Trong ma trận điều khiển truy nhập có thể tồn tại rất
- 107 -
nhiều ô rỗng và điều này làm giảm hiệu quả sử dụng bộ nhớ của phương pháp này. Do vậy, ma trận điều khiển truy nhập ít được sử dụng hiện nay trên thực tế.
Danh sách điều khiển truy nhập là một danh sách các quyền truy nhập của một chủ thể đối với một đối tượng. Một danh sách điều khiển truy nhập chỉ ra các người dùng hoặc tiến trình được truy nhập vào đối tượng nào và các thao tác cụ thể (hay quyền) được thực hiện trên đối tượng đó. Một bản ghi điển hình của ACL có dạng (subject, operation). Ví dụ bản ghi (Alice, write) của 1 file có nghĩa là Alice có quyền ghi vào file đó. Khi chủ thể yêu cầu truy nhập, hệ điều hành sẽ kiểm tra ACL xem yêu cầu đó có được phép hay không. ACL có thể được áp dụng cho một hoặc 1 nhóm đối tượng.
F2F1 F1 F3 A A: RW; B: R A: R; B: RW; C:R B: RWX; C: RX User space Kernel space ACL Files B C ACL Profiles
Hình 5.2.Mô hình danh sách điều khiển truy nhập
Hình 5.2 biểu diễn mô hình danh sách điều khiển truy nhập trong không gian người dùng (user space) và không gian nhân (kernel space) tổ chức bởi hệ điều hành. Mỗi file (F1, F2, F3,...) có một danh sách điều khiển truy nhập (ACL) của riêng mình lưu trong hồ sơ (profile) của file. Quyền truy nhập vào file được tổ chức thành một chuỗi gồm nhiều cặp (subject, operation), với A, B, C là ký hiệu biểu diễn chủ thể (subject) và các thao tác (operation) hay quyền gồm R (Read - đọc), W (Write - ghi), và X (eXecute - thực hiện). Chẳng hạn, trong danh sách điều khiển truy nhập F1(A: RW; B: R) thì chủ thể A được quyền đọc (R) và ghi (W) đối với F1, còn chủ thể B chỉ có quyền đọc (R).