Luật biến đổi và luật kiên định

Một phần của tài liệu (LUẬN VĂN THẠC SĨ) Nghiên cứu một số mô hình đảm bảo an ninh cơ sở dữ liệu và thử nghiệm ứng dụng (Trang 65 - 69)

Chương 2 MỘT SỐ NHIỆM VỤ VÀ PHƢƠNG PHÁP BẢO VỆ DỮ LIỆU

3.4. MÔ HÌNH ACTEN (ACTIO N– ENTITY MODEL)

3.4.5. Luật biến đổi và luật kiên định

Các luật trong suốt vòng đời hệ thống:

Các luật kiên định bên trong: cấu trúc của SG và DG sẽ kiên định về tính tự nhiên và việc biểu diễn quan hệ bảo mật.

Các luật kiên định ngoài: Đồ thị SG và DG sẽ kiên định trong việc biểu diễn các đặc quyền. Ví dụ: một đặc quyền không thể phổ biến nếu ngƣời chuyển nhƣợng quyền hạn không nắm đƣợc đặc quyền đó. Các luật này phản chiếu việc nên kế hoạch bảo vệ hay uỷ quyền cho hệ thống.

Các luật biến đổi: điều khiển gián tiếp các quyền truy nhập hợp pháp phổ biến.

Chú thích:

E1: Ngƣời quản lý dự án E2: Chƣơng trình ứng dụng E3: Thiết bị đầu cuối

E4: Ngƣời lập trình bằng COBOL E5, E8: Tệp dữ liệu

E6: Thƣ viện của COBOL E7: Những ngƣời lập trình

Các luật kiên định bên trong đối với SG:

Một thực thể hệ thống có thể thực hiện hoặc chỉ trải qua những chế độ truy cập tƣơng thích với kiểu và vai trò của nó. Ví dụ, cách thức „delete‟ không thể thực thi trên các thiết bị ngoại vi, cách thức „use‟ đƣợc hiểu theo hai nghĩa trong các tệp. Mỗi cách thức bao gồm hay khai báo các tài nguyên nhƣ tệp có thể đƣợc sử dụng để thực thi nhƣng không đƣợc đọc, ghi lên nội dung của chúng.

Các luật kiên định bên trong cho DG:

Các luật này đảm bảo kiên định các quyền động với các yêu cầu quản trị đặc quyền tĩnh trong phân quyền hệ thống. Luật này gồm bốn luật cơ bản:

Luật 1.1: Cho Ei là chủ của Ek, không có thực thể Ej khác (j, k ≠ j, k ≠ i) có thể nắm quyền Aij/k thuộckiểu “Grant SA”, SA là bất kỳ hoạt động tĩnh nào. Điều này có nghĩa là ngƣời chủ này là thực thể duy nhất có quyền cao nhất đối với Ek.

Luật 1.2: Một thực thể Ei có thể đƣợc phân quyền delegrate/abrogate trên Ek nếu Ei là chủ của Ek.

Luật 1.3: Cho Ej là thực thể đƣợc phân quyền có thể “gán” cho Em một hoạt động tĩnh ở mức L‟ với tham số Ek. Ei là chủ của Ek có thể thực hiện trên Ej hành động động Aịj/k thuộc kiểu “Delegate SA” nếu L(SA) > L‟.

Luật 1.4: Với thực thể Ei, việc tiếp nhận hành động SA của mức L thông qua hoạt động ủy quyền, có thể gán SA này cho Em với tiềm năng chủ động (A+) có mức L‟ >= L.

Các luật biến đổi cho SG:

Cung cấp các luật để hiển thị tất cả đặc quyền gián tiếp của thực thể trên các thực thể của hệ thống. Điều này có thể xảy ra nếu thực thể Ei có thể thực thi hành động trên thực thể Ej một cách gián tiếp thông qua một cung trên đồ thị SG từ Ei đến Ej. Cung trực tiếp là biểu thức diễn đạt hành động hợp lệ, thay cho một đƣờng đi qua một tập các nút đƣợc cung cấp nhờ đồ thị SG. Mỗi luật đầu cuối biểu thị trạng thái của hành động Aj có thể thực thi gián tiếp từ Aij  Ajz. Một luật chuyển đổi đƣợc định nghĩa nhƣ một hàm F với 4 tham số (Aij, Ajz, Ei, Ez) sẽ trả lại kết quả Aiz nhƣ là sự kết hợp giữa các hành động. F là một hàm của Ej và Ez, trong đó Aiz phụ thuộc vào kiểu và thứ tự mức độ truy nhập, quyền hạn của hai thực thể Ei, Ez. Trong thực tế mức của Aiz

không thể cao hơn mức của tiềm năng chủ động của Ei, nhƣng không nhỏ hơn mức của tiềm năng bị động của Ej.

Thuật toán của hàm F:

(1) So sánh L(Aij) và L(Ajz)

(2) Nếu L(Aij) > L(Ajz) thì L(Aiz) = L(Ajz)

(3) Nếu L(Aij) <=L(Ajz) thì kiểm tra tiềm năng chủ động của Ei trong bảng phân lớp bảo mật:

trong đó L(A) biểu thị mức độ của quyền A.

Hàm này không đề cập đến tiềm năng bị động của Ez trong đó chỉ kiểm tra mức độ bảo mật của Ejz trong đó bƣớc 2 và 3 đảm bảo rằng tiềm năng này không bao giờ bị xâm phạm.

Nếu Aij, Ajz bị bắt buộc bởi một số mệnh đề, Pij, Pjz là các mệnh đề thì Piz có thể nhận đƣợc từ Aiz bằng phép giao giữa hai mệnh đề Pij, Pjz.

Piz= Pij Pjz

Khi đƣờng nối giữa Ei và Ez bao gồm các thực thể không cùng loại, thuật toán F đƣợc áp dụng cho nhóm của 2 thực thể tại thời điểm đó, mỗi thời điểm đề cập đến việc tính toán và nhận đƣợc các hành động tƣơng ứng.

Các luật biến đổi cho DG

Các luật này điều khiển các luồng đặc quyền trong hệ thống: đó là luồng hành động tĩnh và luồng hành động động trong suốt quá trình thực hiện của một hành động động. Ví dụ, nếu ngƣời dùng E1 có quyền sử dụng E2 với đặc quyền cập nhật dữ liệu trên E3, và E2 có quyền đọc giống nhƣ E3 trong một trình ứng dụng trên E4 thì E1 có thể gián tiếp có quyền trên E4.

Các luật chuyển đổi đƣợc định nghĩa cho một nhóm ba thực thể Ei, Ej, Ez và hai hành động động Aij/k và Aiz/k đƣợc định nghĩa giống các tham số thực thể Ek. Luật đầu cuối sử dụng quyền gián tiếp là phụ thuộc lẫn nhau giữa các thực thể khi thực thi các quyền gián tiếp này.

Luật cho DG

Luật T.1: Cho quyền hạn Aij/k thuộc loại uỷ nhiệm của SA‟ hay Aij/k là quyền thuộc kiểu SA‟ có quyền hạn thấp hơn Aij/k, một quyền gián tiếp Aiz/k có thể đƣợc tính khi dùng luật:

SA=F(SA‟‟, SA‟, Ei, Ez) L(Aiz) =

L(Ai

+) nếu L(Ajz) > L(Ai +

) L(Ajz) nếu L(Ajz) <= L(Ai

+ )

Trong đó:

- F là hàm với 4 đối số tƣơng tự nhƣ luật chuyển đổi dùng cho đồ thị SG. - SA đƣợc xác định rõ nhờ thuật toán tƣơng tự nhƣ thuật toán trong SG.

- Có 2 điều kiện trên 2 hành động có độ ƣu tiên thấp phải đƣợc xác nhận trong khi áp dụng luật: SA luôn phải đƣợc tính trong bƣớc 2 của thuật toán F. Thêm nữa SA=SA‟.

Tƣơng tự trong SG, các quyền cơ sở đều đƣợc xác lập trong các mệnh đề, các quyền gián tiếp có đƣợc sau các phép toán trên các phép toán giao.

Luật có thể áp dụng nhiều hơn 3 thực thể và 2 hành động nếu các thực thể bị bắt buộc và hành động cấp phát và thu hồi đều đƣợc thực hiện tuần tự theo từng chuỗi. Chuỗi hành động trên Ek đƣợc định nghĩa nhƣ một đƣờng đi trong DG chứa các quyền hạn Aij/k của kiểu uỷ nhiệm SA hay kiểu cấp phát SA‟ và của một hay nhiều các quyền hạn các mức dƣới Aim/k cùng loại SA. Một dây chuyền có các thuộc tính sau:

- Chỉ có cung đầu trong dây chuyền có thể đƣợc gán nhãn nhƣ uỷ nhiệm SA còn các cung khác có quyền thấp hơn thì không đƣợc gán nhãn.

- Thứ bậc các mức của quyền hạn tĩnh thuộc dây chuyền không thể tăng thêm. Thuộc tính này là hậu quả của nút thứ 3 định nghĩa trong các hành động ở mức thấp.

Các luật kiên định chung cho cả SG và DG:

Các luật này đảm bảo các đặc quyền động là cố định với trạng thái của quyền hạn trong cách thức truy nhập.

Luật M.1: Ei có thể cấp quyền thực thi cho Ej với hành động tĩnh SA ở mức L trên Ek. Nếu trong SG, Ei có thể thực thi SA‟ của mức L‟>=L trên Ek. Luật này đƣợc yêu cầu dịch thì thực thể phải có đặc quyền truy nhập ở mức quản trị.

Luật M.2: Nếu Ej có thể thực thi một hành động tĩnh Ajk thuộc mức L, thì trong đồ thị DG Ei có thể cấp quyền hạn cho Ej để thực thi các quyền hạn tĩnh ở mức L‟>L trên Ek. Luật này tƣơng tự nhƣ luật 1.3.

Luật M.3: Cho mỗi quyền hạn Aij/k của kiểu uỷ nhiệm SA, quyền hạn xác thực Aij phải đƣợc biểu thị trên SG theo kiểu tạo lập/xoá bỏ. Luật này đƣợc yêu cầu dịch nếu việc uỷ nhiệm hay bãi miễn đƣợc xác nhận trong cách thức truy nhập trên thực thể đƣợc thực thi chỉ trên các thực thể thuộc quyền sở hữu của chính nó. Và thực thể đó phải nắm đƣợc quyền tậo lập/xoá bỏ.

Một phần của tài liệu (LUẬN VĂN THẠC SĨ) Nghiên cứu một số mô hình đảm bảo an ninh cơ sở dữ liệu và thử nghiệm ứng dụng (Trang 65 - 69)

Tải bản đầy đủ (PDF)

(107 trang)