Mô hình MAC (Mandatory Access Control)

Một phần của tài liệu Nghiên cứu một số mô hình đảm bảo an ninh cơ sở dữ liệu và thử nghiệm ứng dụng (Trang 80)

MAC cung cấp trạng thái thông thƣờng của chính sách “an ninh bắt buộc” của Sea View. Chính sách “an ninh bắt buộc” của Sea View là tổng hợp các tiên đề của mô hình Bell-La Paudula và Biba. Nó đƣợc mô tả một cách hình thức bởi các giới hạn về chủ thể, đối tƣợng, lớp truy nhập.

Lớp truy nhập

Lớp truy nhập có thành phần bí mật và thành phần toàn vẹn: Thành phần bí mật gọi là lớp bí mật, đáp ứng mức bảo mật của mô hình Bell-La Padula. Thành phần toàn vẹn đƣợc gọi là lớp toàn vẹn, đáp ứng mức toàn vẹn của mô hình Biba.

Lớp truy nhập của mô hình Sea View có quan hệ thứ bậc, gọi là trội hơn (). Lớp truy nhập C1 “trội hơn” () lớp truy nhập C2 khi và chỉ khi thành phần bí mật của C1 trội hơn của C2 và thành phần toàn vẹn của C2 trội hơn của C1, tức là:

2 1 2 1 2 1 2 2 2 1 1 1 (X ,Y ),C (X ,Y ), C C X X , Y Y C      

Quan hệ C1 là “trội hơn hoàn toàn” C2 đƣợc ký hiệu là C1>C2. Nếu C1  C2 và C1C2 thì ta nói hai lớp truy nhập là không so sánh đƣợc.

Đối tƣợng

Đối tƣợng trong mô hình MAC là nơi chứa thông tin (files) mà việc truy nhập tới phải đƣợc kiểm soát. Đối tƣợng đƣợc mô hình MAC bảo vệ là cấu trúc không trừu tƣợng của CSDL, chúng là các file đơn mức, chịu quản lý của hệ điều hành.

Chủ thể

Chủ thể theo mô hình MAC là tiến trình, hoạt động nhân danh ngƣời dùng. Mỗi ngƣời dùng trong hệ thống đƣợc giao một phạm vi về lớp bí mật và lớp toàn vẹn mà họ đƣợc phép thi hành. Chủ thể thi hành nhân danh ngƣời dùng đƣợc phân lớp. Mỗi ngƣời dùng đƣợc giao lớp bí mật và toàn vẹn tối thiểu, nghĩa là sở hữu riêng bí mật tối thiểu và toàn vẹn tối thiểu, bổ sung vào lớp tiêu chuẩn các lớp bí mật và toàn

81 vẹn tối đa. Cặp (bí mật tối thiểu, toàn vẹn tối đa) đƣợc gọi là lớp ghi của chủ thể. Cặp (bí mật tối đa, toàn vẹn tối thiểu) đƣợc gọi là lớp đọc của chủ thể. Với mỗi chủ thể lớp đọc phải “trội hơn” lớp ghi.

Nếu lớp đọc của chủ thể “trội hơn hoàn toàn” lớp ghi của chủ thể thì chủ thể đƣợc gọi là tin cậy. Nếu sự chính xác vƣợt trội đƣợc kiểm chứng cho lớp bí mật thì chủ thể là tin cậy với lớp bí mật riêng. Nếu sự chính xác vƣợt trội đƣợc kiểm chứng cho lớp toàn vẹn thì chủ thể là tin cậy với lớp toàn vẹn riêng. Chủ thể tin cậy với bí mật riêng chấp nhận ghi dữ liệu tại lớp bí mật thấp hơn so với đọc một vài dữ liệu. Trong trƣờng hợp đó thì phải chỉ ra rằng chủ thể sẽ không truyền dữ liệu xuống. Chủ thể tin cậy với toàn vẹn riêng chấp nhận đọc dữ liệu tại lớp toàn vẹn thấp hơn so với ghi một vài dữ liệu. Trong trƣờng hợp đó thì phải chỉ ra rằng chủ thể sẽ không dùng dữ liệu toàn vẹn thấp hơn để truyền dữ liệu ghi đƣợc. Các chủ thể không tin cậy có lớp đọc và lớp ghi bằng nhau.

Lƣu ý rằng không phải tất cả các chủ thể đều là chủ thể tin cậy, những chủ thể đó yêu cầu trạng thái tin cậy cho hoạt động mình, có thể đƣợc thừa nhận đặc quyền của chủ thể tin cậy.

Kiểu truy nhập

Chính sách “an ninh bắt buộc” chỉ thiết lập tập các kiểu truy nhập cơ bản, đáp ứng thành phần truy nhập có thể thực thi trên đối tƣợng của hệ thống hoạt động với CSDL. Các kiểu truy nhập bắt buộc là:

Read: Đọc thông tin lƣu trữ trong đối tƣợng Write: Ghi thông tin vào trong đối tƣợng Execute: Thực thi đối tƣợng

Các tiên đề

Việc thực thi kiểu truy nhập trên đối tƣợng theo mô hình MAC là quản trị các tiên đề. Những tiên đề này tóm tắt nguyên tắc của mô hình Bell-La Padula và mô hình Biba.

(1) Đặc tính đọc

Chủ thể s có thể đọc đối tƣợng o chỉ khi lớp đọc của chủ thể trội hơn lớp truy nhập của đối tƣợng.

Đặc tính này đáp ứng yêu cầu thành phần bí mật tối đa của chủ thể trội hơn lớp bí mật của đối tƣợng, và lớp toàn vẹn của đối tƣợng trội hơn thành phần toàn vẹn tối thiểu của chủ thể. Đặc tính đọc là công thức không đọc lên (nguyên tắc về sự bí mật trong mô hình Bell-La Padula), và không đọc xuống (nguyên tắc chính về chính sách toàn vẹn chính xác của mô hình Biba).

82

(2) Đặc tính ghi

Chủ thể s có thể ghi đối tƣợng o chỉ khi lớp truy nhập của đối tƣợng trội hơn lớp ghi của chủ thể.

Đặc tính này đáp ứng yêu cầu lớp bí mật của đối tƣợng trội hơn thành phần bí mật tối thiểu của chủ thể, và thành phần toàn vẹn tối đa của chủ thể trội hơn lớp toàn vẹn của đối tƣợng. Đặc tính ghi là công thức không ghi xuống (nguyên tắc bí mật của mô hình Bell-La Padula), và không ghi lên (nguyên tắc chính về chính sách toàn vẹn chính xác của mô hình Biba)

(3) Đặc tính thực thi

Chủ thể s có thể thực thi đối tƣợng o chỉ khi toàn vẹn đối đa của chủ thể nhỏ hơn hoặc bằng lớp toàn vẹn của đối tƣợng, và bí mật tối đa của chủ thể lớn hơn hoặc bằng lớp bí mật của đối tƣợng.

Đặc tính này đƣợc yêu cầu bởi vì những nguyên tắc của chính sách toàn vẹn chính xác của mô hình Biba có thể quá hạn chế cho hệ thống CSDL. Các chủ thể CSDL toàn vẹn cao khi quản lý CSDL có thể tin cậy cho đọc dữ liệu toàn vẹn thấp, bỏ qua việc truyền dữ liệu của lớp toàn vẹn cao dự phòng và không thực thi các đối tƣợng chƣơng trình có tính toàn vẹn thấp hơn.

Tuy nhiên tiên đề của mô hình Biba không chấp nhận điều này. Mô hình Sea View vƣợt qua giới hạn này, bằng cách phân biệt truy nhập thực thi từ truy nhập đọc, chấp nhận chủ thể tin cậy đọc dữ liệu của mức toàn vẹn thấp hơn so với toàn vẹn tối đa của chúng, hạn chế truy nhập thực thi cho các chủ thể tới chƣơng trình với toàn vẹn lớn hơn hoặc bằng.

Việc phân biệt giữa truy nhập đọc và truy nhập thực thi là không thích đáng cho lớp bí mật, bởi vì lớp bí mật của đối tƣợng chƣơng trình không phản ánh chúng tin cậy, không phân biệt thông tin.

Một phần của tài liệu Nghiên cứu một số mô hình đảm bảo an ninh cơ sở dữ liệu và thử nghiệm ứng dụng (Trang 80)

Tải bản đầy đủ (PDF)

(107 trang)