ch04 05 DAC MAC RBAC

Chương 04
Access Control
Ha Le Hoai Trung
1
Nội dung
• Điều khiển truy cập tùy quyền – DAC
• Điều khiển truy cập bắt buộc – MAC
• Kiểm soát quyền truy cập dựa trên vai trò – RBAC
2
Nội dung
• Điều khiển truy cập tùy quyền – DAC
• Điều khiển truy cập bắt buộc – MAC
• Kiểm soát quyền truy cập dựa trên vai trò – RBAC
3
Nội dung
1 Giới thiệu về điều

điểu khiển truy cập bắt buộc
2 Mô hình điểu khiển truy cập bắt buộc
Bảo mật hệ thống thông tin

Chương 5: Điều khiển truy cập bắt buộc (MAC)
4
Giới thiệu về điều khiển truy cập bắt buộc
◼ Các lớp bảo mật (security classes)
◼ Các tính chất của điều khiển truy cập bắt buộc
◼ Quan hệ đa mức
◼ Ưu và khuyết điểm của điều khiển truy cập bắt buộc
5
◼ Điều khiển truy cập bắt buộc (Mandatory Access Control - MAC):
◼ Được dùng để bảo vệ một khối lượng dữ liệu lớn cần được bảo mật cao trong
một môi trường mà các dữ liệu và người dùng đều có thể được phân loại rõ
ràng.
◼ Là cơ chế để hiện thực mô hình bảo mật nhiều mức (multiple level).
6
Các lớp bảo mật
◼ Người dùng và dữ liệu được phân loại dựa theo các lớp bảo mật (security
classes).
◼ Phân loại người dùng dựa theo mức độ tin cậy và lĩnh vực hoạt động của
người dùng.
◼ Phân loại dữ liệu dựa theo mức độ nhạy cảm và lĩnh vực của dữ liệu
◼ Lớp bảo mật có thể được phân loại theo
◼ Mức bảo mật (Classification level)
◼ Lĩnh vực (Category)
7
Mức bảo mật
◼ Các mức bảo mật cơ bản:
◼ Top secret (TS)
◼ Secret (S)
◼ Confidential (C)
◼ Unclassified (U)
◼ Trong đó TS là mức cao nhất và U là mức thấp nhất:
TS ˃S ˃C ˃U
◼ Người dùng ở cấp càng cao thì mức độ đáng tin cậy càng lớn.
◼ Dữ liệu ở cấp càng cao thì càng nhạy cảm và cần được bảo vệ nhất.
8
Lĩnh vực
◼ Phân loại người dùng và dữ liệu theo lĩnh vực hoạt động của hệ
thống, hoặc theo từng phòng ban trong một tổ chức.
◼ Ví dụ: Một công ty có 3 phòng ban là: Phòng kinh doanh, phòng sản
xuất và phòng phân phối. Như vậy thì các người dùng và dữ liệu
trong công ty này có thể được phân loại theo lĩnh vực dựa theo 3
phòng ban này.
9
Lớp bảo mật
◼ Một lớp bảo mật (security class) được định nghĩa như sau:
SC = (A, C)
A: mức bảo mật
C: lĩnh vực
◼ Hai lớp bảo mật SC và SC’ có mối quan hệ thứ tự riêng phần SC ≤ SC’
nếu: A ≤ A’ và C  C’
◼ Ví dụ:
◼ (C, {Sales}) ≤ (S, {Sales, Production})
◼ (C, {Sales, Production}) ≤ (S, {Sales})
10
◼ Các lớp bảo mật
11
Các tính chất của điều khiển truy cập bắt buộc
◼ Tính chất bảo mật đơn giản (Simple security property or ss-
property): Một chủ thể s không được phép ĐỌC đối tượng o, trừ
khi:
class(s) ≥ class(o)
→ Không đọc lên (No read-up)
◼ Tính chất sao (Star property or *-property): Một chủ thể s không
được phép GHI lên đối tượng o, trừ khi:
class(s) ≤ class(o)
→ Không ghi xuống (No write-down)
• Những tính chất này nhằm đảm bảo rằng không có dòng thông tin
nào có thể đi từ lớp cao xuống lớp thấp!!!
12
Tại sao có tính chất *
Ví dụ về Trojan horse trong chương 4
Bob không thể đọc được nội dung của file A

13

14
Bob có thể đọc được nội dung của file A

sau khi nó được sao chép sang file B

15
Tính chất * ngăn chặn việc sao chép dữ liệu từ file (cấp cao hơn)
sang file B (cấp thấp hơn)
16
Tính chất *
◼ Tính chất *: ngăn chặn một chủ thể ở lớp bảo mật cao gửi thông điệp hợp
lệ đến những chủ thể ở lớp bảo mật thấp hơn
◼ Có 2 giải pháp:
◼ Tạm thời giảm lớp bảo mật của chủ thể đó xuống cấp thấp hơn khi gửi thông
điệp
◼ Đưa các chủ thể đáng tin cậy (trusted subject) vào danh sách các chủ thể
không bị hạn chế bởi tính chất *
17
18
Quan hệ đa mức
◼ Quan hệ đa mức (Multilevel relation): MAC + mô hình CSDL
quan hệ
◼ Các đối tượng dữ liệu: thuộc tính và hàng
◼ Mỗi thuộc tính Ai được gắn với 1 thuộc tính mức bảo mật Ci
◼ Mỗi hàng có 1 thuộc tính mức bảo mật chung cho hàng đó TC. TC
sẽ mang giá trị cao nhất của các Ci trong hàng đó.
R(A1, C1, A2, C2, …, An, Cn, TC)
◼ Khóa biểu kiến (apparent key) của một quan hệ đa mức là tập các
thuộc tính mà sẽ tạo thành khóa chính như trong một quan hệ bình
thường (single-level relation) (bỏ các thuộc tính mức bảo mật)
19
Quan hệ đa mức
S<C<U
◼ Những chủ thể (người dùng) ở các mức bảo mật khác nhau
sẽ thấy những dữ liệu khác nhau trong cùng một quan hệ đa
mức.
20
Quan hệ đa mức
SELECT * FROM EMPLOYEE
➢ Kết quả trả về cho người dùng ở mức bảo mật S
21
Quan hệ đa mức
➢ Kết quả trả về cho người dùng ở mức bảo mật C
22
Quan hệ đa mức
➢ Kết quả trả về cho người dùng ở mức bảo mật U
23
Tính chất của quan hệ đa mức
◼ Tính chất đọc và ghi
◼ Tính toàn vẹn thực thể (Entity integrity)
◼ Tính toàn vẹn giá trị null (Null integrity)
◼ Tính đa thể hiện (Polyinstantiation)
24
◼ Không đọc lên (No read up)
◼ Không ghi xuống (No write down)
→ Tính chất cơ bản của MAC
25
◼ Tính toàn vẹn thực thể (Entity integrity): Tất cả các thuộc tính
nằm trong khóa biểu kiến không được null và phải ở cùng mức bảo
mật trong mỗi hàng.
◼ Tất cả các thuộc tính khác trong cùng một hàng phải có mức bảo mật
lớn hơn hoặc bằng mức bảo mật của khóa biểu kiến.
→ Ràng buộc này đảm bảo rằng một người dùng sẽ thấy được khóa
của một hàng nếu người dùng được phép xem bất kỳ phần nào của
hàng đó.
26
◼ Tính toàn vẹn giá trị null (Null integrity): Tất cả các giá trị null đều
được phân loại ở mức bảo mật bằng với mức bảo mật của khóa biểu
kiến trong cùng một hàng
→ Ràng buộc này đảm bảo sự thống nhất giữa các thể hiện khác nhau
(instance) của cùng một quan hệ khi nó xuất hiện ở các mức bảo mật
khác nhau.
27
• Tính đa thể hiện (Polyinstantiation): xảy ra khi có những hàng có
cùng khóa biểu kiến nhưng mang những giá trị khác nhau đối với
những người dùng ở các mức bảo mật khác nhau.
28
Ví dụ về tính đa thể hiện
➢ Kết quả trả về cho người dùng ở cấp bảo mật C

29
◼ Một người dùng ở mức bảo mật C thực hiện câu lệnh cập
nhật giá trị của JobPerformance của Smith thành ‘Excellent’:
UPDATE EMPLOYEE
SET JobPerformance = ‘Excellent’
WHERE Name = ‘Smith’;
Thực hiện câu lệnh hay báo lỗi?
30
◼ Kết quả của câu truy vấn:
◼ Name là khóa biểu kiến trong quan hệ Employee
◼ Tồn tại 2 hàng có cùng khóa biểu kiến
31
32
Ưu và khuyết điểm của MAC
◼ Ưu điểm:
◼ Là cơ chế điều khiển truy xuất có tính bảo mật cao trong việc
• ngăn chặn dòng thông tin bất hợp pháp.
◼ Thích hợp cho các ứng dụng trong môi trường quân đội.
◼ Khuyết điểm:
◼ Không dễ áp dụng: đòi hỏi cả người dùng và dữ liệu phải được phân loại rõ
ràng
◼ Chỉ được ứng dụng trong một số ít môi trường.
33
Nội dung
1 Giới thiệu về điểu khiển truy cập bắt buộc
34
Mô hình điều khiển truy cập bắt buộc
◼ Mô hình Bell-LaPadula
◼ Mô hình Biba
35
Mô hình Bell-LaPadula
◼ Được phát triển bởi David Elliot Bell và Leonard J. La Padula vào
năm 1973.
◼ Để chuẩn hóa các qui định về hệ thống bảo mật nhiều mức
(multilevel security system – MLS) của bộ quốc phòng Mỹ
◼ Áp dụng trong các ứng dụng quân đội và chính phủ
36
◼ Trạng thái của hệ thống:
v = (b, M, f)
◼ b: tập các truy cập hiện tại
◼ Các loại quyền truy cập (access mode): chỉ đọc (read-only), nối (append),
thực thi (excecute), đọc-ghi (read-write)
◼ b = <subject, object, access mode> = <s, o, m>: chủ thể s đang có quyền
truy cập m trên o
◼ M[s, o]: ma trận truy cập
◼ Tương tự như trong mô hình ma trận truy cập
37
Bell-LaPadula model
(b, M, f)
◼ f: hàm xác định mức bảo mật của chủ thể/đối tượng
◼ f: O U S → L
◼ fo(o): trả về mức bảo mật của đối tượng o

◼ fs(s): trả về mức bảo mật của chủ thể s
◼ fc(s): trả về mức bảo mật hiện tại của chủ thể s
◼ fc(s) ≤ fs(s)
38
Tính chất bảo mật đơn giản (ss-property)
◼ Một trạng thái hệ thống v = (b, M, f) thỏa mãn tính chất bảo mật đơn
giản khi và chỉ khi:
• Với mỗi M[s,o]: M[s,o] ∈{read, write}, fo(o) ≤ fs(s)
39
Tính chất *
◼ Một trạng thái hệ thống v = (b, M, f) thỏa mãn tính chất * khi và chỉ khi:
◼ append ∈ M[s,o] → fc(s) ≤ fo(o)
◼ write ∈ M[s,o] → fc(s) = fo(o)
◼ read ∈ M[s,o] → fc(s) ≥ fo(o)
40
Hạn chế của mô hình Bell-LaPadula:
◼ Mô hình Bell-LaPadula chỉ tập trung vào tính mật
◼ Không đảm bảo tính toàn vẹn thông tin
◼ Không linh động trong việc thay đổi quyền truy cập.
◼ Mô hình Bell-LaPadula không chặn được convert channel:
◼ Không hỗ trợ tính đa thể hiện
◼ Một chủ thể ở mức bảo mật thấp có thể phát hiện được sự hiện diện của một
đối tượng ở mức bảo mật cao khi chủ thể đó truy xuất đến đối tượng và bị từ
chối
41
◼ Mô hình Biba
42
Mô hình Biba
◼ Do Biba đề nghị năm 1977
◼ Mô hình Biba tập trung vào việc bảo vệ tính toàn vẹn của dữ liệu
◼ Mô hình Biba phân loại chủ thể, đối tượng theo mức toàn vẹn (integrity
level)
◼ Các nhóm phân loại gồm:
◼ Crucial (C)
◼ Very Important (VI)
◼ Important (I)
• C > VI > I
43
Mô hình Biba
◼ Quyền truy xuất (access mode):
◼ Chỉnh sửa (modify): ghi thông tin lên đối tượng
◼ Liên hệ (invoke): quyền giữa 2 chủ thể, cho phép 2 chủ thể liên lạc với nhau
◼ Quan sát (observe): đọc thông tin của đối tượng
◼ Thực thi (execute): thực thi chương trình
44
Chính sách toàn vẹn
◼ Tính chất toàn vẹn đơn giản (Simple integrity property):
một chủ thể s có thể quan sát được đối tượng o nếu và chỉ
nếu:
i(s) ≤ i(o) i(s): mức toàn vẹn của s
→ Không đọc xuống (No read down) i(o): mức toàn vẹn của o
◼ Tính chất toàn vẹn sao (Integrity star property): một chủ
thể s có thể chỉnh sửa được đối tượng o nếu và chỉ nếu:
i(o) ≤ i(s)
→ Không ghi lên (No write up)
45
◼ Tính chất liên hệ (Invocation property): một chủ thể s1 có thể liên
hệ với chủ thể s2 nếu và chỉ nếu:
i(s2) ≤ i(s1)
46
Mô hình Biba
◼ Mô hình Biba bảo vệ tính toàn vẹn và không cung cấp tính mật nên
cần kết hợp với những mô hình khác.
◼ Mô hình Lipner là mô hình kết hợp giữa mô hình Bell- LaPadula
và mô hình Biba.
47
Nội dung
2 Mô hình điểu khiển truy cập MAC
48
Điều khiển truy cập bắt buộc
Mandatory Access Controls
(MAC)
49
Nội dung
1 Giới thiệu về điều
điểu khiển truy cập bắt buộc
3 Case study: Oracle Label Security
50
◼ Các lớp bảo mật (security classes)
51
◼ Điều khiển truy cập bắt buộc (Mandatory Access Control - MAC):
◼ Được dùng để bảo vệ một khối lượng dữ liệu lớn cần được bảo mật cao trong
một môi trường mà các dữ liệu và người dùng đều có thể được phân loại rõ
ràng.
◼ Là cơ chế để hiện thực mô hình bảo mật nhiều mức (multiple level).
52
Các lớp bảo mật
◼ Người dùng và dữ liệu được phân loại dựa theo các lớp bảo mật (security
classes).
◼ Phân loại người dùng dựa theo mức độ tin cậy và lĩnh vực hoạt động của
người dùng.
◼ Phân loại dữ liệu dựa theo mức độ nhạy cảm và lĩnh vực của dữ liệu
◼ Lớp bảo mật có thể được phân loại theo
◼ Mức bảo mật (Classification level)
◼ Lĩnh vực (Category)
53
Mức bảo mật
◼ Các mức bảo mật cơ bản:
◼ Top secret (TS)
◼ Secret (S)
◼ Confidential (C)
◼ Unclassified (U)
◼ Trong đó TS là mức cao nhất và U là mức thấp nhất:
TS ˃S ˃C ˃U
◼ Người dùng ở cấp càng cao thì mức độ đáng tin cậy càng lớn.
◼ Dữ liệu ở cấp càng cao thì càng nhạy cảm và cần được bảo vệ nhất.
54
Lĩnh vực
◼ Phân loại người dùng và dữ liệu theo lĩnh vực hoạt động của hệ
thống, hoặc theo từng phòng ban trong một tổ chức.
◼ Ví dụ: Một công ty có 3 phòng ban là: Phòng kinh doanh, phòng sản
xuất và phòng phân phối. Như vậy thì các người dùng và dữ liệu
trong công ty này có thể được phân loại theo lĩnh vực dựa theo 3
phòng ban này.
55
Lớp bảo mật
◼ Một lớp bảo mật (security class) được định nghĩa như sau:
SC = (A, C)
A: mức bảo mật
C: lĩnh vực
◼ Hai lớp bảo mật SC và SC’ có mối quan hệ thứ tự riêng phần SC ≤ SC’
nếu: A ≤ A’ và C  C’
◼ Ví dụ:
◼ (C, {Sales}) ≤ (S, {Sales, Production})
◼ (C, {Sales, Production}) ≤ (S, {Sales})
56
57
Các tính chất của điều khiển truy cập bắt buộc
◼ Tính chất bảo mật đơn giản (Simple security property or ss-
property): Một chủ thể s không được phép ĐỌC đối tượng o, trừ
khi:
• class(s) ≥ class(o)
→ Không đọc lên (No read-up)
◼ Tính chất sao (Star property or *-property): Một chủ thể s không
được phép GHI lên đối tượng o, trừ khi:
class(s) ≤ class(o)
→ Không ghi xuống (No write-down)
• Những tính chất này nhằm đảm bảo rằng không có dòng thông tin
nào có thể đi từ lớp cao xuống lớp thấp!!!
58
Ví dụ về Trojan horse trong chương 4
Bob không thể đọc được nội dung của file A
59
60
Bob có thể đọc được nội dung của file A

sau khi nó được sao chép sang file B
61
Tính chất * ngăn chặn việc sao chép dữ liệu từ file (cấp cao hơn)
sang file B (cấp thấp hơn)
62
Tính chất *
◼ Tính chất *: ngăn chặn một chủ thể ở lớp bảo mật cao gửi thông điệp hợp
lệ đến những chủ thể ở lớp bảo mật thấp hơn
◼ Có 2 giải pháp:
◼ Tạm thời giảm lớp bảo mật của chủ thể đó xuống cấp thấp hơn khi gửi thông
điệp
◼ Đưa các chủ thể đáng tin cậy (trusted subject) vào danh sách
• các chủ thể không bị hạn chế bởi tính chất *
63
64
Quan hệ đa mức
◼ Quan hệ đa mức (Multilevel relation): MAC + mô hình CSDL
quan hệ
◼ Các đối tượng dữ liệu: thuộc tính và hàng
◼ Mỗi thuộc tính Ai được gắn với 1 thuộc tính mức bảo mật Ci
◼ Mỗi hàng có 1 thuộc tính mức bảo mật chung cho hàng đó TC. TC
sẽ mang giá trị cao nhất của các Ci trong hàng đó.
R(A1, C1, A2, C2, …, An, Cn, TC)
◼ Khóa biểu kiến (apparent key) của một quan hệ đa mức là tập các
thuộc tính mà sẽ tạo thành khóa chính như trong một quan hệ bình
thường (single-level relation) (bỏ các thuộc tính mức bảo mật)
65
Quan hệ đa mức
S<C<U
◼ Những chủ thể (người dùng) ở các mức bảo mật khác nhau
sẽ thấy những dữ liệu khác nhau trong cùng một quan hệ đa
mức.

66
Quan hệ đa mức
➢ Kết quả trả về cho người dùng ở mức bảo mật S
67
Quan hệ đa mức
➢ Kết quả trả về cho người dùng ở mức bảo mật C
68
Quan hệ đa mức
➢ Kết quả trả về cho người dùng ở mức bảo mật U
69
◼ Tính chất đọc và ghi
◼ Tính toàn vẹn thực thể (Entity integrity)
◼ Tính toàn vẹn giá trị null (Null integrity)
◼ Tính đa thể hiện (Polyinstantiation)
70
→ Tính chất cơ bản của MAC
71
◼ Tính toàn vẹn thực thể (Entity integrity): Tất cả các thuộc tính
nằm trong khóa biểu kiến không được null và phải ở cùng mức bảo
mật trong mỗi hàng.
◼ Tất cả các thuộc tính khác trong cùng một hàng phải có mức bảo mật
lớn hơn hoặc bằng mức bảo mật của khóa biểu kiến.
→ Ràng buộc này đảm bảo rằng một người dùng sẽ thấy được khóa
của một hàng nếu người dùng được phép xem bất kỳ phần nào của
hàng đó.
72
◼ Tính toàn vẹn giá trị null (Null integrity): Tất cả các giá trị null đều
được phân loại ở mức bảo mật bằng với mức bảo mật của khóa biểu
kiến trong cùng một hàng
→ Ràng buộc này đảm bảo sự thống nhất giữa các thể hiện khác nhau
(instance) của cùng một quan hệ khi nó xuất hiện ở các mức bảo mật
khác nhau.
73
• Tính đa thể hiện (Polyinstantiation): xảy ra khi có những hàng có
cùng khóa biểu kiến nhưng mang những giá trị khác nhau đối với
những người dùng ở các mức bảo mật khác nhau.
74
➢ Kết quả trả về cho người dùng ở cấp bảo mật C
75
◼ Một người dùng ở mức bảo mật C thực hiện câu lệnh cập
nhật giá trị của JobPerformance của Smith thành ‘Excellent’:
UPDATE EMPLOYEE
SET JobPerformance = ‘Excellent’
WHERE Name = ‘Smith’;
Thực hiện câu lệnh hay báo lỗi?
76
◼ Kết quả của câu truy vấn:
◼ Name là khóa biểu kiến trong quan hệ Employee
◼ Tồn tại 2 hàng có cùng khóa biểu kiến
77
78
Ưu và khuyết điểm của MAC
◼ Ưu điểm:
◼ Là cơ chế điều khiển truy xuất có tính bảo mật cao trong việc ngăn chặn dòng
thông tin bất hợp pháp.
◼ Thích hợp cho các ứng dụng trong môi trường quân đội.
◼ Khuyết điểm:
◼ Không dễ áp dụng: đòi hỏi cả người dùng và dữ liệu phải được phân loại rõ
ràng
◼ Chỉ được ứng dụng trong một số ít môi trường.
79
Nội dung

80
◼ Mô hình Biba
81
◼ Được phát triển bởi David Elliot Bell và Leonard J. La Padula vào
năm 1973.
◼ Để chuẩn hóa các qui định về hệ thống bảo mật nhiều mức
(multilevel security system – MLS) của bộ quốc phòng Mỹ
◼ Áp dụng trong các ứng dụng quân đội và chính phủ
82
v = (b, M, f)
◼ b: tập các truy cập hiện tại
◼ Các loại quyền truy cập (access mode): chỉ đọc (read-only), nối (append),
thực thi (excecute), đọc-ghi (read-write)
◼ b = <subject, object, access mode> = <s, o, m>: chủ thể s đang có quyền
truy cập m trên o
◼ M[s, o]: ma trận truy cập
◼ Tương tự như trong mô hình ma trận truy cập
83
Bell-LaPadula model
(b, M, f)
◼ f: hàm xác định mức bảo mật của chủ thể/đối tượng
◼ f: O U S → L
◼ fo(o): trả về mức bảo mật của đối tượng o

◼ fs(s): trả về mức bảo mật của chủ thể s
◼ fc(s): trả về mức bảo mật hiện tại của chủ thể s
◼ fc(s) ≤ fs(s)
84
Tính chất bảo mật đơn giản (ss-property)
◼ Một trạng thái hệ thống v = (b, M, f) thỏa mãn tính chất bảo mật đơn
giản khi và chỉ khi:
Với mỗi M[s,o]: M[s,o] ∈{read, write}, fo(o) ≤ fs(s)
85
Tính chất *
◼ Một trạng thái hệ thống v = (b, M, f) thỏa mãn tính chất * khi và chỉ khi:
◼ append ∈M[s,o] → fc(s) ≤ fo(o)
◼ write ∈M[s,o] → fc(s) = fo(o)
◼ read ∈M[s,o] → fc(s) ≥ fo(o)
86
Hạn chế của mô hình Bell-LaPadula:
◼ Mô hình Bell-LaPadula chỉ tập trung vào tính mật
◼ Không đảm bảo tính toàn vẹn thông tin
◼ Không linh động trong việc thay đổi quyền truy cập.
◼ Mô hình Bell-LaPadula không chặn được convert channel:
◼ Không hỗ trợ tính đa thể hiện
◼ Một chủ thể ở mức bảo mật thấp có thể phát hiện được sự hiện diện của một
đối tượng ở mức bảo mật cao khi chủ thể đó truy xuất đến đối tượng và bị từ
chối
87
◼ Mô hình Biba
88
Mô hình Biba
◼ Do Biba đề nghị năm 1977
◼ Mô hình Biba tập trung vào việc bảo vệ tính toàn vẹn của dữ liệu
◼ Mô hình Biba phân loại chủ thể, đối tượng theo mức toàn vẹn (integrity
level)
◼ Các nhóm phân loại gồm:
◼ Crucial (C)
◼ Very Important (VI)
◼ Important (I)
C > VI > I
89
Mô hình Biba
◼ Quyền truy xuất (access mode):
◼ Chỉnh sửa (modify): ghi thông tin lên đối tượng
◼ Liên hệ (invoke): quyền giữa 2 chủ thể, cho phép 2 chủ thể liên lạc với nhau
◼ Quan sát (observe): đọc thông tin của đối tượng
◼ Thực thi (execute): thực thi chương trình
90
◼ Tính chất toàn vẹn đơn giản (Simple integrity property):
một chủ thể s có thể quan sát được đối tượng o nếu và chỉ
nếu:
i(s) ≤ i(o) i(s): mức toàn vẹn của s
→ Không đọc xuống (No read down) i(o): mức toàn vẹn của o
◼ Tính chất toàn vẹn sao (Integrity star property): một chủ
thể s có thể chỉnh sửa được đối tượng o nếu và chỉ nếu:
i(o) ≤ i(s)
→ Không ghi lên (No write up)
91
◼ Tính chất liên hệ (Invocation property): một chủ thể s1 có thể liên
hệ với chủ thể s2 nếu và chỉ nếu:
i(s2) ≤ i(s1)
92
Mô hình Biba
◼ Mô hình Biba bảo vệ tính toàn vẹn và không cung cấp tính mật nên
cần kết hợp với những mô hình khác.
◼ Mô hình Lipner là mô hình kết hợp giữa mô hình Bell-LaPadula
và mô hình Biba.
93
Role-Based
Access Control
Truy cập dựa trên vai trò
Mối liên hệ nhiều nhiều

giữa người dung và vai
trò
Vai trò thường ở dạng

tỉnh
94
Role-Based Access Control
• Vai trò người dung với vai đối tượng

trong ma trận truy xuất
95
RBAC và các biến thể
• 4 mô hình tương tự như RBAC
1. RBAC0: tối thiểu chức năng
2. RBAC1: RBAC0 công thêm sự cho phép và thừa kế chức năng
3. RBAC2: RBAC0 cộng thêm những rang buộc
4. RBAC3: RBAC0 cộng thêm những ràng buộc ở trên
• Các thực thể trong RBAC0
▪ Người dùng: an individual (with UID) with access to system
▪ Vai trò: a named job function (tells authority level)
▪ Cho phép: Tương ứng truy cấp được phép
▪ Phiên làm việc: 1 ánh xạ giữa người dùng và tập các vai trò mà người dùng
được gán
96
Role-Based Access Control
• 2 mũi tên: nhiều mối liên kết

• 1 mũi tên: 1 liên kết
97
Ví dụ về phân cấp vai trò
• Giám đốc có nhiều đặc quyền nhất
• Mỗi vai trò kế thừa tất cả các đặc quyền từ các vai trò thấp hơn
• Một vai trò có thể kế thừa từ nhiều vai trò
• Các đặc quyền bổ sung có thể được gán cho một vai trò
98
Ràng buộc
• Một điều kiện (hạn chế) trên một vai trò hoặc giữa các
vai trò
▪ Loại trừ lẫn nhau
o Tập các vai trò sao cho người dùng chỉ có thể được chỉ định một trong các vai trò
trong tập
o Mọi quyền chỉ có thể được cấp cho một vai trò trong nhóm.
▪ Lượng từ (Cardinality): đặt số lượng tối đa (người dùng) ghi một vai trò
(ví dụ: vai trò chủ tịch bộ phận)
▪ Vai trò tiên quyết: người dùng chỉ có thể được chỉ định một vai trò
nếu người dùng đó đã được chỉ định một số vai trò khác
99
Bài tập
• For the DAC model , an alternative representation of the protection state is a
directed graph. Each subject and each object in the protection state is
represented by a node (a single node is used for an entity that is both
subject and object).A directed line from a subject to an object indicates an
access right, and the label on the link defines the access right.
a. Draw a directed graph that corresponds to the access matrix of Figure 1.
b. Draw a directed graph that corresponds to the access matrix of Figure 2.
c. Is there a one-to-one correspondence between the directed graph
representation and the access matrix representation? Explain.
100
101
Bài tập
Figure 1
102
Figure 2
103
Bài tập
• Consider user accounts on a system with a Web server configured to
provide access to user Web areas. In general, this uses a standard
directory name, such as ‘public_html,’ ina user’s home directory. This
acts as their user Web area if it exists. However, to allow the Web
server to access the pages in this directory, it must have at least
search (execute)access to the user’s home directory, read/execute
access to the Web directory, and read access to any webpages in it.
Consider the interaction of this requirement with the cases you
discussed for the preceding problem. What consequences does this
requirement have? Note a Web server typically executes as a special
user, and in a group that is not shared with most users on the system.
Are there some circumstances when running such a Webservice is
simply not appropriate? Explain.
104
Bài tập
• Assume a system with N job positions. For job position i, the number
of individual users in that position is Ui and the number of
permissions required for the job position is
a. For a traditional DAC scheme, how many relationships between users
and permissions must be defined?
b. For a RBAC scheme, how many relationships between users and
permissions must be defined?
105
Bài tập
• In the example of Section 4.8 , use the notation Role(x).Position to
denote the position associated with role x and Role(x).Function to
denote the function associated with role x.
a. We defined the role hierarchy (for this example) as one in which one
role is superior to another if its position is superior and their functions
are identical. Express this relationship formally.
b. An alternative role hierarchy is one in which a role is superior to
another if its
106
Bài tập
• In the example of the online entertainment store that streams movies to
users for a flat monthly fee. We will use this example to contrast RBAC and
ABAC approaches. The store must enforce the following access control
policy based on the user’s age and the movie’s content rating: In an RBAC
model, every user would be assigned one of three roles: Adult, Juvenile, or
Child, possibly during registration. There would be three permissions
created: Can view R-rated movies, Can view PG-13-rated movies, and Can
view G-rated movies. The Adult role gets assigned with all three
permissions; the Juvenile role gets Can view PG-13-rated movies and Can
view G-rated movies permissions, and the Child role gets the Can view G-
rated movies permission only. Both the user-to-role and permission-to-role
assignments are manual administrative tasks., with the finer-grained policy
that includes premium and regular users, list all of the roles and all of the
privileges that need to be defined for the RBAC model.
107
108

ch04 05 DAC MAC RBAC

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

ch04 05 DAC MAC RBAC

Uploaded by

Copyright:

Available Formats

Chương 04

1 Giới thiệu về điều

2 Mô hình điểu khiển truy cập bắt buộc

Bảo mật hệ thống thông tin

Bob không thể đọc được nội dung của file A

Bảo mật hệ thống thông tin

Bảo mật hệ thống thông tin

Bob có thể đọc được nội dung của file A

Bảo mật hệ thống thông tin

➢ Kết quả trả về cho người dùng ở mức bảo mật S

➢ Kết quả trả về cho người dùng ở mức bảo mật C

➢ Kết quả trả về cho người dùng ở mức bảo mật U

→ Tính chất cơ bản của MAC

➢ Kết quả trả về cho người dùng ở cấp bảo mật C

Bảo mật hệ thống thông tin

Thực hiện câu lệnh hay báo lỗi?

2 Mô hình điểu khiển truy cập bắt buộc

◼ fo(o): trả về mức bảo mật của đối tượng o

◼ write ∈ M[s,o] → fc(s) = fo(o)

◼ read ∈ M[s,o] → fc(s) ≥ fo(o)

2 Mô hình điểu khiển truy cập MAC

2 Mô hình điểu khiển truy cập bắt buộc

3 Case study: Oracle Label Security

Bob không thể đọc được nội dung của file A

Bob có thể đọc được nội dung của file A

• các chủ thể không bị hạn chế bởi tính chất *

Bảo mật hệ thống thông tin

➢ Kết quả trả về cho người dùng ở mức bảo mật S

➢ Kết quả trả về cho người dùng ở mức bảo mật C

➢ Kết quả trả về cho người dùng ở mức bảo mật U

→ Tính chất cơ bản của MAC

➢ Kết quả trả về cho người dùng ở cấp bảo mật C

Thực hiện câu lệnh hay báo lỗi?

1 Giới thiệu về điểu khiển truy cập bắt buộc

2 Mô hình điểu khiển truy cập bắt buộc

Bảo mật hệ thống thông tin

◼ fo(o): trả về mức bảo mật của đối tượng o

◼ write ∈M[s,o] → fc(s) = fo(o)

◼ read ∈M[s,o] → fc(s) ≥ fo(o)

Mối liên hệ nhiều nhiều

Vai trò thường ở dạng

• Vai trò người dung với vai đối tượng

• 2 mũi tên: nhiều mối liên kết

You might also like