HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG ---------------------------------------
Nguyễn Anh Dũng
NGHIÊN CỨU VỀ CÁC BIỆN PHÁP ĐIỀU KHIỂN TRUY CẬP VÀ ỨNG DỤNG Chuyên ngành: Truyền dữ liệu và mạng máy tính Mã số: 60.48.15
TÓM TẮT LUẬN VĂN THẠC SĨ
HÀ NỘI - 2013
Luận văn được hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Người hướng dẫn khoa học: TS. Hoàng Xuân Dậu
Phản biện 1:
Phản biện 2: ..
Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông Vào lúc:
....... giờ ....... ngày ....... tháng ....... .. năm ...............
Có thể tìm hiểu luận văn tại: - Thư viện của Học viện Công nghệ Bưu chính Viễn thông
HÀ NỘI - 2013
1
Mục lục Mục lục ................................................................................................................................... 1 MỞ ĐẦU................................................................................................................................. 4 Chương 1- TỔNG QUAN VỀ ĐIỀU KHIỂN TRUY CẬP ................................................... 6 1.1. Giới thiệu về điều khiển truy cập ................................................................................. 6 1.1.1. Khái niệm về truy cập và điều khiển truy cập ..................................................... 6 1.1.2. Các thành phần cơ bản của điều khiển truy cập................................................... 6 1.1.3. Tiến trình điều khiển truy cập .............................................................................. 7 1.2. Các kiểu xác thực ......................................................................................................... 8 1.3. Các nguy cơ và các điểm yếu của điều khiển truy cập ................................................ 8 1.3.1. Các nguy cơ (threats) ............................................................................................ 8 1.3.2. Các điểm yếu......................................................................................................... 9 1.3.3. Đánh giá ảnh hưởng của các nguy cơ và điểm yếu đối với điều khiển truy cập .. 9 1.4. Một số ứng tiêu biểu của điều khiển truy cập .............................................................. 9 1.4.1. Kerberos .............................................................................................................. 10 1.4.2. Đăng nhập một lần .............................................................................................. 10 1.4.3. Tường lửa ............................................................................................................ 10 1.5. Kết chương ................................................................................................................. 10 Chương 2 - CÁC BIỆN PHÁP ĐIỀU KHIỂN TRUY CẬP THÔNG DỤNG ..................... 11 2.1. Điều khiển truy cập tùy quyền (DAC - Discretionary Access Control) .................... 11 2.1.1. Các khả năng (Capabilites) ................................................................................. 11 2.1.2. Các hồ sơ (Profiles): ........................................................................................... 12 2.1.3. Access control lists (ACLs) ................................................................................ 12 2.1.4. Các bit bảo vệ (Protection bits) ........................................................................... 12 2.1.5. Mật khẩu ............................................................................................................. 12
2 2.2. Điều khiển truy cập bắt buộc (MAC Mandatory access control) ........................... 13 2.2.1. Mô hình Bell-LaPadula ...................................................................................... 13 2.2.2. Mô hình Biba ...................................................................................................... 13 2.3. Mô hình điều khiển truy cập trên cơ sở vai trò (RBAC Role-based Access Control) ........................................................................................................................................... 14 2.3.1
Nền tảng và động lực ........................................................................................ 14
2.3.2. Các vai trò và các khái niệm liên quan ............................................................... 15 2.3.3. Các mô hình tham chiếu ..................................................................................... 15 2.3.4. Mô hình cơ sở ..................................................................................................... 15 2.3.5. Role có cấp bậc ................................................................................................... 16 2.3.6. Các ràng buộc ..................................................................................................... 16 2.3.7. Mô hình hợp nhất ................................................................................................ 16 2.3.8. Các mô hình quản lý ........................................................................................... 17 2.4 Điều khiển truy cập dựa trên luật (Rule BAC Rule Based Access Control) ............ 17 2.5. Kết chương ................................................................................................................. 17 Chương 3 - PHÂN TÍCH CƠ CHẾ ĐIỀU KHIỂN TRUY CẬP TRONG CÁC HỆ ĐIỀU HÀNH WINDOWS VÀ LINUX .......................................................................................... 18 3.1. Điều khiển truy cập trong Windows .......................................................................... 18 3.1.1. Quản trị viên miền (Domain Administrator) ...................................................... 18 3.1.2. Siêu quản trị viên (Super Administrator) ............................................................ 18 3.2. Điều khiển truy cập trong UNIX/Linux: .................................................................... 19 3.2.1. Các quyền trong UNIX/Linux ............................................................................ 19 3.2.2. Hệ thống phát hiện xâm nhập Linux (Linux Intrusion Detection System - LIDS) ....................................................................................................................................... 19 3.2.3. Quyền root........................................................................................................... 20 3.2.4. Dịch vụ thông tin mạng NIS và NIS1 ................................................................. 20 3.2.5. Hỗ trợ MAC và RBAC trong Unix/Linux .......................................................... 20
3 3.3. Kết chương ................................................................................................................. 20 Chương 4 ĐỀ XUẤT CÁC GIẢI PHÁP ĐẢM BẢO AN NINH, AN TOÀN DỰA TRÊN ĐIỀU KHIỂN TRUY CẬP ................................................................................................... 21 4.1. Các chính sách quản trị người dùng an toàn .............................................................. 21 4.2. Một số biện pháp đảm bảo an ninh, an toàn dựa trên điều khiển truy cập cho các ứng dụng và các dịch vụ ........................................................................................................... 21 4.3. Kết chương ................................................................................................................. 22 KẾT LUẬN ........................................................................................................................... 23 DANH MỤC TÀI LIỆU THAM KHẢO .............................................................................. 24
4
MỞ ĐẦU Với sự phát triển mạnh mẽ của Internet và mạng web toàn cầu, các ứng dụng và dịch vụ trên nền mạng Internet ngày càng phong phú. Đi kèm với các ứng dụng và dịch vụ hữu ích cho người dùng là các phần mềm độc hại và các hành động tấn công, đột nhập vào các hệ thống máy tính và mạng, nhằm chiếm quyền kiểm soát các hệ thống này, hoặc đánh cắp các dữ liệu có giá trị. Vì thế, vấn đề đảm bảo an ninh, an toàn cho các hệ thống máy tính và mạng, an toàn dữ liệu trở nên rất cấp thiết. Nhiều giải pháp đảm bảo an ninh, an toàn đã được nghiên cứu, triển khai như các biện pháp điều khiển truy cập, rà quét phát hiện phần mềm độc hại, phát hiện tấn công, đột nhập và mã hóa dữ liệu. Các giải pháp đảm bảo an ninh, an toàn thường được sử dụng kết hợp với nhau tạo thành một hệ thống an ninh có nhiều lớp có khả năng giảm thiểu các nguy cơ mất an toàn cho hệ thống. Điều khiển truy cập (Access Control) là kỹ thuật cho phép kiểm soát việc truy nhập đến một tài nguyên tính toán cho một người dùng hoặc một nhóm người dùng nào đó. Điều khiển truy cập thường được sử dụng như lớp phòng vệ thứ nhất, nhằm ngăn chặn các các phần mềm độc hại và các hành động tấn công, đột nhập vào các hệ thống máy tính và mạng, hoặc truy cập trái phép vào dữ liệu và các tài nguyên tính toán. Lớp phòng vệ dựa trên điều khiển truy cập rất quan trọng và nó có thể giúp ngăn chặn đa số các tấn công, đột nhập thông thường. Trong điều kiện hạ tầng mạng cũng như nhân lực quản trị hệ thống của các cơ quan, tổ chức ở Việt Nam hiện nay còn hạn chế, việc nghiên cứu sâu về điều khiển truy cập để tìm giải pháp ứng dụng phù hợp là thực sự cần thiết. Luận văn "Nghiên cứu các biện pháp điều khiển truy cập và ứng dụng" được đưa ra với mục đích nghiên cứu sâu về các biện pháp điều khiển truy cập và ứng dụng phân tích hệ thống điều khiển truy cập của các hệ điều hành phổ biến là Windows và Linux. Hơn nữa, luận văn cũng đề xuất một số biện pháp đảm bảo an ninh, an toàn dựa trên điều khiển truy cập cho hệ điều hành và các ứng dụng. Luận văn gồm 4 chương với nội dung như sau: Chương 1- Tổng quan về điều khiển truy cập giới thiệu khái quát về điều khiển truy cập, các kỹ thuật thực hiện điều khiển truy cập và giới thiệu một số ứng dụng thực tế của điều khiển truy cập. Chương 2- Các biện pháp điều khiển truy cập thông dụng đi sâu phân tích 4 cơ chế điều khiển truy cập phổ biến là điều khiển truy cập tùy quyền (DAC), điều khiển truy cập bắt
5 buộc (MAC), điều khiển truy cập dựa trên vai trò (Role-Based AC) và điều khiển truy cập dựa trên luật (Rule-Based AC). Chương 3- Phân tích cơ chế điều khiển truy cập của các hệ điều hành họ Windows và Unix/Linux đi sâu phân tích các biện pháp điều khiển truy cập được ứng dụng trong các hệ điều hành này. Chương 4- Đề xuất các giải pháp đảm bảo an ninh, an toàn dựa trên điều khiển truy cập, trong đó đề cập các biện pháp đảm bảo an toàn ở mức hệ điều hành, mức người dùng và mức ứng dụng.
6
Chương 1- TỔNG QUAN VỀ ĐIỀU KHIỂN TRUY CẬP 1.1. Giới thiệu về điều khiển truy cập 1.1.1. Khái niệm về truy cập và điều khiển truy cập Truy cập (access) là khả năng tương tác giữa chủ thể (subject) và đối tượng (object). Điều khiển truy nhập là quá trình mà trong đó người dùng được nhận dạng và trao quyền truy nhập đến các thông tin, các hệ thống và tài nguyên. Điều khiển truy cập tạo nên khả năng cho chúng ta có thể cấp phép hoặc từ chối một chủ thể - một thực thể chủ động, chẳng hạn như một người hay một quy trình nào đó - sử dụng một đối tượng - một thực thể thụ động, chẳng hạn như một hệ thống, một tập tin - nào đó trong hệ thống. Có ba khái niệm cơ bản trong mọi ngữ cảnh điều khiển truy cập, bao gồm: Chính sách (policy): Là các luật do bộ phận quản trị tài nguyên đề ra. Chủ thể (subject): Có thể là người sử dụng, mạng, các tiến trình hay các ứng dụng yêu cầu được truy cập vào tài nguyên. Đối tượng (object): Là các tài nguyên mà chủ thể được phép truy cập.
1.1.2. Các thành phần cơ bản của điều khiển truy cập 1.1.2.1. Các hệ thống điều khiển truy cập (Access control systems) Một hệ thống điều khiển truy cập hoàn chỉnh bao gồm 3 thành phần: Các chính sách (Policies): Các luật được đưa ra bởi bộ phần quản lý tài nguyên quy định phương thức truy cập vào tài nguyên. Các thủ tục (Procedures) Các biện pháp phi kỹ thuật được sử dụng để thực thi các chính sách. Các công cụ (Tools) Các biện pháp kỹ thuật được sử dụng để thực thi các chính sách.
1.1.2.2.Các chủ thể điều khiển truy cập (Access control subjects) Các chủ thể (subject) trong ngữ cảnh điều khiển truy cập là một cá nhân hoặc một ứng dụng đang yêu cầu truy xuất vào một tài nguyên như mạng, hệ thống file hoặc máy in. Có 3 loại chủ thể: Đã xác thực : Là những người có sự ủy quyền hợp pháp được phép truy cập vào tài nguyên.
7 Chưa xác thực: Là những người chưa có sự ủy quyền hợp pháp hoặc không có quyền để truy cập vào tài nguyên. Chưa biết (Unknown) : Những người chưa rõ, không xác định về quyền hạn truy cập. 1.1.2.3. Các đối tượng điều khiển truy cập (Access control objects) Ba danh mục chính của đối tượng cần được bảo vệ bằng điều khiển truy cập: Thông tin: Là tất cả dữ liệu. Công nghệ: Là các ứng dụng, hệ thống và mạng. Địa điểm vật lý: Như các tòa nhà, văn phòng... Thông tin là dữ liệu phổ biến nhất trong các chính sách điều khiển truy cập của công nghệ thông tin. Có thể đặt mật khẩu cho các ứng dụng và cơ sở dữ liệu để hạn chế việc truy cập. Các đối tượng công nghệ cũng quan trọng bởi vì khi có thể truy nhập vào các đối tượng công nghệ thì cũng có khả năng truy nhập vào các thông tin.
1.1.3. Tiến trình điều khiển truy cập Ba bước để thực hiện điều khiển truy cập: Nhận dạng (Identification): Xử lý nhận dạng một chủ thể khi truy cập vào hệ thống. Xác thực (Authentication): Chứng thực nhận dạng chủ thể đó. Trao quyền (Authorization): Gán quyền được phép hoặc không được phép truy cập vào đối tượng.
1.1.3.1. Nhận dạng (Identification) Nhận dạng là phương pháp người dùng báo cho hệ thống biết họ là ai (chẳng hạn như bằng cách sử dụng tên người dùng). Bộ phận nhận dạng người dùng của một hệ thống điều khiển truy cập thường là một cơ chế tương đối đơn giản.
1.1.3.2. Xác thực (Authentication) Xác thực là một quy trình xác minh nhận dạng của một người dùng - chẳng hạn bằng cách so sánh mật khẩu mà người dùng đăng nhập với mật khẩu được lưu trữ trong hệ thống đối với một tên người dùng cho trước nào đó. Có nhiều phương pháp xác thực một chủ thể. Một số phương pháp xác thực được sử dụng phổ biến: Mật khẩu. Token. Khóa chia sẻ bí mật (shared secret).
8
1.1.3.3. Trao quyền (Authorization) Khi một subject đã được nhận dạng và xác thực được phép truy cập vào hệ thống, hệ thống điều khiển truy cập phải xác định subject này được cấp quyền hạn gì khi truy cập vào tài nguyên được yêu cầu. Trao quyền cấp các quyền phù hợp theo định nghĩa từ trước của hệ thống cho subject truy nhập vào object.
1.2. Các kiểu xác thực Có ba kiểu xác thực các chủ thể được sử dụng phổ biến nhất: Xác thực dựa trên cái người sử dụng biết (something you know). Xác thực dựa trên những thứ người sử dụng có (something you have). Xác thực dựa trên những thứ người sử dụng sở hữu bẩm sinh (something you are). Xác thực dựa trên cái người sử dụng biết như mật khẩu (password), mật ngữ (pass phrase) hoặc mã số định danh cá nhân (PIN)
1.3. Các nguy cơ và các điểm yếu của điều khiển truy cập 1.3.1. Các nguy cơ (threats) Có ba nguy cơ chính đối với bất kỳ hệ thống điều khiển truy cập: Phá mật khẩu (password cracking). Chiếm quyền điều khiển (heightened access). Social engineering. 1.3.1.1. Phá mật khẩu (Password Cracking) Người quản trị hệ thống sẽ thiết lập các luật cho mật khẩu để đảm bảo người sử dụng tạo mật khẩu an toàn nhất. Kẻ tấn công có thể sử dụng kết hợp kỹ thuật tấn công Brute force và các thuật toán tinh vi để phá mật khẩu, truy cập vào hệ thống một cách bất hợp pháp. Các chính sách để đảm bảo mật khẩu đạt độ khó tránh bị phá bao gồm: mật khẩu phải tối thiểu 8 ký tự bao gồm chữ cái hoa, chữ cái thường, số và ký tự đặc biệt. Bên cạnh đó ý thức người sử dụng cũng cần được nâng cao như định kỳ nên thay đổi mật khẩu, đặt mật khẩu phải đạt độ khó nhưng dễ nhớ...
1.3.1.2. Chiếm quyền điều khiển (Heightened Access) Kẻ tấn công có thể khai thác các điểm yếu trên hệ điều hành, dùng công cụ để phá mật khẩu của người dùng và đăng nhập vào hệ thống trái phép, sau đó sẽ tiếp theo tìm cách nâng quyền truy cập ở mức cao hơn. Cơ hội là các thông tin có giá trị trên hệ thống ( như
9 các dữ liệu nhạy cảm) đã được bảo vệ bởi việc phân quyền cho nhóm và file không cho phép mọi người sử dụng có thể đọc và viết chúng.
1.3.1.3. Social Engineering Social engineering sử dụng sự ảnh hưởng và sự thuyết phục để đánh lừa người dùng nhằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết phục nạn nhân thực hiện một hành động nào đó. Social engineer (người thực hiện công việc tấn công bằng phương pháp social engineering) thường sử dụng điện thoại hoặc internet để dụ dỗ người dùng tiết lộ thông tin nhạy cảm. Bằng phương pháp này, Social engineer tiến hành khai thác các thói quen tự nhiên của người dùng, hơn là tìm các lỗ hổng bảo mật của hệ thống.
1.3.2. Các điểm yếu Hầu hết các hệ thống bảo mật đều có các điểm yếu nào đó và các hệ thống điều khiển truy cập cũng không phải ngoại lệ. Điểm yếu chính khi sử dụng mật khẩu trong điều khiển truy cập chính là việc sử dụng mật khẩu yếu, dễ đoán, dẽ phá. Như đã thảo luận ở phần trên, để hạn chế điểm yếu này thì việc sử dụng mật khẩu cần tuân theo các chính sách như việc tạo mật khẩu phải ít nhất 8 ký tự trở lên trong đó có chữ hoa, chữ thường, số, dễ nhớ và khó đoán. Việc sử dụng các thiết bị phần cứng kết hợp với sử dụng mật khẩu như security token và thiết bị sinh mật khẩu một lần (OTP) cũng là các giải pháp hạn chế điểm yếu về mật khẩu của điều khiển truy cập.
1.3.3. Đánh giá ảnh hưởng của các nguy cơ và điểm yếu đối với điều khiển truy cập Trên cơ sở phân tích các nguy cơ và điểm yếu của điều khiển truy cập, chúng ta có thể đánh các tác động của chúng. Có hai cách đánh giá: Đánh giá theo định lượng và theo định tính. Đánh giá theo định lượng là việc ước lượng các chi phí phải trả để khắc phục hậu quả của các tấn công, phá hoại và khôi phục dữ liệu. Đánh giá theo định tính: Đánh giá rủi ro về chất lượng đưa vào tài khoản phi tài chính rủi ro đối với một tổ chức.
1.4. Một số ứng tiêu biểu của điều khiển truy cập Một số ứng dụng tiêu biểu của điều khiển truy cập như: Kerberos. Đăng nhập một lần (Single Sign On - SSO).
10 Tường lửa
1.4.1. Kerberos Kerberos là hệ xác thực dựa trên nguyên lý mã hóa sử dụng khóa mật. Trong hệ Kerberos, một bên thứ ba được tin cậy cấp khóa phiên để bên người dùng và bên cung cấp dịch vụ có thể trao đổi thông tin với nhau trên mạng một cách an toàn. Đây là một công nghệ đã chín muồi và được sử dụng rộng rãi, tuy còn một số mặt hạn chế đang được tiếp tục khắc phục.
1.4.2. Đăng nhập một lần Đăng nhập một lần (Single Sign On hay SSO) là giải pháp sử dụng một dịch vụ chứng thực trung tâm để chứng thực người dùng cho rất nhiều dịch vụ khác. Vì vậy, chỉ cần một tài khoản, khách hàng có thể đăng nhập và sử dụng rất nhiều dịch vụ chạy trên các máy chủ và tên miền khác nhau. Giải pháp này có thể giúp doanh nghiệp giảm thiểu chi phí, tăng cường an ninh và đặc biệt là mang lại sự thuận tiện cho khách hàng.
1.4.3. Tường lửa Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép nhằm bảo vệ các tài nguyên mạng nội bộ cũng như hạn chế sự xâm nhập của một số thông tin không mong muốn. Cũng có thể hiểu rằng Firewall là một cơ chế để bảo vệ mạng tin tưởng (trusted network) khỏi các mạng không tin tưởng (untrusted network).
1.5. Kết chương Mục đích của điều khiển truy cập là quản lý sự tương tác giữa chủ thể (thường là người sử dụng) và đối tượng (như dữ liệu, mạng hay thiết bị). Sự khác biệt chủ thể và đối tượng thể hiện ở tính thụ động. Điều khiển truy cập gồm 3 thành phần chính: nhận dạng, xác thực và trao quyền. Đầu tiên cả chủ thể và đối tượng cần phải được nhận dạng. Thứ hai, thông tin nhận dạng của chủ thể phải được xác thực. Cuối cùng, chủ thể đã được xác thực được trao quyền để tương tác trên đối tượng. Các phương thức xác thực có thể được thực hiện dựa trên cái người sử dụng biết, dựa trên những thứ người sử dụng có và dựa trên những thứ người sử dụng sở hữu bẩm sinh. Trong chương tiếp theo, luận văn sẽ nghiên cứu sâu về các kỹ thuật điều khiển truy cập.
11
Chương 2 - CÁC BIỆN PHÁP ĐIỀU KHIỂN TRUY CẬP THÔNG DỤNG 2.1. Điều khiển truy cập tùy quyền (DAC - Discretionary Access Control) DAC hay còn gọi là mô hình điều khiển truy cập tùy quyền là một phương pháp nhằm hạn chế truy cập các đối tượng trên cơ sở nhận dạng và nhu cầu cần biết của nhiều người dùng và/hoặc của một nhóm các đối tượng trực thuộc. Phương pháp điều khiển truy cập được coi là tùy quyền là vì một chủ thể với một quyền truy cập nào đó có thể chuyển nhượng quyền truy cập (trực tiếp hay gián tiếp) sang bất cứ một chủ thể nào khác trong hệ thống. Nói cách khác, kỹ thuật này cho phép người dùng có toàn quyền quyết định quyền truy cập được công nhận cho các tài nguyên của họ, có nghĩa là họ có thể (tình cờ hay cố ý) cấp quyền truy cập cho những người dùng bất hợp pháp. Hiện nay, các hệ điều hành thường hỗ trợ năm cơ chế cơ bản: Các khả năng (Capabilities). Hồ sơ (Profiles). Danh sách điều khiển truy cập (Access Control Lists ACLs). Các bit bảo vệ (Protection bits). Mật khẩu (Passwords).
2.1.1. Các khả năng (Capabilites) Các khả năng tương ứng với các hàng của ma trận điều khiển truy cập. Khi phương pháp này được sử dụng, liên kết với mỗi tiến trình là một danh sách các đối tượng có
12 thể được truy cập, cùng với một dấu hiệu của hoạt động nào được cho phép, nói cách khác, là miền của nó. Danh sách này được gọi là một danh sách các khả năng hoặc Clist và các thành phần trên đó được gọi là những khả năng.
2.1.2. Các hồ sơ (Profiles): Profiles được triển khai trên nhiều dạng hệ thống, sử dụng một danh sách bảo vệ đối tượng kết hợp với từng người dùng. Nếu một người dùng được truy cập đến nhiều đối tượng được bảo vệ, profiles có thể rất lớn và khó quản lý. Viêc tạo, xóa và thay đổi truy cập đến đối tượng được bảo vệ yêu cầu nhiều thao tác khi nhiều profile của người dùng phải được cập nhật. Việc xóa một đối tượng có thể yêu cầu một vài thao tác xác định một người dùng có các đối tượng ở trong profile của mình. Với profile, để trả lời câu hỏi ai có quyền truy cập vào đối tượng được bảo vệ là rất khó. Nhìn chung, không nên triển khai profiles trong hệ thống DAC.
2.1.3. Access control lists (ACLs) Danh sách điều khiển truy cập (Access control lists ACLs) là danh sách mô tả việc liên kết các quyền truy nhập của người dùng với mỗi đối tượng. Đó là một danh sách có chứa tất cả các miền có thể truy cập vào các đối tượng. Thông thường trong các tài liệu bảo mật, người dùng được gọi là các chủ thể (subject), để tương ứng với những thứ họ sở hữu, các đối tượng, chẳng hạn như các file. Mỗi tập tin có một bản ghi ACL liên kết với nó. ACL không thay đổi nếu người dùng khởi động một tiến trình hoặc 100 tiến trình. Quyền truy nhập được gán cho chủ sở hữu, không phải gán trực tiếp cho tiến trình.
2.1.4. Các bit bảo vệ (Protection bits) Các bit bảo vệ đặc trưng ma trận điều khiển truy cập theo cột. Trong cơ chế bit bảo vệ trên các hệ thống như UNIX, bit bảo vệ cho mỗi đối tượng được sử dụng thay vì liệt kê danh sách người dùng có thể truy cập vào đối tượng. Trong UNIX các bit bảo vệ chỉ ra hoặc mọi người, nhóm đối tượng hoặc người sở hữu mới có các quyền để truy cập đến đối tượng được bảo vệ. Người tạo ra đối tượng được gọi là chủ sở hữu (owner), chủ sở hữu này có thể thay đổi bit bảo vệ. Hệ thống không thể cho phép hay không cho phép truy cập tới một đối tượng được bảo vệ trên bất kỳ người dùng nào.
2.1.5. Mật khẩu Mật khẩu bảo vệ các đối tượng đại diện cho ma trận kiểm soát truy cập của hàng. Nếu mỗi người sử dụng sở hữu mật khẩu của mình cho từng đối tượng, sau đó mật khẩu là một vé cho đối tượng, tương tự như một hệ thống khả năng. Trong hầu hết các cài đặt thực
13 hiện bảo vệ mật khẩu, chỉ có một mật khẩu cho mỗi đối tượng hoặc mật khẩu mỗi đối tượng cho mỗi chế độ truy cập tồn tại.
2.2. Điều khiển truy cập bắt buộc (MAC Mandatory access control) Kiểm soát truy nhập bắt buộc (Mandatory Access Control - MAC) là một chính sách truy nhập không do cá nhân sở hữu tài nguyên quyết định, mà do hệ thống quyết định. MAC được dùng trong các hệ thống đa cấp, là những hệ thống xử lý các loại dữ liệu nhạy cảm, như các thông tin được phân loại theo mức độ bảo mật trong cơ quan chính phủ và trong quân đội. Một hệ thống đa cấp là một hệ thống máy tính duy nhất chịu trách nhiệm xử lý nhiều cấp thông tin nhạy cảm giữa các chủ thể và các đối tượng trong hệ thống. Khái niệm MAC được hình thức hoá lần đầu tiên bởi mô hình Bell và LaPadula. Mô hình này hỗ trợ MAC bằng việc xác định rõ các quyền truy nhập từ các mức nhạy cảm kết hợp với các chủ thể và đối tượng. Mô hình toàn vẹn Biba đc đưa ra năm 1977 tại tổng công ty MITRE. Một năm sau khi mô hình Bell-LaPadula được đưa ra. Các động lực chính cho việc tạo mô hình này là sự bất lực của mô hình Bell-LaPadula để đối phó với tính toàn vẹn của dữ liệu.
2.2.1. Mô hình Bell-LaPadula Mô hình Bell-La Padula là mô hình bảo mật đa cấp được sử dụng rộng rãi nhất. Mô hình này được thiết kế để xử lý an ninh quân sự, nhưng nó cũng có thể áp dụng cho các tổ chức khác. Một tiến trình chạy nhân danh một người sử dụng có được mức độ bảo mật của người dùng đó. Vì có nhiều mức độ bảo mật, mô hình này được gọi là một hệ thống đa bảo mật. Mô hình Bell-La Padula có những quy định về thông tin có thể lưu thông: Tài nguyên bảo mật đơn giản: Một tiến trình đang chạy ở mức độ bảo mật k có thể đọc các đối tượng chỉ ở cùng mức hoặc thấp hơn. Tài nguyên *: Một tiến trình đang chạy ở mức độ bảo mật k chỉ có thể ghi các đối tượng ở cùng cấp độ hoặc cao hơn.
2.2.2. Mô hình Biba Mô hình toàn vẹn Biba đc đưa ra năm 1977 tại tổng công ty MITRE. Một năm sau khi mô hình Bell-LaPadula được đưa ra. Các động lực chính cho việc tạo mô hình này là sự bất lực của mô hình Bell-LaPadula để đối phó với tính toàn vẹn của dữ liệu. này chú trọng vào tính toàn vẹn, dựa trên 2 quy tắc:
Mô hình
14 Đối tượng không được xem các nội dung ở mức an ninh toàn vẹn thấp hơn (no readdown). Đối tượng không được tạo/ghi các nội dung ở mức an ninh toàn vẹn cao hơn (no write-up). Vấn đề với mô hình Padula Bell-La là nó đã được đưa ra để giữ bí mật, không đảm bảo tính toàn vẹn của dữ liệu. Để đảm bảo tính toàn vẹn của dữ liệu, các nguyên tắc sau được áp dụng: Nguyên tắc toàn vẹn đơn giản: Một tiến trình đang chạy ở mức độ bảo mật k có thể chỉ có thể ghi lên các đối tượng ở cùng mức hoặc thấp hơn (không viết lên mức cao hơn). Tính toàn vẹn tài nguyên: Một tiến trình đang chạy ở mức độ bảo mật k chỉ thể đọc các đối tượng ở cùng mức hoặc cao hơn (không đọc xuống mức thấp hơn).
2.3. Mô hình điều khiển truy cập trên cơ sở vai trò (RBAC Role-based Access Control) Khái niệm điều khiển truy cập dựa trên vai trò (Role-Based Access Control) bắt đầu với hệ thống đa người sử dụng và đa ứng dụng trực tuyến được đưa ra lần đầu vào những năm 70. Ý tưởng trọng tâm của RBAC là permission (quyền hạn) được kết hợp với role (vai trò) và user (người sử dụng) được phân chia dựa theo các role thích hợp. Điều này làm đơn giản phần lớn việc quản lý những permission. Tạo ra các role cho các chức năng công việc khác nhau trong một tổ chức và user cũng được phân các role dựa vào trách nhiệm và trình độ của họ. Những role được cấp các permission mới vì các ứng dụng gắn kết chặt chẽ với các hệ thống và các permission được hủy khỏi các role khi cần thiết.
2.3.1 Nền tảng và động lực Với RBAC, người ta có thể xác định được các mối quan hệ role permission. Điều này giúp cho việc gán cho các user tới các role xác định dễ dàng. Các permission được phân cho các role có xu hướng thay đổi tương đối chậm so với sự thay đổi thành viên những user các role. Chính sách điều khiển truy cập được thể hiện ở các thành tố khác nhau của RBAC như mối quan hệ role permission, mối quan hệ user role và mối quan hệ role role. Những thành tố này cùng xác định xem liệu một user cụ thể có được phép truy cập vào môt
15 mảng dữ liệu trong hệ thống hay không. RBAC không phải là giải pháp cho mọi vấn để kiểm soát truy cập. Người ta cần những dạng kiểm soát truy cập phức tạp hơn khi xử lí các tình huống mà trong đó chuỗi các thao tác cần được kiểm soát.
2.3.2. Các vai trò và các khái niệm liên quan Một câu hỏi thường được hỏi là sự khác nhau giữa các role và các group là gì?. Các nhóm user như một đơn vị kiểm soát truy cập thường được nhiều hệ thống kiểm soát truy cập cung cấp. Điểm khác biệt chính giữa hầu hết các group và khái niệm role là group thường đựợc đối xử như một tập hợp những user chứ không phải là một tập hợp các permission. Một role một mặt vừa là một tập hợp các user mặt khác lại là một tập hợp các permission. Role đóng vai trò trung gian để kết nối hai tập hợp này lại với nhau.
2.3.3. Các mô hình tham chiếu Để hiểu các chiều khác nhau của RBAC, cần xác định 4 mô hình RBAC khái niệm. Mối quan hệ giữa 4 mô hình này được trình bày ở hình 2.5 và các đặc điểm cơ bản được minh họa ở hình 2.6. RBAC0, mô hình cơ bản nằm ở dưới cùng cho thấy đó là yêu cầu tối thiểu cho bất kì một hệ thống nào hỗ trợ RBAC. RBAC1 và RBAC2 đều bao gồm RBAC0 nhưng có thêm một số nét khác với RBAC0. Chúng được gọi là các mô hình tiên tiến. RBAC1 có thêm khái niệm cấp bậc role (khi các role có thể kế thừa permission từ role khác). RBAC2 có thêm những ràng buộc (đặt ra các hạn chế chấp nhận các dạng của các thành tố khác nhau của RBAC). RBAC1 và RBAC2 không so sánh được với nhau. Mô hình hợp nhất RBAC3 bao gồm cả RBAC1 và RBAC2 và cả RBAC0 nữa.
2.3.4. Mô hình cơ sở Mô hình cơ sở RBAC0 không phải là một trong 3 mô hình tiên tiến. Mô hình có 3 nhóm thực thể được gọi là User (U), Role (R), Permission (P) và một tập hợp các Session (S) được thể hiện trên hình 2.7. User trong mô hình này là con người. Khái niệm user sẽ được khái quát hóa bao gồm cả các tác nhân thông minh và tự chủ khác như robot, máy tính cố định, thậm chí là các mạng lưới máy tính. Để cho đơn giản, nên tập trung vào user là con người. Một role là một chức năng công việc hay tên công việc trong tổ chức theo thẩm quyền và trách nhiệm trao cho từng thành viên. Một permission là một sự cho phép của một chế độ cụ thể nào đó truy cập vào một hay nhiều object trong hệ thống. Các thuật ngữ authorization (sự trao quyền), access right (quyền truy cập) và privilege (quyền ưu tiên) đều để chỉ một permission. Các permission luôn tích cực và trao cho người có permission khả năng thực hiện một vài công
16 viêc trong hệ thống. Các object là các số liệu object cũng như là các nguồn object được thể hiện bằng số liệu trong hệ thống máy tính. Mô hình chấp nhận một loạt các cách diễn giải khác nhau cho các permission.
2.3.5. Role có cấp bậc Mô hình RBAC1 giới thiệu role có thứ bậc (Role Hierarchies - RH). Role có thứ bậc cũng được cài đặt trong hệ thống tương tự như các role không thứ bậc. Role có thứ bậc có một ngữ nghĩa tự nhiên cho các role có cấu trúc để phản ánh một tổ chức của các permission và trách nhiệm. Trong một số hệ thống hiệu quả của các role riêng tư đạt được bởi khối bên trên thừa kế của các permission. Trong một số trường hợp của hệ thống thứ bậc không mô tả sự phân phối của permission chính xác. Điều này thích hợp để giới thiệu các role riêng tư và giữ ngữ nghĩa của hệ thống thứ bậc liên quan xung quanh những role không thay đổi.
2.3.6. Các ràng buộc Các ràng buộc là một thành phần quan trọng của RBAC và được cho là có tác dụng thúc đẩy sự phát triển của RBAC. Các ràng buộc trong RBAC có thể được áp dụng cho các quan hệ giữa UA, PA, user và các chức năng của role trong với các session khác nhau. Các ràng buộc được áp dụng tới các quan hệ và các chức năng, sẽ trả về một giá trị có thể chấp nhận được hay không thể chấp nhận được. Các ràng buộc có thể được xem như các câu trong một vài ngôn ngữ chính thức thích hợp.
2.3.7. Mô hình hợp nhất RBAC3 là sự kết hợp của RBAC1 và RBAC2 để cung cấp cả hai hệ thống thứ bậc role và các ràng buộc. Có một số vấn đề xảy ra khi kết hợp hai môn hình trong một hệ thống thống nhất. Các ràng buộc có thể được áp dụng cho các hệ thống role có thứ bậc. Hệ thống role thứ bậc được yêu cầu tách nhỏ ra từng phần. Các ràng buộc là cốt lõi của mô hình RBAC3. Việc thêm các ràng buộc có thể giới hạn số các role của người cấp cao (hay người cấp thấp) có thể có. Hai hay nhiều role có thể được ràng buộc để không có sự phổ biến role của người cấp cao (hay người cấp thấp). Các loại ràng buộc này là hữu ích trong hoàn cảnh mà việc xác thực thay đổi hệ thống role có thứ bậc được chuyển giao, nhưng trưởng security officer chuyển toàn bộ các loại trong thay đổi được thực hiện.
17
2.3.8. Các mô hình quản lý Các ràng buộc được áp dụng tới tất cả các thành phần. Các role quản lý AR và các quyền quản lý AP được tách biệt ra giữa các role thông thường R và các permission P. Mô hình hiển thị các permission có thể được gán tới các role và các permission quản lý có thể chỉ được gán tới các role quản lý. Điều này gắn liền các ràng buộc.
2.4 Điều khiển truy cập dựa trên luật (Rule BAC Rule Based Access Control) Kiểm soát truy nhập dựa trên luật cho phép người dùng truy nhập vào hệ thống vào thông tin dựa trên các luật (rules) đã được định nghĩa trước. Firewalls/Proxies là ví dụ điển hình về kiểm soát truy nhập dựa trên luật: Dựa trên địa chỉ IP nguồn và đích của các gói tin. Dựa trên phần mở rộng các files để lọc các mã độc hại. Dựa trên IP hoặc các tên miền để lọc/chặn các website bị cấm. Dựa trên tập các từ khoá để lọc các nội dung bị cấm.
2.5. Kết chương Chương 2 đã giới thiệu chi tết các kỹ thuật điều khiển truy cập chính được áp dụng trong các hệ thống thông tin hiện nay. DAC cho phép kiểm soát truy cập thực hiện được đối với object dựa trên cơ sở cho phép hoặc từ chối hoặc cả hai do một user riêng biệt, thường do người sở hữu object đó quyết định. MAC cho phép việc kiểm soát truy cập dựa vào nhãn bảo mật gửi kèm tới các user (chính xác hơn là chủ thể) và object. RBAC kiểm soát truy cập đến các object thông qua các role của người dùng trong hệ thống. RBAC có thể được xem như một thành tố kiểm soát truy cập độc lập, cùng tồn tại với MAC và DAC khi thích hợp. Trong trường hợp này việc truy cập sẽ được phép nếu RBAC, MAC và DAC cùng cho phép. Rule-BAC cho phép việc kiểm soát truy cập dựa vào các luật được định nghĩa bởi người quản trị. Tùy vào từng hoàn cảnh cụ thể của hệ thống thông tin để áp dụng các kỹ thuật này vào nâng cao tính bảo mật của hệ thống.
18
Chương 3 - PHÂN TÍCH CƠ CHẾ ĐIỀU KHIỂN TRUY CẬP TRONG CÁC HỆ ĐIỀU HÀNH WINDOWS VÀ LINUX 3.1. Điều khiển truy cập trong Windows Hệ điều hành Microsoft Windows thực hiện các cơ chế điều khiển truy cập rất chi tiết. Trong việc quản trị hệ thống, các quản trị viên thường làm việc với người dùng, nhóm và các đối tượng. Các quyền cơ bản trong Windows: Full control (Toàn quyền): Cho phép thay đổi quyền, chủ sỡ hữu và xóa thư mục con, file. Modify (Sửa): Có quyền sửa chữa như tạo, xoá, sửa folder. Read & Execute (Đọc và thực thi): Quyền đọc (bào hàm cả việc gọi các phương thức, các file ứng dụng chạy ngầm).List Folder Contents (Liệt kê nội dung thư mục): Cho phép xem tên file và subdomain trong thư mục. Read (Đọc): Cho phép xem các file và thư mục con trong một thư mục, chủ sở hữu thư mục, quyền và các thuộc tính. Write (Ghi): Cho phép tạo file và thư mục con mới trong thư mục. Thay đổi các thuộc tính của thư mục. Xem được chủ sở hữu, quyền của thư mục. Ghi đè được file, thay đổi thuộc tính file và xem được chủ sở hữu, quyền của file. Quyền của người sử dụng trên bất kỳ đối tượng nào được dựa trên tất cả các quyền thừa kế và quyền công khai hoặc có thể bị từ chối bởi tất cả các OU mà nó là thành viên.
3.1.1. Quản trị viên miền (Domain Administrator) Mỗi quản trị viên miền trong Windows đều là một thành viên của nhóm quản trị viên miền đặc biệt. Thành viên của nhóm này có toàn quyền kiểm soát tất cả các máy tính trong miền, bao gồm bất kỳ file hoặc thư mục mà họ không chỉ định từ chối truy cập. Thành viên của nhóm này có khả năng phân công và thay đổi ACL của người sử dụng, files, và thư mục trên tất cả các hệ thống trong miền.
3.1.2. Siêu quản trị viên (Super Administrator) Super Administrator được thiết lập sẵn trong tài khoản "bí mật" ở Windows Vista và Windows 7. Đây là tài khoản quản trị cục bộ được cài đặt độc lập trong Windows và mặc định bị vô hiệu hóa. Tài khoản này có toàn quyền trên hệ thống cục bộ, có thể đoạt quyền
|