Chapter 3
Access Control
Discretionary Access Control
Chương 2: Access Control
Bảo mật theo cơ chế Discretionary Access Control DAC
Mục tiêu:
Hiểu và mô tả được Access Control
Giải thích được cơ chế bảo mật DAC
Vận dụng được DAC vào trong các hệ
quản trị CSDL
Nội dùng
1. Access Control
2. Discretionary Access Control
3. Vận dụng được DAC vào trong các hệ quản trị
CSDL
Access Control
1.
2.
3.
4.
5.
6.
Định nghĩa Điều khiển truy cập - Access control
Các bước điều khiển truy cập
Các vai trò trong điều khiển truy cập
Quá trình điều khiển truy cập
Các mô hình điều khiển truy cập
Thực thi điều khiển truy cập
Định nghĩa điều khiển truy cập
Access Control
Điều khiển truy cập (Access control): đảm bảo rằng tất cả các truy
cập trực tiếp đến đối tượng được ủy quyền.
Access control gồm:
– Bảo vệ các đối tượng (Protect objects): bảo vệ các tài nguyên hệ
thống
• ví dụ, tài nguyên bộ nhớ, tập tin, thư mục, tài nguyên phần cứng, phần mềm,
bảng, các bộ, ...
– Chủ thể (subjects): các đơn vị hoạt động yêu cầu truy cập đến tài
nguyên,
• ví dụ, người sử dụng, chủ sở hữu, chương trình, vv
– Chế độ truy cập (access mode): các kiểu truy cập
• ví dụ, đọc / select, viết / cập nhật, thực thi.
subject
Access
request
Reference
monitor
object
Định nghĩa điều khiển truy cập
Access Control
Chức năng của access control
Cấp phép hoặc từ chối phê duyệt sử dụng các tài nguyên
xác định cho các chủ thể
Kiểm soát được các đối tượng đang hoạt động hay các đối
tượng có thể bị truy cập bởi các hoạt động khác.
subject
source
(e.g. users,
processes)
access
request
Request
operation
reference
monitor
guard
object
Authorized resource
(e.g. files,
request
printers)
Định nghĩa điều khiển truy cập
Access Control
Kiểm soát truy cập yêu cầu:
Bắt buộc phải thực hiện, không được bỏ qua
Thực thi đặc quyền và cần phải biết hạn chế
Thi hành chính sách tổ chức
Các thành phần kiểm soát truy cập:
Chính sách kiểm soát truy cập: quy định cụ thể thẩm quyền truy cập
của một hệ thống
Cơ chế điều khiển truy cập: thực hiện và thực thi chính sách
Tách các thành phần cho phép:
Xác định các yêu cầu truy cập độc lập
So sánh với các chính sách khác
Thực hiện cơ chế có thể thực thi một loạt các chính sách
Định nghĩa điều khiển truy cập
Access Control
Ai có thể cấp quyền và thu hồi quyền truy cập:
Centralized administration (người quản trị trung tâm): nhân viên an
ninh
Decentralized administration (người quản trị phân cấp): hệ thống phân
cấp theo quản lý
Hierarchical decentralization (phân cấp theo thứ bậc): nhân viên an
ninh>quản trị hệ thống phòng ban> người quản trị Windows
Ownership based (quyền sở hữu): có thể cấp quyền truy cập cho những
người khác truy xuất dữ liệu của mình
Cooperative authorization (Ủy quyền): ủy quyền cho các chủ thể khác
Example: Access Control
Prof Alice manages access to course objects
‣ Assign access to individual (principal: Bob)
‣ Assign access to aggregate (course-students)
‣ Associate access to relation (students(course))
‣ Assign students to project groups (student(course, project, group))
Prof Alice wants certain guarantees
‣ Students cannot modify objects written by Prof Alice
‣ Students cannot read/modify objects of other groups
Prof Alice must be able to maintain access policy
‣ Ensure that individual rights do not violate guarantees
‣ However, exceptions are possible – students may distribute their
results from previous assignments for an exam
Tại sao phải điều khiển truy cập
Kiểm soát truy cập là một kỹ thuật cho phép người dùng hệ
thống truy cập một chức năng nào đó của hệ thốngcó thể
làm thay đổi dữ liệu của hệ thốngNếu không kiểm soát
hệ thống sẽ không còn an toàn và không còn bảo mật
Điều khiển truy cập nhằm mục đích để đạt được:
– Cho phép chức năng dự phòng có thể truy cập
– Đảm bảo tài sản đáp ứng tính toàn vẹn, bảo mật, ngăn chặn
rò rỉ trái phép,…
– Cho phép nhà quản trị chính của hệ thống thay đổi việc truy
cập
Tại sao điều khiển truy cập khó
Yêu cầu truy cập hệ thống xảy ra thường xuyên
Yêu cầu kiểm soát truy cập có thể thay đổi
Bất cứ ai cũng có thể là một quản trị viên
Vấn đề an toàn
Truy cập có thể không an toàn nhưng phải tuân theo các ràng
buộc của hệ thống
Các thuật ngữ về điều khiển truy cập
Trình diện
– Xuất trình các ủy quyền
– Ví dụ: người vận chuyển hàng xuất trình thẻ nhân viên
Xác thực
– Kiểm tra, xác minh các ủy quyền
– Ví dụ: kiểm tra thẻ của người vận chuyển hàng
Ủy quyền
– Cấp thẻ để thực hiện hành động
– Ví dụ: cho phép người vận chuyển hàng được chất kiện
hàng lên xe
Các thuật ngữ về điều khiển truy cập
Đối tượng
– Tài nguyên cụ thể
– Ví dụ: file hoặc thiết bị phần cứng
Chủ thể
– Người dùng hay quá trình đại diện cho một người dùng
– Ví dụ: người dùng máy tính
Thao tác
– Hành động do chủ thể gây ra đối với một đối tượng
– Ví dụ: xóa một file
Các bước điều khiển truy cập cơ bản
Các vai trò trong điều khiển truy cập
Quá trình điều khiển truy cập
Access Control Conditions
Kiểm soát phụ thuộc tên (Name)
Kiểm soát dựa vào nội dùng dữ liệu (Data)
Kiểm soát dựa vào thời gian (Time)
Kiểm soát dựa vào ngữ cảnh (Context)
Kiểm soát dựa vào lịch sử (History)
Access Control Conditions
Trong hệ CSDL, A[s,o]còn chứa các điều kiện cần thỏa để chủ
thể s có thể truy cập đối tượng o
Phụ thuộc tên (name-dependent): hạn chế truy cập dựa theo
tên truy cập
Phụ thuộc dữ liệu (data-dependent): hạn chế truy cập dựa
trên giá trị của dữ liệu truy cập
Phụ thuộc thời gian (time-dependent): hạn chế truy cập dựa
trên thời gian truy cập dữ liệu
Phụ thuộc ngữ cảnh: hạn chế truy cập dựa trên thu thập
thông tin (chứ không phải là độ nhạy của dữ liệu) mà có thể
được truy cập
Phụ thuộc lịch sử: hạn chế truy cập dựa trên dữ liệu truy cập
trước
Access Controlled by Name
Access Controlled by Data
Phụ thuộc dữ liệu (data-dependent): hạn chế truy cập dựa
trên giá trị của dữ liệu truy cập
Access control matrix shows allowed access to database
fields
– Subjects have attributes
– Verbs dene type of access
– Rules associated with objects, verb pair
Subject attempts to access object
– Rule for object, verb evaluated
– Result controls granting, denying access
Ví dụ 1: chỉ xem được thông tin của các nhân viên có salary
< 1000 trong bảng Employee
Access Controlled by Time
Phụ thuộc thời gian (time-dependent): hạn chế truy cập dựa
trên giá trị của dữ liệu truy cập
Ví dụ 1: chỉ được truy cập bảng Employee từ 8:00 sáng đến
5:00 chiều
Ví dụ 2:
Subject Annie
– Attributes role (artist), groups (creative)
Verb paint
– Default 0 (deny unless explicitly granted)
Object picture
– Rule:
Annie paint picture if:
‘artist’ in subject.role and
‘creative’ in subject.groups and
time.hour ≥ 0 and time.hour < 5
Access Controlled by Time
Phụ thuộc thời gian (time-dependent):
Ví dụ 2:
… picture …
… picture …
paint
… annie …
At 10AM, time condition
not met; ACM is:
… annie …
At 3AM, time condition
met; ACM is:
Access Controlled by Context
Phụ thuộc ngữ cảnh: hạn chế truy cập dựa trên thu thập
thông tin
Ví dụ: có thể truy cập riêng từng thuộc tính name và salary
trong bảng Employee, nhưng không thể truy cập cả 2 thuộc
tính này cùng lúc.
Access Controlled by History
Phụ thuộc lịch sử: hạn chế truy cập dựa trên dữ liệu truy cập
trước
Ví dụ: chỉ xem được thuộc tính salary của các nhân viên nếu
như trước đó chưa xem thuộc tính name của nhân viên.
Access Controlled by History
Statistical databases need to
– answer queries on groups
– prevent revelation of individual
records
Query-set-overlap control
– Prevent an attacker to obtain
individual piece of information
using a set of queries C
– A parameter r (=2) is used to
determine if a query should be
answered
Name
Position
Age Salary
Alice
Teacher
45
40K
Bob
Aide
20
20K
Cathy
Principal
37
60K
Dilbert
Teacher
50
50K
Eve
Teacher
33
50K