Bài giảng Bảo mật cơ sở dữ liệu: Discretionary Access Control - Trần Thị Kim Chi

Bài giảng Bảo mật cơ sở dữ liệu: Discretionary Access Control (Điều khiển truy cập tùy ý) trình bày các nội dung: Giới thiệu Discretionary Access Control, các loại quyền trong DAC, ưu và nhược điểm của DAC, các mô hình của DAC. Mời các bạn cùng tham khảo.

Trường Đại học Công nghiệp TP HCM

Khoa Công nghệ Thông tin

Giảng viên: Trần Thị Kim Chi

Discretionary Access Control

Discretionary Access Control

1. Giới thiệu Discretionary Access Control

2. Các loại quyền trong DAC

3. Ưu và nhược điểm của DAC

4. Các mô hình của DAC

Discretionary Access Control

 Điều khiển truy cập tùy ý - Discretionary Access Control (DAC)

chỉ rõ những đặc quyền mà mỗi chủ thể có thể có được trên các đối tượng và trên hệ thống (object prilvilege, system privilege)

 Các yêu cầu truy nhập được kiểm tra, thông qua một cơ chế kiểm

soát tùy ý, truy nhập được trao cho các chủ thể thỏa mãn các quy tắc cấp quyền của hệ thống.

 Sức mạnh của DAC: Tính linh hoạt: là một lý do chính tại sao nó

được biết đến rộng rãi và được thực hiện trong các hệ thống điều hành chủ đạo.

 Người dùng có thể bảo vệ những gì thuộc về mình

 Chủ của dữ liệu có toàn quyền trên dữ liệu đó

 Chủ của dữ liệu có quyền định nghĩa các loại truy cập đọc/ghi/thực

thi và gán những quyền đó cho những người khác

Discretionary Access Control

 DAC dựa vào định danh của người dùng có yêu cầu truy nhậpvào các đối tượng dữ liệu (file, thư mục,…)

 Cơ chế này được gọi là tùy ý có nghĩa là:

 Cho phép chủ thể có thể cấp quyền cho chủ thể khác truy cập các đối tượng của nó

 Người sử dụng có khả năng cấp phát hoặc thu hồi quyền truy nhập trên một số đối tượng

 Việc phân quyền kiểm soát dựa vào quyền sở hữu (kiểu chínhsách cấp quyền dựa vào quyền sở hữu)

Discretionary Access Control

Discretionary Access Control

 DAC cho phép đọc thông tin từ một đối tượng và chuyển đến

một đối tượng khác (đối tượng này có thể được ghi bởi 1 chủthể)

Tạo ra sơ hở để cho tấn công Trojan sao chép thông tin từ 1đối tượng đến 1 đối tượng khác

 Ví dụ: UserA là chủ sở hữu tableA, anh ta tạo ra khung nhìn

ViewA từ bảng này (sao chép thông tin) UserA không chophép UserB được đọc tableA nhưng lại vô tình gán quyềnWrite cho UserB trên ViewA

 Như vậy, UserB có thể đọc thông tin tableA dù không đủ

quyền trên bảng này

Discretionary Access Control

Một mô hình DAC thường một số đặc điểm sau đây:

 Người sở hữu dữ liệu có thể cấp quyền sở hữu thông tin cho những người

khác

 Người sở hữu dữ liệu có thể xác định kiểu truy xuất để cấp cho những

người khác (read, write, copy )

 Hệ thống cảnh báo hoặc giới hạn truy xuất của người dùng trong trường

hợp yêu cầu truy xuất tới tài nguyên hoặc đối tượng không đáp ứng quá trình xác thực (thường là một số lần)

 Một phần mềm tăng cường (add-on) hoặc bổ sung (plug-in) áp dụng cho

một máy khách để ngăn ngừa người dùng sao chép thông tin

 Người dùng không có quyền truy xuất thông tin không thể xác định được

các đặc điểm của nó (kích thước, tên, đường dẫn của file )

 Việc truy xuất tới thông tin được xác định dựa trên quyền hợp pháp mô tả

trong danh sách kiểm soát truy xuất theo danh tính người dùng và nhóm

Discretionary Access Control

Cách thức cơ bản điều khiển truy cập của DAC trong một hệ CSDL là dựa vào 2 thao tác cơ bản:

được quyền truy cập lên đối tượng do mình làm chủ Tuynhiên, trong DAC có thể lan truyền các quyền

 Ví dụ: trong Oracle và SQL Server có GRANT OPTION,

ADMIN OPTION

gán cho người dùng khác

 Ví dụ: 1 user có GRANT OPTION, anh ta có thể thu hồi

quyền đã truyền cho người khác

Discretionary Access Control

Các qui tắc trao quyền

 Các yêu cầu và chính sách an toàn do tổ chức đưa ra, người

trao quyền có nhiệm vụ chuyển các yêu cầu này thành cácquy tắc trao quyền

mềm/phần cứng bảo vệ

Các loại quyền trong DAC

là những quyền độc lập với các đối tượng trong hệ CSDL.Những quyền này do người quản trị hệ thống định nghĩa vàgán cho mỗi người dùng

 Quyền ở cấp đối tượng(object level): là những quyền trên

mỗi đối tượng trong hệ CSDL Người dùng tạo ra đối tượngnào thì sẽ có tất cả các quyền trên đối tượng đó

Các loại quyền trong DAC

Quyền ở cấp tài khoản/hệ thống: gồm có các quyền

 ALTER: chỉnh sửa các schema/relation

(record/ tuple)

 SELECT: quyền thực hiện câu truy vấn thông tin trong

CSDL

Các loại quyền trong DAC

 Quyền ở cấp đối tượng: gồm các đối tượng dữ liệu và các

loại truy cập mà người dùng được phép thực hiện trên đốitượng đó

Các đối tượng dữ liệu này gồm: các relation hoặc view

Các thao tác gồm:

INSERT: thêm dữ liệu vào relation

UPDATE: cập nhật/chỉnh sửa dữ liệu trong relation

DELETE: xóa dữ liệu trong relation

REFERENCE: tham khảo đến dữ liệu trong relation

 Mô hình ma trận truy nhập (Lampson 1971;

Graham-Denning 1973, Harrision 1976)

 Mô hình Take-Grant(Jones 1976)

 Mô hình Action-Entity(Bussolati 1983), Fugini-Martelle

1984)

 Mô hình của Wood 1979 như kiến trúc ANSI/SpARC để

cấp quyền trong các CSDL quan hệ lược đồ - nhiều mức,…

Một số hình an toàn tùy ý (DAC )

Trường Đại học Công nghiệp TP HCM

Khoa Công nghệ Thông tin

11/09/2015 15

Nội Dung

 Giới thiệu Access Control Matrix Model (ACM)

 Cấu trúc của ACM

 Qui tắc hoạt động của ACM

 Các giải pháp cài đặt mô hình ACM

 Ưu và nhược điểm của ACM

 Bài tập

Giới Thiệu Access Control Matrix Model (ACM)

 Mô hình được đề nghị bởi Lampson (1971), và được

Graham và Denning mở rộng (1972).

 1976, Harrison và các cộng sự đã phát triển mô hình

ma trận truy cập một cách có hệ thống.

 Access Control Matrix (ACM) là một công cụ cơ

bản để thể hiện trạng thái bảo vệ hệ thống một cách chi tiết và chính xác

 ACM là mô hình bảo mật được dùng cho cả cấp hệ

điều hành và cấp cơ sở dữ liệu.

Cấu trúc mô hình ACM

 Ma trận điều khiển truy cập ACM là ma trận giữa

các chủ thể S (subject), các đối tượng O (object) và

các quyền tương ứng giữa của chủ thể với đối tượng.

Cấu trúc mô hình ACM

Trạng thái định quyền (Authorization state)

Q = (S, O, A)

 S (Subjects): là tập các chủ thể - các thực thể chủ

động (active entity) sử dụng các nguồn tài nguyên của hệ thống.

 Ví dụ: người dùng, nhóm các người dùng (group),

quá trình (process), chương trình (programs)

Trạng thái định quyền:

Q = (S, O, A)

 O (Objects): là tập các đối tượng - các thực thể cần

được bảo vệ, bao gồm các thực thể bị động (passive object) như tài nguyên hệ thống và các chủ thể

 Ví dụ: ở cấp hệ điều hành: file, bộ nhớ, segments,

quá trình ở cấp CSDL: CSDL, quan hệ, thuộc tính, hàng, trường dữ liệu của hàng

Cấu trúc mô hình ACM

 Các quyền truy cập: thêm,

xóa, sửa, đọc, thực thi,…

Cấu trúc mô hình ACM

File 1 File 2 File 3 Program 1

Write

Read Write

O S

Ví dụ

Cấu trúc mô hình ACM

 Ví dụ 1: Hệ thống có hai người dùng Bob và Alice xử lý ba

file, lần lượt là Bill.doc, Edit.exe và Fun.com

 Các quyền truy xuất trên các file này có thể được mô tả như

sau:

 Bob có quyền đọc hoặc ghi file Bill.doc trong khi Alice không có

quyền truy xuất.

 Bob và Alice chỉ có quyền thực thi file Edit.exe.

 Bob và Alice có quyền thực thi và quyền đọc file Fun.com nhưng chỉ

có Bob có quyền ghi lên file này

Bill.doc Edit.exe Fun.com Alice Execute Execute, Read

Bob Read, Write Execute Execute, Read, Write

O S

Qui tắc hoạt động của ACM

 Ví dụ 2: Xét một thiết bị tính toán đơn giản của một hệ điều hành

nhỏ, trong đó chỉ có 2 chủ thể là tiến trình p và q và 2 tệp dữ liệu f và

g Các quyền có thể là đọc (Read), viết sửa (Write), gọi thực hiện

(eXecute), ghi thêm (Append) và làm chủ (Own).

 Tại A[p,f]= “rwo”, cho thấy tiến trình p là chủ sở hữu dữ liệu f đồng thời có

đủ quyền đọc và viết

 f A[p,q]=”w” cho thấy tiến trình p có thể gửi tin (viết) cho tiến trình q, còn

q có quyền nhận tin (đọc) từ p vì A[q,p] = “r”

 Mỗi tiến trình có đầy đủ quyền đối với chính mình (“rwxo”)

O S

 Các thao tác sửa đổi nội dung ma trận được phép thực hiện bao

(owner)

 Copy (R*): nếu A[i,j]=R* thì có thể sao chép quyền sang một

phần tử A[k,j] khác nghĩa là mở rộng quyền truy xuất R trên cùng đối tượng O

 Tranfer (R+): nếu A[i,j]=R+ thì có thể chuyển quyền của nó sang

một phần tử A[k,j] khác nghĩa là chuyển quyền truy xuất R+ trên đối tượng O

 Owner: nếu A[i,j]=o thì có thề thêm hay xóa các quyền truy xuất

trong bất kỳ phần tử nào trên cột j

 Control: nếu A[i,j]=control thì có thể xóa bất kỳ quyền truy xuất

nào trong phần tử trên dòng j

 Ví dụ

Subject

Qui tắc hoạt động của ACM

File 1 File 2 File 3 Program 1 Tuấn

Write Execute Write

Vương Execute

Read Write Owner Control

O S

Bài tập:

Qui tắc hoạt động của ACM

Access Control Matrix for System

Qui tắc hoạt động của ACM

Access Control Matrix for Program

 Procedures: inc_ctr , dec_ctr , manage

Qui tắc hoạt động của ACM

Access Control Matrix for Database: Access Control by Boolean

Expression Evaluation

 Sử dụng một ma trận kiểm soát truy cập để kiểm soát truy cập trong một

cơ sở dữ liệu

 Value (giá trị) được xác định bởi các biểu thức Boolean

 Object (Đối tượng) là các record và field;

 Subject: các chủ thể được ủy quyền để người sử dụng truy cập vào cơ sở

dữ liệu

 Các loại truy cập: Insert, Update, Delete, Select,…

 Rules: Các qui tắc truy xuất đối tượng Mỗi quy tắc tương ứng với một

chức năng Bất cứ khi nào một đối tượng cố gắng truy cập một đối tượng

sử dụng quyền (verb) r, nếu biểu thức Boolean kết hợp với r là đúng thì

được phép truy cập, ngược lại không được phép truy cập

Qui tắc hoạt động của ACM

Ví dụ 1: Access Control Matrix for Database

 Subject annie: attributes role (artist), groups (creative)

 Verb paint: default 0 (deny unless explicitly granted)

 Object picture: Rule is

paint: `artist' in subject.role and `creative' in subject.gro ups

and time.hour 0 and time.hour < 5

At 3AM, time condition

met; ACM is:

 The Access Restriction Facility (ARF) định nghĩa các chủ

thể như là các thuộc tính Ví dụ: name, a level, a role,

membership in groups, and access to programs

Qui tắc hoạt động của ACM

Ví dụ 2:

Verbs have a default rule

 “closed”: Truy cập bị từ chối (0)

 “open”: Truy cập được cấp (1)

Access Control by Boolean Expression Evaluation

Qui tắc hoạt động của ACM

 Associated with each object is a set of verbs, and each

(object, verb) pair has an associated rule

Access Control by Boolean Expression Evaluation

Qui tắc hoạt động của ACM

Access Control by Boolean Expression Evaluation

Qui tắc hoạt động của ACM

Access Control by Boolean Expression Evaluation

Qui tắc hoạt động của ACM

Access Controlled by History

 Thường dùng trong CSDL thống kê

 Trả lời các query trong một nhóm

 Ngăn chặn mối liên hệ giữa các

records

 Kiểm soát truy vấn chồng chéo

 Ngăn chặn kẻ tấn công để có thông tin

riêng bằng cách sử dụng một tập các truy vấn

Access Controlled by History

 Should not be answered as

Matt’s salary can be deduced

Name Position Age Salary

Celia Teacher 45 40K Leonard Teacher 50 50K Matt Teacher 33 50K

Name Position Age Salary

Celia Teacher 45 40K Leonard Teacher 50 50K

Qui tắc hoạt động của ACM

Các giải pháp cài đặt ACM

 Cài đặt trực tiếp một ma trận như ACM lại là không thể vì nó

vừa quá lớn, tốn quá nhiều bộ nhớ, bộ nhớ đã được cấp phát nhưng không sử dụng => lãng phí

 Các giải pháp để cài đặt ACM một cách khả thi:

 Cách tiếp cận khác sử dụng các khái niệm riêng như Lock và

key

 Theo danh sách truy xuất(Access Control Lists-ACL):

 Thực hiện phân rã theo cột gồm một đối tượng và nhiều

chủ thể Xác định những chủ thể nào có thể truy cập đếnđối tượng này

 Tạo nên đối tượng quản lý là các danh sách điều khiển truy

nhập Các ACL sẽ được gắn vào các đối tượng tài nguyên (object), cung cấp danh sách các người sử dụng và quyền có thể truy nhập đến đối tượng

Các giải pháp cài đặt ACM

 Theo danh sách truy xuất(Access Control Lists-ACL):

 ACL cụ thể sẽ phải đưa ra các câu trả lời và biện pháp cài

đặt chi tiết cho các vấn đề sau:

 Ai được phép cập nhật lên ACL của mỗi đối tượng tài

nguyên?

 Những loại sửa đổi cập nhật nào là được phép?

 Nếu có những đặc quyền truy nhập (permission) có

mâu thuẫn với nhau thì giải quyết như thế nào?

 Giải quyết cho thủ tục rút phép (revocation) ra sao ?

Các giải pháp cài đặt ACM

ACL cho bill.doc là Bob: read, write

ACL cho edit.exe là Bob: execute;

Alice: executeACL cho fun.com là Bob: execute, read, write;

Alice: execute, read

Ví dụ: Danh sách điều khiển truy xuất ACL:

Bill.doc Edit.exe Fun.com Alice Execute Execute, Read

Bob Read, Write Execute Execute, Read, Write

O S

Theo khả năng (Capability Lists-CL):

 Thực hiện phân rã theo dòng gồm một chủ thể và nhiều đối tượng Xác định

chủ thể có thể truy cập đến những đối tượng nào.

 Tạo nên các danh sách khả năng được gắn với các chủ thể (NSD),

cung cấp danh sách các tài nguyên mà chủ thể có thể sử dụng với

quyền truy nhập cụ thể tương ứng.

Các giải pháp cài đặt ACM

Khả năng của Alice: edit.exe: execute;

fun.com: execute, read

Khả năng của Bob: bill.doc: read, write;

edit.exe: execute;

fun.com: execute, read, write

Bill.doc Edit.exe Fun.com Alice Execute Execute, Read

Bob Read, Write Execute Execute, Read, Write

O S

Cách hiện thực mô hình ma trận truy cập

 Access Control Triples-ACT :

ba (chủ thể, đối tượng, quyền truy nhập) được lưu trongmột cấu trúc bảng; nó chính là biểu diễn rút gọn của matrận toàn thể bằng cách triệt tiêu toàn bộ các ô dữ liệutrống

Các giải pháp cài đặt ACM

 Access Control Triples-ACT :

 Cách tiếp cận khác sử dụng các khái niệm riêng như Lock

và key: các tài nguyên có cấu trúc điều khiển gọi là lock

mà chủ thể nào muốn sử dụng thì phải có key tương ứng(cũng là một thông tin điều khiển) Cách tiếp cận này phốihợp cả hai kiểu sử dụng ACL (danh sách truy nhập) và

CL (danh sách năng lực)

Các giải pháp cài đặt ACM

 Ví dụ 1: Một ma trận nhỏ có thể được biểu diễn theo cả 3

cách - dùng ACL, CL và ACT

Ba cách làm này đều cùng biểu diễn

chung một trạng thái của một hệ

thống truy nhập với hai chủ thể là

Sam và Joe và hai đối tượng tài

nguyên là File 1 và File 2

Các giải pháp cài đặt ACM

 Ví dụ 2:

Các giải pháp cài đặt ACM

 Ví dụ 2:

Các giải pháp cài đặt ACM

Bài tập : Hệ thống có 3 người dùng:

 John: tạo ra file 1, 3

 Alice: tạo ra file 2

 Bob: tạo ra file 4

 Một file có ba quyền là Đọc(R), Ghi(W), Thực thi(E)

 Các người dùng cấp quyền trên các file cho các người dùng

khác:

 John cấp quyền đọc, ghi cho Bob trên file 1 và chỉ quyền đọc

trên file này cho Alice

 Alice cấp quyền đọc trên file 2 cho Bob.

 Bob cấp quyền đọc trên file 4 cho Alice

 Vẽ ma trận truy cập, danh sách khả năng, danh sách điều khiển

truy cập.

Các giải pháp cài đặt ACM

Các giải pháp cài đặt ACM

Bài tập:

Cho bảng dữ liệu Vẽ

ma trận truy cập,

danh sách khả năng (CL), danh sách điều khiển truy cập (ACL)

và ACT

Bài tập: Access Control List (ACL)

Capability List

 Matrix is stored by row

 Each user is associated with a capability list

 Indicating for each object the access that the user is allow

to exercise on the object

 Trong thực tế, các ma trận kiểm soát truy xuất là một khái niệm

trừu tượng và không thực sự phù hợp cho việc cài đặt trực tiếp nếu số lượng chủ thể và đối tượng lớn lãng phí bộ nhớ

 Các tập này thay đổi thường xuyên khó kiểm soát

Ưu và Khuyết điểm của ACM

Lập ACM cho các hệ thống sau:

1 Quản lý bệnh viện

2 Quản lý đăng ký học phần

3 Quản lý thư viện

4 Quản lý Website bán hàng trực tuyến

5 Quản lý đặt vé máy bay trực tuyến

Chú ý mỗi hệ thống bạn phải đưa ra các nghiệp vụ chức năng và các chủ thể sử dụng hệ thống và các đối tượng có trong hệ thống của bạn

Bài tập ACM

 Mô hình ma trận truy nhập (Lampson 1971;

Graham-Denning 1973, Harrision 1976)

 Mô hình Action-Entity(Bussolati 1983),

Fugini-Martelle 1984)

 Mô hình của Wood 1979 như kiến trúc ANSI/SpARC

để cấp quyền trong các CSDL quan hệ lược đồ - nhiềumức,…

Một số hình an toàn tùy ý (DAC)