Please enable JavaScript.
Coggle requires JavaScript to display documents.
NMATT - Chương 7. Điều khiển truy nhập (Điều khiển truy nhập cưỡng chế (Mô…
NMATT - Chương 7. Điều khiển truy nhập
Ma trận điều khiển truy nhập - ACM
Đặc trưng bởi bộ ba (S,O, R)
S: tập các chủ thể
O: Tập các đối tượng truy cập
R: Tập các quyền
Rất lãng phí bộ nhớ
để giảm lãng phí, phân rã ma trận
Phân rã theo cột
Acess Control list - ACL
cung cấp danh sách các NSD và quyền có thể truy nhập đến đối tượng
Gắn vào dữ liệu điều khiển của mỗi tài nguyên
Phân rã theo dòng
capability list - CL
cung cấp các tài nguyên mà chủ thể có thể sử dụng và quyền truy nhập chúng
Tài khoản của mỗi chủ thể lưu một danh sách các tài nguyên và quyển truy nhập của chủ thể này
Danh sách bộ ba
Acess Control Triples - ACT
Mô hình Harrison-Ruzzo-Ullman và điều khiển truy nhập tùy nghi
Mô hình Harrison-Ruzzo-Ullman (HRU)
Mô hình cố gắng khái quát hóa các khái niệm về trạng thái bảo vệ và ma trận truy nhập, hướng tới tính an toàn của hệ điều hành
Các thao tác cơ bản đảm bảo tính an toàn của hệ điều hành
Tạo mới
Xóa bỏ
Cấp quyền
Thu quyền
Điều khiển truy nhập tùy nghi
Discretionary Access Control _ DAC
Sử dụng khái niệm chủ nhân của đối tượng, chủ thể này có quyền cấp và kiểm soát khả năng truy nhập của các chủ thể khác với đối tượng
Hệ thống không kiểm soát được luồng thông tin về điều khiên truy nhập, do đó kẻ tấn công có thể dần chiếm được những quyền truy cập đối tượng quan trọng của hệ thống
Điều khiển truy nhập cưỡng chế
Mandatrory Access Control - M
Không cho phép các cá nhân chủ thể toàn quyền quyết định sự truy cập cho mỗi đối tượng
Cưỡng chế tất cả các đối tượng theo một chính sách chung được quy định bới một cơ chế phân loại cấp bậc
Mô hình Bell - LaPadula
Sử dụng trong an ninh quốc phòng
Để đảm bảo tính cưỡng chế cao, các yêu cầu truy nhập phải thông qua một bộ phận kiểm soát BLP reference monitor
Các cấp bậc được sử dụng
Top Secret _ TS
Secret - S
Nội bộ - Confidential - C
còn lại - Unclassified - UC
Có 2 luật cơ bản
No read up - cấp dưới không được đọc biết thông tin của cấp trên
No write down - cấp trên không viết lên đối tượng cấp dưới
Điều khiển truy nhập dựa trên vai trò
Role-based Access Control - RBAC
Việc cấp quyền truy nhập và khai thác tài nguyên không trực tiếp hướng tới người sử dụng cuối mà hướng tới lớp/cụm người sử dụng giống nhau trên phương diện nhiệm vụm vai trò xử lý thông tin
Một người sử dụng có thể có một hoặc nhiều vai trò, ứng với mỗi vai trò, người sử dụng có quyền truy nhập và khai thác tài nguyên tương ứng của vai trò đó
Thường được sử dụng trong doanh nghiệp