An toàn và bảo mật hệ thống thông tin - C3: access control

8/17/2015

1

Giảng viên: Lê Phúc

Email: [email protected]

Website: http://is.ptithcm.edu.vn/~lephuc

Access Control

INT1303 Information security, PTITHCM, 2015

Access control


2

Access control bảo vệ các tài nguyên trong hệ thống khỏi các truy xuất trái phép.

Access control policy có chức năng phân biệt các truy xuất thành 2 nhóm:

Authorized access

Unauthorized access

2 thành phần của access control:

Authentication

Authorization

8/17/2015

2

Các thành phần của access control


3

Authentication


4

Password-Based Authentication

Token-Based Authentication

Biometric Authentication

Remote authentication

8/17/2015

3

Cơ sở xác thực


5

Hai bước xác thực:

Identification

Verification

Cơ sở xác thực:

Something you know

Something you have

Something you are

Something you do

Password-based authentication


6

Cơ sở: Something you know

Dễ dùng, rẻ (không tốn) tiền

Dễ bị tiết lộ

So sánh:

Khóa 64 bit → 264 khóa khác nhau → 263 lần thử

Password 8 ký tự → 2568 password khác nhau =

264 password

Chỉ cần tự điển với 220 password là có thể dò được(=1/244)

8/17/2015

4

Tấn công password


7

Offline dictionary attack

Specific account attack

Popular password attack

Password guessing against single user

Workstation hijacking

Exploiting user mistakes

Exploiting multiple password use

Electronic monitoring

Lưu trữ password trên hệ thống


8

Vai trò của salt?

8/17/2015

5

Dò password


9

Độ phức tạp phụ thuộc từng tình huống:

Tìm password của một user không dùng tự điển

Tìm password của một user dùng tự điển

Tìm một password bất kỳ không dùng tự điển

Tìm một password bất kỳ dùng tự điển

Dò password


10

Ví dụ:

Mật khẩu dài 8 ký tự chọn ngẫu nhiên trong 128

ký tự (1288 password khác nhau)

File password chứa 210 password đã được băm

Tự điển password có 220 password thông dụng,

với xác suất tìm thấy là 1/4

8/17/2015

6

Chọn password


11

Xu hướng chọn password của người dùng:

Password ngắn (<= 3 ký tự)

Chọn từ có nghĩa trong tự điển

Có liên quan đến cá nhân (ngày sinh, số đt, ...)

Chọn password


12

Chiến lược làm tăng độ an toàn của password:

User education:

Hiểu tầm quan trọng của password

Tuân thủ password policy

Tạo password từ các câu dễ nhớ

Computer-generated passwords

Reactive password checking

Proactive password checking

8/17/2015

7

Chính sách password


13

Min/max password age

Password history

Password length / complexity

Account lockout

Token-Based Authentication


14

Cơ sở xác thực: something you have

Hai loại token phổ biến:

Memory card

Smart card

8/17/2015

8

Memory cards


15

Chỉ lưu dữ liệu, không xử lý (thẻ chữ nổi, thẻ

từ, thẻ nhớ)

Có thể dùng độc lập hoặc kết hợp với mã PIN

Ứng dụng:

Thẻ dịch vụ, khách sạn

Thẻ ATM (kết hợp mã PIN)

....

Smart cards


16

Chứa mạch điện tử với các thành phần:

CPU

Bộ nhớ (RAM, ROM, EEPROM)

8/17/2015

9

Xác thực dùng smart card


17

Biometric Authentication


18

Cơ sở: something you are, something you do

Các yêu cầu đối vỡi kỹ thuật sinh trắc:

Universal: tính phổ dụng

Distinguishing: tính phân biệt chính xác

Permanent: ổn định theo thời gian

Collectable: dễ thu thập mẫu

8/17/2015

10

Các đặc điểm sinh học


19

Xác thực sinh trắc


20

Quy trình xác thực sinh trắc gồm 2 bước:

Enrollment phase: lấy mẫu

Recognition phase: nhận dạng

Lỗi xác thực

Fraud: hệ thống nhận dạng sai user a thành user b

Insult: hệ thống từ chối xác nhận user

Hai tỉ lệ này nghịch biến với nhau. Thường chọn ở mức

cần bằng giữa 2 loại lỗi (Equal Error Rate)

8/17/2015

11

Equal Error Rate


21

Remote authentication


22

Vấn đề: cần chuyển thông tin xác thực qua kết

nối mạng, phải có cơ chế bảo vệ thông tin này

8/17/2015

12

Tấn công cơ chế xác thực


23

Client attacks

Host attacks

Eavesdropping

Replay

Trojan horse

Denial-of-service

Bài tập


24

Khảo sát hệ thống xác thực dung mống mắt

(Iris biometric authentication system)

Khảo sát an ninh của hệ thống ATM

8/17/2015

13

Access control


25

Access control policy

Access Control Matrix

DAC

RBAC

MAC

Chính sách quản lý truy xuất


26

Chính sách quản lý truy xuất được xây dựng

theo 3 mô hình:

DAC

MAN

RBAC

8/17/2015

14

Subject, Object, Access right


27

Subject: thực thể thực hiện truy xuất tài nguyên thông tin trong hệ thống (user, process, ...). 3 nhóm subject:

Owner

Group

World (others)

Object: tài nguyên thông tin (file, folder, ...)

Access right: thao tác subject thực hiện đối với object, ví dụ: read, write, execute, ...

DAC


28

Mỗi thực thể tự cấp quyền truy xuất đến các

tài nguyên đang sở hữu.

Ví dụ: User tạo ra một thư mục trên NTFS

partition có thể cho phép user khác truy xuất theo

các quyền khác nhau

DAC được thực thi thông qua ma trận truy

xuất (Access Control Matrix)

8/17/2015

15

Ma trận quản lý truy xuất


29

Hai cách tổ chức ma trận: ACL và Capability list

ACL và C-list


30

8/17/2015

16

DAC trong Unix


31

Ví dụ: chmod 640 myfile

RBAC


32

Các subject được gộp nhóm theo vai trò

tương ứng trong hệ thống

Cấp quyền truy xuất đến object cho từng

group

Ví dụ: tất cả các user trong nhóm Administrators

trong Windows có toàn quyền trên hệ thống

Windows

8/17/2015

17

RBAC33

Mỗi user (subject) có

thể thuộc nhiều nhóm

cùng lúc

Khi user chuyển

nhóm, quyền truy

xuất sẽ thay đổi theo

Có nhiều mô hình

RBAC khác nhau:

RBAC0, RBÁC,

RBAC2, ...

Mandatory Access Control


34

Mô hình trong đó việc cấp quyền truy xuất

được thực hiện trên phạm vi toàn hệ thống

Subjects và objects trong hệ thống được chia

thành nhiều mức bảo mật khác nhau

(multilevel security)

Bell-Lapadula là mô hình quản lý truy xuất

điển hình của MAC

8/17/2015

18

Bài tập


35

Phân tích mô hình RBAC ứng dụng trong

ngân hàng

Education

An toàn và bảo mật hệ thống thông tin - C3: access control