An ninh bảo mật - Chương 2: Cơ chế đảm bảo an toàn cơ bản

h thước của các đoạn chương trình, gọi là các phân đoạn bộ nhớ  Khi thực hiện, HĐH nạp các đoạn của chương trình tại các phân đoạn liên tiếp hoặc không liên tiếp trên bộ nhớ Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 2.3.5 PHÂN ĐOẠN  HĐH xây dựng SCT (segment control table), để biết đoạn đã được nạp vào bộ nhớ hay chưa và ở phân đoạn nào Ưu điểm của phân trang và phân đoạn  Có hỗ trợ từ chương trình biên dịch, tiết kiệm bộ nhớ  HĐH đa nhiệm, đa chương hỗ trợ nhiều cho 2 cấu trúc này và đặc biệt là HĐH có cài đặt sử dụng máy ảo  Ít xảy ra việc thiếu bộ nhớ vì chương trình có thể được đưa ra khỏi bộ nhớ và đưa vào lại thời điểm thích hợp Hạn chế: tốn bộ nhớ để chứa PCT, SCT, làm chậm tốc độ truy xuất dữ liệu trên bộ nhớ vì phải thông qua PCT, SCT Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 2.3.5 PHÂN ĐOẠN Cấp phát bộ nhớ  Không gian địa chỉ bộ nhớ vật lý được chia thành các phần có kích thước cố định không bằng nhau và đánh số từ 0 gọi là phân đoạn (Segment). Mỗi phân đoạn bao gồm số hiệu phân đoạn và kích thước của nó  Khi một tiến trình được nạp vào bộ nhớ thì tất cả các đoạn của nó sẽ được nạp vào các phân đoạn còn trống khác nhau trên bộ nhớ Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 2.3.5 PHÂN ĐOẠN Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 2.3.5 PHÂN ĐOẠN  HĐH sử dụng bảng SCT (Segment control table) để theo dõi các đoạn tiến trình khác nhau trên bộ nhớ. Bảng này có 2 trường • Trường thứ nhất: địa chỉ cơ sở (base) của phân đoạn mà đoạn chương trình tương ứng được nạp • Trường thứ hai : cho biết độ dài, giới hạn (length/limit) của phân đoạn và có tác dụng dùng để kiểm soát sự truy xuất bất hợp lệ của các tiến trình.  Các bảng phân đoạn có kích thước nhỏ chứa trong các thanh ghi, ngược lại được chứa trong bộ nhớ chính, khi đó HĐH sẽ dùng một thanh ghi để lưu trữ địa chỉ bắt đầu nơi lưu trữ bảng phân đoạn gọi là thanh ghi STBR: Segment table base register Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 2.3.5 PHÂN ĐOẠN  Ngoài ra HĐH còn sử dụng STLR:Segment table length register để lưu lại sự thay đổi ghi lại kích thước hiện tại của các đoạn  Địa chỉ logic mà CPU sử dụng gồm 2 thành phần: • Số hiệu đoạn (segment): số hiệu đoạn tương ứng cần truy xuất. • Địa chỉ tương đối trong đoạn (Offset): kết hợp với địa chỉ bắt đầu của đoạn để xác định địa chỉ vật lý của ô nhớ cần truy xuất Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 2.3.5 PHÂN ĐOẠN  Địa chỉ logic là: 0001001011110000, với số hiệu segment là 1, offset là 752, giả định segment này thường trú trong bộ nhớ chính tại địa chỉ vật lý là 0010000000100000, thì địa chỉ vật lý tương ứng với địa chỉ logic ở trên là: 0010000000100000 + 001011110000 = 0010001100010000 Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm Chia sẻ phân đoạn :  Tương tự như trong cơ chế phân trang, cơ chế phân đoạn cũng cho phép chia sẻ các phân đoạn giữa các tiến trình.  Tuy nhiên các tiến trình có thể chia sẻ với nhau từng phần của chương trình (ví dụ: thủ tục, hàm) không nhất thiết phải chia sẻ toàn bộ chương trình như trong trường hợp phân trang. 2.3.5 PHÂN ĐOẠN Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm Ưu điểm: thể hiện được cấu trúc logic của chương trình: thủ tục, chương trình chính, stack, mảng, thư viện Nhược điểm:  Cũng như trường hợp mô hình phân vùng động, kỹ thuật phân đoạn phải giải quyết vấn đề cấp phát động.  Hiện tượng phân mảnh ngoại vi lại xuất hiện khi các khối nhớ tự do (trong bộ nhớ vật lý) đều quá nhỏ, không đủ để chứa một phân đoạn (trong bộ nhớ logic). 2.3.5 PHÂN ĐOẠN Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm Khi tiến trình chạy, chúng có thể yêu cầu đến các tài nguyên của hệ thống như: bộ nhớ, CPU, các file, thiết bị vật lý (nhập, xuất), các chương trình, thủ tục => Để tránh sự can thiệp trái phép tài nguyên giữa các tiến trình, cần phải bảo vệ các tài nguyên này. 2.4 Kiểm soát truy cập tài nguyên Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm Muốn kiểm soát truy nhập vào tài nguyên cần phải nhận dạng tài nguyên đó một cách rõ ràng:  Nhận dạng tiến trình (process identification) dựa vào định danh người dùng - người khởi chạy tiến trình.  Bộ nhớ được nhận dạng bằng các thanh ghi biên, bảng chuyển đổi (bảng trang, bảng phân đoạn).  CPU được nhận biết thông qua phần cứng. 2.4 Kiểm soát truy cập tài nguyên Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm  File được nhận biết qua tên file.  Chương trình, thủ tục được nhận biết qua tên và địa chỉ bắt đầu của nó.  Người sử dụng được nhận biết qua quá trình xác thực trong giai đoạn đăng nhập. 2.4 Kiểm soát truy cập tài nguyên Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm Việc bảo vệ tài nguyên cần hai yếu tố:  Kiểm tra quyền của tiến trình truy nhập vào tài nguyên.  Nguyên tắc đặc quyền tối thiểu: Chỉ cho phép tiến trình truy nhập vào các tài nguyên cần thiết cho nhiệm vụ của nó. 2.4 Kiểm soát truy cập tài nguyên Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm Các cơ chế kiểm soát truy nhập có thể được thực hiện theo hai chế độ:  Phân cấp truy nhập  Ma trận truy nhập. 2.4.1 Các cơ chế kiểm soát truy cập Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm Phân cấp truy nhập: phân cấp theo hai chế độ  Chế độ đặc quyền  Khối chương trình lồng nhau 2.4.1 Các cơ chế kiểm soát truy cập Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm Chế độ đặc quyền Phân cấp thành các mức bảo vệ, mỗi mức có một tập quyền truy cập khác nhau VD: có N mức từ (0->n-1), mức trong cùng (mức 0) sẽ có tối đa quyền truy cập, mức ngoài cùng (mức n- 1) có tối thiểu quyền truy cập.  Mỗi tiến trình sẽ được gán với một mức bảo vệ và hoạt động trong miền truy cập của mức đó Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm Các khối chương trình lồng nhau Một khối chương trình có thể truy nhập các đối tượng toàn cục của tất cả các khối chứa khối chương trình này, và tất nhiên là cả các đối tượng bên trong nó. Ví dụ về việc lồng 5 khối chương trình như sau: (U5(((U1)U2)U3)(U4)). Khối trong nhất U1 có quyền truy nhập tất cả các đối tượng (đã được khai báo bên trong U1) và tất cả các đối tượng bên trong các khối chứa U1 là (U2, U3, U5), nhưng U1 không thể truy nhập vào các đối tượng của U4. Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm Các khối chương trình lồng nhau Thông qua cơ chế này, các khối chỉ có thể truy nhập vào các đối tượng cần thiết cho nhiệm vụ của chúng. Do đó, dùng các khối chương trình lồng nhau thỏa mãn nguyên tắc đặc quyền tối thiểu. Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm Ma trận truy cập Các quyền gắn liền với các chủ thể (các thực thể hoạt động của hệ thống). Biểu diễn các quyền truy nhập của từng chủ thể S tới từng đối tượng O trong một ma trận truy nhập. Có thể biểu diễn ma trận truy nhập bằng:  Bảng toàn cục  Danh sách quyền truy nhập (ALC)  Danh sách tiềm năng của miền bảo vệ (C-List)  Cơ chế khóa và chìa Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 2.5.2 Bảo vệ file  Sử dụng ma trận truy cập Cơ chế dựa vào mật khẩu Muốn truy nhập vào một file bất kỳ với các thao tác (đọc, ghi, xóa, sửa) đều phải có mật khẩu. Cơ chế này không truy nhập theo định danh người sử dụng. Mỗi người sử dụng muốn truy nhập vào một file nào đó cần phải có mật khẩu của file đó. Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 2.5.2 Bảo vệ file Cơ chế dựa vào quyền sở hữu Người sử dụng được phân thành 3 loại  Người sở hữu: là người tạo ra một file và có thể định nghĩa các quyền truy nhập của những người sử dụng khác đối với file này.  Nhóm: là tập hợp những người sử dụng có nhu cầu dùng chung file, ví dụ những người làm việc trong cùng dự án.  Những người sử dụng khác: tất cả những người sử dụng của hệ thống, trừ người sở hữu và các thành viên của nhóm. Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 2.5.2 Bảo vệ file Cơ chế dựa vào quyền sở hữu Mỗi file sẽ có một danh sách kiểm soát truy nhập, mỗi phần tử chứa 3 trường: định danh người sử dụng, định danh nhóm chứa người sử dụng, các quyền truy nhập. Cơ chế dựa vào quyền sở hữu hỗ trợ việc phân biệt các quyền trên cùng một file, định nghĩa số lượng người sử dụng dùng chung 1 file. Việc thực hiện không có gì phức tạp vì nó dựa vào định danh người sử dụng. Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 2.6 Các chuẩn an toàn Tiêu chuẩn DoD Việc đánh giá mức độ bảo vệ của một hệ thống là vấn đề nghiên cứu chủ yếu trong an toàn. Do đó các nhà phát triển cũng như những người sử dụng cuối cần có các tiêu chuẩn và các công cụ đánh giá để có thể chỉ ra mức độ tin cậy của một cơ chế an toàn. Năm 1985, bộ quốc phòng Mỹ đã đưa ra một tiêu chuẩn nhằm hai mục đích để phát triển và đánh giá các hệ thống an toàn, đó là tiêu chuẩn DoD (Department of Defense). Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm Tiêu chuẩn DoD Cho người sử dụng những độ đo (metrics) để đánh giá mức tin cậy của một hệ thống an toàn (nhằm bảo vệ các thông tin đã được phân lớp và các thông tin nhạy cảm) nếu:  Hệ thống an toàn không được phát triển bên trong một tổ chức, nhưng tổ chức này lại sử dụng một sản phẩm thương mại, khi đó tiêu chuẩn DoD sẽ cung cấp bộ tiêu chuẩn cần thiết để đánh giá sản phẩm an toàn này.  Hệ thống an toàn được phát triển bên trong một tổ chức, khi đó DoD cung cấp bộ tiêu chuẩn cần thiết để kiểm tra xem tất cả các yêu cầu an toàn có được quan tâm và thực hiện đầy đủ hay không. Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm Tiêu chuẩn DoD Cho các nhà phát triển/nhà cung cấp một tài liệu hướng dẫn thiết kế (trong đó trình bày các đặc trưng an toàn trong các hệ thống thương mại, những đặc trưng này nhằm làm cho các sản phẩm (tin cậy, có sẵn) đáp ứng được các yêu cầu an toàn của các ứng dụng nhạy cảm). Cho các nhà thiết kế một tài liệu hướng dẫn để đặc tả các yêu cầu an toàn Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm Tiêu chuẩn DoD Hệ thống an toàn có thể được phân theo 4 mức phân cấp (D, C, B, A). Trong mỗi mức phân cấp, lại chia thành các lớp phân cấp. Mức độ bảo vệ của hệ thống với các mức (lớp) cao sẽ cao hơn so với các mức (lớp) thấp. Ở đây mức D là mức thấp nhất – không có yêu cầu nào cho hệ thống, các mức phức tạp hơn là C, B, A. Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm Các mức bảo vệ trong tiêu chuẩn DoD Mức D (bảo vệ tối thiểu): Không có lớp con nào, các hệ thống trong mức này sẽ không có bất kỳ một yêu cầu nào cần thiết để phân loại cao hơn. Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm Các mức bảo vệ trong tiêu chuẩn DoD Mức C (bảo vệ tuỳ ý): Các hệ thống trong mức này cung cấp các chính sách kiểm soát truy nhập tùy ý – DAC và các chính sách sử dụng lại đối tượng. Ngoài ra, chúng còn cung cấp các cơ chế nhận dạng/xác thực và kiểm toán.  Lớp C1 (bảo vệ an toàn tùy ý): Các hệ thống trong lớp này cung cấp các đặc trưng an toàn cho kiểm soát truy nhập tùy ý và nhận dạng/xác thực. Các hệ thống này có thể thực hiện trong các nhóm người sử dụng.  Lớp C2 (bảo vệ truy nhập có kiểm soát): Các hệ thống trong lớp này cung cấp các chính sách kiểm soát truy nhập tùy ý-DAC, lưu các thông tin về người sử dụng đơn lẻ, sử dụng lại đối tượng. Các hệ thống trong lớp C2 cải tiến hơn với lớp C1 vì có thể lưu thông tin về người sử dụng đơn lẻ và có các cơ chế kiểm toán. Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm Các mức bảo vệ trong tiêu chuẩn DoD Mức B (bảo vệ bắt buộc): yêu cầu cơ bản với các hệ thống thuộc mức B là cần có các nhãn an toàn và chính sách kiểm soát truy nhập bắt buộc – MAC. Hầu hết các dữ liệu liên quan trong hệ thống cần phải được gán nhãn. Mức B được chia thành 3 lớp:  Lớp B1 (bảo vệ an toàn có gán nhãn): Các hệ thống thuộc lớp này có các đặc trưng như các hệ thống trong lớp C2, ngoài ra có thêm các nhãn an toàn và chính sách kiểm soát truy nhập bắt buộc – MAC. Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm Các mức bảo vệ trong tiêu chuẩn DoD Lớp B2 (bảo vệ có cấu trúc):  Các yêu cầu buộc phải được đảm bảo. Các hệ thống thuộc lớp B2 phải • Đưa ra một mô hình các chính sách an toàn (cả MAC và DAC), các chính sách này phải được xác định một cách rõ ràng, và phải tương thích với các tiên đề an toàn. • Các chính sách kiểm soát truy nhập của lớp B1 sẽ được áp dụng với tất cả chủ thể và đối tượng của hệ thống. • Nhà quản trị và người sử dụng đều được cung cấp các cơ chế xác thực, và các công cụ để hỗ trợ việc quản lý cấu hình. Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm Các mức bảo vệ trong tiêu chuẩn DoD Lớp B3 (miền an toàn):  Hệ thống thuộc lớp này phải thỏa mãn các yêu cầu kiểm soát.  Ngoài các yêu cầu như B2, nó cần có khả năng chống đột nhập, các đặc tính an toàn cũng phải mạnh hơn, có các thủ tục phục hồi, khả năng kiểm toán.  Hệ thống ở lớp B3 phải có khả năng cao chống lại được các truy nhập trái phép. Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm Các mức bảo vệ trong tiêu chuẩn DoD Mức A (bảo vệ có kiểm tra): sử dụng các phương pháp hình thức để kiểm tra an toàn cho hệ thống. Mức A được chia thành:  Lớp A1 (thiết kế kiểm tra): hệ thống thuộc lớp A1 tương đương với các hệ thống thuộc lớp B3. Tuy nhiên, hệ thống thuộc lớp A1 cần sử dụng các kỹ thuật hình thức và phi hình thức để chứng minh tính tương thích giữa đắc tả an toàn mức cao và mô hình chính sách hình thức.  Lớp ngoài A1 (không được mô tả). Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm Tổng kết