View
465
Download
5
Category
Preview:
Citation preview
8/17/2015
1
Giảng viên: Lê Phúc
Email: lephuc@ptithcm.edu.vn
Website: http://is.ptithcm.edu.vn/~lephuc
Access Control
INT1303 Information security, PTITHCM, 2015
Access control
INT1303 Information security, PTITHCM, 2015
2
Access control bảo vệ các tài nguyên trong hệ thống khỏi các truy xuất trái phép.
Access control policy có chức năng phân biệt các truy xuất thành 2 nhóm:
Authorized access
Unauthorized access
2 thành phần của access control:
Authentication
Authorization
8/17/2015
2
Các thành phần của access control
INT1303 Information security, PTITHCM, 2015
3
Authentication
INT1303 Information security, PTITHCM, 2015
4
Password-Based Authentication
Token-Based Authentication
Biometric Authentication
Remote authentication
8/17/2015
3
Cơ sở xác thực
INT1303 Information security, PTITHCM, 2015
5
Hai bước xác thực:
Identification
Verification
Cơ sở xác thực:
Something you know
Something you have
Something you are
Something you do
Password-based authentication
INT1303 Information security, PTITHCM, 2015
6
Cơ sở: Something you know
Dễ dùng, rẻ (không tốn) tiền
Dễ bị tiết lộ
So sánh:
Khóa 64 bit → 264 khóa khác nhau → 263 lần thử
Password 8 ký tự → 2568 password khác nhau =
264 password
Chỉ cần tự điển với 220 password là có thể dò được(=1/244)
8/17/2015
4
Tấn công password
INT1303 Information security, PTITHCM, 2015
7
Offline dictionary attack
Specific account attack
Popular password attack
Password guessing against single user
Workstation hijacking
Exploiting user mistakes
Exploiting multiple password use
Electronic monitoring
Lưu trữ password trên hệ thống
INT1303 Information security, PTITHCM, 2015
8
Vai trò của salt?
8/17/2015
5
Dò password
INT1303 Information security, PTITHCM, 2015
9
Độ phức tạp phụ thuộc từng tình huống:
Tìm password của một user không dùng tự điển
Tìm password của một user dùng tự điển
Tìm một password bất kỳ không dùng tự điển
Tìm một password bất kỳ dùng tự điển
Dò password
INT1303 Information security, PTITHCM, 2015
10
Ví dụ:
Mật khẩu dài 8 ký tự chọn ngẫu nhiên trong 128
ký tự (1288 password khác nhau)
File password chứa 210 password đã được băm
Tự điển password có 220 password thông dụng,
với xác suất tìm thấy là 1/4
8/17/2015
6
Chọn password
INT1303 Information security, PTITHCM, 2015
11
Xu hướng chọn password của người dùng:
Password ngắn (<= 3 ký tự)
Chọn từ có nghĩa trong tự điển
Có liên quan đến cá nhân (ngày sinh, số đt, ...)
Chọn password
INT1303 Information security, PTITHCM, 2015
12
Chiến lược làm tăng độ an toàn của password:
User education:
Hiểu tầm quan trọng của password
Tuân thủ password policy
Tạo password từ các câu dễ nhớ
Computer-generated passwords
Reactive password checking
Proactive password checking
8/17/2015
7
Chính sách password
INT1303 Information security, PTITHCM, 2015
13
Min/max password age
Password history
Password length / complexity
Account lockout
Token-Based Authentication
INT1303 Information security, PTITHCM, 2015
14
Cơ sở xác thực: something you have
Hai loại token phổ biến:
Memory card
Smart card
8/17/2015
8
Memory cards
INT1303 Information security, PTITHCM, 2015
15
Chỉ lưu dữ liệu, không xử lý (thẻ chữ nổi, thẻ
từ, thẻ nhớ)
Có thể dùng độc lập hoặc kết hợp với mã PIN
Ứng dụng:
Thẻ dịch vụ, khách sạn
Thẻ ATM (kết hợp mã PIN)
....
Smart cards
INT1303 Information security, PTITHCM, 2015
16
Chứa mạch điện tử với các thành phần:
CPU
Bộ nhớ (RAM, ROM, EEPROM)
8/17/2015
9
Xác thực dùng smart card
INT1303 Information security, PTITHCM, 2015
17
Biometric Authentication
INT1303 Information security, PTITHCM, 2015
18
Cơ sở: something you are, something you do
Các yêu cầu đối vỡi kỹ thuật sinh trắc:
Universal: tính phổ dụng
Distinguishing: tính phân biệt chính xác
Permanent: ổn định theo thời gian
Collectable: dễ thu thập mẫu
8/17/2015
10
Các đặc điểm sinh học
INT1303 Information security, PTITHCM, 2015
19
Xác thực sinh trắc
INT1303 Information security, PTITHCM, 2015
20
Quy trình xác thực sinh trắc gồm 2 bước:
Enrollment phase: lấy mẫu
Recognition phase: nhận dạng
Lỗi xác thực
Fraud: hệ thống nhận dạng sai user a thành user b
Insult: hệ thống từ chối xác nhận user
Hai tỉ lệ này nghịch biến với nhau. Thường chọn ở mức
cần bằng giữa 2 loại lỗi (Equal Error Rate)
8/17/2015
11
Equal Error Rate
INT1303 Information security, PTITHCM, 2015
21
Remote authentication
INT1303 Information security, PTITHCM, 2015
22
Vấn đề: cần chuyển thông tin xác thực qua kết
nối mạng, phải có cơ chế bảo vệ thông tin này
8/17/2015
12
Tấn công cơ chế xác thực
INT1303 Information security, PTITHCM, 2015
23
Client attacks
Host attacks
Eavesdropping
Replay
Trojan horse
Denial-of-service
Bài tập
INT1303 Information security, PTITHCM, 2015
24
Khảo sát hệ thống xác thực dung mống mắt
(Iris biometric authentication system)
Khảo sát an ninh của hệ thống ATM
8/17/2015
13
Access control
INT1303 Information security, PTITHCM, 2015
25
Access control policy
Access Control Matrix
DAC
RBAC
MAC
Chính sách quản lý truy xuất
INT1303 Information security, PTITHCM, 2015
26
Chính sách quản lý truy xuất được xây dựng
theo 3 mô hình:
DAC
MAN
RBAC
8/17/2015
14
Subject, Object, Access right
INT1303 Information security, PTITHCM, 2015
27
Subject: thực thể thực hiện truy xuất tài nguyên thông tin trong hệ thống (user, process, ...). 3 nhóm subject:
Owner
Group
World (others)
Object: tài nguyên thông tin (file, folder, ...)
Access right: thao tác subject thực hiện đối với object, ví dụ: read, write, execute, ...
DAC
INT1303 Information security, PTITHCM, 2015
28
Mỗi thực thể tự cấp quyền truy xuất đến các
tài nguyên đang sở hữu.
Ví dụ: User tạo ra một thư mục trên NTFS
partition có thể cho phép user khác truy xuất theo
các quyền khác nhau
DAC được thực thi thông qua ma trận truy
xuất (Access Control Matrix)
8/17/2015
15
Ma trận quản lý truy xuất
INT1303 Information security, PTITHCM, 2015
29
Hai cách tổ chức ma trận: ACL và Capability list
ACL và C-list
INT1303 Information security, PTITHCM, 2015
30
8/17/2015
16
DAC trong Unix
INT1303 Information security, PTITHCM, 2015
31
Ví dụ: chmod 640 myfile
RBAC
INT1303 Information security, PTITHCM, 2015
32
Các subject được gộp nhóm theo vai trò
tương ứng trong hệ thống
Cấp quyền truy xuất đến object cho từng
group
Ví dụ: tất cả các user trong nhóm Administrators
trong Windows có toàn quyền trên hệ thống
Windows
8/17/2015
17
RBAC33
Mỗi user (subject) có
thể thuộc nhiều nhóm
cùng lúc
Khi user chuyển
nhóm, quyền truy
xuất sẽ thay đổi theo
Có nhiều mô hình
RBAC khác nhau:
RBAC0, RBÁC,
RBAC2, ...
Mandatory Access Control
INT1303 Information security, PTITHCM, 2015
34
Mô hình trong đó việc cấp quyền truy xuất
được thực hiện trên phạm vi toàn hệ thống
Subjects và objects trong hệ thống được chia
thành nhiều mức bảo mật khác nhau
(multilevel security)
Bell-Lapadula là mô hình quản lý truy xuất
điển hình của MAC
8/17/2015
18
Bài tập
INT1303 Information security, PTITHCM, 2015
35
Phân tích mô hình RBAC ứng dụng trong
ngân hàng
Recommended