Bài giảng Bảo mật hệ thống thông tin - Chương 3: Điều khiển truy cập bắt buộc (MAC)

MANDATORY ACCESS CONTROL Tran Thi Que Nguyet Faculty of Computer Science & Engineering HCMC University of Technology ttqnguyet@cse.hcmut.edu.vn 1 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 2 Outline 2 Introduction to Mandatory Access Control1 Proposed Models for MAC2 MAC in Oracle: Oracle Label Security3 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 3  Security Classes  MAC properties  Multilevel relation  Pros and cons of MAC INTRODUCTION TO MAC 3 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 4 Introduction to MAC  Mandatory Access Control (MAC):  MAC applies to large amounts of information requiring strong protect in environments where both the system data and users can be classified clearly.  MAC is a mechanism for enforcing multiple level of security. 4 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 5 Security classes  Classifies subjects and objects based on security classes.  Security class:  Classification level  Category  A subject classification reflects the degree of trust and the application area.  A object classification reflects the sensitivity of the information. 5 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 6 Classification level  Typical classification level are:  Top secret (TS)  Secret (S)  Confidential (C)  Unclassified (U) Where TS is the highest level and U is the lowest: TS ≥ S ≥ C ≥ U 6 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 7 Category  Categories tend to reflect the system areas or departments of the organization.  Example: there are 3 departments of the organization: Sales, Production, Delivery 7 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 8 Security classes  A security class is defined as follow: SC = (A, C) A: classification level C: category  A relation of partial order on the security classes: SC ≤ SC’ is verified, only if: A ≤ A’ and C’  C  Examples: (2, Sales) ≤ (3, (Sales, Production)) ? (2, (Sales, Production)) ≤ (3, Sales) ? 8 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 9  Security Classes  MAC properties  Multilevel relation  Pros and cons of MAC INTRODUCTION TO MAC 9 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 10 MAC Properties  Simple security property: A subject S is not allowed read access to an object O unless class(S) ≥ class(O).  No read-up  Star property (or * property): A subject S is not allowed to write an object O unless class(S) ≤ class(O)  No write-down These restrictions together ensure that there is no direct flow of information from high to low subjects!!! 10 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 11 Why star property? 11 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 12 Why star property? 12 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 13 Why star property? 13 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 14  Security Classes  MAC properties  Multilevel relation  Pros and cons of MAC INTRODUCTION TO MAC 14 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 15 Multilevel relation  Multilevel relation: MAC + relational database model  Data objects: attributes and tuples  Each attribute A is associated with a classification attribute C  A tuple classification attribute TC is to provide a classification for each tuple as a whole, the highest of all attribute classification values. R(A1,C1,A2,C2, , An,Cn,TC)  The apparent key of a multilevel relation is the set of attributes that would have formed the primary key in a regular (single-level) relation. 15 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 16 16 A multilevel relation will appear to contain different data to subjects (users) with different security levels Multilevel relation Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 17 A user with security level S SELECT * FROM EMPLOYEE Multilevel relation 17 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 18 A user with security level C SELECT * FROM EMPLOYEE Multilevel relation 18 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 19 A user with security level U SELECT * FROM EMPLOYEE Multilevel relation 19 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 20 Read and write operations: satisfy the No Read-Up and No Write-Down principles. Properties of Multilevel relation 20 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 21 Entity integrity: all attributes that are members of the apparent key must not be null and must have the same security classification within each individual tuple.  In addition, all other attribute values in the tuple must have a security classification greater than or equal to that of the apparent key.  This constraint ensures that a user can see the key if the user is permitted to see any part of the tuple at all. Properties of Multilevel relation 21 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 22 Properties of Multilevel relation Polyinstantiation: where several tuples can have the same apparent key value but have different attribute values for users at different classification levels. 22 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 23 Polyinstantiation example A user with security level C tries to update the value of JobPerformance of Smith to ‘Excellent’: UPDATE EMPLOYEE SET JobPerformance = ‘Excellent’ WHERE Name = ‘Smith’; (security level C) 23 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 24 Polyinstantiation example 24 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 25  Security Classes  MAC properties  Multilevel relation  Pros and cons of MAC INTRODUCTION TO MAC 25 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 26 Pros and cons of MAC  Pros:  Provide a high degree of protection – in a way of preventing any illegal flow of information.  Suitable for military types of applications.  Cons:  Not easy to apply: require a strict classification of subjects and objects into security levels.  Applicable for very few environments. 26 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 27 Outline 27 Introduction to Mandatory Access Control1 Proposed Models for MAC2 MAC in Oracle: Oracle Label Security3 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 28 Bell-LaPadula model  Proposed by David Elliot Bell and Leonard J. La Padula in 1973 to apply into the applications of USA Government and Military  A state of the system is described by the 3-tuple: A state : (b, M, f), includes  Access operations currently in use b  List of tuples (s, o, a), s ∈ S, o ∈ O, a ∈ A.  Access permission matrix  M = (Ms,o)s∈S,o∈O, where Ms,o ⊂ A  Clearance and classification f = (fS, fC, fO)  fS : S → L maximal security level of a subject  fC : S → L current security level of a subject (fC ≤ fS)  fO : O → L classification of an object 28 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 29 Properties  Discretionary Security Property (ds-property)  Access must be permitted by the access control matrix for each (s, o, a) ∈ b, then a ∈ m[s, o]  This is the discretionary access control part of the model  The other two properties are the mandatory access control parts of the model  Simple security property (ss-property)  A state (b, M, f) satisfies the SS-property if  ∀(s, o, a) ∈ b, such that a ∈ {read, write}  fO(o) ≤ fS(s)  I.e. a subject can only observe objects of lower classification 29 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 30 Properties  What policy do we need for write access?  Integrity: no write-up (to higher security levels)  Confidentiality: no write-down (to lower security levels)  Bell-LaPadula concerns confidentiality  Subject must not transmit messages to subjects at lower levels  Current security level allows communications  A subject has to be downgraded to send messages  Because subjects are computer programs  they can be made to forget their knowledge when downgraded 30 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 31 Properties  Star property  A state (b, M, f) satisfies the *-property if (1)  ∀(s, o, a) ∈ b, such that a ∈ {append, write}  fC(s) ≤ fO(o)  and  if ∃(s, o, a) ∈ b where a ∈ {append, write},  then ∀o’, a’ ∈ {read, write}, such that (s, o’, a’) ∈ b, fO(o’) ≤ fO(o)  I.e. a subject can only alter objects of higher classification,  and cannot read a high-level object while writing to a low-level object (2)  ∀(s, o, a) ∈ b, such that a ∈ {read}  fc(s) ≥ fo(o) Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 32 Star property 32 Highest Can Read & Write Lowest Subject Max Level Current Level C an W rite C an R ead Objects Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 33 Disadvantages of Bell-Lapadula  BLP’s concern is confidentiality  limits the access and sharing of information  no integrity policy  no availability policy  BLP assumes a fixed rights  assumes tranquillity (where permissions do not change)  A tranquil operation does not change access rights.  A tranquil system has no non-tranquil operation  no model for access management  no model for policy making  Allows Covert Channels (home work!) Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 34 Outline 34 Introduction to Mandatory Access Control1 Proposed Models for MAC2 MAC in Oracle: Oracle Label Security3 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 35 ORACLE LABEL SECURITY (OLS)  Introduction  Label components  How OLS works? 35 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 36 Introduction  Simulates multilevel DB (MAC)  Adds a field for each row to store the row’s sensitive label  Access is granted (or denied) by comparing user’s identity and security clearance label with row’s sensitive label ref [] 36 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 37 INTRODUCTION SELECT * FROM order; User User session label “Unclassified” Table ORDER 1 2 3 Order Number 4 4 Order Location City VIP City VIP VIP Row Label Unclassified Secret Unclassified Top Secret Top Secret 37 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 38 Introduction  Four aspects of label-based access control:  A user's label  A row's label  A user's policy privileges  A table's policy enforcement options 38 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 39 ORACLE LABEL SECURITY (OLS)  Introduction  Label components  How OLS works? 39 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 40 Label Components  A label contains three components:  A single level (sensitivity) ranking  Zero or more horizontal compartments  Zero or more hierarchical groups 40 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 41 Level  Levels represent a hierarchy of data sensitivity  The primary mechanism aims to prevent users who are not authorized from seeing or altering certain data  Example:  Employee (1)  Manager (2)  Executive (3) 41 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 42 Compartment  The compartment component is not hierarchical  Compartments identify areas that describe the sensitivity of the labeled data, providing a finer level of granularity within a level  Example  FIN, CHEM, OP 42 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 43 Group North Middle South Country  The group component is hierarchical and is used to identify organizations owning or accessing the data. 43 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 44 LABEL COMPONENTS 44 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 45 Label Components  Label syntax LEVEL:COMPARTMENT1,...,COMPARTMENTn :GROUP1,...,GROUPn  Example:  MGR:CS:NA  EXEC:CS,ES,FS:NA 45 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 46 ORACLE LABEL SECURITY (OLS)  Introduction  Label components  How OLS works? 46 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 47 User Access  A user can only access data within the range of his or her own label authorizations  A user has:  maximum and minimum levels  a set of authorized compartments  a set of authorized groups  a specification of read-only access (or read/write) access for each compartment and group  How to map user label and data label? 47 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 48 Read Access 48 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 49 Grant authorizations on Groups to user Alice Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 50 Write Access Example: Data Label (Employee) 1 Quoc MGR:CS:NA 2 Thai MGR:FS:MA 3 Dan EMP:CS:NA 4 An EMP User label: MGR:CS:NA User label: EMP:FS:NA User label: EMP:NA 50 Assumption: Min level = EMP, all with Write Access Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 5: Điều khiển truy cập bắt buộc (MAC) 51 51