Mô Hình Bảo Mật

Biba vs Clark Wilson

1. Giới thiệu:
- Mô hình toàn vẹn Biba được xuất bản năm 1977 tại Tập
đoàn Mitre, một năm sau khi mô hình Bell La-Padula
được xuất bản.
- Động lực chính để tạo ra mô hình này là sự bất lực của
mô hình Bell-LaPadula để đối phó với tính toàn vẹn của
dữ liệu.
- Mô hình Biba giải quyết vấn đề với star property của mô
hình Bell-LaPadula.
Integrity
-Tính toàn vẹn đề cập đến sự đáng tin cậy của dữ liệu.
- Thường được xác định theo nghĩa ngăn chặn sự thay
đổi dữ liệu không hợp pháp.
- Có 3 mục tiêu chính:
• Ngăn chặn người dùng không hợp pháp thay đổi dữ
liệu.
• Ngăn chặn người dùng hợp pháp thay đổi dữ liệu
không phù hợp hoặc trái phép.
• Duy trì tính thống nhất nội bộ trong và ngoài dữ liệu.
Integrity Levels
- Được đánh giá bởi 2 thành phần:
• classification
• set of categories
- Integrity level được xét cho các chủ thể và đối tượng
trong hệ thống.
Classification of Integrity
- Tập hợp các yếu tố phân cấp.
- Bao gồm 1 tập các thành phần:
• Crucial(C)
• Very Important(VI)
• Important(I)
- Mối quan hệ của các thành phần:
C>VI>I
Set Categories
Tập hợp các danh mục nhãn.
Vd1: X={n1, n2, n3, … |∀𝑛 ∈ 𝑁}
Y={n1,n2,n3,…|∀𝑛 ∈ 𝑅}
=> X<Y bởi vì X là tập con của Y
Vd2 : N={Việt Nam,Campuchia,Lào}
M={Việt Nam ,Campuchia,Thái Lan}
=>chúng ta không thể so sánh M và N bởi vì thành phần
thứ 3 khác nhau (Lào khác Thái Lan)
Integrity Level
Mỗi Integrity level được biểu diễn dưới dạng L=(C,S) với:
• L là Integrity level
• C là Classification
• S là set of categories
Để biết Integrity Level nào cao hơn,ta lần lượt so sánh 2
thành phần C và S.
Vd: L1=(C1,S1) ≥ L2=(C2,S2)C1≥C2 và S1⊇S2
Access Modes
Mô hình Biba bao gồm các chế độ truy cập sau:
• Motify: quyền sửa đổi cho phép một chủ thể ghi vào
một đối tượng. Chế độ này tương tự như chế độ ghi
trong các mô hình khác.
• Observe: quyền quan sát cho phép một chủ thể đọc
một đối tượng. Lệnh này là từ đồng nghĩa với lệnh đọc
của hầu hết các mô hình khác.
• Invoke: quyền gọi cho phép một chủ thể giao tiếp với
chủ thể khác.
• Execute: quyền thực thi cho phép một chủ thể thực thi
một đối tượng. Về cơ bản cho phép một chủ thể thực
hiện một chương trình là đối tượng.
2. Biba Policies:
Mô hình này là một nhóm các chính sách khác nhau .
Mục đích của mô hình này là dùng để làm cho các thực thể cấp cao không bị ảnh
hưởng từ thực thể cấp thấp.
Được hỗ trợ cả chính sách bắt buộc và chính sách tùy ý (mandatory and
discretionary policies)
Các chính sách bắt buộc:
Strict Integrity Policy
Low-Watermark Policy (Object vs Subject)
Low-Watermark Integrity Audit Policy
Ring Policy
Các chính sách tùy ý:
Access Control Lists
Object Hierarchy
Ring
2.1 Strict Integrity Policy :
Mô hình Biba có ba quy tắc sau:

Simple Integrity Condition :No Read Down, trong đó nêu rõ một chủ thể có thể đọc
dữ liệu nằm ở mức toàn vẹn cao hơn.
s ∈ S có thể đọc được dữ liệu từ o∈ O  i(o) ≥ i(s)
Integrity Star Property :No Write Up, trong đó nói rằng một chủ thể có thể ghi dữ
liệu vào một đối tượng ở mức toàn vẹn thấp hơn.
s ∈ S có thể ghi được dữ liệu từ o ∈ O  i(s)≥ i(o)
Invocation Property: một chủ thể có thể gọi chủ thể thể khác nếu nó có mức độ toàn
vẹn cao hơn chủ thể đó.
s₁ ∈ S có thể gọi dữ liệu từ s₂ ∈ S  i(s₂) ≤ i(s₁).
“No Write-Up”
circle = subject, square = object

Write
Write
Write
“No Read-Down”

Read
Read
Read
2.1 Strict Integrity Policy:
Khi hầu hết mọi người nhắc đến mô hình Biba, họ thực sự đang đề
cập đến Strict Integrity Policy.
No Read Down,No Write Up, điều này trái ngược với mô hình Bell-LaPadula.

Chính sách này hạn chế sự thay đổi dữ liệu ở cấp cao hơn, vì một chủ thể chỉ được phép
sửa đổi dữ liệu ở cấp độ của nó hoặc ở cấp độ thấp hơn.

No Write Up là rất cần thiết, vì nó hạn chế thiệt hại có thể gây ra bởi các đối tượng độc hại trong hệ
thống. Chẳng hạn, No Write Up giới hạn số lượng thiệt hại có thể gây ra bởi một trojan horse trong hệ
thống. Trojan horse sẽ chỉ có thể ghi vào các đối tượng ở cấp độ toàn vẹn bằng hoặc thấp hơn.

No Read Down đã ngăn chặn một chủ thể tin cậy khỏi bị thay đổi dữ liệu bởi một đối tượng ít tin cậy
hơn.
2.2 Low-Watermark Policy for Subjects:
là một trường hợp mở rộng của No Read Down
Gồm 3 luật:
1.Integrity Star Property: s ∈ S có thể sửa o∈ O  i(o)
≤ i(s) (“no write-up”).
2.If s ∈ S examines o ∈ O then i′(s) = min(i(s),i(o)), mức
độ toàn vẹn của một chủ thể sẽ bị hạ xuống nếu nó đọc
một đối tượng có mức độ toàn vẹn thấp hơn
3.Invocation Property: s₁∈ S can invoke s₂ ∈ S  i(s₂)
≤ i(s₁).
Chính sách L thì không làm gì để hạn chế việc đọc một đối tượng từ
chủ thể
L là một chính sách động bởi vì nó làm giảm mức độ toàn vẹn của
chủ thể dựa trên mức độ toàn vẹn của đối tượng.
L không phải là ko có thiếu sót,vấn đề là nếu chủ thể đọc một đối
tượng có độ tin cậy thấp hơn nó sẽ giảm mức độ toàn vẹn của chủ
thể bằng với mức độ toàn vẹn của đối tượng đó.Sau đó nếu chủ thể
này cận đọc một đối tượng có mức toàn vẹn khác với đối tượng
trước thì chủ thể không thể đọc được vì mức độ toàn vẹn của chủ
thể đã bị hạ thấp.Hậu quả:việc này sẽ gây ra hiện tượng từ chối
dịch vụ (denial of service) tùy thuộc vào thời gian gửi.
Low-Watermark Policy for Objects:
là trường hợp mở rộng của no write down
Gồm 2 luật:
1. s ∈ S có thể thay đổi bất kỳ o ∈ O không cần
để ý tới Integiry level.
2. If s ∈ S modifies o ∈ O then i′(o) = min(i(s),i(o))
mức độ toàn vẹn của một đối tượng sẽ bị hạ
xuống sau khi thay đổi bởi một chủ thể có mức độ
toàn vẹn thấp hơn.
Cũng là chính sách động tương tự như sub.
Nhược điểm của chính sách này là không ngăn
được chủ thể không đáng tin cậy sửa được đối
tượng đáng tin cậy. Trong thực tế chính sách này
có vẻ như không thực tế lắm.
Chính sách này không cung cấp sự bảo vệ thực sự
trong hệ thống.Chính sách này chỉ đơn giản là hạ
thấp độ tin cậy được đặt trong các đối tượng. Nếu
một chương trình độc hại được chèn vào hệ thống
máy tính,nó có thể sửa đổi bất kỳ đối tượng nào
trong hệ thống. Mô hình này chỉ để làm giảm mực
độ toàn vẹn của các đối tượng đã bị nhiễm.
2.3 Low-Watermark Integrity Audit Policy
Bao gồm các nguyên tắc sau:
1. Bất kỳ chủ thể nào cũng có quyền sửa đổi bất kỳ tối tượng ở bất
kể mức độ toàn vẹn.
2.Nếu một chủ thể sửa đổi đối tượng ở mức toàn vẹn cao hơn thì
nó sẽ được ghi lại chú lại trong audit log
Hạn chế của chính sách này là không ngăn chặn được việc sửa đổi
không đúng đối tượng. Chính sách này tượng tự như L_ob,ngoại trừ
trường hợp mức độ toàn vẹn của đối tượng không bị hạ thấp mà nó
bị ghi lại
Chính sách này chỉ đơn giản là ghi lại rằng một sửa đổi không phù
hợp đã diễn ra
2.4 Ring Policy:
Chính sách vòng cho phép mọi chủ thể quan sát bất kỳ đối tượng
nào. Chính sách này chỉ liên quan đến sửa đổi trực tiếp.
Hạn chế của chính sách này là nó cho phép các sửa đổi không phù
hợp gián tiếp diễn ra.
Một chủ đề có thể đọc một đối tượng ít tin cậy. Sau đó, chủ thể có
thể sửa đổi dữ liệu mà nó đọc được ở cấp độ toàn vẹn của chính nó.
Một ví dụ về điều này sẽ là một người dùng đọc một đối tượng ít
tin cậy hơn, sau đó ghi dữ liệu họ đọc vào một đối tượng bằng mức
mức toàn vẹn của chính họ.
The Discretionary Policies:
Access Control List có thể chỉnh sửa chủ thể với đặc quyền chính
xác.
Object Hierarchy tính toàn vẹn có thể được thực thi bằng cách sử
dụng OH. Với phương pháp này, có root và các đối tượng là ngang
hàng với root. Để truy cập một đối tượng cụ thể, chủ thể phải có
các đặc quyền đọc đối với các đối tượng đó bao gồm root và đối
tượng ngang root.
Ring đánh số các vòng trong hệ thống với số thấp hơn là đặc quyền
cao hơn. Các chế độ truy cập của chủ thể phải nằm trong một phạm
vi giá trị nhất định mới được phép truy cập vào một đối tượng.
Ứng Dụng của Biba
Trong FreeBSD, mô hình Biba được triển khai
theo chính sách MAC mac_biba.
Trong Linux, mô hình Biba được triển khai trong
sản phẩm PitBull của General Dynamics Mission
Systems.
Trong XTS-400, mô hình Biba được triển khai
trong hệ điều hành XTS-400 của BAE Systems.
3. Ưu ,Nhược Điểm:
Ưu điểm:
Mô hình Biba rất đơn giản và dễ thực hiện.
Mô hình Biba cung cấp một số chính sách khác nhau có thể được lựa chọn dựa trên nhu cầu.
Nhược điểm:
Mô hình không làm gì để thực thi bảo mật.
Mô hình Biba không hỗ trợ việc cấp và thu hồi ủy quyền.
Để sử dụng mô hình này, tất cả các máy tính trong hệ thống phải hỗ trợ ghi nhãn toàn vẹn cho cả chủ
thể và đối tượng. Cho đến nay, không có giao thức mạng hỗ trợ ghi nhãn này. Vì vậy, có vấn đề với
việc sử dụng mô hình Biba trong môi trường mạng.
Tổng Quan Mô Hình Clark Wilson
Mô hình toàn vẹn Clark Wilson cung cấp một nền tảng để xác định
và phân tích chính sách toàn vẹn cho một hệ thống máy tính. Mô
hình chủ yếu liên quan đến việc chính thức hóa và mở rộng khái
niệm về tính toàn vẹn thông tin. Tính toàn vẹn thông tin được duy
trì bằng cách ngăn chặn thay đổi của các mục dữ liệu trong hệ
thống do lỗi hoặc mục đích xấu. Chính sách toàn vẹn mô tả các
mục dữ liệu trong hệ thống phải được giữ hợp lệ từ trạng thái này
sang trạng thái tiếp theo.
Nguyên Tắc Cơ Bản
Mô hình Clark-Wilson được mô tả trong một bài báo năm 1987
của David D. Clark và David R. Wilson sử dụng phương pháp tiếp
cận nhiều mặt để thực thi tính toàn vẹn dữ liệu. Mô hình sử dụng
mối quan hệ ba phần của subject /program / object (trong đó
program có thể hoán đổi với transaction) được gọi là bộ ba hoặc bộ
ba kiểm soát truy cập (access triple). Trong mối quan hệ này, các
chủ thể không có quyền truy cập trực tiếp vào các đối tượng. Đối
tượng chỉ có thể được truy cập thông qua các program (các
transaction).
Các quy tắc thực thi và chứng thực dùng để xác định dữ liệu và các quy trình tác động lên dữ liệu đó.
Cốt lõi của mô hình dựa trên khái niệm giao dịch.
Một giao dịch tốt (well-formed transaction) là một chuỗi các hoạt động chuyển đổi hệ thống từ trạng
thái nhất quán này sang trạng thái nhất quán khác.Trong mô hình này, chính sách toàn vẹn đảm bảo
tính toàn vẹn của các giao dịch.
Nguyên tắc phân chia nhiệm vụ: quy định không một người nào thực hiện một nhiệm vụ từ đầu đến
cuối,nhiệm vụ đó nên được chia cho hai hoặc nhiều người để ngăn chặn hành vi gian lận bởi một
người hành động một mình.
Thành Phần:
• User: là một nhân tố chủ động
• CDI: các mục dữ liệu bị ràng buộc - Dữ liệu chịu
sự kiểm soát toàn vẹn .
• UDI: các mục dữ liệu không bị rang buộc - Dữ
liệu không chịu sự kiểm soát toàn vẹn .
• IVP: quy trình xác minh tính toàn vẹn - Quy
trình kiểm tra CDI phù hợp với các ràng buộc toàn
vẹn.
• TPs: thủ tục giao dịch - Thủ tục đưa hệ thống từ
trạng thái hợp lệ này sang trạng thái hợp lệ khác
Certification Rules 1 and 2
• C1 Khi bất kỳ IVP nào được chạy, nó phải đảm bảo tất cả các
CDI ở trạng thái hợp lệ.
• C2 Đối với một số bộ CDI liên quan, TP phải chuyển đổi các
CDI đó ở trạng thái hợp lệ.
Enforcement Rules 1 and 2
• E1 Hệ thống phải duy trì các mối quan hệ được xác thực và phải
đảm bảo rằng chỉ các TP được chứng nhận chạy trên CDI và
thao tác trên CDI đó.
• E2 Hệ thống phải liên kết user với từng TP và bộ CDI. TP có thể
truy cập các CDI đó thay mặt cho người dùng được liên kết. TP
không thể truy cập CDI thay mặt cho người dùng không liên
quan đến TP và CDI đó.
Users and Rules
• C3 Các mối quan hệ được phép phải đáp ứng yêu cầu áp đặt
theo nguyên tắc tách nhiệm vụ.
• E3 Hệ thống phải xác thực từng người dùng cố gắng thực thi
một TP.
Logging
C4 Tất cả các TP phải nối thêm thông tin để xây dựng lại hoạt động
vào một append-only CDI.
- CDI này là log.
- Người quản lí cần có khả năng xác định những gì đã xảy ra trong quá
trình đánh giá giao dịch.
Handling Untrusted Input
• C5 Bất kỳ TP nào làm đầu vào UDI chỉ có thể thực hiện biến đổi
hợp lệ, hoặc không có biến đổi, cho tất cả giá trị có thể của
UDI. Sự biến đổi từ chối UDI hoặc biến nó thành CDI.
Trong ngân hàng, các số được nhập trên bàn phím là UDI, vì
vậy không thể được đầu vào TPs. TP phải xác thực số (để biến
chúng thành một CDI) trước khi sử dụng chúng; nếu xác nhận
thất bại, TP từ chối UDI.
Separation of Duty In Model
(Tách nhiệm vụ trong mô hình)
• E4 Chỉ người chứng nhận TP mới có thể thay đổi
danh sách các thực thể liên quan đến đó
TP. Không có chứng nhận của TP, hoặc của một thực thể
liên kết với TP đó, có thể đã từng thực thi sự cho phép đối với
điều đó thực thể.
III. So sánh Biba và Clark Wilson:
• Biba
- Không có khái niệm về các quy tắc chứng thực; đáng tin
cậy, hành động của đối tượng phải tuân thủ các quy tắc.
- Không có một rang buộc nào về việc thay đổi dữ liệu 1 cách
hợp lý
• Clark-Wilson
- Khắc phục các điểm yếu của Biba.