MANDATORY ACCESS CONTROL
Tran Thi Que Nguyet

1

Faculty of Computer Science & Engineering
HCMC University of Technology



Outline
1

Introduction to Mandatory Access Control

2

Proposed Models for MAC

3

MAC in Oracle: Oracle Label Security

2
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011

Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
2

INTRODUCTION TO MAC





Security Classes
MAC properties
Multilevel relation
Pros and cons of MAC

3
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011

Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
3


Introduction to MAC


Mandatory Access Control (MAC):





MAC applies to large amounts of information requiring
strong protect in environments where both the system
data and users can be classified clearly.
MAC is a mechanism for enforcing multiple level of
security.

4
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011

Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
4


Security classes




Classifies subjects and objects based on security
classes.
Security class:








Classification level
Category

A subject classification reflects the degree of trust
and the application area.
A object classification reflects the sensitivity of the
information.
5

Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011

Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
5


Classification level


Typical classification level are:





Top secret (TS)

Secret (S)
Confidential (C)
Unclassified (U)

Where TS is the highest level and U is the lowest:
TS ≥ S ≥ C ≥ U

6
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011

Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
6


Category




Categories tend to reflect the system areas or
departments of the organization.
Example: there are 3 departments of the
organization: Sales, Production, Delivery

7
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính

© 2011

Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
7


Security classes






A security class is defined as follow:
SC = (A, C)
A: classification level
C: category
A relation of partial order on the security classes:
SC ≤ SC’ is verified, only if:
A ≤ A’ and C’  C
Examples:
(2, Sales) ≤ (3, (Sales, Production)) ?
(2, (Sales, Production)) ≤ (3, Sales) ?

Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011

8


Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
8


INTRODUCTION TO MAC





Security Classes
MAC properties
Multilevel relation
Pros and cons of MAC

9
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011

Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
9


MAC Properties



Simple security property: A subject S is not allowed
read access to an object O unless
class(S) ≥ class(O).
 No read-up



Star property (or * property): A subject S is not
allowed to write an object O unless
class(S) ≤ class(O)
 No write-down

These restrictions together ensure that there is no direct flow
of information from high to low subjects!!!
10
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011

Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
10


Why star property?

11
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011


Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
11


Why star property?

12
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011

Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
12


Why star property?

13
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011

Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
13



INTRODUCTION TO MAC
Security Classes
 MAC properties
 Multilevel relation
 Pros and cons of MAC


14
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011

Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
14


Multilevel relation





Multilevel relation: MAC + relational database
model
Data objects: attributes and tuples
Each attribute A is associated with a classification
attribute C
A tuple classification attribute TC is to provide a
classification for each tuple as a whole, the highest

of all attribute classification values.
R(A1,C1,A2,C2, …, An,Cn,TC)



The apparent key of a multilevel relation is the set
of attributes that would have formed the primary
key in a regular (single-level) relation.
15

Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011

Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
15


Multilevel relation

 A multilevel relation will appear to contain different
data to subjects (users) with different security
levels

Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011

Bảo mật hệ thống thông tin

Chương 5: Điều khiển truy cập bắt buộc (MAC)
16

16


Multilevel relation
SELECT * FROM EMPLOYEE

A user with security level S

17
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011

Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
17


Multilevel relation
SELECT * FROM EMPLOYEE

A user with security level C

18
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011


Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
18


Multilevel relation
SELECT * FROM EMPLOYEE

A user with security level U

19
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011

Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
19


Properties of Multilevel relation
Read and write operations: satisfy the No Read-Up
and No Write-Down principles.

20
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011


Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
20


Properties of Multilevel relation
Entity integrity: all attributes that are members of the
apparent key must not be null and must have the same
security classification within each individual tuple.

In addition, all other attribute values in the tuple must
have a security classification greater than or equal to
that of the apparent key.
 This constraint ensures that a user can see the key if
the user is permitted to see any part of the tuple at all.

21
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011

Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
21


Properties of Multilevel relation
Polyinstantiation: where several tuples can have the same
apparent key value but have different attribute values for
users at different classification levels.


22
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011

Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
22


Polyinstantiation example

(security level C)

 A user with security level C tr

∀(s, o, a) ∈ b, such that a ∈ {append, write}



fC(s) ≤ fO(o)

and


if ∃(s, o, a) ∈ b where a ∈ {append, write},




then ∀o’, a’ ∈ {read, write}, such that (s, o’, a’) ∈ b, fO(o’) ≤ fO(o)

I.e. a subject can only alter objects of higher classification,
and cannot read a high-level object while writing to a low-level object
(2)


∀(s, o, a) ∈ b, such that a ∈ {read}



fc(s) ≥ fo(o)

Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011

Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
31


Star property
Objects
Highest

Can Write

Subject


Max Level
Can Read & Write

Lowest

Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011

Can Read

Current
Level

Bảo mật hệ thống thông tin
Chương 5: Điều khiển
32 truy cập bắt buộc (MAC)
32


Disadvantages of Bell-Lapadula






BLP’s concern is confidentiality
 limits the access and sharing of information
 no integrity policy

 no availability policy
BLP assumes a fixed rights
 assumes tranquillity (where permissions do not change)
 A tranquil operation does not change access rights.
 A tranquil system has no non-tranquil operation
 no model for access management
 no model for policy making
Allows Covert Channels (home work!)

Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011

Bảo mật hệ thống thông tin
Chương 5: Điều khiển truy cập bắt buộc (MAC)
33