Mac điều khiển truy nhap

Bách khoa toàn thư mở Wikipedia

Media Access Control hay Medium Access Control (tiếng Anh, viết tắt:MAC) có nghĩa là "điều khiển truy nhập môi trường") là tầng con, một phần của tầng liên kết dữ liệu trong mô hình 7 tầng OSI. Tầng liên kết dữ liệu (tầng nhì) được chia thành 2 tầng con: MAC nằm ở dưới, trên nó là tần con LLC. MAC cung cấp các cơ chế đánh địa chỉ và điều khiển truy nhập kênh (channel access), các cơ chế này cho phép các trạm cuối (terminal) hoặc các nút mạng liên lạc với nhau trong một mạng, điển hình là mạng LAN hoặc MAN. Giao thức MAC không cần thiết trong liên lạc điểm-tới-điểm song công (full-duplex).

Tầng con MAC hoạt động với vai trò một giao diện giữa tầng con điều khiển liên kết lôgic LLC và tầng vật lý của mạng.

Tầng MAC cung cấp một cơ chế đánh địa chỉ được gọi là địa chỉ vật lý hoặc địa chỉ MAC. Đây là một con số được cấp một cách phân biệt cho từng card mạng, cho phép chuyển giao các gói dữ liệu tới đích trong một mạng con, nghĩa là một mạng vật lý không có các thiết bị định tuyến, ví dụ một mạng Ethernet.

MAC - Media access control thường được dùng như là một từ đồng nghĩa với giao thức đa truy nhập (multiple access protocol), do tầng con MAC cung cấp giao thức và các cơ chế điều khiển cần thiết cho một phương pháp truy nhập kênh nhất định (channel access method). Việc này cho phép nhiều trạm kết nối tới cùng một môi trường vật lý dùng chung môi trường đó. Ví dụ về các môi trường vật lý dùng chung là bus network, ring network, hub network, mạng không dây và các liên kết điểm-tới-điểm bán song công (half-duplex).

Các ví dụ về các giao thức đa truy nhập kiểu gói tin (packet mode) dành cho các mạng nối dây đa chặng (multi-drop):

• CSMA/CD (dùng trong Ethernet và IEEE 802.3),
• Token ring (IEEE 802.4)
• Token bus (IEEE 802.5)
• Token passing (dùng trong FDDI).

Các ví dụ về các giao thức đa truy nhập có thể được sử dụng trong các mạng không dây dùng sóng radio gửi dữ liệu theo gói tin:

• CSMA/CA
• Slotted ALOHA
• Dynamic TDMA
• Reservation ALOHA (R-ALOHA).
• CDMA
• OFDMA

Địa chỉ MAC[sửa | sửa mã nguồn]

Các địa chỉ MAC có chiều dài 6bytes, thường bao gồm ba loại: Unicast: Bit I/G là bit có trọng số lớn nhất trong octet có trọng số lớn nhất được gán bằng 0. Broadcast: Là một địa chỉ tượng trưng cho tất cả các thiết bị trong mạng LAN segment ở một thờI điểm. Địa chỉ này có dạng 0xFFFF.FFFF.FFFF. Multicast: Bit I/G được gán bằng 1.

Các tài liệu IEEE chỉ ra các địa chỉ Ethernet với các bit có trọng số lớn nhất bên trái. Tuy nhiên bên trong mỗi octet, bit nằm bên trái nhất lại là bit có trọng số thấp nhất; bit nằm bên phải nhất thì được gọi là bit có trọng số lớn nhất. Nhiều tài liệu gọi dạng địa chỉ này là non-canonical. Bất chấp thuật ngữ nào được dùng, thứ tự bit bên trong mỗi octet là quan trọng để có thể hiểu được ý nghĩa của hai bit có trọng số lớn nhất trong một địa chỉ Ethernet:

The Individual/Group (I/G) bit: Nếu địa chỉ là unicast, I/G=0, nếu là multicast hay broadcast, I/G=1. The Universal/Local (U/L) bit: nếu bit này = 0, địa chỉ vendor được gán. Nếu bit U/L=1: địa chỉ này đã được người quản trị dùng và ghi đè lên giá trị do nhà sản xuất gán.

Bit I/G sẽ chỉ ra khi nào địa chỉ MAC là tượng trưng 1 một thiết bị đơn lẻ hay một nhóm các thiết bị. Bit U/L sẽ chỉ ra các địa chỉ được cấu hình cục bộ. Ví dụ, địa chỉ multicast được dùng bởi IP Multicast luôn được bắt đầu bằng 0x01005E. Giá trị hex 01 chuyển sang dạng nhị phân là 00000001, với giá trị bit most significant bằng 1, xác nhận việc sử dụng bit I/G.

Như vậy, địa chỉ MAC cho cả ba trường hợp multicast/unicast/broadcast được quyết định dựa trên ý nghĩa của vị trí một số bit trong các octet địa chỉ.

Ở cấp độ ccna, có thể bạn cần nắm thông tin là địa chỉ mac chia thành hai phần, một phần do nhà sản xuất quy định, một phần gọi là OUI, do IEEE quy định dành cho các vendor.

Xem thêm[sửa | sửa mã nguồn]

• Phương pháp truy nhập kênh (Channel access method)
• Địa chỉ MAC
• Ethernet và CSMA/CD
• Token Ring và token passing
• CSMA/CA

Tham khảo[sửa | sửa mã nguồn]

Bách khoa toàn thư mở Wikipedia

Trong khoa học máy tính, kỹ thuật điều khiển truy cập bắt buộc (tiếng Anh: mandatory access control - viết tắt là MAC) được dùng để bảo vệ và ngăn chặn các quy trình máy tính, dữ liệu, và các thiết bị hệ thống khỏi sự lạm dụng. Kỹ thuật này có thể mở rộng và thay thế cho kỹ thuật điều khiển truy cập tùy quyền đối với các phép truy cập và sử dụng hệ thống tập tin (file-system permissions ) cùng những khái niệm về người dùng và nhóm người dùng.

Đặc trưng quan trọng nhất của MAC bao hàm việc từ chối người dùng toàn quyền truy cập / sử dụng tài nguyên do chính họ kiến tạo. Chính sách an ninh của hệ thống (như đã được viên quản lý (administrator) quy định) hoàn toàn quyết định các quyền truy cập được công nhận, và một người dùng không thể tự hạn chế quyền truy cập vào các tài nguyên của họ hơn những gì mà viên quản lý chỉ định. (Các hệ thống dùng điều khiển truy cập tùy quyền cho phép người dùng toàn quyền quyết định quyền truy cập được công nhận cho các tài nguyên của họ, có nghĩa là họ có thể (do tình cờ hay do ác ý) ban quyền truy cập cho những người dùng bất hợp pháp.)

Mục đích của MAC là định nghĩa một kiến trúc mà trong đó nó đòi hỏi sự đánh giá tất cả các nhãn hiệu có liên quan đến an ninh (security-related labels) và đưa ra những quyết định dựa trên cơ sở ngữ cảnh của các thao tác cùng các nhãn hiệu dữ liệu (data labels) tương đồng. Kiến trúc FLASK và những kiến trúc Cơ cấu tổ chức tổng quát đối với điều khiển truy cập (Generalized Framework for Access Control - GFAC), đi đôi với MAC, trở thành những kỹ thuật khả thi cho những hệ thống an ninh đa tầng cấp (multilevel security systems).

Một kiến trúc như vậy sẽ ngăn chặn một người dùng đã được xác thực, hoặc một quy trình tại một phân hạng cụ thể nào đấy (classification), hoặc có một mức độ tin cẩn (trust-level) nhất định nào đấy, không cho họ truy cập thông tin, truy cập các quy trình (processes) hoặc truy cập các thiết bị (devices) ở một tầng cấp khác. Kết quả của việc này là nó cung cấp cho chúng ta một cơ chế chính sách ngăn chặn đối với người dùng và các quy trình, hoặc biết, hoặc chưa biết (lấy ví dụ, một chương trình ứng dụng lạ, chưa từng thấy (unknown program có thể bao hàm một chương trình ứng dụng không đáng tin (untrusted application) và hệ thống phải theo dõi, giám sát và/hay khống chế những truy cập của nó vào các thiết bị và các tập tin).

Những yêu cầu của một kiến trúc trong đó đòi hỏi sự phân tách giữa dữ liệu và các thao tác bên trong một máy tính bao gồm:

• Không tránh né hoặc qua mắt được. (non-bypassable)
• Có thể đánh giá và so sánh được (evaluatable) (để xác định tính hữu dụng và tính có hiệu lực của một chính sách)
• Luôn luôn được khởi động do yêu cầu - không tự động (always-invoked) (để ngăn ngừa việc tránh né những kiểm duyệt của hệ thống)
• Chống can thiệp bên ngoài - như xáo trộn, giả mạo, quấy nhiễu v.v. (tamper-proof)

Những thực thi theo xu hướng MAC[sửa | sửa mã nguồn]

• Một đề án nghiên cứu của NSA gọi là SELinux (Linux với nâng cấp về anh ninh (Security-Enhanced Linux)) xây dựng thêm kiến trúc điều khiển truy cập bắt buộc vào trong bộ điều hành trung tâm của hệ thống điều hành Linux. Trong phiên bản 4 của Linux cấp kinh doanh của Red Hat (Red Hat Enterprise Linux - viết tắt là RHEL) và cả trong những phiên bản sau này, các nhân viên sản xuất phần mềm đã cho biên dịch SELinux vào trong bộ điều hành trung tâm của nó. Bộ mã nguồn tiêu chuẩn của bộ điều hành trung tâm tại kernel.org đều có chứa mã nguồn của SE Linux trong nội dung của nó. SE Linux có khả năng hạn chế tất cả các quy trình trong hệ thống, song do muốn đảm bảo tính sử dụng dễ dàng của hệ điều hành, RHEL chỉ hạn chế những chương trình ứng dụng dễ bị tấn công nhất mà thôi.
• SUSE Linux (hiện thời được hỗ trợ và bảo quản bởi công ty Novell) có cho thêm phần thực thi của MAC vào trong nó, và phần thực thi này được gọi là AppArmor. AppArmor sử dụng một đặc trưng của phiên bản 2.6 bộ điều hành trung tâm Linux được gọi là LSM - Giao diện cho các môđun về anh ninh trong Linux - (Linux Security Modules interface). LSM cung cấp API với bộ điều hành trung tâm và nó cho phép các môđun trong mã nguồn của bộ điều hành trung tâm chi phối điều khiển truy cập. AppArmor không có khả năng hạn chế tất cả các chương trình ứng dụng, và mã nguồn của nó cũng chưa được sáp nhập với mã nguồn bộ điều hành trung tâm tại kernel.org.
• Bắt đầu từ phiên bản 5.0, công trình của đề án TrustedBSD khởi công được sáp nhập vào các phát hành của hệ điều hành FreeBSD. Sự phát triển công trình là một công việc chưa hoàn thành và vẫn còn đang được tiếp tục tiến hành (work in progress). Các mô hình thực hiện cũng như các năng lực trong phần mềm về truy cập an ninh càng ngày càng trở nên tốt hơn. MAC trong FreeBSD đến với người dùng với những cấu trúc bố trí trước của MAC hỗ trợ việc thực hiện những mô hình MAC như mô hình tính hoàn chỉnh của Biba (Biba Integrity Model) và mô hình An ninh đa tầng (Multi-Level Security).
• Hệ điều hành Trusted Solaris (Solaris Tin cẩn) của công ty Sun sử dụng một cơ chế điều khiển truy cập bắt buộc và được thi hành ở cơ sở hạ tầng của hệ thống (mandatory and system-enforced access control mechanism - MAC), trong đó sự cho phép sử dụng thông tin bí mật (clearance) và các nhãn hiệu được dùng để đảm bảo hiệu lực của chính sách an ninh. Những chương trình ứng dụng mà người dùng vận hành được phối hợp với mức độ an ninh của phiên giao dịch mà người dùng đang làm việc. Truy cập vào thông tin, vào chương trình ứng dụng, và vào các thiết bị đều được quản lý và chỉ có thể được ban phép cho tầng cấp an ninh tương đồng hoặc thấp hơn mà thôi. MAC ngăn chặn người dùng quyền viết vào các tập tin ở các tầng thấp hơn (writing to files at lower levels)[1] và đảm bảo hiệu lực của việc này bằng các chính sách an ninh tại cơ sở, địa điểm. Không ai có quyền vượt qua trừ khi họ được ủy quyền đặc biệt hoặc có những đặc quyền.

Các kiến trúc MAC trong quá khứ[sửa | sửa mã nguồn]

Hiện có vài hệ điều hành chuyên đề về an ninh (security-focused operating systems) thực hiện MAC, và nó tạo nên một phần trung tâm của các hệ điều hành dùng kiến trúc FLASK.

Ghi chú[sửa | sửa mã nguồn]

1. ^ Tính chất "không được quyền đọc thông tin ở những tầng cao hơn, không được quyền viết xuống những tầng thấp hơn - (tiếng Anh: No Read-Up and No Write-Down) là một trong những quy tắc trong an ninh bảo mật phòng gian, chống thông tin rò rỉ. Những người ở cấp dưới không được đọc thông tin của cấp trên, còn những người ở cấp trên không được viết/ghi thông tin vào những tập tin thuộc những tầng thấp hơn.

So sánh[sửa | sửa mã nguồn]

• Điều khiển truy cập tùy quyền (Discretionary access control - DAC)
• Điều khiển truy cập trên cơ sở vai trò (Role-Based Access Control - RBAC)
• Bảo quản an ninh trên cơ sở năng lực tiềm tàng (Capability-based security)

Xem thêm[sửa | sửa mã nguồn]

• Phân hạng an ninh trong phạm trù an ninh (security classification)
• Tuân thủ phân loại trong phạm trù an ninh (type enforcement)
• FreeBSD
• TrustedBSD
• Linux với nâng cấp về an ninh (Security Enhanced Linux)
• Điều khiển truy cập dùng tổ hợp chính sách (Rule-Set-Based Access Control - RSBAC)
• Các mô hình an ninh của thao tác (Security Modes of Operation)
• Mô hình an ninh của Bell-La Padula (Bell-La Padula security model)
• An ninh đa tầng cấp (Multi-Level Security - MLS)
• Điều khiển truy cập trên cơ sở tổ chức (Organisation-Based Access Control - Or-BAC)
• Mô hình tính hoàn chỉnh của Biba (Biba Integrity Model)
• Mô hình bảo vệ sử dụng sự ban quyền và sự sử dụng quyền (Take-Grant Protection Model)
• Mô hình tính hoàn chỉnh của Clark-Wilson (The Clark-Wilson Integrity Model)
• Mô hình của Graham-Denning (Graham-Denning Model)
• Systrace

Liên kết ngoài[sửa | sửa mã nguồn]

• Weblog post Lưu trữ 2006-05-04 tại Wayback Machine on the how virtualization can be used to implement Mandatory Access Control.