信息系統安全機制-訪問控制

信息系統安全機制-訪問控制第一頁，共42頁。內容概要訪問控制原理自主訪問控制強制訪問控制基于角色的訪問控制常用操作系統中的訪問控制第二頁，共42頁。概念通常應用在信息系統的安全設計上。定義：在保障授權用戶能獲取所需資源的同時拒絕非授權用戶的安全機制。目的：為了限制訪問主體對訪問客體的訪問權限，從而使計算機系統在合法范圍內使用；它決定用戶能做什么，也決定代表一定用戶身份的進程能做什么。未授權的訪問包括：未經授權的使用、泄露、修改、銷毀信息以及頒發指令等。非法用戶進入系統。合法用戶對系統資源的非法使用。第三頁，共42頁。客體（Object）：規定需要保護的資源，又稱作目標（target)。主體（Subject）：或稱為發起者(Initiator)，是一個主動的實體，規定可以訪問該資源的實體，（通常指用戶或代表用戶執行的程序）。授權（Authorization)：規定可對該資源執行的動作（例如讀、寫、執行或拒絕訪問）。第四頁，共42頁。訪問控制模型基本組成第五頁，共42頁。任務識別和確認訪問系統的用戶。認證鑒權決定該用戶可以對某一系統資源進行何種類型的訪問。授權審計第六頁，共42頁。訪問控制與其他安全服務的關系模型

引用監控器身份認證訪問控制授權數據庫用戶目標目標目標目標目標審計安全管理員訪問控制決策單元第七頁，共42頁。訪問控制的一般實現機制和方法

一般實現機制——基于訪問控制屬性 ——〉訪問控制表/矩陣基于用戶和資源分檔（“安全標簽”） ——〉多級訪問控制常見實現方法——訪問控制表（ACL)

訪問能力表（Capabilities)

授權關系表第八頁，共42頁。訪問矩陣定義客體(O)主體(S)權限(A)讀(R)寫(W)擁有(Own)執行(E)更改(C)

第九頁，共42頁。舉例MEM1MEM2File1File2File3File4User1r,w,eo,r,eUser2r,w,eo,r,e問題：稀疏矩陣，浪費空間。第十頁，共42頁。訪問控制類型自主訪問控制強制訪問控制基于角色訪問控制訪問控制第十一頁，共42頁。自主訪問控制DiscretionaryAccessControl第十二頁，共42頁。概念基于對主體或主體所屬的主體組的識別來限制對客體的訪問，這種控制是自主的。自主指主體能夠自主地將訪問權或訪問權的某個子集授予其他主體。如用戶A可將其對目標O的訪問權限傳遞給用戶B,從而使不具備對O訪問權限的B可訪問O。缺點：信息在移動過程中其訪問權限關系會被改變：安全問題第十三頁，共42頁。訪問控制表（AccessControlList）基于訪問控制矩陣列的自主訪問控制。每個客體都有一張ACL，用于說明可以訪問該客體的主體及其訪問權限。第十四頁，共42頁。舉例：File1File2File3File4客體目錄User1o,r,wUser2rUser3r,wACL表User1eUser2o,eUser3rUser4eUser2rUser3ro:Ownerr:Readw:Writee:Excute第十五頁，共42頁。oj表示客體j，si.rw表示主體si具有rw屬性。s0.rs1.es2.rwoj第十六頁，共42頁。問題：主體、客體數量大，影響訪問效率。解決：引入用戶組，用戶可以屬于多個組。主體標識=主體.組名如Liu.INFO表示INFO組的liu用戶。*.INFO表示所有組中的用戶。*.*表示所有用戶。第十七頁，共42頁。liu.INFO.rw表示對INFO組的用戶liu具有rw權限。*.INFO.rw表示對INFO組的所有用戶具有rw權限。*.*.rw表示對所有用戶具有rw權限。Liu.INFO.r*.INFO.e*.*.rwoj第十八頁，共42頁。訪問能力表（AccessCapabilitiesList）基于訪問控制矩陣行的自主訪問控制。為每個主體（用戶）建立一張訪問能力表，用于表示主體是否可以訪問客體，以及用什么方式訪問客體。第十九頁，共42頁。File1o,r,wFile2rFile3r,w文件名File2o,eFile3r客體(文件)File1File2File3o:Ownerr:Readw:Writee:Excute舉例：權限用戶A的目錄用戶B的目錄訪問能力表第二十頁，共42頁。強制訪問控制MandatoryAccessControl第二十一頁，共42頁。概念為所有主體和客體指定安全級別，比如絕密級、機密級、秘密級、無秘級。不同級別的主體對不同級別的客體的訪問是在強制的安全策略下實現的。只有安全管理員才能修改客體訪問權和轉移控制權。（對客體擁有者也不例外）第二十二頁，共42頁。MAC模型絕密級機密級秘密級無秘級寫寫讀讀完整性保密性第二十三頁，共42頁。安全策略保障信息完整性策略級別低的主體可以讀高級別客體的信息（不保密），級別低的主體不能寫高級別的客體（保障信息完整性）保障信息機密性策略級別低的主體可以寫高級別客體的信息（不保障信息完整性），級別低的主體不可以讀高級別的客體（保密）第二十四頁，共42頁。舉例：Security-EnhancedLinux(SELinux)forRedHatEnterpriseLinuxAppArmorforSUSELinuxandUbuntuTrustedBSDforFreeBSD第二十五頁，共42頁?；诮巧脑L問控制RoleBasedAccessControl第二十六頁，共42頁。概念起源于UNIX系統或別的操作系統中組的概念（基于組的自主訪問控制的變體）每個角色與一組用戶和有關的動作相互關聯，角色中所屬的用戶可以有權執行這些操作角色與組的區別組：一組用戶的集合角色：一組用戶的集合+一組操作權限的集合第二十七頁，共42頁。RBAC模型用戶角色權限訪問控制資源1、認證2、分派3、請求4、分派5、訪問第二十八頁，共42頁。角色控制優勢便于授權管理

授權操作： n*m變成n*r+r*m=r*(n+m)便于角色劃分便于賦予最小特權便于職責分擔便于目標分級第二十九頁，共42頁。一個基于角色的訪問控制的實例在銀行環境中，用戶角色可以定義為出納員、分行管理者、顧客、系統管理者和審計員訪問控制策略的一個例子如下：（1）允許一個出納員修改顧客的帳號記錄（包括存款和取款、轉帳等），并允許查詢所有帳號的注冊項（2）允許一個分行管理者修改顧客的帳號記錄（包括存款和取款，但不包括規定的資金數目的范圍）并允許查詢所有帳號的注冊項，也允許創建和終止帳號第三十頁，共42頁。（3）允許一個顧客只詢問他自己的帳號的注冊項（4）允許系統的管理者詢問系統的注冊項和開關系統，但不允許讀或修改用戶的帳號信息（5）允許一個審計員讀系統中的任何數據，但不允許修改任何事情系統需要添加出納員、分行管理者、顧客、系統管理者和審計員角色所對應的用戶，按照角色的權限對用于進行訪問控制。第三十一頁，共42頁。常用操作系統中的訪問控制第三十二頁，共42頁。國際安全標準1984年，美國國防部發布了《可信計算機系統評估標準》（TCSEC），即桔皮書。TCSEC采用等級評估的方法，將計算機安全分為A、B、C、D四個等級八個級別，D等安全級別最低，A安全級別最高。現在大多數通用操作系統（WindowsNT、Linux等）為C2級別，即控制訪問保護級。第三十三頁，共42頁。WindowsNT(自主訪問控制)Windows安全模型SecurityAccountManagerLocalSecurityAuthority(LSA)

SecurityReferenceMonitor第三十四頁，共42頁。訪問控制過程組成部件：安全標識：帳號的唯一對應。訪問令牌：LSA為用戶構造的，包括用戶名、所在組名、安全標識等。主體：操作和令牌。對象、資源、共享資源安全描述符：為共享資源創建的一組安全屬性所有者安全標識、組安全標識、自主訪問控制表、系統訪問控制表、訪問控制項。第三十五頁，共42頁。登錄過程服務器為工作站返回安全標識，服務器為本次登錄生成訪問令牌用戶創建進程P時，用戶的訪問令牌復制為進程的訪問令牌。P進程訪問對象時，SRM將進程訪問令牌與對象的自主訪問控制表進行比較，決定是否有權訪問對象。第三十六頁，共42頁。NTFS的訪問控制從文件中得到安全描述符（包含自主訪問控制表）；與訪問令牌（包含安全標識）一起由SRM進行訪問檢查第三十七頁，共42頁。Linux(自主訪問控制)設備和目錄同樣看作文件。三種權限：R:readW:writeX:excute權限表示：字母表示：rwx，不具有相應權限用-占位8進制數表示：111，不具有相應權限相應位記0第三十八頁，共42頁。四類用戶：root：超級用戶所有者所屬組其他用戶第三十九頁，共42頁。文件屬性：drwxr-x--x

2

lucywork1024Jun2