保障與安全訪問控制

1、2/4/2022編輯ppt1信息保障與安全 12 訪問控制2/4/2022編輯ppt2訪問控制的目的訪問控制的目的 訪問控制的目的是為了限制訪問主訪問控制的目的是為了限制訪問主體（用戶、進(jìn)程等）對訪問客體（文件體（用戶、進(jìn)程等）對訪問客體（文件、系統(tǒng)等）的訪問權(quán)限，從而使計算機(jī)、系統(tǒng)等）的訪問權(quán)限，從而使計算機(jī)系統(tǒng)在合法范圍內(nèi)使用。它決定用戶能系統(tǒng)在合法范圍內(nèi)使用。它決定用戶能做什么，也決定代表一定用戶利益的程做什么，也決定代表一定用戶利益的程序能做什么。序能做什么。2/4/2022編輯ppt3 James P. Anderson在1972年提出的參考監(jiān)視器(The Reference Mon

2、itor)的概念是經(jīng)典安全模型(如圖12-1所示)的最初雛形。在這里，參考監(jiān)視器是個抽象的概念，可以說是安全機(jī)制的代名詞。2/4/2022編輯ppt4參考監(jiān)視器主體訪問請求客體允許的訪問I&A子系統(tǒng)審計子系統(tǒng)授權(quán)數(shù)據(jù)庫圖12-1 經(jīng)典安全模型 2/4/2022編輯ppt5 經(jīng)典安全模型包含如下基本要素： (1) 明確定義的主體和客體； (2) 描述主體如何訪問客體的一個授權(quán)數(shù)據(jù)庫； (3) 約束主體對客體訪問嘗試的參考監(jiān)視器； (4) 識別和驗(yàn)證主體和客體的可信子系統(tǒng)； (5) 審計參考監(jiān)視器活動的審計子系統(tǒng)。2/4/2022編輯ppt6 可以看出，這里為了實(shí)現(xiàn)計算機(jī)系統(tǒng)安全所采取的基

3、本安全措施，即安全機(jī)制有身份認(rèn)證、訪問控制和審計。 通常，我們用圖12-2來表示這三者之間的關(guān)系。從該示意圖可以看出，參考監(jiān)視器是主體/角色對客體進(jìn)行訪問的橋梁，身份識別與驗(yàn)證，即身份認(rèn)證是主體/角色獲得訪問授權(quán)的第一步，這也是早期黑客入侵系統(tǒng)的突破口。 2/4/2022編輯ppt7安全管理員安全策略參考監(jiān)視器主體/角色認(rèn)證授權(quán)客體審計圖12-2 安全機(jī)制2/4/2022編輯ppt8 訪問控制是在主體身份得到認(rèn)證后，根據(jù)安全策略對主體行為進(jìn)行限制的機(jī)制和手段。審計作為一種安全機(jī)制，它在主體訪問客體的整個過程中都發(fā)揮著作用，為安全分析提供了有利的證據(jù)支持。它貫穿于身份認(rèn)證、訪問控制的前前后后。同

4、時，身份認(rèn)證、訪問控制為審計的正確性提供保障。它們之間是互為制約、相互促進(jìn)的。 訪問控制技術(shù)并不能取代身份認(rèn)證，它是建立在身份認(rèn)證基礎(chǔ)上的。 身份認(rèn)證解決“你是誰，你是否真的是你所聲稱的身份” 訪問控制解決的是“你能做什么，你有什么樣的權(quán)限”2/4/2022編輯ppt9 12.1 基本概念 在訪問控制中： 主體（主體（subject）：）：是指必須被控制對客體的訪問的活動資源，它是訪問的發(fā)起者，通常為進(jìn)程、程序或用戶。 客體客體(object)：被訪問的對象，客體一般包括可供訪問的各種軟硬件資源，如文件、設(shè)備、信號量等。 授權(quán)（授權(quán)（ Authorization ）：）：資源所有者對他人使用資

5、源的許可。 訪問控制中的第三個元素是保護(hù)規(guī)則保護(hù)規(guī)則，它定義了主體與客體之間可能的相互作用途徑。2/4/2022編輯ppt10 12.1 基本概念 訪問控制訪問控制(Access Control)是指對主體訪問客體的權(quán)限或能力的限制，以及限制進(jìn)入物理區(qū)域(出入控制)和限制使用計算機(jī)系統(tǒng)和計算機(jī)存儲數(shù)據(jù)的過程(存取控制)。基本目標(biāo)：基本目標(biāo)： 防止對任何資源（如計算資源、通信資源或信息資源）進(jìn)行未授權(quán)的訪問。從而使計算機(jī)系統(tǒng)在合法范圍內(nèi)使用；決定用戶能做什么，也決定代表一定用戶利益的程序能做什么。 未授權(quán)的訪問包括：未經(jīng)授權(quán)的使用、泄露、修改、銷毀信息以及頒發(fā)指令等。 非法用戶進(jìn)入系統(tǒng)。 合法用

6、戶對系統(tǒng)資源的非法使用。2/4/2022編輯ppt11 首先引入保護(hù)域的概念。每一主體(進(jìn)程)都在一特定的保護(hù)域下工作，保護(hù)域規(guī)定了進(jìn)程可以訪問的資源。每一域定義了一組客體及可以對客體采取的操作。可對客體操作的能力稱為訪問權(quán)訪問權(quán)(Access Right)，訪問權(quán)定義為有序?qū)Φ男问健?一個域是訪問權(quán)的集合。如域X有訪問權(quán)，則在域X下運(yùn)行的進(jìn)程可對文件A執(zhí)行讀寫，但不能執(zhí)行任何其它的操作。 保護(hù)域并不是彼此獨(dú)立的。它們可以有交叉，即它們可以共享權(quán)限。如圖12-3所示，域X和域Y對打印機(jī)都有寫的權(quán)限，從而產(chǎn)生了訪問權(quán)交叉現(xiàn)象。2/4/2022編輯ppt12保護(hù)域 X保護(hù)域 Y圖12-3 有重疊的

7、保護(hù)域2/4/2022編輯ppt13 主體(進(jìn)程)在某一特定時刻可以訪問的實(shí)體(軟件，硬件)的集合稱為客體。根據(jù)系統(tǒng)復(fù)雜度不同，客體可以是靜態(tài)的，即在進(jìn)程生命周期中保持不變，或是動態(tài)改變的。為使進(jìn)程對自身或他人可能造成的危害最小，最好在所有時間里進(jìn)程都運(yùn)行在最小客體下。 2/4/2022編輯ppt14如何決定訪問權(quán)限 用戶分類 資源 資源及使用 訪問規(guī)則2/4/2022編輯ppt15用戶的分類 （1）特殊的用戶：系統(tǒng)管理員，具有最高級別 的特權(quán)，可以訪問任何資源，并具有任何類型 的訪問操作能力。 （2）一般的用戶：最大的一類用戶，他們的訪 問操作受到一定限制，由系統(tǒng)管理員分配。 （3）作審計的

8、用戶：負(fù)責(zé)整個安全系統(tǒng)范圍內(nèi) 的安全控制與資源使用情況的審計。 （4）作廢的用戶：被系統(tǒng)拒絕的用戶。2/4/2022編輯ppt16資源 系統(tǒng)內(nèi)需要保護(hù)的是系統(tǒng)資源： 磁盤與磁帶卷標(biāo) 遠(yuǎn)程終端 信息管理系統(tǒng)的事務(wù)處理及其應(yīng)用 數(shù)據(jù)庫中的數(shù)據(jù) 應(yīng)用資源2/4/2022編輯ppt17資源和使用 對需要保護(hù)的資源定義一個訪問控制包 （Access control packet)，包括： 資源名及擁有者的標(biāo)識符 缺省訪問權(quán) 用戶、用戶組的特權(quán)明細(xì)表 允許資源的擁有者對其添加新的可用數(shù)據(jù)的操作 審計數(shù)據(jù)2/4/2022編輯ppt18訪問規(guī)則 規(guī)定了若干條件，在這些條件下，可準(zhǔn)許訪問一個資源。 規(guī)則使用戶與

9、資源配對，指定該用戶可在該文件上執(zhí)行哪些操作，如只讀、不許執(zhí)行或不許訪問。 由系統(tǒng)管理人員來應(yīng)用這些規(guī)則，由硬件或軟件的安全內(nèi)核部分負(fù)責(zé)實(shí)施。2/4/2022編輯ppt19 訪問控制策略 系統(tǒng)中存取文件或訪問信息的一整套嚴(yán)密安全的規(guī)則。通過不同方式建立：OS固有的，管理員或用戶制定的。 訪問控制機(jī)制（Access Control Mechanisms): 在信息系統(tǒng)中，為檢測和防止未授權(quán)訪問，以及為使授權(quán)訪問正確進(jìn)行所設(shè)計的硬件或軟件功能、操作規(guī)程、管理規(guī)程和它們的各種組合。是訪問控制策略的軟硬件低層實(shí)現(xiàn)。 訪問控制機(jī)制與策略獨(dú)立，可允許安全機(jī)制的重用。2/4/2022編輯ppt20 根據(jù)訪問

10、控制策略的不同，訪問控制一般分為自主訪問控制、強(qiáng)制訪問控制、基于角色的訪問控制三種。自主訪問控制自主訪問控制是目前計算機(jī)系統(tǒng)中實(shí)現(xiàn)最多的訪問控制機(jī)制，它是根據(jù)訪問者的身份和授權(quán)來決定訪問模式的。強(qiáng)制訪問控制強(qiáng)制訪問控制是將主體和客體分級，然后根據(jù)主體和客體的級別標(biāo)記來決定訪問模式。“強(qiáng)制”主要體現(xiàn)在系統(tǒng)強(qiáng)制主體服從訪問控制策略上?；诮巧脑L問控制基于角色的訪問控制的基本思想是：授權(quán)給用戶的訪問權(quán)限通常由用戶在一個組織中擔(dān)當(dāng)?shù)慕巧珌泶_定。它根據(jù)用戶在組織內(nèi)所處的角色作出訪問授權(quán)和控制，但用戶不能自主地將訪問權(quán)限傳給他人。這一點(diǎn)是基于角色訪問控制和自主訪問這一點(diǎn)是基于角色訪問控制和自主訪問控制的

11、最基本區(qū)別。控制的最基本區(qū)別。 2/4/2022編輯ppt21 12.2 自主訪問控制 自主訪問控制自主訪問控制又稱任意訪問控制(Discretionary Access Control，DAC)，是指根據(jù)主體身份或者主體所屬組的身份或者二者的結(jié)合，對客體訪問進(jìn)行限制的一種方法。它是訪問控制措施中最常用的一種方法，這種訪問控制方法允許用戶可以自主地在系統(tǒng)中規(guī)定誰可以存取它的資源實(shí)體，即用戶(包括用戶程序和用戶進(jìn)程)可選擇同其它用戶一起共享某個文件。 2/4/2022編輯ppt22 所謂自主，是指具有授與某種訪問權(quán)力的主體(用戶)能夠自己決定是否將訪問權(quán)限授予其它的主體。安全操作系統(tǒng)需要具備的特

12、征之一就是自主訪問控制，它基于對主體及主體所屬的主體組的識別來限制對客體的存取。在大多數(shù)的操作系統(tǒng)中，自主訪問控制的客體不僅僅是文件，還包括郵箱、通信信道、終端設(shè)備等。2/4/2022編輯ppt23 存取許可與存取模式是自主訪問控制機(jī)制中的兩個重要概念，決定著能否正確理解對客體的控制和對客體的存取。存取許可存取許可是一種權(quán)力，即存取許可能夠允許主體修改客體的訪問控制表，因此可以利用存取許可實(shí)現(xiàn)自主訪問控制機(jī)制的控制。在自主訪問控制方式中，有等級型、擁有型和自由型三種控制模式。存取模式存取模式是經(jīng)過存取許可的確定后，對客體進(jìn)行的各種不同的存取操作。存取許可的作用在于定義或改變存取模式；存取模式的

13、作用是規(guī)定主體對客體可以進(jìn)行何種形式的存取操作。2/4/2022編輯ppt24 在各種以自主訪問控制機(jī)制進(jìn)行訪問控制的系統(tǒng)中，存取模式主要有：讀(read)，即允許主體對客體進(jìn)行讀和拷貝的操作；寫(write)，即允許主體寫入或修改信息，包括擴(kuò)展、壓縮及刪除等；執(zhí)行(execute)，就是允許將客體作為一種可執(zhí)行文件運(yùn)行，在一些系統(tǒng)中該模式還需要同時擁有讀模式；空模式(null)，即主體對客體不具有任何的存取權(quán)。 2/4/2022編輯ppt25 在許多操作系統(tǒng)當(dāng)中，對文件或者目錄的訪問控制是通過把各種用戶分成三類來實(shí)施的：屬主(self)、同組的其它用戶(group)和其它用戶(public)

14、。 每個文件或者目錄都同幾個稱為文件許可(File Permissions)的控制比特位相關(guān)聯(lián)。各個文件許可位的含義通常如圖12-4所示。2/4/2022編輯ppt26r讀wx寫執(zhí)行r讀wx寫執(zhí)行r讀wx寫執(zhí)行屬主組內(nèi)其它圖12-4 self/group/public訪問控制2/4/2022編輯ppt27 自主訪問控制的具體實(shí)施可采用以下四種方法。 1) 目錄表(Directory List) 在目錄表訪問控制方法中借用了系統(tǒng)對文件的目錄管理機(jī)制，為每一個欲實(shí)施訪問操作的主體，建立一個能被其訪問的“客體目錄表(文件目錄表)”。例如某個主體的客體目錄表可能為客體1:權(quán)限客體2:權(quán)限客體i:權(quán)限客

15、體j:權(quán)限客體n:權(quán)限2/4/2022編輯ppt28 客體目錄表中各個客體的訪問權(quán)限的修改只能由該客體的合法屬主確定，不允許其它任何用戶在客體目錄表中進(jìn)行寫操作，否則將可能出現(xiàn)對客體訪問權(quán)的偽造。因此，操作系統(tǒng)必須在客體的擁有者控制下維護(hù)所有的客體目錄。 目錄表訪問控制機(jī)制的優(yōu)點(diǎn)是容易實(shí)現(xiàn)，每個主體擁有一張客體目錄表，這樣主體能訪問的客體及權(quán)限就一目了然了，依據(jù)該表對主體和客體的訪問與被訪問進(jìn)行監(jiān)督比較簡便。2/4/2022編輯ppt29 缺點(diǎn)之一是系統(tǒng)開銷、浪費(fèi)較大，這是由于每個用戶都有一張目錄表，如果某個客體允許所有用戶訪問，則將給每個用戶逐一填寫文件目錄表，因此會造成系統(tǒng)額外開銷；二是由

16、于這種機(jī)制允許客體屬主用戶對訪問權(quán)限實(shí)施傳遞并可多次進(jìn)行，造成同一文件可能有多個屬主的情形，各屬主每次傳遞的訪問權(quán)限也難以相同，甚至可能會把客體改用別名，因此使得能越權(quán)訪問的用戶大量存在，在管理上繁亂易錯。2/4/2022編輯ppt30 2) 訪問控制列表(Access Control List) 訪問控制列表的策略正好與目錄表訪問控制相反，它是從客體角度進(jìn)行設(shè)置的、面向客體的訪問控制。每個客體有一個訪問控制列表，用來說明有權(quán)訪問該客體的所有主體及其訪問權(quán)限，如圖 1 2 - 5 所 示 。 圖 中 說 明 了 不 同 主 體 對 客 體(PAYROLL文件)的訪問權(quán)限。其中，PAYROLL的

17、訪問控制列表如下：2/4/2022編輯ppt31Jane可以讀文件可以寫文件PAYROLL文件訪問控制列表:jane可以讀和寫john可以讀不能讀文件不能寫文件Sam可以讀文件不能寫文件John圖12-5 訪問控制列表的DAC2/4/2022編輯ppt32 其中，john和jane表示用戶的注冊ID；acct和pay表示用戶所屬的組ID；r和w表示所允許的訪問類型。 如果john屬于acct組，則他只能閱讀文件；如果他不屬于任何組，則缺省情況下他沒有任何訪問權(quán)限。類似的，如果jane屬于pay組，則她可以閱讀和修改文件。 2/4/2022編輯ppt33 訪問控制列表通常還支持統(tǒng)配符，從而可以制

18、定更一般的訪問規(guī)則。例如，我們可以制定： 表示任何組當(dāng)中的任何用戶都可以讀文件。也可以制定如下規(guī)則： 表示只有文件的屬主()才能讀和寫文件。2/4/2022編輯ppt34 訪問控制列表方式的最大優(yōu)點(diǎn)就是能較好地解決多個主體訪問一個客體的問題，不會像目錄表訪問控制那樣因授權(quán)繁亂而出現(xiàn)越權(quán)訪問。缺點(diǎn)是由于訪問控制列表需占用存儲空間，并且由于各個客體的長度不同而出現(xiàn)存放空間碎片，造成浪費(fèi)；每個客體被訪問時都需要對訪問控制列表從頭到尾掃描一遍，影響系統(tǒng)運(yùn)行速度和浪費(fèi)了存儲空間。2/4/2022編輯ppt35 3) 訪問控制矩陣(Access Control Matrix) 訪問控制矩陣是對上述兩種方法

19、的綜合。存取控制矩陣模型是用狀態(tài)和狀態(tài)轉(zhuǎn)換進(jìn)行定義的，系統(tǒng)和狀態(tài)用矩陣表示，狀態(tài)的轉(zhuǎn)換則用命令來進(jìn)行描述。直觀地看，訪問控制矩陣是一張表格，每行代表一個用戶(即主體)，每列代表一個存取目標(biāo)(即客體)，表中縱橫對應(yīng)的項(xiàng)是該用戶對該存取客體的訪問權(quán)集合(權(quán)集)。圖12-6是訪問控制矩陣原理的簡單示意圖。 2/4/2022編輯ppt36目標(biāo)3讀寫目標(biāo)1讀執(zhí)行目標(biāo)2讀寫用戶1用戶2用戶3目標(biāo)主體圖12-6 訪問控制矩陣原理示意圖2/4/2022編輯ppt37 抽象地說，系統(tǒng)的訪問控制矩陣表示了系統(tǒng)的一種保護(hù)狀態(tài)，如果系統(tǒng)中用戶發(fā)生了變化，訪問對象發(fā)生了變化，或者某一用戶對某個對象的訪問權(quán)限發(fā)生了變化，

20、都可以看作是系統(tǒng)的保護(hù)狀態(tài)發(fā)生了變化。由于訪問控制矩陣模型只規(guī)定了系統(tǒng)狀態(tài)的遷移必須有規(guī)則，而沒有規(guī)定是什么規(guī)則，因此該模型的靈活性很大，但卻給系統(tǒng)埋下了潛在的安全隱患。2/4/2022編輯ppt38 4) 能力表(Capability List) 能力表是訪問控制矩陣的另一種表示方式。在訪問控制矩陣表中可以看到，矩陣中存在一些空項(xiàng)(空集)，這意味著有的用戶對一些客體不具有任何訪問或存取的權(quán)力，顯然保存這些空集沒有意義。能力表的方法是對存取矩陣的改進(jìn)，它將矩陣的每一列作為一個客體而形成一個存取表。每個存取表只由主體、權(quán)集組成，無空集出現(xiàn)。為了實(shí)現(xiàn)完善的自主訪問控制系統(tǒng)，由訪問控制矩陣提供的信息

21、必須以某種形式保存在系統(tǒng)中，這種形式就是用訪問控制表和能力表來實(shí)施的。2/4/2022編輯ppt39 自主訪問控制面臨的最大問題是：在自主訪問控制中，具有某種訪問權(quán)的主體能夠自行決定將其訪問權(quán)直接或間接地轉(zhuǎn)交給其它主體。自主訪問控制的特點(diǎn)是允許系統(tǒng)的用戶對于屬于自己的客體，按照自己的意愿，允許或者禁止其它用戶訪問。在基于DAC的系統(tǒng)中，主體的擁有者負(fù)責(zé)設(shè)置訪問權(quán)限。也就是說，主體擁有者對訪問的控制有一定權(quán)利。但正是這種權(quán)利使得信息在移動過程中，其訪問權(quán)限關(guān)系會被改變。如用戶A可以將其對客體目標(biāo)O的訪問權(quán)限傳遞給用戶B，從而使不具備對O訪問權(quán)限的B也可以訪問O，這樣做很容易產(chǎn)生安全漏洞，所以自主

22、訪問控制的安全級別很低。2/4/2022編輯ppt40 12.3 強(qiáng)制訪問控制 強(qiáng)制訪問控制強(qiáng)制訪問控制(Mandatory Access Control，MAC)是根據(jù)客體中信息的敏感標(biāo)簽和訪問敏感信息的主體的訪問等級，對客體的訪問實(shí)行限制的一種方法。它主要用于保護(hù)那些處理特別敏感數(shù)據(jù)(例如，政府保密信息或企業(yè)敏感數(shù)據(jù))的系統(tǒng)。在強(qiáng)制訪問控制中，用戶的權(quán)限和客體的安全屬性都是固定的，由系統(tǒng)決定一個用戶對某個客體能否進(jìn)行訪問。所謂“強(qiáng)制”，就是安全屬性由系統(tǒng)管理員人為設(shè)置，或由操作系統(tǒng)自動地按照嚴(yán)格的安全策略與規(guī)則進(jìn)行設(shè)置，用戶和他們的進(jìn)程不能修改這些屬性。 2/4/2022編輯ppt41 所

23、謂“強(qiáng)制訪問控制”，是指訪問發(fā)生前，系統(tǒng)通過比較主體和客體的安全屬性來決定主體能否以他所希望的模式訪問一個客體。 強(qiáng)制訪問控制的實(shí)質(zhì)是對系統(tǒng)當(dāng)中所有的客體和所有的主體分配敏感標(biāo)簽(Sensitivity Label)。用戶的敏感標(biāo)簽指定了該用戶的敏感等級或者信任等級，也被稱為安全許可(Clearance)；而文件的敏感標(biāo)簽則說明了要訪問該文件的用戶所必須具備的信任等級。 敏感標(biāo)簽 sensitivity label: 表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息。 2/4/2022編輯ppt42 強(qiáng)制訪問控制就是利用敏感標(biāo)簽來確定誰可以訪問系統(tǒng)中的特定信息的。 貼標(biāo)簽和強(qiáng)制訪問控制可以實(shí)現(xiàn)多

24、級安全策略(Multi-level Security Policy)。這種策略可以在單個計算機(jī)系統(tǒng)中處理不同安全等級的信息。 只要系統(tǒng)支持強(qiáng)制訪問控制，那么系統(tǒng)中的每個客體和主體都有一個敏感標(biāo)簽同它相關(guān)聯(lián)。敏感標(biāo)簽由兩個部分組成：類別(Classification)和類集合(Compartments)(有時也稱為隔離間)。例如:2/4/2022編輯ppt43SECRET VENUS, TANK, ALPHAClassification Categories2/4/2022編輯ppt44 類別是單一的、層次結(jié)構(gòu)的。在軍用安全模型(基于美國國防部的多級安全策略)中，有四種不同的等級：絕密級(Top

25、 Secret)、機(jī)密級(Secret)、秘密級(Confidential)及普通級(Unclassified)，其級別為TSCU。 類集合或者隔離間是非層次的，表示了系統(tǒng)當(dāng)中信息的不同區(qū)域。類當(dāng)中可以包含任意數(shù)量的項(xiàng)。在軍事環(huán)境下，類集合可以是：情報、坦克、潛艇、秘密行動組等。2/4/2022編輯ppt45 在強(qiáng)制訪問控制系統(tǒng)當(dāng)中，控制系統(tǒng)之間的信息輸入和輸出是非常重要的。MAC系統(tǒng)有大量的規(guī)則用于數(shù)據(jù)輸入和輸出。2/4/2022編輯ppt46 在MAC系統(tǒng)當(dāng)中，所有的訪問決策都是由系統(tǒng)作出，而不像自由訪問控制當(dāng)中由用戶自行決定。對某個客體是否允許訪問的決策將由以下三個因素決定： (1) 主

26、體的標(biāo)簽，即你的安全許可： TOP SECRET VENUS TANK ALPHA (2) 客體的標(biāo)簽，例如文件LOGISTIC的敏感標(biāo)簽如下： SECRET VENUS ALPHA (3) 訪問請求，例如你試圖讀該文件。2/4/2022編輯ppt47 當(dāng)你試圖訪問LOGISTIC文件時，系統(tǒng)會比較你的安全許可和文件的標(biāo)簽從而決定是否允許你讀該文件。圖12-7顯示了強(qiáng)制訪問控制是如何工作的。2/4/2022編輯ppt48敏感標(biāo)簽：SECRETVENUS ALPHAJaneSECRETALPHA不能讀文件可以寫文件TOP SECRETVENUS TANK ALPHA可以讀文件不能寫文件JohnL

27、OGISTIC文件圖12-7 強(qiáng)制訪問控制2/4/2022編輯ppt49 基本上，強(qiáng)制訪問控制系統(tǒng)根據(jù)如下判斷準(zhǔn)則來確定讀和寫規(guī)則：只有當(dāng)主體的敏感等級高于或等于客體的等級時，訪問才是允許的，否則將拒絕訪問。根據(jù)主體和客體的敏感等級和讀寫關(guān)系可以有以下四種組合： (1) 下讀(Read Down)：主體級別大于客體級別的讀操作； (2) 上寫(Write Up)：主體級別低于客體級別的寫操作； (3) 下寫(Write Down)：主體級別大于客體級別的寫操作； (4) 上讀(Read Up)：主體級別低于客體級別的讀操作。2/4/2022編輯ppt50 這些讀寫方式保證了信息流的單向性。顯然

28、，上讀下寫方式只能保證數(shù)據(jù)的完整性，而上寫下讀方式則保證了信息的安全性，也是多級安全系統(tǒng)必須實(shí)現(xiàn)的。 以圖12-7為例，客體LOGISTIC文件的敏感標(biāo)簽為SECRET VENUS ALPHA，主體Jane的敏感標(biāo)簽為SECRET ALPHA。雖然主體的敏感等級滿足上述讀寫規(guī)則，但是由于主體Jane的類集合當(dāng)中沒有VENUS，所以不能讀此文件，而寫則允許，因?yàn)榭腕wLOGISTIC的敏感等級不低于主體Jane的敏感等級，寫了以后不會降低敏感等級。2/4/2022編輯ppt51 強(qiáng)制訪問控制機(jī)制的特點(diǎn)主要有：一是強(qiáng)制性，這是強(qiáng)制訪問控制的突出特點(diǎn)，除了代表系統(tǒng)的管理員以外，任何主體、客體都不能直接

29、或間接地改變它們的安全屬性。二是限制性，即系統(tǒng)通過比較主體和客體的安全屬性來決定主體能否以它所希望的模式訪問一個客體，這種無法回避的比較限制，將防止某些非法入侵，同時，也不可避免地要對用戶自己的客體施加一些嚴(yán)格的限制。2/4/2022編輯ppt52 12.4 基于角色的訪問控制 基于角色的訪問控制(Role-Based Access Control，RBAC)的核心思想就是：授權(quán)給用戶的訪問權(quán)限通常由用戶在一個組織中擔(dān)當(dāng)?shù)慕巧珌泶_定，如圖12-8所示。在RBAC中，引入了“角色”這一重要的概念，所謂“角色”，是指一個或一群用戶在組織內(nèi)可執(zhí)行的操作的集合。這里的角色就充當(dāng)著主體(用戶)和客體之間

30、的關(guān)系的橋梁。這是與傳統(tǒng)的訪問控制策略的最大區(qū)別所在。2/4/2022編輯ppt53主體角色客體圖12-8 基于角色的訪問控制2/4/2022編輯ppt54一個基于角色的訪問控制的實(shí)例 在銀行環(huán)境中，用戶角色可以定義為出納員、分行管理 者、顧客、系統(tǒng)管理者和審計員 訪問控制策略的一個例子如下： （1）允許一個出納員修改顧客的帳號記錄（包括存款和 取款、轉(zhuǎn)帳等），并允許查詢所有帳號的注冊項(xiàng) （2）允許一個分行管理者修改顧客的帳號記錄（包括存 款和取款，但不包括規(guī)定的資金數(shù)目的范圍）并允許查 詢所有帳號的注冊項(xiàng)，也允許創(chuàng)建和終止帳號 （3）允許一個顧客只詢問他自己的帳號的注冊項(xiàng) （4）允許系統(tǒng)的管

31、理者詢問系統(tǒng)的注冊項(xiàng)和開關(guān)系統(tǒng)， 但不允許讀或修改用戶的帳號信息 （5）允許一個審計員讀系統(tǒng)中的任何數(shù)據(jù)，但不允許修 改任何事情2/4/2022編輯ppt55 Core RBAC 包括五個基本數(shù)據(jù)元素: 用戶users(USERS)、角色roles（ROLES）、 目標(biāo)objects（OBS）、操作operations(OPS)、 許可權(quán)permissions(PRMS) 關(guān)系： 多對多，用戶被分配一定角色，角色被分配一 定的許可權(quán) 會話sessions: 是用戶與激活的角色集合之間的 映射2/4/2022編輯ppt56 角色關(guān)系 偏序關(guān)系（partial orders) 自反(reflexi

32、ve) 傳遞(transitive) 反對稱（anti-symmetric)2/4/2022編輯ppt57 基于角色的訪問控制有以下五個特點(diǎn)。 1) 以角色作為訪問控制的主體 用戶以什么樣的角色對資源進(jìn)行訪問，決定了用戶擁有的權(quán)限以及可執(zhí)行何種操作。 2) 角色繼承 為了提高效率，避免相同權(quán)限的重復(fù)設(shè)置，RBAC采用了“角色繼承”的概念，定義的各類角色，它們都有自己的屬性，但可能還繼承其它角色的屬性和權(quán)限。角色繼承把角色組織起來，能夠很自然地反映組織內(nèi)部人員之間的職權(quán)、責(zé)任關(guān)系。 2/4/2022編輯ppt58 角色繼承可以用祖先關(guān)系來表示，如圖12-9所示，角色2是角色1的“父親”，它包含角

33、色1的屬性和權(quán)限。在角色繼承關(guān)系圖中，處于最上面的角色擁有最大的訪問權(quán)限，越下端的角色擁有的權(quán)限越小。2/4/2022編輯ppt59角色3角色4角色2角色1包含包含包含圖12-9 角色繼承2/4/2022編輯ppt60 3) 最小特權(quán)原則(Least Privilege Theorem) 最小特權(quán)原則是系統(tǒng)安全中最基本的原則之一。所謂最小特權(quán)，是指“在完成某種操作時所賦予網(wǎng)絡(luò)中每個主體(用戶或進(jìn)程)的必不可少的特權(quán)”。最小特權(quán)原則則是指“應(yīng)限定網(wǎng)絡(luò)中每個主體所必須的最小特權(quán)，確保由于可能的事故、錯誤、網(wǎng)絡(luò)部件的篡改等原因造成的損失最小”。換句話說，最小特權(quán)原則是指用戶所擁有的權(quán)利不能超過他執(zhí)行

34、工作時所需的權(quán)限。 2/4/2022編輯ppt61 實(shí)現(xiàn)最小權(quán)限原則，需分清用戶的工作內(nèi)容，確定執(zhí)行該項(xiàng)工作的最小權(quán)限集，然后將用戶限制在這些權(quán)限范圍之內(nèi)。在RBAC中，可以根據(jù)組織內(nèi)的規(guī)章制度、職員的分工等設(shè)計擁有不同權(quán)限的角色，只有角色執(zhí)行所需要的才授權(quán)給角色。當(dāng)一個主體需訪問某資源時，如果該操作不在主體當(dāng)前所扮演的角色授權(quán)操作之內(nèi)，該訪問將被拒絕。 最小特權(quán)原則一方面給予主體“必不可少”的特權(quán)，這就保證了所有的主體都能在所賦予的特權(quán)之下完成所需要完成的任務(wù)或操作；另一方面，它只給予主體“必不可少”的特權(quán)，這就限制了每個主體所能進(jìn)行的操作。 2/4/2022編輯ppt62 職員的分工等設(shè)計擁有不同權(quán)限的角色，只有角色執(zhí)行所需要的才授權(quán)給角色。當(dāng)一個主體需訪問