信息系統(tǒng)安全機(jī)制訪問控制

1、信息系統(tǒng)安全機(jī)制訪問控制第1頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一內(nèi)容概要訪問控制原理自主訪問控制強(qiáng)制訪問控制基于角色的訪問控制常用操作系統(tǒng)中的訪問控制第2頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一概念通常應(yīng)用在信息系統(tǒng)的安全設(shè)計(jì)上。定義：在保障授權(quán)用戶能獲取所需資源的同時(shí)拒絕非授權(quán)用戶的安全機(jī)制。目的：為了限制訪問主體對訪問客體的訪問權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用；它決定用戶能做什么，也決定代表一定用戶身份的進(jìn)程能做什么。未授權(quán)的訪問包括：未經(jīng)授權(quán)的使用、泄露、修改、銷毀信息以及頒發(fā)指令等。非法用戶進(jìn)入系統(tǒng)。合法用戶對系統(tǒng)資源的非法使用。第3頁，共41頁，

2、2022年，5月20日，1點(diǎn)4分，星期一客體（Object）：規(guī)定需要保護(hù)的資源，又稱作目標(biāo)（target)。主體（Subject）：或稱為發(fā)起者(Initiator)，是一個(gè)主動(dòng)的實(shí)體，規(guī)定可以訪問該資源的實(shí)體，（通常指用戶或代表用戶執(zhí)行的程序）。授權(quán)（Authorization)：規(guī)定可對該資源執(zhí)行的動(dòng)作（例如讀、寫、執(zhí)行或拒絕訪問）。第4頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一訪問控制模型基本組成第5頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一任務(wù)識別和確認(rèn)訪問系統(tǒng)的用戶。認(rèn)證鑒權(quán)決定該用戶可以對某一系統(tǒng)資源進(jìn)行何種類型的訪問。授權(quán)審計(jì)第6頁，共41頁，2022年

3、，5月20日，1點(diǎn)4分，星期一訪問控制與其他安全服務(wù)的關(guān)系模型 引用監(jiān) 控器身份認(rèn)證訪問控制授權(quán)數(shù)據(jù)庫用戶目標(biāo)目標(biāo)目標(biāo)目標(biāo)目標(biāo)審 計(jì)安全管理員訪問控制決策單元第7頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一訪問控制的一般實(shí)現(xiàn)機(jī)制和方法一般實(shí)現(xiàn)機(jī)制 基于訪問控制屬性 訪問控制表/矩陣 基于用戶和資源分檔（“安全標(biāo)簽”） 多級訪問控制常見實(shí)現(xiàn)方法 訪問控制表（ACL) 訪問能力表（Capabilities) 授權(quán)關(guān)系表第8頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一訪問矩陣定義客體(O)主體(S)權(quán)限(A)讀(R)寫(W)擁有(Own)執(zhí)行(E)更改(C) 第9頁，共41頁，2

4、022年，5月20日，1點(diǎn)4分，星期一舉例MEM1MEM2File1File2File3File4User1r,w,eo,r,eUser2r,w,eo,r,e問題：稀疏矩陣，浪費(fèi)空間。第10頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一訪問控制類型自主訪問控制強(qiáng)制訪問控制基于角色訪問控制訪問控制第11頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一自主訪問控制Discretionary Access Control第12頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一概念基于對主體或主體所屬的主體組的識別來限制對客體的訪問，這種控制是自主的。自主指主體能夠自主地將訪問權(quán)或訪

5、問權(quán)的某個(gè)子集授予其他主體。如用戶A可將其對目標(biāo)O的訪問權(quán)限傳遞給用戶B,從而使不具備對O訪問權(quán)限的B可訪問O。缺點(diǎn)： 信息在移動(dòng)過程中其訪問權(quán)限關(guān)系會(huì)被改變：安全問題第13頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一訪問控制表（Access Control List）基于訪問控制矩陣列的自主訪問控制。每個(gè)客體都有一張ACL，用于說明可以訪問該客體的主體及其訪問權(quán)限。第14頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一舉例：File1File2File3File4客體目錄User1o,r,wUser2rUser3r,wACL表User1eUser2o,eUser3rUser4

6、eUser2rUser3ro:Ownerr:Readw:Writee:Excute第15頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一oj表示客體j，si.rw表示主體si具有rw屬性。s0.rs1.es2.rwoj第16頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一問題：主體、客體數(shù)量大，影響訪問效率。解決：引入用戶組，用戶可以屬于多個(gè)組。主體標(biāo)識=主體.組名如Liu.INFO表示INFO組的liu用戶。*.INFO表示所有組中的用戶。*.*表示所有用戶。第17頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一表示對INFO組的用戶liu具有rw權(quán)限。*.INFO.rw表

7、示對INFO組的所有用戶具有rw權(quán)限。*.*.rw表示對所有用戶具有rw權(quán)限。Liu.INFO.r*.INFO.e*.*.rwoj第18頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一訪問能力表（Access Capabilities List）基于訪問控制矩陣行的自主訪問控制。為每個(gè)主體（用戶）建立一張?jiān)L問能力表，用于表示主體是否可以訪問客體，以及用什么方式訪問客體。第19頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一File1o,r,wFile2rFile3r,w文件名File2o,eFile3r客體(文件)File1File2File3o:Ownerr:Readw:Writ

8、ee:Excute舉例：權(quán)限用戶A的目錄用戶B的目錄訪問能力表第20頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一強(qiáng)制訪問控制Mandatory Access Control第21頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一概念為所有主體和客體指定安全級別，比如絕密級、機(jī)密級、秘密級、無秘級。不同級別的主體對不同級別的客體的訪問是在強(qiáng)制的安全策略下實(shí)現(xiàn)的。只有安全管理員才能修改客體訪問權(quán)和轉(zhuǎn)移控制權(quán)。（對客體擁有者也不例外）第22頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一MAC模型絕密級機(jī)密級秘密級無秘級寫寫讀讀完整性保密性第23頁，共41頁，2022年，5月20

9、日，1點(diǎn)4分，星期一安全策略保障信息完整性策略級別低的主體可以讀高級別客體的信息（不保密），級別低的主體不能寫高級別的客體（保障信息完整性）保障信息機(jī)密性策略級別低的主體可以寫高級別客體的信息（不保障信息完整性），級別低的主體不可以讀高級別的客體（保密）第24頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一舉例：Security-Enhanced Linux (SELinux) for Red Hat Enterprise LinuxAppArmor for SUSE Linux and UbuntuTrustedBSD for FreeBSD第25頁，共41頁，2022年，5月20日，

10、1點(diǎn)4分，星期一基于角色的訪問控制Role Based Access Control第26頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一概念起源于UNIX系統(tǒng)或別的操作系統(tǒng)中組的概念（基于組的自主訪問控制的變體）每個(gè)角色與一組用戶和有關(guān)的動(dòng)作相互關(guān)聯(lián)，角色中所屬的用戶可以有權(quán)執(zhí)行這些操作角色與組的區(qū)別組：一組用戶的集合角色：一組用戶的集合 + 一組操作權(quán)限的集合第27頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一RBAC模型用 戶角 色權(quán) 限訪問控制資 源1、認(rèn)證2、分派3、請求4、分派5、訪問第28頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一角色控制優(yōu)勢便于授權(quán)管理

11、 授權(quán)操作：n*m 變成 n*r+r*m=r*(n+m)便于角色劃分便于賦予最小特權(quán)便于職責(zé)分擔(dān)便于目標(biāo)分級第29頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一一個(gè)基于角色的訪問控制的實(shí)例在銀行環(huán)境中，用戶角色可以定義為出納員、分行管理者、顧客、系統(tǒng)管理者和審計(jì)員訪問控制策略的一個(gè)例子如下：（1）允許一個(gè)出納員修改顧客的帳號記錄（包括存款和取款、轉(zhuǎn)帳等），并允許查詢所有帳號的注冊項(xiàng)（2）允許一個(gè)分行管理者修改顧客的帳號記錄（包括存款和取款，但不包括規(guī)定的資金數(shù)目的范圍）并允許查詢所有帳號的注冊項(xiàng)，也允許創(chuàng)建和終止帳號第30頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一（3）允許

12、一個(gè)顧客只詢問他自己的帳號的注冊項(xiàng)（4）允許系統(tǒng)的管理者詢問系統(tǒng)的注冊項(xiàng)和開關(guān)系統(tǒng)，但不允許讀或修改用戶的帳號信息（5）允許一個(gè)審計(jì)員讀系統(tǒng)中的任何數(shù)據(jù)，但不允許修改任何事情系統(tǒng)需要添加出納員、分行管理者、顧客、系統(tǒng)管理者和審計(jì)員角色所對應(yīng)的用戶，按照角色的權(quán)限對用于進(jìn)行訪問控制。第31頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一常用操作系統(tǒng)中的訪問控制第32頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一國際安全標(biāo)準(zhǔn)1984年，美國國防部發(fā)布了可信計(jì)算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)（TCSEC），即桔皮書。TCSEC采用等級評估的方法，將計(jì)算機(jī)安全分為A、B、C、D四個(gè)等級八個(gè)級別，D等安全

13、級別最低，A安全級別最高?，F(xiàn)在大多數(shù)通用操作系統(tǒng)（WindowsNT、Linux等）為C2級別，即控制訪問保護(hù)級。第33頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一WindowsNT (自主訪問控制)Windows安全模型Security Account ManagerLocal Security Authority (LSA) Security Reference Monitor第34頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一訪問控制過程組成部件：安全標(biāo)識：帳號的唯一對應(yīng)。訪問令牌：LSA為用戶構(gòu)造的，包括用戶名、所在組名、安全標(biāo)識等。主體：操作和令牌。對象、資源、共享

14、資源安全描述符：為共享資源創(chuàng)建的一組安全屬性所有者安全標(biāo)識、組安全標(biāo)識、自主訪問控制表、系統(tǒng)訪問控制表、訪問控制項(xiàng)。第35頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一登錄過程服務(wù)器為工作站返回安全標(biāo)識，服務(wù)器為本次登錄生成訪問令牌用戶創(chuàng)建進(jìn)程P時(shí)，用戶的訪問令牌復(fù)制為進(jìn)程的訪問令牌。P進(jìn)程訪問對象時(shí)，SRM將進(jìn)程訪問令牌與對象的自主訪問控制表進(jìn)行比較，決定是否有權(quán)訪問對象。第36頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一NTFS的訪問控制從文件中得到安全描述符（包含自主訪問控制表）；與訪問令牌（包含安全標(biāo)識）一起由SRM進(jìn)行訪問檢查第37頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一Linux (自主訪問控制)設(shè)備和目錄同樣看作文件。三種權(quán)限：R:readW:writeX:excute權(quán)限表示：字母表示：rwx，不具有相應(yīng)權(quán)限用-占位8進(jìn)制數(shù)表示：111，不具有相應(yīng)權(quán)限相應(yīng)位記0第38頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一四類用戶：root：超級用戶所有者所屬組其他用戶第39頁，共41頁，2022年，5月20日，1點(diǎn)4分，星期一文件屬性：drwxr-x-x 2 lucy