訪問控制策略課件

2022/12/221計(jì)算機(jī)安全

ComputerSecurity2022/12/191計(jì)算機(jī)安全

ComputerSecu2022/12/222訪問控制策略

2022/12/192訪問控制策略2022/12/223提要訪問控制原理訪問控制策略安全核技術(shù)的理論基礎(chǔ)引用監(jiān)控器引用監(jiān)控器與安全核的關(guān)系引用監(jiān)控器及安全核的使用原則引用監(jiān)控器模型的缺點(diǎn)2022/12/193提要訪問控制原理訪問控制原理訪問控制原理2022/12/225訪問控制是依據(jù)一套為信息系統(tǒng)規(guī)定的安全策略和支持這些安全策略的執(zhí)行機(jī)制實(shí)現(xiàn)的。將兩者分開討論的益處：1.獨(dú)立地討論系統(tǒng)的訪問要求，不與這些要求如何實(shí)現(xiàn)聯(lián)系起來。2.可比較和對比不同的訪問控制策略和執(zhí)行同樣策略的不同機(jī)制。3.允許我們設(shè)計(jì)一個(gè)有能力執(zhí)行多種策略的機(jī)制。2022/12/195訪問控制是依據(jù)一套為信息系統(tǒng)規(guī)定的安全概念通常應(yīng)用在操作系統(tǒng)的安全設(shè)計(jì)上。定義：在保障授權(quán)用戶能獲取所需資源的同時(shí)拒絕非授權(quán)用戶的安全機(jī)制。目的：為了限制訪問主體對訪問客體的訪問權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用；它決定用戶能做什么，也決定代表一定用戶身份的進(jìn)程能做什么。未授權(quán)的訪問包括：未經(jīng)授權(quán)的使用、泄露、修改、銷毀信息以及頒發(fā)指令等。非法用戶進(jìn)入系統(tǒng)。合法用戶對系統(tǒng)資源的非法使用。概念通常應(yīng)用在操作系統(tǒng)的安全設(shè)計(jì)上。訪問控制模型基本組成訪問控制模型基本組成任務(wù)識別和確認(rèn)訪問系統(tǒng)的用戶。決定該用戶可以對某一系統(tǒng)資源進(jìn)行何種類型的訪問。任務(wù)訪問控制與其他安全服務(wù)的關(guān)系模型引用監(jiān)控器身份認(rèn)證訪問控制授權(quán)數(shù)據(jù)庫用戶目標(biāo)目標(biāo)目標(biāo)目標(biāo)目標(biāo)審計(jì)安全管理員訪問控制決策單元訪問控制與其他安全服務(wù)的關(guān)系模型引用監(jiān)身份認(rèn)證訪問控制授權(quán)訪問矩陣定義客體(O)主體(S)權(quán)限(A)讀(R)寫(W)擁有(Own)執(zhí)行(E)更改(C)

訪問矩陣定義客體(O)主體(S)權(quán)限(A)讀(R)寫(W)擁舉例MEM1MEM2File1File2File3File4User1r,w,eo,r,eUser2r,w,eo,r,e問題：稀疏矩陣，浪費(fèi)空間。舉例MEM1MEM2File1File2File3File4訪問控制類型自主訪問控制強(qiáng)制訪問控制基于角色訪問控制訪問控制訪問控制類型自主強(qiáng)制基于角色訪問控制自主訪問控制基于對主體或主體所屬的主體組的識別來限制對客體的訪問，這種控制是自主的。自主指主體能夠自主地將訪問權(quán)或訪問權(quán)的某個(gè)子集授予其他主體。如用戶A可將其對目標(biāo)O的訪問權(quán)限傳遞給用戶B,從而使不具備對O訪問權(quán)限的B可訪問O。缺點(diǎn)：信息在移動(dòng)過程中其訪問權(quán)限關(guān)系會(huì)被改變：安全問題自主訪問控制基于對主體或主體所屬的主體組的識別來限制對客體的訪問控制表（AccessControlList）基于訪問控制矩陣列的自主訪問控制。每個(gè)客體都有一張ACL，用于說明可以訪問該客體的主體及其訪問權(quán)限。訪問控制表（AccessControlList）基于訪問舉例：舉例：oj表示客體j，si.rw表示主體si具有rw屬性。s0.rs1.es2.rwojoj表示客體j，si.rw表示主體si具有rw屬性。s0.r問題：主體、客體數(shù)量大，影響訪問效率。解決：引入用戶組，用戶可以屬于多個(gè)組。主體標(biāo)識=主體.組名如Liu.INFO表示INFO組的liu用戶。*.INFO表示所有組中的用戶。*.*表示所有用戶。問題：liu.INFO.rw表示對INFO組的用戶liu具有rw權(quán)限。*.INFO.rw表示對INFO組的所有用戶具有rw權(quán)限。*.*.rw表示對所有用戶具有rw權(quán)限。Liu.INFO.r*.INFO.e*.*.rwojliu.INFO.rw表示對INFO組的用戶liu具有rw權(quán)訪問能力表

（AccessCapabilitiesList）基于訪問控制矩陣行的自主訪問控制。為每個(gè)主體（用戶）建立一張?jiān)L問能力表，用于表示主體是否可以訪問客體，以及用什么方式訪問客體。訪問能力表

（AccessCapabilitiesLis舉例：舉例：強(qiáng)制訪問控制為所有主體和客體指定安全級別，比如絕密級、機(jī)密級、秘密級、無秘級。不同級別的主體對不同級別的客體的訪問是在強(qiáng)制的安全策略下實(shí)現(xiàn)的。只有安全管理員才能修改客體訪問權(quán)和轉(zhuǎn)移控制權(quán)。（對客體擁有者也不例外）強(qiáng)制訪問控制為所有主體和客體指定安全級別，比如絕密級、機(jī)密級MAC模型絕密級機(jī)密級秘密級無秘級寫寫讀讀完整性保密性MAC模型絕密級機(jī)密級秘密級無秘級寫寫讀讀完整性保密性安全策略保障信息完整性策略級別低的主體可以讀高級別客體的信息（不保密），級別低的主體不能寫高級別的客體（保障信息完整性）保障信息機(jī)密性策略級別低的主體可以寫高級別客體的信息（不保障信息完整性），級別低的主體不可以讀高級別的客體（保密）安全策略舉例：Multics操作系統(tǒng)的訪問控制（保密性策略）：僅當(dāng)用戶的安全級別不低于文件的安全級別時(shí)，用戶才可以讀文件；僅當(dāng)用戶的安全級別不高于文件的安全級別時(shí)，用戶才可以寫文件；舉例：舉例：Security-EnhancedLinux(SELinux)forRedHatEnterpriseLinuxAppArmorforSUSELinuxandUbuntuTrustedBSDforFreeBSD舉例：基于角色的訪問控制起源于UNIX系統(tǒng)或別的操作系統(tǒng)中組的概念（基于組的自主訪問控制的變體）每個(gè)角色與一組用戶和有關(guān)的動(dòng)作相互關(guān)聯(lián)，角色中所屬的用戶可以有權(quán)執(zhí)行這些操作角色與組的區(qū)別組：一組用戶的集合角色：一組用戶的集合+一組操作權(quán)限的集合適合專用目的的計(jì)算機(jī)系統(tǒng)，比如軍用計(jì)算機(jī)系統(tǒng)。基于角色的訪問控制起源于UNIX系統(tǒng)或別的操作系統(tǒng)中組的概念RBAC模型用戶角色權(quán)限訪問控制資源1、認(rèn)證2、分派3、請求4、分派5、訪問RBAC模型用戶角色權(quán)限訪問控制一個(gè)基于角色的訪問控制的實(shí)例在銀行環(huán)境中，用戶角色可以定義為出納員、分行管理者、顧客、系統(tǒng)管理者和審計(jì)員訪問控制策略的一個(gè)例子如下：（1）允許一個(gè)出納員修改顧客的帳號記錄（包括存款和取款、轉(zhuǎn)帳等），并允許查詢所有帳號的注冊項(xiàng)（2）允許一個(gè)分行管理者修改顧客的帳號記錄（包括存款和取款，但不包括規(guī)定的資金數(shù)目的范圍）并允許查詢所有帳號的注冊項(xiàng)，也允許創(chuàng)建和終止帳號一個(gè)基于角色的訪問控制的實(shí)例在銀行環(huán)境中，用戶角色可以定義為（3）允許一個(gè)顧客只詢問他自己的帳號的注冊項(xiàng)（4）允許系統(tǒng)的管理者詢問系統(tǒng)的注冊項(xiàng)和開關(guān)系統(tǒng)，但不允許讀或修改用戶的帳號信息（5）允許一個(gè)審計(jì)員讀系統(tǒng)中的任何數(shù)據(jù)，但不允許修改任何事情系統(tǒng)需要添加出納員、分行管理者、顧客、系統(tǒng)管理者和審計(jì)員角色所對應(yīng)的用戶，按照角色的權(quán)限對用于進(jìn)行訪問控制。（3）允許一個(gè)顧客只詢問他自己的帳號的注冊項(xiàng)2022/12/2230保護(hù)系統(tǒng)的訪問矩陣模型操作系統(tǒng)的訪問矩陣模型是由lampsonDenning在20世紀(jì)70年代初提出，后經(jīng)Graham和Denning相繼改進(jìn)的。

數(shù)據(jù)庫系統(tǒng)的訪問矩陣模型是Coway在Cornell大學(xué)提出的。2022/12/1930保護(hù)系統(tǒng)的訪問矩陣模型操作系統(tǒng)的訪問2022/12/2231保護(hù)系統(tǒng)的訪問矩陣模型模型是用狀態(tài)和狀態(tài)轉(zhuǎn)換的概念定義。其中的狀態(tài)是用訪問矩陣表示的，狀態(tài)轉(zhuǎn)換是用命令描述的。該模型的特點(diǎn)：簡明：易懂、易理解、易證明；通用：有能力綜合不同策略和應(yīng)用于多種實(shí)現(xiàn)；精確：有能力忠實(shí)地反映策略和系統(tǒng)形態(tài)；與數(shù)據(jù)式樣無關(guān)。2022/12/1931保護(hù)系統(tǒng)的訪問矩陣模型模型是用狀態(tài)和2022/12/2232保護(hù)系統(tǒng)的訪問矩陣模型訪問矩陣模型是描述保護(hù)系統(tǒng)的一種有效手段，能夠應(yīng)用在以下方面：1.為研究提供框架：可為安全理論研究提供一個(gè)基礎(chǔ)，允許研究者把注意力集中在問題突出的特型上，毋需顧及實(shí)現(xiàn)細(xì)節(jié)；2.用作設(shè)計(jì)工具：即用于概括在構(gòu)造的系統(tǒng)的實(shí)現(xiàn)目標(biāo)，以指導(dǎo)設(shè)計(jì)；3.證明“設(shè)計(jì)與實(shí)現(xiàn)”的正確性工具：因?yàn)槟Ｐ褪切问交?，允許做出形式斷言并對其進(jìn)行改進(jìn)；4.用作教育工具：形式化模型免去了自然語言陳述的模糊性，同時(shí)它不反映系統(tǒng)的細(xì)節(jié)，容易理解其實(shí)質(zhì)；5.用作比較和評估的工具。2022/12/1932保護(hù)系統(tǒng)的訪問矩陣模型2022/12/2233訪問矩陣模型三類要素：系統(tǒng)中的客體集O，是系統(tǒng)中被訪問因而也是被保護(hù)的對對象，如文件、程序、存儲區(qū)等；每一個(gè)客體o∈O可由它們的名字唯一地標(biāo)識別與識別；系統(tǒng)中的主體集S，是系統(tǒng)中訪問操作的發(fā)起者，如用戶、進(jìn)程、執(zhí)行域等；每一個(gè)主體s∈S可由它們的名字唯一地標(biāo)識別與識別；鑒于主體和客體之間存在控制與被控制的關(guān)系，故認(rèn)為主體也是一種類型的客體，因此有S∈O；系統(tǒng)中主體對客體的訪問權(quán)限集合R，O、S、R三者之間的關(guān)系是以矩陣A的形式表示的，它的行對應(yīng)某個(gè)主體，列對應(yīng)某個(gè)客體，集合R是矩陣的項(xiàng)（元素）的集合，每個(gè)項(xiàng)用A[s,o]表示，其中存放著主體s對客體o的訪問權(quán)或某些特權(quán)。2022/12/1933訪問矩陣模型三類要素：2022/12/2234訪問矩陣模型一個(gè)實(shí)例：M1M2F1F2P1P2P1r,w,eown,r,ep2r,w,eown,r,e2022/12/1934訪問矩陣模型一個(gè)實(shí)例：M1M22022/12/2235訪問控制的概念是與安全核技術(shù)聯(lián)系在一起的。1971年，Lampson提出了引用監(jiān)控器的設(shè)想。其思想是所有主體必須根據(jù)系統(tǒng)存取授權(quán)表來實(shí)現(xiàn)對客體的存取，對客體的每次存取以及授權(quán)的改變都必須通過引用監(jiān)控器。1972年，RorerSchell提出了安全核的概念，并把它定義為實(shí)現(xiàn)引用監(jiān)控器的軟件與硬件。1974年，Mitre證實(shí)了構(gòu)筑安全內(nèi)核的可能性。2022/12/1935訪問控制的概念是與安全核技術(shù)聯(lián)系在一2022/12/2236訪問矩陣模型數(shù)據(jù)庫系統(tǒng)的訪問矩陣模型主體通常是用戶，客體是文件、關(guān)系、記錄或記錄中的字段。每一項(xiàng)A[s,o]是一條訪問規(guī)則，說明用戶s可以訪問客體o的條件和允許s在o上完成的運(yùn)算。訪問規(guī)則是訪問權(quán)概念的推廣。規(guī)則可以說明內(nèi)容無關(guān)條件（即能否訪問的條件與被訪問的客體的內(nèi)容無關(guān)）或內(nèi)容相關(guān)條件。其他還有時(shí)間相關(guān)、上下文相關(guān)、歷史相關(guān)等。2022/12/1936訪問矩陣模型數(shù)據(jù)庫系統(tǒng)的訪問矩陣模型2022/12/2237訪問矩陣模型數(shù)據(jù)庫系統(tǒng)的訪問矩陣模型數(shù)據(jù)庫的訪問規(guī)則通常用四元組（s,o,r,p）形式給出，其中p是謂詞表達(dá)的相關(guān)條件。例如：工資管理員只能讀月工資不大于200元的雇員的屬性表示為：（s,o,r,p）=（工資管理員，EMPLOEE，READ，SALARY≤200）2022/12/1937訪問矩陣模型數(shù)據(jù)庫系統(tǒng)的訪問矩陣模型2022/12/2238安全核與引用監(jiān)控器2022/12/1938安全核與引用監(jiān)控器2022/12/2239引用監(jiān)視器（ReferenceMonitor）最簡單的訪問控制模型是引用監(jiān)視器，好比用戶與目標(biāo)之間帶護(hù)衛(wèi)的大門。引用監(jiān)視器的概念是與安全核技術(shù)聯(lián)系在一起的。安全核是RogerSchell在1972年首次提出的，并把它定義為引用監(jiān)視器的軟件與硬件。在后來的發(fā)展中把引用監(jiān)視器作為是用安全核技術(shù)的保護(hù)系統(tǒng)的模型，它是負(fù)責(zé)實(shí)施系統(tǒng)安全策略的硬件與軟件的復(fù)合體。2022/12/1939引用監(jiān)視器（ReferenceMo2022/12/2240引用監(jiān)控器與安全核的關(guān)系引用監(jiān)控器只是一個(gè)學(xué)術(shù)概念，并不涉及實(shí)現(xiàn)它的具體方法。安全核則是一種實(shí)現(xiàn)引用監(jiān)控器的技術(shù)。雖然還有其它系統(tǒng)構(gòu)造方法也能夠滿足引用監(jiān)控器的要求，但是沒有一種方法像安全核那樣普遍。因此，常常把引用監(jiān)控器的概念與安全核等同看待，特別是在討論原理性問題時(shí)，這兩個(gè)術(shù)語常?？梢曰Q使用。2022/12/1940引用監(jiān)控器與安全核的關(guān)系引用監(jiān)控器只2022/12/2241安全核技術(shù)的理論基礎(chǔ)在一個(gè)大的操作系統(tǒng)內(nèi)，只有相對比較小的一部分軟件負(fù)責(zé)實(shí)施系統(tǒng)安全。通過對操作系統(tǒng)的重構(gòu)，將與安全有關(guān)的軟件隔離在操作系統(tǒng)的一個(gè)可信核內(nèi)，而操作系統(tǒng)的大部分軟件無需負(fù)責(zé)系統(tǒng)安全。安全核部分包括硬件與一個(gè)鑲嵌的硬件與操作系統(tǒng)之間的軟件層，這些軟／硬件是可信的，并且位于安全防線之內(nèi)；與此對應(yīng)的，操作系統(tǒng)位于安全防線之外，與應(yīng)用程序結(jié)合在一起，是不可信的。2022/12/1941安全核技術(shù)的理論基礎(chǔ)在一個(gè)大的操作系2022/12/2242在絕大多數(shù)情況下，安全核就是一個(gè)初級的操作系統(tǒng)。安全核為操作系統(tǒng)提供服務(wù)，正如操作系統(tǒng)為應(yīng)用程序提供服務(wù)一樣。同時(shí)，正如操作系統(tǒng)對應(yīng)用程序設(shè)置一些必要的限制一樣，安全核對操作系統(tǒng)也要提出一些限制，雖然操作系統(tǒng)在實(shí)施由安全核實(shí)現(xiàn)的安全策略方面不起任何作用，但操作系統(tǒng)要保證系統(tǒng)的運(yùn)行并且要防止由于程序錯(cuò)誤或惡性程序引起的拒絕服務(wù)，在應(yīng)用程序或操作系統(tǒng)中的任何錯(cuò)誤都不能違反安全策略。2022/12/1942在絕大多數(shù)情況下，安全核就是一個(gè)初級2022/12/2243在構(gòu)造高度安全的操作系統(tǒng)時(shí)，安全核技術(shù)是目前唯一最常用的技術(shù)。但這并不是說可以很容易地買到一個(gè)或者可以十分容易地構(gòu)造一個(gè)安全核，也不是說基于安全核的系統(tǒng)就是最安全的。2022/12/1943在構(gòu)造高度安全的操作系統(tǒng)時(shí)，安全核技2022/12/2244引用監(jiān)控器模型引用監(jiān)控器是負(fù)責(zé)實(shí)施系統(tǒng)安全策略的硬件與軟件的組合體，可看作是使用安全核技術(shù)的保護(hù)系統(tǒng)的模型。引用監(jiān)控器的關(guān)鍵作用是要對主體到到客體的每一次訪問都要實(shí)施控制，并對每一次訪問活動(dòng)進(jìn)行審計(jì)記錄，當(dāng)用戶需要訪問目標(biāo)的時(shí)候，首先向監(jiān)控器提出訪問請求，監(jiān)控器根據(jù)用戶請求核查訪問者的權(quán)限，以便確定是否允許這次訪問。2022/12/1944引用監(jiān)控器模型引用監(jiān)控器是負(fù)責(zé)實(shí)施系2022/12/2245引用監(jiān)控器用來處理資源的訪問控制這一特定的安全要求。這里安全策略的具體體現(xiàn)是訪問判定，而訪問判定則以訪問控制數(shù)據(jù)庫中的抽象信息為依據(jù)。在訪問控制數(shù)據(jù)庫中，抽象信息包括系統(tǒng)的安全狀態(tài)以及安全屬性與訪問權(quán)限等信息，體現(xiàn)了系統(tǒng)的安全控制條件。訪問控制數(shù)據(jù)庫，它隨著主、客體的增加與刪除以及訪問權(quán)限與安全屬性的改變而改變。2022/12/1945引用監(jiān)控器用來處理資源的訪問控制這一2022/12/2246對訪問控制數(shù)據(jù)庫的任何修改都要按一定的安全策略受引用監(jiān)控器的控制。所有主體對客體的訪問都要利用存于訪問控制數(shù)據(jù)庫中的訪問控制信息，并根據(jù)引用監(jiān)控器中的安全策略由引用監(jiān)控器進(jìn)行監(jiān)督和限制。系統(tǒng)中發(fā)生的重要安全事件都存于審計(jì)文件中，以便跟蹤、分析和審計(jì)。2022/12/1946對訪問控制數(shù)據(jù)庫的任何修改都要按一定2022/12/2247在計(jì)算機(jī)出現(xiàn)的初期，曾使用監(jiān)控器來識別系統(tǒng)中的程序，它控制著其它程序的運(yùn)行。隨著系統(tǒng)功能的不斷提高，監(jiān)控器變得越來越大，又開始把它稱作操作系統(tǒng)。而監(jiān)控器這個(gè)術(shù)語只用來表示初級的操作系統(tǒng)。引用監(jiān)控器是一種特殊的監(jiān)控器，它僅負(fù)責(zé)控制對系統(tǒng)資源的訪問。通常，與安全有關(guān)的其它系統(tǒng)功能也位于安全防線內(nèi)，但它們并不是引用監(jiān)控器的組成部分，一般把它們稱作可信系統(tǒng)功能。在系統(tǒng)安全防線外的所有系統(tǒng)功能都由操作系統(tǒng)來管理。2022/12/1947在計(jì)算機(jī)出現(xiàn)的初期，曾使用監(jiān)控器來識2022/12/2248引用監(jiān)控器及安全核的使用原則引用監(jiān)控器及其對應(yīng)的安全核必須滿足以下三個(gè)原則：完備性原則隔離性原則可驗(yàn)證性原則2022/12/1948引用監(jiān)控器及安全核的使用原則引用監(jiān)控2022/12/2249完備性原則主體在沒有對安全內(nèi)核的引用監(jiān)控器請求并獲準(zhǔn)時(shí)，不能訪問客體。也就是講，所有的信息訪問都必須經(jīng)過安全內(nèi)核。完備性原則要求支持安全內(nèi)核結(jié)構(gòu)的系統(tǒng)硬件必須保證任何程序都要經(jīng)過安全核的控制進(jìn)行訪問。由于內(nèi)核必須使各個(gè)進(jìn)程獨(dú)立，并保證未通過內(nèi)核檢查的各進(jìn)程不能相互聯(lián)系，因此，若一臺機(jī)器的硬件允許所有進(jìn)程不加約束就能訪問物理內(nèi)存的公共頁面，這種機(jī)器就不適合于建立安全內(nèi)核。2022/12/1949完備性原則主體在沒有對安全內(nèi)核的引用2022/12/2250隔離性原則它本身不能校篡改。隔離性要求內(nèi)核有防篡改能力。實(shí)現(xiàn)時(shí)必須將映射引用監(jiān)控器的安全核與外部系統(tǒng)嚴(yán)密地隔離起來，以防止進(jìn)程對安全核進(jìn)行非法修改。實(shí)現(xiàn)隔離性原則也需要硬件與軟件的支持。硬件的作用是使內(nèi)核能防止用戶程序訪問內(nèi)核代碼和數(shù)據(jù)，這與完整性原則中內(nèi)核防止進(jìn)程之間非法通信是屬于同一種內(nèi)存管理機(jī)制。此外，還必須防止用戶程序執(zhí)行內(nèi)核用于內(nèi)存管理的特權(quán)指令。當(dāng)然，這些對內(nèi)存訪問的控制可以多層環(huán)域技術(shù)來實(shí)現(xiàn)，也可以把內(nèi)核代碼裝入系統(tǒng)的ROM中來提供更強(qiáng)的隔離性。2022/12/1950隔離性原則它本身不能校篡改。隔離性要2022/12/2251驗(yàn)證性原則它本身的正確性能得到證明或驗(yàn)證。為了滿足可驗(yàn)證性，引用監(jiān)控器模型應(yīng)該能夠精確地定義安全的含義，盡可能地從中盡量剔除與安全無關(guān)的功能，使內(nèi)核盡可能小，盡可能使內(nèi)核接口功能簡單明快。并且還要證明模型中的功能與安全的定義是一致的。為了使內(nèi)核具有可驗(yàn)證性，應(yīng)當(dāng)支持安全內(nèi)核可驗(yàn)證性的基本技術(shù)是建立安全內(nèi)核的數(shù)學(xué)模型，然后對模型進(jìn)行形式化的或者非形式化的一致性論證。模型的構(gòu)造方法應(yīng)該有利于使模型本身的安全性得到某種相應(yīng)的證明。2022/12/1951驗(yàn)證性原則它本身的正確性能得到證明或2022/12/2252實(shí)踐中的問題剛提出引用監(jiān)控器概念時(shí)，人們認(rèn)為能夠構(gòu)造一個(gè)足夠小的安全核來窮盡測試驗(yàn)證，且認(rèn)為模型與實(shí)現(xiàn)間的一致性可通過測試由模型所定義的系統(tǒng)的所有安全狀態(tài)來證明，至少可以使足夠多的狀態(tài)滿足測試要求，使得安全漏洞幾乎不可能出現(xiàn)。但從實(shí)際中看，除非安全核具有簡單功能，否則要想進(jìn)行全面徹底的測試是不可能的。迄今為止，沒有哪個(gè)大系統(tǒng)能完全滿足上述所有三項(xiàng)原則。此外，單純的測試還不足以證明安全核的安全性，還必須進(jìn)行模型到代碼之間的一致性驗(yàn)證。因此，引用監(jiān)控器方法是盡可能遵循這三項(xiàng)原則，但任何人都不能擔(dān)保一個(gè)基于安全內(nèi)核的系統(tǒng)是完全絕對安全的。2022/12/1952實(shí)踐中的問題剛提出引用監(jiān)控器概念時(shí)，2022/12/2253引用監(jiān)控器模型的缺點(diǎn)引用監(jiān)控器模型的優(yōu)點(diǎn)是易于實(shí)現(xiàn)。但有以下不足：引用監(jiān)控器主要還是作為單級安全模型使用的，受監(jiān)視的目標(biāo)要么允許被訪問，要么不允許被訪問。受監(jiān)控的目標(biāo)只有簡單的安全性，即二級安全性。監(jiān)視器模型不適應(yīng)更復(fù)雜的安全要求。2022/12/1953引用監(jiān)控器模型的缺點(diǎn)引用監(jiān)控器模型的2022/12/2254系統(tǒng)中所有對受監(jiān)控目標(biāo)的訪問要求都由監(jiān)控器檢查核實(shí)，監(jiān)控程序?qū)⒈活l繁調(diào)用，這將使監(jiān)控器可能成為整個(gè)系統(tǒng)的瓶頸，影響系統(tǒng)效率。如果允許監(jiān)視器記錄下某用戶第一次訪問時(shí)用戶的權(quán)限信息，以便在該用戶以后的訪問中直接查詢這些權(quán)限信息。雖然這樣可以加快訪問速度，但這種處理方法容易產(chǎn)生安全漏洞，不能滿足高安全級別系統(tǒng)的要求。例如C2級系統(tǒng)就要求對每一個(gè)主體的每一次訪問都必須進(jìn)行身份核查。2022/12/1954系統(tǒng)中所有對受監(jiān)控目標(biāo)的訪問要求都由2022/12/2255監(jiān)控器只能控制直接訪問，不能控制間接訪問。假設(shè)只有用戶A有權(quán)接收機(jī)要文件并負(fù)責(zé)登記工作，把收到的文件標(biāo)題與收到日期記錄到計(jì)算機(jī)文件FILE中；用戶B無權(quán)接收機(jī)要文件，也無權(quán)閱讀FILE的內(nèi)容，但有權(quán)瀏覽文件目錄和文件的屬性（如文件長度、修改日期等）。用戶B可以根據(jù)FILE文件的修改日期和文件的長度變化判斷用戶A是否收到新的機(jī)要文件。監(jiān)控器模型無法不讓B間接獲得這種信息。這是一種信息流控制問題，我們將在以后討論。2022/12/1955監(jiān)控器只能控制直接訪問，不能控制間接2022/12/2256也有不少系統(tǒng)采用安全核技術(shù)去實(shí)現(xiàn)多級安全功能，實(shí)現(xiàn)BLP模型的自主與強(qiáng)制安全策略。安全核技術(shù)一般提供兩種典型的支持自主訪問控制的功能：提供一種直接的核調(diào)用，它允許一個(gè)用戶（或一個(gè)進(jìn)程）對某個(gè)客體設(shè)置訪問權(quán)；對主體到客體的每一次訪問都按所設(shè)置的訪問權(quán)進(jìn)行訪問監(jiān)控。根據(jù)自主訪問控制的規(guī)則，允許一個(gè)合法的用戶自主地將它擁有的客體訪問權(quán)分配給其它用戶。而安全核雖然可以對主體修改客體訪問權(quán)的操作加以控制，但并不能控制對客體設(shè)置何種訪問權(quán)，這就使特洛伊木馬攻擊有可乘之機(jī)了。雖然也可以采取一些措施加以防范，但終，因訪問監(jiān)控器模型本身的缺陷，無法從根本上解決問題。2022/12/1956也有不少系統(tǒng)采用安全核技術(shù)去實(shí)現(xiàn)多級2022/12/2257狀態(tài)轉(zhuǎn)換保護(hù)系統(tǒng)的狀態(tài)變化體現(xiàn)為訪問模式的變化，系統(tǒng)狀態(tài)的轉(zhuǎn)換是依靠一套本原命令來實(shí)現(xiàn)的，這些命令是用一系列改變訪問矩陣內(nèi)容的本原操作來定義的。在訪問矩陣模型中定義了6個(gè)本原操作，如下表所示：2022/12/1957狀態(tài)轉(zhuǎn)換保護(hù)系統(tǒng)的狀態(tài)變化體現(xiàn)為訪問2022/12/22582022/12/1958這些操作是以訪問矩陣中一定主、客體和權(quán)利是否存在為條件的，并負(fù)責(zé)對系統(tǒng)保護(hù)狀態(tài)監(jiān)控器的控制。假定命令執(zhí)行前，系統(tǒng)的保護(hù)狀態(tài)是Q=（S，O，A）；當(dāng)某命令執(zhí)行后，系統(tǒng)地保護(hù)狀態(tài)變?yōu)镼’=(S’,O’,A’);每條命令執(zhí)行的條件和執(zhí)行后形成的新狀態(tài)Q’。2022/12/2259這些操作是以訪問矩陣中一定主、客體和權(quán)利是否存在為條件的，并這里r表示權(quán)利，s和o表示1到k之間的整數(shù)。一個(gè)命令的條件可能為空。但假定每條命令至少完成一個(gè)操作。2022/12/2260這里r表示權(quán)利，s和o表示1到k之間的整數(shù)。2022/12/2022/12/22西安電子科技大學(xué)計(jì)算機(jī)與網(wǎng)絡(luò)安全教育部重點(diǎn)實(shí)驗(yàn)室612022/12/19西安電子科技大學(xué)模型評價(jià)訪問矩陣模型具有以下優(yōu)點(diǎn)：簡明—易懂、易理解、易證明。通用—有能力綜合不同策略和應(yīng)用于多種實(shí)現(xiàn)。精確—有能力忠實(shí)地反映策略和系統(tǒng)形態(tài)。與數(shù)據(jù)式樣無關(guān)。2022/12/2262模型評價(jià)訪問矩陣模型具有以下優(yōu)點(diǎn)：2022/12/1962模型評價(jià)基于訪問矩陣的訪問控制模型在擁有它無可比擬的優(yōu)點(diǎn)的同時(shí)，也有其本身設(shè)計(jì)帶來的缺點(diǎn)：如果不詳細(xì)檢查整個(gè)訪問矩陣，很難保證系統(tǒng)的安全性；在大型系統(tǒng)中，訪問矩陣非常龐大，但其中很多元素是空的，因此以矩陣的方法來實(shí)現(xiàn)訪問矩陣是不太現(xiàn)實(shí)的；由于客體的擁有者能夠授予或取消其它主體對該客體的訪問權(quán)限，這就造成了很難預(yù)測訪問權(quán)限是在系統(tǒng)中是如何傳播的，給系統(tǒng)的管理造成了很大的困難。不能防范特洛伊木馬。它無法實(shí)現(xiàn)多級安全策略。2022/12/2263模型評價(jià)基于訪問矩陣的訪問控制模型在擁有它無可比擬的優(yōu)點(diǎn)的同模型的實(shí)現(xiàn)方法1、訪問控制列表(AccessControlLists)較流行的實(shí)現(xiàn)訪問矩陣的方法是訪問控制列表，又稱為ACLs.在這種實(shí)現(xiàn)方法中，每一個(gè)客體與一個(gè)ACL相對應(yīng)：指明系統(tǒng)中的每一個(gè)主體獲得對此客體的訪問的相應(yīng)授權(quán)，如讀、寫、執(zhí)行等等。2022/12/22西安電子科技大學(xué)計(jì)算機(jī)與網(wǎng)絡(luò)安全教育部重點(diǎn)實(shí)驗(yàn)室64模型的實(shí)現(xiàn)方法1、訪問控制列表(AccessContro2022/12/22西安電子科技大學(xué)計(jì)算機(jī)與網(wǎng)絡(luò)安全教育部重點(diǎn)實(shí)驗(yàn)室65文件File1的訪問控制列表(ACLs)2022/12/19西安電子科技大學(xué)2．權(quán)能(Capabilities)列表相對于訪問控制列表ACLs基于客體來實(shí)現(xiàn)訪問矩陣來說，權(quán)能列表則是基于主體來實(shí)現(xiàn)訪問矩陣的。在這種方法中，每一個(gè)主體與一稱為“權(quán)能列表(Capabilities

Lists)”的列表相聯(lián)系，該列表指明系統(tǒng)中的某一個(gè)主體擁有對哪些客體的訪問權(quán)限。這種方法相應(yīng)于將訪問矩陣以行的方式來存儲。2022/12/22西安電子科技大學(xué)計(jì)算機(jī)與網(wǎng)絡(luò)安全教育部重點(diǎn)實(shí)驗(yàn)室662．權(quán)能(Capabilities)列表2022/12/192022/12/22西安電子科技大學(xué)計(jì)算機(jī)與網(wǎng)絡(luò)安全教育部重點(diǎn)實(shí)驗(yàn)室67主體Sunny的權(quán)能列表(CLs)Sunny2022/12/19西安電子科技大學(xué)常用操作系統(tǒng)中的訪問控制

（選講）常用操作系統(tǒng)中的訪問控制

（選講）現(xiàn)在大多數(shù)通用操作系統(tǒng)（WindowsNT、Linux等）為C2級別，即控制訪問保護(hù)級?，F(xiàn)在大多數(shù)通用操作系統(tǒng)（WindowsNT、Linux等）為WindowsNT(自主訪問控制)Windows安全模型SecurityAccountManagerLocalSecurityAuthority(LSA)

SecurityReferenceMonitorWindowsNT(自主訪問控制)Windows安全模型S訪問控制過程組成部件：安全標(biāo)識：帳號的唯一對應(yīng)。訪問令牌：LSA為用戶構(gòu)造的，包括用戶名、所在組名、安全標(biāo)識等。主體：操作和令牌。對象、資源、共享資源安全描述符：為共享資源創(chuàng)建的一組安全屬性所有者安全標(biāo)識、組安全標(biāo)識、自主訪問控制表、系統(tǒng)訪問控制表、訪問控制項(xiàng)。訪問控制過程登錄過程服務(wù)器為工作站返回安全標(biāo)識，服務(wù)器為本次登錄生成訪問令牌用戶創(chuàng)建進(jìn)程P時(shí)，用戶的訪問令牌復(fù)制為進(jìn)程的訪問令牌。P進(jìn)程訪問對象時(shí)，SRM將進(jìn)程訪問令牌與對象的自主訪問控制表進(jìn)行比較，決定是否有權(quán)訪問對象。登錄過程N(yùn)TFS的訪問控制從文件中得到安全描述符（包含自主訪問控制表）；與訪問令牌（包含安全標(biāo)識）一起由SRM進(jìn)行訪問檢查NTFS的訪問控制Linux(自主訪問控制)設(shè)備和目錄同樣看作文件。三種權(quán)限：R:readW:writeX:excute權(quán)限表示：字母表示：rwx，不具有相應(yīng)權(quán)限用-占位8進(jìn)制數(shù)表示：111，不具有相應(yīng)權(quán)限相應(yīng)位記0Linux(自主訪問控制)設(shè)備和目錄同樣看作文件。四類用戶：root：超級用戶，god所有者所屬組其他用戶四類用戶：文件屬性：drwxr-x--x

2

lucywork1024Jun2522:53text安全屬性：drwxr-x--x

所有者，所屬組：lucy.work安全屬性后9個(gè)字母規(guī)定了對所有者、所屬組、其他用戶的權(quán)限（各3位）。lucy.work.rwx*.work.x*.*.xtext文件屬性：lucy.work.rwx*.work.x*.*.2022/12/2277Thanks2022/12/1977Thanks2022/12/2278計(jì)算機(jī)安全

ComputerSecurity2022/12/191計(jì)算機(jī)安全

ComputerSecu2022/12/2279訪問控制策略

2022/12/192訪問控制策略2022/12/2280提要訪問控制原理訪問控制策略安全核技術(shù)的理論基礎(chǔ)引用監(jiān)控器引用監(jiān)控器與安全核的關(guān)系引用監(jiān)控器及安全核的使用原則引用監(jiān)控器模型的缺點(diǎn)2022/12/193提要訪問控制原理訪問控制原理訪問控制原理2022/12/2282訪問控制是依據(jù)一套為信息系統(tǒng)規(guī)定的安全策略和支持這些安全策略的執(zhí)行機(jī)制實(shí)現(xiàn)的。將兩者分開討論的益處：1.獨(dú)立地討論系統(tǒng)的訪問要求，不與這些要求如何實(shí)現(xiàn)聯(lián)系起來。2.可比較和對比不同的訪問控制策略和執(zhí)行同樣策略的不同機(jī)制。3.允許我們設(shè)計(jì)一個(gè)有能力執(zhí)行多種策略的機(jī)制。2022/12/195訪問控制是依據(jù)一套為信息系統(tǒng)規(guī)定的安全概念通常應(yīng)用在操作系統(tǒng)的安全設(shè)計(jì)上。定義：在保障授權(quán)用戶能獲取所需資源的同時(shí)拒絕非授權(quán)用戶的安全機(jī)制。目的：為了限制訪問主體對訪問客體的訪問權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用；它決定用戶能做什么，也決定代表一定用戶身份的進(jìn)程能做什么。未授權(quán)的訪問包括：未經(jīng)授權(quán)的使用、泄露、修改、銷毀信息以及頒發(fā)指令等。非法用戶進(jìn)入系統(tǒng)。合法用戶對系統(tǒng)資源的非法使用。概念通常應(yīng)用在操作系統(tǒng)的安全設(shè)計(jì)上。訪問控制模型基本組成訪問控制模型基本組成任務(wù)識別和確認(rèn)訪問系統(tǒng)的用戶。決定該用戶可以對某一系統(tǒng)資源進(jìn)行何種類型的訪問。任務(wù)訪問控制與其他安全服務(wù)的關(guān)系模型引用監(jiān)控器身份認(rèn)證訪問控制授權(quán)數(shù)據(jù)庫用戶目標(biāo)目標(biāo)目標(biāo)目標(biāo)目標(biāo)審計(jì)安全管理員訪問控制決策單元訪問控制與其他安全服務(wù)的關(guān)系模型引用監(jiān)身份認(rèn)證訪問控制授權(quán)訪問矩陣定義客體(O)主體(S)權(quán)限(A)讀(R)寫(W)擁有(Own)執(zhí)行(E)更改(C)

訪問矩陣定義客體(O)主體(S)權(quán)限(A)讀(R)寫(W)擁舉例MEM1MEM2File1File2File3File4User1r,w,eo,r,eUser2r,w,eo,r,e問題：稀疏矩陣，浪費(fèi)空間。舉例MEM1MEM2File1File2File3File4訪問控制類型自主訪問控制強(qiáng)制訪問控制基于角色訪問控制訪問控制訪問控制類型自主強(qiáng)制基于角色訪問控制自主訪問控制基于對主體或主體所屬的主體組的識別來限制對客體的訪問，這種控制是自主的。自主指主體能夠自主地將訪問權(quán)或訪問權(quán)的某個(gè)子集授予其他主體。如用戶A可將其對目標(biāo)O的訪問權(quán)限傳遞給用戶B,從而使不具備對O訪問權(quán)限的B可訪問O。缺點(diǎn)：信息在移動(dòng)過程中其訪問權(quán)限關(guān)系會(huì)被改變：安全問題自主訪問控制基于對主體或主體所屬的主體組的識別來限制對客體的訪問控制表（AccessControlList）基于訪問控制矩陣列的自主訪問控制。每個(gè)客體都有一張ACL，用于說明可以訪問該客體的主體及其訪問權(quán)限。訪問控制表（AccessControlList）基于訪問舉例：舉例：oj表示客體j，si.rw表示主體si具有rw屬性。s0.rs1.es2.rwojoj表示客體j，si.rw表示主體si具有rw屬性。s0.r問題：主體、客體數(shù)量大，影響訪問效率。解決：引入用戶組，用戶可以屬于多個(gè)組。主體標(biāo)識=主體.組名如Liu.INFO表示INFO組的liu用戶。*.INFO表示所有組中的用戶。*.*表示所有用戶。問題：liu.INFO.rw表示對INFO組的用戶liu具有rw權(quán)限。*.INFO.rw表示對INFO組的所有用戶具有rw權(quán)限。*.*.rw表示對所有用戶具有rw權(quán)限。Liu.INFO.r*.INFO.e*.*.rwojliu.INFO.rw表示對INFO組的用戶liu具有rw權(quán)訪問能力表

（AccessCapabilitiesList）基于訪問控制矩陣行的自主訪問控制。為每個(gè)主體（用戶）建立一張?jiān)L問能力表，用于表示主體是否可以訪問客體，以及用什么方式訪問客體。訪問能力表

（AccessCapabilitiesLis舉例：舉例：強(qiáng)制訪問控制為所有主體和客體指定安全級別，比如絕密級、機(jī)密級、秘密級、無秘級。不同級別的主體對不同級別的客體的訪問是在強(qiáng)制的安全策略下實(shí)現(xiàn)的。只有安全管理員才能修改客體訪問權(quán)和轉(zhuǎn)移控制權(quán)。（對客體擁有者也不例外）強(qiáng)制訪問控制為所有主體和客體指定安全級別，比如絕密級、機(jī)密級MAC模型絕密級機(jī)密級秘密級無秘級寫寫讀讀完整性保密性MAC模型絕密級機(jī)密級秘密級無秘級寫寫讀讀完整性保密性安全策略保障信息完整性策略級別低的主體可以讀高級別客體的信息（不保密），級別低的主體不能寫高級別的客體（保障信息完整性）保障信息機(jī)密性策略級別低的主體可以寫高級別客體的信息（不保障信息完整性），級別低的主體不可以讀高級別的客體（保密）安全策略舉例：Multics操作系統(tǒng)的訪問控制（保密性策略）：僅當(dāng)用戶的安全級別不低于文件的安全級別時(shí)，用戶才可以讀文件；僅當(dāng)用戶的安全級別不高于文件的安全級別時(shí)，用戶才可以寫文件；舉例：舉例：Security-EnhancedLinux(SELinux)forRedHatEnterpriseLinuxAppArmorforSUSELinuxandUbuntuTrustedBSDforFreeBSD舉例：基于角色的訪問控制起源于UNIX系統(tǒng)或別的操作系統(tǒng)中組的概念（基于組的自主訪問控制的變體）每個(gè)角色與一組用戶和有關(guān)的動(dòng)作相互關(guān)聯(lián)，角色中所屬的用戶可以有權(quán)執(zhí)行這些操作角色與組的區(qū)別組：一組用戶的集合角色：一組用戶的集合+一組操作權(quán)限的集合適合專用目的的計(jì)算機(jī)系統(tǒng)，比如軍用計(jì)算機(jī)系統(tǒng)?；诮巧脑L問控制起源于UNIX系統(tǒng)或別的操作系統(tǒng)中組的概念RBAC模型用戶角色權(quán)限訪問控制資源1、認(rèn)證2、分派3、請求4、分派5、訪問RBAC模型用戶角色權(quán)限訪問控制一個(gè)基于角色的訪問控制的實(shí)例在銀行環(huán)境中，用戶角色可以定義為出納員、分行管理者、顧客、系統(tǒng)管理者和審計(jì)員訪問控制策略的一個(gè)例子如下：（1）允許一個(gè)出納員修改顧客的帳號記錄（包括存款和取款、轉(zhuǎn)帳等），并允許查詢所有帳號的注冊項(xiàng)（2）允許一個(gè)分行管理者修改顧客的帳號記錄（包括存款和取款，但不包括規(guī)定的資金數(shù)目的范圍）并允許查詢所有帳號的注冊項(xiàng)，也允許創(chuàng)建和終止帳號一個(gè)基于角色的訪問控制的實(shí)例在銀行環(huán)境中，用戶角色可以定義為（3）允許一個(gè)顧客只詢問他自己的帳號的注冊項(xiàng)（4）允許系統(tǒng)的管理者詢問系統(tǒng)的注冊項(xiàng)和開關(guān)系統(tǒng)，但不允許讀或修改用戶的帳號信息（5）允許一個(gè)審計(jì)員讀系統(tǒng)中的任何數(shù)據(jù)，但不允許修改任何事情系統(tǒng)需要添加出納員、分行管理者、顧客、系統(tǒng)管理者和審計(jì)員角色所對應(yīng)的用戶，按照角色的權(quán)限對用于進(jìn)行訪問控制。（3）允許一個(gè)顧客只詢問他自己的帳號的注冊項(xiàng)2022/12/22107保護(hù)系統(tǒng)的訪問矩陣模型操作系統(tǒng)的訪問矩陣模型是由lampsonDenning在20世紀(jì)70年代初提出，后經(jīng)Graham和Denning相繼改進(jìn)的。

數(shù)據(jù)庫系統(tǒng)的訪問矩陣模型是Coway在Cornell大學(xué)提出的。2022/12/1930保護(hù)系統(tǒng)的訪問矩陣模型操作系統(tǒng)的訪問2022/12/22108保護(hù)系統(tǒng)的訪問矩陣模型模型是用狀態(tài)和狀態(tài)轉(zhuǎn)換的概念定義。其中的狀態(tài)是用訪問矩陣表示的，狀態(tài)轉(zhuǎn)換是用命令描述的。該模型的特點(diǎn)：簡明：易懂、易理解、易證明；通用：有能力綜合不同策略和應(yīng)用于多種實(shí)現(xiàn)；精確：有能力忠實(shí)地反映策略和系統(tǒng)形態(tài)；與數(shù)據(jù)式樣無關(guān)。2022/12/1931保護(hù)系統(tǒng)的訪問矩陣模型模型是用狀態(tài)和2022/12/22109保護(hù)系統(tǒng)的訪問矩陣模型訪問矩陣模型是描述保護(hù)系統(tǒng)的一種有效手段，能夠應(yīng)用在以下方面：1.為研究提供框架：可為安全理論研究提供一個(gè)基礎(chǔ)，允許研究者把注意力集中在問題突出的特型上，毋需顧及實(shí)現(xiàn)細(xì)節(jié)；2.用作設(shè)計(jì)工具：即用于概括在構(gòu)造的系統(tǒng)的實(shí)現(xiàn)目標(biāo)，以指導(dǎo)設(shè)計(jì)；3.證明“設(shè)計(jì)與實(shí)現(xiàn)”的正確性工具：因?yàn)槟Ｐ褪切问交?，允許做出形式斷言并對其進(jìn)行改進(jìn)；4.用作教育工具：形式化模型免去了自然語言陳述的模糊性，同時(shí)它不反映系統(tǒng)的細(xì)節(jié)，容易理解其實(shí)質(zhì)；5.用作比較和評估的工具。2022/12/1932保護(hù)系統(tǒng)的訪問矩陣模型2022/12/22110訪問矩陣模型三類要素：系統(tǒng)中的客體集O，是系統(tǒng)中被訪問因而也是被保護(hù)的對對象，如文件、程序、存儲區(qū)等；每一個(gè)客體o∈O可由它們的名字唯一地標(biāo)識別與識別；系統(tǒng)中的主體集S，是系統(tǒng)中訪問操作的發(fā)起者，如用戶、進(jìn)程、執(zhí)行域等；每一個(gè)主體s∈S可由它們的名字唯一地標(biāo)識別與識別；鑒于主體和客體之間存在控制與被控制的關(guān)系，故認(rèn)為主體也是一種類型的客體，因此有S∈O；系統(tǒng)中主體對客體的訪問權(quán)限集合R，O、S、R三者之間的關(guān)系是以矩陣A的形式表示的，它的行對應(yīng)某個(gè)主體，列對應(yīng)某個(gè)客體，集合R是矩陣的項(xiàng)（元素）的集合，每個(gè)項(xiàng)用A[s,o]表示，其中存放著主體s對客體o的訪問權(quán)或某些特權(quán)。2022/12/1933訪問矩陣模型三類要素：2022/12/22111訪問矩陣模型一個(gè)實(shí)例：M1M2F1F2P1P2P1r,w,eown,r,ep2r,w,eown,r,e2022/12/1934訪問矩陣模型一個(gè)實(shí)例：M1M22022/12/22112訪問控制的概念是與安全核技術(shù)聯(lián)系在一起的。1971年，Lampson提出了引用監(jiān)控器的設(shè)想。其思想是所有主體必須根據(jù)系統(tǒng)存取授權(quán)表來實(shí)現(xiàn)對客體的存取，對客體的每次存取以及授權(quán)的改變都必須通過引用監(jiān)控器。1972年，RorerSchell提出了安全核的概念，并把它定義為實(shí)現(xiàn)引用監(jiān)控器的軟件與硬件。1974年，Mitre證實(shí)了構(gòu)筑安全內(nèi)核的可能性。2022/12/1935訪問控制的概念是與安全核技術(shù)聯(lián)系在一2022/12/22113訪問矩陣模型數(shù)據(jù)庫系統(tǒng)的訪問矩陣模型主體通常是用戶，客體是文件、關(guān)系、記錄或記錄中的字段。每一項(xiàng)A[s,o]是一條訪問規(guī)則，說明用戶s可以訪問客體o的條件和允許s在o上完成的運(yùn)算。訪問規(guī)則是訪問權(quán)概念的推廣。規(guī)則可以說明內(nèi)容無關(guān)條件（即能否訪問的條件與被訪問的客體的內(nèi)容無關(guān)）或內(nèi)容相關(guān)條件。其他還有時(shí)間相關(guān)、上下文相關(guān)、歷史相關(guān)等。2022/12/1936訪問矩陣模型數(shù)據(jù)庫系統(tǒng)的訪問矩陣模型2022/12/22114訪問矩陣模型數(shù)據(jù)庫系統(tǒng)的訪問矩陣模型數(shù)據(jù)庫的訪問規(guī)則通常用四元組（s,o,r,p）形式給出，其中p是謂詞表達(dá)的相關(guān)條件。例如：工資管理員只能讀月工資不大于200元的雇員的屬性表示為：（s,o,r,p）=（工資管理員，EMPLOEE，READ，SALARY≤200）2022/12/1937訪問矩陣模型數(shù)據(jù)庫系統(tǒng)的訪問矩陣模型2022/12/22115安全核與引用監(jiān)控器2022/12/1938安全核與引用監(jiān)控器2022/12/22116引用監(jiān)視器（ReferenceMonitor）最簡單的訪問控制模型是引用監(jiān)視器，好比用戶與目標(biāo)之間帶護(hù)衛(wèi)的大門。引用監(jiān)視器的概念是與安全核技術(shù)聯(lián)系在一起的。安全核是RogerSchell在1972年首次提出的，并把它定義為引用監(jiān)視器的軟件與硬件。在后來的發(fā)展中把引用監(jiān)視器作為是用安全核技術(shù)的保護(hù)系統(tǒng)的模型，它是負(fù)責(zé)實(shí)施系統(tǒng)安全策略的硬件與軟件的復(fù)合體。2022/12/1939引用監(jiān)視器（ReferenceMo2022/12/22117引用監(jiān)控器與安全核的關(guān)系引用監(jiān)控器只是一個(gè)學(xué)術(shù)概念，并不涉及實(shí)現(xiàn)它的具體方法。安全核則是一種實(shí)現(xiàn)引用監(jiān)控器的技術(shù)。雖然還有其它系統(tǒng)構(gòu)造方法也能夠滿足引用監(jiān)控器的要求，但是沒有一種方法像安全核那樣普遍。因此，常常把引用監(jiān)控器的概念與安全核等同看待，特別是在討論原理性問題時(shí)，這兩個(gè)術(shù)語常?？梢曰Q使用。2022/12/1940引用監(jiān)控器與安全核的關(guān)系引用監(jiān)控器只2022/12/22118安全核技術(shù)的理論基礎(chǔ)在一個(gè)大的操作系統(tǒng)內(nèi)，只有相對比較小的一部分軟件負(fù)責(zé)實(shí)施系統(tǒng)安全。通過對操作系統(tǒng)的重構(gòu)，將與安全有關(guān)的軟件隔離在操作系統(tǒng)的一個(gè)可信核內(nèi)，而操作系統(tǒng)的大部分軟件無需負(fù)責(zé)系統(tǒng)安全。安全核部分包括硬件與一個(gè)鑲嵌的硬件與操作系統(tǒng)之間的軟件層，這些軟／硬件是可信的，并且位于安全防線之內(nèi)；與此對應(yīng)的，操作系統(tǒng)位于安全防線之外，與應(yīng)用程序結(jié)合在一起，是不可信的。2022/12/1941安全核技術(shù)的理論基礎(chǔ)在一個(gè)大的操作系2022/12/22119在絕大多數(shù)情況下，安全核就是一個(gè)初級的操作系統(tǒng)。安全核為操作系統(tǒng)提供服務(wù)，正如操作系統(tǒng)為應(yīng)用程序提供服務(wù)一樣。同時(shí)，正如操作系統(tǒng)對應(yīng)用程序設(shè)置一些必要的限制一樣，安全核對操作系統(tǒng)也要提出一些限制，雖然操作系統(tǒng)在實(shí)施由安全核實(shí)現(xiàn)的安全策略方面不起任何作用，但操作系統(tǒng)要保證系統(tǒng)的運(yùn)行并且要防止由于程序錯(cuò)誤或惡性程序引起的拒絕服務(wù)，在應(yīng)用程序或操作系統(tǒng)中的任何錯(cuò)誤都不能違反安全策略。2022/12/1942在絕大多數(shù)情況下，安全核就是一個(gè)初級2022/12/22120在構(gòu)造高度安全的操作系統(tǒng)時(shí)，安全核技術(shù)是目前唯一最常用的技術(shù)。但這并不是說可以很容易地買到一個(gè)或者可以十分容易地構(gòu)造一個(gè)安全核，也不是說基于安全核的系統(tǒng)就是最安全的。2022/12/1943在構(gòu)造高度安全的操作系統(tǒng)時(shí)，安全核技2022/12/22121引用監(jiān)控器模型引用監(jiān)控器是負(fù)責(zé)實(shí)施系統(tǒng)安全策略的硬件與軟件的組合體，可看作是使用安全核技術(shù)的保護(hù)系統(tǒng)的模型。引用監(jiān)控器的關(guān)鍵作用是要對主體到到客體的每一次訪問都要實(shí)施控制，并對每一次訪問活動(dòng)進(jìn)行審計(jì)記錄，當(dāng)用戶需要訪問目標(biāo)的時(shí)候，首先向監(jiān)控器提出訪問請求，監(jiān)控器根據(jù)用戶請求核查訪問者的權(quán)限，以便確定是否允許這次訪問。2022/12/1944引用監(jiān)控器模型引用監(jiān)控器是負(fù)責(zé)實(shí)施系2022/12/22122引用監(jiān)控器用來處理資源的訪問控制這一特定的安全要求。這里安全策略的具體體現(xiàn)是訪問判定，而訪問判定則以訪問控制數(shù)據(jù)庫中的抽象信息為依據(jù)。在訪問控制數(shù)據(jù)庫中，抽象信息包括系統(tǒng)的安全狀態(tài)以及安全屬性與訪問權(quán)限等信息，體現(xiàn)了系統(tǒng)的安全控制條件。訪問控制數(shù)據(jù)庫，它隨著主、客體的增加與刪除以及訪問權(quán)限與安全屬性的改變而改變。2022/12/1945引用監(jiān)控器用來處理資源的訪問控制這一2022/12/22123對訪問控制數(shù)據(jù)庫的任何修改都要按一定的安全策略受引用監(jiān)控器的控制。所有主體對客體的訪問都要利用存于訪問控制數(shù)據(jù)庫中的訪問控制信息，并根據(jù)引用監(jiān)控器中的安全策略由引用監(jiān)控器進(jìn)行監(jiān)督和限制。系統(tǒng)中發(fā)生的重要安全事件都存于審計(jì)文件中，以便跟蹤、分析和審計(jì)。2022/12/1946對訪問控制數(shù)據(jù)庫的任何修改都要按一定2022/12/22124在計(jì)算機(jī)出現(xiàn)的初期，曾使用監(jiān)控器來識別系統(tǒng)中的程序，它控制著其它程序的運(yùn)行。隨著系統(tǒng)功能的不斷提高，監(jiān)控器變得越來越大，又開始把它稱作操作系統(tǒng)。而監(jiān)控器這個(gè)術(shù)語只用來表示初級的操作系統(tǒng)。引用監(jiān)控器是一種特殊的監(jiān)控器，它僅負(fù)責(zé)控制對系統(tǒng)資源的訪問。通常，與安全有關(guān)的其它系統(tǒng)功能也位于安全防線內(nèi)，但它們并不是引用監(jiān)控器的組成部分，一般把它們稱作可信系統(tǒng)功能。在系統(tǒng)安全防線外的所有系統(tǒng)功能都由操作系統(tǒng)來管理。2022/12/1947在計(jì)算機(jī)出現(xiàn)的初期，曾使用監(jiān)控器來識2022/12/22125引用監(jiān)控器及安全核的使用原則引用監(jiān)控器及其對應(yīng)的安全核必須滿足以下三個(gè)原則：完備性原則隔離性原則可驗(yàn)證性原則2022/12/1948引用監(jiān)控器及安全核的使用原則引用監(jiān)控2022/12/22126完備性原則主體在沒有對安全內(nèi)核的引用監(jiān)控器請求并獲準(zhǔn)時(shí)，不能訪問客體。也就是講，所有的信息訪問都必須經(jīng)過安全內(nèi)核。完備性原則要求支持安全內(nèi)核結(jié)構(gòu)的系統(tǒng)硬件必須保證任何程序都要經(jīng)過安全核的控制進(jìn)行訪問。由于內(nèi)核必須使各個(gè)進(jìn)程獨(dú)立，并保證未通過內(nèi)核檢查的各進(jìn)程不能相互聯(lián)系，因此，若一臺機(jī)器的硬件允許所有進(jìn)程不加約束就能訪問物理內(nèi)存的公共頁面，這種機(jī)器就不適合于建立安全內(nèi)核。2022/12/1949完備性原則主體在沒有對安全內(nèi)核的引用2022/12/22127隔離性原則它本身不能校篡改。隔離性要求內(nèi)核有防篡改能力。實(shí)現(xiàn)時(shí)必須將映射引用監(jiān)控器的安全核與外部系統(tǒng)嚴(yán)密地隔離起來，以防止進(jìn)程對安全核進(jìn)行非法修改。實(shí)現(xiàn)隔離性原則也需要硬件與軟件的支持。硬件的作用是使內(nèi)核能防止用戶程序訪問內(nèi)核代碼和數(shù)據(jù)，這與完整性原則中內(nèi)核防止進(jìn)程之間非法通信是屬于同一種內(nèi)存管理機(jī)制。此外，還必須防止用戶程序執(zhí)行內(nèi)核用于內(nèi)存管理的特權(quán)指令。當(dāng)然，這些對內(nèi)存訪問的控制可以多層環(huán)域技術(shù)來實(shí)現(xiàn)，也可以把內(nèi)核代碼裝入系統(tǒng)的ROM中來提供更強(qiáng)的隔離性。2022/12/1950隔離性原則它本身不能校篡改。隔離性要2022/12/22128驗(yàn)證性原則它本身的正確性能得到證明或驗(yàn)證。為了滿足可驗(yàn)證性，引用監(jiān)控器模型應(yīng)該能夠精確地定義安全的含義，盡可能地從中盡量剔除與安全無關(guān)的功能，使內(nèi)核盡可能小，盡可能使內(nèi)核接口功能簡單明快。并且還要證明模型中的功能與安全的定義是一致的。為了使內(nèi)核具有可驗(yàn)證性，應(yīng)當(dāng)支持安全內(nèi)核可驗(yàn)證性的基本技術(shù)是建立安全內(nèi)核的數(shù)學(xué)模型，然后對模型進(jìn)行形式化的或者非形式化的一致性論證。模型的構(gòu)造方法應(yīng)該有利于使模型本身的安全性得到某種相應(yīng)的證明。2022/12/1951驗(yàn)證性原則它本身的正確性能得到證明或2022/12/22129實(shí)踐中的問題剛提出引用監(jiān)控器概念時(shí)，人們認(rèn)為能夠構(gòu)造一個(gè)足夠小的安全核來窮盡測試驗(yàn)證，且認(rèn)為模型與實(shí)現(xiàn)間的一致性可通過測試由模型所定義的系統(tǒng)的所有安全狀態(tài)來證明，至少可以使足夠多的狀態(tài)滿足測試要求，使得安全漏洞幾乎不可能出現(xiàn)。但從實(shí)際中看，除非安全核具有簡單功能，否則要想進(jìn)行全面徹底的測試是不可能的。迄今為止，沒有哪個(gè)大系統(tǒng)能完全滿足上述所有三項(xiàng)原則。此外，單純的測試還不足以證明安全核的安全性，還必須進(jìn)行模型到代碼之間的一致性驗(yàn)證。因此，引用監(jiān)控器方法是盡可能遵循這三項(xiàng)原則，但任何人都不能擔(dān)保一個(gè)基于安全內(nèi)核的系統(tǒng)是完全絕對安全的。2022/12/1952實(shí)踐中的問題剛提出引用監(jiān)控器概念時(shí)，2022/12/22130引用監(jiān)控器模型的缺點(diǎn)引用監(jiān)控器模型的優(yōu)點(diǎn)是易于實(shí)現(xiàn)。但有以下不足：引用監(jiān)控器主要還是作為單級安全模型使用的，受監(jiān)視的目標(biāo)要么允許被訪問，要么不允許被訪問。受監(jiān)控的目標(biāo)只有簡單的安全性，即二級安全性。監(jiān)視器模型不適應(yīng)更復(fù)雜的安全要求。2022/12/1953引用監(jiān)控器模型的缺點(diǎn)引用監(jiān)控器模型的2022/12/22131系統(tǒng)中所有對受監(jiān)控目標(biāo)的訪問要求都由監(jiān)控器檢查核實(shí)，監(jiān)控程序?qū)⒈活l繁調(diào)用，這將使監(jiān)控器可能成為整個(gè)系統(tǒng)的瓶頸，影響系統(tǒng)效率。如果允許監(jiān)視器記錄下某用戶第一次訪問時(shí)用戶的權(quán)限信息，以便在該用戶以后的訪問中直接查詢這些權(quán)限信息。雖然這樣可以加快訪問速度，但這種處理方法容易產(chǎn)生安全漏洞，不能滿足高安全級別系統(tǒng)的要求。例如C2級系統(tǒng)就要求對每一個(gè)主體的每一次訪問都必須進(jìn)行身份核查。2022/12/1954系統(tǒng)中所有對受監(jiān)控目標(biāo)的訪問要求都由2022/12/22132監(jiān)控器只能控制直接訪問，不能控制間接訪問。假設(shè)只有用戶A有權(quán)接收機(jī)要文件并負(fù)責(zé)登記工作，把收到的文件標(biāo)題與收到日期記錄到計(jì)算機(jī)文件FILE中；用戶B無權(quán)接收機(jī)要文件，也無權(quán)閱讀FILE的內(nèi)容，但有權(quán)瀏覽文件目錄和文件的屬性（如文件長度、修改日期等）。用戶B可以根據(jù)FILE文件的修改日期和文件的長度變化判斷用戶A是否收到新的機(jī)要文件。監(jiān)控器模型無法不讓B間接獲得這種信息。這是一種信息流控制問題，我們將在以后討論。2022/12/1955監(jiān)控器只能控制直接訪問，不能控制間接2022/12/22133也有不少系統(tǒng)采用安全核技術(shù)去實(shí)現(xiàn)多級安全功能，實(shí)現(xiàn)BLP模型的自主與強(qiáng)制安全策略。安全核技術(shù)一般提供兩種典型的支持自主訪問控制的功能：提供一種直接的核調(diào)用，它允許一個(gè)用戶（或一個(gè)進(jìn)程）對某個(gè)客體設(shè)置訪問權(quán)；對主體到客體的每一次訪問都按所設(shè)置的訪問權(quán)進(jìn)行訪問監(jiān)控。根據(jù)自主訪問控制的規(guī)則，允許一個(gè)合法的用戶自主地將它擁有的客體訪問權(quán)分配給其它用戶。而安全核雖然可以對主體修改客體訪問權(quán)的操作加以控制，但并不能控制對客體設(shè)置何種訪問權(quán)，這就使特洛伊木馬攻擊有可乘之機(jī)了。雖然也可以采取一些措施加以防范，但終，因訪問監(jiān)控器模型本身的缺陷，無法從根本上解決問題。2022/12/1956也有不少系統(tǒng)采用安全核技術(shù)去實(shí)現(xiàn)多級2022/12/22134狀態(tài)轉(zhuǎn)換保護(hù)系統(tǒng)的狀態(tài)變化體現(xiàn)為訪問模式的變化，系統(tǒng)狀態(tài)的轉(zhuǎn)換是依靠一套本原命令來實(shí)現(xiàn)的，這些命令是用一系列改變訪問矩陣內(nèi)容的本原操作來定義的。在訪問矩陣模型中定義了6個(gè)本原操作，如下表所示：2022/12/1957狀態(tài)轉(zhuǎn)換保護(hù)系統(tǒng)的狀態(tài)變化體現(xiàn)為訪問2022/12/221352022/12/1958這些操作是以訪問矩陣中一定主、客體和權(quán)利是否存在為條件的，并負(fù)責(zé)對系統(tǒng)保護(hù)狀態(tài)監(jiān)控器的控制。假定命令執(zhí)行前，系統(tǒng)的保護(hù)狀態(tài)是Q=（S，O，A）；當(dāng)某命令執(zhí)行后，系統(tǒng)地保護(hù)狀態(tài)變?yōu)镼’=(S’,O’,A’);每條命令執(zhí)行的條件和執(zhí)行后形成的新狀態(tài)Q’。2022/12/22136這些操作是以訪問矩陣中一定主、客體和權(quán)利是否存在為條件的，并這里r表示權(quán)利，s和o表示1到k之