BI信息系統(tǒng)安全機(jī)制之訪問控制技術(shù)教材

訪問控制技術(shù)孫建偉計(jì)算機(jī)網(wǎng)絡(luò)攻防對(duì)抗技術(shù)實(shí)驗(yàn)室北京理工大學(xué)內(nèi)容概要訪問控制原理自主訪問控制強(qiáng)制訪問控制基于角色的訪問控制常用操作系統(tǒng)中的訪問控制概念通常應(yīng)用在信息系統(tǒng)的安全設(shè)計(jì)上。定義：在保障授權(quán)用戶能獲取所需資源的同時(shí)拒絕非授權(quán)用戶的安全機(jī)制。目的：為了限制訪問主體對(duì)訪問客體的訪問權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用；它決定用戶能做什么，也決定代表一定用戶身份的進(jìn)程能做什么。未授權(quán)的訪問包括：未經(jīng)授權(quán)的使用、泄露、修改、銷毀信息以及頒發(fā)指令等。非法用戶進(jìn)入系統(tǒng)。合法用戶對(duì)系統(tǒng)資源的非法使用?？腕w（Object）：規(guī)定需要保護(hù)的資源，又稱作目標(biāo)（target)。主體（Subject）：或稱為發(fā)起者(Initiator)，是一個(gè)主動(dòng)的實(shí)體，規(guī)定可以訪問該資源的實(shí)體，（通常指用戶或代表用戶執(zhí)行的程序）。授權(quán)（Authorization)：規(guī)定可對(duì)該資源執(zhí)行的動(dòng)作（例如讀、寫、執(zhí)行或拒絕訪問）。訪問控制模型基本組成任務(wù)識(shí)別和確認(rèn)訪問系統(tǒng)的用戶。認(rèn)證鑒權(quán)決定該用戶可以對(duì)某一系統(tǒng)資源進(jìn)行何種類型的訪問。授權(quán)審計(jì)訪問控制與其他安全服務(wù)的關(guān)系模型

引用監(jiān)控器身份認(rèn)證訪問控制授權(quán)數(shù)據(jù)庫用戶目標(biāo)目標(biāo)目標(biāo)目標(biāo)目標(biāo)審計(jì)安全管理員訪問控制決策單元訪問控制的一般實(shí)現(xiàn)機(jī)制和方法

一般實(shí)現(xiàn)機(jī)制——基于訪問控制屬性 ——〉訪問控制表/矩陣基于用戶和資源分檔（“安全標(biāo)簽”） ——〉多級(jí)訪問控制常見實(shí)現(xiàn)方法——訪問控制表（ACL)

訪問能力表（Capabilities)

授權(quán)關(guān)系表訪問矩陣定義客體(O)主體(S)權(quán)限(A)讀(R)寫(W)擁有(Own)執(zhí)行(E)更改(C)

舉例問題：稀疏矩陣，浪費(fèi)空間。訪問控制類類型自主訪問控制強(qiáng)制訪問控制基于角色訪問控制訪問控制自主訪問控控制DiscretionaryAccessControl概念基于對(duì)主體體或主體所所屬的主體體組的識(shí)別別來限制對(duì)對(duì)客體的訪訪問，這種種控制是自自主的。自主指主體體能夠自主主地將訪問問權(quán)或訪問問權(quán)的某個(gè)個(gè)子集授予予其他主體體。如用戶A可將其對(duì)對(duì)目標(biāo)O的的訪問權(quán)限限傳遞給用用戶B,從從而使不具具備對(duì)O訪訪問權(quán)限的的B可訪問問O。缺點(diǎn)：信息在移動(dòng)動(dòng)過程中其其訪問權(quán)限限關(guān)系會(huì)被被改變：安安全問題訪問控制表表（AccessControlList）基于訪問控控制矩陣列的自主訪問問控制。每個(gè)客體都有一張ACL，用用于說明可可以訪問該該客體的主主體及其訪訪問權(quán)限。。舉例：客體目錄ACL表o:Ownerr:Readw:Writee:Excuteoj表示客體j，si.rw表示示主體si具有rw屬屬性。oj問題：主體、客客體數(shù)量量大，影影響訪問問效率。。解決：引入用戶戶組，用用戶可以以屬于多多個(gè)組。。主體標(biāo)識(shí)識(shí)=主體體.組名名如Liu.INFO表表示INFO組組的liu用戶戶。*.INFO表表示所有有組中的的用戶。。*.*表表示所有有用戶。。liu.INFO.rw表示示對(duì)INFO組組的用戶戶liu具有rw權(quán)限限。*.INFO.rw表表示對(duì)INFO組的所所有用戶戶具有rw權(quán)限限。*.*.rw表示對(duì)所有有用戶具有rw權(quán)限。oj訪問能力表（（AccessCapabilitiesList））基于訪問控制制矩陣行的自主訪問控控制。為每個(gè)主體（（用戶）建立立一張?jiān)L問能能力表，用于于表示主體是是否可以訪問問客體，以及及用什么方式式訪問客體。。文件名客體(文件)File1File2File3o:Ownerr:Readw:Writee:Excute舉例：權(quán)限用戶A的目錄用戶B的目錄訪問能力表表強(qiáng)制訪問控控制MandatoryAccessControl概念為所有主體體和客體指指定安全級(jí)級(jí)別，比如如絕密級(jí)、、機(jī)密級(jí)、、秘密級(jí)、、無秘級(jí)。。不同級(jí)別的的主體對(duì)不不同級(jí)別的的客體的訪訪問是在強(qiáng)強(qiáng)制的安全全策略下實(shí)實(shí)現(xiàn)的。只有安全管管理員才能能修改客體體訪問權(quán)和和轉(zhuǎn)移控制制權(quán)。（對(duì)對(duì)客體擁有有者也不例例外）MAC模型型絕密級(jí)機(jī)密級(jí)秘密級(jí)無秘級(jí)寫寫讀讀完整性保密性安全策略保障信息完完整性策略略級(jí)別低的主主體可以讀讀高級(jí)別客客體的信息息（不保密密），級(jí)別別低的主體體不能寫高高級(jí)別的客客體（保障障信息完整整性）保障信息機(jī)機(jī)密性策略略級(jí)別低的主主體可以寫寫高級(jí)別客客體的信息息（不保障障信息完整整性），級(jí)級(jí)別低的主主體不可以以讀高級(jí)別別的客體（（保密）舉例：Security-EnhancedLinux(SELinux)forRedHatEnterpriseLinuxAppArmorforSUSELinuxandUbuntuTrustedBSDforFreeBSD基于于角角色色的的訪訪問問控控制制RoleBasedAccessControl概念起源于于UNIX系統(tǒng)或或別的的操作作系統(tǒng)統(tǒng)中組組的概概念（（基于于組的的自主主訪問問控制制的變變體））每個(gè)角角色與與一組組用戶戶和有有關(guān)的的動(dòng)作作相互互關(guān)聯(lián)聯(lián)，角角色中中所屬屬的用用戶可可以有有權(quán)執(zhí)執(zhí)行這這些操操作角色與與組的的區(qū)別別組：一一組用用戶的的集合合角色：：一組組用戶戶的集集合+一一組操操作權(quán)權(quán)限的的集合合RBAC模模型用戶戶角色色權(quán)限限訪問控控制資源源1、認(rèn)證證2、分派派3、請(qǐng)求求4、分派派5、訪問問角色控控制優(yōu)優(yōu)勢(shì)便于授授權(quán)管管理授權(quán)操操作：：n*m變成n*r+r*m=r*(n+m)便于角角色劃劃分便于賦賦予最最小特特權(quán)便于職職責(zé)分分擔(dān)便于目目標(biāo)分分級(jí)一個(gè)基基于角角色的的訪問問控制制的實(shí)實(shí)例在銀行行環(huán)境境中，，用戶戶角色色可以以定義義為出納員員、分分行管管理者者、顧顧客、、系統(tǒng)統(tǒng)管理理者和和審計(jì)計(jì)員訪問控控制策策略的的一個(gè)個(gè)例子子如下下：（1））允許許一個(gè)個(gè)出納納員修修改顧顧客的的帳號(hào)號(hào)記錄錄（包包括存存款和和取款款、轉(zhuǎn)轉(zhuǎn)帳等等），，并允允許查查詢所所有帳帳號(hào)的的注冊(cè)冊(cè)項(xiàng)（2））允許許一個(gè)個(gè)分行行管理理者修修改顧顧客的的帳號(hào)號(hào)記錄錄（包包括存存款和和取款款，但但不包包括規(guī)規(guī)定的的資金金數(shù)目目的范范圍））并允允許查查詢所所有帳帳號(hào)的的注冊(cè)冊(cè)項(xiàng)，，也允允許創(chuàng)創(chuàng)建和和終止止帳號(hào)號(hào)（3））允許許一個(gè)個(gè)顧客客只詢?cè)儐査约杭旱膸ぬ?hào)的的注冊(cè)冊(cè)項(xiàng)（4））允許許系統(tǒng)統(tǒng)的管管理者者詢問問系統(tǒng)統(tǒng)的注注冊(cè)項(xiàng)項(xiàng)和開開關(guān)系系統(tǒng)，，但不不允許許讀或或修改改用戶戶的帳帳號(hào)信信息（5））允許許一個(gè)個(gè)審計(jì)計(jì)員讀讀系統(tǒng)統(tǒng)中的的任何何數(shù)據(jù)據(jù)，但但不允允許修修改任任何事事情系統(tǒng)需需要添添加出出納員員、分分行管管理者者、顧顧客、、系統(tǒng)統(tǒng)管理理者和和審計(jì)計(jì)員角角色所所對(duì)應(yīng)應(yīng)的用用戶，，按照照角色色的權(quán)權(quán)限對(duì)對(duì)用于于進(jìn)行行訪問問控制制。常用用操操作作系系統(tǒng)統(tǒng)中中的的訪訪問問控控制制國(guó)際際安安全全標(biāo)標(biāo)準(zhǔn)準(zhǔn)1984年年，，美美國(guó)國(guó)國(guó)國(guó)防防部部發(fā)發(fā)布布了了《《可可信信計(jì)計(jì)算算機(jī)機(jī)系系統(tǒng)統(tǒng)評(píng)評(píng)估估標(biāo)標(biāo)準(zhǔn)準(zhǔn)》》（（TCSEC）），，即即桔桔皮皮書書。。TCSEC采采用用等等級(jí)級(jí)評(píng)評(píng)估估的的方方法法，，將將計(jì)計(jì)算算機(jī)機(jī)安安全全分分為為A、、B、、C、、D四四個(gè)個(gè)等等級(jí)級(jí)八八個(gè)個(gè)級(jí)級(jí)別別，，D等等安安全全級(jí)級(jí)別別最最低低，，A安安全全級(jí)級(jí)別別最最高高。?，F(xiàn)在大多數(shù)通通用操作系統(tǒng)統(tǒng)（WindowsNT、Linux等）為C2級(jí)別，即即控制訪問保保護(hù)級(jí)。WindowsNT(自主訪問控控制)Windows安全模型型SecurityAccountManagerLocalSecurityAuthority(LSA)SecurityReferenceMonitor訪問控制過程程組成部件：安全標(biāo)識(shí)：帳帳號(hào)的唯一對(duì)對(duì)應(yīng)。訪問令牌：LSA為用戶戶構(gòu)造的，包包括用戶名、、所在組名、、安全標(biāo)識(shí)等等。主體：操作和和令牌。對(duì)象、、資源源、共共享資資源安全描描述符符：為為共享享資源源創(chuàng)建建的一一組安安全屬屬性所有者者安全全標(biāo)識(shí)識(shí)、組組安全全標(biāo)識(shí)識(shí)、自主訪訪問控控制表表、系統(tǒng)統(tǒng)訪問問控制制表、、訪問問控制制項(xiàng)。。登錄過過程服務(wù)器器為工工作站站返回回安全全標(biāo)識(shí)識(shí)，服服務(wù)器器為本本次登登錄生生成訪訪問令令牌用戶創(chuàng)創(chuàng)建進(jìn)進(jìn)程P時(shí)，，用戶戶的訪訪問令令牌復(fù)復(fù)制為為進(jìn)程程的訪訪問令令牌。。P進(jìn)程訪問問對(duì)象時(shí)，，SRM將將進(jìn)程訪問問令牌與對(duì)對(duì)象的自主主訪問控制制表進(jìn)行比比較，決定定是否有權(quán)權(quán)訪問對(duì)象象。NTFS的訪問控制制從文件中得得到安全描描述符（包包含自主訪訪問控制表表）；與訪問令牌牌（包含安安全標(biāo)識(shí)））一起由SRM進(jìn)行行訪問檢查查L(zhǎng)inux(自主主訪問控制制)設(shè)備和目錄錄同樣看作作文件。三種權(quán)限：：R:readW:writeX:excute權(quán)限表示：：字母表示：：rwx，不不具有相應(yīng)應(yīng)權(quán)限用-占位8進(jìn)制數(shù)表表示：111，不具具有相應(yīng)權(quán)權(quán)限相應(yīng)位位記0四類用戶：：root：：超級(jí)用戶戶所有者所屬組其他用戶文件屬性：：drwxr-x--x2lucywork1024Jun2522:53text安全屬性：：drwxr-x--x所有者，所所屬組：lucy.work安全屬性后后9個(gè)字母母規(guī)定了對(duì)對(duì)所有者、、所屬組、、其他用戶