信息安全概论-访问控制（PPT84页)

信息安全概论-访问控制安全服务安全服务（SecurityServices）：计算机通信网络中，主要的安全保护措施被称作安全服务。根据ISO7498-2,安全服务包括：1.鉴别（Authentication）2.访问控制（AccessControl）3.数据机密性（DataConfidentiality）4.数据完整性（DataIntegrity）5.抗抵赖（Non-repudiation）什么是访问控制AccessControl限制已授权的用户、程序、进程或计算机网络中其他系统访问本系统资源的过程。口令认证不能取代访问控制。访问控制是指主体依据某些控制策略或权限对客体或是其资源进行不同的授权访问。控制什么能干什么不能干包括三个要素：主体、客体和控制策略主体（subject）：访问的发起者发起者是试图访问某个目标的用户或者是用户行为的代理。必须控制它对客体的访问。主体通常为进程，程序或用户。客体（Object）：接收其他实体访问的被动实体。可供访问的各种软硬件资源。控制策略主体对客体的访问规则集，这个规则集直接定义了主体可以的作用行为和客体对主体的约束条件。是主体对客体的操作行为集和约束条件集。体现为一种授权行为。记录谁可以访问谁。访问控制策略任何访问控制策略最终可被模型化为访问矩阵形式。每一行：用户每一列：目标矩阵元素：相应的用户对目标的访问许可。目标X目标Y目标Z用户A读、修改、管理读、修改、管理用户B读、修改、管理用户C1读读、修改用户C2读读、修改访问控制关系图信息系统入口客体信息监控器敏感区域控制策略KS主体S客体O多级信息安全系统将敏感信息与通常资源分开隔离的系统。通常存在两种有层次安全级别。目标按敏感性划分为不同密级：绝密topsecret、秘密secret、机密confidential、限制restricted、无密级unclassified。无层次安全级别。访问控制过程首先对合法用户进行验证。（认证）然后对选用控制策略。（控制策略的具体实现）最后对非法用户或越权操作进行审计。（审计）认证包括主体对客体的识别认证与客体对主体的检验认证。身份认证。控制策略具体实现规则集设定方法。允许授权用户、限制非法用户。保护敏感信息。禁止越权访问。审计操作日志。记录用户对系统的关键操作。威慑。访问控制在安全操作系统领域中，访问控制一般都涉及自主访问控制（DiscretionaryAccessControl，DAC）强制访问控制（MandatoryAccessControl，MAC）两种形式安全模型安全模型就是对安全策略所表达的安全需求的简单、抽象和无歧义的描述，它为安全策略和它的实现机制之间的关联提供了一种框架。安全模型描述了对某个安全策略需要用哪种机制来满足；而模型的实现则描述了如何把特定的机制应用于系统中，从而实现某一特定安全策略所需的安全保护。安全模型的特点能否成功地获得高安全级别的系统，取决于对安全控制机制的设计和实施投入多少精力。但是如果对系统的安全需求了解的不清楚，即使运用最好的软件技术，投入最大的精力，也很难达到安全要求的目的。安全模型的目的就在于明确地表达这些需求，为设计开发安全系统提供方针。安全模型有以下4个特点：它是精确的、无歧义的；它是简易和抽象的，所以容易理解；它是一般性的：只涉及安全性质，而不过度地牵扯系统的功能或其实现；它是安全策略的明显表现。安全模型一般分为两种：非形式化安全模型仅模拟系统的安全功能；形式化安全模型则使用数学模型，精确地描述安全性及其在系统中使用的情况。访问控制准则在安全操作系统领域中，访问控制一般都涉及自主访问控制（DiscretionaryAccessControl，DAC）强制访问控制（MandatoryAccessControl，MAC）两种形式自主访问控制自主访问控制是最常用的一类访问控制机制，用来决定一个用户是否有权访问一些特定客体的一种访问约束机制。在自主访问控制机制下，文件的拥有者可以按照自己的意愿精确指定系统中的其他用户对其文件的访问权。亦即使用自主访问控制机制，一个用户可以自主地说明他所拥有的资源允许系统中哪些用户以何种权限进行共享。从这种意义上讲，是“自主”的。另外自主也指对其他具有授予某种访问权力的用户能够自主地（可能是间接的）将访问权或访问权的某个子集授予另外的用户。强制访问控制MAC在强制访问控制机制下，系统中的每个进程、每个文件、每个IPC客体(消息队列、信号量集合和共享存贮区)都被赋予了相应的安全属性，这些安全属性是不能改变的，它由管理部门（如安全管理员）或由操作系统自动地按照严格的规则来设置，不像访问控制表那样由用户或他们的程序直接或间接地修改。当一进程访问一个客体(如文件)时，调用强制访问控制机制，根据进程的安全属性和访问方式，比较进程的安全属性和客体的安全属性，从而确定是否允许进程对客体的访问。代表用户的进程不能改变自身的或任何客体的安全属性，包括不能改变属于用户的客体的安全属性，而且进程也不能通过授予其他用户客体存取权限简单地实现客体共享。如果系统判定拥有某一安全属性的主体不能访问某个客体，那么任何人（包括客体的拥有者）也不能使它访问该客体。从这种意义上讲，是“强制”的。强制访问控制和自主访问控制强制访问控制和自主访问控制是两种不同类型的访问控制机制，它们常结合起来使用。仅当主体能够同时通过自主访问控制和强制访问控制检查时，它才能访问一个客体。用户使用自主访问控制防止其他用户非法入侵自己的文件，强制访问控制则作为更强有力的安全保护方式，使用户不能通过意外事件和有意识的误操作逃避安全控制。因此强制访问控制用于将系统中的信息分密级和类进行管理，适用于政府部门、军事和金融等领域。访问控制模型从访问控制的角度出发，描述安全系统，建立安全模型的方法。一般包括主体、客体、以及为识别和验证这些实体的子系统和控制实体间的访问的监视器。来自于策略。访问控制模型自主访问控制模型。（DAC）强制访问控制模型。（MAC）基于角色的访问控制模型。（RBAC）基于任务的访问控制模型。（TBAC）基于对象的访问控制模型。（OBAC）信息流模型。自主访问控制（DAC）根据自主访问控制策略建立的一种模型。允许合法用户以用户或用户组的身份访问策略规定的客体。阻止非授权用户访问客体。某些客体还可以自主的把自己所拥有的客体访问权授予其它用户。任意访问控制。第六章访问控制自主访问控制（DAC）访问控制表（ACL）是DAC中通常采用的一种安全机制。ACL是带有访问权限的矩阵,这些访问权是授予主体访问某一客体的。安全管理员通过维护ACL控制用户访问企业数据。对每一个受保护的资源，ACL对应一个个人用户列表或由个人用户构成的组列表，表中规定了相应的访问模式。DAC的主要特征体现在主体可以自主地把自己所拥有客体的访问权限授予其它主体或者从其它主体收回所授予的权限，访问通常基于访问控制表（ACL）。访问控制的粒度是单个用户。第六章访问控制ACL是存在于计算机中的一张表，用户对特定系统对象例如文件目录或单个文件的存取权限。每个对象拥有一个在访问控制表中定义的安全属性。这张表对于每个系统用户有拥有一个访问权限。最一般的访问权限包括读文件（包括所有目录中的文件），写一个或多个文件和执行一个文件（如果它是一个可执行文件或者是程序的时候）。访\对象访域\文件1文件2文件3文件4文件5文件6打印机1绘图仪2D1RR,WD2RR,W,ER,WWD3R,W,EWW访问控制表ACL访问控制表(ACL)userAOwnRWOuserBROuserCRWOObj1userAOwnRWOuserBROuserCRWO每个客体附加一个它可以访问的主体的明细表。访问能力表Obj1OwnRWOObj2ROObj3RWOUserA每个主体都附加一个该主体可访问的客体的明细表。DAC的缺点在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。当用户数量多、管理数据量大时，由于访问控制的粒度是单个用户，ACL会很庞大。当组织内的人员发生能变化（升迁、换岗、招聘、离职）、工作职能发生变化（新增业务）时，ACL的修改变得异常困难。采用ACL机制管理授权处于一个较低级的层次，管理复杂、代价高以至易于出错。基于行的自主访问控制是在每个主体上都附加一个该主体可访问的客体的明细表。权限字（能力）：主体对客体具有特定的不可伪造的标志。为防止权限字的不断扩散，可在传递权限字副本时移去其中的转移权限。基于列的访问控制指按客体附加一份可访问它的主体的明细表。保护位方式：UNIX采用；只有客体拥有者能改变客体保护位（root除外）。一个用户在某个时刻只能属于一个活动的用户组。存取控制表（ACL)自主访问控制的访问许可等级型拥有型自由型等级型将对客体存取控制表的修改能力划分成等级，控制关系构成一个树型结构。系统管理员的等级为等级树的根，根一级具有修改所有客体存取控制表的能力，并且具有向任意一个主体分配这种修改权的能力。在树中的最低级的主体不再具有访问许可，也就是说他们对相应的客体的存取控制表不再具有修改权。有访问许可的主体（即有能力修改客体的存取控制表），可以对自己授与任何访问模式的访问权。拥有型对每个客体设立一个拥有者（通常是该客体的生成者）。只有拥有者才是对客体有修改权的唯一主体。拥有者对其拥有的客体具有全部控制权。拥有者无权将其对客体的控制权分配给其它主体。客体拥有者在任何时候都可以改变其所属客体的存取控制表，并可以对其它主体授予或者撤消其对客体的任何一种访问模式。自由型一个客体的生成者可以对任何一个主体分配对它拥有的客体的访问控制权，即对客体的存取控制表有修改权，并且还可使其对它主体也具有分配这种权力的能力。在这种系统中，不存在“拥有者”概念。自主访问控制访问模式的应用Unix,WindowsNT,Linux的文件系统广泛应用，对文件设置的访问模式有以下几种：读拷贝(read-copy)写删除（write-delete）执行（execute）Null（无效）这种模式表示，主体对客体不具有任何访问权。在存取控制表中用这种模式可以排斥某个特定的主体。强制访问控制（MAC）系统对所有主体及其所控制的客体（例如：进程、文件、段、设备）实施强制访问控制。为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的依据。系统根据主体和客体的敏感标记来决定访问模式。如：绝密级，秘密级，机密级，无密级。MAC通过梯度安全标签实现单向信息流通模式。特点强制性当一进程访问一个客体(如文件)时，调用强制访问控制机制，根据进程的安全属性和访问方式，比较进程的安全属性和客体的安全属性，从而确定是否允许进程对客体的访问。代表用户的进程不能改变自身的或任何客体的安全属性，包括不能改变属于用户的客体的安全属性，而且进程也不能通过授予其他用户客体存取权限简单地实现客体共享。如果系统判定拥有某一安全属性的主体不能访问某个客体，那么任何人（包括客体的拥有者）也不能使它访问该客体。从这种意义上讲，是“强制”的。限制性在强制访问控制机制下，系统中的每个进程、每个文件、每个IPC客体(消息队列、信号量集合和共享存贮区)都被赋予了相应的安全属性，这些安全属性是不能改变的，它由管理部门（如安全管理员）或由操作系统自动地按照严格的规则来设置，不像访问控制表那样由用户或他们的程序直接或间接地修改。主体对客体的访问方式下读:用户级别大于文件级别的读操作;上写:用户级别低于文件级别的写操作;下写:用户级别大于文件级别的写操作;上读:用户级别低于文件级别的读操作;强制访问控制模型Lattice模型。Bell-LaPadula模型(BPLModel)。Biba模型。Lattice模型每个资源