访问控制-第3章

身份认证与访问控制技术2第3章强制访问控制3.1基本概念3.2操作系统的强制访问控制3.3SELinux实现的TE模型3.4访问判定与切换判定33.1.1MAC定义3.1.2MAC模型3.1.3MAC特点3.1基本概念4•强制安全性：多级安全策略为基础•对安全操作系统有以下要求：–安全策略：要有明确、严谨、文档齐全的安全策略–标识：每个实体必须标识其安全级别–认证：每个主体必须被认证–审计：对影响安全的事件，必须记录日志，并进行审计。–保证：系统必须确保上述4项要求被实施–连续性保护：实现安全的机制必须是不间断地发挥作用，并且未经许可不可改动。美国国防部的桔皮书（TCSEC）：TrustedComputerSystemEvaluationCriteriaDC1C2B1B2B3A15•D级：最低的安全保护级–D级是最低的安全保护级–属于D级的系统是不安全的–除了物理上的一些安全措施外，没有什幺其它安全–用户只要开机后就可支配所有资源–DOS,WINDOWS3.26•C1级：自主安全保护级–通过用户名和口令进行身份认证–每个用户对属于他们自己的客体具有控制权–划分属主、同组用户和其他用户3个层次。属主控制这3个层次的存储权限–实体没有划分安全级别–多数UNIX、LINUX，WindowsNT7•C2级：受控制的安全保护级–系统记录日志，并进行审计。–身份认证更强，口令以密文存储。–采用以用户为单位的自主访问控制机制。–部分UNIX、LINUX，VMS8•B1级：标记安全保护级–采用多级安全策略–采用强制访问控制–强制访问控制并不取消原来的自主访问控制，而是在此之外另加的。–实体都划分安全级别–属主也不能改变对自己客体的存储权限9•B2级：结构化的安全保护级–要有形式化的安全模型–更完善的强制访问控制–隐蔽通道(如果一个通道既不是设计用于通信,也不是用于传递信息,则称该通道为隐蔽通道)分析与处理一般认为B2级以上的操作系统才是安全操作系统–Honeywell公司的MULTICS、TIS公司的TrustedXENIX10•B3级：安全域级–把系统划分为一些安全域，用硬件把安全域互相分割开来–提供可信路径机制，确保用户与可信软件是连接的，防止假冒进程。–更全面的访问控制机制。–更严格的系统结构化设计。–更完善的隐通道分析。–HFS公司的UNIXXTS-2000STOP3.1E11•A1级：验证安全设计级–安全模型要经过数学证明–对隐通道进行形式化分析–Honeywell公司SCOMP、波音公司MLSLANOS–注意：•分级的顶端是无限的，还可加入A2、A3级等。•每一级的安全性都包含前一级的安全性。12中国计算机信息系统安全保护等级划分准则：•根据中国国情、参照桔皮书，将其7的级别合并为5个级别（GB117859－1999）–第一级：用户自主保护级；–第二级：系统审计保护级；–第三级：安全标记保护级；–第四级：结构化保护级；–第五级：访问验证保护级。13•第一级：用户自主保护级；–通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏。–自主访问控制例如：访问控制表–身份鉴别例如：口令–数据完整性通过自主完整性策略，阻止非授权用户修改或破坏敏感信息。14•第二级：系统审计保护级；–本级的计算机实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。–默认访问控制机制是自主访问控制。访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。–身份鉴别：通过为用户提供唯一标识、计算机能够使用户对自己的行为负责。计算机还具备将身份标识与该用户所有可审计行为相关联的能力。–阻止客体重用：客体只有在释放且清除原信息后才让新主体使用–审计：计算机能创建和维护受保护客体的访问审计跟踪记录，并能阻止非授权的用户对它访问或破坏。15•第三级：安全标记保护级；–具有系统审计保护级所有功能。此外，还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述；具有准确地标记输出信息的能力；消除通过测试发现的任何错误。–强制访问控制：计算机对所有主体及其所控制的客体（例如：进程、文件、段、设备）实施强制访问控制。为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的依据。–标记：计算机应维护与主体及其控制的存储客体（例如：进程、文件、段、设备）相关的敏感标记。这些标记是实施强制访问的基础。16•第四级：结构化保护级；–建立于一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。–考虑隐蔽通道。–必须结构化为关键保护元素和非关键保护元素。计算机接口也必须明确定义，使其设计与实现能经受更充分的测试–加强了鉴别机制；支持系统管理员和操作员的职能；提供可信设施管理；增强了配置管理控制。系统具有相当的抗渗透能力。17•第五级：访问验证保护级–本级的计算机满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的；必须足够小，能够分析和测试。–支持安全管理员职能，扩充审计机制，提供系统恢复机制。系统具有很高的抗渗透能力。–隐蔽信道分析–可信路径–可信恢复18桔皮书和GB117859的局限性–桔皮书注意确保数据的秘密性，而没有注意确保数据的真实性和完整性。–忽略了防范诸如拒绝服务之类的攻击。–只给出了评测等级，没有给出达到这种等级所要采取的系统结构和技术路线。19CC标准：–美国国家安全局、国家技术标准研究所、法国、加拿大、英国、德国、荷兰六国七方，联合提出了新的“信息技术安全评价通用准则”（CCforITSEC），并于1999年5月正式被ISO颁布为国际标准，。–增强了对真实性和完整性的保护。–仍没有给出达到标准所要采取的系统结构和技术路线。2021•强制安全性：多级安全策略为基础•强制安全性策略：安全策略管理员控制策略•强制访问控制MAC–在强制访问控制下，用户（或其他主体）与文件（或其他客体）都被标记了固定的安全属性（如安全级、访问权限等），在每次访问发生时，系统检测安全属性以便确定一个用户是否有权访问该文件。主要用于保护敏感数据。–强制：系统管理设置，用户不参与–常用于军事系统•敏感标签–对象：用户和文件–组成：类别(TSCU)和类集合(信息的不同区域)–Secret[VenusTank]22•信息的输入与输出–主体标签–客体标签–访问请求•安全标记–安全等级标记和非等级分类标记–下读：SC(s)SC(o)R–上写：SC(s)SC(o)W–下写：SC(s)SC(o)W–上读：SC(s)SC(o)R–无上读下写达到保密性；无下读上写达到完整性23•MAC模型–Lattice•每个资源和用户都服从一个安全级别•高级别用户能访问低级别的资源•建立多边安全，为分属不同安全集束的主体划分安全等级，同样在不同安全集束中的客体也必须进行安全等级划分，一个主体可同时从属于多个安全集束，而一个客体仅能位于一个安全集束•适用于需要对资源进行明显分类的系统24–DavidBell-LenLaPadula—保密性•设L(S)=ls，是主体S的安全许可，并设L(O)=lo，是客体O的安全密级。对于所有安全密级li，i=0,,k1，有lili+1。•简单安全条件，S可以读O，当且仅当lols，且S对O具有自主型读权限。（不上读）•*-属性（星号属性），S可以写O，当且仅当lslo，且S对O具有自主型写权限。（不下写）•SC(s)=SC(o)可读rd•SC(s)=SC(o)可写wu–不上读/不下写保证保密性禁止读允许读TopSecret主体SecretUnclassifiedTopSecret客体SecretUnclassified允许读允许写禁止写TopSecret主体SecretUnclassifiedTopSecret客体SecretUnclassified允许写25–防火墙所实现的单向访问机制•不允许敏感数据从内部网络（安全级别为“机密”）流向Internet（安全级别为“公开”）•提供“不上读”功能来阻止Internet对内部网络的访问•提供“不下写”功能来限制进入内部的数据流只能经由由内向外发起的连接流入(例如，允许HTTP的GET操作而拒绝POST操作，或阻止任何外发的邮件)2627–KenBiba—完整性•系统包括一个主体集合S，一个客体集合O和一个完整性等级集合I，这些等级是有序的。•等级越高，程序正确执行的可靠性就越高。高等级的数据比低等级的数据具备更高的精确性和可靠性。这个概念隐含的融入了“信任”这个概念。事实上，用于衡量完整性等级的术语是“可信度”。•sS可以读取oO，当且仅当i(s)i(o)。•sS可以写入oO，当且仅当i(o)i(s)。•s1S可以执行s2S，当且仅当i(s2)i(s1)。•SC(s)=SC(o)可读ru•SC(s)=SC(o)可写wd28–不下读/不上写保证完整性允许读禁止读HighMediumLow允许读禁止写允许写允许写HighMediumLowHighMediumLowHighMediumLow–对WEB服务器的访问过程•定义Web服务器上发布的资源安全级别为“秘密”，Internet上用户的安全级别为“公开”，依照Biba模型，Web服务器上数据的完整性将得到保障•Internet上的用户只能读取服务器上的数据而不能更改它2930•MAC特点–强制性–限制性–灵活性差313.2.1TE模型3.2.2DTE模型3.2操作系统的强制访问控制•TE模型(TypeEnforcement)–基础：对主体、客体进行分组，定义域和类型。–访问控制属性：为主体定义域标签，为客体定义类型标签–方法：确定具体域对类型拥有的访问权限–二维矩阵实现域定义表DDT32–例3.1在上图的域定义表中，设进程Px准备读取文件Fy，请说明判定过程–DDT不表述主体成为客体，主体之间相互作用的访问控制用域相互作用表DIT描述，访问权限有发信号，创建进程，释放进程等–TE模型：使用DDT，DIT控制访问，系统管理员定义域、类型、DDT和DIT。–例3.2假设在一个OS中需运行Telnet，Web，Email，FTP等多种应用系统，使用TE模型的访问控制方法，给出一个访问控制方案，要求能是各种应用系统相互不干扰工作•为应用定义域和类型•将应用所用文件放入类型•根据需要定义相关权限达到应用系统隔离33–TE缺陷•访问控制权限配置复杂•二维表无法反映系统内在结构•控制策略从0开始定义34•DTE模型(DomainandTypeEnforcement)–TE的改进版•DTEL：描述安全属性和访问控制配置•使用隐含方式表示文件安全属性•详细参考–DTEL：类型描述，类型赋值，域描述，初始域设定–类型描述•Typeunix_t,specs_t,budget_t,rates_t；35–类型赋值•Rule:如果没有显示的给文件系统中的一个客体赋类型值，那么，该客体的类型值与其父目录的类型值相同•assign–r-sunix_t/;•assign–r-sspecs_t/subd/specs;•assign–r-sbudget_t/subd/budget;•assign–r-srates_t/subd/rates;–域描述•主体域，入口点，访问权限(域对域，域对类型)•defineDEF(/bin/sh),(/bin/csh),(rxd-unix_t)•domainengineer_d=DEF,(rwd-specs_t)•domainproject_d=DEF,(rwd-budget_t),(rd-rates_t)•domainaccounting_d=DEF,(rd-budget_t),(rwd-rates_t)36–系统