chap3：访问控制策略-B

2019/9/71计算机安全ComputerSecurity2019/9/72访问控制策略2019/9/73提要访问控制原理访问控制策略安全核技术的理论基础引用监控器引用监控器与安全核的关系引用监控器及安全核的使用原则引用监控器模型的缺点访问控制原理2019/9/75访问控制是依据一套为信息系统规定的安全策略和支持这些安全策略的执行机制实现的。将两者分开讨论的益处：1.独立地讨论系统的访问要求，不与这些要求如何实现联系起来。2.可比较和对比不同的访问控制策略和执行同样策略的不同机制。3.允许我们设计一个有能力执行多种策略的机制。概念通常应用在操作系统的安全设计上。定义：在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。目的：为了限制访问主体对访问客体的访问权限，从而使计算机系统在合法范围内使用；它决定用户能做什么，也决定代表一定用户身份的进程能做什么。未授权的访问包括：未经授权的使用、泄露、修改、销毁信息以及颁发指令等。•非法用户进入系统。•合法用户对系统资源的非法使用。访问控制模型基本组成发起者Initiator访问控制实施功能AEF访问控制决策功能ADF目标Target提交访问请求SubmitAccessRequest提出访问请求PresentAccessRequest请求决策DecisionRequestDecision任务识别和确认访问系统的用户。决定该用户可以对某一系统资源进行何种类型的访问。访问控制与其他安全服务的关系模型引用监控器身份认证访问控制授权数据库用户目标目标目标目标目标审计安全管理员访问控制决策单元访问矩阵定义客体(O)主体(S)权限(A)读(R)写(W)拥有(Own)执行(E)更改(C)举例MEM1MEM2File1File2File3File4User1r,w,eo,r,eUser2r,w,eo,r,e问题：稀疏矩阵，浪费空间。访问控制类型自主访问控制强制访问控制基于角色访问控制访问控制自主访问控制基于对主体或主体所属的主体组的识别来限制对客体的访问，这种控制是自主的。自主指主体能够自主地将访问权或访问权的某个子集授予其他主体。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。缺点：信息在移动过程中其访问权限关系会被改变：安全问题访问控制表（AccessControlList）基于访问控制矩阵列的自主访问控制。每个客体都有一张ACL，用于说明可以访问该客体的主体及其访问权限。举例：File4File3File2File1File4File3File2File1客体目录r,wUser3rUser2o,r,wUser1r,wUser3rUser2o,r,wUser1ACL表eUser1eUser1eUser4rUser3o,eUser2eUser4rUser3o,eUser2rUser3rUser2rUser3rUser2o:Ownerr:Readw:Writee:Excuteoj表示客体j，si.rw表示主体si具有rw属性。s0.rs1.es2.rwoj问题：主体、客体数量大，影响访问效率。解决：引入用户组，用户可以属于多个组。主体标识=主体.组名如Liu.INFO表示INFO组的liu用户。*.INFO表示所有组中的用户。*.*表示所有用户。liu.INFO.rw表示对INFO组的用户liu具有rw权限。*.INFO.rw表示对INFO组的所有用户具有rw权限。*.*.rw表示对所有用户具有rw权限。Liu.INFO.r*.INFO.e*.*.rwoj访问能力表（AccessCapabilitiesList）基于访问控制矩阵行的自主访问控制。为每个主体（用户）建立一张访问能力表，用于表示主体是否可以访问客体，以及用什么方式访问客体。举例：r,wFile3rFile2o,r,wFile1r,wFile3rFile2o,r,wFile1文件名rFile3o,eFile2rFile3o,eFile2客体(文件)File1File2File3o:Ownerr:Readw:Writee:Excute权限用户A的目录用户B的目录访问能力表强制访问控制为所有主体和客体指定安全级别，比如绝密级、机密级、秘密级、无秘级。不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。只有安全管理员才能修改客体访问权和转移控制权。（对客体拥有者也不例外）MAC模型绝密级机密级秘密级无秘级写写读读完整性保密性安全策略•保障信息完整性策略级别低的主体可以读高级别客体的信息（不保密），级别低的主体不能写高级别的客体（保障信息完整性）•保障信息机密性策略级别低的主体可以写高级别客体的信息（不保障信息完整性），级别低的主体不可以读高级别的客体（保密）举例：Multics操作系统的访问控制（保密性策略）：•仅当用户的安全级别不低于文件的安全级别时，用户才可以读文件；•仅当用户的安全级别不高于文件的安全级别时，用户才可以写文件；举例：Security-EnhancedLinux(SELinux)forRedHatEnterpriseLinuxAppArmorforSUSELinuxandUbuntuTrustedBSDforFreeBSD基于角色的访问控制起源于UNIX系统或别的操作系统中组的概念（基于组的自主访问控制的变体）每个角色与一组用户和有关的动作相互关联，角色中所属的用户可以有权执行这些操作角色与组的区别•组：一组用户的集合•角色：一组用户的集合+一组操作权限的集合适合专用目的的计算机系统，比如军用计算机系统。RBAC模型用户角色权限访问控制资源1、认证2、分派3、请求4、分派5、访问一个基于角色的访问控制的实例在银行环境中，用户角色可以定义为出纳员、分行管理者、顾客、系统管理者和审计员访问控制策略的一个例子如下：（1）允许一个出纳员修改顾客的帐号记录（包括存款和取款、转帐等），并允许查询所有帐号的注册项（2）允许一个分行管理者修改顾客的帐号记录（包括存款和取款，但不包括规定的资金数目的范围）并允许查询所有帐号的注册项，也允许创建和终止帐号（3）允许一个顾客只询问他自己的帐号的注册项（4）允许系统的管理者询问系统的注册项和开关系统，但不允许读或修改用户的帐号信息（5）允许一个审计员读系统中的任何数据，但不允许修改任何事情系统需要添加出纳员、分行管理者、顾客、系统管理者和审计员角色所对应的用户，按照角色的权限对用于进行访问控制。2019/9/730保护系统的访问矩阵模型操作系统的访问矩阵模型是由lampsonDenning在20世纪70年代初提出，后经Graham和Denning相继改进的。数据库系统的访问矩阵模型是Coway在Cornell大学提出的。2019/9/731保护系统的访问矩阵模型模型是用状态和状态转换的概念定义。其中的状态是用访问矩阵表示的，状态转换是用命令描述的。该模型的特点：简明：易懂、易理解、易证明；通用：有能力综合不同策略和应用于多种实现；精确：有能力忠实地反映策略和系统形态；与数据式样无关。2019/9/732保护系统的访问矩阵模型访问矩阵模型是描述保护系统的一种有效手段，能够应用在以下方面：1.为研究提供框架：可为安全理论研究提供一个基础，允许研究者把注意力集中在问题突出的特型上，毋需顾及实现细节；2.用作设计工具：即用于概括在构造的系统的实现目标，以指导设计；3.证明“设计与实现”的正确性工具：因为模型是形式化的，允许做出形式断言并对其进行改进；4.用作教育工具：形式化模型免去了自然语言陈述的模糊性，同时它不反映系统的细节，容易理解其实质；5.用作比较和评估的工具。2019/9/733访问矩阵模型三类要素：1.系统中的客体集O，是系统中被访问因而也是被保护的对对象，如文件、程序、存储区等；每一个客体o∈O可由它们的名字唯一地标识别与识别；2.系统中的主体集S，是系统中访问操作的发起者，如用户、进程、执行域等；每一个主体s∈S可由它们的名字唯一地标识别与识别；鉴于主体和客体之间存在控制与被控制的关系，故认为主体也是一种类型的客体，因此有S∈O；3.系统中主体对客体的访问权限集合R，O、S、R三者之间的关系是以矩阵A的形式表示的，它的行对应某个主体，列对应某个客体，集合R是矩阵的项（元素）的集合，每个项用A[s,o]表示，其中存放着主体s对客体o的访问权或某些特权。2019/9/734访问矩阵模型一个实例：M1M2F1F2P1P2P1r,w,eown,r,ep2r,w,eown,r,e2019/9/735访问控制的概念是与安全核技术联系在一起的。1971年，Lampson提出了引用监控器的设想。其思想是所有主体必须根据系统存取授权表来实现对客体的存取，对客体的每次存取以及授权的改变都必须通过引用监控器。1972年，RorerSchell提出了安全核的概念，并把它定义为实现引用监控器的软件与硬件。1974年，Mitre证实了构筑安全内核的可能性。2019/9/736访问矩阵模型数据库系统的访问矩阵模型主体通常是用户，客体是文件、关系、记录或记录中的字段。每一项A[s,o]是一条访问规则，说明用户s可以访问客体o的条件和允许s在o上完成的运算。访问规则是访问权概念的推广。规则可以说明内容无关条件（即能否访问的条件与被访问的客体的内容无关）或内容相关条件。其他还有时间相关、上下文相关、历史相关等。2019/9/737访问矩阵模型数据库系统的访问矩阵模型数据库的访问规则通常用四元组（s,o,r,p）形式给出，其中p是谓词表达的相关条件。例如：工资管理员只能读月工资不大于200元的雇员的属性表示为：（s,o,r,p）=（工资管理员，EMPLOEE，READ，SALARY≤200）2019/9/738安全核与引用监控器2019/9/739引用监视器（ReferenceMonitor）最简单的访问控制模型是引用监视器，好比用户与目标之间带护卫的大门。引用监视器的概念是与安全核技术联系在一起的。安全核是RogerSchell在1972年首次提出的，并把它定义为引用监视器的软件与硬件。在后来的发展中把引用监视器作为是用安全核技术的保护系统的模型，它是负责实施系统安全策略的硬件与软件的复合体。2019/9/740引用监控器与安全核的关系引用监控器只是一个学术概念，并不涉及实现它的具体方法。安全核则是一种实现引用监控器的技术。虽然还有其它系统构造方法也能够满足引用监控器的要求，但是没有一种方法像安全核那样普遍。因此，常常把引用监控器的概念与安全核等同看待，特别是在讨论原理性问题时，这两个术语常常可以互换使用。2019/9/741安全核技术的理论基础在一个大的操作系统内，只有相对比较小的一部分软件负责实施系统安全。通过对操作系统的重构，将与安全有关的软件隔离在操作系统的一个可信核内，而操作系统的大部分软件无需负责系统安全。安全核部分包括硬件与一个镶嵌的硬件与操作系统之间的软件层，这些软／硬件是可信的，并且位于安全防线之内；与此对应的，操作系统位于安全防线之外，与应用程序结合在一起，是不可信的。2019/9/742在绝大多数情况下，安全核就是一个初级的操作系统。安全核为操作系统提供服务，正如操作系统为应用程序提供服务一样。同时，正如操作系统对应用程序设置一些必要的限制一样，安全核对操作系统也要提出一些限制，虽然操作系统在实施由安全核实现的安全策略方面不起任何作用，但操作系统要保证系统的运行并且要防止由于程序错误或恶性程序引起的拒绝服务，在应用程序或操作系统中的任何错误都不能违反安全策略。2019/9/743在构造高度安全的操作系统时，安全核技术是目前唯一最常用的技术。但这并不是说可以很容易地买到一个或者可以十分容易地构造一个安全核，也不是说基于安全核的系统就是最安全的。2019/9/744引用监控器模型引用监控