第8章-访问控制

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第8章 访问控制,李文媛,教学目标,本章介绍访问控制的原理、作用、分类和研究前沿，重点介绍自主访问控制、强制访问控制和基于角色的访问控制。,通过本章的学习，应该掌握以下内容：,(1)自主访问控制；,(2)强制访问控制；,(3)基于角色的访问控制。,教学内容, 8.1 访问控制原理, 8.2 自主访问控制, 8.3 强制访问控制, 8.4 基于角色的访问控制, 8.5 常用操作系统中的访问控制,8.1 访问控制原理,一、访问控制定义, 访问,是使信息在,主体和对象,间流动的一种交互方式。,访问控制,是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。,访问控制的目的,是为了限制主体对客体的访问权限-能够访问系统的何种资源以及如何使用这些资源。,4, 主体（Subject）,是指主动的实体，该实体造成了信息的流动和系统状态的改变。,主体通常包括,用户、进程和服务,。, 客体（Object）,是指包含或接受信息的被动实体。对客体的访问意味着对其中所包含信息的访问。,客体通常包括,记录、块、页、段、文件、目录、目录树和程序以及位、字节、字、字段处理器、显示器、键盘、时钟、打印机和网络节点、系统,。,5,二、访问控制的任务,识别和确认访问系统的用户；,决定该用户可以对某一资源进行何种类型的访问。,访问控制可以用三元组来表示：,S，主体集合(Subject set),O，对象集合(Object set),A，访问权(属性)集合(Attribution set)，包括读、写、执行等。,6,三、访问控制模型,访问控制模型是规定如何作出访问决定的模型。,实现访问控制的一般模型是访问矩阵,（Access Matrix）,。,访问控制模型包括一组由操作规则定义的基本操作状态。典型的状态包含：, 一组主体（S）；, 一组对象（O）；, 一组访问权（AS，O）（包括读、写、执行和拥有）。,7,对于任意一个 都存在相应的一个 它代表了,s,i,可以对o,j,执行的操作。,8,这些授权对于主体可表示为,访问权限,，对于客体可表示为,访问模式,。显然，,访问权限应是访问模式的子集,。,表8-1 访问矩阵,权限,客体,主,体,读写,拥有,执行,修改,9,自主,访问控制,强制,访问控制,基于角色,访问控制,访问控制,图8-1 三种访问控制模型,访问控制模型涵盖对象、主体和操作，通过对访问者的控制达到保护重要资源的目的。,访问控制模型能提供机密性、完整性及记帐性。,访问控制模型一般包括三种：,自主访问控制,、,强制访问控制,和,基于角色的访问控制,。,10,四、访问控制的类型,访问控制主要包括六种类型：,防御型控制,用于阻止不良事件的发生。,探测型控制,用于探测已经发生的不良事件。,矫正型控制,用于矫正已经发生的不良事件。,管理型控制,用于管理系统的开发、维护和使用，针对系统的策略、规程、行为规范、个人的角色和义务、个人职能和人事安全决策。,11,技术型控制,是用于为信息技术系统和应用提供自动保护的硬件和软件控制手段。,操作型控制,是用于保护操作系统和应用的日常规程和机制。,五、 访问控制的手段,访问控制的手段可分为,三,个层次：,物理类,、,管理类,、,技术类,控制手段，每个层次又可分为,防御型和探测型,。,12,表8-2 访问控制的手段分类说明,物理类控制手段,管理类控制手段,技术类控制手段,防,御,型,控,制,文书备份,安全知识培训,访问控制软件,围墙和栅栏,职务分离,防病毒软件,保安,职员雇用手续,库代码控制系统,证件识别系统,职员离职手续,口令,加锁的门,监督管理,智能卡,双供电系统,灾难恢复和应急计划,加密,生物识别型门禁系统,计算机使用的登记,拨号访问控制和回叫系统,工作场所的选择,灭火系统,探测型手段,移动监测探头,安全评估和审计,日志审计,烟感和温感探头,性能评估,入侵探测系统,闭路监控,职务轮换,传感和报警系统,背景调查,13,教学内容, 8.1 访问控制原理, 8.2 自主访问控制, 8.3 强制访问控制, 8.4 基于角色的访问控制, 8.5 常用操作系统中的访问控制,自主访问控制（Discretionary Access Control，DAC）是,基于对主体或主体所属的主体组的识别来限制对客体的访问,。,自主,是指主体能够自主的(可能是间接的)将访问权限或访问权的某个子集授予其他主体。,8.2 自主访问控制,15,自主访问控制中一个主体的访问权限具有传递性。,如某交互系统的工作流程：,用户登录；,启动某个进程为该用户做某项工作,进程就继承了该用户的属性，包括访问权限。, 访问,控制灵活,、可实现,细粒度,访问控制。常用的操作系统中的文件系统支持DAC策略。, 能够控制主体对客体的直接访问，但,不能控制主体对客体的间接访问,（利用访问的传递性）。,难于集中,进行访问控制和访问权力管理，,容易导致权限泄露,。,16,8.2.1 访问控制表方案,访问控制表（Access Control List，ACL）是,以客体为中心，,用,访问矩阵,来表示主体对客体的访问权限。即：每一个客体（目标对象）都基于ACL来表示每个主体（用户）对该客体的访问权限。,User A,Own,R,W,User B,R,User C,R,W,Object1,图8-2 访问控制列表,访问控制列表最适合于有相对少的需要被区分的用户，并且这些用户中的绝大多数是稳定的情况。如果访问控制列表太大或经常改动，维护访问控制列表会成为最主要的问题。,17,8.2.2 访问能力表方案,访问能力,是指请求访问的发起者所拥有的一个有效标签，它表明授权标签持有者可以以特定的方式访问特定的客体。,访问能力表（ Capabilities List，CL）也用一种矩阵表示法，但,以主体为中心,。每个主体对应有一个访问能力表，指出其对各个客体的访问权限。,Obj1,Own,R,W,Obj2,R,Obj3,R,W,User A,图8-3 访问能力表,这种方法的优缺点与ACL相反。,在分布式系统中，可允许,主体,只进行,一次认证,便获得它的,CL,，不必在会话期间不断地对各个分布的系统进行授权申请和处理。,18,授权关系方案,授权关系（Authorization relations）这种方案是ACL与CL的结合，使用,关系,来表示访问矩阵。,每个关系表示一个主体对一个客体的访问权限，并使用,关系数据库,来存放这个访问矩阵。,表8-3 使用关系来表示访问矩阵,用户A,权限,目标,User A,R,Obj1,User A,W,Obj1,User A,W,Obj2,User A,R,Obj2,这种方法对于主体和客体的授权处理都比较方便，但本身的实现开销较大。,19,教学内容, 8.1 访问控制原理, 8.2 自主访问控制, 8.3 强制访问控制, 8.4 基于角色的访问控制, 8.5 常用操作系统中的访问控制,强制访问控制（Mandatory Access Control，MAC）是一种不允许主体干涉的访问控制类型，是基于,安全标识,和,信息分级,的访问控制。,在MAC模型中，由一个授权机构预先定义主体的可信任级别和客体的敏感程度，所有,主体（用户、进程）,和,客体（文件、数据）,都被分配了安全标签，安全标签标识一个安全等级，如绝密级、机密级、秘密级和无密级。,8.3 强制访问控制,21,访问控制执行时根据主体和客体的安全级别标记来决定访问模式，实现单向信息流通。,保障信息完整性,上读/下写,策略,低级别的主体可以读高级别客体的信息；,低级别的主体不能写高级别的客体。,保障信息机密性,下读/上写,策略,低级别的主体不可以读高级别客体的信息；,低级别的主体可以写高级别的客体。,22, 能够,避免,DAC策略中出现的访问传递问题。, 具有,强制性和层次性,的特点。比如，高级别的权限可访问低级别的数据。, 缺点在于访问级别的,划分不够细致,，在同级别之间缺乏控制机制。,23,在上述两种传统的访问控制中，,主体始终是和特定的实体捆绑对应的,。用户以固定的用户名注册，系统分配一定的权限，该用户将始终以该用户名访问系统，直至销户。其间，用户的权限可以变更，但必须在系统管理员的授权下才能进行。在实际应用中，不能满足需要，主要问题在于：, 同一用户在不同的场合需要以不同的权限访问系统，这需要管理员授权，十分不便。, 当用户量大增时，按每用户一个注册账号的方式将使得系统管理变得复杂。, 不容易实现层次化分权管理，尤其是当同一用户在不同场合处在不同的权限层次时，管理很难实现。,24,教学内容, 8.1 访问控制原理, 8.2 自主访问控制, 8.3 强制访问控制, 8.4 基于角色的访问控制, 8.5 常用操作系统中的访问控制,基于角色的访问控制（Role Based Access Control，RBAC）是对自主访问控制和强制访问控制机制的改进，它基于用户在系统中所起的作用（角色）来规定其访问权限。,在基于角色的访问控制模型中，,用户不是自始至终以同样的注册身份和权限访问系统，而是以一定的角色访问。,用户在访问系统前，经过角色认证而充当相应的角色，,用户获得特定角色后，系统依然可以按照自主访问或强制访问机制控制角色的访问能力。,8.4 基于角色的访问控制,26,8.4.1 角色的概念,角色（rule）,可被定义为与一个特定活动相关联的一组动作和责任。角色包括特征、责任和资格等。,主体担任角色，完成角色规定的责任，具有角色拥有的权限。,一个主体可以同时担任多个角色，它的权限就是多个角色权限的总和,。基于角色的访问控制就是通过各种角色的不同搭配授权来尽可能实现主体的最小权限。,例如，担任系统管理员的用户便有维护系统文件的责任和权限，而并不管这个用户是谁。,27,8.4.2 基于角色的访问控制,基于角色的访问控制就是通过定义角色的权限，为系统中的主体分配角色来实现访问控制的。,S,2,R,O,1,角色层(自定义),R,1,(最高层),R,2,R,n,(最低层),图8-4 RBAC的基本思想,S,3,S,1,O,2,O,3,S,4,28,图8-5 RBAC模型,29,RBAC模型的特点：,提供了三种授权管理的控制途径,改变客体的访问权限,改变角色的访问权限,改变主体所担任的角色,具有层次化的管理结构,支持最小特权。,由于对主体的授权是通过角色定义，因此调整角色的权限粒度可以做到更有针对性，不容易出现多余权限。,支持权责分离,30,教学内容, 8.1 访问控制原理, 8.2 自主访问控制, 8.3 强制访问控制, 8.4 基于角色的访问控制,8.5 常用操作系统中的访问控制,8.5 常用操作系统中的访问控制,操作系统安全的重要性,操作系统作为计算机系统的基础软件是用来管理计算机资源、控制整个系统而运行的。它直接和硬件打交道，并为用户提供使用和编程接口。,各种计算机应用软件均建立在操作系统提供的系统平台之上，它们都是通过操作系统完成对系统中信息的存取和处理。所以上层的应用软件要想获得运行的高可靠性和信息的完整性与保密性，就必须依赖操作系统提供的系统软件基础。,32,各种数据库通常也是建立在操作系统之上的，它们依靠操作系统安全机制的支持，实现对数据的安全存取。因此，数据库的安全可靠性也是依赖于操作系统平台的。,网络环境中，网络系统的安全性依赖于网络中各主机系统的安全性，而主机系统的安全性正是由操作系统的安全性所决定的，没有安全的操作系统的支持，网络安全也毫无根基可言。,因此，可以说操作系统的安全是整个计算机系统安全的基础，没有操作系统安全，就不可能真正解决数据库安全、网络安全和其他应用软件的安全问题。,33,操作系统的安全服务,操作系统的安全机制主要体现在,身份认证,和,访问控制,两个方面：,身份认证,是要保护合法的用户使用系统，防止非法入侵。,访问控制,是要保证授权和受控的访问、使用系统资源。,身份认证,访问控制,系,统,34,认证机制与访问控制机制不能很好地相互配合和衔接,，使得通过认证的合法用户进行的非法操作的机会大大增加。,例如，能够物理上访问Windows NT机器的任何人，可能用工具程序来获得,Administrator,级别的访问权。,35,8.5.1 Windows 2003 Server 的访问控制,Windows 2003具有,模块化,的设计结构。该操作系统由一组软件模块构成，称为执行程序服务，运行在内核模式下。在内核模式之上的是用户模式，用户模式由非特权的服务组成，称为保护子系统，它们的启动由用户来决定。,36,Windows 2003的安全性依赖于Windows 2003的核心层，它们在每个层次提供一致的安全模型。 Windows 2003的安全模型由几个关键的子系统构成，这些安全子系统控制着Windows 2003操作系统，是与操作系统密不可分的。,Windows 2003安全模型主要由,登录过程,、,本地安全认证,、,安全账号管理器,、,安全参考监视器,构成。,1. Windows 2003 的安全模型与基本概念,37,登录过程(Logon Process，LP),接受本地用户或者远程用户的登录请求，用以确认用户身份是否合法，从而确定用户对系统资源的访问权限。,本地安全认证,(Local Security Authority，LSA),Windows 2003安全模型的核心，它通过确认安全账号管理器中的数据信息来处理用户从本地或远程的登录。,安全账号管理器,(Security Account Manager，SAM),维护安全账号管理数据库，即SAM数据库。,安全参考监视器,(Security Reference Monitor，SRM),检查主体的访问权限，阻止非授权用户访问对象。,Windows 2003 的安全模型,38,安全标识符(SID)。,安全标识符和账号唯一对应，在账号创建时创建，账号删除时删除，而且永不再用。,它与对应的用户和组的账号信息一起存储在SAM数据库里。, 访问令牌(Access Token)。,用户登录时，本地安全认证产生一个访问令牌，包括用户名、所在组和安全标识等信息。以后用户的所有进程均有访问令牌的拷贝。,主体。,用户进行的操作和访问令牌一起构成一个主体。,对象。,封装了数据和处理过程的一系列信息的集合。,安全描述符（SD）。,包含了该对象的一组安全属性。,Windows 2003 的基本概念,39,用户登录时，登录主机把用户输入的信息通过安全系统传输到安全账号管理器，并由安全账号管理器把此信息同安全账号数据库进行比较，如果两者匹配，则允许用户进行访问，,然后本地安全认证开始构造访问令牌，将访问令牌与用户进行的所有操作相连接，构成一个主体。主体访问一个对象时，将由访问令牌的内容决定是否能够访问。,当用户或者用户生成的进程要访问某个对象时，安全参考监视器将用户/进程的访问令牌中的SID与对象安全描述符中的自主访问控制表进行比较，从而决定用户是否有权访问对象。,2. Windows 2003 的访问控制过程,40,1.用户和用户组,在Windows 2003中，每个用户必须有一个帐号。用户帐号是系统安全的核心，系统网络中发生的一切活动都可以以此帐号追溯到特定的授权用户。在登录计算机时，系统将用户帐号数据信息同用户的安全数据库进行比较，若两者匹配，则允许用户登录。,用户帐号决定用户对资源的访问权限。,帐号分两种：管理员权限和访问者权限。,Windows 2003 Server 安全管理,41,Windows 2003还支持用户组，通过用户组为一组相关的用户同时设定权利和权限，组中所有用户都将拥有这些属性，所以用户组在本质上是一个包含其他帐号的集合帐号。一个用户可以同时属于多个用户组。,42,2.活动目录,活动目录服务是Windows 2003 Server最重要的功能之一，它可将网络中各种对象组合起来进行管理，方便了网络对象的查找，加强了网络的安全性，并有利于用户对网络的管理。活动目录是一种目录服务，,它存储有关网络对象的信息,，例如用户、组、计算机、共享资源、打印机和联系人等信息，并使管理员和用户可以方便的查找和使用这些网络信息。通过活动目录，用户可以对用户与计算机、域、信任关系，以及站点与服务进行管理。活动目录具有可扩展性与可调整性。,43,3.,安全审计,Windows 2003,系统的审计消息都被记录在日志文件中，它包含,3,类日志：系统日志、应用日志和安全日志。,44,本章小结,访问控制技术,自主访问控制,强制访问控制,基于角色的访问控制,常见操作系统中的访问控制,45,习题,一、填空题,1.,访问控制,的目的是为了限制访问主体对访问客体的访问权限。,二、简答题,1. 简述主机访问控制几种模型的特点。,46,