BIT5信息系统安全机制-访问控制

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,访问控制技术,孙建伟,计算机网络攻防对抗技术实验室,北京理工大学,内容概,要,要,访问控,制,制原理,自主访,问,问控制,强制访,问,问控制,基于角,色,色的访,问,问控制,常用操,作,作系统,中,中的访,问,问控制,概念,通常应,用,用在信,息,息系统,的,的安全,设,设计上,。,。,定义：,在,在保障,授,授权用,户,户能获,取,取所需,资,资源的,同,同时拒,绝,绝非授,权,权用户,的,的安全,机,机制。,目的：,为,为了限,制,制访问,主,主体对,访,访问客,体,体的访,问,问权限,，,，从而,使,使计算,机,机系统,在,在合法,范,范围内,使,使用；,它,它决定,用,用户能,做,做什么,，,，也决,定,定代表,一,一定用,户,户身份,的,的进程,能,能做什,么,么。,未授权,的,的访问,包,包括：,未,未经授,权,权的使,用,用、泄,露,露、修,改,改、销,毁,毁信息,以,以及颁,发,发指令,等,等。,非法用,户,户进入,系,系统。,合法用,户,户对系,统,统资源,的,的非法,使,使用。,客体（Object,）,）：规定,需,需要保,护,护的资,源,源，又,称,称作目,标,标（target),。,。,主体（Subject）：或称,为,为发起,者,者(Initiator),，,，是一,个,个主动,的,的实体,，,，规定,可,可以访,问,问该资,源,源的实,体,体，（,通,通常指,用,用户或,代,代表用,户,户执行,的,的程序,）,）。,授权（Authorization)：规定,可,可对该,资,资源执,行,行的动,作,作（例,如,如读、,写,写、执,行,行或拒,绝,绝访问,）,）。,访问控,制,制模型,基,基本组,成,成,任务,识别和,确,确认访,问,问系统,的,的用户,。,。,认证,鉴权,决定该,用,用户可,以,以对某,一,一系统,资,资源进,行,行何种,类,类型的,访,访问。,授权,审计,访问控,制,制与其,他,他安全,服,服务的,关,关系模,型,型,引用监,控器,身份认,证,证,访问控,制,制,授权数,据,据库,用户,目标,目标,目标,目标,目标,审,计,计,安全管,理,理员,访问控,制,制决策,单,单元,访问控,制,制的一,般,般实现,机,机制和,方,方法,一般实,现,现机制,基于访,问,问控制,属,属性,访,访问控,制,制表/,矩,矩阵,基于用,户,户和资,源,源分档,（,（“安,全,全标签,”,”）,多,多级访,问,问控制,常见实,现,现方法,访问控,制,制表（ACL,),),访问能,力,力表（Capabilities,),),授权关,系,系表,访问矩,阵,阵,定义,客体(O),主体(S),权限(A),读(R)写(W)拥有(Own)执行(E)更改(C),举例,问题：,稀,稀疏矩,阵,阵，浪,费,费空间,。,。,访问控,制,制类型,自主,访问控,制,制,强制,访问控,制,制,基于角,色,色,访问控,制,制,访问控,制,制,自主访,问,问控制,Discretionary AccessControl,概念,基于对,主,主体或,主,主体所,属,属的主,体,体组的,识,识别来,限,限制对,客,客体的,访,访问，,这,这种控,制,制是自,主,主的。,自主指,主,主体能,够,够自主,地,地将访,问,问权或,访,访问权,的,的某个,子,子集授,予,予其他,主,主体。,如用户A可将,其,其对目,标,标O的,访,访问权,限,限传递,给,给用户B,从,而,而使不,具,具备对O访问,权,权限的B可访,问,问O。,缺点：,信息在,移,移动过,程,程中其,访,访问权,限,限关系,会,会被改,变,变：安,全,全问题,访问控,制,制表（AccessControlList）,基于访,问,问控制,矩,矩阵列的自主,访,访问控,制,制。,每个客体都有一,张,张ACL，用,于,于说明,可,可以访,问,问该客,体,体的主,体,体及其,访,访问权,限,限。,举例：,客体目,录,录,ACL表,o:Owner,r:Read,w:Write,e:Excute,oj表示客,体,体j，si.rw,表,表示主,体,体si具有rw属性,。,。,o,j,问题：,主体、,客,客体数,量,量大，,影,影响访,问,问效率,。,。,解决：,引入用,户,户组，,用,用户可,以,以属于,多,多个组,。,。,主体标,识,识=主,体,体.组,名,名,如Liu.INFO,表,表示INFO,组,组的liu用,户,户。,*.INFO,表,表示所,有,有组中,的,的用户,。,。,*.*,表,表示所,有,有用户,。,。,liu,.,.INFO.rw表,示,示对INFO,组,组的用,户,户liu具有rw权,限,限。,*.INFO,.,.rw,表,表示对INFO组的,所,所有用,户,户具有rw权,限,限。,*.*,.,.rw,表,表示对,所,所有用,户,户具有rw权,限,限。,o,j,访问能,力,力表（AccessCapabilities List,）,）,基于访,问,问控制,矩,矩阵行的自主,访,访问控,制,制。,为每个,主,主体（,用,用户）,建,建立一,张,张访问,能,能力表,，,，用于,表,表示主,体,体是否,可,可以访,问,问客体,，,，以及,用,用什么,方,方式访,问,问客体,。,。,文件名,客体(文件),File1,File2,File3,o:Owner,r:Read,w:Write,e:Excute,举例：,权限,用户A的目录,用户B的目录,访问能,力,力表,强制访,问,问控制,MandatoryAccess Control,概念,为所有,主,主体和,客,客体指,定,定安全,级,级别，,比,比如绝,密,密级、,机,机密级,、,、秘密,级,级、无,秘,秘级。,不同级,别,别的主,体,体对不,同,同级别,的,的客体,的,的访问,是,是在强,制,制的安,全,全策略,下,下实现,的,的。,只有安,全,全管理,员,员才能,修,修改客,体,体访问,权,权和转,移,移控制,权,权。（,对,对客体,拥,拥有者,也,也不例,外,外）,MAC,模,模型,绝密级,机密级,秘密级,无秘级,写,写,读,读,完整性,保密性,安全策,略,略,保障信,息,息完整,性,性策略,级别低,的,的主体,可,可以读,高,高级别,客,客体的,信,信息（,不,不保密,）,），级,别,别低的,主,主体不,能,能写高,级,级别的,客,客体（,保,保障信,息,息完整,性,性）,保障信,息,息机密,性,性策略,级别低,的,的主体,可,可以写,高,高级别,客,客体的,信,信息（,不,不保障,信,信息完,整,整性）,，,，级别,低,低的主,体,体不可,以,以读高,级,级别的,客,客体（,保,保密）,举例：,Security-EnhancedLinux,(,(SELinux)for RedHatEnterpriseLinux,AppArmorforSUSELinuxandUbuntu,TrustedBSD forFreeBSD,基于角,色,色的访,问,问控制,Role Based AccessControl,概念,起源于UNIX系统或,别,别的操,作,作系统,中,中组的,概,概念（,基,基于组,的,的自主,访,访问控,制,制的变,体,体）,每个角,色,色与一,组,组用户,和,和有关,的,的动作,相,相互关,联,联，角,色,色中所,属,属的用,户,户可以,有,有权执,行,行这些,操,操作,角色与,组,组的区,别,别,组：一,组,组用户,的,的集合,角色：,一,一组用,户,户的集,合,合+一,组,组操作,权,权限的,集,集合,RBAC模型,用,户,户,角,色,色,权,限,限,访问控,制,制,资,源,源,1、认证,2、分派,3、请求,4、分派,5、访问,角色控,制,制优势,便于授,权,权管理,授权操,作,作：,n*m变成n*r,+,+r*m=r,*,*(n,+,+m),便于角,色,色划分,便于赋,予,予最小,特,特权,便于职,责,责分担,便于目,标,标分级,一个基,于,于角色,的,的访问,控,控制的,实,实例,在银行,环,环境中,，,，用户,角,角色可,以,以定义,为,为出纳员,、,、分行,管,管理者,、,、顾客,、,、系统,管,管理者,和,和审计,员,员,访问控,制,制策略,的,的一个,例,例子如,下,下：,（1）,允,允许一,个,个出纳,员,员修改,顾,顾客的,帐,帐号记,录,录（包,括,括存款,和,和取款,、,、转帐,等,等），,并,并允许,查,查询所,有,有帐号,的,的注册,项,项,（2）,允,允许一,个,个分行,管,管理者,修,修改顾,客,客的帐,号,号记录,（,（包括,存,存款和,取,取款，,但,但不包,括,括规定,的,的资金,数,数目的,范,范围）,并,并允许,查,查询所,有,有帐号,的,的注册,项,项，也,允,允许创,建,建和终,止,止帐号,（3）,允,允许一,个,个顾客,只,只询问,他,他自己,的,的帐号,的,的注册,项,项,（4）,允,允许系,统,统的管,理,理者询,问,问系统,的,的注册,项,项和开,关,关系统,，,，但不,允,允许读,或,或修改,用,用户的,帐,帐号信,息,息,（5）,允,允许一,个,个审计,员,员读系,统,统中的,任,任何数,据,据，但,不,不允许,修,修改任,何,何事情,系统需,要,要添加,出,出纳员,、,、分行,管,管理者,、,、顾客,、,、系统,管,管理者,和,和审计,员,员角色,所,所对应,的,的用户,，,，按照,角,角色的,权,权限对,用,用于进,行,行访问,控,控制。,常用操,作,作系统,中,中的访,问,问控制,国际安,全,全标准,1984年，,美,美国国,防,防部发,布,布了,可,可信计,算,算机系,统,统评估,标,标准,（,（TCSEC,）,），即,桔,桔皮书,。,。,TCSEC采,用,用等级,评,评估的,方,方法，,将,将计算,机,机安全,分,分为A,、,、B、C、D,四,四个等,级,级八个,级,级别，D等安,全,全级别,最,最低，A安全,级,级别最,高,高。,现在大,多,多数通,用,用操作,系,系统（WindowsNT,、,、Linux,等,等）为C2级,别,别，即,控,控制访,问,问保护,级,级。,WindowsNT,(,(自,主,主访问,控,控制),Windows安全,模,模型,SecurityAccount Manager,LocalSecurityAuthority,(,(LSA),SecurityReferenceMonitor,访问控,制,制过程,组成部,件,件：,安全标,识,识：帐,号,号的唯,一,一对应,。,。,访问令,牌,牌：LSA,为,为用户,构,构造的,，,，包括,用,用户名,、,、所在,组,组名、,安,安全标,识,识等。,主体：,操,操作和,令,令牌。,对象、,资,资源、,共,共享资,源,源,安全描,述,述符：,为,为共享,资,资源创,建,建的一,组,组安全,属,属性,所有者,安,安全标,识,识、组,安,安全标,识,识、自主访,问,问控制,表,表、系统,访,访问控,制,制表、,访,访问控,制,制项。,登录过,程,程,服务器,为,为工作,站,站返回,安,安全标,识,识，服,务,务器为,本,本次登,录,录生成,访,访问令,牌,牌,用户创,建,建进程P时，,用,用户的,访,访问令,牌,牌复制,为,为进程,的,的访问,令,令牌。,P进程,访,访问对,象,象时，SRM,将,将进程,访,访问令,牌,牌与对,象,象的自,主,主访问,控,控制表,进,进行比,较,较，决,定,定是否,有,有权访,问,问对象,。,。,NTFS的访问,控,控制,从文件,中,中得到,安,安全描,述,述符（,包,包含自,主,主访问,控,控制表,）,）；,与访问,令,令牌（,包,包含安,全,全标识,）,）一起,由,