第9章訪問控制

1、電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處1 電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處2討論議題討論議題 訪問控制的有關(guān)概念訪問控制的有關(guān)概念 訪問控制的策略和機制訪問控制的策略和機制電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處3訪問控制的概念和目標(biāo)訪問控制的概念和目標(biāo) 一般概念一般概念 是針對越權(quán)使用資

2、源的防御措施。是針對越權(quán)使用資源的防御措施。 基本目標(biāo)：基本目標(biāo)： 防止對任何資源（如計算資源、通信資源或信息資防止對任何資源（如計算資源、通信資源或信息資源）進行未授權(quán)的訪問。源）進行未授權(quán)的訪問。 未授權(quán)的訪問包括未授權(quán)的訪問包括： 非法用戶進入系統(tǒng)。非法用戶進入系統(tǒng)。 合法用戶對系統(tǒng)資源的非法使用。合法用戶對系統(tǒng)資源的非法使用。電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處訪問控制的目標(biāo)訪問控制的目標(biāo) 保護存儲在某些機器上的個人信息或重要信息保護存儲在某些機器上的個人信息或重要信息的保密性的保密

3、性 維護機器內(nèi)系統(tǒng)的完整性維護機器內(nèi)系統(tǒng)的完整性 減少病毒感染的機會減少病毒感染的機會4電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處5主體、客體和授權(quán)主體、客體和授權(quán) 客體（客體（Object）：規(guī)定需要保護的資源，又稱作目標(biāo)：規(guī)定需要保護的資源，又稱作目標(biāo)（target)。 主體（主體（Subject）：或稱為發(fā)起者：或稱為發(fā)起者(Initiator)，是一個主，是一個主動的實體，規(guī)定可以訪問該資源的實體，（通常指用動的實體，規(guī)定可以訪問該資源的實體，（通常指用戶或代表用戶執(zhí)行的程序）。戶或代表用

4、戶執(zhí)行的程序）。 授權(quán)（授權(quán)（Authorization)：規(guī)定可對該資源執(zhí)行的動作：規(guī)定可對該資源執(zhí)行的動作（例如讀、寫、執(zhí)行或拒絕訪問）。（例如讀、寫、執(zhí)行或拒絕訪問）。 主客體的關(guān)系是相對的。主客體的關(guān)系是相對的。電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處6訪問控制系統(tǒng)的基本組成訪問控制系統(tǒng)的基本組成 電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處訪問控制與其他安全服務(wù)的關(guān)系訪問控制與其他安全服務(wù)的

5、關(guān)系電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處8討論議題討論議題 訪問控制的有關(guān)概念訪問控制的有關(guān)概念 訪問控制的策略和機制訪問控制的策略和機制電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處9訪問控制策略與機制訪問控制策略與機制 訪問控制策略訪問控制策略(Access Control Policy)：訪問控制策略訪問控制策略在系統(tǒng)在系統(tǒng)安全策略級安全策略級上表示授權(quán)。是對訪問如何控制上表示授權(quán)。是對訪問如

6、何控制, ,如如何作出訪問決定的高層指南。何作出訪問決定的高層指南。 訪問控制機制（訪問控制機制（Access Control Mechanisms)：是訪問是訪問控制策略的軟硬件低層實現(xiàn)?？刂撇呗缘能浻布蛯訉崿F(xiàn)。 訪問控制機制與策略獨立，可允許安全機制的重用。訪問控制機制與策略獨立，可允許安全機制的重用。 安全策略之間沒有更好的說法，只是一種可以比一種安全策略之間沒有更好的說法，只是一種可以比一種提供更多的保護。應(yīng)根據(jù)應(yīng)用環(huán)境靈活使用。提供更多的保護。應(yīng)根據(jù)應(yīng)用環(huán)境靈活使用。電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用

7、請注明出處引用請注明出處訪問控制策略訪問控制策略 自主訪問控制自主訪問控制 強制訪問控制強制訪問控制 基于角色的訪問控制基于角色的訪問控制 其他訪問控制策略其他訪問控制策略10電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處自主訪問控制自主訪問控制 自主訪問控制概念自主訪問控制概念 訪問控制表訪問控制表 能力表能力表 自主訪問控制的授權(quán)管理自主訪問控制的授權(quán)管理11電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處

8、自主訪問控制概念自主訪問控制概念 自主訪問控制自主訪問控制（discretionary policies,DAC)，基于身基于身份的訪問控制份的訪問控制( (Identity Based Access Control) 特點：特點： 根據(jù)主體的身份及允許訪問的權(quán)限進行決策根據(jù)主體的身份及允許訪問的權(quán)限進行決策 。 自主是指具有某種訪問能力的主體能夠自主地將訪問自主是指具有某種訪問能力的主體能夠自主地將訪問權(quán)的某個子集授予其它主體。權(quán)的某個子集授予其它主體。 靈活性高，被大量采用。靈活性高，被大量采用。 缺點：缺點： 信息在移動過程中其訪問權(quán)限關(guān)系會被改變。信息在移動過程中其訪問權(quán)限關(guān)系會被改變

9、。12電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處訪問控制矩陣訪問控制矩陣 任何訪問控制策略最終均可被模型化為訪問矩陣形式任何訪問控制策略最終均可被模型化為訪問矩陣形式：行對應(yīng)于用戶，列對應(yīng)于目標(biāo)，每個矩陣元素規(guī)定：行對應(yīng)于用戶，列對應(yīng)于目標(biāo)，每個矩陣元素規(guī)定了相應(yīng)的用戶對應(yīng)于相應(yīng)的目標(biāo)被準(zhǔn)予的訪問許可、了相應(yīng)的用戶對應(yīng)于相應(yīng)的目標(biāo)被準(zhǔn)予的訪問許可、實施行為。實施行為。 按列看是訪問控制表內(nèi)容按列看是訪問控制表內(nèi)容, 按行看是訪問能力表內(nèi)容按行看是訪問能力表內(nèi)容電子工業(yè)出版社電子工業(yè)出版社，信息安全

10、原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處14訪問控制表訪問控制表(ACL) 每個客體附加一個它可以訪問的主體的明細表每個客體附加一個它可以訪問的主體的明細表。電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處15訪問能力表訪問能力表(CL) 每個主體都附加一個該主體可訪問的客體的明細表。每個主體都附加一個該主體可訪問的客體的明細表。電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引

11、用請注明出處引用請注明出處16ACL、CL訪問方式比較訪問方式比較(1) ACL電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處17ACL、CL訪問方式比較訪問方式比較(2) CL電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處18ACL、CL訪問方式比較訪問方式比較(3) 鑒別方面：二者需要鑒別的實體不同鑒別方面：二者需要鑒別的實體不同 保存位置不同保存位置不同 瀏覽訪問權(quán)限不同瀏覽訪問權(quán)限不同 訪問權(quán)限回收不

12、同訪問權(quán)限回收不同 多數(shù)集中式操作系統(tǒng)使用多數(shù)集中式操作系統(tǒng)使用ACL方法或類似方式方法或類似方式 由于分布式系統(tǒng)中很難確定給定客體的潛在主體集，由于分布式系統(tǒng)中很難確定給定客體的潛在主體集，在現(xiàn)代在現(xiàn)代OS中中CL也得到廣泛應(yīng)用也得到廣泛應(yīng)用電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處19ACL：基于個人和組的策略：基于個人和組的策略基于個人：根據(jù)哪些用戶可對一個目標(biāo)實施哪一種行為的基于個人：根據(jù)哪些用戶可對一個目標(biāo)實施哪一種行為的列表來表示。等價于用一個目標(biāo)的訪問矩陣列表來表示。等價于用一個目標(biāo)

13、的訪問矩陣列列來描述。來描述?；诮M：一組用戶對于一個目標(biāo)具有同樣的訪問許可。相基于組：一組用戶對于一個目標(biāo)具有同樣的訪問許可。相當(dāng)于，把訪問矩陣中多個行壓縮為一個行。實際使用時，當(dāng)于，把訪問矩陣中多個行壓縮為一個行。實際使用時，先定義組的成員先定義組的成員對用戶組授權(quán)對用戶組授權(quán)同一個組可以被重復(fù)使用同一個組可以被重復(fù)使用組的成員可以改變組的成員可以改變基于組的策略在表示和實現(xiàn)上更容易和更有效基于組的策略在表示和實現(xiàn)上更容易和更有效基礎(chǔ)基礎(chǔ)(前提前提)：一個隱含的、或者顯式的缺省策略：一個隱含的、或者顯式的缺省策略例如，全部權(quán)限否決例如，全部權(quán)限否決電子工業(yè)出版社電子工業(yè)出版社，信息安全原理

14、與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處20訪問模式訪問模式Access Mode 系統(tǒng)支持的最基本的保護客體系統(tǒng)支持的最基本的保護客體:文件，對文件文件，對文件的訪問模式設(shè)置如下的訪問模式設(shè)置如下: （1）讀）讀-拷貝拷貝(Read-copy) （2）寫）寫-刪除（刪除（write-delete） （3）運行）運行(Execute) （4）無效）無效(Null)電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處21自主訪問控制的授權(quán)管理自主訪問控

15、制的授權(quán)管理 集中式管理：只有單個的管理者或組對用戶進行訪問集中式管理：只有單個的管理者或組對用戶進行訪問控制授權(quán)和授權(quán)撤消?？刂剖跈?quán)和授權(quán)撤消。 分級式管理：一個中心管理者把管理責(zé)任分配給其它分級式管理：一個中心管理者把管理責(zé)任分配給其它管理員，這些管理員再對用戶進行訪問授權(quán)和授權(quán)撤管理員，這些管理員再對用戶進行訪問授權(quán)和授權(quán)撤消。分級式管理可以根據(jù)組織結(jié)構(gòu)而實行。消。分級式管理可以根據(jù)組織結(jié)構(gòu)而實行。 所屬權(quán)管理所屬權(quán)管理：如果一個用戶是一個客體的所有者，則：如果一個用戶是一個客體的所有者，則該用戶可以對其它用戶訪問該客體進行授權(quán)訪問和授該用戶可以對其它用戶訪問該客體進行授權(quán)訪問和授權(quán)撤消

16、。權(quán)撤消。 協(xié)作式管理：對于特定系統(tǒng)資源的訪問不能有單個用協(xié)作式管理：對于特定系統(tǒng)資源的訪問不能有單個用戶授權(quán)決定，而必須要其它用戶的協(xié)作授權(quán)決定。戶授權(quán)決定，而必須要其它用戶的協(xié)作授權(quán)決定。 分散式管理：在分散管理中，客體所有者可以把管理分散式管理：在分散管理中，客體所有者可以把管理權(quán)限授權(quán)給其他用戶。權(quán)限授權(quán)給其他用戶。 電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處22Win2000的訪問控制的訪問控制-1 DAC，采用，采用ACL 帳戶帳戶(user accounts) 定義了定義了Windo

17、ws中一個用戶所必要的信息，包括口令、安全中一個用戶所必要的信息，包括口令、安全ID(SID)、組成員關(guān)系、登錄限制，、組成員關(guān)系、登錄限制， 組：組：universal groups、global groups、local groups Account Identifier: Security identifier (SID) 時間和空間唯一時間和空間唯一,全局惟一的全局惟一的48位數(shù)字位數(shù)字 S-1-5-21-1507001333-1204550764-1011284298-500 SID帶有前綴帶有前綴S，它的各個部分之間用連字符隔開，它的各個部分之間用連字符隔開 第一個數(shù)字第一個數(shù)字(

18、本例中的本例中的1)是修訂版本編號是修訂版本編號 第二個數(shù)字是標(biāo)識符頒發(fā)機構(gòu)代碼第二個數(shù)字是標(biāo)識符頒發(fā)機構(gòu)代碼(對對Windows 2000來說總是來說總是為為5) 然后是然后是4個子頒發(fā)機構(gòu)代碼個子頒發(fā)機構(gòu)代碼(本例中是本例中是21和后續(xù)的和后續(xù)的3個長數(shù)字串個長數(shù)字串)和一個相對標(biāo)識符和一個相對標(biāo)識符(Relative Identifier，RID，本例中是，本例中是500)電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處23Win2000的訪問控制的訪問控制-2所有對對象的訪問都要通過安全子系統(tǒng)的

19、檢查所有對對象的訪問都要通過安全子系統(tǒng)的檢查系統(tǒng)中的所有對象都被保護起來系統(tǒng)中的所有對象都被保護起來文件、目錄、注冊表鍵文件、目錄、注冊表鍵內(nèi)核對象內(nèi)核對象同步對象同步對象私有對象私有對象(如打印機等如打印機等)管道、內(nèi)存、通訊，等管道、內(nèi)存、通訊，等對象的安全描述符對象的安全描述符(security descriptor)SD包含了與一個安全對象有關(guān)的安全信息包含了與一個安全對象有關(guān)的安全信息Security identifiers (SIDs) for the owner and primary group of an objectDACL(discretionary access-con

20、trol list)SACL(system access-control list)以及一組控制標(biāo)記以及一組控制標(biāo)記電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處24Win2000的訪問控制的訪問控制-3 Security Access Token 是對一個進程或者線程的安全環(huán)境的完整描述是對一個進程或者線程的安全環(huán)境的完整描述 包括以下主要信息包括以下主要信息 用戶帳戶的用戶帳戶的SID 所有包含該用戶的安全組的所有包含該用戶的安全組的SIDs 特權(quán)：該用戶和用戶組所擁有的權(quán)利特權(quán)：該用戶和用戶組所

21、擁有的權(quán)利 Owner Default Discretionary Access Control List (DACL) 這是一個基本的安全單元，每個進程一個這是一個基本的安全單元，每個進程一個電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處25共享對象的訪問權(quán)限共享對象的訪問權(quán)限訪問權(quán)限：訪問權(quán)限：（1）完全控制）完全控制（2）拒絕訪問）拒絕訪問（3）讀）讀（4）更改）更改電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用

22、請注明出處26Linux中的訪問控制中的訪問控制-1 采用采用DAC Linux系統(tǒng)將設(shè)備和目錄都看作文件。系統(tǒng)將設(shè)備和目錄都看作文件。 對文件有三種訪問權(quán)限：讀、寫、執(zhí)行對文件有三種訪問權(quán)限：讀、寫、執(zhí)行 系統(tǒng)將用戶分為四類：系統(tǒng)將用戶分為四類： 根用戶（根用戶（root)：具有最大權(quán)利：具有最大權(quán)利 所有者（所有者（Owner):文件的所有者，一般可以文件的所有者，一般可以讀寫執(zhí)行文件讀寫執(zhí)行文件 組（組（User Group):所有者所在組所有者所在組 其他用戶（其他用戶（Other Users)電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1

23、 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處27Linux中的訪問控制中的訪問控制-2 Linux文件系統(tǒng)安全模型與兩個屬性相關(guān)文件系統(tǒng)安全模型與兩個屬性相關(guān) 文件的所有者文件的所有者(ownership) 文件所有者的文件所有者的id,UID 文件所有者所在用戶組的文件所有者所在用戶組的id,GID 每個文件和其創(chuàng)建者的每個文件和其創(chuàng)建者的UID和和GID關(guān)聯(lián)關(guān)聯(lián) 一個進程通常被賦予其父進程的一個進程通常被賦予其父進程的UID和和GID Root的的UID: 0 訪問權(quán)限訪問權(quán)限(access rights): 10個標(biāo)志個標(biāo)志 第第1個標(biāo)志：個標(biāo)志：d(目錄目錄), b(塊系統(tǒng)設(shè)備塊系

24、統(tǒng)設(shè)備), c(字符設(shè)備字符設(shè)備), . (普通文件普通文件) 第第2-4個標(biāo)志：所有者的讀、寫、執(zhí)行權(quán)限個標(biāo)志：所有者的讀、寫、執(zhí)行權(quán)限 第第5-7個標(biāo)志：所有者所在組的讀、寫、執(zhí)行權(quán)限個標(biāo)志：所有者所在組的讀、寫、執(zhí)行權(quán)限 第第8-10個標(biāo)志：其他用戶的讀、寫、執(zhí)行權(quán)限個標(biāo)志：其他用戶的讀、寫、執(zhí)行權(quán)限 用用chmod修改權(quán)限：字符方式和數(shù)字方式修改權(quán)限：字符方式和數(shù)字方式電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處訪問控制策略訪問控制策略 自主訪問控制自主訪問控制 強制訪問控制強制訪問控制 基

25、于角色的訪問控制基于角色的訪問控制 其他訪問控制策略其他訪問控制策略28電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處強制訪問控制強制訪問控制 強制訪問控制的概念強制訪問控制的概念 Bell-LaPadula模型模型 Biba模型模型29電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處30強制訪問控制強制訪問控制 強制訪問控制強制訪問控制(mandatory policies,MAC)，基于規(guī)則的基于規(guī)則的訪問

26、控制訪問控制(Rule Based Access Control） 特點：取決于能用算法表達的并能在計算機上執(zhí)行的特點：取決于能用算法表達的并能在計算機上執(zhí)行的策略。策略。 將主體和客體分級，根據(jù)主體和客體的級別標(biāo)記來決將主體和客體分級，根據(jù)主體和客體的級別標(biāo)記來決定訪問模式。如，絕密級，機密級，秘密級，無密級。定訪問模式。如，絕密級，機密級，秘密級，無密級。 其訪問控制關(guān)系分為：上讀其訪問控制關(guān)系分為：上讀/下寫下寫 ， 下讀下讀/上寫上寫電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處Bell-La

27、Padula模型模型強制訪問控制強制訪問控制(MAC)中，系統(tǒng)包含主體集中，系統(tǒng)包含主體集S和客體集和客體集O，每個，每個S中的主體中的主體s及客體集中的客體及客體集中的客體o，都屬于一，都屬于一固定的安全類固定的安全類SC，安全類，安全類SC=包括兩個部分：包括兩個部分：有層次的安全級別和無層次的安全范疇。構(gòu)成一偏有層次的安全級別和無層次的安全范疇。構(gòu)成一偏序關(guān)系序關(guān)系。Bell-LaPadula：保證保密性：保證保密性-簡單安全特性（無上讀）：僅當(dāng)簡單安全特性（無上讀）：僅當(dāng)l(o)l(s)且且s對對o具有具有自主型讀權(quán)限時，自主型讀權(quán)限時，s可以讀取可以讀取o *-特性（無下寫）：僅當(dāng)特

28、性（無下寫）：僅當(dāng)l(s) l(o) 且且s對對o具有自主型寫具有自主型寫權(quán)限時，權(quán)限時，s可以寫可以寫o31電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處32MAC Information Flow 電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處Bell-LaPadula的例子的例子 電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出

29、處引用請注明出處Biba模型模型 在在Biba模型中，系統(tǒng)包含主體集合模型中，系統(tǒng)包含主體集合S、客體集合、客體集合O和一和一個完整性集合個完整性集合I，每個主體集，每個主體集S中的主體中的主體s及客體集及客體集O中中的客體的客體o，都屬于一個固定的完整性級別，都屬于一個固定的完整性級別i，這些級別，這些級別是有序的，它遵循以下原則：是有序的，它遵循以下原則： 無上寫：當(dāng)且僅當(dāng)無上寫：當(dāng)且僅當(dāng)i(s)i(o)，s S可以寫入可以寫入o O； 無下讀：當(dāng)且僅當(dāng)無下讀：當(dāng)且僅當(dāng)i(o)i(s)，s S可以讀取可以讀取o O；34電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2

30、010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處Biba模型的例子模型的例子電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處36強制訪問控制的授權(quán)管理強制訪問控制的授權(quán)管理 在強制訪問控制中，允許的訪問控制完全是根在強制訪問控制中，允許的訪問控制完全是根據(jù)主體和客體的安全級別決定。其中主體（用據(jù)主體和客體的安全級別決定。其中主體（用戶、進程）的安全級別是由系統(tǒng)安全管理員賦戶、進程）的安全級別是由系統(tǒng)安全管理員賦予用戶，而客體的安全級別則由系統(tǒng)根據(jù)創(chuàng)建予用戶，而客體的安全級別則由系統(tǒng)

31、根據(jù)創(chuàng)建它們的用戶的安全級別決定。因此，強制訪問它們的用戶的安全級別決定。因此，強制訪問控制的管理策略是比較簡單的，只有安全管理控制的管理策略是比較簡單的，只有安全管理員能夠改變主體和客體的安全級別。員能夠改變主體和客體的安全級別。 電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處訪問控制策略訪問控制策略 自主訪問控制自主訪問控制 強制訪問控制強制訪問控制 基于角色的訪問控制基于角色的訪問控制 其他訪問控制策略其他訪問控制策略37電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，201

32、0.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處基于角色的訪問控制基于角色的訪問控制 基于角色的訪問控制的概念基于角色的訪問控制的概念 NIST-RBAC參考模型參考模型38電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處基于角色的策略基于角色的策略 基于角色的訪問控制基于角色的訪問控制 (role-based policies，RBAC) 基本思路：管理員創(chuàng)建角色，給角色分配權(quán)限，給角基本思路：管理員創(chuàng)建角色，給角色分配權(quán)限，給角色分配用戶，角色所屬的用戶可以執(zhí)行相應(yīng)的權(quán)限色分配用戶

33、，角色所屬的用戶可以執(zhí)行相應(yīng)的權(quán)限39電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處40RBAC的安全原則的安全原則3條安全原則條安全原則:最小權(quán)限最小權(quán)限:只把必須的權(quán)限分配給角色只把必須的權(quán)限分配給角色責(zé)任分離責(zé)任分離(separation of duties)多個互斥的角色合作完成重要工作多個互斥的角色合作完成重要工作數(shù)據(jù)抽象數(shù)據(jù)抽象:可以定義抽象的權(quán)限，而不僅僅是可以定義抽象的權(quán)限，而不僅僅是OS中的讀、寫、中的讀、寫、執(zhí)行等執(zhí)行等電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與

34、應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處41NIST RBAC參考模型參考模型 Proposed by NIST in 2000 基本基本RBAC（Core RBAC） 分級分級RBAC（Hierarchical RBAC） 靜態(tài)責(zé)任分離（靜態(tài)責(zé)任分離（Static Separation of Duty Relations） 動態(tài)責(zé)任分離（動態(tài)責(zé)任分離（Dynamic Separation of Duty relations）電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請

35、注明出處42基本基本基本基本 RBAC 包括五個基本數(shù)據(jù)元素包括五個基本數(shù)據(jù)元素: 用戶用戶users(USERS)、角色、角色roles（ROLES）、目標(biāo)）、目標(biāo)objects（OBS）、操）、操作作operations(OPS)、許可權(quán)、許可權(quán)permissions(PRMS)電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處43基本基本RBAC USERS: 可以是人、設(shè)備、進程可以是人、設(shè)備、進程Permission:是對被保護目標(biāo)執(zhí)行是對被保護目標(biāo)執(zhí)行OPS的許可的許可UA: user ass

36、ignment relations PA :permission assignment relationsSession_roles:session激活的角色激活的角色User_sessions:與用戶相聯(lián)系的會話集合與用戶相聯(lián)系的會話集合 電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處44等級等級 RBAC 角色的結(jié)構(gòu)化分層是反映一個組織的授權(quán)和責(zé)任的自角色的結(jié)構(gòu)化分層是反映一個組織的授權(quán)和責(zé)任的自然方式。然方式。 定義了角色的繼承關(guān)系定義了角色的繼承關(guān)系Role r1 “inherits” rol

37、e r2,角色角色r2的權(quán)限同樣是的權(quán)限同樣是r1的權(quán)限。的權(quán)限。電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處45有約束的有約束的RBAC 增加了責(zé)任分離，用于解決利益的沖突，增加了責(zé)任分離，用于解決利益的沖突，防止用戶超越權(quán)限防止用戶超越權(quán)限 靜態(tài)責(zé)任分離（靜態(tài)責(zé)任分離（Static Separation of Duty Relations） 動態(tài)責(zé)任分離（動態(tài)責(zé)任分離（Dynamic Separation of Duty relations）電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安

38、全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處46靜態(tài)責(zé)任分離靜態(tài)責(zé)任分離 對用戶分配的角色對用戶分配的角色 進行約束，也就是當(dāng)用戶被進行約束，也就是當(dāng)用戶被分配給一個角色時，禁止其成為第二個角色。分配給一個角色時，禁止其成為第二個角色。電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處47動態(tài)責(zé)任分離動態(tài)責(zé)任分離 SSD直接在用戶的許可空間進行約束直接在用戶的許可空間進行約束 DSD通過對用戶會話過程進行約束通過對用戶會話過程進行約束 對最小特權(quán)提供支持：在不同的時間擁有不同的權(quán)限對最小特權(quán)提供支持：在不同的時間擁有不同的權(quán)限電子工業(yè)出版社電子工業(yè)出版社，信息安全原理與應(yīng)用信息安全原理與應(yīng)用，2010.12010.1 版權(quán)所有版權(quán)所有,引用請注明出處引用請注明出處48RBAC的優(yōu)勢的優(yōu)勢 便于授權(quán)管理，如系統(tǒng)管理員需要修改系統(tǒng)設(shè)置等內(nèi)便于授權(quán)管理，如系統(tǒng)管理員需要修改系統(tǒng)設(shè)置等內(nèi)容時