BIT5 信息系統(tǒng)安全機制-訪問控制

1、訪問控制技術(shù)孫建偉計算機網(wǎng)絡(luò)攻防對抗技術(shù)實驗室北京理工大學(xué)內(nèi)容概要n訪問控制原理n自主訪問控制n強制訪問控制n基于角色的訪問控制n常用操作系統(tǒng)中的訪問控制概念n通常應(yīng)用在信息系統(tǒng)的安全設(shè)計上。n定義：在保障授權(quán)用戶能獲取所需資源的同時拒絕非授權(quán)用戶的安全機制。n目的：為了限制訪問主體對訪問客體的訪問權(quán)限，從而使計算機系統(tǒng)在合法范圍內(nèi)使用；它決定用戶能做什么，也決定代表一定用戶身份的進程能做什么。n未授權(quán)的訪問包括：未經(jīng)授權(quán)的使用、泄露、修改、銷毀信息以及頒發(fā)指令等。n非法用戶進入系統(tǒng)。n合法用戶對系統(tǒng)資源的非法使用。n客體（Object）：規(guī)定需要保護的資源，又稱作目標（target)。n主體

2、（Subject）：或稱為發(fā)起者(Initiator)，是一個主動的實體，規(guī)定可以訪問該資源的實體，（通常指用戶或代表用戶執(zhí)行的程序）。n授權(quán)（Authorization)：規(guī)定可對該資源執(zhí)行的動作（例如讀、寫、執(zhí)行或拒絕訪問）。訪問控制模型基本組成發(fā)起者發(fā)起者Initiator訪問控制實施功能訪問控制實施功能AEF訪問控制決策功能訪問控制決策功能ADF目標目標Target提交訪問請求提交訪問請求SubmiSubmit tA Access Requestccess Request提出訪問請求提出訪問請求PresentAccess Request請求決策請求決策Decision Request決

3、策決策Decision任務(wù)n識別和確認訪問系統(tǒng)的用戶。n認證n鑒權(quán)n決定該用戶可以對某一系統(tǒng)資源進行何種類型的訪問。n授權(quán)n審計訪問控制與其他安全服務(wù)的關(guān)系模型 引用監(jiān)引用監(jiān) 控器控器身份認證身份認證訪問控制訪問控制授權(quán)數(shù)據(jù)庫授權(quán)數(shù)據(jù)庫用戶用戶目目標標目目標標目目標標目目標標目目標標審審 計計安全管理員安全管理員訪問控訪問控制決策制決策單元單元訪問控制的一般實現(xiàn)機制和方法訪問控制的一般實現(xiàn)機制和方法一般實現(xiàn)機制一般實現(xiàn)機制 基于訪問控制屬性 訪問控制表/矩陣 基于用戶和資源分檔（“安全標簽”） 多級訪問控制常見實現(xiàn)方法常見實現(xiàn)方法 訪問控制表（ACL) 訪問能力表（Capabilities)

4、授權(quán)關(guān)系表訪問矩陣n定義客體(O)主體(S)權(quán)限(A)讀讀(R)寫寫(W)擁有擁有(Own)執(zhí)行執(zhí)行(E)更改更改(C) n舉例問題：稀疏矩陣，浪費空間。訪問控制類型自主訪問控制強制訪問控制基于角色訪問控制訪問控制自主訪問控制Discretionary Access Control概念n基于對主體或主體所屬的主體組的識別來限制對客體的訪問，這種控制是自主的。n自主指主體能夠自主地將訪問權(quán)或訪問權(quán)的某個子集授予其他主體。如用戶A可將其對目標O的訪問權(quán)限傳遞給用戶B,從而使不具備對O訪問權(quán)限的B可訪問O。n缺點： 信息在移動過程中其訪問權(quán)限關(guān)系會被改變：安全問題訪問控制表（Access Contr

5、ol List）n基于訪問控制矩陣列的自主訪問控制。n每個客體都有一張ACL，用于說明可以訪問該客體的主體及其訪問權(quán)限。n舉例：客體目錄ACL表o:Ownerr:Readw:Writee:Excutenoj表示客體j，si.rw表示主體si具有rw屬性。ojn問題：主體、客體數(shù)量大，影響訪問效率。n解決：引入用戶組，用戶可以屬于多個組。主體標識=主體.組名如Liu.INFO表示INFO組的liu用戶。*.INFO表示所有組中的用戶。*.*表示所有用戶。liu.INFO.rw表示對INFO組的用戶liu具有rw權(quán)限。*.INFO.rw表示對INFO組的所有用戶具有rw權(quán)限。*.*.rw表示對所有

6、用戶具有rw權(quán)限。oj訪問能力表（Access Capabilities List）n基于訪問控制矩陣行的自主訪問控制。n為每個主體（用戶）建立一張訪問能力表，用于表示主體是否可以訪問客體，以及用什么方式訪問客體。文件名客體(文件)File1File2File3o:Ownerr:Readw:Writee:Excuten舉例：權(quán)限用戶A的目錄用戶B的目錄訪問能力表強制訪問控制Mandatory Access Control概念n為所有主體和客體指定安全級別，比如絕密級、機密級、秘密級、無秘級。n不同級別的主體對不同級別的客體的訪問是在強制的安全策略下實現(xiàn)的。n只有安全管理員才能修改客體訪問權(quán)和轉(zhuǎn)

7、移控制權(quán)。（對客體擁有者也不例外）MAC模型絕密級機密級秘密級無秘級寫寫讀讀完整性保密性n安全策略n保障信息完整性策略n級別低的主體可以讀高級別客體的信息（不保密），級別低的主體不能寫高級別的客體（保障信息完整性）n保障信息機密性策略n級別低的主體可以寫高級別客體的信息（不保障信息完整性），級別低的主體不可以讀高級別的客體（保密）n舉例：nSecurity-Enhanced Linux (SELinux) for Red Hat Enterprise LinuxnAppArmor for SUSE Linux and UbuntunTrustedBSD for FreeBSD基于角色的訪問控制

8、Role Based Access Control概念n起源于UNIX系統(tǒng)或別的操作系統(tǒng)中組的概念（基于組的自主訪問控制的變體）n每個角色與一組用戶和有關(guān)的動作相互關(guān)聯(lián)，角色中所屬的用戶可以有權(quán)執(zhí)行這些操作n角色與組的區(qū)別n組：一組用戶的集合n角色：一組用戶的集合 + 一組操作權(quán)限的集合RBAC模型用用 戶戶角角 色色權(quán)權(quán) 限限訪問控制訪問控制資資 源源1、認證、認證2、分派、分派3、請求、請求4、分派、分派5、訪問、訪問角色控制優(yōu)勢角色控制優(yōu)勢便于授權(quán)管理便于授權(quán)管理 授權(quán)操作：授權(quán)操作：n n* *m m 變成變成 n n* *r+rr+r* *m=rm=r* *(n+m)(n+m)便于角

9、色劃分便于角色劃分便于賦予最小特權(quán)便于賦予最小特權(quán)便于職責(zé)分擔(dān)便于職責(zé)分擔(dān)便于目標分級便于目標分級一個基于角色的訪問控制的實例n在銀行環(huán)境中，用戶角色可以定義為出納員、出納員、分行管理者、顧客、系統(tǒng)管理者和審計員分行管理者、顧客、系統(tǒng)管理者和審計員n訪問控制策略的一個例子如下：（1）允許一個出納員修改顧客的帳號記錄（包括存款和取款、轉(zhuǎn)帳等），并允許查詢所有帳號的注冊項（2）允許一個分行管理者修改顧客的帳號記錄（包括存款和取款，但不包括規(guī)定的資金數(shù)目的范圍）并允許查詢所有帳號的注冊項，也允許創(chuàng)建和終止帳號（3）允許一個顧客只詢問他自己的帳號的注冊項（4）允許系統(tǒng)的管理者詢問系統(tǒng)的注冊項和開關(guān)系統(tǒng)

10、，但不允許讀或修改用戶的帳號信息（5）允許一個審計員讀系統(tǒng)中的任何數(shù)據(jù)，但不允許修改任何事情n系統(tǒng)需要添加出納員、分行管理者、顧客、系統(tǒng)管理者和審計員角色所對應(yīng)的用戶，按照角色的權(quán)限對用于進行訪問控制。常用操作系統(tǒng)中的訪問控制國際安全標準n1984年，美國國防部發(fā)布了可信計算機系統(tǒng)評估標準（TCSEC），即桔皮書。nTCSEC采用等級評估的方法，將計算機安全分為A、B、C、D四個等級八個級別，D等安全級別最低，A安全級別最高。n現(xiàn)在大多數(shù)通用操作系統(tǒng)（WindowsNT、Linux等）為C2級別，即控制訪問保護級。WindowsNT (自主訪問控制)nWindows安全模型Security A

11、ccount ManagerLocal Security Authority (LSA) Security Reference Monitor訪問控制過程n組成部件：n安全標識：帳號的唯一對應(yīng)。n訪問令牌：LSA為用戶構(gòu)造的，包括用戶名、所在組名、安全標識等。n主體：操作和令牌。n對象、資源、共享資源n安全描述符：為共享資源創(chuàng)建的一組安全屬性n所有者安全標識、組安全標識、自主訪問控制表、系統(tǒng)訪問控制表、訪問控制項。n登錄過程n服務(wù)器為工作站返回安全標識，服務(wù)器為本次登錄生成訪問令牌n用戶創(chuàng)建進程P時，用戶的訪問令牌復(fù)制為進程的訪問令牌。nP進程訪問對象時，SRM將進程訪問令牌與對象的自主訪問控

12、制表進行比較，決定是否有權(quán)訪問對象。nNTFS的訪問控制n從文件中得到安全描述符（包含自主訪問控制表）；n與訪問令牌（包含安全標識）一起由SRM進行訪問檢查Linux (自主訪問控制)n設(shè)備和目錄同樣看作文件。n三種權(quán)限：nR:readnW:writenX:excuten權(quán)限表示：n字母表示：rwx，不具有相應(yīng)權(quán)限用-占位n8進制數(shù)表示：111，不具有相應(yīng)權(quán)限相應(yīng)位記0n四類用戶：nroot：超級用戶n所有者n所屬組n其他用戶n文件屬性：drwxr-x-x 2 lucy work 1024 Jun 25 22:53 textn安全屬性： drwxr-x-x n所有者，所屬組：lucy.workn安全屬性后9個字母規(guī)定了對