BI信息系統(tǒng)安全機(jī)制之訪問控制技術(shù)教材

訪問控制技術(shù)孫建偉計(jì)算機(jī)網(wǎng)絡(luò)攻防對抗技術(shù)實(shí)驗(yàn)室北京理工大學(xué)內(nèi)容概要訪問控制原理自主訪問控制強(qiáng)制訪問控制基于角色的訪問控制常用操作系統(tǒng)中的訪問控制概念通常應(yīng)用在信息系統(tǒng)的安全設(shè)計(jì)上。定義：在保障授權(quán)用戶能獲取所需資源的同時(shí)拒絕非授權(quán)用戶的安全機(jī)制。目的：為了限制訪問主體對訪問客體的訪問權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用；它決定用戶能做什么，也決定代表一定用戶身份的進(jìn)程能做什么。未授權(quán)的訪問包括：未經(jīng)授權(quán)的使用、泄露、修改、銷毀信息以及頒發(fā)指令等。非法用戶進(jìn)入系統(tǒng)。合法用戶對系統(tǒng)資源的非法使用?？腕w（Object）：規(guī)定需要保護(hù)的資源，又稱作目標(biāo)（target)。主體（Subject）：或稱為發(fā)起者(Initiator)，是一個(gè)主動(dòng)的實(shí)體，規(guī)定可以訪問該資源的實(shí)體，（通常指用戶或代表用戶執(zhí)行的程序）。授權(quán)（Authorization)：規(guī)定可對該資源執(zhí)行的動(dòng)作（例如讀、寫、執(zhí)行或拒絕訪問）。訪問控制模型基本組成任務(wù)識別和確認(rèn)訪問系統(tǒng)的用戶。認(rèn)證鑒權(quán)決定該用戶可以對某一系統(tǒng)資源進(jìn)行何種類型的訪問。授權(quán)審計(jì)訪問控制與其他安全服務(wù)的關(guān)系模型

引用監(jiān)控器身份認(rèn)證訪問控制授權(quán)數(shù)據(jù)庫用戶目標(biāo)目標(biāo)目標(biāo)目標(biāo)目標(biāo)審計(jì)安全管理員訪問控制決策單元訪問控制的一般實(shí)現(xiàn)機(jī)制和方法

一般實(shí)現(xiàn)機(jī)制——基于訪問控制屬性 ——〉訪問控制表/矩陣基于用戶和資源分檔（“安全標(biāo)簽”） ——〉多級訪問控制常見實(shí)現(xiàn)方法——訪問控制表（ACL)

訪問能力表（Capabilities)

授權(quán)關(guān)系表訪問矩陣定義客體(O)主體(S)權(quán)限(A)讀(R)寫(W)擁有(Own)執(zhí)行(E)更改(C)

舉例問題：稀疏矩陣，浪費(fèi)空間。訪問控控制類類型自主訪問控控制強(qiáng)制訪問控控制基于角角色訪問控控制訪問控控制自主訪訪問控控制DiscretionaryAccessControl概念基于對對主體體或主主體所所屬的的主體體組的的識別別來限限制對對客體體的訪訪問，，這種種控制制是自自主的的。自主指指主體體能夠夠自主主地將將訪問問權(quán)或或訪問問權(quán)的的某個(gè)個(gè)子集集授予予其他他主體體。如用戶戶A可將將其對對目標(biāo)標(biāo)O的的訪問問權(quán)限限傳遞遞給用用戶B,從從而使使不具具備對對O訪訪問權(quán)權(quán)限的的B可可訪問問O。。缺點(diǎn)：：信息在在移動(dòng)動(dòng)過程程中其其訪問問權(quán)限限關(guān)系系會被被改變變：安安全問問題訪問控控制表表（AccessControlList）基于訪訪問控控制矩矩陣列的自主主訪問問控制制。每個(gè)客體都有一一張ACL，用用于說說明可可以訪訪問該該客體體的主主體及及其訪訪問權(quán)權(quán)限。。舉例：：客體目目錄ACL表o:Ownerr:Readw:Writee:Excuteoj表示客客體j，si.rw表示示主體體si具有rw屬屬性。。oj問題：：主體、、客體體數(shù)量量大，，影響響訪問問效率率。解決：：引入用用戶組組，用用戶可可以屬屬于多多個(gè)組組。主體標(biāo)標(biāo)識=主體體.組組名如Liu.INFO表示示INFO組的的liu用用戶。。*.INFO表表示所所有組組中的的用戶戶。*.*表示示所有有用戶戶。liu.INFO.rw表示示對INFO組組的用用戶liu具有有rw權(quán)限限。*.INFO.rw表示示對INFO組組的所所有用用戶具具有rw權(quán)權(quán)限。。*.*.rw表表示對對所有有用戶戶具有有rw權(quán)限限。oj訪問能能力表表（AccessCapabilitiesList））基于訪訪問控控制矩矩陣行的自主訪訪問控制制。為每個(gè)主主體（用用戶）建建立一張張?jiān)L問能能力表，，用于表表示主體體是否可可以訪問問客體，，以及用用什么方方式訪問問客體。。文件名客體(文件)File1File2File3o:Ownerr:Readw:Writee:Excute舉例：權(quán)限用戶A的目錄用戶B的目錄訪問能力力表強(qiáng)制訪問問控制MandatoryAccessControl概念為所有主主體和客客體指定定安全級級別，比比如絕密密級、機(jī)機(jī)密級、、秘密級級、無秘秘級。不同級別別的主體體對不同同級別的的客體的的訪問是是在強(qiáng)制制的安全全策略下下實(shí)現(xiàn)的的。只有安全全管理員員才能修修改客體體訪問權(quán)權(quán)和轉(zhuǎn)移移控制權(quán)權(quán)。（對對客體擁擁有者也也不例外外）MAC模模型絕密級機(jī)密級秘密級無秘級寫寫讀讀完整性保密性安全策略略保障信息息完整性性策略級別低的的主體可可以讀高高級別客客體的信信息（不不保密）），級別別低的主主體不能能寫高級級別的客客體（保保障信息息完整性性）保障信息息機(jī)密性性策略級別低的的主體可可以寫高高級別客客體的信信息（不不保障信信息完整整性），，級別低低的主體體不可以以讀高級級別的客客體（保保密）舉例：Security-EnhancedLinux(SELinux)forRedHatEnterpriseLinuxAppArmorforSUSELinuxandUbuntuTrustedBSDforFreeBSD基于角色色的訪問問控制RoleBasedAccessControl概念起源于UNIX系統(tǒng)或別別的操作作系統(tǒng)中中組的概概念（基基于組的的自主訪訪問控制制的變體體）每個(gè)角色色與一組組用戶和和有關(guān)的的動(dòng)作相相互關(guān)聯(lián)聯(lián)，角色色中所屬屬的用戶戶可以有有權(quán)執(zhí)行行這些操操作角色與組組的區(qū)別別組：一組組用戶的的集合角色：一一組用戶戶的集合合+一組組操作權(quán)權(quán)限的集集合RBAC模型用戶戶角色色權(quán)限限訪問控制制資源源1、認(rèn)證2、分派3、請求4、分派5、訪問角色控制制優(yōu)勢便于授權(quán)權(quán)管理授權(quán)操作作：n*m變成n*r+r*m=r*(n+m)便于角色色劃分便于賦予予最小特特權(quán)便于職責(zé)責(zé)分擔(dān)便于目標(biāo)標(biāo)分級一個(gè)基于于角色的的訪問控控制的實(shí)實(shí)例在銀行環(huán)環(huán)境中，，用戶角角色可以以定義為為出納員、、分行管管理者、、顧客、、系統(tǒng)管管理者和和審計(jì)員員訪問控制制策略的的一個(gè)例例子如下下：（1）允允許一個(gè)個(gè)出納員員修改顧顧客的帳帳號記錄錄（包括括存款和和取款、、轉(zhuǎn)帳等等），并并允許查查詢所有有帳號的的注冊項(xiàng)項(xiàng)（2）允允許一個(gè)個(gè)分行管管理者修修改顧客客的帳號號記錄（（包括存存款和取取款，但但不包括括規(guī)定的的資金數(shù)數(shù)目的范范圍）并并允許查查詢所有有帳號的的注冊項(xiàng)項(xiàng)，也允允許創(chuàng)建建和終止止帳號（3）允允許一個(gè)個(gè)顧客只只詢問他他自己的的帳號的的注冊項(xiàng)項(xiàng)（4）允允許系統(tǒng)統(tǒng)的管理理者詢問問系統(tǒng)的的注冊項(xiàng)項(xiàng)和開關(guān)關(guān)系統(tǒng)，，但不允允許讀或或修改用用戶的帳帳號信息息（5）允允許一個(gè)個(gè)審計(jì)員員讀系統(tǒng)統(tǒng)中的任任何數(shù)據(jù)據(jù)，但不不允許修修改任何何事情系統(tǒng)需要要添加出出納員、、分行管管理者、、顧客、、系統(tǒng)管管理者和和審計(jì)員員角色所所對應(yīng)的的用戶，，按照角角色的權(quán)權(quán)限對用用于進(jìn)行行訪問控控制。常用操作作系統(tǒng)中中的訪問問控制國際安全全標(biāo)準(zhǔn)1984年，美美國國防防部發(fā)布布了《可可信計(jì)算算機(jī)系統(tǒng)統(tǒng)評估標(biāo)標(biāo)準(zhǔn)》（（TCSEC）），即桔桔皮書。。TCSEC采用用等級評評估的方方法，將將計(jì)算機(jī)機(jī)安全分分為A、、B、C、D四四個(gè)等級級八個(gè)級級別，D等安全全級別最最低，A安全級級別最高高?，F(xiàn)在大多多數(shù)通用用操作系系統(tǒng)（WindowsNT、、Linux等等）為C2級別別，即控控制訪問問保護(hù)級級。WindowsNT(自主主訪問控控制)Windows安全模模型SecurityAccountManagerLocalSecurityAuthority(LSA)SecurityReferenceMonitor訪問控制制過程組成部件件：安全標(biāo)識識：帳號號的唯一一對應(yīng)。。訪問令牌牌：LSA為為用戶構(gòu)構(gòu)造的，，包括用用戶名、、所在組組名、安安全標(biāo)識識等。主體：操操作和令令牌。對象、資資源、共共享資源源安全描述述符：為為共享資資源創(chuàng)建建的一組組安全屬屬性所有者安安全標(biāo)識識、組安安全標(biāo)識識、自主訪問問控制表表、系統(tǒng)訪訪問控制制表、訪訪問控制制項(xiàng)。登錄過程程服務(wù)器為為工作站站返回安安全標(biāo)識識，服務(wù)務(wù)器為本本次登錄錄生成訪訪問令牌牌用戶創(chuàng)建建進(jìn)程P時(shí)，用用戶的訪訪問令牌牌復(fù)制為為進(jìn)程的的訪問令令牌。P進(jìn)程訪訪問對象象時(shí)，SRM將將進(jìn)程訪訪問令牌牌與對象象的自主主訪問控控制表進(jìn)進(jìn)行比較較，決定定是否有有權(quán)訪問問對象。。NTFS的訪問控控制從文件中中得到安安全描述述符（包包含自主主訪問控控制表））；與訪問令令牌（包包含安全全標(biāo)識））一起由由SRM進(jìn)進(jìn)行訪問問檢查Linux(自主訪訪問控制制)設(shè)備和目目錄同樣樣看作文文件。三種權(quán)限限：R:readW:writeX:excute權(quán)限表示示：字母表示示：rwx，，不具有有相應(yīng)權(quán)權(quán)限用-占位8進(jìn)制數(shù)數(shù)表示：：111，不具具有相應(yīng)應(yīng)權(quán)限相相應(yīng)位記記0四類用戶戶：root：超級級用戶所有者所屬組其他用戶戶文件屬性性：drwxr-x--x2lucywork1024Jun2522:53text安全屬性性：drwxr-x--x所有者，，所屬組組：lucy.work安全屬性性后9個(gè)個(gè)字母規(guī)規(guī)定了對對所有者者、所屬屬組、其其他用戶戶的權(quán)限限（各3位）。。text