《信息系統(tǒng)安全》課件第4章 訪問(wèn)控制

經(jīng)典安全模型授權(quán)數(shù)據(jù)庫(kù)授權(quán)安全管理員主體身份認(rèn)證訪問(wèn)控制系統(tǒng)資源Log審計(jì)經(jīng)典安全模型誰(shuí)可以進(jìn)入系統(tǒng)？Authentication(身份認(rèn)證)用戶可以做什么？Accesscontrol(訪問(wèn)控制)用戶做了什么？Audit(審計(jì))訪問(wèn)控制主要內(nèi)容2023/11/134一.訪問(wèn)控制的概念二.自主訪問(wèn)控制三.強(qiáng)制訪問(wèn)控制一.訪問(wèn)控制的概念四.基于角色的訪問(wèn)控制2023/11/135訪問(wèn)控制基本概念訪問(wèn)控制保護(hù)資源不被非法訪問(wèn)的技術(shù)兩個(gè)過(guò)程授權(quán)訪問(wèn)監(jiān)控2023/11/136訪問(wèn)控制中涉及的基本術(shù)語(yǔ)訪問(wèn)控制的要素主體(Subject)客體(Object)訪問(wèn)(Access)訪問(wèn)策略(AccessPolicy)2023/11/137訪問(wèn)控制中涉及的基本術(shù)語(yǔ)主體發(fā)出訪問(wèn)請(qǐng)求的主動(dòng)方，通常是用戶或用戶進(jìn)程?？腕w被訪問(wèn)的對(duì)象，通常是被調(diào)用的程序、進(jìn)程，要存取的數(shù)據(jù)、文件、內(nèi)存、系統(tǒng)、設(shè)備等資源。2023/11/138訪問(wèn)控制中涉及的基本術(shù)語(yǔ)訪問(wèn)使信息在主體和客體之間流動(dòng)的一種交互方式，通常為讀、寫、執(zhí)行、刪除、創(chuàng)建、搜索等。訪問(wèn)策略是主體對(duì)客體的訪問(wèn)規(guī)則集

控制策略體現(xiàn)了一種授權(quán)行為，即主體對(duì)客體的權(quán)限允許。2023/11/139訪問(wèn)控制的要素給主體授予多大權(quán)限比較合適呢？2023/11/1310訪問(wèn)控制策略的實(shí)施原則最小特權(quán)原則當(dāng)主體執(zhí)行操作時(shí)，按照主體所需權(quán)力的最小化原則分配給主體權(quán)力。教員于敏讀學(xué)號(hào)姓名年齡專業(yè)98101張山20信息安全98105李斯21信息安全…………98204王武20數(shù)學(xué)系2023/11/1311訪問(wèn)控制策略的實(shí)施原則最小泄漏原則當(dāng)主體執(zhí)行任務(wù)時(shí)，按照主體所需知道的信息最小化的原則分配給主體權(quán)力。教員于敏讀學(xué)號(hào)姓名年齡專業(yè)98101張山20信息安全98105李斯21信息安全…………98204王武20數(shù)學(xué)系2023/11/1312訪問(wèn)控制類型目前主要的訪問(wèn)控制技術(shù)包括：自主訪問(wèn)控制（DAC）強(qiáng)制訪問(wèn)控制（MAC）基于角色的訪問(wèn)控制（RBAC）訪問(wèn)控制類型2023/11/1313DACMACRBAC主要內(nèi)容一.訪問(wèn)控制的概念二.自主訪問(wèn)控制三.強(qiáng)制訪問(wèn)控制二.自主訪問(wèn)控制四.基于角色的訪問(wèn)控制2023/11/1315自主訪問(wèn)控制資源的所有者（往往是創(chuàng)建者），對(duì)于其擁有的資源，可以自主地將權(quán)限分發(fā)給其他主體，最常用的訪問(wèn)控制機(jī)制。UnixWindowsNTLinuxSQLServer2023/11/1316訪問(wèn)控制矩陣自主訪問(wèn)控制的實(shí)現(xiàn)機(jī)制訪問(wèn)控制矩陣（AccessControlMatrix）訪問(wèn)控制列表（AccessControlLists）訪問(wèn)控制能力列表(AccessControlCapabilitiesLists,ACCLs)2023/11/1317訪問(wèn)控制矩陣訪問(wèn)控制矩陣（AccessControlMatrix）是最初實(shí)現(xiàn)訪問(wèn)控制機(jī)制的概念模型它利用二維矩陣規(guī)定了任意主體和任意客體間的訪問(wèn)權(quán)限。2023/11/1318訪問(wèn)控制矩陣訪問(wèn)控制矩陣(AccessControlMatrix)R：讀權(quán)限W：寫權(quán)限一個(gè)文件的Own權(quán)限的含義是可以授予（Authorize）或者撤銷（Revoke）其他用戶對(duì)該文件的訪問(wèn)控制權(quán)限。自主訪問(wèn)控制的實(shí)現(xiàn)機(jī)制訪問(wèn)控制矩陣(AccessControlMatrix)訪問(wèn)控制矩陣訪問(wèn)控制矩陣比較直觀，但是表中會(huì)出現(xiàn)空白。在較大的系統(tǒng)中，造成很大的存儲(chǔ)空間浪費(fèi)。自主訪問(wèn)控制的實(shí)現(xiàn)機(jī)制訪問(wèn)控制矩陣(AccessControlMatrix)訪問(wèn)控制矩陣2023/11/1321訪問(wèn)控制矩陣—文件1:{(Alice,rxo)(Bob,r)(John,rw)}—文件2:{(Alice,r)(Bob,rwo)(John,r)}—文件3:{(Alice,rw)(John,rwo)}

2023/11/1322訪問(wèn)控制列表

優(yōu)點(diǎn)：能夠很容易的判斷出對(duì)于特定客體的授權(quán)訪問(wèn)，哪些主體可以訪問(wèn)并有哪些訪問(wèn)權(quán)限。訪問(wèn)控制表(ACL，AccessControlList)是以文件為中心建立的訪問(wèn)權(quán)限表。訪問(wèn)控制列表如果想查詢主體“Alice”能夠訪問(wèn)的客體，應(yīng)當(dāng)如何操作？需要遍歷查詢所有客體的訪問(wèn)控制表。訪問(wèn)控制表(ACL，AccessControlList)是以文件為中心建立的訪問(wèn)權(quán)限表。2023/11/1324訪問(wèn)控制列表Linux訪問(wèn)權(quán)限的表示方法文件訪問(wèn)權(quán)限用戶標(biāo)識(shí)組標(biāo)識(shí)2023/11/1325訪問(wèn)控制列表Linux訪問(wèn)權(quán)限的表示方法-rwx

rwx

rwx

文件類型（-普通文件、d目錄文件等）同組用戶的訪問(wèn)權(quán)限其他用戶的訪問(wèn)權(quán)限文件所有者的訪問(wèn)權(quán)限2023/11/1326訪問(wèn)控制列表文件權(quán)限含義權(quán)限類型：r（讀）、w（寫）、x（執(zhí)行）讀：用戶可打開(kāi)文件，讀取該文件的內(nèi)容寫：用戶可修改文件的內(nèi)容執(zhí)行：用戶可執(zhí)行該文件2023/11/1327訪問(wèn)控制列表Linux訪問(wèn)權(quán)限的表示方法文件訪問(wèn)權(quán)限用戶標(biāo)識(shí)組標(biāo)識(shí)2023/11/1328訪問(wèn)控制列表

文件目錄權(quán)限含義讀：用戶可讀取目錄列表內(nèi)容，以及目錄本身及其子目錄的屬性寫：表示可在目錄下添加、刪除、移動(dòng)文件和子目錄執(zhí)行：表示可以進(jìn)入目錄或者在目錄中查找文件名的權(quán)限2023/11/1329訪問(wèn)控制列表Linux訪問(wèn)權(quán)限的表示方法文件訪問(wèn)權(quán)限用戶標(biāo)識(shí)組標(biāo)識(shí)2023/11/1330訪問(wèn)控制列表Linux訪問(wèn)權(quán)限的表示方法用戶應(yīng)該能夠修改自己的口令，在當(dāng)前的訪問(wèn)控制下，用戶能否修改自己的口令#ls-l/etc/shadow#-rw-------rootroot2023/11/1331訪問(wèn)控制列表Linux訪問(wèn)權(quán)限的表示方法特殊權(quán)限SUID-r-s--x--x1rootroot10704Apr152002/usr/bin/passwd

只能設(shè)置在可執(zhí)行文件上,任意用戶在執(zhí)行該文件時(shí),以文件屬主的身份執(zhí)行2023/11/1332訪問(wèn)控制能力表—Alice:{(文件1,rwo)(文件2,r)(文件3,rw)}—Bob:{(文件1,r)(文件2,rwo)}—John:{(文件1,rw)(文件2,r)(文件3,rwo)}

2023/11/1333訪問(wèn)控制能力表訪問(wèn)控制能力表（ACCL，AccessControlCapabilitiesList）是以用戶為中心建立的訪問(wèn)權(quán)限表。為每個(gè)主體附加一個(gè)該主體能夠訪問(wèn)的客體明細(xì)表2023/11/1334訪問(wèn)能力表的例子2023/11/1335自主訪問(wèn)控制存在的安全問(wèn)題討論：假設(shè)用戶SOS對(duì)文件important有讀寫權(quán)限，而用戶SPY沒(méi)有權(quán)限，在DAC模式下，用戶SPY能讀到文件important內(nèi)容嗎？2023/11/1336自主訪問(wèn)控制存在的安全問(wèn)題方案1SOSimportant.docSOS:RWSPYcopy.docSOS:RWSPY:R2023/11/1337自主訪問(wèn)控制存在的安全問(wèn)題DAC提供的安全保護(hù)容易被非法繞過(guò)原因：在自主訪問(wèn)控制策略中，用戶在獲得文件的訪問(wèn)后，并沒(méi)有限制對(duì)該文件信息的操作，即并沒(méi)有控制數(shù)據(jù)信息的分發(fā)。2023/11/1338自主訪問(wèn)控制存在的安全問(wèn)題Important.docSOS:RWSPYpocket.docSPY:RWSOS:Wgame.exeSOS方案22023/11/1339自主訪問(wèn)控制存在的安全問(wèn)題利用木馬修改敏感文件的訪問(wèn)權(quán)限Important.docSOS:RWSPYgame.exeSOSSOS:RWO:RW方案32023/11/1340自主訪問(wèn)控制優(yōu)缺點(diǎn)DAC的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：授權(quán)機(jī)制比較靈活缺點(diǎn)：存在較大的安全隱患，不能對(duì)系統(tǒng)資源提供充分保護(hù)，尤其不能抵御特洛伊木馬的攻擊主要內(nèi)容一.訪問(wèn)控制的概念二.自主訪問(wèn)控制三.強(qiáng)制訪問(wèn)控制三.強(qiáng)制訪問(wèn)控制四.基于角色的訪問(wèn)控制2023/11/1342二、強(qiáng)制訪問(wèn)控制強(qiáng)制訪問(wèn)控制(MandatoryAccessControl)，簡(jiǎn)稱MAC在強(qiáng)制訪問(wèn)控制中，每個(gè)用戶及文件都被賦予一定的安全屬性，系統(tǒng)通過(guò)比較用戶和訪問(wèn)的文件的安全屬性來(lái)決定用戶是否可以訪問(wèn)該文件2023/11/1343二、強(qiáng)制訪問(wèn)控制強(qiáng)制訪問(wèn)控制(MandatoryAccessControl)，簡(jiǎn)稱MAC普通用戶不能改變自身或任何客體的安全屬性，即不允許普通用戶確定訪問(wèn)權(quán)限，只有系統(tǒng)管理員（系統(tǒng)安全員）可以確定用戶的訪問(wèn)權(quán)限

2023/11/1344二、強(qiáng)制訪問(wèn)控制安全屬性安全級(jí)別2023/11/1345強(qiáng)制訪問(wèn)控制安全級(jí)別一般有四級(jí)：絕密級(jí)（TopSecret）機(jī)密級(jí)（Secret）秘密級(jí)（Confidential）無(wú)級(jí)別級(jí)（Unclassified），其中T＞S＞C＞U。×教務(wù)辦科研辦研究生辦干部辦組織辦強(qiáng)制訪問(wèn)控制舉例機(jī)密秘密秘密教研處（主任）政工處（主任）機(jī)密安全屬性安全級(jí)別一個(gè)或多個(gè)安全域（范疇）安全屬性的支配關(guān)系強(qiáng)制訪問(wèn)控制2023/11/1348典型安全模型-BLP模型Bell-LaPadula1973年，DavidBell和LenLapadula提出了第一個(gè)也是最著名安全策略模型Bell-LaPadula安全模型，簡(jiǎn)稱BLP模型。BLP模型是遵守軍事安全策略的多級(jí)安全模型。2023/11/1349典型安全模型-BLP模型BLP模型的強(qiáng)制訪問(wèn)策略包括兩個(gè)特性：簡(jiǎn)單安全性。簡(jiǎn)單安全性是指任何一個(gè)主體不能讀安全屬性高于它的安全屬性的客體，即不能“向上讀”“*”特性。

“*”特性是指任何一個(gè)主體不能寫安全屬性低于它的安全屬性的客體，即不能“向下寫”2023/11/1350典型安全模型-BLP模型

2023/11/1351典型安全模型-BLP模型機(jī)密絕密機(jī)密秘密主體客體禁止讀允許讀允許讀機(jī)密絕密機(jī)密秘密主體客體允許寫允許寫禁止寫2023/11/1352典型安全模型-BLP模型討論是否可以解決特洛伊木馬攻擊2023/11/1353Important.docSOS:RWSPYpocket.docSPY:RWSOS:Wgame.exeSOS方案2典型安全模型-BLP模型×2023/11/1354典型安全模型-Biba模型Biba模型定義了信息完整性級(jí)別，在信息流向的定義方面不允許從級(jí)別低的進(jìn)程到級(jí)別高的進(jìn)程讀規(guī)則。任何一個(gè)主體不能讀完整性屬性低于它的完整性屬性的客體，即不能“向下讀”寫規(guī)則。

任何一個(gè)主體不能寫完整性屬性高于它的完整性屬性的客體，即不能“向上寫”2023/11/1355典型安全模型-Biba模型中級(jí)完整性高級(jí)完整性中級(jí)完整性低級(jí)完整性主體客體允許讀允許讀禁止讀中級(jí)完整性高級(jí)完整性中級(jí)完整性低級(jí)完整性主體客體禁止寫允許寫允許寫2023/11/1356BLPVSBiba高級(jí)別中級(jí)別低級(jí)別讀讀寫寫B(tài)ibaBLP2023/11/1357MAC與DAC的缺陷MAC和DAC屬于傳統(tǒng)的訪問(wèn)控制模型，通常為每個(gè)用戶賦予對(duì)客體的訪問(wèn)權(quán)限規(guī)則集。如果系統(tǒng)的安全需求處于不斷變化中，就需要進(jìn)行大量繁瑣的授權(quán)變動(dòng)，系統(tǒng)管理員的工作將變得非常繁重，更主要的是容易發(fā)生錯(cuò)誤，造成安全漏洞。主要內(nèi)容一.訪問(wèn)控制的概念二.自主訪問(wèn)控制三.強(qiáng)制訪問(wèn)控制四.基于角色的訪問(wèn)控制四.基于角色的訪問(wèn)控制2023/11/1359基于角色的訪問(wèn)控制背景：在現(xiàn)實(shí)的工作中，絕大多數(shù)情況并不是針對(duì)每個(gè)人而設(shè)定其工作職責(zé)，而是根據(jù)這個(gè)人在工作單位中所承擔(dān)的角色設(shè)定其工作職責(zé)的。因此，在信息系統(tǒng)中一個(gè)用戶所能訪問(wèn)資源的情況應(yīng)該隨著這個(gè)用戶在系統(tǒng)中角色的改變而改變。2023/11/1360基于角色的訪問(wèn)控制1996年，萊威.桑度（RaviSandhu）等人在前人理論基礎(chǔ)上，發(fā)表經(jīng)典論文《Role-BasesAccessControl》,提出著名的以角色為基礎(chǔ)的訪問(wèn)控制模型，又被稱為RBAC962001年，美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)局（NIST：NationalInstituteofStandardsandTechnology）重新定義了以角色為基礎(chǔ)的訪問(wèn)控制模型，稱為NISTRBAC，成為領(lǐng)域標(biāo)準(zhǔn)2023/11/1361基于角色的訪問(wèn)控制基于角色的訪問(wèn)控制（Role-BasedAccessControl，RBAC）是20世紀(jì)90年代提出的訪問(wèn)控制策略。RBAC：根據(jù)用戶在組織內(nèi)所處的角色進(jìn)行授權(quán)與訪問(wèn)控制。角色(Role)：一個(gè)或一群用戶在組織內(nèi)可執(zhí)行的操作的集合。用戶通過(guò)角色與相應(yīng)的訪問(wèn)權(quán)限相聯(lián)系。脫離了角色用戶將不存在任何訪問(wèn)權(quán)限。基于角色的訪問(wèn)控制NIST（TheNationalInstituteofStandardsandTechnology，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院）標(biāo)準(zhǔn)RBAC模型由4個(gè)部件模型組成：基本模型RBAC0（CoreRBAC）角色分級(jí)模型RBAC1（HierarchalRBAC）角色限制模型RBAC2（ConstraintRBAC）統(tǒng)一模型RBAC3（CombinesRBAC）/groups/SNS/rbac/2023/11/1362基于角色的訪問(wèn)控制2023/11/1363RBAC3RBAC1RBAC2RBAC0RBAC0：RBAC的基本安全需求RBAC1:在RBAC0的基礎(chǔ)上增加了角色層次RBAC2:在RBAC0的基礎(chǔ)上增加了約束RBAC3:RBAC1和RBAC2功能的集合基于角色的訪問(wèn)控制RBAC0定義了能構(gòu)成一個(gè)RBAC控制系統(tǒng)的最小的元素集合五個(gè)基本數(shù)據(jù)元素:用戶USERS角色ROLES對(duì)象OBJECTS操作OPERATORS會(huì)話SESSIONS：對(duì)應(yīng)于一個(gè)用戶以及一組激活的角色。2023/11/1364核心思想是：權(quán)限被賦予角色而不是用戶，用戶通過(guò)關(guān)聯(lián)角色從而獲得權(quán)限基于角色的訪問(wèn)控制用戶（User）：訪問(wèn)系統(tǒng)中的資源的主體，一般為人，也可為程序權(quán)限（Permission）：對(duì)計(jì)算機(jī)中某些受保護(hù)的資源的訪問(wèn)許可可以將權(quán)限理解成一個(gè)二元組（Operation，Object）角色（Role）：應(yīng)用領(lǐng)域內(nèi)一種權(quán)力和責(zé)任的語(yǔ)義綜合體針對(duì)角色屬性的不同，某些模型中將角色進(jìn)一步細(xì)分為普通角色（RegularRole）和管理員角色（AdministrativeRole）用戶指派（UserAssignment）：用戶集到角色集的多對(duì)多的關(guān)系權(quán)限指派（PermissionAssignment）：權(quán)限集到角色集的多對(duì)多的關(guān)系會(huì)話（Session）：對(duì)應(yīng)于一個(gè)用戶以及一組激活的角色。2023/11/1365基于角色的訪問(wèn)控制RBAC1（HierarchalRBAC）RBAC1引入角色間的繼承關(guān)系。角色的結(jié)構(gòu)化分層是反映一個(gè)組織的授權(quán)和責(zé)任的自然方式角色層次圖（RoleHierarchies）：在角色繼承關(guān)系下，角色集實(shí)際上構(gòu)成了一個(gè)層次圖2023/11/1366基于角色的訪問(wèn)控制RBAC1實(shí)施訪問(wèn)控制原理圖2023/11/1367基于角色的訪問(wèn)控制2023/11/1368在綜合教務(wù)管理系統(tǒng)中能否將一個(gè)用戶同時(shí)關(guān)聯(lián)管理員角色和學(xué)生角色?基于角色的訪問(wèn)控制RBAC2（ConstraintRBAC）約束（職責(zé)分離）：防止用戶超過(guò)其正常的職責(zé)范圍互斥約束：同一個(gè)用戶最多只能指派互斥角色集合中的一個(gè)角色基數(shù)限制：一個(gè)用戶可擁有的角色數(shù)目受限；每個(gè)角色關(guān)聯(lián)的用戶數(shù)有限（某個(gè)崗位只允許安排2個(gè)人員）2023/11/1369基于角色的訪問(wèn)控制RBAC2（ConstraintRBAC）RBAC2模型中添加了職責(zé)分離（SeparationofDuty）關(guān)系RBAC2的約束規(guī)定了權(quán)限被賦予角色時(shí),或角色被賦予用戶時(shí),以及當(dāng)用戶在某一時(shí)刻激活一個(gè)角色時(shí)所應(yīng)遵循的強(qiáng)制性規(guī)則。分類：靜態(tài)職責(zé)分離（StaticSeparationofDuty）動(dòng)態(tài)職責(zé)分離（DynamicSeparationofDuty）2023/11/1370基于角色的訪問(wèn)控制靜態(tài)職責(zé)分離（StaticSeparationofDuty）指定角色的互斥關(guān)系，用于用戶指派階段。避免同一用戶擁有互斥的角色SSD定義了一個(gè)用戶角色分配的約束關(guān)系，一個(gè)用戶不可能同時(shí)分配SSD中的兩個(gè)互斥角色優(yōu)點(diǎn)：實(shí)現(xiàn)簡(jiǎn)單，角色互斥語(yǔ)義關(guān)系清楚，便于管理缺點(diǎn)：不夠靈活如果兩個(gè)角色之間存在SSD約束，那么當(dāng)一個(gè)用戶分配了其中一個(gè)角色后，將不能再獲得另一個(gè)角色2023/11/1371基于角色的訪問(wèn)控制靜態(tài)職責(zé)分離實(shí)施原理圖2023/11/1372基于角色的訪問(wèn)控制動(dòng)態(tài)職責(zé)分離（DynamicSeparationofDuty）指定角色的互斥關(guān)系，用于角色激活階段。允許同一用戶擁有某些互斥的角色，但是不允許該用戶同時(shí)激活互斥的角色。優(yōu)點(diǎn)：更靈活，直接與會(huì)話掛鉤，適應(yīng)實(shí)際管理需要缺點(diǎn)：實(shí)現(xiàn)復(fù)雜，不易管理2023/11/1373基于角色的訪問(wèn)控制動(dòng)態(tài)職責(zé)分離實(shí)施原理圖2023/11/13742023/11/1375基于角色的訪問(wèn)控制RBAC根據(jù)管理中相對(duì)穩(wěn)定的職權(quán)和責(zé)任來(lái)劃分角色，將訪問(wèn)權(quán)限與角色相聯(lián)系。傳統(tǒng)的MAC和DAC將權(quán)限直接授予用戶