《信息安全導(dǎo)論》課件第6章

第六章訪問控制(1)討論議題1、訪問控制的有關(guān)概念2、訪問控制的策略和機(jī)制3、OS的訪問控制設(shè)計(jì)

6.1訪問控制的有關(guān)概念先分析一下用戶訪問數(shù)據(jù)庫訪問控制的概念和目標(biāo)一般概念——

是針對越權(quán)使用資源的防御措施。基本目標(biāo)：防止對任何資源（如計(jì)算資源、通信資源或信息資源）進(jìn)行未授權(quán)的訪問。從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用；決定用戶能做什么，也決定代表一定用戶利益的程序能做什么。未授權(quán)的訪問包括：未經(jīng)授權(quán)的使用、泄露、修改、銷毀信息以及頒發(fā)指令等。非法用戶進(jìn)入系統(tǒng)。合法用戶對系統(tǒng)資源的非法使用。6例:系統(tǒng)訪問控制登錄名稱即用戶ID，盡量保持一致以便管理。口令口令的安全特別重要，加密后不可見。用戶標(biāo)識符分為管理性用戶和普通用戶，用整數(shù)表示。組標(biāo)識符將用戶分組是UNIX系統(tǒng)對權(quán)限進(jìn)行管理的一種方式用戶起始目錄用戶登錄到系統(tǒng)后所處于的Home目錄PhysicalSecurityPerimeterAuthenticationMechanismAccessControlMechanismSysAdmin7公網(wǎng)互聯(lián)網(wǎng)用戶對外信息服務(wù)器員工上網(wǎng)拒絕信息服務(wù)器不能在上班時間進(jìn)行QQ,MSN等聊天．例:網(wǎng)絡(luò)訪問控制訪問權(quán)限控制訪問控制的作用訪問控制對機(jī)密性、完整性起直接的作用。對于可用性，訪問控制通過對以下信息的有效控制來實(shí)現(xiàn)：（1）誰可以頒發(fā)影響網(wǎng)絡(luò)可用性的網(wǎng)絡(luò)管理指令（2）誰能夠?yàn)E用資源以達(dá)到占用資源的目的（3）誰能夠獲得可以用于拒絕服務(wù)攻擊的信息主體、客體和授權(quán)客體（Object）：規(guī)定需要保護(hù)的資源，又稱作目標(biāo)（target)。主體（Subject）：或稱為發(fā)起者(Initiator)，是一個主動的實(shí)體，規(guī)定可以訪問該資源的實(shí)體，（通常指用戶或代表用戶執(zhí)行的程序）。授權(quán)（Authorization)：規(guī)定可對該資源執(zhí)行的動作（例如讀、寫、執(zhí)行或拒絕訪問）。一個主體為了完成任務(wù)，可以創(chuàng)建另外的主體，這些子主體可以在網(wǎng)絡(luò)上不同的計(jì)算機(jī)上運(yùn)行，并由父主體控制它們。主客體的關(guān)系是相對的。訪問控制模型基本組成

訪問控制與其他安全服務(wù)的關(guān)系模型

引用監(jiān)控器身份鑒別訪問控制授權(quán)數(shù)據(jù)庫用戶目標(biāo)目標(biāo)目標(biāo)目標(biāo)目標(biāo)審計(jì)安全管理員訪問控制決策單元公眾服務(wù)網(wǎng)

省電子政務(wù)外網(wǎng)平臺市政府政協(xié)人大Internet市局中心服務(wù)器中心服務(wù)器某市政府網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖郵件服務(wù)器市委撥號市局互聯(lián)網(wǎng)防火墻服務(wù)器防火墻防火墻內(nèi)部用戶區(qū)

互連區(qū)內(nèi)部服務(wù)器區(qū)外部服務(wù)器區(qū)

6.2訪問控制策略訪問控制策略與機(jī)制訪問控制策略(AccessControlPolicy):訪問控制策略在系統(tǒng)安全策略級上表示授權(quán)。是對訪問如何控制,如何作出訪問決定的高層指南。訪問控制機(jī)制（AccessControlMechanisms):是訪問控制策略的軟硬件低層實(shí)現(xiàn)。訪問控制機(jī)制與策略獨(dú)立，可允許安全機(jī)制的重用。安全策略之間沒有更好的說法，只是一種可以比一種提供更多的保護(hù)。應(yīng)根據(jù)應(yīng)用環(huán)境靈活使用。訪問控制策略的制訂原則(1)最小權(quán)限原則(2)最小泄露原則如何決定訪問權(quán)限用戶分類資源資源及使用訪問規(guī)則用戶的分類（1）特殊的用戶：系統(tǒng)管理員，具有最高級別的特權(quán)，可以訪問任何資源，并具有任何類型的訪問操作能力（2）一般的用戶：最大的一類用戶，他們的訪問操作受到一定限制，由系統(tǒng)管理員分配（3）作審計(jì)的用戶：負(fù)責(zé)整個安全系統(tǒng)范圍內(nèi)的安全控制與資源使用情況的審計(jì)（4）作廢的用戶：被系統(tǒng)拒絕的用戶。資源系統(tǒng)內(nèi)需要保護(hù)的是系統(tǒng)資源：磁盤與磁帶卷標(biāo)遠(yuǎn)程終端信息管理系統(tǒng)的事務(wù)處理及其應(yīng)用數(shù)據(jù)庫中的數(shù)據(jù)應(yīng)用資源資源和使用對需要保護(hù)的資源定義一個訪問控制包（Accesscontrolpacket)，包括：資源名及擁有者的標(biāo)識符缺省訪問權(quán)用戶、用戶組的特權(quán)明細(xì)表允許資源的擁有者對其添加新的可用數(shù)據(jù)的操作審計(jì)數(shù)據(jù)訪問規(guī)則與規(guī)則集規(guī)定了若干條件，在這些條件下，可準(zhǔn)許訪問一個資源。規(guī)則使用戶與資源配對，指定該用戶可在該文件上執(zhí)行哪些操作，如只讀、不許執(zhí)行或不許訪問。由系統(tǒng)管理人員來應(yīng)用這些規(guī)則，由硬件或軟件的安全內(nèi)核部分負(fù)責(zé)實(shí)施。一個主體對一個客體的訪問權(quán)能否轉(zhuǎn)讓?

自主訪問控制:能強(qiáng)制訪問控制:不能基于角色的訪問控制:不能

自主訪問控制強(qiáng)制訪問控制基于角色訪問控制訪問控制訪問控制的一般策略自主訪問控制特點(diǎn)：根據(jù)主體的身份及允許訪問的權(quán)限進(jìn)行決策。自主是指具有某種訪問能力的主體能夠自主地將訪問權(quán)的某個子集授予其它主體。靈活性高，被大量采用。缺點(diǎn)：信息在移動過程中其訪問權(quán)限關(guān)系會被改變。如用戶A可將其對目標(biāo)O的訪問權(quán)限傳遞給用戶B,從而使不具備對O訪問權(quán)限的B可訪問O。自主訪問控制的訪問類型訪問許可與訪問模式描述了主體對客體所具有的控制權(quán)與訪問權(quán).訪問許可定義了改變訪問模式的能力或向其它主體傳送這種能力的能力.訪問模式則指明主體對客體可進(jìn)行何種形式的特定的訪問操作:讀\寫\運(yùn)行.訪問許可(AccessPermission)(1)等級型的(Hierarchical)(2)有主型的(Owner)

對每個客體設(shè)置一個擁有者(通常是客體的生成者).擁有者是唯一有權(quán)修改客體訪問控制表的主體,擁有者對其客體具有全部控制權(quán).(3)自由型的(Laissez-faire)最高領(lǐng)導(dǎo)(系統(tǒng)操作員)部門領(lǐng)導(dǎo)部門領(lǐng)導(dǎo)科組領(lǐng)導(dǎo)科組領(lǐng)導(dǎo)科組領(lǐng)導(dǎo)科組領(lǐng)導(dǎo)成員成員成員成員成員成員成員成員訪問模式AccessMode系統(tǒng)支持的最基本的保護(hù)客體:文件,對文件的訪問模式設(shè)置如下:

（1）讀-拷貝(Read-copy)

（2）寫-刪除（write-delete）（3）運(yùn)行(Execute)

（4）無效(Null)強(qiáng)制訪問控制（1）將主體和客體分級，根據(jù)主體和客體的級別標(biāo)記來決定訪問模式。如，絕密級，機(jī)密級，秘密級，無密級。（2）其訪問控制關(guān)系分為：上讀/下寫，下讀/上寫（完整性）（機(jī)密性）（3）通過安全標(biāo)簽實(shí)現(xiàn)單向信息流通模式。精確描述強(qiáng)制訪問控制(MAC)中，系統(tǒng)包含主體集S和客體集O，每個S中的主體s及客體集中的客體o，都屬于一固定的安全類SC，安全類SC=<L,C>包括兩個部分：有層次的安全級別和無層次的安全范疇。構(gòu)成一偏序關(guān)系≤。Bell-LaPadula：保證保密性

-簡單安全特性(無上讀)：僅當(dāng)SC(o)≤SC(s)時，s可以讀取o

-*-特性(無下寫):僅當(dāng)SC(s)≤SC(o)時，s可以修改oBiba：保證完整性

-同(1)相反強(qiáng)制訪問控制實(shí)現(xiàn)機(jī)制-安全標(biāo)簽安全標(biāo)簽是限制在目標(biāo)上的一組安全屬性信息項(xiàng)。在訪問控制中，一個安全標(biāo)簽隸屬于一個用戶、一個目標(biāo)、一個訪問請求或傳輸中的一個訪問控制信息。最通常的用途是支持多級訪問控制策略。

在處理一個訪問請求時，目標(biāo)環(huán)境比較請求上的標(biāo)簽和目標(biāo)上的標(biāo)簽，應(yīng)用策略規(guī)則（如BellLapadula規(guī)則）決定是允許還是拒絕訪問。自主/強(qiáng)制訪問的問題自主訪問控制配置的粒度小配置的工作量大，效率低強(qiáng)制訪問控制配置的粒度大缺乏靈活性基于角色的策略與現(xiàn)代的商業(yè)環(huán)境相結(jié)合的產(chǎn)物基于角色的訪問控制是一個復(fù)合的規(guī)則，可以被認(rèn)為是IBAC和RBAC的變體。一個身份被分配給一個被授權(quán)的組。起源于UNIX系統(tǒng)或別的操作系統(tǒng)中組的概念10yearhistory責(zé)任分離(separationofduties)角色分層(rolehierarchies)角色激活(roleactivation)用戶角色關(guān)系的約束(constraintsonuser/rolemembership)角色的定義每個角色與一組用戶和有關(guān)的動作相互關(guān)聯(lián)，角色中所屬的用戶可以有權(quán)執(zhí)行這些操作Arolecanbedefinedasasetofactionsandresponsibilitiesassociatedwithaparticularworkingactivity.角色與組的區(qū)別組：一組用戶的集合角色：一組用戶的集合+一組操作權(quán)限的集合一個基于角色的訪問控制的實(shí)例在銀行環(huán)境中，用戶角色可以定義為出納員、分行管理者、顧客、系統(tǒng)管理者和審計(jì)員訪問控制策略的一個例子如下：（1）允許一個出納員修改顧客的帳號記錄（包括存款和取款、轉(zhuǎn)帳等），并允許查詢所有帳號的注冊項(xiàng)（2）允許一個分行管理者修改顧客的帳號記錄（包括存款和取款，但不包括規(guī)定的資金數(shù)目的范圍）并允許查詢所有帳號的注冊項(xiàng)，也允許創(chuàng)建和終止帳號（3）允許一個顧客只詢問他自己的帳號的注冊項(xiàng)（4）允許系統(tǒng)的管理者詢問系統(tǒng)的注冊項(xiàng)和開關(guān)系統(tǒng)，但不允許讀或修改用戶的帳號信息（5）允許一個審計(jì)員讀系統(tǒng)中的任何數(shù)據(jù)，但不允許修改任何事情特點(diǎn)該策略陳述易于被非技術(shù)的組織策略者理解;同時也易于映射到訪問控制矩陣或基于組的策略陳述。同時具有基于身份策略的特征，也具有基于規(guī)則的策略的特征。在基于組或角色的訪問控制中，一個個人用戶可能是不只一個組或角色的成員，有時又可能有所限制。RBAC的優(yōu)勢便于授權(quán)管理，如系統(tǒng)管理員需要修改系統(tǒng)設(shè)置等內(nèi)容時，必須有幾個不同角色的用戶到場方能操作，從而保證了安全性。便于根據(jù)工作需要分級，如企業(yè)財(cái)務(wù)部門與非財(cái)力部門的員工對企業(yè)財(cái)務(wù)的訪問權(quán)就可由財(cái)務(wù)人員這個角色來區(qū)分。便于賦于最小特權(quán)，如即使用戶被賦于高級身份時也未必一定要使用，以便減少損失。只有必要時方能擁有特權(quán)。便于任務(wù)分擔(dān)，不同的角色完成不同的任務(wù)。便于文件分級管理，文件本身也可分為不同的角色，如信件、賬單等，由不同角色的用戶擁有。6.3訪問控制的實(shí)現(xiàn)機(jī)制訪問控制的一般實(shí)現(xiàn)機(jī)制和方法一般實(shí)現(xiàn)機(jī)制——

基于訪問控制屬性

——〉訪問控制表/矩陣基于用戶和資源分級（“安全標(biāo)簽”）

——〉多級訪問控制常見實(shí)現(xiàn)方法——

訪問控制表ACLs（AccessControlLists)

訪問能力表（Capabilities)

授權(quán)關(guān)系表訪問控制矩陣任何訪問控制策略最終均可被模型化為訪問矩陣形式：行對應(yīng)于用戶，列對應(yīng)于目標(biāo)，每個矩陣元素規(guī)定了相應(yīng)的用戶對應(yīng)于相應(yīng)的目標(biāo)被準(zhǔn)予的訪問許可、實(shí)施行為。訪問控制矩陣按列看是訪問控制表內(nèi)容按行看是訪問能力表內(nèi)容目標(biāo)xR、W、OwnR、W、Own目標(biāo)y目標(biāo)z用戶a用戶b用戶c用戶dRRR、W、OwnR、WR、W

目標(biāo)用戶

訪問控制表(ACL)

userAOwnRWOuserB

R

OuserCRWOObj1userAOwnRWOuserB

R

OuserCRWOObj1每個客體附加一個它可以訪問的主體的明細(xì)表。訪問能力表(CL)

Obj1OwnRWOObj2

R

OObj3

RWOUserA每個主體都附加一個該主體可訪問的客體的明細(xì)表。ACL、CL訪問方式比較(1)

ACLSsubjectclient(s,r)objectserverACL、CL訪問方式比較(2)

CLsubjectclient(o,r)objectserverACL、CL訪問方式比較(3)鑒別方面：二者需要鑒別的實(shí)體不同保存位置不同瀏覽訪問權(quán)限ACL:容易，CL:困難訪問權(quán)限傳遞ACL:困難，CL：容易訪問權(quán)限回收ACL:容易，CL：困難ACL和CL之間轉(zhuǎn)換ACL->CL：困難CL->ACL：容易ACL、CL訪問方式比較(4)多數(shù)集中式操作系統(tǒng)使用ACL方法或類似方式由于分布式系統(tǒng)中很難確定給定客體的潛在主體集，在現(xiàn)代OS中CL也得到廣泛應(yīng)用授權(quán)關(guān)系表

UserAOwnObj1UserARObj1UserAWObj1UserAWObj2UserARObj2

6.4OS的訪問控制設(shè)計(jì)操作系統(tǒng)的安全目標(biāo)?Goal1:enablingmultipleuserssecurelyshareacomputer–Separationandsharingofprocesses,memory,files,devices,etc.?Howtoachieveit?–memoryprotection–processormodes–authentication–fileaccesscontrol操作系統(tǒng)的安全目標(biāo)?Goal2:ensuresecureoperationinnetworkedenvironment?Howtoachieveit?–Authentication–AccessControl–SecureCommunication(usingcryptography)–Logging&Auditing–IntrusionPreventionandDetection–RecoveryCPU工作模式?Systemmode(privilegedmode,mastermode,supervisormode,kernelmode)–canexecuteanyinstructionandaccessanymemorylocations,e.g.,accessinghardwaredevices,enablinganddisablinginterrupts,changingprivilegedprocessorstate,accessingmemorymanagementunits,modifyingregistersforvariousdescriptortables.?Usermode–accesstomemoryislimited,cannotexecutesomeinstructions–cannot,e.g.,disableinterrupts,changearbitraryprocessorstate,accessmomorymanagementunits?Transitionfromusermodetosystemmodemustbedonethroughwelldefinedcallgates(systemcalls)KernelspacevsUserspace?PartoftheOSrunsinthekernelmodel–knownastheOSkernel?OtherpartsoftheOSrunintheusermode,includingserviceprograms(daemonprograms),userapplications,etc.–theyrunasprocesses–theyformtheuserspace(ortheuserland)?Differencebetweenkernelmodeandprocessesrunningasroot(orsuperuser,administrator)定時器TheOSprotectstheuseofcpubystartingatimerandpreventinguserprogramsfromchangingthetimer.ThisallowstheOStoabortanyprogramthatgoesintoaloop,intentionallyornot.內(nèi)存保護(hù)?Ensuresthatoneuser’sprocesscannotaccessother’smemory–fence–relocation–base/boundsregister–segmentation–paging–…?Operatingsystemanduserprocessesneedtohavedifferentprivileges共享內(nèi)存的保護(hù)Lockingmechanismscanbeusedinsharedmemoryprotection.Deadlocksmustbeovercomebytheconsistentorderingofsettingandreleasingthelocks.文件保護(hù):windowsThelatestversionofNTiswindowsvista.InNT,thefundamentalbuildingblockofallOSdatastructureisanobject.Includedinthisgrouparefilesanddirectories.Eachobjecthasanowner.對對象的訪問需要主體出示訪問令牌.MajorNTFSgoalsHighreliabilityRecoverabilityDataredundancyandfaulttoleranceTransactionsupport.Highsecuritysecuritycanbeappliedtoanyobjectusinganaccesscontrollist.

Windowsvista的安全組件安全標(biāo)識符(sid)訪問令牌（Accesstoken)安全描述符訪問控制列表(ACL)訪問控制條目(ACE)安全標(biāo)識符SID是分給所有用戶、組和計(jì)算機(jī)的統(tǒng)計(jì)上的唯一號碼。每次一個新的用戶或組被建立時，它就收到一個唯一的SID。每次windows安裝和建立時，一個新的SID就分給那個計(jì)算機(jī)了。SID唯一的標(biāo)識用戶、組和計(jì)算機(jī)，不僅在特定的計(jì)算機(jī)上，也包括與其它計(jì)算機(jī)交互的時候。SID是安全結(jié)構(gòu)的基礎(chǔ)，所以了解它很重要。訪問令牌在用戶被驗(yàn)證之后，分配給所有用戶訪問令牌。訪問令牌是系統(tǒng)訪問資源的“入場券”，只要用戶試圖訪問某種資源，就要向win2000出示訪問令牌。然后系統(tǒng)對照請求對象的訪問控制列表檢查訪問領(lǐng)牌。如果被許可，則以適當(dāng)?shù)姆绞秸J(rèn)可訪問。訪問令牌只有在登錄過程期間才能被分發(fā)，所以對用戶訪問權(quán)限的任何改變，要求用戶先注銷，然后重新登錄后接收更新的訪問令牌。安全描述符Windows中每個對象有一個安全描述符，作為它屬性的一部分。安全描述符由對象所有者的SID、POSIX子系統(tǒng)使用的組的SID、自主訪問控制列表和系統(tǒng)訪問控制列表組成。對象所有者SIDDACLSACL訪問控制條目即訪問控制列表的表項(xiàng)每個訪問控制條目包含用戶或組的SID和分配給該對象的權(quán)限。禁止訪問優(yōu)先于其它權(quán)限管理工具為一個對象列出訪問權(quán)的時候總是按照用戶字母順序列的，所以管理員的訪問權(quán)限總在前面。LinuxfilesystemEXT.Linuxregardsallusersasbeingamemberofoneofthreesets.FileownerGroupusersEverybodyThefileownercansetthepermissionsonafilebyusingautilitycalledCHMOD.Filecontrolblocksystemwideopenfiletableper-processopenfiletable安全操作系統(tǒng)模型安全模型則是對安全策略所表達(dá)的安全需求的簡單、抽象和無歧義的描述。而模型的實(shí)現(xiàn)則描述了如何把特定的機(jī)制應(yīng)用于系統(tǒng)中，從而實(shí)現(xiàn)某一特定安全策略所需的安全保護(hù)。1972年，J.P.Anderson指出要開發(fā)安全系統(tǒng)，首先必須建立系統(tǒng)的安全模型，完成安全系統(tǒng)的建模之后，再進(jìn)行安全內(nèi)核的設(shè)計(jì)與實(shí)現(xiàn)。主要安全模型BLP機(jī)密性安全模型Biba完整性安全模型Clark-Wilson完整性安全模型信息流模型RBAC安全模型DTE安全模型無干擾安全模型等。TCSEC定義的內(nèi)容沒有安全性可言，例如MSDOS不區(qū)分用戶，基本的訪問控制D級C1級C2級B1級B2級B3級A級有自主的訪問安全性，區(qū)分用戶標(biāo)記安全保護(hù)，如SystemV等結(jié)構(gòu)化內(nèi)容保護(hù)，支持硬件保護(hù)安全域，數(shù)據(jù)隱藏與分層、屏蔽校驗(yàn)級保護(hù)，提供低級別手段C2級安全標(biāo)準(zhǔn)的要求自主的訪問控制對象再利用必須由系統(tǒng)控制用戶標(biāo)識和認(rèn)證審計(jì)活動能夠?qū)徲?jì)所有安全相關(guān)事件和個人活動只有管理員才有權(quán)限訪問Windows的基本管理措施

操作系統(tǒng)的安全管理措施主要有安裝系統(tǒng)補(bǔ)丁、用戶帳號及口令安全、文件系統(tǒng)安全、主機(jī)安全管理等組成。操作系統(tǒng)的安全管理核心是普通用戶安全管理和超級用戶安全管