chap3访问控制策略.pptVIP

计算机安全 概 念 通常应用在操作系统的安全设计上。 定义：在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。 目的：为了限制访问主体对访问客体的访问权限，从而使计算机系统在合法范围内使用；它决定用户能做什么，也决定代表一定用户身份的进程能做什么。 未授权的访问包括：未经授权的使用、泄露、修改、销毁信息以及颁发指令等。 非法用户进入系统。 合法用户对系统资源的非法使用。 访问控制模型基本组成 任 务 识别和确认访问系统的用户。 决定该用户可以对某一系统资源进行何种类型的访问。 访问控制矩阵 基于状态和状态转换的概念定义的，用于实现自主访问控制策略； 定义 举例 自主访问控制(DAC) 基于对主体或主体所属的主体组的识别来限制对客体的访问，这种控制是自主的。 自主指主体能够自主地将访问权或访问权的某个子集授予其他主体。 如用户A可将其对对象O的访问权限传递给用户B，从而使不具备对O访问权限的B可访问O。 缺点 信息在移动过程中其访问权限关系会被改变，导致安全问题的发生 模型的实现方法之一：访问列表(Access Control List，ACL) 基于访问控制矩阵列的自主访问控制。 每个客体都有一张ACL，用于说明可以访问该客体的主体及其访问权限。 举例： oj表示对客体j ，si.rw表示主体i具有r和w属性。 问题： 主体、客体数量大，影响访问效率。 解决： 引入用户组，用户可以属于多个组。 主体标识=主体.组名 如Liu.INFO表示INFO组的liu用户。 *.INFO表示INFO组中的所有用户。 *.*表示所有用户。 liu.INFO.rw表示对INFO组的用户liu具有rw权限。 *.INFO.rw表示对INFO组的所有用户具有rw权限。 *.*.rw表示对所有用户具有rw权限。 模型的实现方法之二：能力列表(Capabilities List，CL) 基于访问控制矩阵行的自主访问控制。 为每个主体（用户）建立一张访问能力表，用于表示主体是否可以访问客体，以及用什么方式访问客体。 强制访问控制（MAC） 为所有主体和客体指定安全级别，比如绝密级、机密级、秘密级、无秘级。 不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。 只有安全管理员才能修改客体访问权和转移控制权。（对客体拥有者也不例外） MAC模型 安全策略 保障信息完整性策略 级别低的主体可以读高级别客体的信息（不保密），级别低的主体不能写高级别的客体（保障信息完整性） 保障信息机密性策略 级别低的主体可以写高级别客体的信息（不保障信息完整性），级别低的主体不可以读高级别的客体（保密） 举例： Multics操作系统的访问控制（保密性策略）： 仅当用户的安全级别不低于文件的安全级别时，用户才可以读文件； 仅当用户的安全级别不高于文件的安全级别时，用户才可以写文件； 举例： Security-Enhanced Linux (SELinux) for Red Hat Enterprise Linux AppArmor for SUSE Linux and Ubuntu TrustedBSD for FreeBSD 基于角色的访问控制（Role-Based Access Control） 基于角色的访问控制 起源于UNIX系统或别的操作系统中组的概念（基于组的自主访问控制的变体） 每个角色与一组用户和有关的动作相互关联，角色中所属的用户可以有权执行这些操作 角色与组的区别 组：一组用户的集合 角色：一组用户的集合 + 一组操作权限的集合 适合专用目的的计算机系统，比如军用计算机系统。 RBAC模型 一个基于角色的访问控制的实例 在银行系统中，用户角色可以定义为顾客、出纳员、分行管理者、系统管理者和审计员 访问控制策略的一个例子如下： （1）允许一个顾客只询问他自己的帐号的注册项 （2）允许一个出纳员修改顾客的帐号记录（包括存款和取款、转帐等），并允许查询所有帐号的注册项 （3）允许一个分行管理者修改顾客的帐号记录（包括存款和取款，但不包括规定的资金数目的范围）并允许查询所有帐号的注册项，也允许创建和终止帐号 （4）允许系统的管理者询问系统的注册项和开关系统，但不允许读或修改用户的帐号信息 （5）允许一个审计员读系统中的任何数据，但不允许修改任何事情 系统需要添加出纳员、分行管理者、顾客、系统管理者和审计员角色所对应的用户，按照角色的权限对用于进行访问控制。 常用操作系统中的访问控制 国际安全标准 1984年，美国国防部发布了《可信计算机系统评估标准》（TCSEC），即桔皮书。 TCSEC采用等级评估的方法，将计算机安全分为A、B、C、D四个等级七个级别，D等安全级别最低，A安全级别最高。 现在大多数通用操作系统（W