信息安全概论 徐茂智 邹维 信息安全概论第12讲新.pptVIP

信息安全概论 第11讲 2008年x月y日 第5章 访问控制理论 几个基本概念 几个基本概念 5.1访问控制矩阵模型 访问控制矩阵的优势与缺陷 5.2 Bell-Lapadula模型 5.2.1模型介绍 作业 * * 信息系统的保护本质上是通过一系列措施，使得系统满足一些“安全”条件。访问控制通过使用实体的标识、类别（如所属的实体集合）或能力，从而确定权限、授予访问权。拒绝实体试图进行的非授权访问。 上世纪70年代起，人们在研究操作系统安全和数据库安全中，提出了访问控制矩阵模型。把主体对客体的访问用权限矩阵来描述。 （系统的）状态——指一组内部存储器或外部存储器的当前值。 （系统的）保护状态——状态存储器中用来描述系统的安全保护的子集，称为保护状态。 3. 状态的安全性——假设P是系统的保护状态，Q是P中那些我们认为是安全的状态。这就是说当保护状态处于Q中时，系统是安全的；而当系统的保护状态处于 时，系统是不安全的。访问控制通过刻画Q中的状态，并保证系统处于Q中的状态而达到安全性的目的。 P Q 不安全的 安全的 用第一章的术语讲： 刻画Q中的状态是安全策略的研究目标； 保证系统处于Q中的状态则是安全机制的研究目标。 一组安全机制的作用是限制系统到达保护状态的子集合 。最理想的情形当然是 ，这时保护的力度恰到好处。给定一组安全机制，它对于安全策略有下列概念： 安全的——如果 ; 精确的——如果 ; 过保护的——如果它是安全的但不是精确的； 宽松的——如果 , . 访问控制模型是用来描述系统保护状态，以及描述安全状态的一种方法。 客体——受保护的实体（如数据、文件等）的集合称为客体（Object）集合，记为O； 主体——发起行为的实体集合（如人、进程等）称为主体（Subject）集合，记为S。 访问权限——如r（只读），w（读写），a（只写），e（执行）、c（控制）等，它们被称为权限（Right）集合，记为R。 对于一个主体 和一个客体 ，我们用 来表示允许s对o实施的所有访问权限集合。这样我们可以得到以S中元素为行指标，O中元素为列指标，表值为 的一个矩阵A，称为访问控制矩阵。这时，系统的安全状态可以用三元组（S, O, A）来表示。 例1：表5.1是一个主体集合S={张三，李四，进程1}，客体集合为O={文件1，文件2, 进程1}的一个访问控制表（矩阵）。访问权限集合为R={r、a、w、e、app(添加)、o(拥有)}。本示例中，一个用户对文件的读、写权限，对进程的执行权限比较容易理解。 李四对进程1的写权限可以定义为，李四给进程1发送数据，实现通信。同样，张三对进程1的读权限可以定义为，张三接收进程1发来的数据，实现通信。而进程1对自身没有任何操作权限，但对两个文件则有读权限。值得注意的是随着系统的不同可能一个相同名字的权限会有不同的含义。如在一些系统中张三对进程1的读权限有可能会表示拷贝这个进程。 访问控制矩阵示例 {r} {r} 进程1 {a} {w, o, app} {a, e} 李四 {e, r} {r} {w} 张三 进程1 文件2 文件1 客 体 主 体 例2．主体集合S=客体集合O={主机1，主机2，主机3}，访问权限集合为R={ftp(通过 文件传输协议FTP访问服务器)、nfs(通过网络文件系统协议NFS访问文件服务器)、mail(通过简单邮件传输协议SMTP收发电子邮件)、own(增加服务器)}。 这是由一台个人计算机（主机1）和两台服务器（主机2、主机3）组成的一个局域网。主机1只允许执行ftp客户端，而不安装任何服务器；主机2安装了FTP服务器、NFS服务器和mail服务器，允许它用ftp、nfs和mail访问主机3；主机3安装了FTP服务器、NFS服务器和mail服务器，仅允许它用ftp和mail访问主机2。可见该例子描述的系统之间的交互控制，而不是一台计算机内部的访问控制。 {ftp,nfs,mail,own} {ftp,mail} 主机3 {ftp,nfs,mail} {ftp,nfs,mail,own} 主机2 {ftp } {ftp} {own} 主机1 主机3 主机2 主机1 客 体 主 体 访问控制矩阵又一示例