计算机安全保密200808访问控制剖析.ppt

2006-9-1 第八章访问控制 8.1 访问控制的概念 8.2 自主访问控制 8.3 强制访问控制 8.4 基于角色的访问控制 8.1 访问控制的概念 1 什么是访问控制 访问控制是在身份认证基础上，依据授权对提出的资源访问请求加以控制。 主体、客体、安全访问策略。 8.1 访问控制的概念 1 什么是访问控制 操作系统用户分类： 系统管理员； 系统安全员 系统审计员 一般用户 8.1 访问控制的概念 1 什么是访问控制 访问控制三元组: (S,O,A) S是主体集合； O是客体集合； A是属性集合，是控制策略。 8.1 访问控制的概念 (1)主体 实体表示一个计算机资源；主体是一个实体。 主体是指一个提出请求或要求的实体(人或进程等)，是动作的发起者，但不一定是动作的执行者。 主体可以对其它实体施加某些操作动作。 8.1 访问控制的概念 (2)客体 客体是接受其它实体访问的被动实体； 客体可以是被操作的信息、资源、对象等，也可以是网络设施。 一个客体可以包含另外一个客体。 8.1 访问控制的概念 (3)访问策略 访问策略是主体对客体的操作行为的集合，以及约束条件的集合。 访问策略体现了一种授权行为，即客体对主体的许可权限。 8.1 访问控制的概念 主体合法性由身份认证过程来保证，如用户识别码，口令。 约束条件由访问控制表ACL实现。 8.1 访问控制的概念 8.1 访问控制的概念 三种基本的访问控制策略： 自主访问控制； 强制访问控制； 基于交色的访问控制； 8.1 访问控制的概念 访问控制模型： 70年代，HRU模型。 76年，Take-Grant模型。 85年，可信任计算机系统评估准则，TCSEC模型：自主访问控制(DAC) ，强制访问控制(MAC) 。 92年，基于角色的访问控制模型(RBAC)。 8.1 访问控制的概念 2 访问控制的基本原则 最小特权原则； 多人负责原则：授权分散化； 职责分离原则：不同的责任分派给不同的人员。 8.2 自主访问控制(DAC) 1 什么是自主访问控制 自主访问控制指具有访问许可的主体可以直接或间接地向其它主体转让访问权。 自主访问控制过程在确定主体身份、主体的属性组基础上，进一步控制主体的活动，实施用户权限管理、访问属性管理等； 自主访问控制是最常见的访问控制手段。 8.2 自主访问控制(DAC) 自主访问控制： 采用控制矩阵和访问控制列表存放不同主体的访问控制信息； 访问控制表数据量大； 访问控制表的控制粒度是个人； 提供的安全保护能力较低。 8.2 自主访问控制(DAC) 自主访问控制可分为： 基于行的自主访问控制(基于主体); 基于列的自主访问控制(基于客体); 8.2 自主访问控制(DAC) 2 基于行的自主访问控制 在每个主体上都附加一个该主体可访问客体的明细表。 1.权限字 2.前缀表 3.口令字 8.2 自主访问控制(DAC) 3 基于列的自主访问控制 在每个客体上附加一份可访问它的主体的明细表。 1.保护位，UNIX 2.存取控制表ACL 8.3 强制访问控制(MAC) 强制访问控制即系统强制主体服从访问策略。 强制访问控制对所有主体及其所控制的客体实施强制访问控制。 强制访问控制用于专用的或简单的系统。 强制访问控制一般与自主访问控制结合使用。 8.3 强制访问控制(MAC) 需要为主体、客体指定敏感标记，并进行分级或分类。 用户程序不能改变敏感标记，可防止特络伊木马式的攻击。(为什么？) 8.3 强制访问控制(MAC) 为实现强制访问控制，需要对主体和客体进行访问级别划分，即标注敏感标记： 最高秘密级(T)秘密级(S) 机密级(C)非机密级(U) 据此敏感标记，决定访问模式。 8.3 强制访问控制(MAC) 访问模式： 下读：主体级别客体级别时，读。 下写：主体级别客体级别时，写。 上读：主体级别客体级别时，读。 上写：主体级别客体级别时，写。 8.3 强制访问控制(MAC) Bell-LaPadula(BLP)模型(1976年) 多级安全模型 特点：维护系统的保密性，有效地防止信息泄漏。 可防止低级用户和进程访问安全界别比他们高的信源。 该模型缺少完成性约束，如信息的非授权修改、越权篡改等。 8.3 强制访问控制(MAC) 8.3 强制访问控制(MAC) 该模型的控制原则： 无上读 无下写 强制访问安全策略： 对给定安全级别的主体，仅准许对相同安全级别或较低安全级别的客体进行“读”； 对给定安全级别的主体，仅准许向相同安全级别或较高安全级别的客体进行“写”。 8.3 强制访问控制(MAC) 用偏序关系表示： (1) 当且仅当SC(s)=SC(o)，准许读操作。 (2) 当且仅当SC(s)=SC(o)，准许写操作。 该模型不能解释主-客体框架以外的