第6章 访问控制.pptVIP

6.1 访问控制的有关概念 　　访问控制是针对越权使用资源的防御性措施之一。其基本目标是防止对任何资源(如计算资源、通信资源或信息资源)进行未授权的访问，从而使资源使用始终处于控制范围内。最常见的是，通过对主机操作系统的设置或对路由器的设置来实现相应的主机访问控制或网络访问控制。例如，控制内网用户在上班时间使用QQ、MSN等。 　　访问控制对实现信息机密性、完整性起直接的作用，还可以通过对以下信息的有效控制来实现信息和信息系统可用性： 　　(1)谁可以颁发影响网络可用性的网络管理指令； 　　(2) 谁能够滥用资源以达到占用资源的目的； 　　(3)谁能够获得可以用于拒绝服务攻击的信息。 　　访问控制包括三个要素：主体(Subject)、客体(Object)和控制策略。其中主体即是访问资源的用户或代表用户执行的程序，客体即是规定需要保护的资源，控制策略是对访问如何控制、如何作出访问决定的高层指南。访问控制策略体现了一种授权行为，也就是客体对主体的权限允许。访问控制策略往往表现为一系列的访问规则，这些规则定义了主体对客体的作用行为和客体对主体的条件约束。　　 　　访问控制机制是访问控制策略的软硬件低层实现。 6.2 访问控制策略 6.2.2 访问权限的确定过程 　　主体对客体的访问权限的确定过程是：首先对用户和资源进行分类，然后对需要保护的资源定义一个访问控制包，最后根据访问控制包来制订访问控制规则集。 　　3. 对需要保护的资源定义一个访问控制包　　内容包括资源名及拥有者的标识符、缺省访问权、用户和用户组的特权明细表、允许资源的拥有者对其添加新的可用数据的操作、审计数据等。　　 　　4. 访问控制规则集　　访问控制规则集是根据第三步的访问控制包得到的，它规定了若干条件和在这些条件下可准许访问的一个资源。规则使得用户与资源配对，并指定该用户可在该文件上执行哪些操作，如只读、不许执行或不许访问。 　　“主体对客体的访问权限能否转让给其他主体”这一问题则比较复杂，不能简单地用“能”和“不能”来回答。大家试想一下，如果回答“不能”，表面上看很安全，但按照这一控制策略做出系统后，我们就不可能实现任何信息的共享了。 6.2.3 自主访问控制　　一种策略是对某个客体具有所有权的主体能够自主地将对该客体的一种访问权或多种访问权授予其他主体，并可在随后的任何时刻将这些权限收回。这一策略称为自主访问控制。这种策略因灵活性高，在实际系统中被大量采用。Linux、UNIX和Windows等系统都提供了自主访问控制功能。 　　在实现自主访问控制策略的系统中，信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B，从而使本身不具备对O访问权限的B可访问O。因此，这种模型提供的安全防护不能给系统提供充分的数据保护。 6.2.4 强制访问控制　　另一种策略是根据主体被信任的程度和客体所含信息的机密性和敏感程度来决定主体对客体的访问权。用户和客体都被赋予一定的安全级别，用户不能改变自身和客体的安全级别，只有管理员才能确定用户的安全级别且当主体和客体的安全级别满足一定的规则时，才允许访问。这一策略称为强制访问控制。 　　在强制访问控制模型中，一个主体对某客体的访问权只能有条件地转让给其他主体，而这些条件是非常严格的。例如，Bell-LaPadula模型规定，安全级别高的用户和进程不能向比他们安全级别低的用户和进程写入数据。Bell-LaPadula模型的访问控制原则可简单地表示为“无上读、无下写”，该模型是第一个将安全策略形式化的数学模型，是一个状态机模型，即用状态转换规则来描述系统的变化过程。Lattice模型和Biba模型也属于强制访问控制模型。强制访问控制一般通过安全标签来实现单向信息流通。 6.2.5 基于角色的访问控制 　　将访问权限分配给一定的角色，用户根据自己的角色获得相应的访问许可权，这便是基于角色的访问控制策略。角色是指一个可以完成一定职能的命名组。角色与组是有区别的，组是一组用户的集合，而角色是一组用户集合外加一组操作权限集合。 　　　在基于角色的访问控制模型中，只有系统管理员才能定义和分配角色，用户不能自主地将对客体的访问权转让给别的用户。 　　例6-1 一个基于角色的访问控制实例。在银行环境中，用户角色可以定义为出纳员、分行管理者、顾客、系统管理者和审计员，相应的访问控制策略可如下规定：　　(1) 允许一个出纳员修改顾客的帐号记录(包括存款和取款、转账等)，并允许查询所有账号的注册项。 　　(2) 允许一个分行管理者修改顾客的账号记录(包括存款和取款，但不包括规定的资金数目的范围)并允许查询所有账号的注册项，也允许创建和终止账号。 　　(3) 允许一个顾客只询问他自己的账号的注册