5访问控制.ppt

信息安全访问控制 沈志东 武汉大学 国际软件学院 zd_shen@163.com 访问控制——安全服务 ISO7498-2定义了五大安全服务 对象认证 访问控制 数据保密性 数据完整性 防抵赖性 访问控制 访问控制的基本任务是防止非法用户即未授权用户进入系统和合法用户即授权用户对系统资源的非法使用 用户身份的识别和认证 对访问的控制 审计跟踪 访问控制 访问控制的作用 访问控制对机密性、完整性起直接的作用。 对于可用性，访问控制通过对以下信息的有效控制来实现： 谁可以颁发影响网络可用性的网络管理指令 谁能够滥用资源以达到占用资源的目的 谁能够获得可以用于拒绝服务攻击的信息 访问控制系统的实体 主体（subject） 发出访问操作、存取请求的主动方，通常可以是用户或用户的某个进程等 客体（object） 被访问的对象，通常可以是被调用的程序、进程，要存取的数据、信息，要访问的文件、系统或各种网络设备、设施等资源 安全访问策略 一套规则，用以确定一个主体是否对客体拥有访问权限。 访问控制的目的 限制主体对访问客体的访问权限，从而使计算机系统在合法范围内使用； 决定用户能做什么，也决定代表一定用户利益的程序能做什么。 访问控制的实现方法 访问控制矩阵 访问能力表 访问控制表 授权关系表 访问控制矩阵 访问控制表示为一个矩阵的形式 行表示客体（各种资源） 列表示主体（通常为用户） 行和列的交叉点表示某个主体对某个客体的访问权限（比如读、写、执行、修改、删除等） 访问能力表和访问控制表 访问控制矩阵中很多单元是空白项 为了减轻系统开销与浪费 从主体（行）出发，表示矩阵的某一行的信息——访问能力表（Access Capabilities List） 从客体（列）出发，表示矩阵某一列的信息——访问控制表（Access Control List） 访问能力表 能力（Capability）是受一定机制保护的客体标志，标记了客体以及主体（访问者）对客体的访问权限。 只有当一个主体对某个客体拥有访问的能力时，它才能访问这个客体。 访问能力表 访问能力表着眼于某一主体的访问权限，以主体的出发点描述控制信息，因此很容易获得一个主体所被授权可以访问的客体及其权限。 如果要求获得对某一特定客体有特定权限的所有主体比较困难 访问控制服务应该能够控制可访问某一个客体的主体集合，能够授予或取消主体的访问权限 于是出现了以客体为出发点的实现方式——访问控制列表 访问控制表 访问控制表（ACL）对某个指定的资源指定任意一个用户的权限，还可以将具有相同权限的用户分组，并授予组的访问权限 访问控制表 优点 访问控制表（ACL）表述直观、易于理解，比较容易查出对某一特定资源拥有访问权限的所有用户，有效地实施授权管理。 在一些实际应用中，还对ACL进行了扩展，以进一步控制用户的合法访问时间，是否需要审计等 应用到网络规模较大、需求复杂的企业的内部网络时 当网络中资源很多时，需要在ACL中设定大量的表项。而且为了实现整个组织范围内的一致的控制策略，需要各管理部门的密切合作。 单纯使用ACL，不易实现最小权限原则及复杂的安全政策 授权关系表 使用一张表描述主体和客体之间的关系，可以对表进行排序 访问控制策略 访问控制策略 自主访问控制（DAC） 强制访问控制（MAC） 基于角色的访问控制（RBAC） 自主访问控制 自主访问控制（DAC） 最早出现在七十年代初期的分时系统中，它是多用户环境下最常用的一种访问控制手段。 用户可以按自己的意愿对系统参数做适当的修改，可以决定哪个用户可以访问系统资源。 DAC有时又被称为为基于主人的访问控制 自主访问控制 优点 根据主体的身份及允许访问的权限进行决策 自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。 灵活性高，被大量采用，Windows、UNIX系统采用。 缺点 信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。 自主访问控制——基于个人的策略 根据哪些用户可对一个目标实施哪一种行为的列表来表示。 等价于用一个目标的访问矩阵列来描述 基础(前提)：一个隐含的、或者显式的缺省策略 例如，全部权限否决 最小特权原则：要求最大限度地限制每个用户为实施授权任务所需要的许可集合 在不同的环境下，缺省策略不尽相同，例如，在公开的布告板环境中，所有用户都可以得到所有公开的信息 对于特定的用户，有时候需要提供显式的否定许可 例如，对于违纪的内部员工，禁止访问内部一些信息 自主访问控制——基于组的策略 一组用户对于一个目标具有同样的访问许可。是基于身份的策略的另一种情形 相当于，把访问矩阵中多个行压缩为一个行。 实际使用