chap3：访问控制策略-B 西安电子科技大学计算机安全基础教材.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * 模型评价 基于访问矩阵的访问控制模型在拥有它无可比拟的优点的同时，也有其本身设计带来的缺点： 如果不详细检查整个访问矩阵，很难保证系统的安全性； 在大型系统中，访问矩阵非常庞大，但其中很多元素是空的，因此以矩阵的方法来实现访问矩阵是不太现实的； 由于客体的拥有者能够授予或取消其它主体对该客体的访问权限，这就造成了很难预测访问权限是在系统中是如何传播的，给系统的管理造成了很大的困难。 不能防范特洛伊木马。它无法实现多级安全策略。 * * 模型的实现方法 1、访问控制列表　(Access Control Lists) 较流行的实现访问矩阵的方法是访问控制列表，又称为ACLs.在这种实现方法中，每一个客体与一个ACL相对应：指明系统中的每一个主体获得对此客体的访问的相应授权，如读、写、执行等等。 * 西安电子科技大学 计算机与网络安全教育部重点实验室 * * 西安电子科技大学 计算机与网络安全教育部重点实验室 * 文件File 1的访问控制列表(ACLs) 2．权能(Capabilities)列表 相对于访问控制列表ACLs基于客体来实现访问矩阵来说，权能列表则是基于主体来实现访问矩阵的。在这种方法中，每一个主体与一称为“权能列表(Capabilities　Lists)”的　列表相联系，该列表指明系统中的某一个主体拥有对哪些客体的访问权限。这种方法相应于将访问矩阵以行的方式来存储。 * 西安电子科技大学 计算机与网络安全教育部重点实验室 * * 西安电子科技大学 计算机与网络安全教育部重点实验室 * 主体Sunny的权能列表(CLs) Sunny 常用操作系统中的访问控制（选讲） 现在大多数通用操作系统（WindowsNT、Linux等）为C2级别，即控制访问保护级。 WindowsNT (自主访问控制) Windows安全模型 Security Account Manager Local Security Authority (LSA) Security Reference Monitor 访问控制过程 组成部件： 安全标识：帐号的唯一对应。 访问令牌：LSA为用户构造的，包括用户名、所在组名、安全标识等。 主体：操作和令牌。 对象、资源、共享资源 安全描述符：为共享资源创建的一组安全属性 所有者安全标识、组安全标识、自主访问控制表、系统访问控制表、访问控制项。 登录过程 服务器为工作站返回安全标识，服务器为本次登录生成访问令牌 用户创建进程P时，用户的访问令牌复制为进程的访问令牌。 P进程访问对象时，SRM将进程访问令牌与对象的自主访问控制表进行比较，决定是否有权访问对象。 NTFS的访问控制 从文件中得到安全描述符（包含自主访问控制表）； 与访问令牌（包含安全标识）一起由SRM进行访问检查 Linux (自主访问控制) 设备和目录同样看作文件。 三种权限： R:read W:write X:excute 权限表示： 字母表示：rwx，不具有相应权限用-占位 8进制数表示：111，不具有相应权限相应位记0 四类用户： root：超级用户，god 所有者 所属组 其他用户 文件属性： drwxr-x--x 2 lucy work 1024 Jun 25 22:53 text 安全属性： drwxr-x--x 所有者，所属组：lucy.work 安全属性后9个字母规定了对所有者、所属组、其他用户的权限（各3位）。 lucy.work.rwx *.work.x *.*.x text * * Thanks * * * * * * 保护系统的访问矩阵模型 模型是用状态和状态转换的概念定义。其中的状态是用访问矩阵表示的，状态转换是用命令描述的。该模型的特点： 简明：易懂、易理解、易证明； 通用：有能力综合不同策略和应用于多种实现； 精确：有能力忠实地反映策略和系统形态； 与数据式样无关。 * * 保护系统的访问矩阵模型 访问矩阵模型是描述保护系统的一种有效手段，能够应用在以下方面： 1. 为研究提供框架：可为安全理论研究提供一个基础，允许研究者把注意力集中在问题突出的特型上，毋需顾及实现细节； 2. 用作设计工具：即用于概括在构造的系统的实现目标，以指导设计； 3. 证明“设计与实现”的正确性工具：因为模型是形式化的，允许做出形式断言并对其进行改进； 4. 用作教育工具：形式化模型免去了自然语