如果AU调用了木马程序.PPT

访问控制模型基本组成 访问控制决策组件是一个对请求的行为用访问控制策略规则来做出访问控制决策的网络单元。 访问控制实施组件实施由决策组件做出的决策。 访问控制 访问控制策略 访问控制机制 网络访问控制组件的分布 授权的管理 路由控制 访问控制策略 访问控制策略 基于身份的策略 等同于自主式策略，允许系统中信息的拥有者按照自己的意愿去指定谁可以以何种访问模式去访问该客体。 根据主体的身份及允许访问的权限进行决策。 如何把用户和目标分组有很大的灵活性，其范围可从单个用户和目标的清晰识别到大组的使用。 缺点：信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。 基于规则的策略 广泛地应用于政府机密部门。这些策略能用算法表达，并能在计算机上自动执行。也称为强制访问控制。 将主体和客体分级，根据主体和客体的级别标记来决定访问模式。如，绝密级，机密级，秘密级，无密级。 其访问控制关系分为： 下读/上写规则 BL模型 机密性 上读/下写规则 Biba模型 完整性 示例通讯过程中如何体现BL模型思想 。当企业的两个分支网络要跨越非可信网络进行互联时，可以假设两个分支机构的安全级别均为机秘，而Internet，作为VPN的传输媒介，它的安全级别为公开，因此依照BL模型，Internet上的用户仅可以看到公开的数据。而两个分支网络间的数据安全级别为机秘，因此，访问控制机制导致Internet用户不能访问机秘数据，而这是由于VPN使用了加密技术以实现访问控制机制。 特洛伊木马和安全操作系统 特洛伊木马和安全操作系统 用户AU通过程序与数据文件交互，只有属于AU的进程可以访问该文件。 恶意用户BU安装了特洛伊木马和一个“后口袋”文件，攻击开始。BU将这个文件的读写权授予自己，将写权授予AU。引诱AU调用木马程序。当检测出程序被AU执行时，BU就从AU的文件中将敏感字段复制到“后口袋”中。 安全操作系统：AU的进程和文件被赋予敏感级别，BU的文件和进程被限制为公共的。如果AU调用了木马程序，那个程序就获得了AU的安全级别，可以观察到敏感字段。但是，当试图存储到“后口袋”时，违反了规则，被监视器禁止。 Biba模型在应用中的一个例子是对WEB服务器的访问过程。定义Web服务器上发布的资源安全级别为“秘密”，Internet上用户的安全级别为“公开”，依照Biba模型，Web服务器上数据的完整性将得到保障，Internet上的用户只能读取服务器上的数据而不能更改它。 基于角色的策略 基于角色的访问控制是一个复合的规则，可以被认为是基于身份策略和基于规则策略的变体。 基本思路：管理员创建角色，给角色分配权限，给角色分配用户，角色所属的用户可以执行相应的权限 基于角色的策略 附加的控制 通过使用附加的控制来进一步强化上述策略。 1）依赖于值的控制 目标的敏感性会根据当前存储的数据值而改变。大金额合同信息也许要提供更强的保护。 附加的控制 2）多用户控制 当多于一个用户共同提出一个请求时，在访问目标之前应该得到许可的策略。 需要两个指定的个体同意； 需要两个具有指定角色的个体同意； 需要半数以上成员同意。 附加的控制 3）基于上下文的控制 允许访问控制策略在确定访问一个目标时依靠外部因素（时间、位置、通信路径、鉴别强度）。可扩大基于身份的或基于规则的策略。目的在于保护访问控制机制，鉴别机制或物理安全措施等防护措施的弱点。例如，访问一个特定目标可能只有在工作时间并在公司允许的终端上才可访问。 访问控制列表 访问控制列表 访问控制列表机制最适合于有相对少的需要被区分的用户，并且这些用户中的绝大多数是稳定的情况。如果访问控制列表太大或经常改变，维护访问控制列表会成为最主要的问题。 另一个优点是一个目标的拥有者或管理者可以很容易地废除以前授予的许可。 能力 能力是发起者拥有的一个有效标签，它授权持有者能以特定的方式访问特定的目标。能力可从一个用户传递给另一个用户，但任何人不能摆脱责任机构而进行修改和伪造。 从发起者的环境中根据一个关于用户的访问许可存储表产生能力。即运用访问矩阵中用户包含的每行信息产生能力。 能力 能力机制适合于目标联系相对少，对发起者访问控制决策容易实现的情况。能力机制的实施主要依赖于在系统间安全传递能力的方法。 能力的缺点是目标的拥有者和管理者不容易废除以前授予的许可。  安全标签 安全标签是限制在目标上的一组安全属性信息项。在访问控制中， 一个安全标签隶属于一个用户、一个目标、一个访问请求或传输中的一个访问控制信息。最通常的用途是支持多级访问控制策略。 在处理一个访问请求时，目标环境比