zl—第6章网络安全技术及应用.pptVIP

6.1 操作系统的访问控制模型 操作系统安全的核心在于访问控制，它是在身份认证的基础上，根据身份的合法性对提出的资源访问请求加以控制，即确保主体对客体的访问只能是授权的，未经授权的访问是不能进行的。 访问控制的基本任务： 防止非法用户进入系统及合法用户对系统资源的非法使用，保证对客体的所有直接访问都是被认可的。 相关概念 身份认证解决的是“你是谁，你是否真的是你所声明的身份”； 访问控制解决的是“你能做什么，你有什么样的权限” 访问控制系统一般包括以下几个实体： 主体： 客体 安全访问策略：一套规则，用以确定一个主体是否对客体拥有访问能力。 在计算机操作系统中采取3种不同的访问控制策略： （1）自主访问控制 （2）强制访问控制 （3）基于角色的访问控制。 1 ) 自主访问控制策略(DAC) 自主访问控制策略(discretionary access control policy)之所以被称为“自主的”， 是因为它允许系统中信息的拥有者按照自己的意愿去制定谁可以以何种访问模式去访问该客体。 与MAC相比，DAC能够提供“更为精细”的访问控制粒度，它能将策略细化到具体的某个人，这是MAC办不到的。 自主访问控制策略是基于系统内用户(UID)以及访问授权(CAL)或者客体的访问属性(ACLs)，来决定该用户是否有权限访问客体。 1) 自主访问控制策略(DAC）——续 自主访问控制策略由一个三元组表示，即（S,O,A)，其中：S表示主体Subject，O表示客体Object，A表示访问模式Access DAC的优点：它的访问模式的设定是非常灵活的，而不像MAC中的访问模式只有“读”“写”两种。 DAC的缺点：不能防范“特洛伊木马”或某些形式的“恶意程序”。 目录表 原理：为每个用户建立一张访问目录表，其中存放有权访问的文件名及其访问权限。 访问控制列表　(Access Control Lists) 原理：每一个客体与一个ACL相对应， 以指明系统中的每一个主体获得的对此客体的相应的访问授权， 如读、 写、 执行等。 这种方法相当于将访问矩阵以列的方式来存。与表3-1 的访问矩阵相对应的文件File1的ACLs的存放如图3 - 3所示。 图3-3 表3-1中文件File1的访问控制列表(ACLs) （1）访问控制矩阵(ACM，Access Control Matrix)：基本思想就是将所有的访问控制信息存储在一个矩阵中集中管理。当前的访问控制模型一般都是在它的基础上建立起来的。 权能列表(Capabilities Lists) 权能列表则是基于主体来实现访问矩阵的。 原理：每一个主体与一称为“权能列表(Capabilities　Lists)”的列表相联系， 该列表指明系统中的某一个主体拥有对哪些客体的访问权限。 这种方法相应于将访问矩阵以行的方式来存储。 与表3-1的访问矩阵相对应的主体Sunny的权能列表(CLs)的存放如图3-4所示。 图3-4 表3-1中的主体Sunny的权能列表(CLs) 2) 强制访问控制策略（MAC) 原理：在强制访问控制(mandatory access control policy)机制下， 系统内的每一个用户或主体被赋予一个访问标签(access label)；每一个客体也被赋予一敏感性标签(sensitivity label)， 以反映该信息的敏感性级别。系统内的“引用监视器”通过比较主客体相应的标签来决定是否授予一个主体对客体的访问请求。 2) 强制访问控制策略（MAC)—续 在MAC策略中，三元组表示为(S,O,A)，访问模式A只有两种，即“读”和“写”。 在不同的情况下，其访问控制策略在形式上可能略有不同： 在保证机密性时，主体要想读客体，当且仅当主体的访问标签“高于”客体的敏感性标签。 在保证完整性时，主体要想写访问客体，其完整性标签要“低于”客体的完整性标签。 MAC 策略的最显著特征：全局性、永久性 “全局性”的含义：对于特定的信息，无论它处于何地，其敏感性级别相同。 “永久性”的含义：对于特定的信息，无论它处于何时，其敏感性程度相同。 也就是说：在MAC中，无论何时何地，主客体的标签是不会改变的，这一特征被称为“宁静性原则” 对于一个具体的访问控制策略，如果它具有“全局性”“永久性”特征，那么标签的集合必定会形成“偏序关系”。也就是说，标签集合内的元素之间可以用“支配”关系来描述。 对于两个符合“偏序关系”的元素x和y来说，它们只存在三种关系，即： x支配y (写作xy) y支配x (写作yx) x与y