课程名称计算机系统安全.PPT

一、访问控制的概念 阻止非授权用户访问目标的方法： 1）访问请求过滤器： 当一个发起者试图访问一个目标时，审查其是否获准以请求的方式访问目标； 2）分离 防止非授权用户有机会去访问敏感的目标。 这两种方法涉及： 访问控制机制和访问控制策略。 访问控制策略 系统中存取文件或访问信息的一整套严密安全的规则。通过不同方式建立：OS固有的，管理员或用户制定的。 访问控制机制 对访问控制策略抽象模型的许可状态转换为系统的物理形态，并对访问和授权进行监测。是具体实施访问策略的所有功能的集合，这些功能可通过系统的软硬件实现。 访问控制策略模型可分为： 自主式策略（基于身份的策略） 基于个人的策略 隐含的缺省策略 禁止/开放 最小特权原则：最大限度地控制用户为完成授权任务所需要的许可集。 基于组的策略 多个用户被组织在一起并赋予一个共同的标识符。 更容易、更有效。 强制式策略（基于规则的策略） 多用于机密、军事部门 资源和使用 对需要保护的资源定义一个访问控制包（Access control packet)，包括： 资源名及拥有者的标识符 缺省访问权 用户、用户组的特权明细表 允许资源的拥有者对其添加新的可用数据的操作 审计数据 访问规则 规定了若干条件，在这些条件下，可准许访问一个资源。 规则使用户与资源配对，指定该用户可在该文件上执行哪些操作，如只读、不许执行或不许访问。 由系统管理人员来应用这些规则，由硬件或软件的安全内核部分负责实施。 访问控制的一般实现机制和方法 一般实现机制—— 基于访问控制属性 ——〉访问控制表/矩阵 基于用户和资源分级（“安全标签”） ——〉多级访问控制 常见实现方法—— 访问控制表ACLs（Access Control Lists) 访问能力表（Capabilities) 授权关系表 访问控制矩阵 访问控制矩阵 按列看是访问控制表内容 按行看是访问能力表内容 访问控制表(ACL) 访问能力表(CL) 多级策略 目标按敏感性划分为不同密级：绝密top secret、秘密secret、机密confidential、限制restricted、无密级unclassified。 每个用户有一个允许安全级（clearance）。Bell和LaPadula 安全模型定义了用户和目标在形式上的安全级别关系。 只读访问规则：用户只能读不高于其安全级别的数据。 只写访问规则： 为防止泄密： Bell LaPadula 模型 “上写” 完整性：防止删改数据、木马 Biba 模型 “下写” 自主访问控制（DAC） 强制访问控制（MAC） 基于角色访问控制（RBAC） 兼有基于身份和基于规则的策略特征。可看作基于组的策略的变形，一个角色对应一个组。例：银行业务系统中 用户多种角色 优点： 对于非专业的管理人员，容易制定安全策略； 容易被映射到一个访问矩阵或基于组的策略。 基于角色访问控制（RBAC） 基于角色访问控制（RBAC） 五、基于角色访问控制（RBAC） 六、访问控制的其它考虑 附加的控制 依赖于值的控制：临界数据的敏感性 多用户控制：需要多个个体、角色的同意 基于上下文控制：时间、用户位置、通信路径 目标的粒度 策略与粒度大小密切相关。 策略的交互作用 多种策略作用于一个目标时，需要策略协调规则 规定策略优先关系，解决策略冲突。 穿越互操作区域的策略映射 安全区域边界的翻译、映射，不同区域安全策略不同 访问控制转发 如果B是不可信的，或者B受到攻击，则C将受到威胁。 通信访问控制与路由控制 a)连接访问控制： b)网络数据访问控制： 路由控制：确保数据通过安全的子网、连接。在网络层，使用a或b方式；在E-mail这样的存储转发系统中，路由控制可出现在应用层。 访问控制信息的产生、分发和存储 访问控制机制的有效性依赖于访问控制决策的准确性和可信度。所以访问控制策略只能由适当的授权者独自产生和修改。对访问控制列表的修改由控制许可来完成，控制许可在逻辑上要与目标访问许可有明显的区别。 为满足完整性和数据起源认证需要，访问控制信息通常以访问控制证书的形式传递，例：当用户首次登录时，将获得特权属性证书(PAC)。 访问控制许可的撤消 当某个安全区域去掉一个用户、目标，或改变其安全属性，或怀疑敏感信息受到威胁时 第六章 访问控制 静态数据 用户表包括用户标识、姓名、登录密码。它是系统中的个体用户集，随用户的添加与删除动态变化。 角色表包括角色标识、角色名称、角色基数、角色可用标识。角色表是系统角色集，由系统管理员