第7章 操作系统安全[文字可编辑].ppt

访问控制模型 访问控制执行功能 访问控制决策功能 客体 主体的访问 控制信息 主体 客体的访问 控制信息 访问控制政策规则 上下文信息 ( 如时间，地址等 ) 决策请求 决策 访问请求 提交访问 访问控制的基本概念 ? 访问控制信息（ ACI ）的表示 – 主体访问控制属性 – 客体访问控制属性 – 访问控制政策规则 ? 授权（ Authorization ） – 怎样把访问控制属性信息分配给主体或客体 – 如何浏览、修改、回收访问控制权限 ? 访问控制功能的实施 – 控制实施部件如何获得实体的访问控制信息 – 怎样执行 访问控制矩阵 ? 访问控制机制可以用一个三元组 来表示（ S,O,M ） – 主体的集合 S={s 1 ,s 2 , … ,s m } – 客体的集合 O={o 1 ,o 2 , … ,o n } – 所有操作的集合 A={R, W , E, … } – 访问控制矩阵 M= S × O ? 2 A ? ? ? ? ? ? lk ij j i ij j i a W R a o s M a O o S s }, , { , , 的操作。比如 允许 对 决定 存在 对于任意 ? ? ? ? ? ? ? ? ? ? ? ? ? mn m m n n a a a a a a a a a M ... ... ... ... ... ... ... 1 0 1 11 10 0 01 00 访问控制矩阵 ? 矩阵的的 i 行 S i 表示了主体 s i 对所有客体的操作权 限，称为主体 s i 的 能力表 (Capability List) ? 矩阵的第 j 列 O j 表示客体 o j 允许所有主体的操作， 称为 o j 的 访问控制表 （ ACL ） ? ? n m mn m m n n O O O S S S a a a a a a a a a M ... ... ... ... ... ... ... ... ... 2 1 2 1 1 0 1 11 10 0 01 00 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 能力表（ Capability List ） ? 能力表与主体关联，规定主体所能访问的客体和权 限。 ? 从能力表得到一个主体所有的访问权限，很容易 ? 从能力表浏览一个客体所允许的访问控制权限，很 困难 O 1 R W O 2 R O 5 R W E S i 访问控制表 (Access Control List) ? 访问控制表与客体关联，规定能够访问它的主体和权限 ? 由于主体数量一般比客体少得多而且容易分组，授权管 理相对简单 ? 得到一个客体所有的访问权限，很容易 ? 浏览一个主体的所有访问权限，很困难 S 1 R W S 2 R S 5 R W E O j 访问控制与其他安全机制的关系 ? 身份认证 – 身份认证是访问控制的前提 ? 保密性 – 限制用户对数据的访问 ( 读取操作 ), 可以实现数据保 密服务 ? 完整性 – 限制用户对数据的修改 ( 写操作 ), 实现数据完整性保 护 ? 可用性 – 限制用户对资源的使用量，保证系统的可用性 访问控制政策模型 ? 自主型访问控制 (DAC) ? 强制型访问控制 (MAC) ? 基于角色的访问控制 (RBAC) 自主 访问控制 强制 访问控制 基于角色 访问控制 访问控制 访问控制的一般策略 自主型访问控制政策 ? Discretionary Access Control , DAC ? 每个客体有一个属主，属主可以按照自己的 意愿把客体的访问控制权限授予其他主体 ? DAC 是一种分布式授权管理的模式 ? 控制灵活，易于管理，是目前应用最为普遍 的访问控制政策 自主型访问控制 (DAC) ? 无法控制信息流动 – 信息在移动过程中其访问权限关系会被改变。如用 户 A 可将其对目标 O 的访问权限传递给用户 B, 从而 使不具备对 O 访问权限的 B 可访问 O 。 ? 特洛伊木马的威胁 – 特洛伊木马（ Trojan ）是一段计算机程序，它附在 合法的程序中，执行一些非法操作而不被用户发现 一个用户能读取某些数据，然后他就可以把这些数据转发给 其他原本没有这一权限的人。这是因为， 自主访问控制策略 本身没有对已经具有权限的用户如何使用和传播信息强加任 何限制 。但在强制策略系统中，高安全等级数据传播到低安 全等级是受到限制的。在自主访问控制策略环境中，为了保 证安全，默认参考设置是拒绝访问，以提高信息的安全性。 访问许可 ? 访问许可与访问模式描述了主体对客体所 具有的控制权与访问权 . – 访问许可定义了改变访问模式的能力或向其 它主体传送这种能力的能力 . – 访问