第二章-操作系统安全机制.ppt

客体属性 与系统内客体相关联的属性也作为访问控制策略的一部分，客体安全属性有： a)敏感性标记：信息按“安全等级”进行分类，如“公开信息”、“机密信息”、“秘密信息”、“绝密信息”； 还可将系统内的信息按非等级分类，进行模拟人力资源系统的划分，称“范畴”，如参谋部、作战部、后勤部等， 系统内信息的敏感性标记由等级与非等级两部分组成：敏感性级别和范畴。 2.1 访问控制 访问控制 Access Control ：限制已授权的用户、程序、进程或计算机网络中其他系统访问本系统资源的过程。口令认证不能取代访问控制 。 访问控制机制：在信息系统中，为检测和防止未授权访问，以及为使授权访问正确进行所设计的硬件或软件功能、操作规程、管理规程和它们的各种组合。 为达到此目的，访问进程需达到以下两个目的： 识别和确认访问系统的用户； 决定该用户可以对某一系统资源进行何种类型的访问； 授权信息 访问控制与其他安全机制的关系 认证、授权、审计（AAA） Log 身份认证 访问控制 审计 授权（authorization） 主体 客体 用户认证解决的是：“你是谁？你是否真的是你所声称的身份？” 访问控制技术解决的是“你能做什么？你有什么样的权限？”。 三种常用的访问控制机制 自主访问控制DAC（Discretionary Access Control） 强制访问控制MAC（Mandatory Access Control ） 基于角色的访问控制RBAC（Role Based Access Control） 自主 访问控制 强制 访问控制 基于角色 访问控制 访问控制 2.1.1 自主访问控制 2.1.1 自主访问控制 定义：在自主访问控制机制中，用户有自主的决定权。这里所谓的自主决定权是指主体可以自主地将访问权，或访问权的某个子集授予其它主体。 灵活性高，被大量采用。 缺点：安全性最低，因为信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B，从而使不具备对O访问权限的B可访问O。 访问控制矩阵 按列看是访问控制表内容（客体） 按行看是访问能力表内容（主体） 矩阵元素：相应的用户对目标的访问许可。 目标x R、W、Own R、W、Own 目标y 目标z 用户a 用户b 用户c 用户d R R R、W、Own R、W R、W 目标 用户 访问控制矩阵 为了实现完备的自主访问控制系统，由访问控制矩阵提供的信息必须以某种形式存放在系统中。 访问矩阵中的每行表示一个主体 每列则表示一个受保护的客体 而矩阵中的元素，则表示主体可以对客体的访问模式 矩阵中的许多元素常常为空。在实现自主访问控制机制时，常常是基于矩阵的行或列来表达访问控制信息。 访问控制矩阵的原理简单，实现起来并不难，但当用户和文件都很多时，就需要占用大量的存储空间。例如：如果系统有5000个用户和30000个文件，二维存取控制矩阵就要有5000*30000个表项，将占用大量的存储空间。 如果用户和文件系统要管理的文件有所增加，那么控制矩阵将会成几何级数增长，对于增长的矩阵而言，会有大量的空余空间。另外，查找这样大的表不仅不方便，而且还浪费大量的CPU时间。所以在实际应用时，常常要采用另外的变通方式来实现。 访问控制矩阵 1. 基于行的自主访问控制机制 所谓基于行的自主访问控制是在每个主体上都附加一个该主体可访问的客体的明细表。根据表中信息的不同可以分为以下三种形式： （1）能力表（CL：Capabilities List） （2）前缀表(Prefixes) （3）口令（Password） 访问能力表(CL) Obj1 Own R W O Obj2 R O Obj3 R W O UserA 每个主体都附加一个该主体可访问的客体的明细表。 2. 基于列的自主访问控制机制 所谓基于列的访问控制是指按客体附加一份可访问它的主体的明细表。基于列的访问控制可以有两种方式, 一种是保护位 一种是存取控制表 保护位（Protection Bits） （1）保护位（Protection Bits） 保护位对所有的主体、主体组（用户、用户组）以及该客体（文件）的拥有者，规定了一个访问模式的集合。保护位机制是一种简单易行的自主访问控制方式，能在一定程度上表达访问控制矩阵。 UNIX系统采用了保护位的方法。在Unix系统中，用户组是具有相似功能特点的用户集合。某客体的拥有者实际就是生成客体的主体，它对客体的所有权仅能通过超级用户特权来改变。 拥有者（超级用户除外）是唯一能够改变客体保护位的主体。一个用户可能属于多个静态的用户组，但是在某个时刻，一个用户只能属于一个活动的用户组。用户组及拥有者的权限都体现在客体