chap3：访问控制策略B.pptx

计算机安全Computer Security访问控制策略 提 要访问控制原理访问控制策略安全核技术的理论基础引用监控器引用监控器与安全核的关系引用监控器及安全核的使用原则引用监控器模型的缺点访问控制原理访问控制是依据一套为信息系统规定的安全策略和支持这些安全策略的执行机制实现的。 将两者分开讨论的益处： 1. 独立地讨论系统的访问要求，不与这些要求如何实现联系起来。 2. 可比较和对比不同的访问控制策略和执行同样策略的不同机制。 3. 允许我们设计一个有能力执行多种策略的机制。概 念通常应用在操作系统的安全设计上。定义：在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。目的：为了限制访问主体对访问客体的访问权限，从而使计算机系统在合法范围内使用；它决定用户能做什么，也决定代表一定用户身份的进程能做什么。未授权的访问包括：未经授权的使用、泄露、修改、销毁信息以及颁发指令等。非法用户进入系统。合法用户对系统资源的非法使用。访问控制模型基本组成任 务识别和确认访问系统的用户。决定该用户可以对某一系统资源进行何种类型的访问。安全管理员访问控制决策单元授权数据库目标目标目标 引用监 控器目标用户目标身份认证访问控制审 计访问控制与其他安全服务的关系模型客体(O)权限(A)主体(S)读(R)写(W)拥有(Own)执行(E)更改(C) 访问矩阵定义举例MEM1MEM2File1File2File3File4User1r,w,eo,r,eUser2r,w,eo,r,e问题：稀疏矩阵，浪费空间。访问控制强制访问控制自主访问控制基于角色访问控制访问控制类型自主访问控制基于对主体或主体所属的主体组的识别来限制对客体的访问，这种控制是自主的。自主指主体能够自主地将访问权或访问权的某个子集授予其他主体。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。缺点： 信息在移动过程中其访问权限关系会被改变：安全问题访问控制表（Access Control List）基于访问控制矩阵列的自主访问控制。每个客体都有一张ACL，用于说明可以访问该客体的主体及其访问权限。举例：oj表示客体j，si.rw表示主体si具有rw属性。ojs0.rs1.es2.rw问题：主体、客体数量大，影响访问效率。解决：引入用户组，用户可以属于多个组。主体标识=主体.组名如Liu.INFO表示INFO组的liu用户。*.INFO表示所有组中的用户。*.*表示所有用户。liu.INFO.rw表示对INFO组的用户liu具有rw权限。*.INFO.rw表示对INFO组的所有用户具有rw权限。*.*.rw表示对所有用户具有rw权限。ojLiu.INFO.r*.INFO.e*.*.rw访问能力表（Access Capabilities List）基于访问控制矩阵行的自主访问控制。为每个主体（用户）建立一张访问能力表，用于表示主体是否可以访问客体，以及用什么方式访问客体。举例：强制访问控制为所有主体和客体指定安全级别，比如绝密级、机密级、秘密级、无秘级。不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。只有安全管理员才能修改客体访问权和转移控制权。（对客体拥有者也不例外）MAC模型读保密性绝密级写秘密级机密级写无秘级完整性读安全策略保障信息完整性策略级别低的主体可以读高级别客体的信息（不保密），级别低的主体不能写高级别的客体（保障信息完整性）保障信息机密性策略级别低的主体可以写高级别客体的信息（不保障信息完整性），级别低的主体不可以读高级别的客体（保密）举例：Multics操作系统的访问控制（保密性策略）：仅当用户的安全级别不低于文件的安全级别时，用户才可以读文件；仅当用户的安全级别不高于文件的安全级别时，用户才可以写文件；举例：Security-Enhanced Linux (SELinux) for Red Hat Enterprise LinuxAppArmor for SUSE Linux and UbuntuTrustedBSD for FreeBSD基于角色的访问控制起源于UNIX系统或别的操作系统中组的概念（基于组的自主访问控制的变体）每个角色与一组用户和有关的动作相互关联，角色中所属的用户可以有权执行这些操作角色与组的区别组：一组用户的集合角色：一组用户的集合 + 一组操作权限的集合适合专用目的的计算机系统，比如军用计算机系统。RBAC模型1、认证3、请求角 色权 限用 户4、分派2、分派5、访问访问控制资 源一个基于角色的访问控制的实例在银行环境中，用户角色可以定义为出纳员、分行管理者、顾客、系统管理者和审计员访问控制策略的一个例子如下：（1）允许一个出纳员修改顾客的帐号记录（包括存款和取款