信息安全原理与应用访问控制PPT演示文稿

1、1,信息安全原理与应用 第九章 访问控制 本章由王昭主写,2,讨论议题,访问控制的有关概念 访问控制的策略和机制,3,访问控制的概念和目标,一般概念 是针对越权使用资源的防御措施。 基本目标： 防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问。 未授权的访问包括： 非法用户进入系统。 合法用户对系统资源的非法使用。,4,访问控制的目标,保护存储在某些机器上的个人信息或重要信息的保密性 维护机器内系统的完整性 减少病毒感染的机会,5,主体、客体和授权,客体（Object）：规定需要保护的资源，又称作目标（target)。 主体（Subject）：或称为发起者(Initiator)

2、，是一个主动的实体，规定可以访问该资源的实体，（通常指用户或代表用户执行的程序）。 授权（Authorization)：规定可对该资源执行的动作（例如读、写、执行或拒绝访问）。 主客体的关系是相对的。,6,访问控制系统的基本组成,访问控制与其他安全服务的关系,8,讨论议题,访问控制的有关概念 访问控制的策略和机制,9,访问控制策略与机制,访问控制策略(Access Control Policy)：访问控制策略在系统安全策略级上表示授权。是对访问如何控制,如何作出访问决定的高层指南。 访问控制机制（Access Control Mechanisms)：是访问控制策略的软硬件低层实现。 访问控制机

3、制与策略独立，可允许安全机制的重用。 安全策略之间没有更好的说法，只是一种可以比一种提供更多的保护。应根据应用环境灵活使用。,10,访问控制策略,自主访问控制 强制访问控制 基于角色的访问控制 其他访问控制策略,11,自主访问控制,自主访问控制概念 访问控制表 能力表 自主访问控制的授权管理,12,自主访问控制概念,自主访问控制（discretionary policies,DAC)，基于身份的访问控制(Identity Based Access Control) 特点： 根据主体的身份及允许访问的权限进行决策 。 自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。 灵活

4、性高，被大量采用。 缺点： 信息在移动过程中其访问权限关系会被改变。,访问控制矩阵,任何访问控制策略最终均可被模型化为访问矩阵形式：行对应于用户，列对应于目标，每个矩阵元素规定了相应的用户对应于相应的目标被准予的访问许可、实施行为。 按列看是访问控制表内容, 按行看是访问能力表内容,14,访问控制表(ACL),每个客体附加一个它可以访问的主体的明细表。,15,访问能力表(CL),每个主体都附加一个该主体可访问的客体的明细表。,16,ACL、CL访问方式比较(1),ACL,17,ACL、CL访问方式比较(2),CL,18,ACL、CL访问方式比较(3),鉴别方面：二者需要鉴别的实体不同 保存位置

5、不同 浏览访问权限不同 访问权限回收不同 多数集中式操作系统使用ACL方法或类似方式 由于分布式系统中很难确定给定客体的潜在主体集，在现代OS中CL也得到广泛应用,19,ACL：基于个人和组的策略,基于个人：根据哪些用户可对一个目标实施哪一种行为的列表来表示。等价于用一个目标的访问矩阵列来描述。 基于组：一组用户对于一个目标具有同样的访问许可。相当于，把访问矩阵中多个行压缩为一个行。实际使用时， 先定义组的成员 对用户组授权 同一个组可以被重复使用 组的成员可以改变 基于组的策略在表示和实现上更容易和更有效 基础(前提)：一个隐含的、或者显式的缺省策略 例如，全部权限否决,20,访问模式Acc

6、ess Mode,系统支持的最基本的保护客体:文件，对文件的访问模式设置如下: （1）读-拷贝(Read-copy) （2）写-删除（write-delete） （3）运行(Execute) （4）无效(Null),21,自主访问控制的授权管理,集中式管理：只有单个的管理者或组对用户进行访问控制授权和授权撤消。 分级式管理：一个中心管理者把管理责任分配给其它管理员，这些管理员再对用户进行访问授权和授权撤消。分级式管理可以根据组织结构而实行。 所属权管理：如果一个用户是一个客体的所有者，则该用户可以对其它用户访问该客体进行授权访问和授权撤消。 协作式管理：对于特定系统资源的访问不能有单个用户授权

7、决定，而必须要其它用户的协作授权决定。 分散式管理：在分散管理中，客体所有者可以把管理权限授权给其他用户。,22,Win2000的访问控制-1,DAC，采用ACL 帐户(user accounts) 定义了Windows中一个用户所必要的信息，包括口令、安全ID(SID)、组成员关系、登录限制， 组：universal groups、global groups、local groups Account Identifier: Security identifier (SID) 时间和空间唯一,全局惟一的48位数字 S-1-5-21-1507001333-1204550764-101128429

8、8-500 SID带有前缀S，它的各个部分之间用连字符隔开 第一个数字(本例中的1)是修订版本编号 第二个数字是标识符颁发机构代码(对Windows 2000来说总是为5) 然后是4个子颁发机构代码(本例中是21和后续的3个长数字串)和一个相对标识符(Relative Identifier，RID，本例中是500),23,Win2000的访问控制-2,所有对对象的访问都要通过安全子系统的检查 系统中的所有对象都被保护起来 文件、目录、注册表键 内核对象 同步对象 私有对象(如打印机等) 管道、内存、通讯，等 对象的安全描述符(security descriptor)SD 包含了与一个安全对象有

9、关的安全信息 Security identifiers (SIDs) for the owner and primary group of an object DACL(discretionary access-control list) SACL(system access-control list) 以及一组控制标记,24,Win2000的访问控制-3,Security Access Token 是对一个进程或者线程的安全环境的完整描述 包括以下主要信息 用户帐户的SID 所有包含该用户的安全组的SIDs 特权：该用户和用户组所拥有的权利 Owner Default Discretiona

10、ry Access Control List (DACL) 这是一个基本的安全单元，每个进程一个,25,共享对象的访问权限,访问权限： （1）完全控制 （2）拒绝访问 （3）读 （4）更改,26,Linux中的访问控制-1,采用DAC Linux系统将设备和目录都看作文件。 对文件有三种访问权限：读、写、执行 系统将用户分为四类： 根用户（root)：具有最大权利 所有者（Owner):文件的所有者，一般可以读写执行文件 组（User Group):所有者所在组 其他用户（Other Users),27,Linux中的访问控制-2,Linux文件系统安全模型与两个属性相关 文件的所有者(own

11、ership) 文件所有者的id,UID 文件所有者所在用户组的id,GID 每个文件和其创建者的UID和GID关联 一个进程通常被赋予其父进程的UID和GID Root的UID: 0 访问权限(access rights): 10个标志 第1个标志：d(目录), b(块系统设备), c(字符设备), . (普通文件) 第2-4个标志：所有者的读、写、执行权限 第5-7个标志：所有者所在组的读、写、执行权限 第8-10个标志：其他用户的读、写、执行权限 用chmod修改权限：字符方式和数字方式,28,访问控制策略,自主访问控制 强制访问控制 基于角色的访问控制 其他访问控制策略,29,强制访问

12、控制,强制访问控制的概念 Bell-LaPadula模型 Biba模型,30,强制访问控制,强制访问控制(mandatory policies,MAC)，基于规则的访问控制(Rule Based Access Control） 特点：取决于能用算法表达的并能在计算机上执行的策略。 将主体和客体分级，根据主体和客体的级别标记来决定访问模式。如，绝密级，机密级，秘密级，无密级。 其访问控制关系分为：上读/下写 ， 下读/上写,31,Bell-LaPadula模型,强制访问控制(MAC)中，系统包含主体集S和客体集O，每个S中的主体s及客体集中的客体o，都属于一固定的安全类SC，安全类SC=包括两个

13、部分：有层次的安全级别和无层次的安全范畴。构成一偏序关系。 Bell-LaPadula：保证保密性-简单安全特性（无上读）：仅当l(o)l(s)且s对o具有自主型读权限时，s可以读取o *-特性（无下写）：仅当l(s) l(o) 且s对o具有自主型写权限时，s可以写o,32,MAC Information Flow,Bell-LaPadula的例子,34,Biba模型,在Biba模型中，系统包含主体集合S、客体集合O和一个完整性集合I，每个主体集S中的主体s及客体集O中的客体o，都属于一个固定的完整性级别i，这些级别是有序的，它遵循以下原则： 无上写：当且仅当i(s)i(o)，sS可以写入oO

14、； 无下读：当且仅当i(o)i(s)，sS可以读取oO；,Biba模型的例子,36,强制访问控制的授权管理,在强制访问控制中，允许的访问控制完全是根据主体和客体的安全级别决定。其中主体（用户、进程）的安全级别是由系统安全管理员赋予用户，而客体的安全级别则由系统根据创建它们的用户的安全级别决定。因此，强制访问控制的管理策略是比较简单的，只有安全管理员能够改变主体和客体的安全级别。,37,访问控制策略,自主访问控制 强制访问控制 基于角色的访问控制 其他访问控制策略,38,基于角色的访问控制,基于角色的访问控制的概念 NIST-RBAC参考模型,39,基于角色的策略,基于角色的访问控制 (role

15、-based policies，RBAC) 基本思路：管理员创建角色，给角色分配权限，给角色分配用户，角色所属的用户可以执行相应的权限,40,RBAC的安全原则,3条安全原则: 最小权限: 只把必须的权限分配给角色 责任分离(separation of duties) 多个互斥的角色合作完成重要工作 数据抽象: 可以定义抽象的权限，而不仅仅是OS中的读、写、执行等,41,NIST RBAC参考模型,Proposed by NIST in 2000 基本RBAC（Core RBAC） 分级RBAC（Hierarchical RBAC） 静态责任分离（Static Separation of Du

16、ty Relations） 动态责任分离（Dynamic Separation of Duty relations）,42,基本基本 RBAC,包括五个基本数据元素: 用户users(USERS)、角色roles（ROLES）、目标objects（OBS）、操作operations(OPS)、许可权permissions(PRMS),43,基本RBAC,USERS: 可以是人、设备、进程 Permission:是对被保护目标执行OPS的许可 UA: user assignment relations PA :permission assignment relations Session_rol

17、es:session激活的角色 User_sessions:与用户相联系的会话集合,44,等级 RBAC,角色的结构化分层是反映一个组织的授权和责任的自然方式。 定义了角色的继承关系 Role r1 “inherits” role r2,角色r2的权限同样是r1的权限。,45,有约束的RBAC,增加了责任分离，用于解决利益的冲突，防止用户超越权限 静态责任分离（Static Separation of Duty Relations） 动态责任分离（Dynamic Separation of Duty relations）,46,静态责任分离,对用户分配的角色 进行约束，也就是当用户被分配给一个

18、角色时，禁止其成为第二个角色。,47,动态责任分离,SSD直接在用户的许可空间进行约束 DSD通过对用户会话过程进行约束 对最小特权提供支持：在不同的时间拥有不同的权限,48,RBAC的优势,便于授权管理，如系统管理员需要修改系统设置等内容时，必须有几个不同角色的用户到场方能操作，从而保证了安全性。 便于根据工作需要分级，如企业财务部门与非财力部门的员工对企业财务的访问权就可由财务人员这个角色来区分。 便于赋于最小特权，如即使用户被赋于高级身份时也未必一定要使用，以便减少损失。只有必要时方能拥有特权。 便于任务分担，不同的角色完成不同的任务。 便于文件分级管理，文件本身也可分为不同的角色，如信件、账单等，由不同角色的用户拥有。,49,访问控制策略,自主访问控制 强制访问控制 基于角色的访问控制 其他访问控制策略,50,其他访问控制策略,基于任务（Task-Based）的访问控制 基于属性的访问控制 使用控制 信任管理（Trust Management） 数字版权管理（DRM）,51,参考文献,王昭，袁春编著，信息安全原理与应用，电子工业出版社，北京，2010，1 赵战生 冯登国等，信息安全技术浅谈，科学出版社，1999 冯登国，计算机通信网络安全，清华大学出版社，2001 David F. Ferraiolo etc, “Proposed NIST Standard for