信息系统安全

1、信 息 系 统 安 全第五讲 操作系统安全1目 录1、信息系统安全的基本概念2、密码学(1)3、密码学(2)4、操作系统安全(1)5、操作系统安全(2)6、数据库安全(1)7、数据库安全(2)8、可信计算(1)9、可信计算(2)2一、访问控制框架与模型操作系统安全的核心是访问控制 主体对客体的访问只能是授权的，未授权的访问是不能进行的，而且授权策略是安全的。 访问控制身份识别权限控制行为监控安全审计3ISO制定的访问控制基本框架 访问控制实施函数ACEF访问者访问目标访问控制决策函数ACDF访问控制规则ACR访问控制信息ACDIV VACDF（ACR，ACDI）Yes,No DecisionA

2、CEF(V) Permit,Deny一、访问控制框架与模型4访问控制模型自主访问控制DAC（Discretionary Access Control）客体的属主可以自主地将权限转授给别的主体。强制访问控制MAC(Mandatory Access Control)即使是客体的属主，也不能自主地将权限转授给别的主体。一个主体能否获得对某客体的权限，要根据安全规则来确定。基于角色的访问控制RBAC（Role Based Access Cotrol）基于规则的访问控制UBAC（Rule Based Access Control）一、访问控制框架与模型5矩阵模型：设S为全体主体的集合，Ss 1，s 2，

3、s m 。设O为全体客体的集合，Oo 1，o 2，o n 。设R为全体权力的集合，Rr 1，r 2，r l 。记权力矩阵为： a 1 1 ，a 1 2 ，a 1 n S 1 a 2 1 ，a 2 2 ，a 2 n S2 A =o 1,o 2,o n a m 1 ，a m 2 ，a m n Sm 二、自主访问控制模型6矩阵的每一行对应一个主体，每一列对应一个客体。行与列交叉点上的元素a ij 表示主体si 对客体oj 所拥有的所有权力的集合。当主体si 要对客体oj 进行访问时，访问控制机制检查aij ，看主体si 是否具有对客体oj 进行访问的权力，以决定主体si 是否可对客体oj 进行访问，

4、以及进行什么样的访问。自主性 客体的属主有权将其客体的访问权力授予其它主体，或收回。二、自主访问控制模型7矩阵模型的实现基于矩阵列 对需要保护的客体附件一个访问控制表，标明各拥有权力的主体的标识与权限。 UNIX，LINUX，NT基于矩阵的行在每个主体上附件一个可访问的客体的明细表： 权力表 口令MULTICS MVS二、自主访问控制模型81、 BLP模型军事安全策略 每个军官和文件都划分一个密级：不保密（unclassified）、秘密（confidential）、机密（secret）、绝密（topsecret）等级。密级是线性有序的： unclassified confidential s

5、ecret topsecret 每个军官和文件都划分一个业务范围：例如，北约类（NATO）、核武器类（NUCLEAR）、导弹防御系统（NMD）、反恐等。二、强制访问控制模型9军事安全策略 每个军官和文件都划分一个安全级别：安全级别一个军官要能阅读某一文件，军官的密级必须大于等于该文件的密级，而且军官的业务范围必须包含文件的业务范围。例如，设军官A和文件F1的安全级别为 F1：， A：， 则军官A可以阅读文件F1。二、强制访问控制模型10军事安全策略一个军官要能写某一文件，军官的密级必须小于等于该文件的密级，而且军官的业务范围必须被文件的业务范围所包含。 例如，设军官B和文件F2的安全级别为 F

6、2：， B：， 所以军官B不可以写文件F2。二、强制访问控制模型11BLP模型每个主体和客体都划分一个密级 A；每个主体和客体都划分一个业务范围 C；设SC为全体安全级别的集合： SC 定义二元关系如下，并称关系为支配 ： SC，SC, 则SC SC ，iff AA and C C 。二、强制访问控制模型12BLP模型对于集合SC中的任意元素X，Y，Z都有 自反性 XX； 传递性 如果XY，而且YZ，则XZ； 反对称性 如果XY，而且YX，则XY。如上定义的关系为偏序关系，集合SC为偏序集合，记为SC, 。二、强制访问控制模型13BLP模型在SC, 中定义运算、如下： = ， = 。 显然，S

7、C, 的最高安全级别和最低安全级别分别是 HIGH， LOW。 所以SC, 构成代数结构格。二、强制访问控制模型14BLP模型简单安全原则（向下读） 主体 s对客体 o具有读访问权，当且仅当 S支配 O，即 。*特性（向上写） 主体 s对客体 o具有写访问权，当且仅当 O支配 S，即 。稳定原则 主体和客体的安全级别在它们被引用时必须保持不变。低高信息读低高信息写主体主体客体客体二、强制访问控制模型15BLP模型强制性 通过比较主体和客体之间的安全级别的支配关系来控制主体对客体的访问。 主体不能自主的授予客体权力或回收权力。优缺点 更安全：可以阻止某些类型的特洛伊木马攻击。 缺点是对用户限制较

8、多，用户感到不够灵活。 主要保护秘密性，缺乏对真实性和完整性保护。B级以上操作系统：多数安全操作系统，MULTICS 二、强制访问控制模型16MAC和DAC的应用在C级操作系统中应用MAC访问控制模型在B级以上操作系统中将MAC和DAC联合应用 二、强制访问控制模型访问请求接受访问MAC检查DAC检查拒绝访问失败通过通过172、基于角色的访问控制模型 BRAC介绍由IST的Ferraiolo等人在90年代提出。NIST成立专门机构进行研究。96年提出一个较完善的基于角色的访问控制参考模型RBAC96。二、强制访问控制模型18 BRAC的基本思想根据用户在一个组织中担任的角色来确定对其所的授权。

9、 如，张三今天担任科长，则应授予他科长的权限，明天他提升为处长，则应授予他处长的权限。一个用户担任一个角色后，便可以拥有该角色的权限，但是他不能将权限转授给别人。BRAC是强制访问模型，不是DAC虽然一个用户担任一个角色后，便可以拥有该角色的权限，但是他不能将权限转授给别人。 如，在医院里医生拥有开处方的权限，但他不能将开处方的权限转给护士。二、强制访问控制模型19 BRAC的基本概念RBAC的基本思想是根据用户所担任的角色来决定用户的在系统中的访问权限。一个用户必须扮演某种角色，而且还必须激活这一角色，才能对一个对象进行访问或执行某种操作。安全管理员用户角色/权限指定访问或操作激活二、强制访

10、问控制模型20 BRAC的基本概念用户（User）访问计算机资源的主体。用户集合为 U.角色（role）一种岗位，代表一种资格、权利和责任。角色集合为 R.权限（permission）对客体的操作权力。权限集合为 P.用户分配（User Assignment）将用户与角色关联。用户分配集合为UA=(u,r)|uU, rR . 用户 u与角色 r关联后，将拥有 r的权限。二、强制访问控制模型21 BRAC的基本概念权限分配（Permission Assignment）将角色与权限关联。权限分配集合为PA=(p,r)|pP, rR . 权限 p与角色 r关联后，角色 r将拥有权限 p。激活角色（A

11、ctve Role）角色只有激活才能起作用，否则不起作用。通过会话激活角色。会话（Session）用户要访问系统资源时，必须先建立一个会话。一次会话仅对应一个用户。一次会话可激活几个角色。二、强制访问控制模型22 BRAC的基本机制RBAC的授权机制： a.分为两步： 将用户分配给角色 将访问权限分配给角色 b.授权要满足安全约束条件。 最小特权原则 职责分离原则 角色互斥原则 角色激活限制原则 c.角色分级，高级角色可以继承低级角色的访问权限。二、强制访问控制模型23 BRAC的基本机制RBAC用户与角色的关系：（多对多关系） a.一个用户可担当多个角色 b.一个角色可分配给多个用户角色和权

12、限之间的关系：（多对多的关系） a.一个角色可以拥有多个访问权限， b.不同的角色也可以拥有相同的权限。角色和角色的关系：（分级关系） 高级角色可以继承低级角色的访问权限。二、强制访问控制模型24 BRAC的基本机制会话： a.用户要访问系统资源时，必须先建立一个会话。 b.一次会话仅仅对应一个用户。 c.一次会话中可以激活几个角色。 d.角色激活要满足安全约束。激活：a.激活是角色的一种状态。b.通过会话激活角色。c.只有激活的角色才起作用。 二、强制访问控制模型25 BRAC的基本机制角色分级 a.角色分级是组织角色的一种自然方法。 b.角色分级的结果将导致一个角色可以直接或间接地继承另一

13、角色的访问权限。 c.直接继承：相邻角色之间的继承。 d.间接继承：非相邻角色之间的继承。 e. 高低级角色之间的继承关系是一种偏序关系。二、强制访问控制模型26角色分级(role hierarchy)继承关系 高级角色中间角色高级角色低级角色低级角色中间角色中间角色高级角色二、强制访问控制模型27 BRAC的基本机制安全约束约束是设计高级安全策略的一个强有力的机制。各个环节施加安全约束，以实现不同的安全策略。可以定义在系统层，也可以定义在应用层。可以是事件触发的，也可以不是事件触发的。职责分离约束合理划分任务和相关权限，以保证多用户协同工作的安全性。如，公检法三权分立，互相配合，又互相监督。

14、二、强制访问控制模型28角色互斥约束如果一组角色是互斥的，那么一个用户或同一个访问权限只能被分配给其中的一个角色。 利用角色互斥约束可实现职责分离。 例如，一个人不能又当裁判员又当运动员。最小特权约束只给角色分配完成某工作所需的最小权力。角色激活约束 激活数约束 限制一个角色同时授权和激活的数目。如总经理只有1个。角色激活时间约束 限制一个角色激活的时间。如岗位任期制。 二、强制访问控制模型29 BRAC96模型BRAC96模型包括4个层次：BRAC0：基础模型BRAC1：在BRAC0的基础上增加了角色分级BRAC2：在BRAC0的基础上增加了角色和权限约束BRAC3：集成了BRAC1 和BR

15、AC2 二、强制访问控制模型BRAC3 加强模型BRAC0 基础模型BRAC2 高级模型高级模型 BRAC130 BRAC96模型BRAC0用户集 U,角色集 R,权限集 P,会话集 SUAUR：多对多的用户角色分配关系PAPR：多对多的权限角色分配关系SU： 影射每个会话到一个用户S2R： 影射每个会话到一组角色 R(s)r|(U(S),r) UA并且会话 s拥有权限 UrR(s)p|(p,r)PA. 可见：RBAC0只包括最基本的元素：用户、角色、权限、会话。角色不分级，也没有安全约束。二、强制访问控制模型31 BRAC96模型BRAC1BRAC1包含BRAC0，增加了角色分级继承关系。U

16、, R,P,S,UA,PA与BRAC0一致。RH RR是R上的偏序，记为，称为角色继承关系PAPR：多对多的权限角色分配关系S2R： 影射每个会话到一组角色 R(s)r|(rr)U(S),r) UA，并且会话 s拥有权限 UrR(s)p|(rr)(p,r)PA. 可见：一个会话拥有的角色包含UA关系里面指定的角色以及他们的父角色，会话拥有的权限包含其拥有的所有角色在PA关系里面的权限以及他们的子角色对应的权力。二、强制访问控制模型32 BRAC96模型BRAC2BRAC2包含BRAC0，增加了约束。BRAC0中的所有元素。一组约束。没有指定约束的条件和表现形式，只是简单说明了两种约束：角色互斥和角色激活数约束。二、强制访问控制模型33 BRAC96模型BRAC3BRAC3包含BRAC1和BRAC2，自然也包括BRAC0。BRAC3是一个完整的模型。二、强制访问控制模型34 BRAC96模型用户U角色B权限P用户分配权限分配分级安全约