BIT5信息系统安全机制-访问控制

1、访问控制技术孙建伟计算机网络攻防对抗技术实验室北京理工大学内容概要要访问控制制原理自主访问问控制强制访问问控制基于角色色的访问问控制常用操作作系统中中的访问问控制概念通常应用用在信息息系统的的安全设设计上。定义：在在保障授授权用户户能获取取所需资资源的同同时拒绝绝非授权权用户的的安全机机制。目的：为为了限制制访问主主体对访访问客体体的访问问权限，从而使使计算机机系统在在合法范范围内使使用；它它决定用用户能做做什么，也决定定代表一一定用户户身份的的进程能能做什么么。未授权的的访问包包括：未未经授权权的使用用、泄露露、修改改、销毁毁信息以以及颁发发指令等等。非法用户户进入系系统。合法用户户对系统统

2、资源的的非法使使用。客体（Object）：规定需需要保护护的资源源，又称称作目标标（target)。主体（Subject）：或称为为发起者者(Initiator)，是一个个主动的的实体，规定可可以访问问该资源源的实体体，（通通常指用用户或代代表用户户执行的的程序）。授权（Authorization)：规定可可对该资资源执行行的动作作（例如如读、写写、执行行或拒绝绝访问）。访问控制制模型基基本组成成任务识别和确确认访问问系统的的用户。认证鉴权决定该用用户可以以对某一一系统资资源进行行何种类类型的访访问。授权审计访问控制制与其他他安全服服务的关关系模型型引用监控器身份认证证访问控制制授权数据据库用

3、户目标目标目标目标目标审计计安全管理理员访问控制制决策单单元访问控制制的一般般实现机机制和方方法一般实现现机制基于访问问控制属属性访访问控制制表/矩矩阵基于用户户和资源源分档（“安全全标签”）多多级访问问控制常见实现现方法访问控制制表（ACL)访问能力力表（Capabilities)授权关系系表访问矩阵阵定义客体(O)主体(S)权限(A)读(R)写(W)拥有(Own)执行(E)更改(C)举例问题：稀稀疏矩阵阵，浪费费空间。访问控制制类型自主访问控制制强制访问控制制基于角色色访问控制制访问控制制自主访问问控制Discretionary AccessControl概念基于对主主体或主主体所属属的主

4、体体组的识识别来限限制对客客体的访访问，这这种控制制是自主主的。自主指主主体能够够自主地地将访问问权或访访问权的的某个子子集授予予其他主主体。如用户A可将其其对目标标O的访访问权限限传递给给用户B,从而而使不具具备对O访问权权限的B可访问问O。缺点：信息在移移动过程程中其访访问权限限关系会会被改变变：安全全问题访问控制制表（AccessControlList）基于访问问控制矩矩阵列的自主访访问控制制。每个客体都有一张张ACL，用于于说明可可以访问问该客体体的主体体及其访访问权限限。举例：客体目录录ACL表o:Ownerr:Readw:Writee:Excuteoj表示客体体j，si.rw表表示

5、主体体si具有rw属性。oj问题：主体、客客体数量量大，影影响访问问效率。解决：引入用户户组，用用户可以以属于多多个组。主体标识识=主体体.组名名如Liu.INFO表表示INFO组组的liu用户户。*.INFO表表示所有有组中的的用户。*.*表表示所有有用户。liu.INFO.rw表示示对INFO组组的用户户liu具有rw权限限。*.INFO.rw表表示对INFO组的所所有用户户具有rw权限限。*.*.rw表表示对所所有用户户具有rw权限限。oj访问能力力表（AccessCapabilities List）基于访问问控制矩矩阵行的自主访访问控制制。为每个主主体（用用户）建建立一张张访问能能力表

6、，用于表表示主体体是否可可以访问问客体，以及用用什么方方式访问问客体。文件名客体(文件)File1File2File3o:Ownerr:Readw:Writee:Excute举例：权限用户A的目录用户B的目录访问能力力表强制访问问控制MandatoryAccess Control概念为所有主主体和客客体指定定安全级级别，比比如绝密密级、机机密级、秘密级级、无秘秘级。不同级别别的主体体对不同同级别的的客体的的访问是是在强制制的安全全策略下下实现的的。只有安全全管理员员才能修修改客体体访问权权和转移移控制权权。（对对客体拥拥有者也也不例外外）MAC模模型绝密级机密级秘密级无秘级写写读读完整性保密性

7、安全策略略保障信息息完整性性策略级别低的的主体可可以读高高级别客客体的信信息（不不保密），级别别低的主主体不能能写高级级别的客客体（保保障信息息完整性性）保障信息息机密性性策略级别低的的主体可可以写高高级别客客体的信信息（不不保障信信息完整整性），级别低低的主体体不可以以读高级级别的客客体（保保密）举例：Security-EnhancedLinux(SELinux)for RedHatEnterpriseLinuxAppArmorforSUSELinuxandUbuntuTrustedBSD forFreeBSD基于角色色的访问问控制Role Based AccessControl概念起源于U

8、NIX系统或别别的操作作系统中中组的概概念（基基于组的的自主访访问控制制的变体体）每个角色色与一组组用户和和有关的的动作相相互关联联，角色色中所属属的用户户可以有有权执行行这些操操作角色与组组的区别别组：一组组用户的的集合角色：一一组用户户的集合合+ 一组组操作权权限的集集合RBAC模型用户户角色色权限限访问控制制资源源1、认证2、分派3、请求4、分派5、访问角色控制制优势便于授权权管理授权操作作：n*m变成n*r+r*m=r*(n+m)便于角色色划分便于赋予予最小特特权便于职责责分担便于目标标分级一个基于于角色的的访问控控制的实实例在银行环环境中，用户角角色可以以定义为为出纳员、分行管管理者

9、、顾客、系统管管理者和和审计员员访问控制制策略的的一个例例子如下下：（1）允允许一个个出纳员员修改顾顾客的帐帐号记录录（包括括存款和和取款、转帐等等），并并允许查查询所有有帐号的的注册项项（2）允允许一个个分行管管理者修修改顾客客的帐号号记录（包括存存款和取取款，但但不包括括规定的的资金数数目的范范围）并并允许查查询所有有帐号的的注册项项，也允允许创建建和终止止帐号（3）允允许一个个顾客只只询问他他自己的的帐号的的注册项项（4）允允许系统统的管理理者询问问系统的的注册项项和开关关系统，但不允允许读或或修改用用户的帐帐号信息息（5）允允许一个个审计员员读系统统中的任任何数据据，但不不允许修修改任

10、何何事情系统需要要添加出出纳员、分行管管理者、顾客、系统管管理者和和审计员员角色所所对应的的用户，按照角角色的权权限对用用于进行行访问控控制。常用操作作系统中中的访问问控制国际安全全标准1984年，美美国国防防部发布布了可可信计算算机系统统评估标标准（TCSEC），即桔桔皮书。TCSEC采用用等级评评估的方方法，将将计算机机安全分分为A、B、C、D四四个等级级八个级级别，D等安全全级别最最低，A安全级级别最高高。现在大多多数通用用操作系系统（WindowsNT、Linux等等）为C2级别别，即控控制访问问保护级级。WindowsNT(自主主访问控控制)Windows安全模模型SecurityA

11、ccount ManagerLocalSecurityAuthority(LSA)SecurityReferenceMonitor访问控制制过程组成部件件：安全标识识：帐号号的唯一一对应。访问令牌牌：LSA为为用户构构造的，包括用用户名、所在组组名、安安全标识识等。主体：操操作和令令牌。对象、资资源、共共享资源源安全描述述符：为为共享资资源创建建的一组组安全属属性所有者安安全标识识、组安安全标识识、自主访问问控制表表、系统访访问控制制表、访访问控制制项。登录过程程服务器为为工作站站返回安安全标识识，服务务器为本本次登录录生成访访问令牌牌用户创建建进程P时，用用户的访访问令牌牌复制为为进程的的访

12、问令令牌。P进程访访问对象象时，SRM将将进程访访问令牌牌与对象象的自主主访问控控制表进进行比较较，决定定是否有有权访问问对象。NTFS的访问控控制从文件中中得到安安全描述述符（包包含自主主访问控控制表）；与访问令令牌（包包含安全全标识）一起由由SRM进进行访问问检查Linux(自主访访问控制制)设备和目目录同样样看作文文件。三种权限限：R:readW:writeX:excute权限表示示：字母表示示：rwx，不具有有相应权权限用-占位8进制数数表示：111，不具具有相应应权限相相应位记记0四类用户户：root：超级级用户所有者所属组其他用户户文件属性性：drwxr-x-x2lucy work1024 Jun2522:53text安全属性性：drwxr-x-x所有者，所属组组：lucy.work安全属性性后9个个字母规规定了对对所有者者、所属属组、其其他用