BI信息系统安全机制之访问控制技术教材

访问控制技术孙建伟计算机网络攻防对抗技术实验室北京理工大学内容概要访问控制原理自主访问控制强制访问控制基于角色的访问控制常用操作系统中的访问控制概念通常应用在信息系统的安全设计上。定义：在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。目的：为了限制访问主体对访问客体的访问权限，从而使计算机系统在合法范围内使用；它决定用户能做什么，也决定代表一定用户身份的进程能做什么。未授权的访问包括：未经授权的使用、泄露、修改、销毁信息以及颁发指令等。非法用户进入系统。合法用户对系统资源的非法使用。客体（Object）：规定需要保护的资源，又称作目标（target)。主体（Subject）：或称为发起者(Initiator)，是一个主动的实体，规定可以访问该资源的实体，（通常指用户或代表用户执行的程序）。授权（Authorization)：规定可对该资源执行的动作（例如读、写、执行或拒绝访问）。访问控制模型基本组成任务识别和确认访问系统的用户。认证鉴权决定该用户可以对某一系统资源进行何种类型的访问。授权审计访问控制与其他安全服务的关系模型

引用监控器身份认证访问控制授权数据库用户目标目标目标目标目标审计安全管理员访问控制决策单元访问控制的一般实现机制和方法

一般实现机制——基于访问控制属性 ——〉访问控制表/矩阵基于用户和资源分档（“安全标签”） ——〉多级访问控制常见实现方法——访问控制表（ACL)

访问能力表（Capabilities)

授权关系表访问矩阵定义客体(O)主体(S)权限(A)读(R)写(W)拥有(Own)执行(E)更改(C)

举例问题：稀疏矩阵，浪费空间。访问控控制类类型自主访问控控制强制访问控控制基于角角色访问控控制访问控控制自主访访问控控制DiscretionaryAccessControl概念基于对对主体体或主主体所所属的的主体体组的的识别别来限限制对对客体体的访访问，，这种种控制制是自自主的的。自主指指主体体能够够自主主地将将访问问权或或访问问权的的某个个子集集授予予其他他主体体。如用户户A可将将其对对目标标O的的访问问权限限传递递给用用户B,从从而使使不具具备对对O访访问权权限的的B可可访问问O。。缺点：：信息在在移动动过程程中其其访问问权限限关系系会被被改变变：安安全问问题访问控控制表表（AccessControlList）基于访访问控控制矩矩阵列的自主主访问问控制制。每个客体都有一一张ACL，用用于说说明可可以访访问该该客体体的主主体及及其访访问权权限。。举例：：客体目目录ACL表o:Ownerr:Readw:Writee:Excuteoj表示客客体j，si.rw表示示主体体si具有rw属属性。。oj问题：：主体、、客体体数量量大，，影响响访问问效率率。解决：：引入用用户组组，用用户可可以属属于多多个组组。主体标标识=主体体.组组名如Liu.INFO表示示INFO组的的liu用用户。。*.INFO表表示所所有组组中的的用户户。*.*表示示所有有用户户。liu.INFO.rw表示示对INFO组组的用用户liu具有有rw权限限。*.INFO.rw表示示对INFO组组的所所有用用户具具有rw权权限。。*.*.rw表表示对对所有有用户户具有有rw权限限。oj访问能能力表表（AccessCapabilitiesList））基于访访问控控制矩矩阵行的自主访访问控制制。为每个主主体（用用户）建建立一张张访问能能力表，，用于表表示主体体是否可可以访问问客体，，以及用用什么方方式访问问客体。。文件名客体(文件)File1File2File3o:Ownerr:Readw:Writee:Excute举例：权限用户A的目录用户B的目录访问能力力表强制访问问控制MandatoryAccessControl概念为所有主主体和客客体指定定安全级级别，比比如绝密密级、机机密级、、秘密级级、无秘秘级。不同级别别的主体体对不同同级别的的客体的的访问是是在强制制的安全全策略下下实现的的。只有安全全管理员员才能修修改客体体访问权权和转移移控制权权。（对对客体拥拥有者也也不例外外）MAC模模型绝密级机密级秘密级无秘级写写读读完整性保密性安全策略略保障信息息完整性性策略级别低的的主体可可以读高高级别客客体的信信息（不不保密）），级别别低的主主体不能能写高级级别的客客体（保保障信息息完整性性）保障信息息机密性性策略级别低的的主体可可以写高高级别客客体的信信息（不不保障信信息完整整性），，级别低低的主体体不可以以读高级级别的客客体（保保密）举例：Security-EnhancedLinux(SELinux)forRedHatEnterpriseLinuxAppArmorforSUSELinuxandUbuntuTrustedBSDforFreeBSD基于角色色的访问问控制RoleBasedAccessControl概念起源于UNIX系统或别别的操作作系统中中组的概概念（基基于组的的自主访访问控制制的变体体）每个角色色与一组组用户和和有关的的动作相相互关联联，角色色中所属属的用户户可以有有权执行行这些操操作角色与组组的区别别组：一组组用户的的集合角色：一一组用户户的集合合+一组组操作权权限的集集合RBAC模型用户户角色色权限限访问控制制资源源1、认证2、分派3、请求4、分派5、访问角色控制制优势便于授权权管理授权操作作：n*m变成n*r+r*m=r*(n+m)便于角色色划分便于赋予予最小特特权便于职责责分担便于目标标分级一个基于于角色的的访问控控制的实实例在银行环环境中，，用户角角色可以以定义为为出纳员、、分行管管理者、、顾客、、系统管管理者和和审计员员访问控制制策略的的一个例例子如下下：（1）允允许一个个出纳员员修改顾顾客的帐帐号记录录（包括括存款和和取款、、转帐等等），并并允许查查询所有有帐号的的注册项项（2）允允许一个个分行管管理者修修改顾客客的帐号号记录（（包括存存款和取取款，但但不包括括规定的的资金数数目的范范围）并并允许查查询所有有帐号的的注册项项，也允允许创建建和终止止帐号（3）允允许一个个顾客只只询问他他自己的的帐号的的注册项项（4）允允许系统统的管理理者询问问系统的的注册项项和开关关系统，，但不允允许读或或修改用用户的帐帐号信息息（5）允允许一个个审计员员读系统统中的任任何数据据，但不不允许修修改任何何事情系统需要要添加出出纳员、、分行管管理者、、顾客、、系统管管理者和和审计员员角色所所对应的的用户，，按照角角色的权权限对用用于进行行访问控控制。常用操作作系统中中的访问问控制国际安全全标准1984年，美美国国防防部发布布了《可可信计算算机系统统评估标标准》（（TCSEC）），即桔桔皮书。。TCSEC采用用等级评评估的方方法，将将计算机机安全分分为A、、B、C、D四四个等级级八个级级别，D等安全全级别最最低，A安全级级别最高高。现在大多多数通用用操作系系统（WindowsNT、、Linux等等）为C2级别别，即控控制访问问保护级级。WindowsNT(自主主访问控控制)Windows安全模模型SecurityAccountManagerLocalSecurityAuthority(LSA)SecurityReferenceMonitor访问控制制过程组成部件件：安全标识识：帐号号的唯一一对应。。访问令牌牌：LSA为为用户构构造的，，包括用用户名、、所在组组名、安安全标识识等。主体：操操作和令令牌。对象、资资源、共共享资源源安全描述述符：为为共享资资源创建建的一组组安全属属性所有者安安全标识识、组安安全标识识、自主访问问控制表表、系统访访问控制制表、访访问控制制项。登录过程程服务器为为工作站站返回安安全标识识，服务务器为本本次登录录生成访访问令牌牌用户创建建进程P时，用用户的访访问令牌牌复制为为进程的的访问令令牌。P进程访访问对象象时，SRM将将进程访访问令牌牌与对象象的自主主访问控控制表进进行比较较，决定定是否有有权访问问对象。。NTFS的访问控控制从文件中中得到安安全描述述符（包包含自主主访问控控制表））；与访问令令牌（包包含安全全标识））一起由由SRM进进行访问问检查Linux(自主访访问控制制)设备和目目录同样样看作文文件。三种权限限：R:readW:writeX:excute权限表示示：字母表示示：rwx，，不具有有相应权权限用-占位8进制数数表示：：111，不具具有相应应权限相相应位记记0四类用户户：root：超级级用户所有者所属组其他用户户文件属性性：drwxr-x--x2lucywork1024Jun2522:53text安全属性性：drwxr-x--x所有者，，所属组组：lucy.work安全属性性后9个个字母规规定了对对所有者者、所属属组、其其他用户户的权限限（各3位）。。text