《信息系统安全》课件第4章 访问控制

经典安全模型授权数据库授权安全管理员主体身份认证访问控制系统资源Log审计经典安全模型谁可以进入系统？Authentication(身份认证)用户可以做什么？Accesscontrol(访问控制)用户做了什么？Audit(审计)访问控制主要内容2023/11/134一.访问控制的概念二.自主访问控制三.强制访问控制一.访问控制的概念四.基于角色的访问控制2023/11/135访问控制基本概念访问控制保护资源不被非法访问的技术两个过程授权访问监控2023/11/136访问控制中涉及的基本术语访问控制的要素主体(Subject)客体(Object)访问(Access)访问策略(AccessPolicy)2023/11/137访问控制中涉及的基本术语主体发出访问请求的主动方，通常是用户或用户进程。客体被访问的对象，通常是被调用的程序、进程，要存取的数据、文件、内存、系统、设备等资源。2023/11/138访问控制中涉及的基本术语访问使信息在主体和客体之间流动的一种交互方式，通常为读、写、执行、删除、创建、搜索等。访问策略是主体对客体的访问规则集

控制策略体现了一种授权行为，即主体对客体的权限允许。2023/11/139访问控制的要素给主体授予多大权限比较合适呢？2023/11/1310访问控制策略的实施原则最小特权原则当主体执行操作时，按照主体所需权力的最小化原则分配给主体权力。教员于敏读学号姓名年龄专业98101张山20信息安全98105李斯21信息安全…………98204王武20数学系2023/11/1311访问控制策略的实施原则最小泄漏原则当主体执行任务时，按照主体所需知道的信息最小化的原则分配给主体权力。教员于敏读学号姓名年龄专业98101张山20信息安全98105李斯21信息安全…………98204王武20数学系2023/11/1312访问控制类型目前主要的访问控制技术包括：自主访问控制（DAC）强制访问控制（MAC）基于角色的访问控制（RBAC）访问控制类型2023/11/1313DACMACRBAC主要内容一.访问控制的概念二.自主访问控制三.强制访问控制二.自主访问控制四.基于角色的访问控制2023/11/1315自主访问控制资源的所有者（往往是创建者），对于其拥有的资源，可以自主地将权限分发给其他主体，最常用的访问控制机制。UnixWindowsNTLinuxSQLServer2023/11/1316访问控制矩阵自主访问控制的实现机制访问控制矩阵（AccessControlMatrix）访问控制列表（AccessControlLists）访问控制能力列表(AccessControlCapabilitiesLists,ACCLs)2023/11/1317访问控制矩阵访问控制矩阵（AccessControlMatrix）是最初实现访问控制机制的概念模型它利用二维矩阵规定了任意主体和任意客体间的访问权限。2023/11/1318访问控制矩阵访问控制矩阵(AccessControlMatrix)R：读权限W：写权限一个文件的Own权限的含义是可以授予（Authorize）或者撤销（Revoke）其他用户对该文件的访问控制权限。自主访问控制的实现机制访问控制矩阵(AccessControlMatrix)访问控制矩阵访问控制矩阵比较直观，但是表中会出现空白。在较大的系统中，造成很大的存储空间浪费。自主访问控制的实现机制访问控制矩阵(AccessControlMatrix)访问控制矩阵2023/11/1321访问控制矩阵—文件1:{(Alice,rxo)(Bob,r)(John,rw)}—文件2:{(Alice,r)(Bob,rwo)(John,r)}—文件3:{(Alice,rw)(John,rwo)}

2023/11/1322访问控制列表

优点：能够很容易的判断出对于特定客体的授权访问，哪些主体可以访问并有哪些访问权限。访问控制表(ACL，AccessControlList)是以文件为中心建立的访问权限表。访问控制列表如果想查询主体“Alice”能够访问的客体，应当如何操作？需要遍历查询所有客体的访问控制表。访问控制表(ACL，AccessControlList)是以文件为中心建立的访问权限表。2023/11/1324访问控制列表Linux访问权限的表示方法文件访问权限用户标识组标识2023/11/1325访问控制列表Linux访问权限的表示方法-rwx

rwx

rwx

文件类型（-普通文件、d目录文件等）同组用户的访问权限其他用户的访问权限文件所有者的访问权限2023/11/1326访问控制列表文件权限含义权限类型：r（读）、w（写）、x（执行）读：用户可打开文件，读取该文件的内容写：用户可修改文件的内容执行：用户可执行该文件2023/11/1327访问控制列表Linux访问权限的表示方法文件访问权限用户标识组标识2023/11/1328访问控制列表

文件目录权限含义读：用户可读取目录列表内容，以及目录本身及其子目录的属性写：表示可在目录下添加、删除、移动文件和子目录执行：表示可以进入目录或者在目录中查找文件名的权限2023/11/1329访问控制列表Linux访问权限的表示方法文件访问权限用户标识组标识2023/11/1330访问控制列表Linux访问权限的表示方法用户应该能够修改自己的口令，在当前的访问控制下，用户能否修改自己的口令#ls-l/etc/shadow#-rw-------rootroot2023/11/1331访问控制列表Linux访问权限的表示方法特殊权限SUID-r-s--x--x1rootroot10704Apr152002/usr/bin/passwd

只能设置在可执行文件上,任意用户在执行该文件时,以文件属主的身份执行2023/11/1332访问控制能力表—Alice:{(文件1,rwo)(文件2,r)(文件3,rw)}—Bob:{(文件1,r)(文件2,rwo)}—John:{(文件1,rw)(文件2,r)(文件3,rwo)}

2023/11/1333访问控制能力表访问控制能力表（ACCL，AccessControlCapabilitiesList）是以用户为中心建立的访问权限表。为每个主体附加一个该主体能够访问的客体明细表2023/11/1334访问能力表的例子2023/11/1335自主访问控制存在的安全问题讨论：假设用户SOS对文件important有读写权限，而用户SPY没有权限，在DAC模式下，用户SPY能读到文件important内容吗？2023/11/1336自主访问控制存在的安全问题方案1SOSimportant.docSOS:RWSPYcopy.docSOS:RWSPY:R2023/11/1337自主访问控制存在的安全问题DAC提供的安全保护容易被非法绕过原因：在自主访问控制策略中，用户在获得文件的访问后，并没有限制对该文件信息的操作，即并没有控制数据信息的分发。2023/11/1338自主访问控制存在的安全问题Important.docSOS:RWSPYpocket.docSPY:RWSOS:Wgame.exeSOS方案22023/11/1339自主访问控制存在的安全问题利用木马修改敏感文件的访问权限Important.docSOS:RWSPYgame.exeSOSSOS:RWO:RW方案32023/11/1340自主访问控制优缺点DAC的优缺点优点：授权机制比较灵活缺点：存在较大的安全隐患，不能对系统资源提供充分保护，尤其不能抵御特洛伊木马的攻击主要内容一.访问控制的概念二.自主访问控制三.强制访问控制三.强制访问控制四.基于角色的访问控制2023/11/1342二、强制访问控制强制访问控制(MandatoryAccessControl)，简称MAC在强制访问控制中，每个用户及文件都被赋予一定的安全属性，系统通过比较用户和访问的文件的安全属性来决定用户是否可以访问该文件2023/11/1343二、强制访问控制强制访问控制(MandatoryAccessControl)，简称MAC普通用户不能改变自身或任何客体的安全属性，即不允许普通用户确定访问权限，只有系统管理员（系统安全员）可以确定用户的访问权限

2023/11/1344二、强制访问控制安全属性安全级别2023/11/1345强制访问控制安全级别一般有四级：绝密级（TopSecret）机密级（Secret）秘密级（Confidential）无级别级（Unclassified），其中T＞S＞C＞U。×教务办科研办研究生办干部办组织办强制访问控制举例机密秘密秘密教研处（主任）政工处（主任）机密安全属性安全级别一个或多个安全域（范畴）安全属性的支配关系强制访问控制2023/11/1348典型安全模型-BLP模型Bell-LaPadula1973年，DavidBell和LenLapadula提出了第一个也是最著名安全策略模型Bell-LaPadula安全模型，简称BLP模型。BLP模型是遵守军事安全策略的多级安全模型。2023/11/1349典型安全模型-BLP模型BLP模型的强制访问策略包括两个特性：简单安全性。简单安全性是指任何一个主体不能读安全属性高于它的安全属性的客体，即不能“向上读”“*”特性。

“*”特性是指任何一个主体不能写安全属性低于它的安全属性的客体，即不能“向下写”2023/11/1350典型安全模型-BLP模型

2023/11/1351典型安全模型-BLP模型机密绝密机密秘密主体客体禁止读允许读允许读机密绝密机密秘密主体客体允许写允许写禁止写2023/11/1352典型安全模型-BLP模型讨论是否可以解决特洛伊木马攻击2023/11/1353Important.docSOS:RWSPYpocket.docSPY:RWSOS:Wgame.exeSOS方案2典型安全模型-BLP模型×2023/11/1354典型安全模型-Biba模型Biba模型定义了信息完整性级别，在信息流向的定义方面不允许从级别低的进程到级别高的进程读规则。任何一个主体不能读完整性属性低于它的完整性属性的客体，即不能“向下读”写规则。

任何一个主体不能写完整性属性高于它的完整性属性的客体，即不能“向上写”2023/11/1355典型安全模型-Biba模型中级完整性高级完整性中级完整性低级完整性主体客体允许读允许读禁止读中级完整性高级完整性中级完整性低级完整性主体客体禁止写允许写允许写2023/11/1356BLPVSBiba高级别中级别低级别读读写写BibaBLP2023/11/1357MAC与DAC的缺陷MAC和DAC属于传统的访问控制模型，通常为每个用户赋予对客体的访问权限规则集。如果系统的安全需求处于不断变化中，就需要进行大量繁琐的授权变动，系统管理员的工作将变得非常繁重，更主要的是容易发生错误，造成安全漏洞。主要内容一.访问控制的概念二.自主访问控制三.强制访问控制四.基于角色的访问控制四.基于角色的访问控制2023/11/1359基于角色的访问控制背景：在现实的工作中，绝大多数情况并不是针对每个人而设定其工作职责，而是根据这个人在工作单位中所承担的角色设定其工作职责的。因此，在信息系统中一个用户所能访问资源的情况应该随着这个用户在系统中角色的改变而改变。2023/11/1360基于角色的访问控制1996年，莱威.桑度（RaviSandhu）等人在前人理论基础上，发表经典论文《Role-BasesAccessControl》,提出著名的以角色为基础的访问控制模型，又被称为RBAC962001年，美国国家标准技术局（NIST：NationalInstituteofStandardsandTechnology）重新定义了以角色为基础的访问控制模型，称为NISTRBAC，成为领域标准2023/11/1361基于角色的访问控制基于角色的访问控制（Role-BasedAccessControl，RBAC）是20世纪90年代提出的访问控制策略。RBAC：根据用户在组织内所处的角色进行授权与访问控制。角色(Role)：一个或一群用户在组织内可执行的操作的集合。用户通过角色与相应的访问权限相联系。脱离了角色用户将不存在任何访问权限。基于角色的访问控制NIST（TheNationalInstituteofStandardsandTechnology，美国国家标准与技术研究院）标准RBAC模型由4个部件模型组成：基本模型RBAC0（CoreRBAC）角色分级模型RBAC1（HierarchalRBAC）角色限制模型RBAC2（ConstraintRBAC）统一模型RBAC3（CombinesRBAC）/groups/SNS/rbac/2023/11/1362基于角色的访问控制2023/11/1363RBAC3RBAC1RBAC2RBAC0RBAC0：RBAC的基本安全需求RBAC1:在RBAC0的基础上增加了角色层次RBAC2:在RBAC0的基础上增加了约束RBAC3:RBAC1和RBAC2功能的集合基于角色的访问控制RBAC0定义了能构成一个RBAC控制系统的最小的元素集合五个基本数据元素:用户USERS角色ROLES对象OBJECTS操作OPERATORS会话SESSIONS：对应于一个用户以及一组激活的角色。2023/11/1364核心思想是：权限被赋予角色而不是用户，用户通过关联角色从而获得权限基于角色的访问控制用户（User）：访问系统中的资源的主体，一般为人，也可为程序权限（Permission）：对计算机中某些受保护的资源的访问许可可以将权限理解成一个二元组（Operation，Object）角色（Role）：应用领域内一种权力和责任的语义综合体针对角色属性的不同，某些模型中将角色进一步细分为普通角色（RegularRole）和管理员角色（AdministrativeRole）用户指派（UserAssignment）：用户集到角色集的多对多的关系权限指派（PermissionAssignment）：权限集到角色集的多对多的关系会话（Session）：对应于一个用户以及一组激活的角色。2023/11/1365基于角色的访问控制RBAC1（HierarchalRBAC）RBAC1引入角色间的继承关系。角色的结构化分层是反映一个组织的授权和责任的自然方式角色层次图（RoleHierarchies）：在角色继承关系下，角色集实际上构成了一个层次图2023/11/1366基于角色的访问控制RBAC1实施访问控制原理图2023/11/1367基于角色的访问控制2023/11/1368在综合教务管理系统中能否将一个用户同时关联管理员角色和学生角色?基于角色的访问控制RBAC2（ConstraintRBAC）约束（职责分离）：防止用户超过其正常的职责范围互斥约束：同一个用户最多只能指派互斥角色集合中的一个角色基数限制：一个用户可拥有的角色数目受限；每个角色关联的用户数有限（某个岗位只允许安排2个人员）2023/11/1369基于角色的访问控制RBAC2（ConstraintRBAC）RBAC2模型中添加了职责分离（SeparationofDuty）关系RBAC2的约束规定了权限被赋予角色时,或角色被赋予用户时,以及当用户在某一时刻激活一个角色时所应遵循的强制性规则。分类：静态职责分离（StaticSeparationofDuty）动态职责分离（DynamicSeparationofDuty）2023/11/1370基于角色的访问控制静态职责分离（StaticSeparationofDuty）指定角色的互斥关系，用于用户指派阶段。避免同一用户拥有互斥的角色SSD定义了一个用户角色分配的约束关系，一个用户不可能同时分配SSD中的两个互斥角色优点：实现简单，角色互斥语义关系清楚，便于管理缺点：不够灵活如果两个角色之间存在SSD约束，那么当一个用户分配了其中一个角色后，将不能再获得另一个角色2023/11/1371基于角色的访问控制静态职责分离实施原理图2023/11/1372基于角色的访问控制动态职责分离（DynamicSeparationofDuty）指定角色的互斥关系，用于角色激活阶段。允许同一用户拥有某些互斥的角色，但是不允许该用户同时激活互斥的角色。优点：更灵活，直接与会话挂钩，适应实际管理需要缺点：实现复杂，不易管理2023/11/1373基于角色的访问控制动态职责分离实施原理图2023/11/13742023/11/1375基于角色的访问控制RBAC根据管理中相对稳定的职权和责任来划分角色，将访问权限与角色相联系。传统的MAC和DAC将权限直接授予用户