网络安全导论 课件 第十一章 访问控制

第11章访问控制讨论议题1、访问控制的有关概念2、访问控制的策略和机制3、OS的访问控制设计

1访问控制的有关概念访问控制的概念和目标一般概念——

是针对越权使用资源的防御措施。基本目标：防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问。从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么。未授权的访问包括：未经授权的使用、泄露、修改、销毁信息以及颁发指令等。非法用户进入系统。合法用户对系统资源的非法使用。5例:系统访问控制登录名称即用户ID，尽量保持一致以便管理。口令口令的安全特别重要，加密后不可见。用户标识符分为管理性用户和普通用户，用整数表示。组标识符将用户分组是UNIX系统对权限进行管理的一种方式用户起始目录用户登录到系统后所处于的Home目录PhysicalSecurityPerimeterAuthenticationMechanismAccessControlMechanismSysAdmin6公网互联网用户对外信息服务器员工上网拒绝信息服务器不能在上班时间进行QQ,MSN等聊天．例:网络访问控制访问权限控制例：用户访问数据库访问控制的作用访问控制对机密性、完整性起直接的作用。对于可用性，访问控制通过对以下信息的有效控制来实现：（1）谁可以颁发影响网络可用性的网络管理指令（2）谁能够滥用资源以达到占用资源的目的（3）谁能够获得可以用于拒绝服务攻击的信息主体、客体和授权客体（Object）：规定需要保护的资源，又称作目标（target)。主体（Subject）：或称为发起者(Initiator)，是一个主动的实体，规定可以访问该资源的实体，（通常指用户或代表用户执行的程序）。授权（Authorization)：规定可对该资源执行的动作（例如读、写、执行或拒绝访问）。一个主体为了完成任务，可以创建另外的主体，这些子主体可以在网络上不同的计算机上运行，并由父主体控制它们。主客体的关系是相对的。访问控制模型基本组成

访问控制模型

引用监控器身份鉴别访问控制授权数据库用户目标目标目标目标目标审计安全管理员访问控制决策单元

2访问控制策略访问控制策略与机制访问控制策略(AccessControlPolicy):访问控制策略在系统安全策略级上表示授权。是对访问如何控制,如何作出访问决定的高层指南。访问控制机制（AccessControlMechanisms):是访问控制策略的软硬件低层实现。访问控制机制与策略独立，可允许安全机制的重用。安全策略之间没有更好的说法，只是一种可以比一种提供更多的保护。应根据应用环境灵活使用。访问控制策略的制订原则(1)最小权限原则(2)最小泄露原则如何决定访问权限用户分类资源资源及使用访问规则用户的分类（1）特殊的用户：系统管理员，具有最高级别的特权，可以访问任何资源，并具有任何类型的访问操作能力（2）一般的用户：最大的一类用户，他们的访问操作受到一定限制，由系统管理员分配（3）作审计的用户：负责整个安全系统范围内的安全控制与资源使用情况的审计（4）作废的用户：被系统拒绝的用户。资源系统内需要保护的是系统资源：磁盘与磁带卷标远程终端信息管理系统的事务处理及其应用数据库中的数据应用资源资源和使用对需要保护的资源定义一个访问控制包（Accesscontrolpacket)，包括：资源名及拥有者的标识符缺省访问权用户、用户组的特权明细表允许资源的拥有者对其添加新的可用数据的操作审计数据访问规则与规则集规定了若干条件，在这些条件下，可准许访问一个资源。规则使用户与资源配对，指定该用户可在该文件上执行哪些操作，如只读、不许执行或不许访问。由系统管理人员来应用这些规则，由硬件或软件的安全内核部分负责实施。一个主体对一个客体的访问权能否转让?

自主访问控制:能强制访问控制:不能基于角色的访问控制:不能

自主访问控制强制访问控制基于角色访问控制访问控制访问控制的一般策略自主访问控制特点：根据主体的身份及允许访问的权限进行决策。自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。灵活性高，被大量采用。缺点：信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。自主访问控制的访问类型访问许可与访问模式描述了主体对客体所具有的控制权与访问权.访问许可定义了改变访问模式的能力或向其它主体传送这种能力的能力.访问模式则指明主体对客体可进行何种形式的特定的访问操作:读\写\运行.访问模式AccessMode系统支持的最基本的保护客体:文件,对文件的访问模式设置如下:

（1）读-拷贝(Read-copy)

（2）写-删除（write-delete）（3）运行(Execute)

（4）无效(Null)强制访问控制（1）将主体和客体分级，根据主体和客体的级别标记来决定访问模式。如，绝密级，机密级，秘密级，无密级。（2）其访问控制关系分为：上读/下写，下读/上写（完整性）（机密性）（3）通过安全标签实现单向信息流通模式。精确描述强制访问控制(MAC)中，系统包含主体集S和客体集O，每个S中的主体s及客体集中的客体o，都属于一固定的安全类SC，安全类SC=<L,C>包括两个部分：有层次的安全级别和无层次的安全范畴。构成一偏序关系≤。Bell-LaPadula：保证保密性

-简单安全特性(无上读)：仅当SC(o)≤SC(s)时，s可以读取o

-*-特性(无下写):仅当SC(s)≤SC(o)时，s可以修改oBiba：保证完整性

-同(1)相反强制访问控制实现机制-

安全标签安全标签是限制在目标上的一组安全属性信息项。在访问控制中，一个安全标签隶属于一个用户、一个目标、一个访问请求或传输中的一个访问控制信息。最通常的用途是支持多级访问控制策略。

在处理一个访问请求时，目标环境比较请求上的标签和目标上的标签，应用策略规则（如BellLapadula规则）决定是允许还是拒绝访问。自主/强制访问的问题自主访问控制配置的粒度小配置的工作量大，效率低强制访问控制配置的粒度大缺乏灵活性基于角色的策略与现代的商业环境相结合的产物基于角色的访问控制是一个复合的规则，可以被认为是IBAC和RBAC的变体。一个身份被分配给一个被授权的组。起源于UNIX系统或别的操作系统中组的概念10yearhistory责任分离(separationofduties)角色分层(rolehierarchies)角色激活(roleactivation)用户角色关系的约束(constraintsonuser/rolemembership)角色的定义每个角色与一组用户和有关的动作相互关联，角色中所属的用户可以有权执行这些操作Arolecanbedefinedasasetofactionsandresponsibilitiesassociatedwithaparticularworkingactivity.角色与组的区别组：一组用户的集合角色：一组用户的集合+一组操作权限的集合一个基于角色的访问控制的实例在银行环境中，用户角色可以定义为出纳员、分行管理者、顾客、系统管理者和审计员访问控制策略的一个例子如下：（1）允许一个出纳员修改顾客的帐号记录（包括存款和取款、转帐等），并允许查询所有帐号的注册项（2）允许一个分行管理者修改顾客的帐号记录（包括存款和取款，但不包括规定的资金数目的范围）并允许查询所有帐号的注册项，也允许创建和终止帐号（3）允许一个顾客只询问他自己的帐号的注册项（4）允许系统的管理者询问系统的注册项和开关系统，但不允许读或修改用户的帐号信息（5）允许一个审计员读系统中的任何数据，但不允许修改任何事情特点该策略陈述易于被非技术的组织策略者理解;同时也易于映射到访问控制矩阵或基于组的策略陈述。同时具有基于身份策略的特征，也具有基于规则的策略的特征。在基于组或角色的访问控制中，一个个人用户可能是不只一个组或角色的成员，有时又可能有所限制。RBAC的优势便于授权管理，如系统管理员需要修改系统设置等内容时，必须有几个不同角色的用户到场方能操作，从而保证了安全性。便于根据工作需要分级，如企业财务部门与非财力部门的员工对企业财务的访问权就可由财务人员这个角色来区分。便于赋于最小特权，如即使用户被赋于高级身份时也未必一定要使用，以便减少损失。只有必要时方能拥有特权。便于任务分担，不同的角色完成不同的任务。便于文件分级管理，文件本身也可分为不同的角色，如信件、账单等，由不同角色的用户拥有。3访问控制的实现机制访问控制的一般实现机制和方法一般实现机制——

基于访问控制属性

——〉访问控制表/矩阵基于用户和资源分级（“安全标签”）

——〉多级访问控制常见实现方法——

访问控制表ACLs（AccessControlLists)

访问能力表（Capabilities)

授权关系表访问控制矩阵任何访问控制策略最终均可被模型化为访问矩阵形式：行对应于用户，列对应于目标，每个矩阵元素规定了相应的用户对应于相应的目标被准予的访问许可、实施行为。访问控制矩阵按列看是访问控制表内容按行看是访问能力表内容目标xR、W、OwnR、W、Own目标y目标z用户a用户b用户c用户dRRR、W、OwnR、WR、W

目标用户

访问控制表(ACL)

userAOwnRWOuserB

R

OuserCRWOObj1userAOwnRWOuserB

R

OuserCRWOObj1每个客体附加一个它可以访问的主体的明细表。访问能力表(CL)

Obj1OwnRWOObj2

R

OObj3

RWOUserA每个主体都附加一个该主体可访问的客体的明细表。ACL、CL访问方式比较(1)

ACLSsubjectclient(s,r)objectserverACL、CL访问方式比较(2)

CLsubjectclient(o,r)objectserverACL、CL访问方式比较(3)鉴别方面：二者需要鉴别的实体不同保存位置不同浏览访问权限ACL:容易，CL:困难访问权限传递ACL:困难，CL：容易访问权限回收ACL:容易，CL：困难ACL和CL之间转换ACL->CL：困难CL->ACL：容易ACL、CL访问方式比较(4)多数集中式操作系统使用ACL方法或类似方式由于分布式系统中很难确定给定客体的潜在主体集，在现代OS中CL也得到广泛应用授权关系表

UserAOwnObj1UserARObj1UserAWObj1UserAWObj2UserARObj2

4OS的访问控制设计操作系统的安全目标•Goal1:enablingmultipleuserssecurelyshareacomputer–Separationandsharingofprocesses,memory,files,devices,etc.•Howtoachieveit?–memoryprotection–processormodes–authentication–fileaccesscontrol操作系统的安全目标•Goal2:ensuresecureoperationinnetworkedenvironment•Howtoachieveit?–Authentication–AccessControl–SecureCommunication(usingcryptography)–Logging&Auditing–IntrusionPreventionandDetection–RecoveryCPU工作模式•Systemmode(privilegedmode,mastermode,supervisormode,kernelmode)–canexecuteanyinstructionandaccessanymemorylocations,e.g.,accessinghardwaredevices,enablinganddisablinginterrupts,changingprivilegedprocessorstate,accessingmemorymanagementunits,modifyingregistersforvariousdescriptortables.•Usermode–accesstomemoryislimited,cannotexecutesomeinstructions–cannot,e.g.,disableinterrupts,changearbitraryprocessorstate,accessmomorymanagementunits•Transitionfromusermodetosystemmodemustbedonethroughwelldefinedcallgates(systemcalls)KernelspacevsUserspace•PartoftheOSrunsinthekernelmodel–knownastheOSkernel•OtherpartsoftheOSrunintheusermode,includingserviceprograms(daemonprograms),userapplications,etc.–theyrunasprocesses–theyformtheuserspace(ortheuserland)•Differencebetweenkernelmodeandprocessesrunningasroot(orsuperuser,administrator)定时器TheOSprotectstheuseofcpubystartingatimerandpreventinguserprogramsfromchangingthetimer.ThisallowstheOStoabortanyprogramthatgoesintoaloop,intentionallyornot.内存保护•Ensuresthatoneuser’sprocesscannotaccessother’smemory–fence–relocation–base/boundsregister–segmentation–paging–…•Operatingsystemanduserprocessesneedtohavedifferentprivileges共享内存的保护Lockingmechanismscanbeusedinsharedmemoryprotection.Deadlocksmustbeovercomebytheconsistentorderingofsettingandreleasingthelocks.文件保护:windowsInwindows,thefundamentalbuildingblockofallOSdatastructureisanobject.Includedinthisgrouparefilesanddirectories.Eachobjecthasanowner.对对象的访问需要主体出示访问令牌.MajorNTFSgoalsHighreliabilityRecoverabilityDataredundancyandfaulttoleranceTransactionsupport.Highsecuritysecuritycanbeappliedtoanyobjectusinganaccesscontrollist.

Windows的安全组件安全标识符(sid)访问令牌（Accesstoken)安全描述符访问控制列表(ACL)访问控制条目(ACE)安全标识符SID是分给所有用户、组和计算机的统计上的唯一号码。每次一个新的用户或组被建立时，它就收到一个唯一的SID。每次windows安装和建立时，一个新的SID就分给那个计算机了。SID唯一的标识用户、组和计算机，不仅在特定的计算机上，也包括与其它计算机交互的时候。SID是安全结构的基础，所以了解它很重要。访问令牌在用户被验证之后，分配给所有用户访问令牌。访问令牌是系统访问资源的“入场券”，只要用户试图访问某种资源，就要向windows出示访问令牌。然后系统对照请求对象的访问控制列表检查访问领牌。如果被许可，则以适当的方式认可访问。访问令牌只有在登录过程期间才能被分发，所以对用户访问权限的任何改变，要求用户先注销，然后重新登录后接收更新的访问令牌。安全描述符Windows中每个对象有一个安全描述符，作为它属性的一部分。安全描述符由对象所有者的SID、POSIX子系统使用的组的SID、自主访问控制列表和系统访问控制列表组成。对象所有者SIDDACLSACL访问控制条目即访问控制列表的表项每个访问控制条目包含用户或组的SID和分配给该对象的权限。禁止访问优先于其它权限管理工具为一个对象列出访问权的时候总是按照用户字母顺序列的，所以管理员的访问权限总在前面。LinuxfilesystemEXT.Linuxregardsallusersasbeingamemberofoneofthreesets.FileownerGroupusersEverybodyThefileownercansetthepermissionsonafilebyusingautilitycalledCHMOD.Filecontrolblocksystemwideopenfiletableper-processopenfiletable安全操作系统模型安全模型则是对安全策略所表达的安全需求的简单、抽象和无歧义的描述。而模型的实现则描述了如何把特定的机制应用于系统中，从而实现某一特定安全策略所需的安全保护。1972年，J.P.Anderson指出要开发安全系统，首先必须建立系统的安全模型，完成安全系统的建模之后，再进行安全内核的设计与实现。主要安全模型BLP机密性安全模型Biba完整性安全模型Clark-Wilson完整性安全模型信息流模型RBAC安全模型DTE安全模型无干扰安全模型等。TCSEC定义的内容没有安全性可言，例如MSDOS不区分用户，基