第8章访问控制与系统审计.ppt

《第8章访问控制与系统审计.ppt》由会员分享，可在线阅读，更多相关《第8章访问控制与系统审计.ppt（97页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、第8章 访问控制与系统审计访问控制与系统审计8 访问控制访问控制8.1访问控制基本概念访问控制基本概念 广义地讲，广义地讲， 所有的计算机安全都与访问控制有关所有的计算机安全都与访问控制有关。 安全处处皆控制？安全处处皆控制？ RFC 2828 定义计算机安全如下：用来实现和保证计算机系定义计算机安全如下：用来实现和保证计算机系统的安全服务的措施，统的安全服务的措施，特别是保证访问控制服务的措施。特别是保证访问控制服务的措施。 访问控制是指对访问控制是指对主体访问客体的权限或能力的限制主体访问客体的权限或能力的限制，以及，以及限限制进入物理区域（出入控制）和限制使用计算机系统和计算制进入物理区

2、域（出入控制）和限制使用计算机系统和计算机存储数据的过程（存取控制）机存储数据的过程（存取控制）。在访问控制中，必须控制。在访问控制中，必须控制主体对客体的访问活动主体对客体的访问活动。 访问控制也可以定义为：访问控制也可以定义为：主体主体依据某些控制策略或权限依据某些控制策略或权限对客对客体本身或是其资源进行的不同授权访问。体本身或是其资源进行的不同授权访问。Network and Information Security第8章 访问控制与系统审计访问控制与系统审计 主体（主体（Subject）：是指一个：是指一个提出请求或要求的实体提出请求或要求的实体，是，是动作的动作的发起者发起者，但不

3、一定是动作的执行者，简记为，但不一定是动作的执行者，简记为S。有时我们也称。有时我们也称为为用户或访问者用户或访问者，简记为，简记为U。 主体可以是用户所在的组织（用户组）、用户本身，也可以是主体可以是用户所在的组织（用户组）、用户本身，也可以是用户使用的用户使用的计算机终端、手持终端计算机终端、手持终端等，甚至可以是等，甚至可以是应用服务程应用服务程序或进程。序或进程。 客体（客体（Object）：）：是是接受其他实体访问的被动实体接受其他实体访问的被动实体, 简记为简记为O。被被 操作的信息、资源、对象都可以认为是客体操作的信息、资源、对象都可以认为是客体。甚至。甚至一个客一个客体可以包含

4、另外一个客体。体可以包含另外一个客体。 一个实体可以在某一时刻是主体，而在另一时刻是客体，这取一个实体可以在某一时刻是主体，而在另一时刻是客体，这取决于当前实体的功能是决于当前实体的功能是动作的执行者还是动作的被执行者动作的执行者还是动作的被执行者。 动作的执行者动作的执行者是主体，动作的是主体，动作的被执行者被执行者是客体。是客体。Network and Information Security第8章 访问控制与系统审计访问控制与系统审计控制策略：控制策略：是主体对客体的是主体对客体的操作行为集和约束条操作行为集和约束条件集件集。控制策略是。控制策略是主体对客体的访问规则集主体对客体的访问规

5、则集，这，这个规则集直接定义了个规则集直接定义了主体对客体主体对客体的的作用行为作用行为和和客客体对主体体对主体的的条件约束条件约束。访问控制策略访问控制策略体现了一种授权行为，也就是客体体现了一种授权行为，也就是客体对主体的权限允许，这种允许不超越规则集。对主体的权限允许，这种允许不超越规则集。访问控制包括三个要素访问控制包括三个要素：主体、客体和控制策略。Network and Information Security第8章 访问控制与系统审计访问控制与系统审计授权授权 授权：授权：是是资源的所有者或者控制者准许他人访问资源的所有者或者控制者准许他人访问资源资源，这是实现访问控制的前提。对

6、于简单的个，这是实现访问控制的前提。对于简单的个体和不太复杂的群体，我们可以考虑体和不太复杂的群体，我们可以考虑基于个人和基于个人和组的授权组的授权。 让让不合法的用户不合法的用户不能得到访问控制的权限不能得到访问控制的权限，这是，这是一个复杂的问题。一个复杂的问题。Network and Information Security第8章 访问控制与系统审计访问控制与系统审计域域 域：域：每一域定义了一组客体及可以对客体采取的操作。每一域定义了一组客体及可以对客体采取的操作。一个域是访问权的集合。一个域是访问权的集合。 每一主体每一主体（进程）都在（进程）都在一特定的保护域下工作一特定的保护域下

7、工作，保护域保护域规定了进程可以访问的资源。规定了进程可以访问的资源。 如域如域X有访问权，则在域有访问权，则在域X下运行的进程可对文件下运行的进程可对文件A执行执行读写，但不能执行任何其他的操作。读写，但不能执行任何其他的操作。 保护域可以有交叉保护域可以有交叉，即它们可以共享权限。，即它们可以共享权限。 域域X和域和域Y对打印机都有写的权限对打印机都有写的权限，从而产生了访问权，从而产生了访问权交叉现象。交叉现象。Network and Information Security 保护域 X 保护域 Y 第8章 访问控制与系统审计访问控制与系统审计Network and Informatio

8、n Security 经典安全模型 8.2 计算机安全计算机安全模型模型 经典安全模型包含如下基本要素：(1) 明确定义的主体和客体；(2) 描述主体如何访问客体的一个授权数据库；(3) 约束主体对客体访问尝试的引用监控器（又叫参考监视器）；(4) 识别和验证主体和客体的可信子系统；(5) 审计引用监控器活动的审计子系统。 引用监控器 主体 访问请求 客体 允许的访问 I&A 子系统 审计子系统 授权数据库 第8章 访问控制与系统审计访问控制与系统审计Network and Information Security 访问控制是访问控制是 是在是在身份识别的基础上身份识别的基础上，根据身份根据身

9、份对提出的对提出的资源访问请求资源访问请求加以控制加以控制。 访问控制的目的是为了访问控制的目的是为了保证网络资源受控、合法地使用保证网络资源受控、合法地使用。 用户只能根据自己的权限大小来访问系统资源，用户只能根据自己的权限大小来访问系统资源，不能越权不能越权访问访问。 访问控制也是记账、审计的前提。访问控制也是记账、审计的前提。 第8章 访问控制与系统审计访问控制与系统审计访问控制的访问控制的前驱是身份认证前驱是身份认证，访问控制的，访问控制的后继是审计后继是审计。从访问控制完整性角度讲，访问控制应包括从访问控制完整性角度讲，访问控制应包括认证、控制策略认证、控制策略实现和审计实现和审计三

10、方面的内容：三方面的内容： 1 认证：认证：主体对客体的主体对客体的识别认证识别认证和客体对主体和客体对主体检验认证检验认证。2 控制策略的具体实现：控制策略的具体实现：如何如何设定规则集合设定规则集合从而确保正常用从而确保正常用户对信息资源的户对信息资源的合法使用合法使用 。3 审计审计：审计的重要意义是通过：审计的重要意义是通过记录主体的所有活动记录主体的所有活动，使，使主主体的行为有案可稽体的行为有案可稽，从而达到威慑和保证访问控制正常实，从而达到威慑和保证访问控制正常实现的目的。现的目的。Network and Information Security第8章 访问控制与系统审计访问控制

11、与系统审计Network and Information Security安全机制 引用监控器引用监控器是主体是主体/角色对客体进行访问的桥梁角色对客体进行访问的桥梁和监视者和监视者； 身份识别与验证身份识别与验证是主体是主体/角色获得访问授权的第一步；角色获得访问授权的第一步； 访问控制是根据访问控制是根据安全策略安全策略对主体行为进行限制的机制和手段；对主体行为进行限制的机制和手段； 审计审计在主体访问客体的整个过程中都发挥着作用，为安全分析在主体访问客体的整个过程中都发挥着作用，为安全分析提供了有利的证据支持。提供了有利的证据支持。 身份认证、访问控制为审计身份认证、访问控制为审计的正确

12、性提供保障。它们之间是的正确性提供保障。它们之间是互互为制约、相互促进的。为制约、相互促进的。 安全管理员 安全策略 引用监控器 主体/角色 认证 授权 客体 审计 第8章 访问控制与系统审计访问控制与系统审计8.3安全策略安全策略 能够提供恰当的、符合安全需求的能够提供恰当的、符合安全需求的整体方案整体方案就是就是安全策略安全策略。 一种安全策略应表明：在安全领域的范围内，一种安全策略应表明：在安全领域的范围内，什么操作是明什么操作是明确允许的，什么操作是一般默认允许的，什么操作是明确不确允许的，什么操作是一般默认允许的，什么操作是明确不允许的，什么操作是默认不允许的。允许的，什么操作是默认

13、不允许的。 按照按照ISO 7498-2中中OSI安全体系结构中的定义，访问控制的安全体系结构中的定义，访问控制的安全策略有以下两种实现方式：安全策略有以下两种实现方式：基于身份的安全策略基于身份的安全策略和和基于基于规则的安全策略。规则的安全策略。 目前使用的两种安全策略，建立的基础都是授权行为。目前使用的两种安全策略，建立的基础都是授权行为。Network and Information Security第8章 访问控制与系统审计访问控制与系统审计8.3.1基于身份的安全策略基于身份的安全策略 基于身份的安全策略基于身份的安全策略（IDBACP：Identification-based A

14、ccess Control Policies）的目的是的目的是过滤过滤对数据或资源的访问，只有能对数据或资源的访问，只有能通过认证的那些通过认证的那些主体才有可能正常使用客体资源。主体才有可能正常使用客体资源。1基于个人的安全策略基于个人的安全策略 （IDLBACP：Individual-based Access Control Policies） 基于个人的安全策略是指基于个人的安全策略是指以用户为中心建立的一种策略以用户为中心建立的一种策略， 哪哪些用户可以实现何种操作行为。些用户可以实现何种操作行为。2基于组的安全策略基于组的安全策略 （GBACP：Group-based Access

15、Control Policies） 基于组的策略是基于个人的策略的扩充，指基于组的策略是基于个人的策略的扩充，指一组用户被允许一组用户被允许使用同样的访问控制规则访问同样的客体使用同样的访问控制规则访问同样的客体。 Network and Information Security第8章 访问控制与系统审计访问控制与系统审计8.3.2基于规则的安全策略基于规则的安全策略基于规则的安全策略中的授权通常依赖于敏感性。基于规则的安全策略中的授权通常依赖于敏感性。主体和客体主体和客体应该标注安全标记。应该标注安全标记。通过通过比较用户和客体资源的安全级别比较用户和客体资源的安全级别来判断是否来判断是否允

16、许用户进行访问。允许用户进行访问。安全级别一般分多级，对应的安全策略为安全级别一般分多级，对应的安全策略为多级安全策略多级安全策略。安全属性分级考虑，安全属性分级考虑， 如层次安全级别（如层次安全级别（Hierarchical Classification），），分为分为TS、S、C、RS和和U五个安全等级五个安全等级。TS代表绝密级别（代表绝密级别（Top Secret），），S代表秘密级别（代表秘密级别（Secret），）， C代表机密级别（代表机密级别（Confidential），），RS代表限制级别（代表限制级别（Restricted），），U代表无级别级（代表无级别级（Unclass

17、ified）。）。TS、S、C、RS和和U这五个安全级别从前往后依次降低，即这五个安全级别从前往后依次降低，即安全级别的关安全级别的关系为系为TSSCRSU。Network and Information Security第8章 访问控制与系统审计访问控制与系统审计 多级安全策略的多级安全策略的优点是避免敏感信息的扩散优点是避免敏感信息的扩散。 具有安全级别的信息资源，只有具有安全级别的信息资源，只有安全级别相匹配的主安全级别相匹配的主体才能够访问。体才能够访问。 同样地，同样地， 也可以对主体按这样的安全级别划分，当然也可以对主体按这样的安全级别划分，当然也可以有另外的安全级别划分。也可以有

18、另外的安全级别划分。Network and Information Security第8章 访问控制与系统审计访问控制与系统审计8.4 访问控制实现方法访问控制实现方法 通过什么样的方法才能实现访问控制的这些要求？通过什么样的方法才能实现访问控制的这些要求？ 存取许可存取许可是一种权力，允许主体修改客体的是一种权力，允许主体修改客体的访问控制表访问控制表。 存取模式存取模式是经过存取许可是经过存取许可确定后确定后，对客体进行的各种不同的，对客体进行的各种不同的存取操作。存取操作。 存取许可的作用存取许可的作用在于在于定义或改变存取模式定义或改变存取模式； 存取模式的作用存取模式的作用是规定主体

19、对客体可进行是规定主体对客体可进行何种存取操作何种存取操作。 存取模式主要有：存取模式主要有：读（读（Read，R）；写（；写（Write，W；执行（；执行（Execute，E）；拥有（；拥有（Own，O）；空模式（）；空模式（Null，N）。 与存取模式对应的权限集与存取模式对应的权限集为为 Read, Write, Execute, Own，Null，简写为，简写为R, W, E, O，N。Network and Information Security第8章 访问控制与系统审计访问控制与系统审计8.4.1 目录表目录表 在目录表（在目录表（Directory List）访问控制方法中）访

20、问控制方法中 ，为每一个欲，为每一个欲实施实施访问操作的主体访问操作的主体，建立一个能被其访问的，建立一个能被其访问的“客体目录表客体目录表 ”。 主体主体A的客体目录表的客体目录表Network and Information Security客体客体1: R客体客体2: W 客体客体n:E客体目录表中各个客体的访问权限的修改只能由该客体的客体目录表中各个客体的访问权限的修改只能由该客体的合法属合法属主主或具有或具有存取许可权限的主体存取许可权限的主体确定。确定。客体资源的拥有者客体资源的拥有者称为称为属主属主。目录表访问控制机制的优点是目录表访问控制机制的优点是容易实现容易实现，每个主体拥

21、有一张客体，每个主体拥有一张客体目录表，一目了然，目录表，一目了然，监督主体对客体的访问比较简便监督主体对客体的访问比较简便。缺点是系统缺点是系统开销、浪费较大开销、浪费较大，这是由于每个用户都有一张目录表。，这是由于每个用户都有一张目录表。第8章 访问控制与系统审计访问控制与系统审计8.4.2 访问控制列表访问控制列表 访问控制列表访问控制列表（简称访问控制表，（简称访问控制表，Access Control List , ACL）。 访问控制列表的策略正好访问控制列表的策略正好与目录表访问控制相反与目录表访问控制相反，它是，它是从客从客体角度进行设置的、面向客体的访问控制。体角度进行设置的、

22、面向客体的访问控制。 每个客体有一个访问控制列表每个客体有一个访问控制列表，用来说明有权访问该客体的，用来说明有权访问该客体的所有主体及其访问权限。所有主体及其访问权限。 当一个用户参与组成一个用户组时（系统中的一个或多个用当一个用户参与组成一个用户组时（系统中的一个或多个用户可以组成一个用户组），该用户就是该用户组的成员，该户可以组成一个用户组），该用户就是该用户组的成员，该用户组可以称为该用户的用户组可以称为该用户的属组属组。Network and Information Security第8章 访问控制与系统审计访问控制与系统审计客体客体PAYROLL的访问控制列表的访问控制列表 左：左

23、： john和和jane表示表示用户标识用户标识UID；acct和和pay表示用户所表示用户所属的组属的组ID。如果。如果john属于属于acct组，则他只能读文件；如果组，则他只能读文件；如果他不属于任何组，则缺省情况下他没有任何访问权限。他不属于任何组，则缺省情况下他没有任何访问权限。 如如果果jane属于属于pay组，则她可以读和写文件。组，则她可以读和写文件。 访问控制列表通常还支持访问控制列表通常还支持通配符通配符，从而可以制定更一般的，从而可以制定更一般的访问规则。访问规则。 中：中： 表示表示任何组当中的任何用户任何组当中的任何用户都可以读文件。都可以读文件。 右右 ：表示组表示

24、组pay中的任何用户中的任何用户都能读和写文件。都能读和写文件。Network and Information Securityjohn.acctRjane.payRW*.*R*.pay RW第8章 访问控制与系统审计访问控制与系统审计访问控制列表访问控制列表优缺点优缺点 访问控制列表方式的缺点访问控制列表方式的缺点： 任何得到授权的客体都有一个访问控制列表，当授权客体数量多任何得到授权的客体都有一个访问控制列表，当授权客体数量多时，每个表时，每个表单独存放会产生大量的表单独存放会产生大量的表，若，若集中存放集中存放会因会因各个客体各个客体的的访问控制列表长度不同访问控制列表长度不同而出现而出

25、现存放空间碎片，造成浪费；存放空间碎片，造成浪费； 其次，每个客体被访问时都需要对访问控制列表从头到尾扫描一其次，每个客体被访问时都需要对访问控制列表从头到尾扫描一遍，遍，影响系统运行速度影响系统运行速度 。 访问控制表是以访问控制表是以客体为中心建立的访问权限表客体为中心建立的访问权限表。 访问控制表的优点在于访问控制表的优点在于实现简单、不会出现越权访问实现简单、不会出现越权访问，任何得到任何得到授权的客体都可以有一个访问表授权的客体都可以有一个访问表。 目前，大多数目前，大多数PC、服务器和防火墙、服务器和防火墙都使用都使用ACL作为访问控制的实作为访问控制的实现机制。现机制。Netwo

26、rk and Information Security第8章 访问控制与系统审计访问控制与系统审计8.4.3 访问控制矩阵访问控制矩阵 描述一个保护系统的描述一个保护系统的最简单框架是使用访问控制矩阵模型最简单框架是使用访问控制矩阵模型，这个模型将这个模型将所有用户对文件的访问权限存储在矩阵中所有用户对文件的访问权限存储在矩阵中。 访问控制矩阵模型最早由访问控制矩阵模型最早由B .Lampson于于 1971年提出年提出 。 访问控制矩阵（访问控制矩阵（Access Control Matrix , ACM）是通过矩阵形）是通过矩阵形式表示访问控制规则和授权用户权限的方法，是对式表示访问控制规

27、则和授权用户权限的方法，是对上述两种上述两种方法的综合方法的综合。 在访问控制矩阵中，描述了在访问控制矩阵中，描述了每个主体拥有对哪些客体的哪些每个主体拥有对哪些客体的哪些访问权限；访问权限； 描述了可以对描述了可以对每个客体实施不同访问类型的所有主体每个客体实施不同访问类型的所有主体。Network and Information Security第8章 访问控制与系统审计访问控制与系统审计 访问控制矩阵是一张表格，访问控制矩阵是一张表格，每行代表一个用户每行代表一个用户（即主（即主体），体），每列代表一个客体每列代表一个客体 ，表中，表中纵横对应的项是该用纵横对应的项是该用户对该存取客体的

28、访问权集合（户对该存取客体的访问权集合（权集）。权集）。Network and Information Security客体主体客体1客体2客体3用户1RRW用户2 W 用户3E R第8章 访问控制与系统审计访问控制与系统审计8.4.4 访问控制安全标签列表访问控制安全标签列表 安全标签是安全标签是限制和附属限制和附属在主体或客体上的一组在主体或客体上的一组安全属性信息安全属性信息。 访问控制标签列表（访问控制标签列表（ACSLLs： Access Control Security Labels Lists）是是限限定一个用户对一个客体目标访问的安全属性集合。定一个用户对一个客体目标访问的安全

29、属性集合。 假设请求访问的用户假设请求访问的用户UserA的安全级别为的安全级别为S，那么，那么UserA请求访请求访问文件问文件File2时，由于时，由于SC，所以允许访问。，所以允许访问。Network and Information Security用户用户 安全级别安全级别文件文件 安全级别安全级别UserA SFile1 SUserB CFile2 TS UserX TSFileN C 第8章 访问控制与系统审计访问控制与系统审计8.4.5 权限位权限位 主体对客体的访问权限可用主体对客体的访问权限可用一串二进制比特位一串二进制比特位来表示。来表示。 二进制位的值与访问权限的关系是：

30、二进制位的值与访问权限的关系是：1表示拥有权限，表示拥有权限，0表表示未拥有权限。示未拥有权限。Network and Information Security如如定义定义读、写、执行读、写、执行三种访三种访问权限，可用一个由问权限，可用一个由3个二进个二进制位制位组成的位串来表示一组成的位串来表示一个用个用户拥有的对一个文件的所有访户拥有的对一个文件的所有访问权限问权限。每种访问权限由每种访问权限由 l 位二进制来位二进制来表示表示，由左至右，位串中的各，由左至右，位串中的各个二进制位分别对应个二进制位分别对应读、写、读、写、执行执行权限。权限。 二进制位串二进制位串操作权限操作权限000：

31、 不拥有任何权限；不拥有任何权限；001： 拥有执行权限，不拥有读、写权限拥有执行权限，不拥有读、写权限010： 拥有写权限，不拥有读、执行权限；拥有写权限，不拥有读、执行权限；011： 拥有写和执行权限，不拥有读权限；拥有写和执行权限，不拥有读权限；100： 拥有读权限，不拥有写、执行权限拥有读权限，不拥有写、执行权限101： 拥有读和执行权限，不拥有写权限拥有读和执行权限，不拥有写权限110： 拥有读和写权限，不拥有执行权限拥有读和写权限，不拥有执行权限111： 拥有读、写和执行权限拥有读、写和执行权限第8章 访问控制与系统审计访问控制与系统审计权限位的访问控制方法权限位的访问控制方法优缺

32、点优缺点 权限位的访问控制方法以权限位的访问控制方法以客体为中心，简单、客体为中心，简单、易实现，易实现，适合于操作种类适合于操作种类不太复杂的场合不太复杂的场合。 由于操作系统中的客体主要是由于操作系统中的客体主要是文件、进程，操文件、进程，操作种类相对单一作种类相对单一，操作系统中的访问控制可采，操作系统中的访问控制可采用基于权限位的方法。用基于权限位的方法。 上面陈述了访问控制的几种实现发给那时，在上面陈述了访问控制的几种实现发给那时，在实际应用中可以根据具体情况和需要实际应用中可以根据具体情况和需要选择其中选择其中的一种。的一种。Network and Information Secu

33、rity第8章 访问控制与系统审计访问控制与系统审计8.5 访问控制模型访问控制模型 访问控制模型是一种从访问控制的角度出发，描述安全系访问控制模型是一种从访问控制的角度出发，描述安全系统，建立安全模型的方法。统，建立安全模型的方法。 访问控制安全模型一般包括访问控制安全模型一般包括主体、客体主体、客体，以及为，以及为识别和验识别和验证这些实体的子系统和控制实体间访问的引用监控器证这些实体的子系统和控制实体间访问的引用监控器。 由于网络传输的需要，访问控制的研究发展很快，已有许由于网络传输的需要，访问控制的研究发展很快，已有许多访问控制模型被提出来。多访问控制模型被提出来。 建立规范的访问控制

34、模型，是实现严格访问控制策略所必建立规范的访问控制模型，是实现严格访问控制策略所必须的。须的。Network and Information Security第8章 访问控制与系统审计访问控制与系统审计8.5.1 访问控制模型类型访问控制模型类型 自主访问控制自主访问控制是以前计算机系统中实现较多的访问控制机制，是以前计算机系统中实现较多的访问控制机制，它是根据访问者的它是根据访问者的身份和授权身份和授权来决定访问模式的。来决定访问模式的。 强制访问控制强制访问控制是将主体和客体分级，然后根据是将主体和客体分级，然后根据主体和客体的级主体和客体的级别标记别标记来决定访问模式。来决定访问模式。

35、基于角色的访问控制基于角色的访问控制的基本思想是：授权给用户的访问权限通的基本思想是：授权给用户的访问权限通常由用户在一个组织中常由用户在一个组织中担当的角色来确定担当的角色来确定。 基于任务的访问控制基于任务的访问控制是，从是，从任务（活动）的角度任务（活动）的角度建立安全模型建立安全模型和实现安全机制，在任务处理的过程中提供动态实时的访问控和实现安全机制，在任务处理的过程中提供动态实时的访问控制。制。 使用控制使用控制用一个统一的大框架涵盖了用一个统一的大框架涵盖了传统访问控制、信任管理传统访问控制、信任管理和数字版权保护和数字版权保护三大领域三大领域，实现了过程连续性控制及属性动态实现了

36、过程连续性控制及属性动态更新。更新。Network and Information Security第8章 访问控制与系统审计访问控制与系统审计 8.5.2 自主访问控制自主访问控制 自主访问控制又称任意访问控制自主访问控制又称任意访问控制(Discretionary Access Control，DAC)，是指根据，是指根据主体身份或者主体所属组的身主体身份或者主体所属组的身份或者二者的结合，对客体访问进行限制的一种方法份或者二者的结合，对客体访问进行限制的一种方法。 它是访问控制措施中常用的一种方法，这种访问控制方法它是访问控制措施中常用的一种方法，这种访问控制方法允许允许用户可以自主地在

37、系统中规定用户可以自主地在系统中规定谁可以谁可以存取它的资源实存取它的资源实体体，即，即用户用户(包括用户程序和用户进程包括用户程序和用户进程)可选择同其它用户可选择同其它用户一起共享某个文件一起共享某个文件。 自主访问控制的具体实施可采用自主访问控制的具体实施可采用8.4中的方法，目录表、访中的方法，目录表、访问控制列表、访问控制矩阵、权限位方法实现。问控制列表、访问控制矩阵、权限位方法实现。 第8章 访问控制与系统审计访问控制与系统审计 在许多操作系统当中，对文件或者目录的访问控制是通过在许多操作系统当中，对文件或者目录的访问控制是通过把各种用户分成把各种用户分成3类来实施的：类来实施的：

38、属主属主（Self）、同组的其他）、同组的其他用户（用户（Group）属组属组和和其他用户其他用户（Public）。）。 每个文件或者目录都同几个称为文件许可（每个文件或者目录都同几个称为文件许可（File Permissions）的）的权限位权限位相关联相关联 。Network and Information Securityr读wx写执行r读wx写执行r读wx写执行属主组内其它第8章 访问控制与系统审计访问控制与系统审计Network and Information Security 自主访问控制面临的最大问题是：在自主访问控制中，具有自主访问控制面临的最大问题是：在自主访问控制中，具有某

39、种访问权的主体能够自行决定将其访问权某种访问权的主体能够自行决定将其访问权直接或间接地转直接或间接地转交交给其他主体，给其他主体，实施权限传递并可多次进行实施权限传递并可多次进行。 但正是这种权利使得访问权限关系会被改变，造成同一文件但正是这种权利使得访问权限关系会被改变，造成同一文件有多个属主的情形，且各属主每次传递的访问权限也难以相有多个属主的情形，且各属主每次传递的访问权限也难以相同，同，甚至可能会把客体改用别名，在管理上繁乱易错。甚至可能会把客体改用别名，在管理上繁乱易错。 如如用户用户A可以将其对客体目标可以将其对客体目标O的的存取许可存取许可权限传递给用户权限传递给用户B，用户用户

40、B又可以将又可以将存取许可存取许可权限传递给用户权限传递给用户C 。 这样一来，这样一来，在用户在用户A不知道的情况下，用户不知道的情况下，用户C也有也有存取许可存取许可权权限，用户限，用户B和用户和用户C还可以还可以进一步传递这种权限进一步传递这种权限，导致这种存导致这种存取许可权限不受用户取许可权限不受用户A的控制，容易产生安全漏洞，所以自主的控制，容易产生安全漏洞，所以自主访问控制的安全级别很低。访问控制的安全级别很低。第8章 访问控制与系统审计访问控制与系统审计Network and Information Security 强制访问控制强制访问控制(Mandatory Access

41、Control(Mandatory Access Control，MAC)MAC)是根据是根据客客体中信息的敏感标签和访问敏感信息的主体的访问等级体中信息的敏感标签和访问敏感信息的主体的访问等级，对客体的访问对客体的访问实行限制实行限制的一种方法。的一种方法。 它主要用于保护那些处理特别敏感数据它主要用于保护那些处理特别敏感数据( (例如，政府保密信例如，政府保密信息或企业敏感数据息或企业敏感数据) )的系统。的系统。 在强制访问控制中，在强制访问控制中，用户的权限和客体的安全属性用户的权限和客体的安全属性都是都是固固定的定的，由系统决定一个用户对某个客体能否进行访问。，由系统决定一个用户对某

42、个客体能否进行访问。 所谓所谓“强制强制”，就是安全属性由，就是安全属性由系统管理员人为设置系统管理员人为设置，或，或由操作系统自动地按照严格的安全策略与规则进行设置，由操作系统自动地按照严格的安全策略与规则进行设置，用户和他们的进程不能修改这些属性。用户和他们的进程不能修改这些属性。 8.3 强制访问控制强制访问控制第8章 访问控制与系统审计访问控制与系统审计Network and Information Security敏感标签：SECRETVENUS ALPHAJaneSECRETALPHA不能读文件可以写文件TOP SECRETVENUS TANK ALPHA可以读文件不能写文件Joh

43、nLOGISTIC文件图8-7 强制访问控制第8章 访问控制与系统审计访问控制与系统审计根据主体和客体的敏感等级和读写关系可根据主体和客体的敏感等级和读写关系可以有以下以有以下4种组合种组合（1）下读（）下读（Read Down）：主体级别：主体级别大于大于客体级别的客体级别的读操作读操作。（2）上写（）上写（Write Up）：）：主体级别主体级别低于低于客体级别的客体级别的写操作写操作。（3）下写（）下写（Write Down）：主体级别：主体级别大于大于客体级别的客体级别的写操作写操作。（4）上读（）上读（Read Up）：主体级别：主体级别低于低于客体级别的客体级别的读操作读操作。 这

44、些读写方式保证了信息流的单向性。这些读写方式保证了信息流的单向性。 上读上读-下写方式只能保证数据的完整性下写方式只能保证数据的完整性，而上写而上写-下读方式则保下读方式则保证了信息的安全性，证了信息的安全性，也是多级安全系统必须实现的。也是多级安全系统必须实现的。Network and Information Security第8章 访问控制与系统审计访问控制与系统审计强制访问控制机制的主要特点强制访问控制机制的主要特点一是强制性，一是强制性，这是强制访问控制的突出特点，除了代这是强制访问控制的突出特点，除了代表系统的管理员以外，表系统的管理员以外，任何主体、客体都不能直接任何主体、客体都不

45、能直接或间接地改变它们的安全属性或间接地改变它们的安全属性；二是限制性二是限制性，即系统通过，即系统通过比较主体和客体的安全属性比较主体和客体的安全属性来决定主体能否以它所希望的模式访问一个客体来决定主体能否以它所希望的模式访问一个客体，这种无法回避的比较限制，将这种无法回避的比较限制，将防止某些非法入侵防止某些非法入侵，同时，也同时，也不可避免地要对用户自己的客体施加一些不可避免地要对用户自己的客体施加一些严格的限制严格的限制。Network and Information Security第8章 访问控制与系统审计访问控制与系统审计Network and Information Secur

46、ity 基于角色的访问控制(Role-Based Access Control，RBAC)的核心思想就是：授权给用户的访问权限通常由用户在一个组织中担当的角色来确定。 引入了“角色”这一重要的概念，所谓“角色”，是指一个或一群用户在组织内可执行的操作的集合。 这里的角色就充当着主体(用户)和客体之间的关系的桥梁。 这是与传统的访问控制策略的最大区别所在。8.4 基于角色的访问控制第8章 访问控制与系统审计访问控制与系统审计Network and Information Security主体角色客体基于角色的访问控制一个主体可以具有多个角色，一个角色可以分给多个主体；一个角色可以访问多个客体，一

47、个客体可以被多个角色访问 第8章 访问控制与系统审计访问控制与系统审计Network and Information Security RBAC96模型 Sandhu等于1996年提出的RBAC96模型 。此后， Sandhu 和Ferraiolo等人综合了该领域众多研究者的共识，将RBAC96模型修改后形成为NIST RBAC建议标准（RBAC2001模型） 第8章 访问控制与系统审计访问控制与系统审计基于角色的访问控制有以下五个特点基于角色的访问控制有以下五个特点1) 以角色作为访问控制的主体以角色作为访问控制的主体 用户以用户以什么样的角色什么样的角色对资源进行访问，对资源进行访问，决定

48、了用户拥有决定了用户拥有的权限以及可执行何种操作。的权限以及可执行何种操作。 2) 角色继承角色继承 为了提高效率，避免相同权限的重复设置，为了提高效率，避免相同权限的重复设置，RBAC采用了采用了“角色继承角色继承”的概念，定义的各类角色，它们都有自己的的概念，定义的各类角色，它们都有自己的属性和权限，但可能属性和权限，但可能还继承其它角色的属性和权限还继承其它角色的属性和权限。 角色继承把角色组织起来，能够很自然地反映角色继承把角色组织起来，能够很自然地反映组织内部人组织内部人员之间的职权、责任关系。员之间的职权、责任关系。 第8章 访问控制与系统审计访问控制与系统审计Network an

49、d Information Security角色3角色4角色2角色1包含包含包含 角色继承第8章 访问控制与系统审计访问控制与系统审计 3) 3) 最小特权原则最小特权原则1 1(Least Privilege Theorem)(Least Privilege Theorem) 最小特权原则是最小特权原则是系统安全中最基本的原则之一系统安全中最基本的原则之一。 所谓最小特权，是指所谓最小特权，是指“在完成某种操作时所赋予网络中每在完成某种操作时所赋予网络中每个主体个主体(用户或进程用户或进程)的的必不可少的特权必不可少的特权”。 最小特权原则则是指最小特权原则则是指“应限定网络中每个主体所必须

50、的应限定网络中每个主体所必须的最小特权，确保由于可能的事故、错误、网络部件的篡改最小特权，确保由于可能的事故、错误、网络部件的篡改等原因造成的损失最小等原因造成的损失最小”。 换句话说，换句话说，最小特权原则是指用户所拥有的权利不能超最小特权原则是指用户所拥有的权利不能超过他执行工作时所需的权限过他执行工作时所需的权限。 第8章 访问控制与系统审计访问控制与系统审计 在在RBACRBAC中，可以根据组织内的规章制度、中，可以根据组织内的规章制度、职员的分工等设计职员的分工等设计拥有拥有不同权限的角色不同权限的角色，只有，只有角色执行所需要的才授权给角色。角色执行所需要的才授权给角色。 当一个主