chap3:访问控制策略-B-西安电子科技大学计算机安全基础课件.ppt

上传人:可**** 文档编号:91510385 上传时间:2023-05-27 格式:PPT 页数:77 大小:1.96MB
返回 下载 相关 举报
chap3:访问控制策略-B-西安电子科技大学计算机安全基础课件.ppt_第1页
第1页 / 共77页
chap3:访问控制策略-B-西安电子科技大学计算机安全基础课件.ppt_第2页
第2页 / 共77页
点击查看更多>>
资源描述

《chap3:访问控制策略-B-西安电子科技大学计算机安全基础课件.ppt》由会员分享,可在线阅读,更多相关《chap3:访问控制策略-B-西安电子科技大学计算机安全基础课件.ppt(77页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、2023/5/251计算机安全Computer Security2023/5/252访问控制策略访问控制策略 2023/5/253提提 要要访问控制原理访问控制策略安全核技术的理论基础引用监控器引用监控器与安全核的关系引用监控器及安全核的使用原则引用监控器模型的缺点访问控制原理概 念通常应用在操作系统的安全设计上。定义:在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。目的:为了限制访问主体对访问客体的访问权限,从而使计算机系统在合法范围内使用;它决定用户能做什么,也决定代表一定用户身份的进程能做什么。未授权的访问包括:未经授权的使用、泄露、修改、销毁信息以及颁发指令等。非法用户进入

2、系统。合法用户对系统资源的非法使用。访问控制模型基本组成任 务识别和确认访问系统的用户。决定该用户可以对某一系统资源进行何种类型的访问。访问矩阵定义客体(O)主体(S)权限(A)读读(R)写写(W)拥有拥有(Own)执行执行(E)更改更改(C)举例MEM1MEM2File1File2File3File4User1r,w,eo,r,eUser2r,w,eo,r,e问题:稀疏矩阵,浪费空间。自主访问控制基于对主体或主体所属的主体组的识别来限制对客体的访问,这种控制是自主的。自主指主体能够自主地将访问权或访问权的某个子集授予其他主体。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问

3、权限的B可访问O。缺点:信息在移动过程中其访问权限关系会被改变:安全问题举例:oj表示客体j,si.rw表示主体si具有rw属性。s0.rs1.es2.rwojliu.INFO.rw表示对INFO组的用户liu具有rw权限。*.INFO.rw表示对INFO组的所有用户具有rw权限。*.*.rw表示对所有用户具有rw权限。Liu.INFO.r*.INFO.e*.*.rwoj访问能力表(Access Capabilities List)基于访问控制矩阵行的自主访问控制。为每个主体(用户)建立一张访问能力表,用于表示主体是否可以访问客体,以及用什么方式访问客体。n举例:强制访问控制为所有主体和客体指

4、定安全级别,比如绝密级、机密级、秘密级、无秘级。不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。只有安全管理员才能修改客体访问权和转移控制权。(对客体拥有者也不例外)MAC模型绝密级机密级秘密级无秘级写写读读完整性保密性举例:Multics操作系统的访问控制(保密性策略):仅当用户的安全级别不低于文件的安全级别时,用户才可以读文件;仅当用户的安全级别不高于文件的安全级别时,用户才可以写文件;举例:Security-Enhanced Linux(SELinux)for Red Hat Enterprise LinuxAppArmor for SUSE Linux and Ubun

5、tuTrustedBSD for FreeBSD基于角色的访问控制起源于UNIX系统或别的操作系统中组的概念(基于组的自主访问控制的变体)每个角色与一组用户和有关的动作相互关联,角色中所属的用户可以有权执行这些操作角色与组的区别组:一组用户的集合角色:一组用户的集合+一组操作权限的集合适合专用目的的计算机系统,比如军用计算机系统。一个基于角色的访问控制的实例在银行环境中,用户角色可以定义为出纳员、分行管理者、顾客、系统管理者和审计员访问控制策略的一个例子如下:(1)允许一个出纳员修改顾客的帐号记录(包括存款和取款、转帐等),并允许查询所有帐号的注册项(2)允许一个分行管理者修改顾客的帐号记录(

6、包括存款和取款,但不包括规定的资金数目的范围)并允许查询所有帐号的注册项,也允许创建和终止帐号(3)允许一个顾客只询问他自己的帐号的注册项(4)允许系统的管理者询问系统的注册项和开关系统,但不允许读或修改用户的帐号信息(5)允许一个审计员读系统中的任何数据,但不允许修改任何事情系统需要添加出纳员、分行管理者、顾客、系统管理者和审计员角色所对应的用户,按照角色的权限对用于进行访问控制。2023/5/2531保护系统的访问矩阵模型保护系统的访问矩阵模型模型是用状态和状态转换的概念定义。其中的状态是用访问矩阵表示的,状态转换是用命令描述的。该模型的特点:简明:易懂、易理解、易证明;通用:有能力综合不

7、同策略和应用于多种实现;精确:有能力忠实地反映策略和系统形态;与数据式样无关。2023/5/2532保护系统的访问矩阵模型保护系统的访问矩阵模型 访问矩阵模型是描述保护系统的一种有效手段,能够应用在以下方面:1.为研究提供框架:可为安全理论研究提供一个基础,允许研究者把注意力集中在问题突出的特型上,毋需顾及实现细节;2.用作设计工具:即用于概括在构造的系统的实现目标,以指导设计;3.证明“设计与实现”的正确性工具:因为模型是形式化的,允许做出形式断言并对其进行改进;4.用作教育工具:形式化模型免去了自然语言陈述的模糊性,同时它不反映系统的细节,容易理解其实质;5.用作比较和评估的工具。2023

8、/5/2533访问矩阵模型访问矩阵模型三类要素:1.系统中的客体集O,是系统中被访问因而也是被保护的对对象,如文件、程序、存储区等;每一个客体oO可由它们的名字唯一地标识别与识别;2.系统中的主体集S,是系统中访问操作的发起者,如用户、进程、执行域等;每一个主体sS可由它们的名字唯一地标识别与识别;鉴于主体和客体 之间存在控制与被控制的关系,故认为主体也是一种类型的客体,因此有S O;3.系统中主体对客体的访问权限集合R,O、S、R三者之间的关系是以矩阵A的形式表示的,它的行对应某个主体,列对应某个客体,集合R是矩阵的项(元素)的集合,每个项用As,o表示,其中存放着主体s对客体o的访问权或某

9、些特权。2023/5/2534访问矩阵模型访问矩阵模型一个实例:M1M2 F1 F2P1P2P1r,w,eown,r,ep2r,w,eown,r,e2023/5/2535访问控制的概念是与安全核技术联系在一起的。1971年,Lampson提出了引用监控器的设想。其思想是所有主体必须根据系统存取授权表来实现对客体的存取,对客体的每次存取以及授权的改变都必须通过引用监控器。1972年,Rorer Schell提出了安全核的概念,并把它定义为实现引用监控器的软件与硬件。1974年,Mitre证实了构筑安全内核的可能性。2023/5/2536访问矩阵模型访问矩阵模型数据库系统的访问矩阵模型 主体通常是

10、用户,客体是文件、关系、记录或记录 中的字段。每一项As,o是一条访问规则,说明用户s可以访问客体o的条件和允许s在o上完成的运算。访问规则是访问权概念的推广。规则可以说明内容无关条件(即能否访问的条件与被访问的客体的内容无关)或内容相关条件。其他还有时间相关、上下文相关、历史相关等。2023/5/2537访问矩阵模型访问矩阵模型数据库系统的访问矩阵模型 数据库的访问规则通常用四元组(s,o,r,p)形式给出,其中p是谓词表达的相关条件。例如:工资管理员只能读月工资不大于200元的雇员的属性表示为:(s,o,r,p)=(工资管理员,EMPLOEE,READ,SALARY200)2023/5/2

11、538安全核与引用监控器安全核与引用监控器2023/5/2539引用监视器(引用监视器(Reference Monitor)最简单的访问控制模型是引用监视器,好比用户与目标之间带护卫的大门。引用监视器的概念是与安全核技术联系在一起的。安全核是Roger Schell在1972年首次提出的,并把它定义为引用监视器的软件与硬件。在后来的发展中把引用监视器作为是用安全核技术的保护系统的模型,它是负责实施系统安全策略的硬件与软件的复合体。2023/5/2540引用监控器与安全核的关系引用监控器与安全核的关系引用监控器只是一个学术概念,并不涉及实现它的具体方法。安全核则是一种实现引用监控器的技术。虽然还

12、有其它系统构造方法也能够满足引用监控器的要求,但是没有一种方法像安全核那样普遍。因此,常常把引用监控器的概念与安全核等同看待,特别是在讨论原理性问题时,这两个术语常常可以互换使用。2023/5/2541安全核技术的理论基础安全核技术的理论基础在一个大的操作系统内,只有相对比较小的一部分软件负责实施系统安全。通过对操作系统的重构,将与安全有关的软件隔离在操作系统的一个可信核内,而操作系统的大部分软件无需负责系统安全。安全核部分包括硬件与一个镶嵌的硬件与操作系统之间的软件层,这些软硬件是可信的,并且位于安全防线之内;与此对应的,操作系统位于安全防线之外,与应用程序结合在一起,是不可信的。2023/

13、5/2542在绝大多数情况下,安全核就是一个初级的操作系统。安全核为操作系统提供服务,正如操作系统为应用程序提供服务一样。同时,正如操作系统对应用程序设置一些必要的限制一样,安全核对操作系统也要提出一些限制,虽然操作系统在实施由安全核实现的安全策略方面不起任何作用,但操作系统要保证系统的运行并且要防止由于程序错误或恶性程序引起的拒绝服务,在应用程序或操作系统中的任何错误都不能违反安全策略。2023/5/2543在构造高度安全的操作系统时,安全核技术是目前唯一最常用的技术。但这并不是说可以很容易地买到一个或者可以十分容易地构造一个安全核,也不是说基于安全核的系统就是最安全的。2023/5/254

14、4引用监控器模型引用监控器是负责实施系统安全策略的硬件与软件的组合体,可看作是使用安全核技术的保护系统的模型。引用监控器的关键作用是要对主体到到客体的每一次访问都要实施控制,并对每一次访问活动进行审计记录,当用户需要访问目标的时候,首先向监控器提出访问请求,监控器根据用户请求核查访问者的权限,以便确定是否允许这次访问。2023/5/2545引用监控器用来处理资源的访问控制这一特定的安全要求。这里安全策略的具体体现是访问判定,而访问判定则以访问控制数据库中的抽象信息为依据。在访问控制数据库中,抽象信息包括系统的安全状态以及安全属性与访问权限等信息,体现了系统的安全控制条件。访问控制数据库,它随着

15、主、客体的增加与删除以及访问权限与安全属性的改变而改变。2023/5/2546对访问控制数据库的任何修改都要按一定的安全策略受引用监控器的控制。所有主体对客体的访问都要利用存于访问控制数据库中的访问控制信息,并根据引用监控器中的安全策略由引用监控器进行监督和限制。系统中发生的重要安全事件都存于审计文件中,以便跟踪、分析和审计。2023/5/2547在计算机出现的初期,曾使用监控器来识别系统中的程序,它控制着其它程序的运行。随着系统功能的不断提高,监控器变得越来越大,又开始把它称作操作系统。而监控器这个术语只用来表示初级的操作系统。引用监控器是一种特殊的监控器,它仅负责控制对系统资源的访问。通常

16、,与安全有关的其它系统功能也位于安全防线内,但它们并不是引用监控器的组成部分,一般把它们称作可信系统功能。在系统安全防线外的所有系统功能都由操作系统来管理。2023/5/2548引用监控器及安全核的使用原则引用监控器及安全核的使用原则引用监控器及其对应的安全核必须满足以下三个原则:完备性原则完备性原则隔离性原则隔离性原则可验证性原则可验证性原则2023/5/2549完备性原则完备性原则主体在没有对安全内核的引用监控器请求并获准时,不能访问客体。也就是讲,所有的信息访问都必须经过安全内核。完备性原则要求支持安全内核结构的系统硬件必须保证任何程序都要经过安全核的控制进行访问。由于内核必须使各个进程

17、独立,并保证未通过内核检查的各进程不能相互联系,因此,若一台机器的硬件允许所有进程不加约束就能访问物理内存的公共页面,这种机器就不适合于建立安全内核。2023/5/2550隔离性原则隔离性原则它本身不能校篡改。隔离性要求内核有防篡改能力。实现时必须将映射引用监控器的安全核与外部系统严密地隔离起来,以防止进程对安全核进行非法修改。实现隔离性原则也需要硬件与软件的支持。硬件的作用是使内核能防止用户程序访问内核代码和数据,这与完整性原则中内核防止进程之间非法通信是属于同一种内存管理机制。此外,还必须防止用户程序执行内核用于内存管理的特权指令。当然,这些对内存访问的控制可以多层环域技术来实现,也可以把

18、内核代码装入系统的ROM中来提供更强的隔离性。2023/5/2551验证性原则验证性原则它本身的正确性能得到证明或验证。为了满足可验证性,引用监控器模型应该能够精确地定义安全的含义,尽可能地从中尽量剔除与安全无关的功能,使内核尽可能小,尽可能使内核接口功能简单明快。并且还要证明模型中的功能与安全的定义是一致的。为了使内核具有可验证性,应当支持安全内核可验证性的基本技术是建立安全内核的数学模型,然后对模型进行形式化的或者非形式化的一致性论证。模型的构造方法应该有利于使模型本身的安全性得到某种相应的证明。2023/5/2552实践中的问题实践中的问题刚提出引用监控器概念时,人们认为能够构造一个足够

19、小的安全核来穷尽测试验证,且认为模型与实现间的一致性可通过测试由模型所定义的系统的所有安全状态来证明,至少可以使足够多的状态满足测试要求,使得安全漏洞几乎不可能出现。但从实际中看,除非安全核具有简单功能,否则要想进行全面彻底的测试是不可能的。迄今为止,没有哪个大系统能完全满足上述所有三项原则。此外,单纯的测试还不足以证明安全核的安全性,还必须进行模型到代码之间的一致性验证。因此,引用监控器方法是尽可能遵循这三项原则,但任何人都不能担保一个基于安全内核的系统是完全绝对安全的。2023/5/2553引用监控器模型的缺点引用监控器模型的缺点引用监控器模型的优点是易于实现。但有以下不足:1.引用监控器

20、主要还是作为单级安全模型使用的,受监视的目标要么允许被访问,要么不允许被访问。受监控的目标只有简单的安全性,即二级安全性。监视器模型不适应更复杂的安全要求。2023/5/25542.系统中所有对受监控目标的访问要求都由监控器检查核实,监控程序将被频繁调用,这将使监控器可能成为整个系统的瓶颈,影响系统效率。如果允许监视器记录下某用户第一次访问时用户的权限信息,以便在该用户以后的访问中直接查询这些权限信息。虽然这样可以加快访问速度,但这种处理方法容易产生安全漏洞,不能满足高安全级别系统的要求。例如C2级系统就要求对每一个主体的每一次访问都必须进行身份核查。2023/5/25553.监控器只能控制直

21、接访问,不能控制间接访问。假设只有用户A有权接收机要文件并负责登记工作,把收到的文件标题与收到日期记录到计算机文件FILE中;用户B无权接收机要文件,也无权阅读FILE的内容,但有权浏览文件目录和文件的属性(如文件长度、修改日期等)。用户B可以根据FILE文件的修改日期和文件的长度变化判断用户A是否收到新的机要文件。监控器模型无法不让B间接获得这种信息。这是一种信息流控制问题,我们将在以后讨论。2023/5/2556也有不少系统采用安全核技术去实现多级安全功能,实现BLP模型的自主与强制安全策略。安全核技术一般提供两种典型的支持自主访问控制的功能:提供一种直接的核调用,它允许一个用户(或一个进

22、程)对某个客体设置访问权;对主体到客体的每一次访问都按所设置的访问权进行访问监控。根据自主访问控制的规则,允许一个合法的用户自主地将它拥有的客体访问权分配给其它用户。而安全核虽然可以对主体修改客体访问权的操作加以控制,但并不能控制对客体设置何种访问权,这就使特洛伊木马攻击有可乘之机了。虽然也可以采取一些措施加以防范,但终,因访问监控器模型本身的缺陷,无法从根本上解决问题。2023/5/2557状态转换状态转换保护系统的状态变化体现为访问模式的变化,系统状态的转换是依靠一套本原命令来实现的,这些命令是用一系列改变访问矩阵内容的本原操作来定义的。在访问矩阵模型中定义了6个本原操作,如下表所示:20

23、23/5/2558这些操作是以访问矩阵中一定主、客体和权利是否存在为条件的,并负责对系统保护状态监控器的控制。假定命令执行前,系统的保护状态是Q=(S,O,A);当某命令执行后,系统地保护状态变为Q=(S,O,A);每条命令执行的条件和执行后形成的新状态Q。2023/5/2559这里r表示权利,s和o表示1到k之间的整数。一个命令的条件可能为空。但假定每条命令至少完成一个操作。2023/5/25602023/5/25西安电子科技大学 计算机与网络安全教育部重点实验室61模型评价模型评价访问矩阵模型具有以下优点:简明 易懂、易理解、易证明。通用 有能力综合不同策略和应用于多种实现。精确 有能力忠

24、实地反映策略和系统形态。与数据式样无关。2023/5/2562模型评价模型评价基于访问矩阵的访问控制模型在拥有它无可比拟的优点的同时,也有其本身设计带来的缺点:如果不详细检查整个访问矩阵,很难保证系统的安全性;在大型系统中,访问矩阵非常庞大,但其中很多元素是空的,因此以矩阵的方法来实现访问矩阵是不太现实的;由于客体的拥有者能够授予或取消其它主体对该客体的访问权限,这就造成了很难预测访问权限是在系统中是如何传播的,给系统的管理造成了很大的困难。不能防范特洛伊木马。它无法实现多级安全策略。2023/5/2563模型的实现方法模型的实现方法1、访问控制列表、访问控制列表(Access Control

25、 Lists)较流行的实现访问矩阵的方法是访问控制列表,又称为ACLs.在这种实现方法中,每一个客体与一个ACL相对应:指明系统中的每一个主体获得对此客体的访问的相应授权,如读、写、执行等等。2023/5/25西安电子科技大学 计算机与网络安全教育部重点实验室642023/5/25西安电子科技大学 计算机与网络安全教育部重点实验室65文件File 1的访问控制列表(ACLs)2权能权能(Capabilities)列表列表相对于访问控制列表ACLs基于客体来实现访问矩阵来说,权能列表则是基于主体来实现访问矩阵的。在这种方法中,每一个主体与一称为“权能列表(CapabilitiesLists)”的

26、列表相联系,该列表指明系统中的某一个主体拥有对哪些客体的访问权限。这种方法相应于将访问矩阵以行的方式来存储。2023/5/25西安电子科技大学 计算机与网络安全教育部重点实验室662023/5/25西安电子科技大学 计算机与网络安全教育部重点实验室67主体Sunny的权能列表(CLs)Sunny常用操作系统中的访问控制(选讲)现在大多数通用操作系统(WindowsNT、Linux等)为C2级别,即控制访问保护级。WindowsNT(自主访问控制)Windows安全模型Security Account ManagerLocal Security Authority(LSA)Security Re

27、ference Monitor访问控制过程组成部件:安全标识:帐号的唯一对应。访问令牌:LSA为用户构造的,包括用户名、所在组名、安全标识等。主体:操作和令牌。对象、资源、共享资源安全描述符:为共享资源创建的一组安全属性所有者安全标识、组安全标识、自主访问控制表、系统访问控制表、访问控制项。登录过程服务器为工作站返回安全标识,服务器为本次登录生成访问令牌用户创建进程P时,用户的访问令牌复制为进程的访问令牌。P进程访问对象时,SRM将进程访问令牌与对象的自主访问控制表进行比较,决定是否有权访问对象。NTFS的访问控制从文件中得到安全描述符(包含自主访问控制表);与访问令牌(包含安全标识)一起由SRM进行访问检查Linux(自主访问控制)设备和目录同样看作文件。三种权限:R:readW:writeX:excute权限表示:字母表示:rwx,不具有相应权限用-占位8进制数表示:111,不具有相应权限相应位记0四类用户:root:超级用户,god所有者所属组其他用户文件属性:drwxr-x-x 2 lucy work 1024 Jun 25 22:53 text安全属性:drwxr-x-x 所有者,所属组:lucy.work安全属性后9个字母规定了对所有者、所属组、其他用户的权限(各3位)。lucy.work.rwx*.work.x*.*.xtext2023/5/2577Thanks

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 生活常识

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁