《信息安全导论》课件1第6章.ppt
《《信息安全导论》课件1第6章.ppt》由会员分享,可在线阅读,更多相关《《信息安全导论》课件1第6章.ppt(74页珍藏版)》请在文字多文库上搜索。
1、第6章 访问控制,6.1 访问控制的有关概念6.2 访问控制策略6.3 访问控制机制6.4 操作系统的访问控制机制与安全操作系统思考题实验6 操作系统安全,6.1 访问控制的有关概念,访问控制是针对越权使用资源的防御性措施之一。其基本目标是防止对任何资源(如计算资源、通信资源或信息资源)进行未授权的访问,从而使资源使用始终处于控制范围内。最常见的是,通过对主机操作系统的设置或对路由器的设置来实现相应的主机访问控制或网络访问控制。例如,控制内网用户在上班时间使用QQ、MSN等。,访问控制对实现信息机密性、完整性起直接的作用,还可以通过对以下信息的有效控制来实现信息和信息系统可用性:(1)谁可以颁
2、发影响网络可用性的网络管理指令;(2)谁能够滥用资源以达到占用资源的目的;(3)谁能够获得可以用于拒绝服务攻击的信息。,访问控制包括三个要素:主体(Subject)、客体(Object)和控制策略。其中主体即是访问资源的用户或代表用户执行的程序,客体即是规定需要保护的资源,控制策略是对访问如何控制、如何作出访问决定的高层指南。访问控制策略体现了一种授权行为,也就是客体对主体的权限允许。访问控制策略往往表现为一系列的访问规则,这些规则定义了主体对客体的作用行为和客体对主体的条件约束。,访问控制机制是访问控制策略的软硬件低层实现。,6.2 访问控制策略,如何决定主体对客体的访问权限?一个主体对一个
3、客体的访问权限能否转让给其他主体呢?这些问题在访问控制策略中必须得到明确的回答。,6.2.1 访问控制策略制定的原则访问控制策略的制定一般要满足如下两项基本原则。(1)最小权限原则:分配给系统中的每一个程序和每一个用户的权限应该是它们完成工作所必须享有的权限的最小集合。换句话说,如果主体不需要访问特定客体,则主体就不应该拥有访问这个客体的权限。(2)最小泄露原则:主体执行任务时所需知道的信息应该最小化。,6.2.2 访问权限的确定过程主体对客体的访问权限的确定过程是:首先对用户和资源进行分类,然后对需要保护的资源定义一个访问控制包,最后根据访问控制包来制订访问控制规则集。,1.用户分类通常把用
4、户分为特殊用户、一般用户、作审计用户和作废用户。(1)特殊用户:系统管理员具有最高级别的特权,可以访问任何资源,并具有任何类型的访问操作能力。(2)一般的用户:最大的一类用户,他们的访问操作受到一定限制,由系统管理员分配。(3)作审计的用户:负责整个安全系统范围内的安全控制与资源使用情况的审计。(4)作废的用户:被系统拒绝的用户。,2.资源的分类系统内需要保护的资源包括磁盘与磁带卷标、数据库中的数据、应用资源、远程终端、信息管理系统的事务处理及其应用等。,3.对需要保护的资源定义一个访问控制包内容包括资源名及拥有者的标识符、缺省访问权、用户和用户组的特权明细表、允许资源的拥有者对其添加新的可用
5、数据的操作、审计数据等。,4.访问控制规则集访问控制规则集是根据第三步的访问控制包得到的,它规定了若干条件和在这些条件下可准许访问的一个资源。规则使得用户与资源配对,并指定该用户可在该文件上执行哪些操作,如只读、不许执行或不许访问。,“主体对客体的访问权限能否转让给其他主体”这一问题则比较复杂,不能简单地用“能”和“不能”来回答。大家试想一下,如果回答“不能”,表面上看很安全,但按照这一控制策略做出系统后,我们就不可能实现任何信息的共享了。,6.2.3 自主访问控制一种策略是对某个客体具有所有权的主体能够自主地将对该客体的一种访问权或多种访问权授予其他主体,并可在随后的任何时刻将这些权限收回。
6、这一策略称为自主访问控制。这种策略因灵活性高,在实际系统中被大量采用。Linux、UNIX和Windows等系统都提供了自主访问控制功能。,在实现自主访问控制策略的系统中,信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使本身不具备对O访问权限的B可访问O。因此,这种模型提供的安全防护不能给系统提供充分的数据保护。,6.2.4 强制访问控制另一种策略是根据主体被信任的程度和客体所含信息的机密性和敏感程度来决定主体对客体的访问权。用户和客体都被赋予一定的安全级别,用户不能改变自身和客体的安全级别,只有管理员才能确定用户的安全级别且当主体和客体的安全级别满
7、足一定的规则时,才允许访问。这一策略称为强制访问控制。,在强制访问控制模型中,一个主体对某客体的访问权只能有条件地转让给其他主体,而这些条件是非常严格的。例如,Bell-LaPadula模型规定,安全级别高的用户和进程不能向比他们安全级别低的用户和进程写入数据。Bell-LaPadula模型的访问控制原则可简单地表示为“无上读、无下写”,该模型是第一个将安全策略形式化的数学模型,是一个状态机模型,即用状态转换规则来描述系统的变化过程。Lattice模型和Biba模型也属于强制访问控制模型。强制访问控制一般通过安全标签来实现单向信息流通。,6.2.5 基于角色的访问控制将访问权限分配给一定的角色
8、,用户根据自己的角色获得相应的访问许可权,这便是基于角色的访问控制策略。角色是指一个可以完成一定职能的命名组。角色与组是有区别的,组是一组用户的集合,而角色是一组用户集合外加一组操作权限集合。,在基于角色的访问控制模型中,只有系统管理员才能定义和分配角色,用户不能自主地将对客体的访问权转让给别的用户。,比较而言,自主访问控制配置的力度小、配置的工作量大、效率低,强制访问控制配置的力度大、缺乏灵活性,而基于角色的访问控制策略是与现代的商业环境相结合的产物,具有灵活、方便和安全的特点,是实施面向企业安全策略的一种有效的访问控制方式,目前常用于大型数据库系统的权限管理。,例6-1 一个基于角色的访问
9、控制实例。在银行环境中,用户角色可以定义为出纳员、分行管理者、顾客、系统管理者和审计员,相应的访问控制策略可如下规定:(1)允许一个出纳员修改顾客的帐号记录(包括存款和取款、转账等),并允许查询所有账号的注册项。,(2)允许一个分行管理者修改顾客的账号记录(包括存款和取款,但不包括规定的资金数目的范围)并允许查询所有账号的注册项,也允许创建和终止账号。(3)允许一个顾客只询问他自己的账号的注册项。(4)允许系统的管理者询问系统的注册项和开关系统,但不允许读或修改用户的账号信息。,(5)允许一个审计员读系统中的任何数据,但不允许修改任何事情。该策略陈述易于被非技术的组织策略者理解,同时也易于映射
10、到访问控制矩阵或基于组的策略陈述。另外,该策略还同时具有基于身份策略的特征和基于规则策略的特征。,基于角色的访问控制具有如下优势:(1)便于授权管理。例如,系统管理员需要修改系统设置等内容时,必须有几个不同角色的用户到场方能操作,从而保证了安全性。(2)便于根据工作需要分级。例如,企业财务部门与非财务部门的员工对企业财务的访问权就可由财务人员这个角色来区分。,(3)便于赋予最小特权。例如,即使用户被赋予高级身份时也未必一定要使用,以便减少损失,只有必要时方能拥有特权。(4)便于任务分担,不同的角色完成不同的任务。在基于角色的访问控制中,一个个人用户可能是不只一个组或角色的成员,有时又可能有所限
11、制。(5)便于文件分级管理。文件本身也可分为不同的角色,如信件、账单等,由不同角色的用户拥有。,6.3 访问控制机制,访问控制策略的软、硬件低层实现称为访问机制。通过矩阵的形式来表示访问控制策略是一个常用方法。访问控制矩阵中每一行代表一个用户(主体),每一列代表一个系统资源(客体),矩阵中的每项内容则表示用户对资源访问的权限(控制策略),特权用户或特权用户组可以修改主体的访问控制权限。,例6-2 访问控制矩阵,主体集合是Bob、Alice和John,客体集合是文件1、文件2、文件3和文件4,见表6-1。,表6-1 访问控制矩阵,访问控制矩阵的理念易于理解,但其软、硬件实现有一定的难度。如果系统
12、中用户和资源都非常多,而每个用户可能访问的资源有限,将会出现在庞大的访问控制矩阵中存在很多空值的情况,从而造成存储矩阵空间的浪费。此外,访问控制矩阵存放在何处也是一个问题。简单的解决方式是将访问控制矩阵按行或按列来实现。其中按行的实现方法称为访问控制能力表,按列进行划分的实现方法称为访问控制列表。,上述例6-2中访问控制矩阵对应的能力表:cap(Bob)=(文件1,拥有),(文件2,读,写),(文件4,执行)cap(Alice)=(文件1,写),(文件2,拥有),(文件3,拥有),(文件4,执行)cap(John)=(文件1,读,写),(文件3,写),(文件4,拥有)对应的访问控制列表:,ac
13、l(文件1)=(Bob,拥有),(Alice,写),(John,读,写)acl(文件2)=(Bob,读,写),(Alice,拥有)acl(文件3)=(Alice,拥有),(John,写)acl(文件4)=(Bob,执行),(Alice,执行),(John,拥有)上例表明,一个访问控制能力表对应访问控制矩阵的一行,该表表示了对应的主体的访问能力;一个访问控制列表对应访问控制矩阵的一列,该表表示了对应的客体的各个主体的访问权限。,在系统具体设计实现上,能力表对应一张标签,标签上有客体的标识和可以访问的方式。访问时,每个主体携带一张标签,访问监视器把主体所持标签中的客体标识与自己手中的客体标识进行对
14、比,以确定是否允许访问。在整个系统中,一个主体可能持有多张标签。访问控制列表的实现对应一张名单表,访问监视器持有一份所有授权主体的名单及相应的访问方式,在访问活动中,主体出示自己的身份标识,监视器从名单中进行查找,检查主体是否记录在名单上,以确定是否允许访问。,目前,大多数PC、服务器和主机都使用访问控制列表作为文件访问控制的实现机制。Windows系统中共享对象的访问权限是由对象所有者决定的。如果用户想共享某个对象,他首先要为对象选择惟一的名字,然后为其他的用户和组分配访问权限。Windows NT允许用户或组对文件或目录进行以下6种操作:读、写、执行、删除、改变许可和获取拥有权限。当用户访
15、问文件时,Windows 首先检查文件的ACL,如果该用户没有出现在ACL中,并且不是ACL中所列出组中的任一成员,则访问被拒绝。,UNIX系统中文件的访问控制列表用r(读)w(写)x(执行)和-(无访问权限)构成的9位许可字段表示,其中,前3位字段表示所有者的访问权限,中间3位字段表示组的访问权限,后3位字段表示其他用户的访问权限。例如,rw-r表示所有者有读、写的权限,组成员有读的权限,其他用户没有访问权限。对于访问控制列表来说,如果用户名和合适的权限出现在对象ACL中,则允许访问。每次用户请求访问,它们都会由操作系统进行身份识别。访问控制列表可以提供更好的保护,因为它总是在允许用户访问之
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息安全导论 信息 安全 导论 课件