BIT5信息系統(tǒng)安全機(jī)制-訪問(wèn)控制

1、訪問(wèn)控制技術(shù)孫建偉計(jì)算機(jī)網(wǎng)絡(luò)攻防對(duì)抗技術(shù)實(shí)驗(yàn)室北京理工大學(xué)內(nèi)容概要n訪問(wèn)控制原理n自主訪問(wèn)控制n強(qiáng)制訪問(wèn)控制n基于角色的訪問(wèn)控制n常用操作系統(tǒng)中的訪問(wèn)控制概念n通常應(yīng)用在信息系統(tǒng)的安全設(shè)計(jì)上。n定義：在保障授權(quán)用戶(hù)能獲取所需資源的同時(shí)拒絕非授權(quán)用戶(hù)的安全機(jī)制。n目的：為了限制訪問(wèn)主體對(duì)訪問(wèn)客體的訪問(wèn)權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用；它決定用戶(hù)能做什么，也決定代表一定用戶(hù)身份的進(jìn)程能做什么。n未授權(quán)的訪問(wèn)包括：未經(jīng)授權(quán)的使用、泄露、修改、銷(xiāo)毀信息以及頒發(fā)指令等。n非法用戶(hù)進(jìn)入系統(tǒng)。n合法用戶(hù)對(duì)系統(tǒng)資源的非法使用。n客體（Object）：規(guī)定需要保護(hù)的資源，又稱(chēng)作目標(biāo)（target)。n主體

2、（Subject）：或稱(chēng)為發(fā)起者(Initiator)，是一個(gè)主動(dòng)的實(shí)體，規(guī)定可以訪問(wèn)該資源的實(shí)體，（通常指用戶(hù)或代表用戶(hù)執(zhí)行的程序）。n授權(quán)（Authorization)：規(guī)定可對(duì)該資源執(zhí)行的動(dòng)作（例如讀、寫(xiě)、執(zhí)行或拒絕訪問(wèn)）。訪問(wèn)控制模型基本組成發(fā)起者發(fā)起者Initiator訪問(wèn)控制實(shí)施功能訪問(wèn)控制實(shí)施功能AEF訪問(wèn)控制決策功能訪問(wèn)控制決策功能ADF目標(biāo)目標(biāo)Target提交訪問(wèn)請(qǐng)求提交訪問(wèn)請(qǐng)求SubmiSubmit tA Access Requestccess Request提出訪問(wèn)請(qǐng)求提出訪問(wèn)請(qǐng)求PresentAccess Request請(qǐng)求決策請(qǐng)求決策Decision Request決

3、策決策Decision任務(wù)n識(shí)別和確認(rèn)訪問(wèn)系統(tǒng)的用戶(hù)。n認(rèn)證n鑒權(quán)n決定該用戶(hù)可以對(duì)某一系統(tǒng)資源進(jìn)行何種類(lèi)型的訪問(wèn)。n授權(quán)n審計(jì)訪問(wèn)控制與其他安全服務(wù)的關(guān)系模型 引用監(jiān)引用監(jiān) 控器控器身份認(rèn)證身份認(rèn)證訪問(wèn)控制訪問(wèn)控制授權(quán)數(shù)據(jù)庫(kù)授權(quán)數(shù)據(jù)庫(kù)用戶(hù)用戶(hù)目目標(biāo)標(biāo)目目標(biāo)標(biāo)目目標(biāo)標(biāo)目目標(biāo)標(biāo)目目標(biāo)標(biāo)審審 計(jì)計(jì)安全管理員安全管理員訪問(wèn)控訪問(wèn)控制決策制決策單元單元訪問(wèn)控制的一般實(shí)現(xiàn)機(jī)制和方法訪問(wèn)控制的一般實(shí)現(xiàn)機(jī)制和方法一般實(shí)現(xiàn)機(jī)制一般實(shí)現(xiàn)機(jī)制 基于訪問(wèn)控制屬性 訪問(wèn)控制表/矩陣 基于用戶(hù)和資源分檔（“安全標(biāo)簽”） 多級(jí)訪問(wèn)控制常見(jiàn)實(shí)現(xiàn)方法常見(jiàn)實(shí)現(xiàn)方法 訪問(wèn)控制表（ACL) 訪問(wèn)能力表（Capabilities)

4、授權(quán)關(guān)系表訪問(wèn)矩陣n定義客體(O)主體(S)權(quán)限(A)讀讀(R)寫(xiě)寫(xiě)(W)擁有擁有(Own)執(zhí)行執(zhí)行(E)更改更改(C) n舉例MEM1MEM2File1 File2 File3 File4User1r,w,eo,r,eUser2r,w,eo,r,e問(wèn)題：稀疏矩陣，浪費(fèi)空間。訪問(wèn)控制類(lèi)型自主訪問(wèn)控制強(qiáng)制訪問(wèn)控制基于角色訪問(wèn)控制訪問(wèn)控制自主訪問(wèn)控制Discretionary Access Control概念n基于對(duì)主體或主體所屬的主體組的識(shí)別來(lái)限制對(duì)客體的訪問(wèn)，這種控制是自主的。n自主指主體能夠自主地將訪問(wèn)權(quán)或訪問(wèn)權(quán)的某個(gè)子集授予其他主體。如用戶(hù)A可將其對(duì)目標(biāo)O的訪問(wèn)權(quán)限傳遞給用戶(hù)B,從而使不具

5、備對(duì)O訪問(wèn)權(quán)限的B可訪問(wèn)O。n缺點(diǎn)： 信息在移動(dòng)過(guò)程中其訪問(wèn)權(quán)限關(guān)系會(huì)被改變：安全問(wèn)題訪問(wèn)控制表（Access Control List）n基于訪問(wèn)控制矩陣列的自主訪問(wèn)控制。n每個(gè)客體都有一張ACL，用于說(shuō)明可以訪問(wèn)該客體的主體及其訪問(wèn)權(quán)限。n舉例：File1File2File3File4客體目錄User1 o,r,wUser2 rUser3 r,wACL表User1 eUser2 o,eUser3 rUser4 eUser2 rUser3 ro:Ownerr:Readw:Writee:Excutenoj表示客體j，si.rw表示主體si具有rw屬性。s0.rs1.es2.rwojn問(wèn)題：主體

6、、客體數(shù)量大，影響訪問(wèn)效率。n解決：引入用戶(hù)組，用戶(hù)可以屬于多個(gè)組。主體標(biāo)識(shí)=主體.組名如Liu.INFO表示INFO組的liu用戶(hù)。*.INFO表示所有組中的用戶(hù)。*.*表示所有用戶(hù)。liu.INFO.rw表示對(duì)INFO組的用戶(hù)liu具有rw權(quán)限。*.INFO.rw表示對(duì)INFO組的所有用戶(hù)具有rw權(quán)限。*.*.rw表示對(duì)所有用戶(hù)具有rw權(quán)限。Liu.INFO.r*.INFO.e *.*.rwoj訪問(wèn)能力表（Access Capabilities List）n基于訪問(wèn)控制矩陣行的自主訪問(wèn)控制。n為每個(gè)主體（用戶(hù)）建立一張?jiān)L問(wèn)能力表，用于表示主體是否可以訪問(wèn)客體，以及用什么方式訪問(wèn)客體。Fil

7、e1o,r,wFile2rFile3r,w文件名File2o,eFile3r客體(文件)File1File2File3o:Ownerr:Readw:Writee:Excuten舉例：權(quán)限用戶(hù)A的目錄用戶(hù)B的目錄訪問(wèn)能力表強(qiáng)制訪問(wèn)控制Mandatory Access Control概念n為所有主體和客體指定安全級(jí)別，比如絕密級(jí)、機(jī)密級(jí)、秘密級(jí)、無(wú)秘級(jí)。n不同級(jí)別的主體對(duì)不同級(jí)別的客體的訪問(wèn)是在強(qiáng)制的安全策略下實(shí)現(xiàn)的。n只有安全管理員才能修改客體訪問(wèn)權(quán)和轉(zhuǎn)移控制權(quán)。（對(duì)客體擁有者也不例外）MAC模型絕密級(jí)機(jī)密級(jí)秘密級(jí)無(wú)秘級(jí)寫(xiě)寫(xiě)讀讀完整性保密性n安全策略n保障信息完整性策略n級(jí)別低的主體可以讀高級(jí)別

8、客體的信息（不保密），級(jí)別低的主體不能寫(xiě)高級(jí)別的客體（保障信息完整性）n保障信息機(jī)密性策略n級(jí)別低的主體可以寫(xiě)高級(jí)別客體的信息（不保障信息完整性），級(jí)別低的主體不可以讀高級(jí)別的客體（保密）n舉例：nSecurity-Enhanced Linux (SELinux) for Red Hat Enterprise LinuxnAppArmor for SUSE Linux and UbuntunTrustedBSD for FreeBSD基于角色的訪問(wèn)控制Role Based Access Control概念n起源于UNIX系統(tǒng)或別的操作系統(tǒng)中組的概念（基于組的自主訪問(wèn)控制的變體）n每個(gè)角色與一組

9、用戶(hù)和有關(guān)的動(dòng)作相互關(guān)聯(lián)，角色中所屬的用戶(hù)可以有權(quán)執(zhí)行這些操作n角色與組的區(qū)別n組：一組用戶(hù)的集合n角色：一組用戶(hù)的集合 + 一組操作權(quán)限的集合RBAC模型用用 戶(hù)戶(hù)角角 色色權(quán)權(quán) 限限訪問(wèn)控制訪問(wèn)控制資資 源源1、認(rèn)證、認(rèn)證2、分派、分派3、請(qǐng)求、請(qǐng)求4、分派、分派5、訪問(wèn)、訪問(wèn)角色控制優(yōu)勢(shì)角色控制優(yōu)勢(shì)便于授權(quán)管理便于授權(quán)管理 授權(quán)操作：授權(quán)操作：n n* *m m 變成變成 n n* *r+rr+r* *m=rm=r* *(n+m)(n+m)便于角色劃分便于角色劃分便于賦予最小特權(quán)便于賦予最小特權(quán)便于職責(zé)分擔(dān)便于職責(zé)分擔(dān)便于目標(biāo)分級(jí)便于目標(biāo)分級(jí)一個(gè)基于角色的訪問(wèn)控制的實(shí)例n在銀行環(huán)境中，用

10、戶(hù)角色可以定義為出納員、出納員、分行管理者、顧客、系統(tǒng)管理者和審計(jì)員分行管理者、顧客、系統(tǒng)管理者和審計(jì)員n訪問(wèn)控制策略的一個(gè)例子如下：（1）允許一個(gè)出納員修改顧客的帳號(hào)記錄（包括存款和取款、轉(zhuǎn)帳等），并允許查詢(xún)所有帳號(hào)的注冊(cè)項(xiàng)（2）允許一個(gè)分行管理者修改顧客的帳號(hào)記錄（包括存款和取款，但不包括規(guī)定的資金數(shù)目的范圍）并允許查詢(xún)所有帳號(hào)的注冊(cè)項(xiàng)，也允許創(chuàng)建和終止帳號(hào)（3）允許一個(gè)顧客只詢(xún)問(wèn)他自己的帳號(hào)的注冊(cè)項(xiàng)（4）允許系統(tǒng)的管理者詢(xún)問(wèn)系統(tǒng)的注冊(cè)項(xiàng)和開(kāi)關(guān)系統(tǒng)，但不允許讀或修改用戶(hù)的帳號(hào)信息（5）允許一個(gè)審計(jì)員讀系統(tǒng)中的任何數(shù)據(jù)，但不允許修改任何事情n系統(tǒng)需要添加出納員、分行管理者、顧客、系統(tǒng)管理者和

11、審計(jì)員角色所對(duì)應(yīng)的用戶(hù)，按照角色的權(quán)限對(duì)用于進(jìn)行訪問(wèn)控制。常用操作系統(tǒng)中的訪問(wèn)控制國(guó)際安全標(biāo)準(zhǔn)n1984年，美國(guó)國(guó)防部發(fā)布了可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)（TCSEC），即桔皮書(shū)。nTCSEC采用等級(jí)評(píng)估的方法，將計(jì)算機(jī)安全分為A、B、C、D四個(gè)等級(jí)八個(gè)級(jí)別，D等安全級(jí)別最低，A安全級(jí)別最高。n現(xiàn)在大多數(shù)通用操作系統(tǒng)（WindowsNT、Linux等）為C2級(jí)別，即控制訪問(wèn)保護(hù)級(jí)。WindowsNT (自主訪問(wèn)控制)nWindows安全模型Security Account ManagerLocal Security Authority (LSA) Security Reference Monitor訪

12、問(wèn)控制過(guò)程n組成部件：n安全標(biāo)識(shí)：帳號(hào)的唯一對(duì)應(yīng)。n訪問(wèn)令牌：LSA為用戶(hù)構(gòu)造的，包括用戶(hù)名、所在組名、安全標(biāo)識(shí)等。n主體：操作和令牌。n對(duì)象、資源、共享資源n安全描述符：為共享資源創(chuàng)建的一組安全屬性n所有者安全標(biāo)識(shí)、組安全標(biāo)識(shí)、自主訪問(wèn)控制表、系統(tǒng)訪問(wèn)控制表、訪問(wèn)控制項(xiàng)。n登錄過(guò)程n服務(wù)器為工作站返回安全標(biāo)識(shí)，服務(wù)器為本次登錄生成訪問(wèn)令牌n用戶(hù)創(chuàng)建進(jìn)程P時(shí)，用戶(hù)的訪問(wèn)令牌復(fù)制為進(jìn)程的訪問(wèn)令牌。nP進(jìn)程訪問(wèn)對(duì)象時(shí)，SRM將進(jìn)程訪問(wèn)令牌與對(duì)象的自主訪問(wèn)控制表進(jìn)行比較，決定是否有權(quán)訪問(wèn)對(duì)象。nNTFS的訪問(wèn)控制n從文件中得到安全描述符（包含自主訪問(wèn)控制表）；n與訪問(wèn)令牌（包含安全標(biāo)識(shí)）一起由SRM進(jìn)行訪問(wèn)檢查L(zhǎng)inux (自主訪問(wèn)控制)n設(shè)備和目錄同樣看作文件。n三種權(quán)限：nR:readnW:writenX:excuten權(quán)限表示：n字母表示：rwx，不具有相應(yīng)權(quán)限用-占位n8進(jìn)制數(shù)表示：111，不具有相應(yīng)權(quán)限相應(yīng)位記0n四類(lèi)用戶(hù)：nroot：超級(jí)用戶(hù)n所有者n所屬組n其他用戶(hù)n文件屬性：drwxr-x-x 2 lucy work 1024 Jun 25 22:53 textn安全屬性： drwxr-x-x n所有者，所屬組：lucy.workn安全屬性后9個(gè)字母規(guī)定了對(duì)所有者、所屬組、其他用戶(hù)的權(quán)限