BIT5信息系統(tǒng)安全機(jī)制-訪問(wèn)控制

1、訪問(wèn)控制技術(shù)孫建偉計(jì)算機(jī)網(wǎng)絡(luò)攻防對(duì)抗技術(shù)實(shí)驗(yàn)室北京理工大學(xué)內(nèi)容概要要訪問(wèn)控制制原理自主訪問(wèn)問(wèn)控制強(qiáng)制訪問(wèn)問(wèn)控制基于角色色的訪問(wèn)問(wèn)控制常用操作作系統(tǒng)中中的訪問(wèn)問(wèn)控制概念通常應(yīng)用用在信息息系統(tǒng)的的安全設(shè)設(shè)計(jì)上。定義：在在保障授授權(quán)用戶(hù)戶(hù)能獲取取所需資資源的同同時(shí)拒絕絕非授權(quán)權(quán)用戶(hù)的的安全機(jī)機(jī)制。目的：為為了限制制訪問(wèn)主主體對(duì)訪訪問(wèn)客體體的訪問(wèn)問(wèn)權(quán)限，從而使使計(jì)算機(jī)機(jī)系統(tǒng)在在合法范范圍內(nèi)使使用；它它決定用用戶(hù)能做做什么，也決定定代表一一定用戶(hù)戶(hù)身份的的進(jìn)程能能做什么么。未授權(quán)的的訪問(wèn)包包括：未未經(jīng)授權(quán)權(quán)的使用用、泄露露、修改改、銷(xiāo)毀毀信息以以及頒發(fā)發(fā)指令等等。非法用戶(hù)戶(hù)進(jìn)入系系統(tǒng)。合法用戶(hù)戶(hù)對(duì)系統(tǒng)統(tǒng)

2、資源的的非法使使用?？腕w（Object）：規(guī)定需需要保護(hù)護(hù)的資源源，又稱(chēng)稱(chēng)作目標(biāo)標(biāo)（target)。主體（Subject）：或稱(chēng)為為發(fā)起者者(Initiator)，是一個(gè)個(gè)主動(dòng)的的實(shí)體，規(guī)定可可以訪問(wèn)問(wèn)該資源源的實(shí)體體，（通通常指用用戶(hù)或代代表用戶(hù)戶(hù)執(zhí)行的的程序）。授權(quán)（Authorization)：規(guī)定可可對(duì)該資資源執(zhí)行行的動(dòng)作作（例如如讀、寫(xiě)寫(xiě)、執(zhí)行行或拒絕絕訪問(wèn)）。訪問(wèn)控制制模型基基本組成成任務(wù)識(shí)別和確確認(rèn)訪問(wèn)問(wèn)系統(tǒng)的的用戶(hù)。認(rèn)證鑒權(quán)決定該用用戶(hù)可以以對(duì)某一一系統(tǒng)資資源進(jìn)行行何種類(lèi)類(lèi)型的訪訪問(wèn)。授權(quán)審計(jì)訪問(wèn)控制制與其他他安全服服務(wù)的關(guān)關(guān)系模型型引用監(jiān)控器身份認(rèn)證證訪問(wèn)控制制授權(quán)數(shù)據(jù)據(jù)庫(kù)用

3、戶(hù)目標(biāo)目標(biāo)目標(biāo)目標(biāo)目標(biāo)審計(jì)計(jì)安全管理理員訪問(wèn)控制制決策單單元訪問(wèn)控制制的一般般實(shí)現(xiàn)機(jī)機(jī)制和方方法一般實(shí)現(xiàn)現(xiàn)機(jī)制基于訪問(wèn)問(wèn)控制屬屬性訪訪問(wèn)控制制表/矩矩陣基于用戶(hù)戶(hù)和資源源分檔（“安全全標(biāo)簽”）多多級(jí)訪問(wèn)問(wèn)控制常見(jiàn)實(shí)現(xiàn)現(xiàn)方法訪問(wèn)控制制表（ACL)訪問(wèn)能力力表（Capabilities)授權(quán)關(guān)系系表訪問(wèn)矩陣陣定義客體(O)主體(S)權(quán)限(A)讀(R)寫(xiě)(W)擁有(Own)執(zhí)行(E)更改(C)舉例問(wèn)題：稀稀疏矩陣陣，浪費(fèi)費(fèi)空間。訪問(wèn)控制制類(lèi)型自主訪問(wèn)控制制強(qiáng)制訪問(wèn)控制制基于角色色訪問(wèn)控制制訪問(wèn)控制制自主訪問(wèn)問(wèn)控制Discretionary AccessControl概念基于對(duì)主主體或主主體所屬屬的主

4、體體組的識(shí)識(shí)別來(lái)限限制對(duì)客客體的訪訪問(wèn)，這這種控制制是自主主的。自主指主主體能夠夠自主地地將訪問(wèn)問(wèn)權(quán)或訪訪問(wèn)權(quán)的的某個(gè)子子集授予予其他主主體。如用戶(hù)A可將其其對(duì)目標(biāo)標(biāo)O的訪訪問(wèn)權(quán)限限傳遞給給用戶(hù)B,從而而使不具具備對(duì)O訪問(wèn)權(quán)權(quán)限的B可訪問(wèn)問(wèn)O。缺點(diǎn)：信息在移移動(dòng)過(guò)程程中其訪訪問(wèn)權(quán)限限關(guān)系會(huì)會(huì)被改變變：安全全問(wèn)題訪問(wèn)控制制表（AccessControlList）基于訪問(wèn)問(wèn)控制矩矩陣列的自主訪訪問(wèn)控制制。每個(gè)客體都有一張張ACL，用于于說(shuō)明可可以訪問(wèn)問(wèn)該客體體的主體體及其訪訪問(wèn)權(quán)限限。舉例：客體目錄錄ACL表o:Ownerr:Readw:Writee:Excuteoj表示客體體j，si.rw表表示

5、主體體si具有rw屬性。oj問(wèn)題：主體、客客體數(shù)量量大，影影響訪問(wèn)問(wèn)效率。解決：引入用戶(hù)戶(hù)組，用用戶(hù)可以以屬于多多個(gè)組。主體標(biāo)識(shí)識(shí)=主體體.組名名如Liu.INFO表表示INFO組組的liu用戶(hù)戶(hù)。*.INFO表表示所有有組中的的用戶(hù)。*.*表表示所有有用戶(hù)。liu.INFO.rw表示示對(duì)INFO組組的用戶(hù)戶(hù)liu具有rw權(quán)限限。*.INFO.rw表表示對(duì)INFO組的所所有用戶(hù)戶(hù)具有rw權(quán)限限。*.*.rw表表示對(duì)所所有用戶(hù)戶(hù)具有rw權(quán)限限。oj訪問(wèn)能力力表（AccessCapabilities List）基于訪問(wèn)問(wèn)控制矩矩陣行的自主訪訪問(wèn)控制制。為每個(gè)主主體（用用戶(hù)）建建立一張張?jiān)L問(wèn)能能力表

6、，用于表表示主體體是否可可以訪問(wèn)問(wèn)客體，以及用用什么方方式訪問(wèn)問(wèn)客體。文件名客體(文件)File1File2File3o:Ownerr:Readw:Writee:Excute舉例：權(quán)限用戶(hù)A的目錄用戶(hù)B的目錄訪問(wèn)能力力表強(qiáng)制訪問(wèn)問(wèn)控制MandatoryAccess Control概念為所有主主體和客客體指定定安全級(jí)級(jí)別，比比如絕密密級(jí)、機(jī)機(jī)密級(jí)、秘密級(jí)級(jí)、無(wú)秘秘級(jí)。不同級(jí)別別的主體體對(duì)不同同級(jí)別的的客體的的訪問(wèn)是是在強(qiáng)制制的安全全策略下下實(shí)現(xiàn)的的。只有安全全管理員員才能修修改客體體訪問(wèn)權(quán)權(quán)和轉(zhuǎn)移移控制權(quán)權(quán)。（對(duì)對(duì)客體擁?yè)碛姓咭惨膊焕馔猓㎝AC模模型絕密級(jí)機(jī)密級(jí)秘密級(jí)無(wú)秘級(jí)寫(xiě)寫(xiě)讀讀完整性保密性

7、安全策略略保障信息息完整性性策略級(jí)別低的的主體可可以讀高高級(jí)別客客體的信信息（不不保密），級(jí)別別低的主主體不能能寫(xiě)高級(jí)級(jí)別的客客體（保保障信息息完整性性）保障信息息機(jī)密性性策略級(jí)別低的的主體可可以寫(xiě)高高級(jí)別客客體的信信息（不不保障信信息完整整性），級(jí)別低低的主體體不可以以讀高級(jí)級(jí)別的客客體（保保密）舉例：Security-EnhancedLinux(SELinux)for RedHatEnterpriseLinuxAppArmorforSUSELinuxandUbuntuTrustedBSD forFreeBSD基于角色色的訪問(wèn)問(wèn)控制Role Based AccessControl概念起源于U

8、NIX系統(tǒng)或別別的操作作系統(tǒng)中中組的概概念（基基于組的的自主訪訪問(wèn)控制制的變體體）每個(gè)角色色與一組組用戶(hù)和和有關(guān)的的動(dòng)作相相互關(guān)聯(lián)聯(lián)，角色色中所屬屬的用戶(hù)戶(hù)可以有有權(quán)執(zhí)行行這些操操作角色與組組的區(qū)別別組：一組組用戶(hù)的的集合角色：一一組用戶(hù)戶(hù)的集合合+ 一組組操作權(quán)權(quán)限的集集合RBAC模型用戶(hù)戶(hù)角色色權(quán)限限訪問(wèn)控制制資源源1、認(rèn)證2、分派3、請(qǐng)求4、分派5、訪問(wèn)角色控制制優(yōu)勢(shì)便于授權(quán)權(quán)管理授權(quán)操作作：n*m變成n*r+r*m=r*(n+m)便于角色色劃分便于賦予予最小特特權(quán)便于職責(zé)責(zé)分擔(dān)便于目標(biāo)標(biāo)分級(jí)一個(gè)基于于角色的的訪問(wèn)控控制的實(shí)實(shí)例在銀行環(huán)環(huán)境中，用戶(hù)角角色可以以定義為為出納員、分行管管理者

9、、顧客、系統(tǒng)管管理者和和審計(jì)員員訪問(wèn)控制制策略的的一個(gè)例例子如下下：（1）允允許一個(gè)個(gè)出納員員修改顧顧客的帳帳號(hào)記錄錄（包括括存款和和取款、轉(zhuǎn)帳等等），并并允許查查詢(xún)所有有帳號(hào)的的注冊(cè)項(xiàng)項(xiàng)（2）允允許一個(gè)個(gè)分行管管理者修修改顧客客的帳號(hào)號(hào)記錄（包括存存款和取取款，但但不包括括規(guī)定的的資金數(shù)數(shù)目的范范圍）并并允許查查詢(xún)所有有帳號(hào)的的注冊(cè)項(xiàng)項(xiàng)，也允允許創(chuàng)建建和終止止帳號(hào)（3）允允許一個(gè)個(gè)顧客只只詢(xún)問(wèn)他他自己的的帳號(hào)的的注冊(cè)項(xiàng)項(xiàng)（4）允允許系統(tǒng)統(tǒng)的管理理者詢(xún)問(wèn)問(wèn)系統(tǒng)的的注冊(cè)項(xiàng)項(xiàng)和開(kāi)關(guān)關(guān)系統(tǒng)，但不允允許讀或或修改用用戶(hù)的帳帳號(hào)信息息（5）允允許一個(gè)個(gè)審計(jì)員員讀系統(tǒng)統(tǒng)中的任任何數(shù)據(jù)據(jù)，但不不允許修修改任

10、何何事情系統(tǒng)需要要添加出出納員、分行管管理者、顧客、系統(tǒng)管管理者和和審計(jì)員員角色所所對(duì)應(yīng)的的用戶(hù)，按照角角色的權(quán)權(quán)限對(duì)用用于進(jìn)行行訪問(wèn)控控制。常用操作作系統(tǒng)中中的訪問(wèn)問(wèn)控制國(guó)際安全全標(biāo)準(zhǔn)1984年，美美國(guó)國(guó)防防部發(fā)布布了可可信計(jì)算算機(jī)系統(tǒng)統(tǒng)評(píng)估標(biāo)標(biāo)準(zhǔn)（TCSEC），即桔桔皮書(shū)。TCSEC采用用等級(jí)評(píng)評(píng)估的方方法，將將計(jì)算機(jī)機(jī)安全分分為A、B、C、D四四個(gè)等級(jí)級(jí)八個(gè)級(jí)級(jí)別，D等安全全級(jí)別最最低，A安全級(jí)級(jí)別最高高?，F(xiàn)在大多多數(shù)通用用操作系系統(tǒng)（WindowsNT、Linux等等）為C2級(jí)別別，即控控制訪問(wèn)問(wèn)保護(hù)級(jí)級(jí)。WindowsNT(自主主訪問(wèn)控控制)Windows安全模模型SecurityA

11、ccount ManagerLocalSecurityAuthority(LSA)SecurityReferenceMonitor訪問(wèn)控制制過(guò)程組成部件件：安全標(biāo)識(shí)識(shí)：帳號(hào)號(hào)的唯一一對(duì)應(yīng)。訪問(wèn)令牌牌：LSA為為用戶(hù)構(gòu)構(gòu)造的，包括用用戶(hù)名、所在組組名、安安全標(biāo)識(shí)識(shí)等。主體：操操作和令令牌。對(duì)象、資資源、共共享資源源安全描述述符：為為共享資資源創(chuàng)建建的一組組安全屬屬性所有者安安全標(biāo)識(shí)識(shí)、組安安全標(biāo)識(shí)識(shí)、自主訪問(wèn)問(wèn)控制表表、系統(tǒng)訪訪問(wèn)控制制表、訪訪問(wèn)控制制項(xiàng)。登錄過(guò)程程服務(wù)器為為工作站站返回安安全標(biāo)識(shí)識(shí)，服務(wù)務(wù)器為本本次登錄錄生成訪訪問(wèn)令牌牌用戶(hù)創(chuàng)建建進(jìn)程P時(shí)，用用戶(hù)的訪訪問(wèn)令牌牌復(fù)制為為進(jìn)程的的訪

12、問(wèn)令令牌。P進(jìn)程訪訪問(wèn)對(duì)象象時(shí)，SRM將將進(jìn)程訪訪問(wèn)令牌牌與對(duì)象象的自主主訪問(wèn)控控制表進(jìn)進(jìn)行比較較，決定定是否有有權(quán)訪問(wèn)問(wèn)對(duì)象。NTFS的訪問(wèn)控控制從文件中中得到安安全描述述符（包包含自主主訪問(wèn)控控制表）；與訪問(wèn)令令牌（包包含安全全標(biāo)識(shí)）一起由由SRM進(jìn)進(jìn)行訪問(wèn)問(wèn)檢查L(zhǎng)inux(自主訪訪問(wèn)控制制)設(shè)備和目目錄同樣樣看作文文件。三種權(quán)限限：R:readW:writeX:excute權(quán)限表示示：字母表示示：rwx，不具有有相應(yīng)權(quán)權(quán)限用-占位8進(jìn)制數(shù)數(shù)表示：111，不具具有相應(yīng)應(yīng)權(quán)限相相應(yīng)位記記0四類(lèi)用戶(hù)戶(hù)：root：超級(jí)級(jí)用戶(hù)所有者所屬組其他用戶(hù)戶(hù)文件屬性性：drwxr-x-x2lucy work1024 Jun2522:53text安全屬性性：drwxr-x-x所有者，所屬組組：lucy.work安全屬性性后9個(gè)個(gè)字母規(guī)規(guī)定了對(duì)對(duì)所有者者、所屬屬組、其其他用