BI信息系統(tǒng)安全機制之訪問控制技術(shù)教材

訪問控制技術(shù)孫建偉計算機網(wǎng)絡(luò)攻防對抗技術(shù)實驗室北京理工大學(xué)內(nèi)容概要訪問控制原理自主訪問控制強制訪問控制基于角色的訪問控制常用操作系統(tǒng)中的訪問控制概念通常應(yīng)用在信息系統(tǒng)的安全設(shè)計上。定義：在保障授權(quán)用戶能獲取所需資源的同時拒絕非授權(quán)用戶的安全機制。目的：為了限制訪問主體對訪問客體的訪問權(quán)限，從而使計算機系統(tǒng)在合法范圍內(nèi)使用；它決定用戶能做什么，也決定代表一定用戶身份的進程能做什么。未授權(quán)的訪問包括：未經(jīng)授權(quán)的使用、泄露、修改、銷毀信息以及頒發(fā)指令等。非法用戶進入系統(tǒng)。合法用戶對系統(tǒng)資源的非法使用?？腕w（Object）：規(guī)定需要保護的資源，又稱作目標（target)。主體（Subject）：或稱為發(fā)起者(Initiator)，是一個主動的實體，規(guī)定可以訪問該資源的實體，（通常指用戶或代表用戶執(zhí)行的程序）。授權(quán)（Authorization)：規(guī)定可對該資源執(zhí)行的動作（例如讀、寫、執(zhí)行或拒絕訪問）。訪問控制模型基本組成任務(wù)識別和確認訪問系統(tǒng)的用戶。認證鑒權(quán)決定該用戶可以對某一系統(tǒng)資源進行何種類型的訪問。授權(quán)審計訪問控制與其他安全服務(wù)的關(guān)系模型

引用監(jiān)控器身份認證訪問控制授權(quán)數(shù)據(jù)庫用戶目標目標目標目標目標審計安全管理員訪問控制決策單元訪問控制的一般實現(xiàn)機制和方法

一般實現(xiàn)機制——基于訪問控制屬性 ——〉訪問控制表/矩陣基于用戶和資源分檔（“安全標簽”） ——〉多級訪問控制常見實現(xiàn)方法——訪問控制表（ACL)

訪問能力表（Capabilities)

授權(quán)關(guān)系表訪問矩陣定義客體(O)主體(S)權(quán)限(A)讀(R)寫(W)擁有(Own)執(zhí)行(E)更改(C)

舉例問題：稀疏矩陣，浪費空間。訪問控制類類型自主訪問控制強制訪問控制基于角色訪問控制訪問控制自主訪問控控制DiscretionaryAccessControl概念基于對主體體或主體所所屬的主體體組的識別別來限制對對客體的訪訪問，這種種控制是自自主的。自主指主體體能夠自主主地將訪問問權(quán)或訪問問權(quán)的某個個子集授予予其他主體體。如用戶A可將其對對目標O的的訪問權(quán)限限傳遞給用用戶B,從從而使不具具備對O訪訪問權(quán)限的的B可訪問問O。缺點：信息在移動動過程中其其訪問權(quán)限限關(guān)系會被被改變：安安全問題訪問控制表表（AccessControlList）基于訪問控控制矩陣列的自主訪問問控制。每個客體都有一張ACL，用用于說明可可以訪問該該客體的主主體及其訪訪問權(quán)限。。舉例：客體目錄ACL表o:Ownerr:Readw:Writee:Excuteoj表示客體j，si.rw表示示主體si具有rw屬屬性。oj問題：主體、客客體數(shù)量量大，影影響訪問問效率。。解決：引入用戶戶組，用用戶可以以屬于多多個組。。主體標識識=主體體.組名名如Liu.INFO表表示INFO組組的liu用戶戶。*.INFO表表示所有有組中的的用戶。。*.*表表示所有有用戶。。liu.INFO.rw表示示對INFO組組的用戶戶liu具有rw權(quán)限限。*.INFO.rw表表示對INFO組的所所有用戶戶具有rw權(quán)限限。*.*.rw表示對所有有用戶具有rw權(quán)限。oj訪問能力表（（AccessCapabilitiesList））基于訪問控制制矩陣行的自主訪問控控制。為每個主體（（用戶）建立立一張訪問能能力表，用于于表示主體是是否可以訪問問客體，以及及用什么方式式訪問客體。。文件名客體(文件)File1File2File3o:Ownerr:Readw:Writee:Excute舉例：權(quán)限用戶A的目錄用戶B的目錄訪問能力表表強制訪問控控制MandatoryAccessControl概念為所有主體體和客體指指定安全級級別，比如如絕密級、、機密級、、秘密級、、無秘級。。不同級別的的主體對不不同級別的的客體的訪訪問是在強強制的安全全策略下實實現(xiàn)的。只有安全管管理員才能能修改客體體訪問權(quán)和和轉(zhuǎn)移控制制權(quán)。（對對客體擁有有者也不例例外）MAC模型型絕密級機密級秘密級無秘級寫寫讀讀完整性保密性安全策略保障信息完完整性策略略級別低的主主體可以讀讀高級別客客體的信息息（不保密密），級別別低的主體體不能寫高高級別的客客體（保障障信息完整整性）保障信息機機密性策略略級別低的主主體可以寫寫高級別客客體的信息息（不保障障信息完整整性），級級別低的主主體不可以以讀高級別別的客體（（保密）舉例：Security-EnhancedLinux(SELinux)forRedHatEnterpriseLinuxAppArmorforSUSELinuxandUbuntuTrustedBSDforFreeBSD基于于角角色色的的訪訪問問控控制制RoleBasedAccessControl概念起源于于UNIX系統(tǒng)或或別的的操作作系統(tǒng)統(tǒng)中組組的概概念（（基于于組的的自主主訪問問控制制的變變體））每個角角色與與一組組用戶戶和有有關(guān)的的動作作相互互關(guān)聯(lián)聯(lián)，角角色中中所屬屬的用用戶可可以有有權(quán)執(zhí)執(zhí)行這這些操操作角色與與組的的區(qū)別別組：一一組用用戶的的集合合角色：：一組組用戶戶的集集合+一一組操操作權(quán)權(quán)限的的集合合RBAC模模型用戶戶角色色權(quán)限限訪問控控制資源源1、認證證2、分派派3、請求求4、分派派5、訪問問角色控控制優(yōu)優(yōu)勢便于授授權(quán)管管理授權(quán)操操作：：n*m變成n*r+r*m=r*(n+m)便于角角色劃劃分便于賦賦予最最小特特權(quán)便于職職責(zé)分分擔(dān)便于目目標分分級一個基基于角角色的的訪問問控制制的實實例在銀行行環(huán)境境中，，用戶戶角色色可以以定義義為出納員員、分分行管管理者者、顧顧客、、系統(tǒng)統(tǒng)管理理者和和審計計員訪問控控制策策略的的一個個例子子如下下：（1））允許許一個個出納納員修修改顧顧客的的帳號號記錄錄（包包括存存款和和取款款、轉(zhuǎn)轉(zhuǎn)帳等等），，并允允許查查詢所所有帳帳號的的注冊冊項（2））允許許一個個分行行管理理者修修改顧顧客的的帳號號記錄錄（包包括存存款和和取款款，但但不包包括規(guī)規(guī)定的的資金金數(shù)目目的范范圍））并允允許查查詢所所有帳帳號的的注冊冊項，，也允允許創(chuàng)創(chuàng)建和和終止止帳號號（3））允許許一個個顧客客只詢詢問他他自己己的帳帳號的的注冊冊項（4））允許許系統(tǒng)統(tǒng)的管管理者者詢問問系統(tǒng)統(tǒng)的注注冊項項和開開關(guān)系系統(tǒng)，，但不不允許許讀或或修改改用戶戶的帳帳號信信息（5））允許許一個個審計計員讀讀系統(tǒng)統(tǒng)中的的任何何數(shù)據(jù)據(jù)，但但不允允許修修改任任何事事情系統(tǒng)需需要添添加出出納員員、分分行管管理者者、顧顧客、、系統(tǒng)統(tǒng)管理理者和和審計計員角角色所所對應(yīng)應(yīng)的用用戶，，按照照角色色的權(quán)權(quán)限對對用于于進行行訪問問控制制。常用用操操作作系系統(tǒng)統(tǒng)中中的的訪訪問問控控制制國際際安安全全標標準準1984年年，，美美國國國國防防部部發(fā)發(fā)布布了了《《可可信信計計算算機機系系統(tǒng)統(tǒng)評評估估標標準準》》（（TCSEC）），，即即桔桔皮皮書書。。TCSEC采采用用等等級級評評估估的的方方法法，，將將計計算算機機安安全全分分為為A、、B、、C、、D四四個個等等級級八八個個級級別別，，D等等安安全全級級別別最最低低，，A安安全全級級別別最最高高?！，F(xiàn)在大多數(shù)通通用操作系統(tǒng)統(tǒng)（WindowsNT、Linux等）為C2級別，即即控制訪問保保護級。WindowsNT(自主訪問控控制)Windows安全模型型SecurityAccountManagerLocalSecurityAuthority(LSA)SecurityReferenceMonitor訪問控制過程程組成部件：安全標識：帳帳號的唯一對對應(yīng)。訪問令牌：LSA為用戶戶構(gòu)造的，包包括用戶名、、所在組名、、安全標識等等。主體：操作和和令牌。對象、、資源源、共共享資資源安全描描述符符：為為共享享資源源創(chuàng)建建的一一組安安全屬屬性所有者者安全全標識識、組組安全全標識識、自主訪訪問控控制表表、系統(tǒng)統(tǒng)訪問問控制制表、、訪問問控制制項。。登錄過過程服務(wù)器器為工工作站站返回回安全全標識識，服服務(wù)器器為本本次登登錄生生成訪訪問令令牌用戶創(chuàng)創(chuàng)建進進程P時，，用戶戶的訪訪問令令牌復(fù)復(fù)制為為進程程的訪訪問令令牌。。P進程訪問問對象時，，SRM將將進程訪問問令牌與對對象的自主主訪問控制制表進行比比較，決定定是否有權(quán)權(quán)訪問對象象。NTFS的訪問控制制從文件中得得到安全描描述符（包包含自主訪訪問控制表表）；與訪問令牌牌（包含安安全標識））一起由SRM進行行訪問檢查查Linux(自主主訪問控制制)設(shè)備和目錄錄同樣看作作文件。三種權(quán)限：：R:readW:writeX:excute權(quán)限表示：：字母表示：：rwx，不不具有相應(yīng)應(yīng)權(quán)限用-占位8進制數(shù)表表示：111，不具具有相應(yīng)權(quán)權(quán)限相應(yīng)位位記0四類用戶：：root：：超級用戶戶所有者所屬組其他用戶文件屬性：：drwxr-x--x2lucywork1024Jun2522:53text安全屬性：：drwxr-x--x所有者，所所屬組：lucy.work安全屬性后后9個字母母規(guī)定了對對所有者、、所屬組、、其他用戶