網(wǎng)絡安全導論 課件 第十一章 訪問控制

第11章訪問控制討論議題1、訪問控制的有關概念2、訪問控制的策略和機制3、OS的訪問控制設計

1訪問控制的有關概念訪問控制的概念和目標一般概念——

是針對越權使用資源的防御措施?；灸繕耍悍乐箤θ魏钨Y源（如計算資源、通信資源或信息資源）進行未授權的訪問。從而使計算機系統(tǒng)在合法范圍內使用；決定用戶能做什么，也決定代表一定用戶利益的程序能做什么。未授權的訪問包括：未經(jīng)授權的使用、泄露、修改、銷毀信息以及頒發(fā)指令等。非法用戶進入系統(tǒng)。合法用戶對系統(tǒng)資源的非法使用。5例:系統(tǒng)訪問控制登錄名稱即用戶ID，盡量保持一致以便管理。口令口令的安全特別重要，加密后不可見。用戶標識符分為管理性用戶和普通用戶，用整數(shù)表示。組標識符將用戶分組是UNIX系統(tǒng)對權限進行管理的一種方式用戶起始目錄用戶登錄到系統(tǒng)后所處于的Home目錄PhysicalSecurityPerimeterAuthenticationMechanismAccessControlMechanismSysAdmin6公網(wǎng)互聯(lián)網(wǎng)用戶對外信息服務器員工上網(wǎng)拒絕信息服務器不能在上班時間進行QQ,MSN等聊天．例:網(wǎng)絡訪問控制訪問權限控制例：用戶訪問數(shù)據(jù)庫訪問控制的作用訪問控制對機密性、完整性起直接的作用。對于可用性，訪問控制通過對以下信息的有效控制來實現(xiàn)：（1）誰可以頒發(fā)影響網(wǎng)絡可用性的網(wǎng)絡管理指令（2）誰能夠濫用資源以達到占用資源的目的（3）誰能夠獲得可以用于拒絕服務攻擊的信息主體、客體和授權客體（Object）：規(guī)定需要保護的資源，又稱作目標（target)。主體（Subject）：或稱為發(fā)起者(Initiator)，是一個主動的實體，規(guī)定可以訪問該資源的實體，（通常指用戶或代表用戶執(zhí)行的程序）。授權（Authorization)：規(guī)定可對該資源執(zhí)行的動作（例如讀、寫、執(zhí)行或拒絕訪問）。一個主體為了完成任務，可以創(chuàng)建另外的主體，這些子主體可以在網(wǎng)絡上不同的計算機上運行，并由父主體控制它們。主客體的關系是相對的。訪問控制模型基本組成

訪問控制模型

引用監(jiān)控器身份鑒別訪問控制授權數(shù)據(jù)庫用戶目標目標目標目標目標審計安全管理員訪問控制決策單元

2訪問控制策略訪問控制策略與機制訪問控制策略(AccessControlPolicy):訪問控制策略在系統(tǒng)安全策略級上表示授權。是對訪問如何控制,如何作出訪問決定的高層指南。訪問控制機制（AccessControlMechanisms):是訪問控制策略的軟硬件低層實現(xiàn)。訪問控制機制與策略獨立，可允許安全機制的重用。安全策略之間沒有更好的說法，只是一種可以比一種提供更多的保護。應根據(jù)應用環(huán)境靈活使用。訪問控制策略的制訂原則(1)最小權限原則(2)最小泄露原則如何決定訪問權限用戶分類資源資源及使用訪問規(guī)則用戶的分類（1）特殊的用戶：系統(tǒng)管理員，具有最高級別的特權，可以訪問任何資源，并具有任何類型的訪問操作能力（2）一般的用戶：最大的一類用戶，他們的訪問操作受到一定限制，由系統(tǒng)管理員分配（3）作審計的用戶：負責整個安全系統(tǒng)范圍內的安全控制與資源使用情況的審計（4）作廢的用戶：被系統(tǒng)拒絕的用戶。資源系統(tǒng)內需要保護的是系統(tǒng)資源：磁盤與磁帶卷標遠程終端信息管理系統(tǒng)的事務處理及其應用數(shù)據(jù)庫中的數(shù)據(jù)應用資源資源和使用對需要保護的資源定義一個訪問控制包（Accesscontrolpacket)，包括：資源名及擁有者的標識符缺省訪問權用戶、用戶組的特權明細表允許資源的擁有者對其添加新的可用數(shù)據(jù)的操作審計數(shù)據(jù)訪問規(guī)則與規(guī)則集規(guī)定了若干條件，在這些條件下，可準許訪問一個資源。規(guī)則使用戶與資源配對，指定該用戶可在該文件上執(zhí)行哪些操作，如只讀、不許執(zhí)行或不許訪問。由系統(tǒng)管理人員來應用這些規(guī)則，由硬件或軟件的安全內核部分負責實施。一個主體對一個客體的訪問權能否轉讓?

自主訪問控制:能強制訪問控制:不能基于角色的訪問控制:不能

自主訪問控制強制訪問控制基于角色訪問控制訪問控制訪問控制的一般策略自主訪問控制特點：根據(jù)主體的身份及允許訪問的權限進行決策。自主是指具有某種訪問能力的主體能夠自主地將訪問權的某個子集授予其它主體。靈活性高，被大量采用。缺點：信息在移動過程中其訪問權限關系會被改變。如用戶A可將其對目標O的訪問權限傳遞給用戶B,從而使不具備對O訪問權限的B可訪問O。自主訪問控制的訪問類型訪問許可與訪問模式描述了主體對客體所具有的控制權與訪問權.訪問許可定義了改變訪問模式的能力或向其它主體傳送這種能力的能力.訪問模式則指明主體對客體可進行何種形式的特定的訪問操作:讀\寫\運行.訪問模式AccessMode系統(tǒng)支持的最基本的保護客體:文件,對文件的訪問模式設置如下:

（1）讀-拷貝(Read-copy)

（2）寫-刪除（write-delete）（3）運行(Execute)

（4）無效(Null)強制訪問控制（1）將主體和客體分級，根據(jù)主體和客體的級別標記來決定訪問模式。如，絕密級，機密級，秘密級，無密級。（2）其訪問控制關系分為：上讀/下寫，下讀/上寫（完整性）（機密性）（3）通過安全標簽實現(xiàn)單向信息流通模式。精確描述強制訪問控制(MAC)中，系統(tǒng)包含主體集S和客體集O，每個S中的主體s及客體集中的客體o，都屬于一固定的安全類SC，安全類SC=<L,C>包括兩個部分：有層次的安全級別和無層次的安全范疇。構成一偏序關系≤。Bell-LaPadula：保證保密性

-簡單安全特性(無上讀)：僅當SC(o)≤SC(s)時，s可以讀取o

-*-特性(無下寫):僅當SC(s)≤SC(o)時，s可以修改oBiba：保證完整性

-同(1)相反強制訪問控制實現(xiàn)機制-

安全標簽安全標簽是限制在目標上的一組安全屬性信息項。在訪問控制中，一個安全標簽隸屬于一個用戶、一個目標、一個訪問請求或傳輸中的一個訪問控制信息。最通常的用途是支持多級訪問控制策略。

在處理一個訪問請求時，目標環(huán)境比較請求上的標簽和目標上的標簽，應用策略規(guī)則（如BellLapadula規(guī)則）決定是允許還是拒絕訪問。自主/強制訪問的問題自主訪問控制配置的粒度小配置的工作量大，效率低強制訪問控制配置的粒度大缺乏靈活性基于角色的策略與現(xiàn)代的商業(yè)環(huán)境相結合的產(chǎn)物基于角色的訪問控制是一個復合的規(guī)則，可以被認為是IBAC和RBAC的變體。一個身份被分配給一個被授權的組。起源于UNIX系統(tǒng)或別的操作系統(tǒng)中組的概念10yearhistory責任分離(separationofduties)角色分層(rolehierarchies)角色激活(roleactivation)用戶角色關系的約束(constraintsonuser/rolemembership)角色的定義每個角色與一組用戶和有關的動作相互關聯(lián)，角色中所屬的用戶可以有權執(zhí)行這些操作Arolecanbedefinedasasetofactionsandresponsibilitiesassociatedwithaparticularworkingactivity.角色與組的區(qū)別組：一組用戶的集合角色：一組用戶的集合+一組操作權限的集合一個基于角色的訪問控制的實例在銀行環(huán)境中，用戶角色可以定義為出納員、分行管理者、顧客、系統(tǒng)管理者和審計員訪問控制策略的一個例子如下：（1）允許一個出納員修改顧客的帳號記錄（包括存款和取款、轉帳等），并允許查詢所有帳號的注冊項（2）允許一個分行管理者修改顧客的帳號記錄（包括存款和取款，但不包括規(guī)定的資金數(shù)目的范圍）并允許查詢所有帳號的注冊項，也允許創(chuàng)建和終止帳號（3）允許一個顧客只詢問他自己的帳號的注冊項（4）允許系統(tǒng)的管理者詢問系統(tǒng)的注冊項和開關系統(tǒng)，但不允許讀或修改用戶的帳號信息（5）允許一個審計員讀系統(tǒng)中的任何數(shù)據(jù)，但不允許修改任何事情特點該策略陳述易于被非技術的組織策略者理解;同時也易于映射到訪問控制矩陣或基于組的策略陳述。同時具有基于身份策略的特征，也具有基于規(guī)則的策略的特征。在基于組或角色的訪問控制中，一個個人用戶可能是不只一個組或角色的成員，有時又可能有所限制。RBAC的優(yōu)勢便于授權管理，如系統(tǒng)管理員需要修改系統(tǒng)設置等內容時，必須有幾個不同角色的用戶到場方能操作，從而保證了安全性。便于根據(jù)工作需要分級，如企業(yè)財務部門與非財力部門的員工對企業(yè)財務的訪問權就可由財務人員這個角色來區(qū)分。便于賦于最小特權，如即使用戶被賦于高級身份時也未必一定要使用，以便減少損失。只有必要時方能擁有特權。便于任務分擔，不同的角色完成不同的任務。便于文件分級管理，文件本身也可分為不同的角色，如信件、賬單等，由不同角色的用戶擁有。3訪問控制的實現(xiàn)機制訪問控制的一般實現(xiàn)機制和方法一般實現(xiàn)機制——

基于訪問控制屬性

——〉訪問控制表/矩陣基于用戶和資源分級（“安全標簽”）

——〉多級訪問控制常見實現(xiàn)方法——

訪問控制表ACLs（AccessControlLists)

訪問能力表（Capabilities)

授權關系表訪問控制矩陣任何訪問控制策略最終均可被模型化為訪問矩陣形式：行對應于用戶，列對應于目標，每個矩陣元素規(guī)定了相應的用戶對應于相應的目標被準予的訪問許可、實施行為。訪問控制矩陣按列看是訪問控制表內容按行看是訪問能力表內容目標xR、W、OwnR、W、Own目標y目標z用戶a用戶b用戶c用戶dRRR、W、OwnR、WR、W

目標用戶

訪問控制表(ACL)

userAOwnRWOuserB

R

OuserCRWOObj1userAOwnRWOuserB

R

OuserCRWOObj1每個客體附加一個它可以訪問的主體的明細表。訪問能力表(CL)

Obj1OwnRWOObj2

R

OObj3

RWOUserA每個主體都附加一個該主體可訪問的客體的明細表。ACL、CL訪問方式比較(1)

ACLSsubjectclient(s,r)objectserverACL、CL訪問方式比較(2)

CLsubjectclient(o,r)objectserverACL、CL訪問方式比較(3)鑒別方面：二者需要鑒別的實體不同保存位置不同瀏覽訪問權限ACL:容易，CL:困難訪問權限傳遞ACL:困難，CL：容易訪問權限回收ACL:容易，CL：困難ACL和CL之間轉換ACL->CL：困難CL->ACL：容易ACL、CL訪問方式比較(4)多數(shù)集中式操作系統(tǒng)使用ACL方法或類似方式由于分布式系統(tǒng)中很難確定給定客體的潛在主體集，在現(xiàn)代OS中CL也得到廣泛應用授權關系表

UserAOwnObj1UserARObj1UserAWObj1UserAWObj2UserARObj2

4OS的訪問控制設計操作系統(tǒng)的安全目標?Goal1:enablingmultipleuserssecurelyshareacomputer–Separationandsharingofprocesses,memory,files,devices,etc.?Howtoachieveit?–memoryprotection–processormodes–authentication–fileaccesscontrol操作系統(tǒng)的安全目標?Goal2:ensuresecureoperationinnetworkedenvironment?Howtoachieveit?–Authentication–AccessControl–SecureCommunication(usingcryptography)–Logging&Auditing–IntrusionPreventionandDetection–RecoveryCPU工作模式?Systemmode(privilegedmode,mastermode,supervisormode,kernelmode)–canexecuteanyinstructionandaccessanymemorylocations,e.g.,accessinghardwaredevices,enablinganddisablinginterrupts,changingprivilegedprocessorstate,accessingmemorymanagementunits,modifyingregistersforvariousdescriptortables.?Usermode–accesstomemoryislimited,cannotexecutesomeinstructions–cannot,e.g.,disableinterrupts,changearbitraryprocessorstate,accessmomorymanagementunits?Transitionfromusermodetosystemmodemustbedonethroughwelldefinedcallgates(systemcalls)KernelspacevsUserspace?PartoftheOSrunsinthekernelmodel–knownastheOSkernel?OtherpartsoftheOSrunintheusermode,includingserviceprograms(daemonprograms),userapplications,etc.–theyrunasprocesses–theyformtheuserspace(ortheuserland)?Differencebetweenkernelmodeandprocessesrunningasroot(orsuperuser,administrator)定時器TheOSprotectstheuseofcpubystartingatimerandpreventinguserprogramsfromchangingthetimer.ThisallowstheOStoabortanyprogramthatgoesintoaloop,intentionallyornot.內存保護?Ensuresthatoneuser’sprocesscannotaccessother’smemory–fence–relocation–base/boundsregister–segmentation–paging–…?Operatingsystemanduserprocessesneedtohavedifferentprivileges共享內存的保護Lockingmechanismscanbeusedinsharedmemoryprotection.Deadlocksmustbeovercomebytheconsistentorderingofsettingandreleasingthelocks.文件保護:windowsInwindows,thefundamentalbuildingblockofallOSdatastructureisanobject.Includedinthisgrouparefilesanddirectories.Eachobjecthasanowner.對對象的訪問需要主體出示訪問令牌.MajorNTFSgoalsHighreliabilityRecoverabilityDataredundancyandfaulttoleranceTransactionsupport.Highsecuritysecuritycanbeappliedtoanyobjectusinganaccesscontrollist.

Windows的安全組件安全標識符(sid)訪問令牌（Accesstoken)安全描述符訪問控制列表(ACL)訪問控制條目(ACE)安全標識符SID是分給所有用戶、組和計算機的統(tǒng)計上的唯一號碼。每次一個新的用戶或組被建立時，它就收到一個唯一的SID。每次windows安裝和建立時，一個新的SID就分給那個計算機了。SID唯一的標識用戶、組和計算機，不僅在特定的計算機上，也包括與其它計算機交互的時候。SID是安全結構的基礎，所以了解它很重要。訪問令牌在用戶被驗證之后，分配給所有用戶訪問令牌。訪問令牌是系統(tǒng)訪問資源的“入場券”，只要用戶試圖訪問某種資源，就要向windows出示訪問令牌。然后系統(tǒng)對照請求對象的訪問控制列表檢查訪問領牌。如果被許可，則以適當?shù)姆绞秸J可訪問。訪問令牌只有在登錄過程期間才能被分發(fā)，所以對用戶訪問權限的任何改變，要求用戶先注銷，然后重新登錄后接收更新的訪問令牌。安全描述符Windows中每個對象有一個安全描述符，作為它屬性的一部分。安全描述符由對象所有者的SID、POSIX子系統(tǒng)使用的組的SID、自主訪問控制列表和系統(tǒng)訪問控制列表組成。對象所有者SIDDACLSACL訪問控制條目即訪問控制列表的表項每個訪問控制條目包含用戶或組的SID和分配給該對象的權限。禁止訪問優(yōu)先于其它權限管理工具為一個對象列出訪問權的時候總是按照用戶字母順序列的，所以管理員的訪問權限總在前面。LinuxfilesystemEXT.Linuxregardsallusersasbeingamemberofoneofthreesets.FileownerGroupusersEverybodyThefileownercansetthepermissionsonafilebyusingautilitycalledCHMOD.Filecontrolblocksystemwideopenfiletableper-processopenfiletable安全操作系統(tǒng)模型安全模型則是對安全策略所表達的安全需求的簡單、抽象和無歧義的描述。而模型的實現(xiàn)則描述了如何把特定的機制應用于系統(tǒng)中，從而實現(xiàn)某一特定安全策略所需的安全保護。1972年，J.P.Anderson指出要開發(fā)安全系統(tǒng)，首先必須建立系統(tǒng)的安全模型，完成安全系統(tǒng)的建模之后，再進行安全內核的設計與實現(xiàn)。主要安全模型BLP機密性安全模型Biba完整性安全模型Clark-Wilson完整性安全模型信息流模型RBAC安全模型DTE安全模型無干擾安全模型等。TCSEC定義的內容沒有安全性可言，例如MSDOS不區(qū)分用戶，基