第四讲访问控制解析.ppt

第四讲 访问控制AccessControl AccessControl Thepreventionofunauthorizeduseofaresource includingthepreventionofuseofaresourceinanunauthorizedmanner centralelementofcomputersecurityassumehaveusersandgroupsauthenticatetosystemassignedaccessrightstocertainresourcesonsystem AccessControlPrinciples AccessControlPolicies 自主访问控制 DiscretionaryAccessControl DAC 由客体的属主对自己的客体进行管理 由属主自己决定是否将自己客体的访问权或部分访问权授予其他主体 这种控制方式是自主的 自主访问控制下 用户可以自主选择哪些用户可以共享他的文件 Linux系统中有两种自主访问控制策略 一种是9位权限码 User Group Other 另一种是访问控制列表ACL AccessControlList 强制访问控制 MandatoryAccessControl MAC 将系统中的信息分密级和类进行管理 以保证每个用户只能访问到那些被标明可以由他访问的信息的一种访问约束机制 在强制访问控制下 用户 或其他主体 与文件 或其他客体 都被标记了固定的安全属性 如安全级 访问权限等 在每次访问发生时 系统检测安全属性以便确定一个用户是否有权访问该文件 其中多级安全 MultiLevelSecure MLS 就是一种强制访问控制策略 AccessControlRequirements reliableinputfineandcoarsespecificationsleastprivilegeseparationofdutyopenandclosedpoliciespolicycombinations conflictresolutionadministrativepolicies 规定谁能增加 删除或修改授权规则 AccessControlElements subject entitythatcanaccessobjectsaprocessrepresentinguser applicationoftenhave3classes owner group worldobject accesscontrolledresourcee g files directories records programsetcnumber typedependonenvironmentaccessright wayinwhichsubjectaccessesanobjecte g read write execute delete create search DiscretionaryAccessControl oftenprovidedusinganaccessmatrixlistssubjectsinonedimension rows listsobjectsintheotherdimension columns eachentryspecifiesaccessrightsofthespecifiedsubjecttothatobjectaccessmatrixisoftensparsecandecomposebyeitherroworcolumn Accesscontrolmatrix Lampson 按主体排序或访问等价于能力表按客体排序或访问等价于ACL AccessControlModel AccessControlFunction ProtectionDomains setofobjectswithassociatedaccessrightsinaccessmatrixview eachrowdefinesaprotectiondomain任何由该用户派生的进程拥有同一保护域的访问权限butnotnecessarilyjustausermaybealimitedsubsetofuser srightsappliedtoamorerestrictedprocessTheassociationbetweenaprocessandadomainmaybestaticordynamic 例 操作系统的用户模式 不能使用某些受保护的内存区域 且不能执行某些指令 和内核模式 能够执行特权指令 并能访问受保护的内存区域 UNIXFileConcepts UNIXfilesadministeredusinginodescontrolstructurewithkeyinfoonfileattributes permissionsofasinglefile几个文件名可以与一个inode关联 但一个活动inode仅与一个文件关联磁盘上有一个inode表 包含所有文件的inode打开一个文件时 它的inode被读入主存 驻留在内存inode表中directoriesformahierarchicaltreemaycontainfilesorotherdirectories目录包含文件名和指向关联inode的指针列表 每个目录都与其自己的inode关联 UNIXFileAccessControl 与每个文件相关联 有12位保护位 9个保护位分别指定文件所有者 组用户 其他用户的读 写和执行许可 后三位分别是SetUIDSetGIDsticky位 UNIXFileAccessControl 9个保护位分别指定文件所有者 组用户 其他用户的读 写和执行许可 后三位分别是SetUIDSetGIDsticky位 setuserID SetUID or setgroupID SetGID systemtemporarilyusesrightsofthefileowner groupinadditiontotherealuser srightswhenmakingaccesscontroldecisions Theseareknownasthe effectiveuserID and effectivegroupID andareusedinadditiontothe realuserID and realgroupID oftheexecutinguser enablesprivilegedprogramstoaccessfiles resourcesnotgenerallyaccessiblestickybit应用于目录 表示只有目录中任何文件的所有者才可以重命名 移动或删除该文件superuserisexemptfromusualaccesscontrolrestrictions Anyprogramthatisownedby andSetUIDto the superuser potentiallygrantsunrestrictedaccesstothesystemtoanyuserexecutingthatprogram 进程标志 EachprocesshasthreeIds moreunderLinux RealuserID RUID 用户标志 sameastheuserIDofparent unlesschanged usedtodeterminewhichuserstartedtheprocess用来识别谁启动了程序 EffectiveuserID EUID 有效用户标志 fromsetuserIDbitonthefilebeingexecuted orsyscall determinesthepermissionsforprocess识别程序的权限 SaveduserID SUID SopreviousEUIDcanberestored exec RUID25 SetUID program i getruid setuid i RUID25 EUID18 RUID25 EUID25 rw r r file rw r r file Owner18 Owner25 read write read write Owner18 UNIXAccessControlLists modernUNIXsystemssupportACLscanspecifyanynumberofadditionalusers groupsandassociatedrwxpermissionsACLsareoptionalextensionstostdpermsgrouppermsalsosetmaxACLpermswhenaccessisrequiredselectmostappropriateACLowner namedusers owning namedgroups otherscheckifhavesufficientpermissionsforaccess 扩展的ACLFreeBSD允许管理员通过Setfacl命令为文件分配一个UNIX用户ID和组的列表 通过三个保护位 读写执行 与文件关联FreeBSD文件有一个附加位 用于指出文件是否有扩展ACL组类中的权限起到了掩码的作用 Androidprocessisolation AndroidapplicationsandboxIsolation EachapplicationrunswithitsownUIDinownVMProvidesmemoryprotectionCommunicationprotectedusingUnixdomainsocketsOnlyping zygote spawnanotherprocess runasrootInteraction referencemonitorcheckspermissionsoninter componentcommunicationLeastPrivilege ApplicationsannouncespermissionWhitelistmodel usergrantsaccessQuestionsaskedatinstalltime toreduceuserinterruption Role BasedAccessControl RBAC得到商用 活跃的研究领域 每个角色包含其需要访问权的最小集 Role BasedAccessControl Individuals Roles Resources engineering marketing humanres Server1 Server3 Server2 Advantage userschangemorefrequentlythanroles Role BasedAccessControl User Anindividualsthathasaccesstothiscomputersystem associateduserID Role Anamedjobfunctionwithintheorganizationthatcontrolsthiscomputersystem Typically associatedwitheachroleisadescriptionoftheauthority 权限 andresponsibility 职责 conferredonthisrole andonanyuserwhoassumesthisrole Permission Anapprovalofaparticularmodeofaccesstooneormoreobjects Equivalenttermsareaccessright privilege andauthorization Session Amappingbetweenauserandanactivatedsubsetofthesetofrolestowhichtheuserisassigned 基本模型 RBAC0 RBAC参考模型 角色层次 RBAC1 下级工作岗位的访问权可能是上级岗位的一个子集 继承使一个角色能够隐式包含其下级角色关联的访问权 约束 RBAC2 角色之间定义的关系或与角色相关的条件互斥角色 mutuallyexclusiverole 一个用户只能被分配集合中的一个角色 任何许可只能被授予集合中的一个角色 增加不同能力 不同工作职责的个体联合破坏安全策略的难度 基数 cardinality 关于角色的最大数值 分配给指定角色的最大用户数 强制约束一个用户可以分配的最大角色数 一个用户一次会话中可被激活的角色数 授予某个特定许可的最大角色数 先决条件 prerequisite 用户已经被分配了特定角色 才能被分配某个角色 NISTRBACModel 2001 主要创新是引进了 RBAC系统与管理函数规约 Administrativefunctions 管理函数 providethecapabilitytocreate delete andmaintainRBACelementsandrelations包括添加 删除用户 添加 删除角色 创建 删除用户到角色分配的实例 创建 删除许可到角色分配的实例 Supportingsystemfunctions 支持系统函数 providefunctionsforsessionmanagementandformakingaccesscontroldecisions包括创建用户与默认的活动角色集的会话 为会话添加活动角色 在会话中删除角色 检查会话主体是否有权限执行对客体的请求操作 Reviewfunctions 评审函数 providethecapabilitytoperformqueryoperationsonRBACelementsandrelations查看模型所有元素及其关系 被采纳为ANSIINCITS359 2004 NISTRBAC模型组件 核心RBAC 包含目前RBAC系统具有的共同特征的最小模型层次RBAC 包含RBAC1描述的继承概念通用角色层次 允许角色层次中存在任意偏序关系受限角色层次 施加限制 保证简单的树形结构增加了4个新的管理函数 在两个已存在的角色之间添加 删除直接继承关系 创建新的角色并添加为已存在角色的直接子孙 评审函数能查看各角色直接或通过继承相关联的许可和用户静态职责分离关系 SSD 定义互斥角色集 角色集 n 包括创建 删除角色集及添加 删除角色成员的管理函数 查看已存在的SSD动态职责分离关系 DSD 限制了用户可以使用的许可 角色集 n 没有用户可以激活角色集中的n或者更多的角色 职责分离 Separationofduty 由不同的人分别作不同的事中国墙安全策略 ChineseWallPolicy LawyersL1 L2inFirmFareexpertsinbanking IfbankB1suesbankB2 L1andL2caneachworkforeitherB1orB2 Nolawyercanworkforoppositesidesinanycase没有律师在任何案例中可以为对立双方工作 RBACForaBank 强制访问控制 MandatoryAccessControl MAC 用于将系统中的信息分密级和类进行管理 以保证每个用户只能访问到那些被标明可以由他访问的信息的一种访问约束机制 用户 或其他主体 与文件 或其他客体 都被标记了固定的安全属性 如安全级 访问权限等 在每次访问发生时 系统检测安全属性以便确定一个用户是否有权访问该文件 Bell LaPadula机密模型 WhenisitOKtoreleaseinformation TwoPropertiesSimplesecuritypropertyAsubjectSmayreadobjectOonlyifC O C S PropertyAsubjectSwithreadaccesstoOmaywriteobjectPonlyifC O C P Inwords Youmayonlyreadbelowyourclassificationandonlywriteaboveyourclassification 简单安全特性 主体s要能读对象O 主体的安全许可等级不得低于对象的安全等级 仅当C o C s 主体s才能对对象o有读访问权 特性 将一个敏感对象写入另一个敏感对象时 要求被写入对象的敏感度至少不低于要写入的对象仅当C o C p 对对象o有访问权的主体才可以对对象p有写访问权适用于信息安全 用于识别那些可能导致信息被不适当修改的模型 S Public Proprietary Readbelow writeabove Biba完整性模型 RulesthatpreserveintegrityofinformationTwoPropertiesSimpleintegritypropertyAsubjectSmaywriteobjectOonlyifC S C O OnlytrustStomodifyOifShashigherrank PropertyAsubjectSwithreadaccesstoOmaywriteobjectPonlyifC O C P OnlymoveinfofromOtoPifOismor