信息系统安全机制-访问控制ppt课件

访问控制技术 孙建伟计算机网络攻防对抗技术实验室北京理工大学 内容概要 访问控制原理自主访问控制强制访问控制基于角色的访问控制常用操作系统中的访问控制 概念 通常应用在信息系统的安全设计上 定义 在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制 目的 为了限制访问主体对访问客体的访问权限 从而使计算机系统在合法范围内使用 它决定用户能做什么 也决定代表一定用户身份的进程能做什么 未授权的访问包括 未经授权的使用 泄露 修改 销毁信息以及颁发指令等 非法用户进入系统 合法用户对系统资源的非法使用 客体 Object 规定需要保护的资源 又称作目标 target 主体 Subject 或称为发起者 Initiator 是一个主动的实体 规定可以访问该资源的实体 通常指用户或代表用户执行的程序 授权 Authorization 规定可对该资源执行的动作 例如读 写 执行或拒绝访问 访问控制模型基本组成 任务 识别和确认访问系统的用户 认证鉴权决定该用户可以对某一系统资源进行何种类型的访问 授权审计 访问控制与其他安全服务的关系模型 引用监控器 身份认证 访问控制 授权数据库 用户 目标 目标 目标 目标 目标 审计 安全管理员 访问控制决策单元 访问控制的一般实现机制和方法 一般实现机制 基于访问控制属性 访问控制表 矩阵基于用户和资源分档 安全标签 多级访问控制常见实现方法 访问控制表 ACL 访问能力表 Capabilities 授权关系表 访问矩阵 定义 客体 O 主体 S 权限 A 读 R 写 W 拥有 Own 执行 E 更改 C 举例 问题 稀疏矩阵 浪费空间 访问控制类型 自主访问控制 强制访问控制 基于角色访问控制 访问控制 自主访问控制 DiscretionaryAccessControl 概念 基于对主体或主体所属的主体组的识别来限制对客体的访问 这种控制是自主的 自主指主体能够自主地将访问权或访问权的某个子集授予其他主体 如用户A可将其对目标O的访问权限传递给用户B 从而使不具备对O访问权限的B可访问O 缺点 信息在移动过程中其访问权限关系会被改变 安全问题 访问控制表 AccessControlList 基于访问控制矩阵列的自主访问控制 每个客体都有一张ACL 用于说明可以访问该客体的主体及其访问权限 举例 客体目录 ACL表 o Ownerr Readw Writee Excute oj表示客体j si rw表示主体si具有rw属性 oj 问题 主体 客体数量大 影响访问效率 解决 引入用户组 用户可以属于多个组 主体标识 主体 组名如Liu INFO表示INFO组的liu用户 INFO表示所有组中的用户 表示所有用户 liu INFO rw表示对INFO组的用户liu具有rw权限 INFO rw表示对INFO组的所有用户具有rw权限 rw表示对所有用户具有rw权限 oj 访问能力表 AccessCapabilitiesList 基于访问控制矩阵行的自主访问控制 为每个主体 用户 建立一张访问能力表 用于表示主体是否可以访问客体 以及用什么方式访问客体 文件名 客体 文件 File1 File2 File3 o Ownerr Readw Writee Excute 举例 权限 用户A的目录 用户B的目录 访问能力表 强制访问控制 MandatoryAccessControl 概念 为所有主体和客体指定安全级别 比如绝密级 机密级 秘密级 无秘级 不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的 只有安全管理员才能修改客体访问权和转移控制权 对客体拥有者也不例外 MAC模型 绝密级 机密级 秘密级 无秘级 写 写 读 读 完整性 保密性 安全策略保障信息完整性策略级别低的主体可以读高级别客体的信息 不保密 级别低的主体不能写高级别的客体 保障信息完整性 保障信息机密性策略级别低的主体可以写高级别客体的信息 不保障信息完整性 级别低的主体不可以读高级别的客体 保密 举例 Security EnhancedLinux SELinux forRedHatEnterpriseLinuxAppArmorforSUSELinuxandUbuntuTrustedBSDforFreeBSD 基于角色的访问控制 RoleBasedAccessControl 概念 起源于UNIX系统或别的操作系统中组的概念 基于组的自主访问控制的变体 每个角色与一组用户和有关的动作相互关联 角色中所属的用户可以有权执行这些操作角色与组的区别组 一组用户的集合角色 一组用户的集合 一组操作权限的集合 RBAC模型 用户 角色 权限 访问控制 资源 1 认证 2 分派 3 请求 4 分派 5 访问 角色控制优势 便于授权管理授权操作 n m变成n r r m r n m 便于角色划分便于赋予最小特权便于职责分担便于目标分级 一个基于角色的访问控制的实例 在银行环境中 用户角色可以定义为出纳员 分行管理者 顾客 系统管理者和审计员访问控制策略的一个例子如下 1 允许一个出纳员修改顾客的帐号记录 包括存款和取款 转帐等 并允许查询所有帐号的注册项 2 允许一个分行管理者修改顾客的帐号记录 包括存款和取款 但不包括规定的资金数目的范围 并允许查询所有帐号的注册项 也允许创建和终止帐号 3 允许一个顾客只询问他自己的帐号的注册项 4 允许系统的管理者询问系统的注册项和开关系统 但不允许读或修改用户的帐号信息 5 允许一个审计员读系统中的任何数据 但不允许修改任何事情系统需要添加出纳员 分行管理者 顾客 系统管理者和审计员角色所对应的用户 按照角色的权限对用于进行访问控制 常用操作系统中的访问控制 国际安全标准 1984年 美国国防部发布了 可信计算机系统评估标准 TCSEC 即桔皮书 TCSEC采用等级评估的方法 将计算机安全分为A B C D四个等级八个级别 D等安全级别最低 A安全级别最高 现在大多数通用操作系统 WindowsNT Linux等 为C2级别 即控制访问保护级 WindowsNT 自主访问控制 Windows安全模型 SecurityAccountManager LocalSecurityAuthority LSA SecurityReferenceMonitor 访问控制过程组成部件 安全标识 帐号的唯一对应 访问令牌 LSA为用户构造的 包括用户名 所在组名 安全标识等 主体 操作和令牌 对象 资源 共享资源安全描述符 为共享资源创建的一组安全属性所有者安全标识 组安全标识 自主访问控制表 系统访问控制表 访问控制项 登录过程服务器为工作站返回安全标识 服务器为本次登录生成访问令牌用户创建进程P时 用户的访问令牌复制为进程的访问令牌 P进程访问对象时 SRM将进程访问令牌与对象的自主访问控制表进行比较 决定是否有权访问对象 NTFS的访问控制从文件中得到安全描述符 包含自主访问控制表 与访问令牌 包含安全标识 一起由SRM进行访问检查 Linux 自主访问控制 设备和目录同样看作文件 三种权限 R readW writeX excute权限表示 字母表示 rwx 不具有相应权限用 占位8进制数表示 111 不具有相应权限相应位记0 四类用户 root 超级用户所有者所属组其他用户 文件属性 drwxr x x2lucywork1024Jun2522 53text安全属性 drwxr x x所有者 所属组 lucy work安全属性后9个字母规定了对所有者 所属组 其他用户的权限 各3位 text 思考题 了解数据库系统的访问控制机制在一个IT系统中如何对整个IT系统的