网络安全理论与技术04—访问控制

1、2022-3-181计算机安全Computer Security访问控制原理2022-3-183 访问控制是依据一套为信息系统规定的安全策略和支持这些安全策略的执行机制实现的。 将两者分开讨论的益处： 1. 独立地讨论系统的访问要求，不与这些要求如何实现联系起来。 2. 可比较和对比不同的访问控制策略和执行同样策略的不同机制。 3. 允许我们设计一个有能力执行多种策略的机制。概 念 通常应用在操作系统的安全设计上。 定义：在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。 目的：为了限制访问主体对访问客体的访问权限，从而使计算机系统在合法范围内使用；它决定用户能做什么，也决定代表一定

2、用户身份的进程能做什么。 未授权的访问包括：未经授权的使用、泄露、修改、销毁信息以及颁发指令等。非法用户进入系统。合法用户对系统资源的非法使用。访问控制模型基本组成发起者发起者Initiator访问控制实施功能访问控制实施功能AEF访问控制决策功能访问控制决策功能ADF目标目标Target提交访问请求提交访问请求SubmiSubmit tA Access Requestccess Request提出访问请求提出访问请求PresentAccess Request请求决策请求决策Decision Request决策决策Decision2022-3-186 在计算机安全防御措施中，访问控制是极其重要

3、的一环，它是在身份认证的基础上，根据身份的合法性对提出的资源访问请求加以控制。 访问控制是现代操作系统常用的控制方式之一。2022-3-187 定义：是指对主体访问客体的权限或能力的限制，以及限制进入物理区域（出入控制）和限制使用计算机系统和计算机存储数据的过程（存取控制）。 访问控制的目的：为了保障资源受控，合法的使用，用户只能根据自己的权限大小来访问资源，不能越权访问。同时访问控制也是记帐、审计的前提。 访问控制是计算机保护中极其重要的一环，它是在身份识别的基础上，根据身份对提出的资源访问请求加以限制。2022-3-1882022-3-189 1、最小权限策略：信息限于给那些完成某任务所需

4、者。 2、最大共享策略：是使存储的信息获得最大的应用。 3、访问的开放与封闭：在封闭系统中，仅当明确的授权时才允许访问，在开放系统中，则要求除非明确的禁止，访问都允许。前者较安全，是最小权限策略的基本支持，后者费用较少，应用于采用最大共享策略的场合。2022-3-1810 4、离散访问控制：它是根据请求的主、客体名称作出可否访问的决策，又称名称相关访问控制。因为不需要依据数据库中的数据内容就能作出决策，有时也称为内容无关访问控制。 5、自主访问控制：客体的宿主可以自主地决定哪个用户能够访问他的资源。2022-3-1811 6、强制访问控制：主体和客体的安全属性都刻画在主、客体的安全标记中。安全

5、标记是根据安全信息流对系统中的主、客体统一标定的。可否访问的决策是依据请求访问的主、客体统一制定的，又称为非离散访问控制。它远比离散访问控制安全，但实现起来较困难。2022-3-1812 7、内容相关及其他访问控制：内容相关及其他访问控制：内容相关：访问与否与客体当前的数据有关；内容相关：访问与否与客体当前的数据有关；上下文相关：允许访问条件是数据集合的函数；上下文相关：允许访问条件是数据集合的函数；时间相关：允许访问条件是系统时钟的函数；时间相关：允许访问条件是系统时钟的函数；历史相关：允许访问条件是系统先前状态的函数。历史相关：允许访问条件是系统先前状态的函数。2022-3-1813 一般

6、来说，在计算机系统内和访问控制策略相关的因素有三大类：主体主体(用户用户)：就是指系统内行为的发起者，通常是指由用户发起的进程。客体客体(文件、目录、数据库等文件、目录、数据库等)：指在计算机系统内所有的主体行为的直接承担者。相应的可用作访问控制的主、客体属性属性。2022-3-1814 一般可分为如下几类：普通用户普通用户(User)：一个获得授权可以访问系统资源的自然人。在一个计算机系统中，相应的授权包括对信息的读、写、删除、追加、执行以及授予或撤销另外一个用户对信息的访问权限等等。对某些信息而言，此用户可能是此信息的拥有者或系统管理员。信息的拥有者信息的拥有者(Owner)：一般情况下，

7、信息的拥有者指的是该用户拥有对此信息的完全处理权限，包括读、写、修理和删除该信息的权限以及它可以授权其它用户对其所拥有的信息拥有某些相应的权限，除非该信息被系统另外加以访问控制。系统管理员系统管理员(System Administrator)：为使系统能进行正常运转，而对系统的运行进行管理的用户。例如在普通的UNIX系统中，ROOT用户即为系统管理员。2022-3-1815 总的来说，系统内的客体也可以分为三大类：一般客体一般客体(General Object)：指在系统内以客观、具体的形式存在的信息实体，如文件、目录等。设备客体设备客体(Device Object)：指系统内的设备，如软盘、

8、打印机等。特殊客体特殊客体(Special Object)：有时系统内的某些进程也是另外一些进程的行为的承担者，那么这类进程也是属于客体的一部分。2022-3-1816 另外，信息系统的访问控制策略除了涉及到主、客体之外，还包括基于以下几个因素：将要访问该信息的用户的属性将要访问该信息的用户的属性，即主体的属性(例如，用户ID号或许可级别等)；将要被访问的信息的属性将要被访问的信息的属性，即客体的属性(例如信息的安全性级别，信息来源等)；系统的环境或上下文的属性系统的环境或上下文的属性(例如某天的某个时候，系统状态等等)。2022-3-1817 每一个系统必须选择以上三类相关的属性来进行访问控

9、制的决策。一般来说，信息安全策略的制定就是通过比较系统内的主、客体的相关属性来制定的。 分别从以上几类属性来对访问控制策略的基础进行具体说明，共分五个方面：用户特征、客体特征、外部状况、数据内容/上下文属性以及其他属性。2022-3-1818 用户特征是系统用来决定访问控制的最常用的因素。通常一个用户的任何一种属性，例如年龄、性别、居住地、出生日期等等，均可以作为访问控制的决策点。下面就是在一般系统访问控制策略中最常用的几种用户属性：用户ID组ID： 用户访问许可级别“需知”原则(need-to-know)角色能力列表(Capability List)2022-3-1819 在信息系统中，除了

10、主体的属性被用来作为访问控制的条件外，与系统内客体(即信息)相关联的属性也作为访问控制策略的一部分。一般来说，客体的特征属性有如下几个方面：敏感性标签：由信息的敏感性级别和范畴两部分组成访问控制列表2022-3-1820 某些策略是基于系统主客体属性之外的某些因素来制定的，例如时间、地点或者状态。 另外，上面所述的大多数属性均属于静态信息，但也有些访问策略可能是基于某些动态信息地点。2022-3-1821 有些访问控制策略可能基于数据的内容。例如，用户Sunny可能不被允许看到那些月薪超过15000RMB的员工的文件。 更为复杂的访问控制策略可能是基于上下文的，这在数据库系统中经常用到。 使用

11、静态的信息标签是用人工的方法来决定信息敏感性的一种延续，而基于数据内容/上下文的动态访问机制则被认为是取代静态标签的一种潜在的方法。任 务 识别和确认访问系统的用户。 决定该用户可以对某一系统资源进行何种类型的访问。访问控制与其他安全服务的关系模型 引用监引用监 控器控器身份认证身份认证访问控制访问控制授权数据库授权数据库用户用户目目标标目目标标目目标标目目标标目目标标审审 计计安全管理员安全管理员访问控访问控制决策制决策单元单元访问矩阵 定义客体(O)主体(S)权限(A)读读(R)写写(W)拥有拥有(Own)执行执行(E)更改更改(C) 举例问题：稀疏矩阵，浪费空间。访问控制类型自主访问控制

12、强制访问控制基于角色访问控制访问控制自主访问控制 基于对主体或主体所属的主体组的识别来限制对客体的访问，这种控制是自主的。 自主指主体能够自主地将访问权或访问权的某个子集授予其他主体。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。 缺点： 信息在移动过程中其访问权限关系会被改变：安全问题访问控制表（Access Control List） 基于访问控制矩阵列的自主访问控制。 每个客体都有一张ACL，用于说明可以访问该客体的主体及其访问权限。 举例：File4File3File2File1File4File3File2File1客体目录r,wUser3rUs

13、er2o,r,wUser1r,wUser3rUser2o,r,wUser1ACL表eUser1eUser1eUser4rUser3o,eUser2eUser4rUser3o,eUser2rUser3rUser2rUser3rUser2o:Ownerr:Readw:Writee:Excute oj表示客体j，si.rw表示主体si具有rw属性。oj 问题：主体、客体数量大，影响访问效率。 解决：引入用户组，用户可以属于多个组。主体标识=主体.组名如Liu.INFO表示INFO组的liu用户。*.INFO表示所有组中的用户。*.*表示所有用户。liu.INFO.rw表示对INFO组的用户liu具有

14、rw权限。*.INFO.rw表示对INFO组的所有用户具有rw权限。*.*.rw表示对所有用户具有rw权限。oj访问能力表（Access Capabilities List） 基于访问控制矩阵行的自主访问控制。 为每个主体（用户）建立一张访问能力表，用于表示主体是否可以访问客体，以及用什么方式访问客体。n举例：r,wFile3rFile2o,r,wFile1r,wFile3rFile2o,r,wFile1文件名rFile3o,eFile2rFile3o,eFile2客体(文件)File1File2File3o:Ownerr:Readw:Writee:Excute权限用户A的目录用户B的目录访问

15、能力表强制访问控制 为所有主体和客体指定安全级别，比如绝密级、机密级、秘密级、无秘级。 不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。 只有安全管理员才能修改客体访问权和转移控制权。（对客体拥有者也不例外）MAC模型绝密级机密级秘密级无秘级写写读读完整性保密性 安全策略安全策略保障信息完整性策略保障信息完整性策略 级别低的主体可以读高级别客体的信息（不保密级别低的主体可以读高级别客体的信息（不保密），级别低的主体不能写高级别的客体（保障信），级别低的主体不能写高级别的客体（保障信息完整性）息完整性）保障信息机密性策略保障信息机密性策略 级别低的主体可以写高级别客体的信息（不保

16、障级别低的主体可以写高级别客体的信息（不保障信息完整性），级别低的主体不可以读高级别的信息完整性），级别低的主体不可以读高级别的客体（保密）客体（保密） 举例： Multics操作系统的访问控制（保密性策略）：仅当用户的安全级别不低于文件的安全级别时，用户才可以读文件；仅当用户的安全级别不高于文件的安全级别时，用户才可以写文件；基于角色的访问控制 起源于UNIX系统或别的操作系统中组的概念（基于组的自主访问控制的变体） 每个角色与一组用户和有关的动作相互关联，角色中所属的用户可以有权执行这些操作 角色与组的区别组：一组用户的集合角色：一组用户的集合 + 一组操作权限的集合 适合专用目的的计算机

17、系统，比如军用计算机系统。RBAC模型用用 户户角角 色色权权 限限访问控制访问控制资资 源源1、认证、认证2、分派、分派3、请求、请求4、分派、分派5、访问、访问一个基于角色的访问控制的实例 在银行环境中，用户角色可以定义为出纳员、分行管理者、顾客、系统管理者和审计员 访问控制策略的一个例子如下：（1）允许一个出纳员修改顾客的帐号记录（包括存款和取款、转帐等），并允许查询所有帐号的注册项（2）允许一个分行管理者修改顾客的帐号记录（包括存款和取款，但不包括规定的资金数目的范围）并允许查询所有帐号的注册项，也允许创建和终止帐号（3）允许一个顾客只询问他自己的帐号的注册项（4）允许系统的管理者询问

18、系统的注册项和开关系统，但不允许读或修改用户的帐号信息（5）允许一个审计员读系统中的任何数据，但不允许修改任何事情 系统需要添加出纳员、分行管理者、顾客、系统管理者和审计员角色所对应的用户，按照角色的权限对用于进行访问控制。2022-3-1843 操作系统的访问矩阵模型是由lampson Denning在20世纪70年代初提出，后经Graham和Denning相继改进的。 数据库系统的访问矩阵模型是Coway在Cornell大学提出的。2022-3-1844 模型是用状态和状态转换的概念定义。其中的状态是用访问矩阵表示的，状态转换是用命令描述的。该模型的特点： 简明：易懂、易理解、易证明； 通

19、用：有能力综合不同策略和应用于多种实现； 精确：有能力忠实地反映策略和系统形态； 与数据式样无关。2022-3-1845 访问矩阵模型是描述保护系统的一种有效手段，能够应用在以下方面： 1. 为研究提供框架：可为安全理论研究提供一个基础，允许研究者把注意力集中在问题突出的特型上，毋需顾及实现细节； 2. 用作设计工具：即用于概括在构造的系统的实现目标，以指导设计； 3. 证明“设计与实现”的正确性工具：因为模型是形式化的，允许做出形式断言并对其进行改进； 4. 用作教育工具：形式化模型免去了自然语言陈述的模糊性，同时它不反映系统的细节，容易理解其实质； 5. 用作比较和评估的工具。2022-3

20、-1846三类要素：系统中的客体集O，是系统中被访问因而也是被保护的对对象，如文件、程序、存储区等；每一个客体oO可由它们的名字唯一地标识别与识别；系统中的主体集S，是系统中访问操作的发起者，如用户、进程、执行域等；每一个主体sS可由它们的名字唯一地标识别与识别；鉴于主体和客体 之间存在控制与被控制的关系，故认为主体也是一种类型的客体，因此有S O；1.系统中主体对客体的访问权限集合R，O、S、R三者之间的关系是以矩阵A的形式表示的，它的行对应某个主体，列对应某个客体，集合R是矩阵的项（元素）的集合，每个项用As,o表示，其中存放着主体s对客体o的访问权或某些特权。2022-3-1847 一个

21、实例：2022-3-1848 访问控制的概念是与安全核技术联系在一起的。 1971年，Lampson提出了引用监控器的设想。其思想是所有主体必须根据系统存取授权表来实现对客体的存取，对客体的每次存取以及授权的改变都必须通过引用监控器。 1972年，Rorer Schell提出了安全核的概念，并把它定义为实现引用监控器的软件与硬件。 1974年，Mitre证实了构筑安全内核的可能性。2022-3-1849 数据库系统的访问矩阵模型 主体通常是用户，客体是文件、关系、记录或记录 中的字段。每一项As,o是一条访问规则，说明用户s可以访问客体o的条件和允许s在o上完成的运算。访问规则是访问权概念的推广。规则可以说明内容无关条件（即能否访问的条件与被访问的客体的内容无关）或内容相关条件。其他还有时间相关、上下文相关、历史相关等。2022-3-1850 数据库系统的访问矩阵模型 数据库的访问规则通常用四元组（s,o,r,p）形式给出，其中p是谓词表达的相关条件。例如：工资管理员只能读月工资不大于200元的雇员的属性表示为：（s,o,r,p）=（工资管理员，EMPLOEE，READ，SALARY200）常用操作系统中的访问控