软件安全技术-访问控制技术、安全保障课件

1、第2章 软件安全技术本章教学目标及重点教学目标密码学的概念加密方法与技术；身份验证技术；访问控制技术；安全保障；防火墙技术；入侵检测与安全扫描；安全配置管理。重点加密方法与技术访问控制入侵检测与安全扫描本节安排2.3 访问控制技术2.4 安全保障2.3 访问控制技术定义2.3.1 访问控制概述访问控制是在保障授权用户能获取所需资源的同时，拒绝未授权用户的安全机制，是计算机安全的传统重心。访问控制三要素2.3.1 访问控制概述主体：通常指用户，或代表用户意图运行进程或设备。客体：通常是指信息的载体或从其他主体或客体接收信息的实体。控制策略：主体对客体的访问规则集。控制策略的要求2.3.1 访问控

2、制概述机密性完整性可审计性可用性访问控制遵循的规则2.3.1 访问控制概述最小权限原则自动防故障默认原则权限分离原则完全仲裁原则开放式设计原则最小公共机制原则机制经济性原则心理可接受性原则2.3.2 组和角色访问控制就是主体访问客体时所享有的权限。目前主要采用基于“角色”的访问控制技术。它实际上一种访问模型“用户-角色-权限”，也就是说，用户处于什么样的角色，他就拥有基于这个角色的权限。相关定义2.3.2 组和角色用户是对数据对象进行操作的主体,可以是人、机器人和计算机等。角色这个概念源于实际工作中的职务;一个具体职务代表了在工作中处理某些事务的权利。权限是对某一数据对象可操作的权利。组是一群

3、用户的集合，这个集合中的用户在系统中的角色相同，拥有相同的权限。实例2.3.2 组和角色根据不同的用户组所拥有的权限，用户A和B也拥有不同的权限。用户A作为guest用户，那他只拥有读的权限；用户B因为属于admin用户组，则他同时拥有读、写和执行的权限。基于角色的访问控制（RBAC）2.3.2 组和角色对系统操作的各种权限不是直接授予具体的用户，而是在用户集合与权限集合之间建立一个角色集合。访问控制表分类2.3.2 组和角色用户表操作系统的实际用户表，存储用户的基本信息账户、姓名、密码等角色表根据用户不同的工作岗位划分为不同的职责，在系统中映射为不同的角色。权限表不同的权限所能操作的资源集合

4、。用户到角色映射表用户和角色对应关系表。角色到权限映射表角色权限的集合。访问控制列表(ACL，Access Control List)2.3.3 访问控制技术ACL是以文件为中心建立的访问权限表。它的优点是实现简单，对系统性能影响较小。从技术分析，ACL是通过使用和维护一个访问控制矩阵(ACM, Access Control Matrix)来实现控制管理。访问控制矩阵是通过矩阵形式表示访问控制规则和授权用户权限的方法。访问控制矩阵是二维的，包含三个元素：主体（S）、客体（O）和访问权限（P）。File 1File 2File 3Program 1S1R WR WXS2RR WS3RX R访问控

5、制矩阵2.3.3 访问控制技术如果系统中用户和资源（客体）都非常多，而每个用户可能访问的资源有限，将出现庞大的访问控制矩阵中存在很多空值的情况，从而造成矩阵的存储空间的浪费。简单的解决方式是将访问控制矩阵按行或按列进行划分。如果按行划分，得到访问控制能力表。即对于每个用户，能力表列出可以使用的客体和对客体的访问能力。如果按列进行划分，可得到广泛应用的访问控制列表。即对于每个资源，访问控制列表中列出可能的用户和用户的访问权限。因此，访问控制矩阵是能力表和列表的综合体现，关键看表的核心是用户还是文件；以用户为核心，则是能力表（行表）；以文件为核心，则是列表。相关概念2.3.3 访问控制技术能力表“

6、能力”是访问控制中的一个重要概念，它指访问请求者所拥有的一个有效标签，授权标签表明的持有者可按何种方式访问特定的客体。自主访问控制是由客体的属主对自己的客体进行管理，由属主自己决定是否将自己客体的访问权或部分访问权授予其他主体，这种控制方式是自主的。强制访问控制用于将系统中的信息分密级和类进行管理，以保证每个用户只能访问到那些被标明可以由他访问的信息的一种访问约束机制。“锁”与“钥匙”2.3.3 访问控制技术它是指一部分信息(锁)与客体相关联，另一部分信息(钥匙)与授权访问该客体的主体以及允许主体访问客体的方式相关联。当主体打算访问客体时，就检查主体的钥匙集。如果主体有一把钥匙与客体的任一把锁

7、相对应，就赋予主体正确的访问类型。在锁与钥匙的密码学实现中，客体o由一个密钥加密，主体拥有解密密钥。为了访问客体，主体对客体进行解密。 Windows NT安全机制原则2.3.4 操作系统的访问控制用对象表现所有的资源 只有 Windows NT 才能直接访问这些对象对象能够包含所有的数据和方法对象的访问必须通过 Windows NT 的安全子系统的第一次验证存在几种单独的对象，每一个对象的类型决定了这些对象能做些什么Windows NT 安全特性2.3.4 操作系统的访问控制Windows NT 把所有的资源作为系统的特殊的对象。这些对象包含资源本身，所以我们把 Windows NT 还称为

8、基于对象的操作系统。Windows的主要对象类型包括：文件，文件夹，打印机，I/O 设备，窗口，线程，进程，内存等。Windows NT的访问控制形式2.3.4 操作系统的访问控制对象许可对象许可就是自主访问控制系统范围用户权利在分配给组的时候，允许一种基于角色的访问控制。Windows NT中的访问控制列表2.3.4 操作系统的访问控制自主访问控制列表自主访问控制列表包含了用户和组的列表，以及相应的权限。系统访问控制列表是为审核服务的，包含了对象被访问的时间。这两种访问控制列表中都包含访问控制项（Access control entries ACE），它包含了用户或组的 SID 以及对象的权

9、限。访问控制项有两种：允许访问和拒绝访问。拒绝访问的级别高于允许访问。Windows NT访问控制过程2.3.4 操作系统的访问控制UNIX访问控制2.3.4 操作系统的访问控制在UNIX系统中，为每个用户分配一个用户ID（user ID,UID），以整数表示。用户可以属于“组”，组是允许人们在合作项目上工作的虚拟集合。每个组都有自己的标识符，称为组ID（group ID，GID）。用户可以属于多个组。示例2.3.4 操作系统的访问控制-rwxr-xr-1 jim hp 4月9日17:50 test.txt test.txt文件拥有者是jim，jim拥有读、写、执行的权限，jim所属的用户组是

10、hp，组成员拥有读和执行的权限， 其他用户只拥有读的权限。UNIX访问控制的基础2.3.4 操作系统的访问控制当用户执行一个程序时，执行这个程序的用户的UID被分配给执行执行中的程序和它所有的子进程。当进程试图访问某一个对象时，操作系统先检查被分配给该进程的有效UID和有效GID，然后再查看它们是否拥有访问权限。2.4 安全保障2.4.1 安全保障模型及常见方法信息系统安全保障是在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现组织

11、机构的使命。安全保障模型2.4.1 安全保障模型及常见方法 安全保障方法形式化方法是用一套特制的表意符号(其意义可以解释的)去表示概念、判断、推理，获得它们的形式结构，从而把对概念、判断、推理的研究，转化为对形式符号表达式系统的研究的方法。凡是采用严格的数学工具、具有精确数学语义的方法，都可称为形式化方法。非形式化方法使用自然语言来描述概念、判断、推理。此方法在证明上的严密性最低。半形式化方法也使用自然语言来描述概念、判断、推理，但也使用了类似形式化方法的手段来增强严密性的证明。2.4.1 安全保障模型及常见方法信息系统安全问题来源：需求定义的遗漏和错误；系统设计的缺陷；硬件缺陷，如接线和芯片

12、的缺陷；软件执行错误，如程序错误和编译错误；系统使用或操作中的错误，以及不经意的失误；故意滥用系统；系统硬件、通信部件或其他设备故障；环境影响，包括自然因素和非自然因素；系统升级、维护错误以及停止运转2.4.1 安全保障模型及常见方法安全保障技术策略的安全保障设计的安全保障实现的安全保障运行的安全保障建造可信的系统2.4.1 安全保障模型及常见方法开发系统时，系统就开始了其生命周期。系统设计和编码就是工作的例子，计划、配置以及规范的选择和使用都是管理工作的例子。所有这些工作都贯穿于系统从基本的构想开始到项目的确定、系统开发、系统实施、系统维护、最后到系统退役的整个过程中。生命周期2.4.1 安

13、全保障模型及常见方法需求定义和分析阶段系统和软件设计阶段实现和单元测试阶段整合和系统测试阶段系统运行和维护阶段需求定义和分析中的安全保障2.4.1 安全保障模型及常见方法安全威胁指破坏保密性、完整性或者造成拒绝服务。安全威胁可能来自系统外部，也可能来自系统内部；每种被识别出来的安全威胁都应该有相应的应对手段。安全策略就是一系列安全需求的规范说明，是提供安全服务的一套准则，概括地说，一种安全策略要表明当系统在进行一般操作时，什么是安全范围允许的，什么是不允许的。系统和软件设计中的安全保障2.4.1 安全保障模型及常见方法设计的安全保障是确认系统设计满足系统安全需求的过程。设计保障技术需要用到需求

14、规范和系统设计规范，是一个检查设计是否满足需求的过程。模块化和分层的设计和实现方法可以简化系统的设计和实现，从而使系统的安全分析更加可行。描述规范的方法决定了验证规范所能使用的技术。需求跟踪是标识在某个规范中的不同部分满足特定安全需求的过程。模型检验则是检验特定规范是否满足特定模型的约束。系统实现和整合中的安全保障2.4.1 安全保障模型及常见方法证明一个实现是否满足安全需求的最好方法就是测试。安全测试的方法可使系统实现和整合过程能有更多的安全保障。系统是模块化的，在可能的情况下，尽量将与安全无关的功能从实现安全功能的模块中去掉。对模块化的系统进行整合时，良好的模块设计和模块接口的设计显得尤为

15、重要，使用一些管理方面的支持工具也将很有帮助。两种典型的测试技术2.4.1 安全保障模型及常见方法功能测试黑盒测试，用于测试一个实体满足设计规范的程度。结构化测试白盒测试，其测试用例都是在对代码的分析的基础上得出的。安全测试的内容2.4.1 安全保障模型及常见方法安全功能测试主要测试相关文档中描述的安全功能安全结构化测试对实现安全功能的代码进行结构化测试安全需求测试针对用户需求中的安全需求部分进行测试系统运行和维护中的安全保障2.4.1 安全保障模型和方法系统实施完成后进入运行阶段，运行时可能会出现错误，所以还需要对系统进行维护。热修复只是即时修改错误，然后将修正版本发布定义2.4.2 审计审

16、计是事后认定违反安全规则行为的分析技术。日志提供了一种安全机制，它能分析系统的安全状态，能判断某个请求的行为是否会使系统处于不安全状态，或判断一个事件序列是否会导致系统处于不安全(或危及安全)状态。 审计系统2.4.2 审计日志记录器收集数据分析器分析数据通告器通报结果 定义2.4.3 系统评估系统评估是一种以具体的安全功能要求和安全保障证据为基础，对系统进行可信度测量的技术。 可信计算机系统评估标准(TCSEC, Trusted Computer System Evaluation Criteria)2.4.3 系统评估TCSEC标准是计统评算机系统安全评估的第一个正式标准，具有划时代的意义

17、。TCSEC将计算机系统的安全划分为4个等级、7个级别。每个等级都包含了相应的功能需求和安全保障需求。随着评估级别的提高，功能需求和安全保障需求都会不断地增加和提高。TCSEC的安全功能需求：2.4.3 系统评估身份识别和认证需求详细说明了系统是如何标识用户的身份，以及认证该用户的身份。自主访问控制需求确定了一种访问控制机制，访问控制的权限由访问对象的拥有者来自主决定，也可由被授权控制对象访问的人来决定。强制访问控制需求在低于B1级的评估等级中并不要求，个人用户不能改变这种控制；根据一个具体的安全模型，通过预设的规则来进行。审计需求要求系统中存在一种审计机制并保护审计数据。TCSEC的保障需求：2.4.3 系统评估配置管理需求要求验证所有的配置项，验证所有的文档和代码之间的一致性，以及验证用于生成TCB的工具。可信软件发布需求要求保证软件原版和在线版本之间的一致性和完整性，并保证用户的接收过程是安全的。系统体系结构需求要求系统模块化、复杂性最小化等。目标是使TCB尽可能简短。设计规范和验证需求在不同的评估等级中差别很大。评估等级C