chap3：访问控制策略B

计算机平安

ComputerSecurity2024/1/241访问控制战略2024/1/242提要访问控制原理访问控制战略平安核技术的实际根底援用监控器援用监控器与平安核的关系援用监控器及平安核的运用原那么援用监控器模型的缺陷2024/1/243访问控制原理访问控制是根据一套为信息系统规定的平安战略和支持这些平安战略的执行机制实现的。将两者分开讨论的益处：1.独立地讨论系统的访问要求，不与这些要求如何实现联络起来。2.可比较和对比不同的访问控制战略和执行同样战略的不同机制。3.允许我们设计一个有才干执行多种战略的机制。2024/1/245概念通常运用在操作系统的平安设计上。定义：在保证授权用户能获取所需资源的同时回绝非授权用户的平安机制。目的：为了限制访问主体对访问客体的访问权限，从而使计算机系统在合法范围内运用；它决议用户能做什么，也决议代表一定用户身份的进程能做什么。未授权的访问包括：未经授权的运用、泄露、修正、销毁信息以及颁发指令等。非法用户进入系统。合法用户对系统资源的非法运用。访问控制模型根本组成任务识别和确认访问系统的用户。决议该用户可以对某一系统资源进展何种类型的访问。访问控制与其他平安效力的关系模型援用监控器身份认证访问控制授权数据库用户目的目的目的目的目的审计平安管理员访问控制决策单元访问矩阵定义客体(O)主体(S)权限(A)读(R)写(W)拥有(Own)执行(E)更改(C)举例MEM1MEM2File1File2File3File4User1r,w,eo,r,eUser2r,w,eo,r,e问题：稀疏矩阵，浪费空间。访问控制类型自主访问控制强迫访问控制基于角色访问控制访问控制自主访问控制基于对主体或主体所属的主体组的识别来限制对客体的访问，这种控制是自主的。自主指主体可以自主地将访问权或访问权的某个子集授予其他主体。如用户A可将其对目的O的访问权限传送给用户B,从而使不具备对O访问权限的B可访问O。缺陷：信息在挪动过程中其访问权限关系会被改动：平安问题访问控制表〔AccessControlList〕基于访问控制矩阵列的自主访问控制。每个客体都有一张ACL，用于阐明可以访问该客体的主体及其访问权限。举例：oj表示客体j，si.rw表示主体si具有rw属性。s0.rs1.es2.rwoj问题：主体、客体数量大，影响访问效率。处理：引入用户组，用户可以属于多个组。主体标识=主体.组名如Liu.INFO表示INFO组的liu用户。*.INFO表示一切组中的用户。*.*表示一切用户。liu.INFO.rw表示对INFO组的用户liu具有rw权限。*.INFO.rw表示对INFO组的一切用户具有rw权限。*.*.rw表示对一切用户具有rw权限。Liu.INFO.r*.INFO.e*.*.rwoj访问才干表

〔AccessCapabilitiesList〕基于访问控制矩阵行的自主访问控制。为每个主体〔用户〕建立一张访问才干表，用于表示主体能否可以访问客体，以及用什么方式访问客体。举例：强迫访问控制为一切主体和客体指定平安级别，比如绝密级、级、级、无秘级。不同级别的主体对不同级别的客体的访问是在强迫的平安战略下实现的。只需平安管理员才干修正客体访问权和转移控制权。〔对客体拥有者也不例外〕MAC模型绝密级级级无秘级写写读读完好性严密性平安战略保证信息完好性战略级别低的主体可以读高级别客体的信息〔不严密〕，级别低的主体不能写高级别的客体〔保证信息完好性〕保证信息性战略级别低的主体可以写高级别客体的信息〔不保证信息完好性〕，级别低的主体不可以读高级别的客体〔严密〕举例：Multics操作系统的访问控制〔严密性战略〕：仅当用户的平安级别不低于文件的平安级别时，用户才可以读文件；仅当用户的平安级别不高于文件的平安级别时，用户才可以写文件；举例：Security-EnhancedLinux(SELinux)forRedHatEnterpriseLinuxAppArmorforSUSELinuxandUbuntuTrustedBSDforFreeBSD基于角色的访问控制来源于UNIX系统或别的操作系统中组的概念〔基于组的自主访问控制的变体〕每个角色与一组用户和有关的动作相互关联，角色中所属的用户可以有权执行这些操作角色与组的区别组：一组用户的集合角色：一组用户的集合+一组操作权限的集合适宜公用目的的计算机系统，比如军用计算机系统。RBAC模型用户角色权限访问控制资源1、认证2、分派3、恳求4、分派5、访问一个基于角色的访问控制的实例在银行环境中，用户角色可以定义为出纳员、分行管理者、顾客、系统管理者和审计员访问控制战略的一个例子如下：〔1〕允许一个出纳员修正顾客的帐号记录〔包括存款和取款、转帐等〕，并允许查询一切帐号的注册项〔2〕允许一个分行管理者修正顾客的帐号记录〔包括存款和取款，但不包括规定的资金数目的范围〕并允许查询一切帐号的注册项，也允许创建和终止帐号〔3〕允许一个顾客只讯问他本人的帐号的注册项〔4〕允许系统的管理者讯问系统的注册项和开关系统，但不允许读或修正用户的帐号信息〔5〕允许一个审计员读系统中的任何数据，但不允许修正任何事情系统需求添加出纳员、分行管理者、顾客、系统管理者和审计员角色所对应的用户，按照角色的权限对用于进展访问控制。维护系统的访问矩阵模型操作系统的访问矩阵模型是由lampsonDenning在20世纪70年代初提出，后经Graham和Denning相继改良的。

数据库系统的访问矩阵模型是Coway在Cornell大学提出的。2024/1/2430维护系统的访问矩阵模型模型是用形状和形状转换的概念定义。其中的形状是用访问矩阵表示的，形状转换是用命令描画的。该模型的特点：简明：易懂、易了解、易证明；通用：有才干综合不同战略和运用于多种实现；准确：有才干忠实地反映战略和系统形状；与数据式样无关。2024/1/2431维护系统的访问矩阵模型访问矩阵模型是描画维护系统的一种有效手段，可以运用在以下方面：1.为研讨提供框架：可为平安实际研讨提供一个根底，允许研讨者把留意力集中在问题突出的特型上，毋需顾及实现细节；2.用作设计工具：即用于概括在构造的系统的实现目的，以指点设计；3.证明“设计与实现〞的正确性工具：由于模型是方式化的，允许做出方式断言并对其进展改良；4.用作教育工具：方式化模型免去了自然言语陈说的模糊性，同时它不反映系统的细节，容易了解其本质；5.用作比较和评价的工具。2024/1/2432访问矩阵模型三类要素：系统中的客体集O，是系统中被访问因此也是被维护的对对象，如文件、程序、存储区等；每一个客体o∈O可由它们的名字独一地标识别与识别；系统中的主体集S，是系统中访问操作的发起者，如用户、进程、执行域等；每一个主体s∈S可由它们的名字独一地标识别与识别；鉴于主体和客体之间存在控制与被控制的关系，故以为主体也是一种类型的客体，因此有S∈O；系统中主体对客体的访问权限集合R，O、S、R三者之间的关系是以矩阵A的方式表示的，它的行对应某个主体，列对应某个客体，集合R是矩阵的项〔元素〕的集合，每个项用A[s,o]表示，其中存放着主体s对客体o的访问权或某些特权。2024/1/2433访问矩阵模型一个实例：M1M2F1F2P1P2P1r,w,eown,r,ep2r,w,eown,r,e2024/1/2434访问控制的概念是与平安核技术联络在一同的。1971年，Lampson提出了援用监控器的想象。其思想是一切主体必需根据系统存取授权表来实现对客体的存取，对客体的每次存取以及授权的改动都必需经过援用监控器。1972年，RorerSchell提出了平安核的概念，并把它定义为实现援用监控器的软件与硬件。1974年，Mitre证明了构筑平安内核的能够性。2024/1/2435访问矩阵模型数据库系统的访问矩阵模型主体通常是用户，客体是文件、关系、记录或记录中的字段。每一项A[s,o]是一条访问规那么，阐明用户s可以访问客体o的条件和允许s在o上完成的运算。访问规那么是访问权概念的推行。规那么可以阐明内容无关条件〔即能否访问的条件与被访问的客体的内容无关〕或内容相关条件。其他还有时间相关、上下文相关、历史相关等。2024/1/2436访问矩阵模型数据库系统的访问矩阵模型数据库的访问规那么通常用四元组〔s,o,r,p〕方式给出，其中p是谓词表达的相关条件。例如：工资管理员只能读月工资不大于200元的雇员的属性表示为：〔s,o,r,p〕=〔工资管理员，EMPLOEE，READ，SALARY≤200〕2024/1/2437平安核与援用监控器2024/1/2438援用监视器〔ReferenceMonitor〕最简单的访问控制模型是援用监视器，好比用户与目的之间带护卫的大门。援用监视器的概念是与平安核技术联络在一同的。平安核是RogerSchell在1972年初次提出的，并把它定义为援用监视器的软件与硬件。在后来的开展中把援用监视器作为是用平安核技术的维护系统的模型，它是担任实施系统平安战略的硬件与软件的复合体。2024/1/2439援用监控器与平安核的关系援用监控器只是一个学术概念，并不涉及实现它的详细方法。平安核那么是一种实现援用监控器的技术。虽然还有其它系统构造方法也可以满足援用监控器的要求，但是没有一种方法像平安核那样普遍。因此，经常把援用监控器的概念与平安核等同对待，特别是在讨论原理性问题时，这两个术语经常可以互换运用。2024/1/2440平安核技术的实际根底在一个大的操作系统内，只需相对比较小的一部分软件担任实施系统平安。经过对操作系统的重构，将与平安有关的软件隔离在操作系统的一个可信核内，而操作系统的大部分软件无需担任系统平安。平安核部分包括硬件与一个镶嵌的硬件与操作系统之间的软件层，这些软／硬件是可信的，并且位于平安防线之内；与此对应的，操作系统位于平安防线之外，与运用程序结合在一同，是不可信的。2024/1/2441在绝大多数情况下，平安核就是一个初级的操作系统。平安核为操作系统提供效力，正如操作系统为运用程序提供效力一样。同时，正如操作系统对运用程序设置一些必要的限制一样，平安核对操作系统也要提出一些限制，虽然操作系统在实施由平安核实现的平安战略方面不起任何作用，但操作系统要保证系统的运转并且要防止由于程序错误或恶性程序引起的回绝效力，在运用程序或操作系统中的任何错误都不能违反平安战略。2024/1/2442在构造高度平安的操作系统时，平安核技术是目前独一最常用的技术。但这并不是说可以很容易地买到一个或者可以非常容易地构造一个平安核，也不是说基于平安核的系统就是最平安的。2024/1/2443援用监控器模型援用监控器是担任实施系统平安战略的硬件与软件的组合体，可看作是运用平安核技术的维护系统的模型。援用监控器的关键作用是要对主体到到客体的每一次访问都要实施控制，并对每一次访问活动进展审计记录，当用户需求访问目的的时候，首先向监控器提出访问恳求，监控器根据用户恳求核对访问者的权限，以便确定能否允许这次访问。2024/1/2444援用监控器用来处置资源的访问控制这一特定的平安要求。这里平安战略的详细表达是访问断定，而访问断定那么以访问控制数据库中的笼统信息为根据。在访问控制数据库中，笼统信息包括系统的平安形状以及平安属性与访问权限等信息，表达了系统的平安控制条件。访问控制数据库，它随着主、客体的添加与删除以及访问权限与平安属性的改动而改动。2024/1/2445对访问控制数据库的任何修正都要按一定的平安战略受援用监控器的控制。一切主体对客体的访问都要利用存于访问控制数据库中的访问控制信息，并根据援用监控器中的平安战略由援用监控器进展监视和限制。系统中发生的重要平安事件都存于审计文件中，以便跟踪、分析和审计。2024/1/2446在计算机出现的初期，曾运用监控器来识别系统中的程序，它控制着其它程序的运转。随着系统功能的不断提高，监控器变得越来越大，又开场把它称作操作系统。而监控器这个术语只用来表示初级的操作系统。援用监控器是一种特殊的监控器，它仅担任控制对系统资源的访问。通常，与平安有关的其它系统功能也位于平安防线内，但它们并不是援用监控器的组成部分，普通把它们称作可信系统功能。在系统平安防线外的一切系统功能都由操作系统来管理。2024/1/2447援用监控器及平安核的运用原那么援用监控器及其对应的平安核必需满足以下三个原那么：完备性原那么隔离性原那么可验证性原那么2024/1/2448完备性原那么主体在没有对平安内核的援用监控器恳求并获准时，不能访问客体。也就是讲，一切的信息访问都必需经过平安内核。完备性原那么要求支持平安内核构造的系统硬件必需保证任何程序都要经过平安核的控制进展访问。由于内核必需使各个进程独立，并保证未经过内核检查的各进程不能相互联络，因此，假设一台机器的硬件允许一切进程不加约束就能访问物理内存的公共页面，这种机器就不适宜于建立平安内核。2024/1/2449隔离性原那么它本身不能校篡改。隔离性要求内核有防篡改才干。实现时必需将映射援用监控器的平安核与外部系统严密地隔离起来，以防止进程对平安核进展非法修正。实现隔离性原那么也需求硬件与软件的支持。硬件的作用是使内核能防止用户程序访问内核代码和数据，这与完好性原那么中内核防止进程之间非法通讯是属于同一种内存管理机制。此外，还必需防止用户程序执行内核用于内存管理的特权指令。当然，这些对内存访问的控制可以多层环域技术来实现，也可以把内核代码装入系统的ROM中来提供更强的隔离性。2024/1/2450验证性原那么它本身的正确性能得到证明或验证。为了满足可验证性，援用监控器模型应该可以准确地定义平安的含义，尽能够地从中尽量剔除与平安无关的功能，使内核尽能够小，尽能够使内核接口功能简单明快。并且还要证明模型中的功能与平安的定义是一致的。为了使内核具有可验证性，该当支持平安内核可验证性的根本技术是建立平安内核的数学模型，然后对模型进展方式化的或者非方式化的一致性论证。模型的构造方法应该有利于使模型本身的平安性得到某种相应的证明。2024/1/2451实际中的问题刚提出援用监控器概念时，人们以为可以构造一个足够小的平安核来穷尽测实验证，且以为模型与实现间的一致性可经过测试由模型所定义的系统的一切平安形状来证明，至少可以使足够多的形状满足测试要求，使得平安破绽几乎不能够出现。但从实践中看，除非平安核具有简单功能，否那么要想进展全面彻底的测试是不能够的。迄今为止，没有哪个大系统能完全满足上述一切三项原那么。此外，单纯的测试还缺乏以证明平安核的平安性，还必需进展模型到代码之间的一致性验证。因此，援用监控器方法是尽能够遵照这三项原那么，但任何人都不能担保一个基于平安内核的系统是完全绝对平安的。2024/1/2452援用监控器模型的缺陷援用监控器模型的优点是易于实现。但有以下缺乏：援用监控器主要还是作为单级平安模型运用的，受监视的目的要么允许被访问，要么不允许被访问。受监控的目的只需简单的平安性，即二级平安性。监视器模型不顺应更复杂的平安要求。2024/1/2453系统中一切对受监控目的的访问要求都由监控器检查核实，监控程序将被频繁调用，这将使监控器能够成为整个系统的瓶颈，影响系统效率。假设允许监视器记录下某用户第一次访问时用户的权限信息，以便在该用户以后的访问中直接查询这些权限信息。虽然这样可以加快访问速度，但这种处置方法容易产生平安破绽，不能满足高平安级别系统的要求。例如C2级系统就要求对每一个主体的每一次访问都必需进展身份核对。2024/1/2454监控器只能控制直接访问，不能控制间接访问。假设只需用户A有权接纳机要文件并担任登记任务，把收到的文件标题与收到日期记录到计算机文件FILE中；用户B无权接纳机要文件，也无权阅读FILE的内容，但有权阅读文件目录和文件的属性〔如文件长度、修正日期等〕。用户B可以根据FILE文件的修正日期和文件的长度变化判别用户A能否收到新的机要文件。监控器模型无法不让B间接获得这种信息。这是一种信息流控制问题，我们将在以后讨论。2024/1/2455也有不少系统采用平安核技术去实现多级平安功能，实现BLP模型的自主与强迫平安战略。平安核技术普通提供两种典型的支持自主访问控制的功能：提供一种直接的核调用，它允许一个用户〔或一个进程〕对某个客体设置访问权；对主体到客体的每一次访问都按所设置的访问权进展访问监控。根据自主访问控制的规那么，允许一个合法的用户自主地将它拥有的客体访问权分配给其它用户。而平安核虽然可以对主体修正客体访问权的操作加以控制，但并不能控制对客体设置何种访问权，这就使特洛伊木马攻击有可乘之机了。虽然也可以采取一些措施加以防备，但终，因访问监控器模型本身的缺陷，无法从根本上处理问题。2024/1/2456形状转换维护系统的形状变化表达为访问方式的变化，系统形状的转换是依托一套本原命令来实现的，这些命令是用一系列改动访问矩阵内容的本原操作来定义的。在访问矩阵模型中定义了6个本原操作，如下表所示：2024/1/24572024/1/2458这些操作是以访问矩阵中一定主、客体和权益能否存在为条件的，并担任对系统维护形状监控器的控制。假定命令执行前，系统的维护形状是Q=〔S，O，A〕；当某命令执行后，系统地维护形状变为Q’=(S’,O’,A’);每条命令执行的条件和执行后构成的新形状Q’。2024/1/2459这里r表示权益，s和o表示1到k之间的整数。一个命令的条件能够为空。但假定每条命令至少完成一个操作。2024/1/24602024/1/2461西安电子科技大学计算机与网络平安教育部重点实验室模型评价访问矩阵模型具有以下优点：简明—易懂、易了解、易证明。通用—有才干综合不同战略和运用于多种实现。准确—有才干忠实地反映战略和系统形状。与数据式样无关。2024/1/2462模型评价基于访问矩阵的访问控制模型在拥有它无可比较的优点的同时，也有其本身设计带来的缺陷：假设不详细检查整个访问矩阵，很难保证系统的平安性；在大型系统中，访问矩阵非常庞大，但其中很多元素是空的，因此以矩阵的方法来实现访问矩阵是不太现实的；由于客体的拥有者可以授予或取消其它主体对该客体的访问权限，这就呵斥了很难预测访问权限是在系统中是如何传播的，给系统的管理呵斥了很大的困难。不能防备特洛伊木马。它无法实现多级平安战略。2024/1/2463模型的实现方法1、访问控制列表(AccessControlLists)较流行的实现访问矩阵的方法是访问控制列表，又称为ACLs.在这种实现方法中，每一个客体与一个ACL相对应：指明系统中的每一个主体获得对此客体的访问的相应授权，如读、写、执行等等。2024/1/2464西安电子科技大学计算机与网络平安教育部重点实验室文件File1的访问控制列表(ACLs)2024/1/2465西安电子科技大学计算机与网络平安教育部重点实验室2．权能(Capabilities)列表相对于访问控制列表ACLs基于客体来实现访问矩阵来说，权能列表那么是基于主体来实现访问矩阵的。在这种方法中，每一个主体与一称为“权能列表(CapabilitiesLists)〞的列表相联络，该列表指明系统中的某一个主体拥有对哪些客体的访问权限。这种方法相应于将访问矩阵以行的方式来存储。2024/