访问控制 信息系统安全理论与技术（第2版）课件.pptVIP

访问控制ACCESS CONTROL 访问控制与其它安全服务的关系模型 是对进入系统的控制 用户标识+口令;访问卡;生物特性 就是在身份认证的基础上，依据授权对提出的资源访问请求加以控制 是针对越权使用资源的防御措施；防止对任何资源进行未授权的访问 未经授权的使用、泄露、修改、销毁信息以及颁发指令等， 非法用户进入系统 合法用户对系统资源的非法使用 主体（Subject）：或称为发起者(Initiator)，是发出访问操作、存取要求的发起者，通常是用户或用户的某个进程。 客体（Object）：被调用的程序或欲存取的数据，即必须进行控制的资源或目标（target）。 安全访问策略：一套规则，用以确定一个主体是否对客体拥有访问权力； 或称为授权（Authorization）：规定可对该资源执行的动作(读、写、执行或拒绝访问）。 一个主体为了完成任务，可以创建另外的主体，这些子主体可以在网络上不同的计算机上运行，并由父主体控制它们；主客体的关系是相对的。 控制范围划分 网络访问控制和系统访问控制 网络访问控制：外部－内部；内部－外部 源IP地址、源端口；目的IP地址、目的端口； 系统访问控制：不同用户具有不同的主机资源访问权限。 用户的分类 系统管理员：具有最高级别的特权； 系统安全员：负责系统的安全机制； 系统审计员：负责和安全有关的审计任务； 一般的用户：最大的一类用户，他们的访问操作受到一定限制； 作废的用户：被系统拒绝的用户。 访问控制常用的实现方法访问控制矩阵 任何访问控制策略最终可被模型化为访问控制矩阵形式 其中行代表用户所具有的访问能力Capabilities 列代表资源或目标所允许的访问控制Access Control 矩阵元素表示相应的用户对目标的访问许可 访问控制的基本原则 实施对资源访问加以限制的策略的机制。 最小特权原则：权限不超过他执行工作时所需的权限； 多人负责原则：授权分散化； 职责分离原则：不同的责任分派给不同的人员达到互相牵制。 自主访问控制（DAC Discretionary Access Control） 自主访问：具有访问许可的主体能够直接或间接地向其他主体转让访问权（主体有决定权）基于身份的策略 根据主体的身份及允许访问的权限进行决策； 粒度为单个用户，灵活性高，被大量采用。 缺点：信息在移动过程中其访问权限关系会被改变，如用户A可将其对目标O的访问权限传递给用户B，从而使不具备对O访问权限的B可访问O。 基于行CL表 Capabilities List的自主访问控制 在实现自主访问控制的系统中，访问模式的应用是很广泛的。对文件设置的访问模式有以下几种： 读拷贝（read-copy） 写删除（write-delete） 执行（execute） Null（无效）这种模式表示，主体对客体不具有任何访问权。在存取控制表中用这种模式可以排斥某个特定的主体 强制访问控制（Mandatory Access Control）系统强制主体服从访问控制策略 系统对所有主体及其所控制的客体（例如：进程、文件、段、设备）实施强制访问控制。为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的依据。系统根据主体和客体的敏感标记来决定访问模式。如：绝密级，秘密级，机密级，无密级 MAC通过梯度安全标签实现单向信息流通模式 禁止信息从高级别流向低级别 强制性；限制性 访问控制级模式有： 下读（read down）：用户级别大于文件级别的读操作。 上写（Write up）：用户级别小于文件级别的写操作。 下写（Write down）：用户级别大于文件级别的写操作。 上读（read up）：用户级别小于文件级别的读操作。 Bell－Lapadula安全模型 不上读/不下写 Biba安全模型 不下读/不上写 MAC实施的方法： 限制访问控制（木马） DAC允许用户程序修改他拥有文件的存取控制表 用户与敏感文件交互 攻击者创建文件back packet 授予用户写许可权 用户调用木马程序，木马程序（用户安全级别）将敏感信息复制写入到back packet 不下写(公共级) 过程控制：警告用户不要运行某些程序； 系统限制：对系统的功能实施一些限制（共享文件） 存在的问题： 自主访问控制：配置的粒度小；配置的工作量大，效率低 强制访问控制：配置的粒度大；缺乏灵活性 基于角色的访问控制RBAC Role-Based Access Control 授权给用户的访问权限，通常是由用户在一个组织中担当的角色来确定。 RBAC与传统访问控制的差别是增加一层间接性带来了灵活性 用户：可以独立访问资源的主体。 角色：一