授权和访问控制.pptVIP

CSE434/598 - Gannod 授权(Authorization)和访问控制 访问控制定义 资源的所有者或者控制者准许其他人访问这种资源，防止未授权的访问 对于进入系统的控制机制 几种安全需求(安全服务) 信息安全的基本定义包括 必威体育官网网址性、完整性、可用性 系统安全 必威体育官网网址性、身份认证、访问控制 访问控制模型：Reference Monitor 解释了主体和客体之间实施访问控制的机制 基本模型：Reference Monitor ACL、CL访问方式比较 例：混乱代理问题 Assume: Alice调用编译器，她提供BILL作为调试文件名。由于Alice并没有权力访问BILL文件，所以这个命令应该失败，然而编译器为Alice工作的，有权利重写BILL。 编译器是作为Alice的代理而工作，应该执行Alice的权利，而非自己的权力（混乱代理） 对于ACL很难解决此问题 对于CL易于解决此问题。CL容易被委派，而ACL却不能。在苦于CL的系统中，当Alice调用编译器时，她可以把她的CL表给编译器，编译器在试图建立调试文件前，要检查Alice的能力表，以检查Alice权限。 ACL、CL访问方式比较 当用户管理自己的文件和保护数据时，ACL较合适，在ACL下，对某个资源改变权力是容易的。 CL很容易委派，因而增加或删除用户很容易。 CL实现起来更为复杂一些，有时无法实现，因此，多数集中式操作系统使用ACL方法或类似方式 由于分布式系统中很难确定给定客体的潜在主体集，在现代OS中CL也得到广泛应用 访问控制策略 两种类型 自主式策略(DAC, discretionary access controls) 强制式策略(MAC, mandatory access controls) 基于角色的访问控制策略(RBAC, Role Based Access Control) Bell-LaPadula Model – 形式化的状态转移模型，它要求系统的初始状态是安全的，用于状态转移的规则/操作也是安全的。规则安全也就是能保证经过该操作，系统的安全性保持不变。这个模型的自身提供二十几条操作，它的目的就是让目前的流行系统往上面靠拢，也就是证明它们是等价。 目的：将遵循军事安全策略的计算机操作模型化、形式化，用于描述计算机的多级操作规则。 Bell-LaPadula Model 每个主体和客体都定义了一个访问类结构 。所有的访问类结构在逻辑上构成一个格（Lattice）------特殊的偏序关系（支配dominate =）。 Lattice的数学性质 自反：A=A 反对称： A=B,B=A----?A=B 传递性 上下界方面的规定 证明了20个状态转移函数 基于角色的访问控制方式 首先，RBAC是一种策略无关的访问控制技术，它不局限于特定的安全策略，几乎可以描述任何的安全策略，甚至DAC和MAC也可以用RBAC来描述 RBAC具有自管理的能力，利用RBAC思想产生出的ARBAC(Adminstrative RBAC)模型很好地实现了对RBAC的管理 RBAC技术还不十分成熟，在角色配置的工程化、角色动态转换等方面还需要进一步研究 RBAC比DAC和MAC复杂，系统实现难度大 RBAC的策略无关性需要用户自己定义适合本领域的安全策略，定义众多的角色和访问权限及它们之间的关系也是一件非常复杂的工作 隐蔽通道 定义：是一个并不为系统设计者所预期其存在的通信路径。 隐蔽通道的存在必须满足三个条件： 发送者和接收者必须访问共享的资源 发送者必须能够修改共享资源的某些特性，且这些修改是接收者能够观察到的 发送者与接收者必须能够通信同步。 隐蔽通道不可消除，重点是如何限制这类通道的影响范围。唯一可能完全消除所有隐蔽通道的方法是取消所有共享资源和所有通信。 推理控制 允许访问统计的重要数据，又要保护隐私。 控制查询集大小（有时也会妨碍重要研究的开发） N回答或K%控制规则。如果一个查询的K%或更多的结果是由N个或更少的主体所提供的，则不允许该查询结果的发布 随机数据扰乱。将一部分随机噪音加到数据中。但噪音可能会淹没正常的数据。 CAPTCHA 全自动 区分计算机和人类的图灵测试（CAPTCHA）是人可以通过但计算机确不能通过的测试，且正确概率大于猜测的概率。 图形 基于音频，其中的声音经过某种方式的歪曲处理。 基于问题的。 该技术已用于e-mail服务所使用，用于阻止从大量自动注册的e-mail帐号发送的垃圾邮件。 基于网络的访问控制 防火墙体系 防火墙(Firewall) 防火墙的基本设计目标 对于一个网络来说，所有通过“内部”和“外部”的网络流量都要经过防火墙 通过一些安全策略，来保证只有经过授权的流量才可以通过防火