计算机安全与保密(3-1)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
12
通常DAC通过授权列表(或访问控制列表)来限定哪些主 体针对哪些客体可以执行什么操作。如此将可以非常灵活 地对策略进行调整。由于其易用性与可扩展性,自主访问 控制机制经常被用于商业系统。
访问控制矩阵
任何访问控制策略最终均可被模型化为访问矩阵形式:行对应 于用户,列对应于目标,每个矩阵元素规定了相应的用户对应 于相应的目标被准予的访问许可、实施行为。 按列看是访问控制表内容, 按行看是访问能力表内容
访问控制
1
访问控制的有关概念
访问控制的策略和机制
2
访问控制的Hale Waihona Puke Baidu念和目标
一般概念 —— 是针对越权使用资源的防御措施。 基本目标: 防止对任何资源(如计算资源、通信资源或信息资源)进行未 授权的访问。 未授权的访问包括: 非法用户进入系统。 合法用户对系统资源的非法使用。
3
访问控制的目标
Bell-LaPadula模型
强制访问控制(MAC)中,系统包含主体集S和客体集O,每个S 中的主体s及客体集中的客体o,都属于一固定的安全类SC,安 全类SC=<L,C>包括两个部分:有层次的安全级别和无层次的安 全范畴。构成一偏序关系≤。 Bell-LaPadula:保证保密性 -简单安全特性(无上读):仅当l(o)≤l(s)且s对o具有自主型读权 限时,s可以读取o (主体不可读安全级别高于它的数据 ) *-特性(无下写):仅当l(s) ≤l(o) 且s对o具有自主型写权限时,s 可以写o (主体不可写安全级别低于它的数据 )
•
强制访问控制(mandatory policies,MAC),基于规则的访问控制 (Rule Based Access Control) 特点:取决于能用算法表达的并能在计算机上执行的策略。(用 来保护系统确定的对象,对此对象用户不能进行更改。也就是说, 系统独立于用户行为强制执行访问控制,用户不能改变他们的安 全级别或对象的安全属性。)
时间和空间唯一,全局惟一的48位数字 S-1-5-21-1507001333-1204550764-1011284298-500
SID带有前缀S,它的各个部分之间用连字符隔开 第一个数字(本例中的1)是修订版本编号 第二个数字是标识符颁发机构代码(对Windows 2000来说总是为5) 然后是4个子颁发机构代码(本例中是21和后续的3个长数字串)和一 个相对标识符(Relative Identifier,RID,本例中是500)
22
Win2000的访问控制-1
DAC,采用ACL 帐户(user accounts) 定义了Windows中一个用户所必要的信息,包括口令、安全 ID(SID)、组成员关系、登录限制,… 组:universal groups、global groups、local groups Account Identifier: Security identifier (SID)
访问控制表(ACL)
每个客体附加一个它可以访问的主体的明细表。
15
访问能力表(CL)
每个主体都附加一个该主体可访问的客体的明细表。
16
ACL、CL访问方式比较(1)
• ACL
17
ACL、CL访问方式比较(2)
• CL
18
ACL、CL访问方式比较(3)
鉴别方面:二者需要鉴别的实体不同 保存位置不同 浏览访问权限不同 访问权限回收不同 多数集中式操作系统使用ACL方法或类似方式 由于分布式系统中很难确定给定客体的潜在主体集,在现代OS中 CL也得到广泛应用
11
自主访问控制概念
•
自主访问控制(discretionary policies,DAC),基于身份的访问 控制(Identity Based Access Control)
特点: 根据主体的身份及允许访问的权限进行决策 。
自主是指具有某种访问能力的主体能够自主地将访问权的某个子集 授予其它主体。(允许对象的属主来制定针对该对象的保护策略) 灵活性高,被大量采用。 缺点: 信息在移动过程中其访问权限关系会被改变。
访问控制机制与策略独立,可允许安全机制的重用。 安全策略之间没有更好的说法,只是一种可以比一种提供更多的 保护。应根据应用环境灵活使用。
9
访问控制策略
自主访问控制 强制访问控制 基于角色的访问控制 其他访问控制策略
10
自主访问控制
自主访问控制概念 访问控制表 能力表 自主访问控制的授权管理
27
Linux中的访问控制-2
Linux文件系统安全模型与两个属性相关 文件的所有者(ownership) 文件所有者的id,UID 文件所有者所在用户组的id,GID
每个文件和其创建者的UID和GID关联 一个进程通常被赋予其父进程的UID和GID Root的UID: 0 第1个标志:d(目录), b(块系统设备), c(字符设备), . (普通文件) 第2-4个标志:所有者的读、写、执行权限 第5-7个标志:所有者所在组的读、写、执行权限 第8-10个标志:其他用户的读、写、执行权限
5
访问控制系统的基本组成
6
访问控制与其他安全服务的关系
访问控制的有关概念 访问控制的策略和机制
8
访问控制策略与机制
访问控制策略(Access Control Policy):访问控制策略在系统安全 策略级上表示授权。是对访问如何控制,如何作出访问决定的高层 指南。 访问控制机制(Access Control Mechanisms):是访问控制策略 的软硬件低层实现。
34
MAC Information Flow
35
Bell-LaPadula的例子
说明: 防火墙所实现的单向访问机制,它不允许敏感数据从内部 网络(例如,其安全级别为"机秘")流向Internet(安全 级别为"公开"),所有内部数据被标志为"机密"或"高密"。 防火墙提供"上读"功能来阻止Internet对内部网络的访问, 提供"下写"功能来限制进入内部的数据流只能经由由内向 外发起的连接流入(例如,允许HTTP的"GET"操作而拒绝 "POST"操作,或阻止任何外发的邮件)。
25
共享对象的访问权限
•访问权限: (1)完全控制 (2)拒绝访问 (3)读 (4)更改
26
Linux中的访问控制-1
采用DAC Linux系统将设备和目录都看作文件。 对文件有三种访问权限:读、写、执行 系统将用户分为四类: 根用户(root):具有最大权利 所有者(Owner):文件的所有者,一般可以读写执 行文件 组(User Group):所有者所在组 其他用户(Other Users)
直接来讲,要考虑数据的保秘性. 例如.假如一个用户, 他的安全级别为"高密",想要访问安全级别为"秘密"的文 档,他将能够成功读取该文件,但不能写入;而安全级别 为"秘密"的用户访问安全级别为"高密"的文档,则会读取 失败,但他能够写入。这样,文档的保秘性就得到了保障。
Biba模型
七十年代,Ken Biba提出了Biba访问控制模型,该模型对 数据提供了分级别的完整性保证,类似于BLP保密性模型, Biba模型也使用强制访问控制系统。 Biba完整性模型对主体和客体按照强制访问控制系统的哲 学进行分类,这种分类方法一般应用于军事用途。
将主体和客体分级,根据主体和客体的级别标记来决定访问模式。 如,绝密级,机密级,秘密级,无密级。 其访问控制关系分为:上读/下写 , 下读/上写
31
这样的访问控制规则通常对数据和用户按照安全等级划分标签, 访问控制机制通过比较安全标签来确定的授予还是拒绝用户对资 源的访问。强制访问控制进行了很强的等级划分,所以经常用于 军事用途。 在强制访问控制系统中,所有主体(用户,进程)和客体(文件, 数据)都被分配了安全标签,安全标签标识一个安全等级。 用一个例子来说明强制访问控制规则的应用,如WEB服务以"秘密" 的安全级别运行。假如WEB服务器被攻击,攻击者在目标系统中以 "秘密"的安全级别进行操作,他将不能访问系统中安全级为"机密 "及"高密"的数据。
20
• •
访问模式Access Mode
系统支持的最基本的保护客体:文件,对文件的访问模 式设置如下: (1)读-拷贝(Read-copy) (2)写-删除(write-delete) (3)运行(Execute) (4)无效(Null)
21
自主访问控制的授权管理
集中式管理:只有单个的管理者或组对用户进行访问控 制授权和授权撤消。 分级式管理:一个中心管理者把管理责任分配给其它管 理员,这些管理员再对用户进行访问授权和授权撤消。 分级式管理可以根据组织结构而实行。 所属权管理:如果一个用户是一个客体的所有者,则该 用户可以对其它用户访问该客体进行授权访问和授权撤 消。 协作式管理:对于特定系统资源的访问不能有单个用户 授权决定,而必须要其它用户的协作授权决定。 分散式管理:在分散管理中,客体所有者可以把管理权 限授权给其他用户。
保护存储在某些机器上的个人信息或重要信息的保密 性 维护机器内系统的完整性 减少病毒感染的机会
4
主体、客体和授权
客体(Object):规定需要保护的资源,又称作目标(target)。 主体(Subject):或称为发起者(Initiator),是一个主动的实体, 规定可以访问该资源的实体,(通常指用户或代表用户执行的程 序)。 授权(Authorization):规定可对该资源执行的动作(例如读、写、 执行或拒绝访问)。 主客体的关系是相对的。
Bell-LaPadula模型
保密性模型是第一个能够提供分级别数据机密性保障的安 全策略模型(多级安全)。 1973年,David Bell和Len LaPadula提出了第一个正式的 安全模型,该模型基于强制访问控制系统,以敏感度来划 分资源的安全级别。将数据划分为多安全级别与敏感度的 系统称之为多级安全系统 Bell-LaPadula (BLP) 安全模型对主体和客体按照强制访 问控制系统的哲学进行分类,这种分类方法一般应用于军 事用途。
23
Win2000的访问控制-2
所有对对象的访问都要通过安全子系统的检查 系统中的所有对象都被保护起来 文件、目录、注册表键 内核对象 同步对象 私有对象(如打印机等) 管道、内存、通讯,等 对象的安全描述符(security descriptor)SD 包含了与一个安全对象有关的安全信息
19
ACL:基于个人和组的策略
• • 基于个人:根据哪些用户可对一个目标实施哪一种行为的 列表来表示。等价于用一个目标的访问矩阵列来描述。 基于组:一组用户对于一个目标具有同样的访问许可。相 当于,把访问矩阵中多个行压缩为一个行。实际使用时, – 先定义组的成员 – 对用户组授权 – 同一个组可以被重复使用 – 组的成员可以改变 基于组的策略在表示和实现上更容易和更有效 基础(前提):一个隐含的、或者显式的缺省策略 – 例如,全部权限否决
24
Win2000的访问控制-3
Security Access Token
是对一个进程或者线程的安全环境的完整描述 包括以下主要信息 用户帐户的SID 所有包含该用户的安全组的SIDs 特权:该用户和用户组所拥有的权利 Owner Default Discretionary Access Control List (DACL) …… 这是一个基本的安全单元,每个进程一个
访问权限(access rights): 10个标志
用chmod修改权限:字符方式和数字方式
28
访问控制策略
自主访问控制 强制访问控制 基于角色的访问控制 其他访问控制策略
29
强制访问控制
强制访问控制的概念 Bell-LaPadula模型 Biba模型
30
强制访问控制
Security identifiers (SIDs) for the owner and primary group of an object DACL(discretionary access-control list) SACL(system access-control list) 以及一组控制标记