第六章訪問控制技術(shù)

,第六章訪問控制技術(shù),第一節(jié)訪問控制概述,第二節(jié)訪問控制的類型,第三節(jié)安全模型,第四節(jié)訪問控制模型的實(shí)現(xiàn),第六章訪問控制技術(shù),一訪問控制的基本任務(wù),訪問控制的基本任務(wù)是對(duì)計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)采取有效的安全防范措施，防止非法用戶進(jìn)入系統(tǒng)及合法用戶對(duì)系統(tǒng)資源的非法使用。,第一節(jié)訪問控制概述,第六章訪問控制技術(shù),認(rèn)證就是證實(shí)用戶的身份，認(rèn)證必須和標(biāo)識(shí)符共同起作用。,一訪問控制的基本任務(wù),第一節(jié)訪問控制概述,1用戶身份認(rèn)證,第六章訪問控制技術(shù),系統(tǒng)正確認(rèn)證用戶以后，根據(jù)不同的ID分配給不同的使用資源，這項(xiàng)任務(wù)稱作授權(quán)。授權(quán)的實(shí)現(xiàn)是靠訪問控制完成的。,一訪問控制的基本任務(wù),第一節(jié)訪問控制概述,2授權(quán),第六章訪問控制技術(shù),如何決定用戶的訪問權(quán)限：,（1）用戶分類,一訪問控制的基本任務(wù),第一節(jié)訪問控制概述,第六章訪問控制技術(shù),如何決定用戶的訪問權(quán)限：,（2）資源及使用,磁盤與磁帶上的數(shù)據(jù)集、遠(yuǎn)程終端信息管理系統(tǒng)的事物處理組、顧客（用戶）信息管理系統(tǒng)事物處理組和程序說明塊（PSB）、數(shù)據(jù)庫中的數(shù)據(jù)、應(yīng)用資源等。,一訪問控制的基本任務(wù),第一節(jié)訪問控制概述,第六章訪問控制技術(shù),如何決定用戶的訪問權(quán)限：,訪問規(guī)則規(guī)定若干條件，在這些條件下可準(zhǔn)許訪問一個(gè)資源。一般地講，規(guī)則使用戶和資源配對(duì)，然后指定該用戶可在該資源上執(zhí)行哪些操作。,一訪問控制的基本任務(wù),第一節(jié)訪問控制概述,第六章訪問控制技術(shù),（3）訪問規(guī)則,對(duì)該文件提供附加保護(hù)，使非授權(quán)用戶不可讀，對(duì)于有時(shí)可能被截獲的文件的附加保護(hù)是對(duì)文件進(jìn)行加密。,一訪問控制的基本任務(wù),第一節(jié)訪問控制概述,第六章訪問控制技術(shù),3文件保護(hù),記錄用戶的行動(dòng)，以說明安全方案的有效性。審計(jì)是記錄用戶使用系統(tǒng)所進(jìn)行的所有活動(dòng)的過程，即記錄用戶違反安全規(guī)定的時(shí)間、日期以及用戶活動(dòng)。,一訪問控制的基本任務(wù),第一節(jié)訪問控制概述,第六章訪問控制技術(shù),4審計(jì),二訪問控制的層次,第一節(jié)訪問控制概述,第六章訪問控制技術(shù),訪問控制是指主體依據(jù)某些控制策略或權(quán)限對(duì)客體本身或其他資源進(jìn)行的不同授權(quán)訪問。訪問控制包括三個(gè)要素：主體、客體和控制策略。,第一節(jié)訪問控制概述,第六章訪問控制技術(shù),三訪問控制的要素,訪問控制策略是計(jì)算機(jī)安全防范和保護(hù)的核心策略之一，其任務(wù)是保證計(jì)算機(jī)信息不被非法使用和非法訪問，為保證信息基礎(chǔ)的安全性提供一個(gè)框架，提供管理和訪問計(jì)算機(jī)資源的安全方法，規(guī)定各部門要遵守的規(guī)范及應(yīng)負(fù)的責(zé)任，使得計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全有了可靠的依據(jù)。,第一節(jié)訪問控制概述,第六章訪問控制技術(shù),四訪問控制策略,1.訪問控制策略的實(shí)施原則,最小特權(quán)原則最小泄漏原則多級(jí)安全策略,第一節(jié)訪問控制概述,第六章訪問控制技術(shù),四訪問控制策略,2.訪問控制策略的實(shí)現(xiàn),基于身份的安全策略基于規(guī)則的安全策略,第一節(jié)訪問控制概述,第六章訪問控制技術(shù),四訪問控制策略,第一節(jié)訪問控制概述,第二節(jié)訪問控制的類型,第三節(jié)安全模型,第四節(jié)訪問控制模型的實(shí)現(xiàn),第六章訪問控制技術(shù),第六章訪問控制技術(shù),第二節(jié)訪問控制的類型,訪問控制機(jī)制可以限制對(duì)系統(tǒng)關(guān)鍵資源的訪問，防止非法用戶進(jìn)入系統(tǒng)及合法用戶對(duì)系統(tǒng)資源的非法使用。,第六章訪問控制技術(shù),第二節(jié)訪問控制的類型,第六章訪問控制技術(shù),自主訪問控制（DAC）強(qiáng)制訪問控制（MAC）基于角色的訪問控制（RBAC）,一自主訪問控制,自主訪問控制是基于對(duì)主體及主體所屬的主體組的識(shí)別來限制對(duì)客體的訪問。,第六章訪問控制技術(shù),第二節(jié)訪問控制的類型,1自主訪問控制的實(shí)現(xiàn)方法,（1）基于行的自主訪問控制,權(quán)力表（capabilitieslist）,前綴表（profiles）,口令(password),第六章訪問控制技術(shù),第二節(jié)訪問控制的類型,一自主訪問控制,1自主訪問控制的實(shí)現(xiàn)方法,（2）基于列的自主訪問控制,保護(hù)位(protectionbits),訪問控制表(accesscontrollist),第六章訪問控制技術(shù),第二節(jié)訪問控制的類型,一自主訪問控制,2自主訪問控制的類型,等級(jí)型(hierarchical),有主型（owner）,自由型（laissez-faire）,第六章訪問控制技術(shù),第二節(jié)訪問控制的類型,一自主訪問控制,3自主訪問控制模式,讀拷貝寫刪除運(yùn)行無效,第六章訪問控制技術(shù),第二節(jié)訪問控制的類型,一自主訪問控制,（1）文件,3自主訪問控制模式,對(duì)目錄與文件都實(shí)施訪問控制。,第六章訪問控制技術(shù),第二節(jié)訪問控制的類型,一自主訪問控制,（2）目錄,對(duì)目錄而不對(duì)文件實(shí)施訪問控制；,對(duì)文件而不對(duì)目錄實(shí)施訪問控制；,二強(qiáng)制訪問控制,強(qiáng)制訪問控制是指用戶和文件都有一個(gè)固定的安全屬性，系統(tǒng)利用安全屬性來決定一個(gè)用戶是否可以訪問某個(gè)文件。,第六章訪問控制技術(shù),第二節(jié)訪問控制的類型,二強(qiáng)制訪問控制,（2）過程控制,第六章訪問控制技術(shù),第二節(jié)訪問控制的類型,1.防止特洛伊木馬的強(qiáng)制訪問控制,（1）限制訪問控制的靈活性,二強(qiáng)制訪問控制,僅當(dāng)用戶的安全級(jí)不高于文件的安全級(jí)時(shí)，該用戶才能寫該文件。,第六章訪問控制技術(shù),第二節(jié)訪問控制的類型,2.Unix文件系統(tǒng)的強(qiáng)制訪問控制,（1）Multics方案,僅當(dāng)用戶的安全級(jí)不低于文件的安全級(jí)時(shí)，該用戶才能讀該文件。,文件訪問與文件名的隱蔽,第六章訪問控制技術(shù),第二節(jié)訪問控制的類型,2.Unix文件系統(tǒng)的強(qiáng)制訪問控制,二強(qiáng)制訪問控制,（2）TimThomas方案,文件名的安全級(jí),隱蔽文件名的實(shí)現(xiàn),三、基于角色的訪問控制,基于角色的訪問控制是指在訪問控制系統(tǒng)中，按照用戶所承擔(dān)的角色的不同而給予不同的操作集。其核心思想就是將訪問權(quán)限與角色相聯(lián)系，通過給用戶分配合適的角色，讓用戶與訪問權(quán)限相聯(lián)系。,第六章訪問控制技術(shù),第二節(jié)訪問控制的類型,第一節(jié)訪問控制概述,第二節(jié)訪問控制的類型,第三節(jié)安全模型,第四節(jié)訪問控制模型的實(shí)現(xiàn),第六章訪問控制技術(shù),第六章訪問控制技術(shù),一概述,第三節(jié)安全模型,設(shè)計(jì)安全模型的主要目的是確定系統(tǒng)安全訪問控制策略、決定系統(tǒng)內(nèi)部主體對(duì)客體的訪問和監(jiān)控方式等。,第六章訪問控制技術(shù),1.設(shè)計(jì)安全模型的目的,（1）能充分體現(xiàn)預(yù)定的安全需要，應(yīng)清楚地、準(zhǔn)確地表達(dá)安全策略。（2）模型的安全表達(dá)是無二意性的。（3）模型應(yīng)該是簡單的、抽象的、易于理解和實(shí)現(xiàn)，而且易于驗(yàn)證。（4）安全模型應(yīng)當(dāng)只涉及安全性質(zhì)，對(duì)系統(tǒng)的其他功能及實(shí)現(xiàn)不能有影響和太大的削弱。,第六章訪問控制技術(shù),第三節(jié)安全模型,一概述,2.安全模型的特點(diǎn),形式化描述是表達(dá)安全模型的安全狀態(tài)和約束條件的形式，需要用一種描述語言及相應(yīng)自動(dòng)工具完成。,第六章訪問控制技術(shù),第三節(jié)安全模型,一概述,3.形式化描述,安全模型的數(shù)學(xué)描述方法是將系統(tǒng)的安全對(duì)象、安全規(guī)則加以抽象和轉(zhuǎn)換，用數(shù)學(xué)上的變量、函數(shù)和數(shù)學(xué)表達(dá)式來描述。,第六章訪問控制技術(shù),第三節(jié)安全模型,一概述,4.數(shù)學(xué)描述,二安全模型的類型,它的實(shí)現(xiàn)技術(shù)是將系統(tǒng)的安全狀態(tài)表示成一個(gè)大的訪問矩陣A，其中矩陣的每一行表示系統(tǒng)中的一個(gè)主體而矩陣的每一列表示系統(tǒng)的一個(gè)客體，矩陣中的元素aij表示第i個(gè)主體對(duì)第j個(gè)客體的訪問模式。,第六章訪問控制技術(shù),第三節(jié)安全模型,1.訪問型模型,信息流控制模型的著眼點(diǎn)，是信息根據(jù)某種因果關(guān)系的流動(dòng)。規(guī)定信息可以流通的安全有效路徑。關(guān)鍵技術(shù)在于信息流模型需要進(jìn)行徹底的信息流分析，找出系統(tǒng)所有的信息流并根據(jù)信息流的安全要求，判定是否為異常流，依此反復(fù)修改系統(tǒng)描述或模型，直到所有信息流都不是異常流為止。,第六章訪問控制技術(shù),第三節(jié)安全模型,二安全模型的類型,2.信息流模型,無干擾型模型的主要技術(shù)是將各個(gè)主體相互隔離，使其在不同的領(lǐng)域中運(yùn)行，以便防止相互干擾。,第六章訪問控制技術(shù),第三節(jié)安全模型,二安全模型的類型,3.無干擾型模型,狀態(tài)機(jī)模型是將系統(tǒng)描述成一個(gè)抽象的數(shù)學(xué)狀態(tài)機(jī)。在這種模型中，用狀態(tài)變量表示機(jī)器安全操作對(duì)象的狀態(tài)，用狀態(tài)轉(zhuǎn)換函數(shù)或操作規(guī)則描述這些狀態(tài)變量是怎么變化的,系統(tǒng)的安全狀態(tài)變量和狀態(tài)轉(zhuǎn)換函數(shù)構(gòu)成狀態(tài)機(jī)安全模型的總體。,第六章訪問控制技術(shù),第三節(jié)安全模型,二安全模型的類型,4.狀態(tài)機(jī)模型,多級(jí)安全模型是對(duì)訪問或信息流的控制分級(jí)分層次的結(jié)構(gòu)。其多級(jí)安全規(guī)則的目的是防止混淆隔離集的界限，防止主體得到超過其密級(jí)許可等級(jí)的客體信息。,第六章訪問控制技術(shù),第三節(jié)安全模型,二安全模型的類型,5.多級(jí)安全模型,三典型安全模型介紹,（1）信息流模型的組成,第六章訪問控制技術(shù),第三節(jié)安全模型,1信息流模型,信息流動(dòng)策略規(guī)定：信息必須由低安全類向高安全類或同安全類間流動(dòng)，而不允許信息由高類向低類或無關(guān)類流動(dòng)。,第六章訪問控制技術(shù),第三節(jié)安全模型,三典型安全模型介紹,（2）信息流動(dòng)策略,流控制規(guī)則包括信息流的安全性、完備性和流動(dòng)信道的概念以及明流、暗流安全性的實(shí)現(xiàn)和安全流的訪問控制規(guī)則等。,第六章訪問控制技術(shù),第三節(jié)安全模型,三典型安全模型介紹,（3）流控制規(guī)則,狀態(tài)機(jī)模型的關(guān)鍵技術(shù)是將系統(tǒng)的操作對(duì)象的狀態(tài)抽象為狀態(tài)變量，對(duì)系統(tǒng)的運(yùn)作抽象為狀態(tài)轉(zhuǎn)換函數(shù)或操作規(guī)則。,第六章訪問控制技術(shù),第三節(jié)安全模型,三典型安全模型介紹,2狀態(tài)機(jī)模型,2狀態(tài)機(jī)模型,第六章訪問控制技術(shù),第三節(jié)安全模型,三典型安全模型介紹,（1）構(gòu)造狀態(tài)機(jī)模型的步驟,（2）構(gòu)造狀態(tài)機(jī)安全模型舉例,一般按以下步驟設(shè)計(jì)：抽象描述安全系統(tǒng)并定義狀態(tài)變量定義安全狀態(tài)定義轉(zhuǎn)換函數(shù)證明轉(zhuǎn)換函數(shù)的安全性定義初始狀態(tài)并證明安全性,第六章訪問控制技術(shù),第三節(jié)安全模型,三典型安全模型介紹,BLP模型是遵守軍事安全策略的多級(jí)安全模型。其技術(shù)實(shí)質(zhì)是一種形式化的、描述一組訪問規(guī)則的狀態(tài)轉(zhuǎn)換模型，它將系統(tǒng)實(shí)體抽象為主體和客體兩類集合，定義了安全狀態(tài)的概念并證明狀態(tài)變換的安全性。,第六章訪問控制技術(shù),第三節(jié)安全模型,三典型安全模型介紹,3BellLaPadula安全模型,第一節(jié)訪問控制概述,第二節(jié)訪問控制的類型,第三節(jié)安全模型,第四節(jié)訪問控制模型的實(shí)現(xiàn),第六章訪問控制技術(shù),第六章訪問控制技術(shù),一訪問控制模型的實(shí)現(xiàn)機(jī)制,第四節(jié)訪問控制模型的實(shí)現(xiàn),是以文件為中心建立的訪問權(quán)限表。訪問控制表的優(yōu)點(diǎn)在于實(shí)現(xiàn)簡單，任何得到授權(quán)的主體都可以有一個(gè)訪問表。,第六章訪問控制技術(shù),1訪問控制表,一訪問控制模型的實(shí)現(xiàn)機(jī)制,第四節(jié)訪問控制模型的實(shí)現(xiàn),對(duì)每個(gè)主體而言，都擁有對(duì)哪些客體的哪些訪問權(quán)限；而對(duì)客體而言，又有哪些主體對(duì)它可以實(shí)施訪問；將這種關(guān)聯(lián)關(guān)系加以闡述，就形成了控制矩陣。,第六章訪問控制技術(shù),2訪問控制矩陣,一訪問控制模型的實(shí)現(xiàn)機(jī)制,第四節(jié)訪問控制模型的實(shí)現(xiàn),指請(qǐng)求訪問的發(fā)起者所擁有的一個(gè)有效標(biāo)簽，它授權(quán)標(biāo)簽表明的持有者可以按照何種訪問方式訪問特定的客體。訪問控制能力表是以用戶為中心建立訪問權(quán)限表。,第六章訪問控制技術(shù),3.能力,一訪問控制模型的實(shí)現(xiàn)機(jī)制,第四節(jié)訪問控制模型的實(shí)現(xiàn),