计算机系统安全9访问控制

强制访问控制模型
• 在强制访问控制模型，用户和客体资源都被赋予一 定的安全级别，用户不能改变自身和客体的安全级 别，只有管理员才能够确定用户和组的访问权限。 • 和DAC模型不同的是，MAC是一种多级访问控制策 略，它的主要特点是系统对访问主体和受控对象实 行强制访问控制，系统事先给访问主体和受控对象 分配不同的安全级别属性，在实施访问控制时，系 统先对访问主体和受控对象的安全级别属性进行比 较，再决定访问主体能否访问该受控对象。
强制访问控制模型
• MAC对访问主体和受控对象标识两个安全标记：一 个是具有偏序关系的安全等级标记；另一个是非等 级分类标记。
多级安全
• 由于用户的访问涉及到访问的权限控制规则集合，将敏感 信息与通常资源分开隔离的系统，称之为多级安全信息系 统。
• 多级安全系统必然要将信息资源按照安全属性分级考虑， 安全类别有两种类型，一种是有层次的安全级别 （Hierarchical Classification），分为TS，S，C，RS，U 5级， 它们是绝密级别（Top Secret）、秘密级别（Secret）、机密 级别（Confidential）、限制级别（Restricted）和无级别级 （Unclassified）；另一种是无层次的安全级别，不对主体 和客体按照安全类别分类，只是给出客体接受访问时可以 使用的规则和管理者。
23
隐蔽信道
• 隐蔽信道可以简单描述为不是系统设计者设计的通 信路径
• ence. • capacity. • covertness.
• 设计MLS系统的目的是限制合法信道的通信，但是 隐蔽信道提供了信息泄露的另一种方法。共享资源 的不同安全级别的主体可以用来传递信息.
• 隐蔽信道在现实中几乎是不能消除的
安全策略的类型
• 军事安全策略（又称政府安全策略）是以提 供保密性为主要目的的安全策略 • 商业安全策略是以提供完整性为主要目的的 安全策略
7
访问控制的类型
• 安全策略可以单独的或混合的使用两种类型的访 问控制。 • 第一种类型基于用户身份，是应用最广泛的一种 类型。如果个人用户可以设置访问控制机制来许 可或拒绝对客体的访问，那么这样的机制就称为 自主访问控制，或称基于身份的访问控制。 • 第二种类型基于授权，与身份无关。如果系统机 制控制对客体的访问，而个人用户不能改变这种 控制，这样的控制称为强制型访问控制，偶尔也 称为基于规则的访问控制。
5
安全策略
• 安全策略是一种声明，它将系统的状态分成两个集合：
已授权的，即安全的状态集合；未授权的，即不安全的
状态集合。任何访问控制策略最终均可被模型化为访问
矩阵形式。
目标 用户
目标x
目标y
目标z
用户a 读、修改、管理
读、修改、管理
用户b
读、修改、管理
用户c
读
读、修改
用户d
读
读、修改
访问矩阵实例
6
17
机密性安全策略Bell-LaPadula模型
不上读/不下写保证保密性
主体
Top Secret 禁止读
客体 Top Secret
主体
Top Secret 允许写
客体 Top Secret
Secret
允许读
Secret
Secret
允许写
Secret
允许读 Unclassified
Unclassified
基于角色访问控制（RBAC）
• 角色激活
• 用户是一个静态的概念，会话则是一个动态的概 念
• 一次会话是用户的一个活跃进程，它代表用户与 系统交互。用户与会话是一对多关系，一个用户 可同时打开多个会话。一个会话构成一个用户到 多个角色的映射，即会话激活了用户授权角色集 的某个子集，这个子集称为活跃角色集。活跃角 色集决定了本次会话的许可集。
• 角色继承：角色有自己的属性，但可能还继 承其他角色的许可。角色继承可以用祖先关
系来表示。角色2是角色1的“父亲”，它包
含角色1的许可
心脏病专家
风湿病专家
2
专家
1
医生
护士
30
基于角色访问控制（RBAC）
• 角色分配与授权：系统管理员通过为用户分 配角色、取消用户的某个角色等操作管理角 色分配。
31
• 每一个主体都有一个安全许可。当我们同时指主体的许 可和客体的密级时，用术语“密级”。
15
机密性安全策略Bell-LaPadula模型
• Bell-LaPadula安全模型中结合了强制性访问控制和自主访问控制。 • “S对O有自主的读（写）访问权”，表示了与自主访问控制部分
相对应的S和O的访问控制矩阵条目中包含一项读（写）的权限。 即如果没有强制性控制，S就可以读（写）O。
• 客体是接受其他实体访问的被动实体, 简记为O。客体的概 念也很广泛，凡是可以被操作的信息、资源、对象都可以 认为是客体。
策略与机制
• 安全策略是允许什么、禁止什么的陈述。 • 安全机制是实施安全策略的方法、工具或者 规程。机制与策略独立，可允许安全机制的 重用 • 访问控制对机密性、完整性起直接的作用 • 访问控制是针对越权使用资源的防御措施
访问控制
• 访问控制（access control）是：实现既定安全 策略的系统安全技术 • 目标是：防止对任何资源进行非授权的访问。 • 访问控制系统一般包括： (1)主体 (2)客体 (3)安全访问策略
1
主体/客体
• 主体指一个提出请求或要求的实体，是动作的发起者，但 不一定是动作的执行者。主体可以是用户或其它任何代理 用户行为的实体（例如进程、作业和程序）。
28
基于角色访问控制（RBAC）
• 用户、角色、许可的关系
• 一个用户可经授权而拥有多个角色 • 一个角色可由多个用户构成 • 每个角色可拥有多种许可 • 每个许可也可授权给多个不同的角色 • 每个操作可施加于多个客体（受控对象） • 每个客体也可以接受多个操作。
用户
角色
许可 操作
客体
29
基于角色访问控制（RBAC）
9
例子
• 自主访问控制，如主流操作系统(Windows NT Server, UNIX 系统)，防火墙（ACLs）等 • 强制访问控制
10
自主访问控制模型
• 自主访问控制模型是根据自主访问控制策略建立 的一种模型，允许合法用户以用户或用户组的身 份访问策略规定的客体，同时阻止非授权用户访 问客体，某些用户还可以自主地把自己所拥有的 客体的访问权限授予其它用户。 • 由于用户可以任意传递权限，那么，没有访问某 一文件权限的用户A就能够从有访问权限的用户B 那里得到访问权限或是直接获得该文件。
禁止写 Unclassified
Unclassified
18
例子
防火墙所实现的单向访问机制
不允许敏感数据从内部网络（安全级别为“机 密”）流向Internet（安全级别为“公开”）
提供“不上读”功能来阻止Internet对内部网络 的访问
提供“不下写”功能来限制进入内部的数据流 只能经由由内向外发起的连接流入(例如，允许 HTTP 的 "GET" 操 作 而 拒 绝 "POST" 操 作 ， 或 阻 止任何外发的邮件 )
8
访问控制模型
• 访问控制模型有： (1)自主访问控制（Discretionary Access Control， DAC） (2)强制访问控制（Mandatory Access Control， MAC） (3)基于角色的访问控制（Role-based Access Control，RBAC）。
19
完整性安全策略Biba模型
• 系统包括一个主体集合S，一个客体集合O和 一个完整性等级集合I，这些等级是有序的。 • 等级越高，程序正确执行的可靠性就越高。 高等级的数据比低等级的数据具备更高的精 确性和可靠性。此外，这个概念隐含的融入 了“信任”这个概念。事实上，用于衡量完 整性等级的术语是“可信度”。
机密性安全策略Bell-LaPadula模型
• 保密性分类形式是按照线性排列的安全许可。这些许可 代表了敏感等级。安全许可越高，信息就越敏感。
• 数据和用户被划分为以下安全等级
• 公开（Unclassified） • 受限（Restricted） • 秘密（Confidential） • 机密（Secret） • 高密（Top Secret）
24
隐蔽信道
▪ Has been shown that prevention of channel is very difficult. ▪ More desirable to be able to detect channel and reduce the
effectiveness (bandwidth) of the channel. ▪ If bandwidth reduced below acceptable level then monitoring not
High integrity
允许读
High integrity
High integrity
禁止写
High integrity
Medium 允许读 Medium
integrity
integrity
Medium 允许写 Medium
integrity
integrity
Low 禁止读 integrity
Low integrity
• 角色：一个组织或任务中的工作或者位置，它代表 了一种权利、资格和责任。
• 许可（特权）：允许对一个或多个客体执行的操作 • RBAC的基本思想是：授权给用户的访问权限，通常
由用户在一个组织中担当的角色来确定。RBAC中许 可被授权给角色，角色被授权给用户，用户不直接 与许可关联。RBAC对访问权限的授权由管理员统一 管理，用户不能自主地将访问权限传给他人。
20
完整性安全策略Biba模型
• s S可以读取o O，当且仅当i ( s ) i ( o )。 • s S可以写入o O，当且仅当i ( o ) i ( s )。 • s1 S可以执行s2 S，当且仅当i (s2 ) i (s1 )。
（调用）
21
完整性安全策略Biba模型
• 不下读/不上写保证完整性
necessary.
25
存储信道
信息发送者直接或间接地修改某存储单元，信息接 收者直接或间接地读取该存储单元。
26
时间信道
▪ 信息发送者依据机密信息有规律地调节它对系统资 源的使用，信息接收者通过观察系统来推断信息。
▪ 同步问题,低带宽
27
混合安全策略－基于角色访问控 制（RBAC）
• 用户：一个可以独立访问计算机系统中的数据或者 用数据表示的其他资源的主体。
• 客体集O是所有被保护实体的集合（所有于 系统保护状态相关的实体）。 • 主体集S是所有活动对象的集合，如进程和 用户。 • 所有的权限的类型用集合R来表示。 • 在访问控制矩阵模型中，客体集O和主体集S 之间的关系用带有权限的矩阵A来描述，A中 的任意元素a [s , o ]满足sS, oO, a [s , o ]R。 元素a [s , o ]代表的意义是主体s对于客体o具 有权限a [s , o ]。
3
保护状态
• 系统当前的状态是由所有内存、二级缓存、 寄存器和系统中其他设备的状态构成的集合。 这个集合中涉及安全保护的子集称为保护状 态。 • 保护状态随着系统的变化而变化。 • 描述一个保护系统的最简单框架模型是使用 访问控制矩阵模型，这个模型将所有主体对 于客体的权限存储在矩阵中。
4
访问控制矩阵模型
Low 允许写
Low
integrity
integrity
22
例子
• 对WEB服务器的访问过程
• 定义Web服务器上发布的资源安全级别为 “秘 密”，Internet上用户的安全级别为“公开”，依 照Biba模型，Web服务器上数据的完整性将得到 保障
• Internet上的用户只能读取服务器上的数据而不能 更改它
32
基于角色访问控制（RBAC）
• 角色限制：包括角色互斥与角色基数限制。
• 对于某些特定的操作集，某一个用户不可能同时 独立地完成所有这些操作。角色互斥可以有静态 和动态两种实现方式。静态角色互斥：只有当一 个角色与用户所属的其他角色彼此不互斥时，这 个角色才能授权给该用户。动态角色互斥：只有 当一个角色与一主体的任何一个当前活跃角色都 不互斥时，该角色才能成为该主体的另一个活跃 角色。
16
机密性安全策略Bell-LaPadula模型
• 设L (S) = l，是主体S的安全许可，并设L (O) = l， 是客体O的安全密级。对于所有安全密级li ，i = 0, , k1，有li li + 1。 • 简单安全条件，预备版：S可以读O，当且仅当lo ls，且S对O具有自主型读权限。（不上读） • *-属性（星号属性），预备版：S可以写O，当且 仅写当）ls lo，且S对O具有自主型写权限。（不下