自主访问控制综述
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
自主访问控制综述
摘要:访问控制是安全操作系统必备的功能之一,它的作用主要是决定谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。而自主访问控制(Discretionary Access Control, DAC)则是最早的访问控制策略之一,至今已发展出多种改进的访问控制策略。本文首先从一般访问控制技术入手,介绍访问控制的基本要素和模型,以及自主访问控制的主要过程;然后介绍了包括传统DAC 策略在内的多种自主访问控制策略;接下来列举了四种自主访问控制的实现技术和他们的优劣之处;最后对自主访问控制的现状进行总结并简略介绍其发展趋势。
1自主访问控制基本概念
访问控制是指控制系统中主体(例如进程)对客体(例如文件目录等)的访问(例如读、写和执行等)。自主访问控制中主体对客体的访问权限是由客体的属主决定的,也就是说系统允许主体(客体的拥有者)可以按照自己的意愿去制定谁以何种访问模式去访问该客体。
1.1访问控制基本要素
访问控制由最基本的三要素组成:
●主体(Subject):可以对其他实体施加动作的主动实体,如用户、进程、
I/O设备等。
●客体(Object):接受其他实体访问的被动实体,如文件、共享内存、管
道等。
●控制策略(Control Strategy):主体对客体的操作行为集和约束条件集,
如访问矩阵、访问控制表等。
1.2访问控制基本模型
自从1969年,B. W. Lampson通过形式化表示方法运用主体、客体和访问矩阵(Access Matrix)的思想第一次对访问控制问题进行了抽象,经过多年的扩充和改造,现在已有多种访问控制模型及其变种。本文介绍的是访问控制研究中的两个基本理论模型:一是引用监控器,这是安全操作系统的基本模型,进而介绍了访问控制在安全操作系统中的地位及其与其他安全技术的关系;二是访问矩阵,这是访问控制技术最基本的抽象模型。
1.2.1引用监控器
1972年,作为承担美国军的一项计算机安全规划研究任务的研究成果,J. P. Anderson在一份研究报告中首次提出了用监控器(Reference Monitor)、安全内核(Security Kernel)等重要思想。同年Ronger Schell也提出了安全内核的概念,并定义为实现引用监控器抽象的硬件和软件。在著名的计算机安全评价标准TCSEC中,引用监控器被作为重要的理论基础。
图 1 引用监控器模型
如图1所示,安全操作系统的核心部分是安全内核,安全内核的基础是引用监控器,它是负责实施系统安全策略的硬件与软件的结合体。访问控制依赖引用监控器进行主体对客体访问的控制,以决定主体是否有权对客体进行何种操作。引用监控器查询授权数据库(Authorization Database),根据系统安全策略进行访问控制的判断,同时将相应活动记录在审计数据库(Audit Database)中。
由引用监控器模型可以看出,访问控制是实现安全操作系统的最核心的技术,但它并不是孤立的,它必须和其他安全技术相互配合以达到整个系统的安全。
1.2.2访问矩阵
访问矩阵是最基本的访问控制抽象模型,最初由B. W. Lampson在1969年对访问控制问题的研究中作为一种基本控制策略提出。主体是访问操作中的主动实体,客体是访问操作中的被动实体,主体对客体进行访问,系统使用引用监控器
图 2 访问矩阵模型
如图2所示,访问矩阵是以主体为行索引、以客体为列索引的矩阵,矩阵中的每一个元素表示一组访问方式,是若干访问方式的集合。矩阵中第i行第j列的元素记录第i个主体S i可以执行的对第j个客体O j的访问方式,比如M ij等于
表示S i可以对O j进行读和写访问。
1.3自主访问控制的主要特点
自主访问控制是一种最普遍的访问控制安全策略,其最早出现在20世纪70年代初期的分时系统中,基本思想伴随着访问矩阵被提出,在在目前流行的Unix 类操作系统中被广泛使用。自主访问控制基于对主体的识别来限制对客体的访问,这种控制是自主的。与其他访问控制策略最大的区别在于,自主访问控制中部分具有对其他主体授予某种访问权限权利的主体可以自主地(可以是间接地)将访问权限或访问权限的子集授予其他主体。在自主访问控制中具有这种授予权力的主体通常是客体的主人,因此有学者把自主访问控制称为基于主人的访问控制。
2自主访问控制策略
自主访问控制策略作为最早被提出的访问控制策略之一,至今已有多种改进的访问控制策略。下面列举传统DAC策略和几种由DAC发展而来的访问控制策略。
2.1传统DAC策略
传统DAC策略的基本过程已在上文中介绍过,可以看出,访问权限的管理依赖于所有对客体具有访问权限的主体。明显的,自主访问控制主要存在着以下三点不足:
●资源管理比较分散
●用户间的关系不能在系统中体现出来,不易管理
●不能对系统中的信息流进行保护,容易泄露,无法抵御特洛伊木马
其中,第三点的不足对安全管理来说是非常不安全的,针对自主访问控制的不足,许多研究者对其提出了一系列的改进措施。
2.2 HRU、TAM、ATAM策略
早在70年代末,M. A. Harrison,W. L. Ruzzo和J. D. UIIman就对自主访问控制进行扩充,提出了客体主人自主管理该客体的访问和安全管理员限制访问权限随意扩散相结合的半自主式的HRU访问控制模型。1992年,Sandhu等人为了表示主体需要拥有的访问权限,将HRU模型发展为TAM(Typed Access Matrix)模型。随后,为了描述访问权限需要动态变化的系统安全策略,TAM发展为ATAM(Augmented TAM)模型。
HRU与传统DAC最大的不同在于它将访问权限的授予改为半自主式:主体仍然有权利将其具有的访问权限授予给其他客体,这种授予行为也要受到一个调整访问权限分配的安全策略的限制,通常这个安全策略由安全管理员来制定。
在HRU中,每次对访问矩阵进行改变时(包括对主体、客体以及权限的改