认证和访问控制-访问控制第三章-访问控制基础知识 new
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
客体的安全标记
所包含信息的敏感程度或机密性
安全标记的组成
(密级, 范畴集)
密级:一般≤秘密≤机密≤绝密 范畴集:部门或类别集,暗指所涉及的范围
Page: 22
2020/5/19
29172193@qq.com
安全策略与安全模型——军事安全策略
安全标记举例
用U,C,S,TS分别代表一般、秘密、机密、绝密 A = {U,C,S,TS},<A; ≤>构成一个偏序集,“≤”是A上的全序 B = {科技处, 生产处,情报处, 财务处}, PB是集合B的幂集
审计
29172193@qq.com
基本概念
引用监控器(reference monitor)
J.P. Anderson 在研究报告Computer Security Technology Planning Study (Oct, 1972)中提出了引用监控机(reference monitor)、引用验证机 制(reference validation mechanism)、安全核(security kernel)等重要思想。TCSEC中的B3级,必须执行引用监控的概念。
实施访问控制“控制”部件
Page: 5
2020/5/19
29172193@qq.com
基本概念
客体(Object)——被保护对象即包含信息又被访问的实体
OS:文件、内存存储页、存储段、目录、进程、目录、文件、 设备的访问等
DBMS:数据库、表、视图、存储过程、函数、触发器、可执 行包
网络服务:ftp目录、文件、web服务目录、网络NAT转换表、 网络过滤规则等
2020/5/19
29172193@qq.com
安全策略与安全模型
安全策略(Security Policy)
反映系统安全需求的规则(Rules)
哪些主体对哪些客体可以具有什么样的访问权限 哪些主体对哪些客体的哪些访问又是不允许的
计算机系统的安全策略
为了描述系统的安全需求而制定的对用户行为进行约束的一套严谨的规则
强制访问控制一般与自主访问控制结合使用,在自主访问控 制的基础上,施加一些更强的访问限制。一个主体只有通过了自主 与强制性访问控制检查后,才能访问某个客体。
用户可以利用自主访问控制来防范其它用户对自己 客体的攻击,强制访问控制则提供了一个不可逾越的、 更强的安全保护层
Page: 14
2020/5/19
Page: 13
2020/5/19
29172193@qq.com
基本的访问控制方法
强制访问控制(Mandatory Access Control, MAC)
系统根据主体被信任的程度和客体所包含的信息的机密性或 敏感程度来决定主体对客体的访问权,这种控制往往可以通过给主 、客体赋以安全标记来实现。
29172193@qq.com
基本的访问控制方法
基于角色访问控制(Role-based Access Control, RBAC)
在一个组织机构里系统为不同的工作岗位创 造对应的角色,对每一个角色分配不同的操作权 限,根据用户在组织机构中的职责或任务为其指 派相应的角色,用户通过所分配的角色获得相应 的权限,实现对信息资源的访问.
静态文件是客体 动态进程是主体
Page: 7
2020/5/19
29172193@qq.com
基本概念
访问权
主体访问客体的方式:何种方式访问,与实际系统有关。比如OS
读 写
添加、修改或删除 往往包含读权限
执行 拥有
客体o是由主体s创建
控制
主体s有权授予或撤销其它主体对o的访问权
不能同时出现
--------反对称
设是A上的关系,a,b,c ∈A若ab, bc则一定有ac
---------可传递的
24
29172193@qq.com
5.集合上的偏序关系
偏序关系:集合 A 上的关系ρ , 如果它是自反、反对称且 可传递的,则称ρ为 A 上的一个偏序关系。
“偏序关系”也叫做“偏序”,用“≤”符号表示。 可比:设≤是集合 A 上的偏序,对于 a、b∈A,若有 a ≤ b
访问控制规则, 它是由用户、资源、操作和运行上下文四类基本对 ቤተ መጻሕፍቲ ባይዱ的属性表达式( ae ) 通过and, or或not三种逻辑运算连接起来的表 达式。
访问控制策略是由若干个访问控制规则构成的集合用Policy 表示。
Rule5::=(user.管理域=“清华大学”)and(user. 用户类型=“ 管理员”)and(res. 应用域 in{“清华大学”,“重庆大学
用户-角色- 权限
Page: 15
2020/5/19
29172193@qq.com
基本的访问控制方法
基于属性访问控制(Attribute-based Access Control, ABAC) 将用户、资源、操作和运行上下文视为系统中的四类对象, 分别用来表示
访问控制的访问主体、访问客体、访问类型和资源请求时的情景信息, 四类对象自身的特性被定义为属性A = {Ua, Ra, Oa, RCa }。
2020/5/19
29172193@qq.com
提纲
基本概念 基本的访问控制方法 安全策略与安全模型
Page: 11
2020/5/19
29172193@qq.com
基本的访问控制方法
方法分类
自主访问控制(Discretionary Access Control, DAC)
谁创建谁拥有,谁拥有谁控制
引用监控器是一种特殊的监控器,负责控制对系统资源的访问。J.P. Anderson 把引用监控机的具体实现称为引用验证机制,它是实现引用监控机思想的硬 件和软件的组合。
引用验证机制需要同时满足以下三个原则: 1. 必须具有自我保护能力; 2. 必须总是处于活跃状态; 3. 必须设计得足够小,以利于分析和测试,从而能够证明它的实现是正确的。
良序 :一个集合 A 上的偏序,若对于 A 的每一个非空子集 S A,
在 S 中存在一个元素 as(称为 S 的最小元素),使得对于
所有的 s ∈ S,有as ≤s,则称它为 A上的一个良序
26yky_2w91e7n2f19e3n@gqq@.1c6om3.com
7.一个有用的结论
命题:若<A;≤1>和<B;≤2>是两个偏序集,在笛 卡尔积A×B上定义关系≤,对任意(a1,b1), (a2,b2) ∈A×B 当且仅当 a1≤1a2, b1≤2b2时,有(a1,b1) ≤(a2,b2)
Page: 16
2020/5/19
29172193@qq.com
基本的访问控制方法
基于属性访问控制(Attribute-based Access Control, ABAC)
一般访问控制模型中只有用户和资源才拥有属性表达式, 本模型中 用户、资源、操作、运行上下文对象都具有属性表达式, 分别表示各自 的属性满足一定条件的运算。
规定了系统中所有授权的访问
▪ 授权可以是肯定授予或否定授予
实施访问控制的依据
安全策略是抽象的,指导性的原则,其制定是有强烈的实际背景的。
Page: 19
2020/5/19
29172193@qq.com
安全策略与安全模型
安全策略举例
军事安全策略
多级安全(Multilevel security)
商业安全策略
良性事务
Page: 20
2020/5/19
29172193@qq.com
安全策略与安全模型
军事安全策略
策略制定依据
保障信息的机密性——最重要的安全需求
策略制定原理
根据信息的机密程度对信息进行分类
将各类机密程度不同的信息限制在不同的范围内 ▪ 防止用户取得他不应该得到的密级较高的信息
笛卡尔积A×PB = {(a, H) | a∈A, H∈PB }表示主、客体的安全标记
主体u和客体o1,o2,o3的安全级示例
▪ class(u) = (S, {科技处, 财务处}) ▪ class(o1) = (C, {科技处}) ▪ class(o2) = (TS, {科技处, 情报处, 财务处}) ▪ class(o3) = (C, {情报处})
应用程序级别:功能模块、子程序、子函数、工作流中的处 理流程等;
Page: 6
2020/5/19
29172193@qq.com
基本概念
主体(Subject)——被制约的对象能访问或使用客体的活动实体
用户 代表用户进行操作的进程 存储过程、函数、包的执行过程 代理程序或子模块
系统中的某个程序是客体还是主体?????
针对权限、角色 Grant Revoke等
Page: 9
2020/5/19
29172193@qq.com
基本概念
访问权
主体访问客体的方式:何种方式访问,与实际系统有关。比如FTP
针对目录 进入目录 查看目录 创建目录 删除目录
针对文件 上传、下载、重命名、查看、修改等操作
Page: 10
第三章 访问控制基础知识
崔永泉 华中科技大学 计算机学院信息安全所
Page: 1
2020/5/19
yky_2w91e7n2f19e3n@gqq@.1c6om3.com
提纲
基本概念 基本的访问控制方法 安全策略与安全模型
Page: 2
2020/5/19
29172193@qq.com
基本概念
访问控制:
Page: 8
2020/5/19
29172193@qq.com
基本概念
访问权
主体访问客体的方式:何种方式访问,与实际系统有关。比如DBMS
针对database: Create ,Drop, Alter 数据库
针对table Insert、Delete、Select、Update等 Create、Alter、Drop等
Page: 12
2020/5/19
29172193@qq.com
基本的访问控制方法
自主访问控制(Discretionary Access Control, DAC)
是指对某个客体具有拥有权(或控制权)的 主体能够将对该客体的一种访问权或多种访问 权自主地授予其它主体,并在随后的任何时刻 将这些权限回收。
”})and(res. 资源类型=L3)and(user.操作类型=“删除” )
Rule5的含义:清华大学的管理员可以对清华大学、重庆大学的L3 类型
的资源进行删除操作。
Page: 17
2020/5/19
29172193@qq.com
提纲
基本概念 基本的访问控制方法 安全策略与安全模型
Page: 18
访问控制的基本任务是:防止非法用户进入系统 及合法用户对系统资源的非法使用,它保证主体对客体 的所有直接访问都是经过授权的。
“授权” + “控制”
Page: 3
2020/5/19
29172193@qq.com
访问控制与其他安全措施的关系模型
安全管理员
授权数据库
用户
鉴别
引用监视 器
访问控制
目标目标目标目标目标
或 b ≤ a,则称 a 和 b 是可比的,否则称 a 和 b 是不可比的
25yky_2w91e7n2f19e3n@gqq@.1c6om3.com
6.集合上特殊的偏序关系:全序与良序
全序 :一个集合 A 上的任意两个元素之间都满足偏序关系, 则称该偏序为 A 上的一个全序
A上的任意两个元素a与b 都可比。
强制访问控制(Mandatory Access Control, MAC)
系统拥有,系统控制
基于角色的访问控制(Role-based Access Control, RBAC)
角色拥有,角色控制
实现用户与权限的分离
基于属性的访问控制(Attribute-based Access Control, ABAC) 把角色、部门、安全等级、用户环境等看作主体、客体的安全属性
多级安全(Multilevel security)
始于20世纪60年代 是军事安全策略的一种数学描述,用计算机可实现的方式定义
Page: 21
2020/5/19
29172193@qq.com
安全策略与安全模型
军事安全策略
系统中主体和客体的安全标记(安全级)
主体的安全标记
在系统中被信任的程度或访问信息的能力
Page: 23
2020/5/19
29172193@qq.com
一 数学基础
1.集合 元素 子集
a∈ A HS
2.集合的幂集
2A =P(A) ={H A}
3.笛卡尔积
A×B={(a,b)| a∈A ,b ∈B}
4.集合A上的关系的性质
设是A上的关系,a ∈A 均aa--------自反
设是A上的关系,a,b∈A若ab,则a≤b与b≤a
所包含信息的敏感程度或机密性
安全标记的组成
(密级, 范畴集)
密级:一般≤秘密≤机密≤绝密 范畴集:部门或类别集,暗指所涉及的范围
Page: 22
2020/5/19
29172193@qq.com
安全策略与安全模型——军事安全策略
安全标记举例
用U,C,S,TS分别代表一般、秘密、机密、绝密 A = {U,C,S,TS},<A; ≤>构成一个偏序集,“≤”是A上的全序 B = {科技处, 生产处,情报处, 财务处}, PB是集合B的幂集
审计
29172193@qq.com
基本概念
引用监控器(reference monitor)
J.P. Anderson 在研究报告Computer Security Technology Planning Study (Oct, 1972)中提出了引用监控机(reference monitor)、引用验证机 制(reference validation mechanism)、安全核(security kernel)等重要思想。TCSEC中的B3级,必须执行引用监控的概念。
实施访问控制“控制”部件
Page: 5
2020/5/19
29172193@qq.com
基本概念
客体(Object)——被保护对象即包含信息又被访问的实体
OS:文件、内存存储页、存储段、目录、进程、目录、文件、 设备的访问等
DBMS:数据库、表、视图、存储过程、函数、触发器、可执 行包
网络服务:ftp目录、文件、web服务目录、网络NAT转换表、 网络过滤规则等
2020/5/19
29172193@qq.com
安全策略与安全模型
安全策略(Security Policy)
反映系统安全需求的规则(Rules)
哪些主体对哪些客体可以具有什么样的访问权限 哪些主体对哪些客体的哪些访问又是不允许的
计算机系统的安全策略
为了描述系统的安全需求而制定的对用户行为进行约束的一套严谨的规则
强制访问控制一般与自主访问控制结合使用,在自主访问控 制的基础上,施加一些更强的访问限制。一个主体只有通过了自主 与强制性访问控制检查后,才能访问某个客体。
用户可以利用自主访问控制来防范其它用户对自己 客体的攻击,强制访问控制则提供了一个不可逾越的、 更强的安全保护层
Page: 14
2020/5/19
Page: 13
2020/5/19
29172193@qq.com
基本的访问控制方法
强制访问控制(Mandatory Access Control, MAC)
系统根据主体被信任的程度和客体所包含的信息的机密性或 敏感程度来决定主体对客体的访问权,这种控制往往可以通过给主 、客体赋以安全标记来实现。
29172193@qq.com
基本的访问控制方法
基于角色访问控制(Role-based Access Control, RBAC)
在一个组织机构里系统为不同的工作岗位创 造对应的角色,对每一个角色分配不同的操作权 限,根据用户在组织机构中的职责或任务为其指 派相应的角色,用户通过所分配的角色获得相应 的权限,实现对信息资源的访问.
静态文件是客体 动态进程是主体
Page: 7
2020/5/19
29172193@qq.com
基本概念
访问权
主体访问客体的方式:何种方式访问,与实际系统有关。比如OS
读 写
添加、修改或删除 往往包含读权限
执行 拥有
客体o是由主体s创建
控制
主体s有权授予或撤销其它主体对o的访问权
不能同时出现
--------反对称
设是A上的关系,a,b,c ∈A若ab, bc则一定有ac
---------可传递的
24
29172193@qq.com
5.集合上的偏序关系
偏序关系:集合 A 上的关系ρ , 如果它是自反、反对称且 可传递的,则称ρ为 A 上的一个偏序关系。
“偏序关系”也叫做“偏序”,用“≤”符号表示。 可比:设≤是集合 A 上的偏序,对于 a、b∈A,若有 a ≤ b
访问控制规则, 它是由用户、资源、操作和运行上下文四类基本对 ቤተ መጻሕፍቲ ባይዱ的属性表达式( ae ) 通过and, or或not三种逻辑运算连接起来的表 达式。
访问控制策略是由若干个访问控制规则构成的集合用Policy 表示。
Rule5::=(user.管理域=“清华大学”)and(user. 用户类型=“ 管理员”)and(res. 应用域 in{“清华大学”,“重庆大学
用户-角色- 权限
Page: 15
2020/5/19
29172193@qq.com
基本的访问控制方法
基于属性访问控制(Attribute-based Access Control, ABAC) 将用户、资源、操作和运行上下文视为系统中的四类对象, 分别用来表示
访问控制的访问主体、访问客体、访问类型和资源请求时的情景信息, 四类对象自身的特性被定义为属性A = {Ua, Ra, Oa, RCa }。
2020/5/19
29172193@qq.com
提纲
基本概念 基本的访问控制方法 安全策略与安全模型
Page: 11
2020/5/19
29172193@qq.com
基本的访问控制方法
方法分类
自主访问控制(Discretionary Access Control, DAC)
谁创建谁拥有,谁拥有谁控制
引用监控器是一种特殊的监控器,负责控制对系统资源的访问。J.P. Anderson 把引用监控机的具体实现称为引用验证机制,它是实现引用监控机思想的硬 件和软件的组合。
引用验证机制需要同时满足以下三个原则: 1. 必须具有自我保护能力; 2. 必须总是处于活跃状态; 3. 必须设计得足够小,以利于分析和测试,从而能够证明它的实现是正确的。
良序 :一个集合 A 上的偏序,若对于 A 的每一个非空子集 S A,
在 S 中存在一个元素 as(称为 S 的最小元素),使得对于
所有的 s ∈ S,有as ≤s,则称它为 A上的一个良序
26yky_2w91e7n2f19e3n@gqq@.1c6om3.com
7.一个有用的结论
命题:若<A;≤1>和<B;≤2>是两个偏序集,在笛 卡尔积A×B上定义关系≤,对任意(a1,b1), (a2,b2) ∈A×B 当且仅当 a1≤1a2, b1≤2b2时,有(a1,b1) ≤(a2,b2)
Page: 16
2020/5/19
29172193@qq.com
基本的访问控制方法
基于属性访问控制(Attribute-based Access Control, ABAC)
一般访问控制模型中只有用户和资源才拥有属性表达式, 本模型中 用户、资源、操作、运行上下文对象都具有属性表达式, 分别表示各自 的属性满足一定条件的运算。
规定了系统中所有授权的访问
▪ 授权可以是肯定授予或否定授予
实施访问控制的依据
安全策略是抽象的,指导性的原则,其制定是有强烈的实际背景的。
Page: 19
2020/5/19
29172193@qq.com
安全策略与安全模型
安全策略举例
军事安全策略
多级安全(Multilevel security)
商业安全策略
良性事务
Page: 20
2020/5/19
29172193@qq.com
安全策略与安全模型
军事安全策略
策略制定依据
保障信息的机密性——最重要的安全需求
策略制定原理
根据信息的机密程度对信息进行分类
将各类机密程度不同的信息限制在不同的范围内 ▪ 防止用户取得他不应该得到的密级较高的信息
笛卡尔积A×PB = {(a, H) | a∈A, H∈PB }表示主、客体的安全标记
主体u和客体o1,o2,o3的安全级示例
▪ class(u) = (S, {科技处, 财务处}) ▪ class(o1) = (C, {科技处}) ▪ class(o2) = (TS, {科技处, 情报处, 财务处}) ▪ class(o3) = (C, {情报处})
应用程序级别:功能模块、子程序、子函数、工作流中的处 理流程等;
Page: 6
2020/5/19
29172193@qq.com
基本概念
主体(Subject)——被制约的对象能访问或使用客体的活动实体
用户 代表用户进行操作的进程 存储过程、函数、包的执行过程 代理程序或子模块
系统中的某个程序是客体还是主体?????
针对权限、角色 Grant Revoke等
Page: 9
2020/5/19
29172193@qq.com
基本概念
访问权
主体访问客体的方式:何种方式访问,与实际系统有关。比如FTP
针对目录 进入目录 查看目录 创建目录 删除目录
针对文件 上传、下载、重命名、查看、修改等操作
Page: 10
第三章 访问控制基础知识
崔永泉 华中科技大学 计算机学院信息安全所
Page: 1
2020/5/19
yky_2w91e7n2f19e3n@gqq@.1c6om3.com
提纲
基本概念 基本的访问控制方法 安全策略与安全模型
Page: 2
2020/5/19
29172193@qq.com
基本概念
访问控制:
Page: 8
2020/5/19
29172193@qq.com
基本概念
访问权
主体访问客体的方式:何种方式访问,与实际系统有关。比如DBMS
针对database: Create ,Drop, Alter 数据库
针对table Insert、Delete、Select、Update等 Create、Alter、Drop等
Page: 12
2020/5/19
29172193@qq.com
基本的访问控制方法
自主访问控制(Discretionary Access Control, DAC)
是指对某个客体具有拥有权(或控制权)的 主体能够将对该客体的一种访问权或多种访问 权自主地授予其它主体,并在随后的任何时刻 将这些权限回收。
”})and(res. 资源类型=L3)and(user.操作类型=“删除” )
Rule5的含义:清华大学的管理员可以对清华大学、重庆大学的L3 类型
的资源进行删除操作。
Page: 17
2020/5/19
29172193@qq.com
提纲
基本概念 基本的访问控制方法 安全策略与安全模型
Page: 18
访问控制的基本任务是:防止非法用户进入系统 及合法用户对系统资源的非法使用,它保证主体对客体 的所有直接访问都是经过授权的。
“授权” + “控制”
Page: 3
2020/5/19
29172193@qq.com
访问控制与其他安全措施的关系模型
安全管理员
授权数据库
用户
鉴别
引用监视 器
访问控制
目标目标目标目标目标
或 b ≤ a,则称 a 和 b 是可比的,否则称 a 和 b 是不可比的
25yky_2w91e7n2f19e3n@gqq@.1c6om3.com
6.集合上特殊的偏序关系:全序与良序
全序 :一个集合 A 上的任意两个元素之间都满足偏序关系, 则称该偏序为 A 上的一个全序
A上的任意两个元素a与b 都可比。
强制访问控制(Mandatory Access Control, MAC)
系统拥有,系统控制
基于角色的访问控制(Role-based Access Control, RBAC)
角色拥有,角色控制
实现用户与权限的分离
基于属性的访问控制(Attribute-based Access Control, ABAC) 把角色、部门、安全等级、用户环境等看作主体、客体的安全属性
多级安全(Multilevel security)
始于20世纪60年代 是军事安全策略的一种数学描述,用计算机可实现的方式定义
Page: 21
2020/5/19
29172193@qq.com
安全策略与安全模型
军事安全策略
系统中主体和客体的安全标记(安全级)
主体的安全标记
在系统中被信任的程度或访问信息的能力
Page: 23
2020/5/19
29172193@qq.com
一 数学基础
1.集合 元素 子集
a∈ A HS
2.集合的幂集
2A =P(A) ={H A}
3.笛卡尔积
A×B={(a,b)| a∈A ,b ∈B}
4.集合A上的关系的性质
设是A上的关系,a ∈A 均aa--------自反
设是A上的关系,a,b∈A若ab,则a≤b与b≤a