第九章访问控制

自主/强制访问机制的缺陷
（1）同一用户在不同的场合需要以不同的授权访问 系统，变更权限不方便。 （2）当用户量增加时，每个用户注册一个帐号将使 工作量增加。 （3）不容易实现层次化分权管理，尤其当同一用户 在不同场合处在不同的权限层次时，系统管理很 难实现。
9.4 基于角色的访问控制
1、角色概念

每个文件的权限位含义

第1位：d(目录)，b(块系统设备)，c(字符设备)，.普通文件 第2-4位：所有者的读、写、执行权限； 第5-7位：所有者所在组的读、写、执行权限； 第8-10位：其他用户的读、写、执行权限。
例：可以在shell中输入如下命令查看文件的权限：
$ls-ld text drwxr-x-x 2 lucy work 1024 Jun 25 22:53 text 用户可以使用chmod命令修改自己拥有文件的访问 权限。根用户可以修改所有用户的文件权限。
帐号的注册项，还可以创建和取消帐号；
顾客可以询问自己的注册项，但不能询问其他任何的注册项； 系统管理员可以询问系统注册项和开关系统，但不允许读或修改顾
客的帐号信息；
审计员可以阅读系统中所有信息，但不允许修改任何信息。
9.5 常用操作系统中的访问控制
1、Linux中的访问控制 主体对文件的权限：



读（r）：用户可以读文件； 写（W）：用户可以创建或修改文件； 执行（x）：用户可以运行可执行程序。

用户的类型：

根用户（root）：权利最大，控制系统。 所有者（owner）：文件所有者。一般可以读写执行文件。 组（user group）：所有者所在组。 其他用户（other users）：不属于前三类的用户。
2、Windows 中的帐户和权限设置
1、Windows中的帐户设置 （１）单击“我的电脑”中“控制面版”对话框，选择“用 户帐户”。
（2）双击“用户账户”，进入“用户账户“窗口，可以看 到“挑选一项任务”中有一些选项。
（3）选择 “创建一个新账户”，进入“用户账户”窗口中 的“为新账户起名”选型卡，可以为新账户起名。
绝密级
读
保密性 机密级
写
秘密级 完整性 无密级
写
读 图9.6 MAC模型
（1）保障信息完整性策略
低级别的主体可以读高级别的客体的信息 （不保密），但低级别的主体不能写高级别的客 体（保障完整性），因此采用的是上读下写策略。 即属于某一个安全级的主体可以读本级和本级以 上的客体，可以写本级和本级以下的客体。
1.认证 用户 角色 3.请求 权限 4.分派 5.访问请求 访问控制 6.访问 图9.7 RBAC模型 资源
2.分派
3、基于角色访问控制的特点
（1）提供了三种授权管理的控制途径

改变客体的访问权限 改变角色的访问权限 改变主体所担任的角色
（2）系统中所有角色的关系结构可以是层次化的， 便于管理。 （3）具有较好的提供最小权利的能力，从而提高 安全性。 （4）具有责任分离的能力。
O1.re
…
On.rw
图9.5 访问能力表举例
4、自主访问控制的特点
优点：
根据主体的身份和授权来决定访问模式， 灵活方便。 缺点：
限制比较弱，信息在移动过程中其访问 权限关系会被改变。如用户A可将其对目标o 的访问权限传递给用户B,从而使不具备对O访 问权限的B可访问o。有一定的安全隐患。
8.3 强制访问控制
2、访问控制的概念以及分类
一般概念 ——
访问控制是在保障授权用户能获取所需资源 的同时拒绝非授权用户的安全机制。 在用户身份认证和授权之后，访问控制机制 将根据预先设定的对用户访问某项资源进行控制， 只有规则允许时才能访问，违反预定的安全规则 的访问行为将被拒绝。
访问控制与其他安全措施的关系模型
访问控制的任务—— • 识别和确认访问系统的用户； • 决定该用户可以对某一系统资源进行何种类 型的访问。
访问控制的模型——访问矩阵 用一个三元组来表示（S，O，A）。其 中，S代表主体集合；O代表客体集合，A代 表属性集合 。
对于任意一个si S , o j O, 都存在相应的一个 aij A, aij P(si , o j )，其中P是访问权限的函数。 ij 代表 a si可以对 o j 执行什么样的操作。用一个访问控制矩阵表 示： a00 a01 a0 n S0 a a11 a1n S1 O O O A 10 1 n 0 am 0 am1 amn Sm
oj
s0 , re
s1 , r
s2 , e
…
sm , rew
图9.3 访问控制表举例
在实际的多用户系统中，用户可以根据部门 结构或者工作性质被分为有限的几类。一类用户 作为一个组，分配一个组名，简称 “GN”，访 问可以按照组名判断。通配符“﹡”可以代替任 何组名或者主体标识符。访问控制表中的主体标 识为：主体标识=ID.GN。
oj
Liu.INFO.rew
﹡.INFO.re
Zhang. ﹡.r
﹡.﹡.n
图9.4 带有组合通配符的访问控制举例
3、访问能力表（CL）
基于访问控制矩阵中行的自主访问控制。 能力：为主体提供的、对客体具有特定访问权限的不 可伪造的标志，它决定主体是否可以访问客体以及以什么 方式访问客体。
si
O0.orew
（2）保障信息机密性策略
低级别的主体不可以读高级别的信息（保 密），但低级别的主体可以写高级别的客体（完 整性可能破坏），因此采用的是下读/上写策略。 即属于某一个安全级的主体可以写本级和本级以 上的客体，可以读本级和本级以下的客体。
此策略保障信息的完整性还是机密性？
MAC Information Flow
（5）选择类型后，单击”创建账户“按钮，提示对新建账 户可以进行的操作选择。
（6）选择“创建密码”选项，在”输入一个新密码“文本 框中输入密码。
不同的账户可以把自己的私人文档保存到 “我的文档”文件夹中，把该文件设置为专用。 方法是：使用自己的账户登陆系统，然后 在“我的文档”文件夹上右击，选择属性，打开 “共 享”选项卡，选择“将该文件设为专用”。这样别 人 就无法访问被设为专用的文件夹了。除了不能 查看对方保存在“我的文档”的文件，还不能删除 在自己“我的文档”文件夹以外的任何文件和文件 夹。
例：在一个银行系统中,可以定义出纳员、分行管理
者、系统管理员、顾客、审计员等角色。其中，担任系统 管理员的用户具有维护系统文件的责任和权限，无论这个 用户是谁。 设计如下访问策略：
出纳员可以修改顾客的帐号记录（存款、取款、转账等），并允许
出纳员询问所有帐号的注册项；
分行管理者可以修改顾客的帐号记录，并允许分行管理者查询所有
一个与特定活动相关联的一组动作和责任。
2、基于角色的访问控制（RBAC）
通过定义角色的权限，为系统中的主体分配角色 来实现访问控制。各种角色的不同搭配授权来尽可 能实现主体的最小授权。
它可以看作是基于组的组织访问控制的一个变体 ，一个角色对应一个组。
角色与组的区别
组：用户集
角色：用户集＋权限集
基于角色的访问控制模型
第九章 访问控制
9.1 访问控制原理
1、安全服务（Security Services）
安全系统提供的各项服务，用以保证系统或数据传输 足够的安全性。 根据ISO7498-2, 安全服务包括： 1. 数据保密性（Data Confidentiality） 2. 数据完整性（Data Integrity） 3. 防抵赖（Non-repudiation） 4. 实体鉴别（Entity Authentication） 5. 访问控制（Access Control）
1、强制访问控制（MAC）的概念
将主体和客体分级，根据主体和客体的级别标 记来决定访问模式。如，绝密级，机密级，秘密级， 无密级。 将安全级别进行排序，规定高级别可以单向访 问低级别，也可以规定低级别单向访问高级别。 其访问控制关系分为：上读/下写，下读/上写
（完整性） （机密性）
2、Bell Lapadula模型
安全管理员
授权数据库
用户
引用
监视器
目 目 标目 标目 标目 标 标
访问控制
鉴别
审 计
图9.1 访问控制与其他安全措施的关系
访问资源——
信息资源、处理资源、通信资源或者物理资
源。
访问方式——
读、写、执行
访问控制的目的——
是为了限制访问主体（用户、进程、服务等） 对访问客体（文件、系统等）的访问权限，从而 使计算机系统在合法范围内使用；决定用户能做 什么，也决定代表一定用户利益的程序能做什么。
（4）为新用户输入一个名称后，单击“下一步” 按钮，打开“挑选一个账户类型”选项卡，可以 为新用户选择一个账户类型。若选择“计算机管 理员”单选项，这类账户的权利有：

创建、更改和删除账户 进行系统结构图的更改

安装程序并访问所有文件
选择“受限”账户类型，用户的权限有： 更改或删除自己的密码 更改自己的图片、主题和其他桌面设置 查看自己创建的文件 在共享文档文件中查看文件。

仅当用户的安全级别不低于文件的安全级别时，用 户才可以读文件。 仅当用户的安全级别不高于文件的安全级别时，用 户才可以写文件。
3、自主/强制访问的问题
自主式太弱 强制式太强 二者工作量大，不便管理
例： 1000个主体访问10000个客体，须1000万次配置。 如每次配置需1秒，每天工作8小时，就需 10，000，000/（3600*8） =347.2天
Objects Information Flow
R/W
R R R
W
R/W R R S
W
W R/W R C
W
W W R/W U
TS
S C U
Subjects TS
例：Unix文件系统强制访问控制机制的Multics方案 所有的用户和文件都有一个相应的安全级， 用户对文件的访问需要遵守以下安全规则：

访问控制的三种策略——
自主访问控制 强制访问控制 基于角色的访问控制
访问控制
自主 访问控制
强制 访问控制
基于角色
图9Baidu Nhomakorabea2 访问控制的三种策略
访问控制
9.2 自主访问控制
1、自主访问控制（DAC）的含义 由拥有资源的用户自己决定其他一个主体可以 在什么程度上访问哪些资源。 2、访问控制表（ACL） 基于访问控制矩阵中列的自主访问控制。在客 体上附加一个主体明晰表，来表示各个主体对这个 客体的访问权限。