自主访问控制

访问控制的目的和作用
• 目的：
是为了限制访问主体（用户、进程、服务等） 对访问客体（文件、系统等）的访问权限，从而使 计算机系统在合法范围内使用；决定用户能做什么， 也决定代表一定用户利益的程序能做什么。
• 作用：
是对需要访问系统及其数据的人进行鉴别，并验 证其合法身份；也是进行记账、审计等的前提。
访问控制的一般策略
访问控制
自主 访问控制 基于角色 访问控制
强制 访问控制
6.2.2
自主访问控制（DAC）
自主访问控制（Discretionary Access Control） 是一种最为普遍的访问控制手段，其依据是用户的身份 和授权，并为系统中的每个用户（或用户组）和客体规 定了用户允许对客体进行访问的方式。每个用户对客体 进行访问的要求都要经过规定授权的检验，如果授权中 允许用户以这种方式访问客体，则访问就可以得到允许 ，否则就不予许可。
3.通过梯度安全标签实现单向信息流通模式。
访问控制的策略——自主/强制访问的问题
1.自主式太弱 2.强制式太强 3.二者工作量大，不便管理
例： 1000主体访问10000客体，须1000万次配置。如每次配置
需1秒，每天工作8小时，就需 10，000，000/（3600*8）
=347.2天
访问控制的策略——基于角色的访问控制
Access Control Matrix
Object Subject User1
File1
File2
File3 Read Write
File4
File5
printer
disk
Read Write Write Write
User2
Read Write
Read
List
User3
Read Write
Execute
Discretionary Access Controls
• 自主访问控制任意访问控制：根据主体身份或者主体 所属组的身份或者二者的结合, 对客体访问进行限制的一种 方法。 • 最常用的一种方法，这种方法允许用户自主地在系统中规 定谁可以存取它的资源实体，即用户（包括用户程序和用 户进程）可选择同其他用户一起共享某个文件。 • 自主：指具有授与某种访问权力的主体能够自己决定是否 将访问权限授予其他的主体。安全操作系统需要具备的特 征之一就是自主访问控制，它基于对主体或主体所属的主 体组的识别来限制对客体的存取。 • 客体：文件，邮箱、通信信道、终端设备等。
–下读(read down)：用户级别大于文件级别的读操作； –上写(Write up)：用户级别低于文件级别的写操作； –下写(Write down)：用户级别大于文件级别的写操作； –上读(read up)：用户级别低于文件级别的读操作；
Rules 三个因素
• 主体的标签，即你的安全许可
– TOP SECRET [VENUS TANK ALPHA]
6.1.2 安全操作系统
安全操作系统的含义是在操作系统的工作范围之内，提供 尽可能强的访问控制和审计机制，在用户与应用程序之间和系 统硬件与资源之间进行符合安全政策的调度，限制非法的访问， 在信息系统的最底层进行保护。
6.2 访问控制技术 6.2.1 访问控制的概念
1．什么是访问控制 访问控制是指主体依据某些控制策略或权限对客体本 身或是其资源进行的不同授权访问。访问控制是在身份认 证的基础上，根据身份对提出的资源访问请求加以控制， 是针对越权使用资源的现象进行防御的措施。访问控制是 网络安全防范和保护的主要策略，它可以限制对关键资源 的访问，防止非法用户或合法用户的不慎操作所造成的破 坏。
– subject - active entity (user, process) – object - passive entity (file or resource) – access right – way object can be accessed
• can decompose by
– columns as access control lists – rows as capability tickets
访问控制的策略——自主访问控制
特点：
根据主体的身份和授权来决定访问模式。
缺点：
信息在移动过程中其访问权限关系会被改变。如用户A 可将其对目标O的访问权限传递给用户B,从而使不具备对O访
问权限的B可访问O。
• 自主访问控制面临的最大问题是： • 在自主访问控制中，具有某种访问权的主体能够自行 决定将其访问权直接或间接地转交给其它主体。自主 访问控制允许系统的用户对于属于自己的客体，按照 自己的意愿，允许或者禁止其它用户访问。 • 在基于DAC的系统中，主体的拥有者负责设置访 问权限。也就是说，主体拥有者对访问的控制有一定 权利。但正是这种权利使得信息在移动过程中，其访 问权限关系会被改变。如用户A可以将其对客体目标O 的访问权限传递给用户B，从而使不具备对O访问权限 的B也可以访问O，这样做很容易产生安全漏洞，所以 自主访问控制的安全级别很低。
Write
Read Write
• 。直观地看，访问控制矩阵是一张表格， 每行代表一个用户(即主体)，每 • 列代表一个存取目标(即客体)，表中纵 横对应的项是该用户对该存取客体的访 问权集合(权集)。下图是访问控制矩
• • •Fra Baidu bibliotek• •
访问权限 Readallows the user to read the file or view the file attributes. Writeallows the user to write to the file,which may include creating,modifying,or appending onto the file. Executethe user may load the file and execute it. Deletethe user may remove this file from the system. Listallows the user to view the file’s attributes.
Execute
Write
Read Write
访问控制能力列表
• 能力表是访问控制矩阵的另一种表示方式。在访问控 制矩阵表中可以看到，矩阵中存在一些空项(空集)， 这意味着有的用户对一些客体不具有任何访问或存取 的权力，显然保存这些空集没有意义。 • 能力表的方法是对存取矩阵的改进，它将矩阵的每一 列作为 • 一个客体而形成一个存取表。每个存取表只由主体、 权集组成，无空集出现。 • 为了实现完善的自主访问控制系统，由访问控制矩阵 提供的 • 信息必须以某种形式保存在系统中，这种形式就是用 访问控制表
Role-Based Access Controls
• 角色概念
A role can be defined as a set of actions and responsibilities associated with a particular working activity.
• 角色与组的区别 组 ： 用户集 用户集＋权限集
Access Control Lists
<jane.pay,rw>
<john.acct,r>
access matrix
• given system has identified a user • determine what resources they can access • general model is that of access matrix with
Mandatory Access Controls
• 根据客体中信息的敏感标记和访问敏感信息的 主体的访问级对客体访问实行限制 • 用户的权限和客体的安全属性都是固定的 • 所谓“强制”就是安全属性由系统管理员人为 设置，或由操作系统自动地按照严格的安全策 略与规则进行设置，用户和他们的进程不能修 改这些属性。 • 所谓“强制访问控制”是指访问发生前，系统 通过比较主体和客体的安全属性来决定主体能 否以他所希望的模式访问一个客体。
访问控制系统的三个要素
1 主体（Subject） 2 客体（Object） 3 访问策略
访问控制的实现过程 1 认证 2 访问策略的实现 3 审计
访问控制的一般实现机制和方法
一般实现机制—— • 基于访问控制属性 ——〉访问控制表/矩阵 • 基于用户和资源分档（“安全标签”） ——〉多级访问控制 常见实现方法—— • 访问控制表（ACL) • 访问能力表（Capabilities) • 授权关系表
Sensitivity Label
SECRET
[ VENUS , TANK , ALPHA ]
Classification
categories
Mandatory Access Controls
• 在强制访问控制中，它将每个用户及文件赋于一个 访问级别，如：绝密级（Top Secret）、机密级 （Secret）、秘密级（Confidential）及普通级 （Unclassified）。 • 其级别为T>Ｓ>Ｃ>Ｕ，实现四种访问控制读写关系：
角色 ：
• 角色控制与自主式/强制式控制的区别： 角色控制相对独立，根据配置可使某些角色为接近 DAC，某些角色接近MAC。
Role-Based Access Controls
• 授权给用户的访问权限，通常由用户在一个 组织中担当的角色来确定。以角色作为访问 控制的主体
–用户以什么样的角色对资源进行访问，决定了用 户拥有的权限以及可执行何种操作。
访问控制列表(Access Control List)
• 访问控制列表是从客体角度进行设置的、 面向客体的访问控制。每个客体有一个 访问控制列表，用来说明有权访问该客 体的所有 • 主体及其访问权限，如下图所示。 • 图中说明了不同主体对客体(PAYROLL 文件)的访问权限。 • 其中，PAYROLL的访问控制列表如下
操作系统的安全
6.1 操作系统安全基础
6.1.1 操作系统安全的概念
操作系统安全是指该系统能够控制外部对系统信息的访问，即只有 经过授权的用户（或进程）才能对信息资源进行相应的读、写、删除等 操作，以保护合法用户对授权资源的使用，防止非法入侵者对系统资源 的侵占与破坏。 操作系统安全一般包括两层意思：一是操作系统在设计时通过权限 访问控制、信息加密性保护、完整性鉴定等一些机制实现的安全；二是 操作系统在使用中通过一系列的配置，保证操作系统尽量避免由于实现 时的缺陷或是应用环境因素产生的不安因素。只有通过这两方面的同时 努力，才能最大可能地建立安全的操作环境。
• 客体的标签，例如文件LOGISTIC的敏 感标签如下：
– SECRET [VENUS ALPHA]
• 访问请求，例如你试图读该文件
examples
访问控制的策略——强制访问控制
特点：
1.将主题和客体分级，根据主体和客体的级别标记来决定
访问模式。如，绝密级，机密级，秘密级，无密级。
2.其访问控制关系分为：上读/下写 ， 下读/上写 （完整性） （机密性）
强制访问控制的实质是对系统当中所有的 客体和所有的主体分配敏感标签 (Sensitivity Label)。用户的敏感标签指 定了该用户的敏感等级或者信任等级， 也被称为安全许可(Clearance)；而文件 的敏感标签则说明了要访问该文件的用 户所必须具备的信任等级。 • 强制访问控制就是利用敏感标签来确定 谁可以访问系统中的特定信息的。
• “角色”指一个或一群用户在组织内可执行 的操作的集合。角色就充当着主体（用户） 和客体之间的关联的桥梁。这是与传统的访 问控制策略的最大的区别所在。
主体 角色
客体
RBAC的基本思想
是：授权给用户的访问权限，通常由用户在一个组 织中担当的角色来确定。RBAC中许可被授权给角 色，角色被授权给用户，用户不直接与许可关联。 RBAC对访问权限的授权由管理员统一管理， RBAC根据用户在组织内所处的角色作出访问授权 与控制，授权规定是强加给用户的，用户不能自 主地将访问权限传给他人，这是一种非自主型集 中式访问控制方式。例如，在医院里，医生这个 角色可以开处方，但他无权将开处方的权力传给 护士。
:
Access Control Lists
File2 File3 File4 File5 printer disk
Object Subject
File1
User1
Read Write Read Write Read List
Read Write Write Write
User2
User3
Read Write