第二章 操作系统安全机制

② BRAC的基本概念
权限分配（Permission Assignment） 将角色与权限关联。 权限分配集合为PA={(p,r)|p∈P, r∈R} . 权限 p与角色 r关联后，角色 r将拥有权限 p。 激活角色（Actve Role） 角色只有激活才能起作用，否则不起作用。 通过会话激活角色。 会话（Session） 用户要访问系统资源时，必须先建立一个会话。 一次会话仅对应一个用户。一次会话可激活几个角色。
自主访问控制模型
矩阵模型：
设S为全体主体的集合，S＝{s 1，s 2，…，s m }。 设O为全体客体的集合，O＝{o 1，o 2，…，o n }。 设R为全体权力的集合，R＝{r 1，r 2，…，r l }。 记权力矩阵为： a1 A＝
1
，a 1
2
，…，a 1
n n
S1 ＝ S2 … Sm =[o 1,o 2,…o n ]
实现多级安全访问控制机制
必须对系统的主体和客体分别赋予与其 身份相对称的安全属性的外在表示--安全 标签，它有两部分组成： {安全类别：范畴}
(1) 安全类别—有等级的分类
安全级别：也称密级，系统用来保护信息(客体) 的安全程度。 敏感性标签：客体的安全级别的外在表示，系 统利用此敏感性标签来判定一进程是否拥有对 此客体的访问权限。 许可级别：进程（主体）的安全级别，用来判 定此进程对信息的访问程度。 许可标签：进程的安全级别的外在表示，系统利 用进程的安全级别来判定此进程是否拥有对要 访问的信息的相应权限。
2.1.2 密码
口令机制简单易行，但最为脆弱 口令管理 系统管理员的职责 用户的职责 口令实现要点
2.1.3 生物鉴别方法
用户提供自己独有的生理或行为上的特 点 常见的指纹识别
2.2 访问控制
用户进程是固定为某特定用户服务的， 它在运行中代表该用户对客体资源进行 访问，其权限应与所代表的用户相同， 这一点可通过用户与主体绑定实现。
③ BRAC的基本机制
RBAC的授权机制：
a.分为两步： 将用户分配给角色 将访问权限分配给角色 b.授权要满足安全约束条件。 最小特权原则 职责分离原则 角色互斥原则 角色激活限制原则 c.角色分级，高级角色可以继承低级角色的访问权限。
③ BRAC的基本机制 RBAC用户与角色的关系：（多对多关系）
承另一角色的访问权限。 c.直接继承：相邻角色之间的继承。 d.间接继承：非相邻角色之间的继承。
角色分级(role hierarchy)继承关系
高级角色
高级角色
高级角色
中间角色
中间角色
中间角色
低级角色
低级角色
③ BRAC的基本机制 安全约束

约束是设计高级安全策略的一个强有力的机制。 各个环节施加安全约束，以实现不同的安全策略。 可以定义在系统层，也可以定义在应用层。 可以是事件触发的，也可以不是事件触发的。
a.一个用户可担当多个角色 b.一个角色可分配给多个用户
角色和权限之间的关系：（多对多的关系）
a.一个角色可以拥有多个访问权限， b.不同的角色也可以拥有相同的权限。
角色和角色的关系：（分级关系）
高级角色可以继承低级角色的访问权限。
③ BRAC的基本机制 角色分级
a.角色分级是组织角色的一种自然方法。 b. 角色分级的结果将导致一个角色可以直接或间接地继
1) 权能表
进程ID1的CL： 文件X(rw-); 程序Y(r--);
……
进程IDn的CL： 内存段Z(rw-); 程序Y(r-x);
用户可以把全能表拷贝给其他用户，也可以从其他用户取回
2)前缀表
对每个主体赋予前缀 (Profiles) 表，它包 含受保护的客体名和主体对它的访问权 限，每当主体访问某客体时，自主存取 控制机制将检查主体的前缀是否具有它 所请求的访问权。 权限管理复杂
(2) 范畴—无等级概念
范畴是该安全级别信息所涉及的部门。
公司内可以建立信息安全类别
Confidential Restricted(技术信息)、 Restricted(内部信息) Unrestricted(公开信息)； 军事部门的信息安全类别 Top Secret(绝密)、Secret(秘密)、 Confidential(机密)和Unclassified(公开)
认证和授权
用户1 用户2
认证机制
计算机系统
主体1
主体2
主体1、主体2可访 问的资源
授权机制
主体1可访问 的资源
2.2.2 自主访问控制策略
本策略根据系统中信息属主指定方式或默认方 式、即按照用户的意愿来确定用户对每一个客 体的访问权限，这一点上对信息属主是“自主 的”。这样一来，它能提供精细的访问控制策 略，能将访问控制粒度细化到单个用户(进程)。 按照系统访问控制策略实现的访问控制机制， 能够为每个命名客体指定命名用户和用户组， 并规定他们对客体的访问权限，没有访问权限 的用户，只允许由授权用户指定其对客体的访 问权。
授权机制的功能
经典的计算机系统两种机制的关键点，当一个 用户试图访问计算机系统时，认证机制首先标 识与鉴别用户身份用户进入系统后，再由授权 机制检查其是否拥有使用本机资源的权限及有 多大的访问权限。 授权机制的功能是授权和存取控制，其任务是： 授权，确定给予哪些主体存取哪些客体的权力。 确定存取权限，通常有：读、写、执行、删除、 追加等存取方式。 实施存取权限。
ACL和优化ACL
客体Y PID1,r-x PID2,rwPID3,--x PID4,rwx …… (a)存取控制表 文件X PID1 * PID3 * GROUP5 GROUP5 * * rwx --x --r--
(b)优化的存取控制表
3. 自主存取控制机制实现举例
1)“拥有者/同组同户/其他用户”模式 2)“存取控制表ACL”和“拥有者/同组同户/其 他用户”结合模式 在安全操作系统 UNIX SVR4.1中，采用“存 取控制表 ACL” 和“拥有者 / 同组同户 / 其他 用户”结合的实现方法， ACL 只对于“拥 有者 / 同组同户 / 其他用户”无法分组的用 户才使用。
3)口令表(Passwords List)
在基于口令表的自主存取控制机制中， 每个客体都有一个口令，主体在对客体 访问前，必须向安全系统提供该客体的 口令，如果正确便允许访问。
2. 基于列的自主存取控制机制
存取控制表ACL(Access Control List)是十 分有效的自主访问控制机制，被许多系 统采用。此机制如下实现，在每个客体 上都附加一个可访问它的主体的明细表， 表示存取控制矩阵，表中的每一项都包 括主体的身份和主体对该客体的访问权 限。
第二章
操作系统安全机制
江苏大学计算机学院
操作系统安全的主要目标
访问控制 身份鉴别 监督系统运行的安全性 保证系统的安全性和完整性
普遍的安全机制
信任的功能性 时间检测 审计跟踪 安全恢复
2.1标识与鉴别机制
用户标识 (identification) ：用来标明用户 身份，确保用户的惟一性和可辨认性的 标志，一般选用用户名称和用户标识符 (UID)来标明一个系统用户，名称和标识 符均为公开的明码信息。用户标识是有 效实施其他安全策略，如用户数据保护 和安全审计的基础。通过为用户提供标 识，TCB能使用户对自己的行为负责。
公司内的范畴
Accounting( 财 务 部 ) 、 Marketing( 市 场 部 ) 、 Advertising( 广告部 ) 、 Engineering( 工程部 ) 和 Reserch&Development(研发部)。 在公司内，财务部经理与市场部经理虽然级别 相同（都是经理），但由于两人分属不同部门 （财务部负责财务，市场部负责市场），从而， 分 属 两 个 不 同 的 范 畴 （ Accounting 、 Marketing ），故市场部经理是不能够访问财 务部经理的信息的。
2.2.3 强制访问控制策略
在强制访问控制机制下，系统内的每个 用户或主体被赋予一个许可标记或访问 标记，以表示他对敏感性客体的访问许 可级别；同样，系统内的每个客体被赋 予一个敏感性标记(sensitivity label)，以 反映该客体的安全级别。安全系统通过 比较主、客体的相应标记来决定是否授 予一个主体对客体的访问请求权限。
② BRAC的基本概念
RBAC的基本思想是根据用户所担任的角色来决定用户 的在系统中的访问权限。 一个用户必须扮演某种角色，而且还必须激活这一角色， 才能对一个对象进行访问或执行某种操作。
激活 安全管理员 指定 用户
角色/ 权限
访问或操作
② BRAC的基本概念
用户（User） 访问计算机资源的主体。用户集合为 U. 角色（role） 一种岗位，代表一种资格、权利和责任。角色集合为 R. 权限（permission） 对客体的操作权力。权限集合为 P. 用户分配（User Assignment） 将用户与角色关联。 用户分配集合为UA={(u,r)|u∈U, r∈R} . 用户 u与角色 r关联后，将拥有 r的权限。

激活数约束 限制一个角色同时授权和激活的数目。如总经理只 有1个。 角色激活时间约束 限制一个角色激活的时间。如岗位任期制。
用户与主体绑定
系统进程是动态地为所有用户提供服务的，它 的权限随着服实对象的变化而改变，这需要将 用户的权限与为其服务的进程的权限动态地相 关联。这也就是说，一个进程在不同时刻对一 个客体有不同的访问权限，取决于它当时所执 行的任务。当进程在执行正常的用户态应用程 序时(用户进程)，它所拥有的权限与其代表的 用户有关；当进程进行系统调用时，它开始执 行内核函数(系统进程)，此时运行在核心态， 拥有操作系统权限。
用户鉴别
用户鉴别 (authentication) ：用特定信息 对用户身份、设备和其他实体的真实性 进行确认，用于鉴别的信息是非公开的 和难以仿造的，如口令(也称密钥)。用户 鉴别是有效实施其他安全策略的基础。
三类信息用作身份标识和鉴别
用户知道的信息 用户拥有的东西 用户的生物特征 利用其中的任何一类都可进行身份认证， 但若能利用多类信息，或同时利用三类 中的不同信息，会增强认证机制的有效 性和强壮性。
2.2.4 基于角色的访问控制
① BRAC介绍 由IST的Ferraiolo等人在90年代提出。 NIST成立专门机构进行研究。 96年提出一个较完善的基于角色的访问
控制参考模型RBAC96。
② BRAC的基本思想 根据用户在一个组织中担任的角色来确 定对其所的授权。
BRAC是强制访问模型，不是DAC 虽然一个用户担任一个角色后，便可以 拥有该角色的权限，但是他不能将权限 转授给别人。
a 2 1 ，a 2 2 ，…，a 2 …… am
1
，a m阵的每一行对应一个主体，每一列对应一个 客体。行与列交叉点上的元素a ij 表示主体si 对客体oj 所拥有的所有权力的集合。 ②当主体si 要对客体oj 进行访问时，访问控制机 制检查 aij ，看主体 si 是否具有对客体 oj 进行 访问的权力，以决定主体 si 是否可对客体 oj 进 行访问，以及进行什么样的访问。 ③自主性 客体的属主有权将其客体的访问权力授予其 它主体，或收回。
自主访问控制模型
④矩阵模型的实现 基于矩阵列 对需要保护的客体附件一个访问控制表，
标明各拥有权力的主体的标识与权限。 UNIX，LINUX，NT 基于矩阵的行 在每个主体上附件一个可访问的客体的明 细表： 权力表 口令
1. 基于行的自主存取控制机制
在每个主体上都附加一个该主体可访问 的客体明细表，根据表中信息的不同又 可分成3种：
职责分离约束
合理划分任务和相关权限，以保证多用户协同工作的 安全性。
如，公检法三权分立，互相配合，又互相监督。
角色互斥约束
如果一组角色是互斥的，那么一个用户或同一个访 问权限只能被分配给其中的一个角色。 利用角色互斥约束可实现职责分离。 例如，一个人不能又当裁判员又当运动员。 最小特权约束 只给角色分配完成某工作所需的最小权力。 角色激活约束