信息安全体系结构3域内保护-41和2精品PPT课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Fra Baidu bibliotek.1 基本概念
访问控制基本原则
最小特权原则:授予主体的权限不超过该主 体完成任务所必需的权限。
需知原则:敏感信息控制时,即使一个主体获得 了官方的访问许可(通过强制访问控制实施), 它是否可以访问对象资源取决于该访问是否完成 任务所必需(通过自主访问控制实施)。该原则 是最小特权原则在敏感信息控制领域的体现。
职责分离原则:关键任务需要分解为多个子 任务,分别由不同的用户完成
4.1 基本概念
访问控制策略的安全性问题
访问控制策略目的是防止资源非授权利用 访问控制策略不是静态的,因为增加或者删除主体
或者客体、授权或者取消权限等操作都会导致访问 控制策略的变化。 访问控制策略的安全性问题
初始化的策略是否符合安全需求?
思考题1:上述措施提供的安全性与付出的代价比较 访问控制就是一种逻辑隔离
4.1 基本概念
访问控制是计算机安全的核心
访问:主体与对象资源的信息交互。 目的是防止主体非授权的使用对象资源 可提供机密性或者完整性服务
访问控制机制的组成
主体:操作系统,就是进程;对CPU来说就是执行 代码;对于数据库来说就是?
基本思想
CPU特权状态下,操作系统拥有全部的控制权,可 以执行全部CPU指令;而CPU用户状态下,用户进 程仅仅能执行CPU有部分常用指令,其他的任务必 须提交操作系统执行。
特权指令包括:外设访问指令,CPU状态指令
问题1:内存访问指令术语属于普通指令(为什 么),不同的进程之间的隔离不能由操作系统提供 保护,因此需要硬件支持的内存保护机制
问题2:如何在用户状态访问处于特权状态的操作 系统功能?用户进程和操作系统处于不同CPU状态, 所以不能采用子程序调用的直接内存地址跳转
4.2 硬件安全机制
内存保护机制
栅栏Fence
栅栏是最早的单用户内存保护措施。一种栅栏采 用预先定义的内存地址,操作系统和用户处于栅 栏的两边。这种方法的缺点是不够灵活。另外一 种栅栏采用了一个栅栏寄存器,可以灵活的调整 内存的分区。其工作原理是:当用户程序访问内 存时,逻辑地址与栅栏寄存器比较,逻辑地址大 于栅栏寄存器时允许访问。
比如:主体si对客体oj是否没有读权限?
动态变化的策略是否符合安全需求?
比如:主体si对客体oj是否始终没有读权限?
4.1 基本概念
访问控制策略的安全性问题是访问控制 的基本理论问题,需要建立严格的数学 模型进行分析。
4.1 基本概念
基于Kripke结构的安全模型 原子命题AP集合上的Kripke结构M是一个四元
对象:操作系统,就是文件 访问授权:读,写,执行
4.1 基本概念
访问控制的授权策略
自主访问控制
用户可以进行访问权的授予,安全属性的维护 基于宿主的授权是一种最常见的自主访问控制
强制访问控制
只能有系统安全管理者授权和安全属性的维护 多级安全是根据主客体的标记比较的访问控制,
是一种最常见的强制访问控制
4.2 硬件安全机制
内存保护机制
基址寄存器和界限寄存器
多用户操作系统中,不同用户占据不同的内存空 间。基址寄存器限制了当前运行进程的用户内存 地址的下界,界限寄存器给出了用户内存地址的 下界。用户进程访问内存时,物理地址等于逻辑 地址加上基址寄存器,并且小于界限寄存器允许 访问。
当调度另一个进程执行时,需要根据新进程把基 址寄存器和界限寄存器更新,作为上下文切换的 一个工作。
求 分
S<段表长度且 W<分段长度?
否
分段越界
中断处理
段 系
是 否
存取方式合法?
分段保护 中断处理
统 地
是 否
分段S在内存?
是
请求缺段 中断处理
址
修改分段S对应段表项访问字段和修改位
变 换
形成内存物理地址(A) = (分段基址) + (W)
信息安全体系结构
2009
第二部分 域内保护
域内保护
第4章、访问控制 第5章、信息流控制 第6章、恶意行为检测 第7章、可信计算
4.1 基本概念
支持多个用户的系统需要
保护用户的数据免受其他用户的干扰(泄密或者篡改) 保护用户进程之间的相互干扰
安全方案
物理隔离 时间隔离 逻辑隔离 密码隔离
4.2 硬件安全机制
内存保护机制
段式内存保护
段表
段名
段长
分段 基址
存取 方式
访问 字段
修改位状态位增补位
外存 地址
4.2 硬件安全机制
段式内存保护
每个进程具有独立的逻辑空间,逻辑空间通 过段表映射到不同的物理空间,实现彼此的 隔离和独立。
操作系统可位于独立的逻辑空间,但是不利 于用户进程的使用,因此可以采用将所有的 进程的一部分虚拟空间都映射到相同的物理 空间,该部分空间分配给操作系统,由所有 进程所共享。
原子命题p1:主体si对客体oj没有读权限 对于任意路径,p1始终为真?
4.2 硬件安全机制
如果没有硬件安全保护
对于CPU,操作系统,用户进程都相同地位 的程序代码。
任何程序一旦开始执行,即获得对系统的完 全控制权:可以访问所有的内存,外设等, 因此用户数据,程序,操作系统都无法保护
4.2 硬件安全机制
组:
S是一个有限的状态集合 S0是S的子集,为初始状态集合 R是S×S的子集,为状态转移关系 L: S2AP状态函数,表示对应状态下成立的命题。
Kripke结构是一种非确定的有限状态自动机 路径: S0 S1S2…是一个无穷序列且(Si,Si+1) ∈R
4.1 基本概念
基于Kripke结构的安全问题表示
4.2 硬件安全机制
安全检查:地址转换时由硬件实施 越界检查
段号及段内地址合法性检查
访问权限控制检查
段表中对应表项存取控制字段为依据 通常访问方式包括只读、只执行(既不可读也不可
写)、读/写三种 共享段的存取控制应对不同进程赋予不同权限,既
要保证安全,又要满足运行需要
请
访问[S][W]
4.1 基本概念
自主访问控制
优点:控制灵活 缺点:特洛依木马的威胁
4.1 基本概念
特洛依木马如何绕开限制
A
宿 主
文件a
B
读 权
C
不能读 文件a
4.1 基本概念
2.B执行木 马
4.木马读文件 a写入文件b
文件a
B 木马
3.木马创 建文件b
1.木马送 B
C
文件b
5.木马授予C对 文件b的读权