第11章 访问控制机制

本节主要内容 访问控制概述 操作系统访问控制相关机制 网络访问控制机制 网络攻防技术

访问控制概述 访问控制(Access Control) ：从广义的角度来看，访问控制是指对主体访问客体的权限或能力的限制，以及限制进入物理区域(出入控制)和限制使用计算机系统和计算机存储数据的过程(存取控制)。 网络攻防技术

ISO访问控制通用框架 网络攻防技术

访问控制概述 访问控制的三个要素：主体、客体、保护规则 主体：发出访问操作、存取要求的主动方，通常为进程、程序或用户。 客体：被访问的对象，通常可以是被调用的程序、进程，要存取的数据、信息，要访问的文件、系统或各种网络设备、设施等资源。 保护规则：主体与客体之间可能的相互作用途径，用以确定一个主体是否对客体拥有访问能力。 网络攻防技术

访问控制的目的和作用 目的 是为了限制访问主体（用户、进程、服务等）对访问客体（文件、系统等）的访问权限从而使计算机系统在合法范围内使用决定用户能做什么也决定代表一定用户利益的程序能做什么 作用 是对需要访问系统及其数据的人进行鉴别并验证其合法身份；也是进行记账审计等的前提。 网络攻防技术

访问控制概念及分类 访问控制一般分为： 自主访问控制 强制访问控制 基于角色的访问控制 网络攻防技术

访问控制与其他安全措施的关系模型 网络攻防技术

访问控制的一般实现机制和方法 一般实现机制—— 基于访问控制属性 —— 访问控制表/矩阵 基于用户和资源分档“安全标签” —— 多级访问控制 常见实现方法—— 访问控制表ACL) 访问能力表Capabilities) 授权关系表 网络攻防技术

访问控制实现方法 ——访问控制表 网络攻防技术

访问控制实现方法 ——访问能力表 网络攻防技术

访问控制实现方法 ——访问控制矩阵 按列看是访问控制表内容 按行看是访问能力表内容 网络攻防技术

访问控制实现方法 ——授权关系表 网络攻防技术

访问控制的一般策略 网络攻防技术

访问控制的策略 ——自主访问控制 特点 根据主体的身份和授权来决定访问模式 缺点 访问控制的策略 ——自主访问控制 特点 根据主体的身份和授权来决定访问模式 缺点 信息在移动过程中其访问权限关系会被改变，如用户A可将其对目标O的访问权限传递给用户B，从而使不具备对O访问权限的B可访问O。 网络攻防技术

访问控制的策略 ——强制访问控制 特点 1.将主题和客体分级根据主体和客体的级别标记来决定访问模式如绝密级机密级秘密级无密级 访问控制的策略 ——强制访问控制 特点 1.将主题和客体分级根据主体和客体的级别标记来决定访问模式如绝密级机密级秘密级无密级 2.其访问控制关系分为上读/下写下读/上写完整性机密性 3.通过梯度安全标签实现单向信息流通模式 网络攻防技术

访问控制的策略 ——强制访问控制 MAC Information Flow 网络攻防技术

访问控制的策略 ——基于角色的访问控制 基于角色的访问控制是一个复合的规则，可以被认为是IBAC和RBAC的变体。一个身份被分配给一个被授权的组。每个角色与一组用户和有关的动作相互关联，角色中所属的用户可以有权执行这些操作。 角色与组的区别是： 组只是一组用户的集合，而角色则是一组用户的集合加上一组操作权限的集合。 网络攻防技术

访问控制的策略 ——基于角色的访问控制 基于角色的访问控制有如下特点： 访问控制的策略 ——基于角色的访问控制 基于角色的访问控制有如下特点： 该策略陈述易于被非技术的组织策略者理解；同时也易于映射到访问控制矩阵或基于组的策略陈述。 同时具有基于身份策略的特征，也具有基于规则的策略的特征。 在基于组或角色的访问控制中，一个个人用户可能是不只一个组或角色的成员，有时又可能有所限制。 网络攻防技术

访问控制的策略 ——基于角色的访问控制 角色关系 偏序关系partial orders) 自反(reflexive) 访问控制的策略 ——基于角色的访问控制 角色关系 偏序关系partial orders) 自反(reflexive) 传递(transitive) 反对称anti-symmetric) 网络攻防技术

访问控制的策略 ——基于角色的访问控制 角色控制优势 便于授权管理 便于角色划分 便于赋予最小特权 便于职责分担 便于目标分级 网络攻防技术

访问控制模型 BLP保密性模型 BIBA完整性模型 HRU模型 Take-Grant模型 网络攻防技术

Bell-LaPadula (BLP)模型 1973年，David Bell和Len LaPadula提出了第一个正式的安全模型，该模型基于强制访问控制系统，以敏感度来划分资源的安全级别。将数据划分为多安全级别与敏感度的系统称之为多级安全系统 Bell-LaPadula (BLP) 安全模型对主体和客体按照强制访问控制系统的哲学进行分类，这种分类方法一般应用于军事用途。 网络攻防技术

Bell-LaPadula (BLP)模型 数据和用户被划分为以下安全等级 　公开（Unclassified） 　受限（Restricted） 　秘密（Confidential） 　机密（Secret） 　高密（Top Secret） 网络攻防技术

Bell-LaPadula (BLP)模型 上读(NRU) , 主体不可读安全级别高于它的数据 下写(NWD) , 主检不可写安全级别低于它的数据 BLP模型允许用户读取安全级别比他低的资源；相反地，写入对象的安全级别只能高于用户级别。简言之，信息系统是一个由低到高的层次化结构。 网络攻防技术

Biba模型 七十年代，Ken Biba提出了Biba访问控制模型，该模型对数据提供了分级别的完整性保证，类似于BLP保密性模型，BIBA模型也使用强制访问控制系统。 网络攻防技术

Biba模型 网络攻防技术

Biba模型 数据和用户被划分为以下安全等级 公开（Unclassified） 受限（Restricted） 　秘密（Confidential） 　机密（Secret） 　高密（Top Secret） 网络攻防技术

Biba模型 BIBA模型基于两种规则来保障数据的完整性的保密性。 下读(NRU) 属性, 主体不能读取安全级别低于它的数据 上写(NWD) 属性, 主体不能写入安全级别高于它的数据 BIBA模型并没有被用来设计安全操作系统，但大多数完整性保障机制都基于Biba模型的两个基本属性构建。 网络攻防技术

操作系统访问控制相关机制 网络攻防技术

操作系统访问控制相关机制 目前主流的操作系统均提供不同级别的访问控制功能。通常，操作系统借助访问控制机制来限制对文件及系统设备的访问。 例如：Windows NT/2000操作系统应用访问控制列表来对本地文件进行保护，访问控制列表指定某个用户可以读、写或执行某个文件。文件的所有者可以改变该文件访问控制列表的属性。 网络攻防技术

操作系统访问控制相关机制 访问控制往往嵌入应用程序（或中间件）中以提供更细粒度的数据访问控制。当访问控制需要基于数据记录或更小的数据单元实现时，应用程序将提供其内置的访问控制模型。 网络攻防技术

操作系统访问控制相关机制 操作系统的访问控制机制包括： 认证和授权机制 访问检查机制 对象重用机制 审计和可信通信机制 网络攻防技术

网络访问控制机制 访问控制机制应用在网络安全环境中，主要是限制用户可以建立什么样的连接以及通过网络传输什么样的数据，这就是传统的网络防火墙。防火墙作为网络边界阻塞点来过滤网络会话和数据传输。根据防火墙的性能和功能，这种控制可以达到不同的级别。 网络攻防技术

网络访问控制机制 网络攻防技术

网络访问控制机制 防火墙可实现以下几类访问控制： 1) 连接控制，控制哪些应用程序终结点之间可建立连接。例如，防火墙可控制内部的某些用户可以发起对外部WEB站点间的的连接。 2) 协议控制，控制用户通过一个应用程序可以进行什么操作，例如，防火墙可以允许用户浏览一个页面，同时拒绝用户在非信任的服务器上发布数据。 3) 数据控制，防火墙可以控制应用数据流的通过。如防火墙可以阻塞邮件附件中的病毒。 防火墙实现访问控制的尺度依赖于它所能实现的技术。 网络攻防技术