CISP0203访问控制.pptx

访问控制,培训机构培训讲师,课程内容,2,知识域：访问控制模型,知识子域：访问控制基本概念理解标识、鉴别和授权等访问控制的基本概念理解常用访问控制模型分类,3,访问控制的概念和目标,访问控制：针对越权使用资源的防御措施目标：防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问，从而使资源在授权范围内使用，决定用户能做什么，也决定代表一定用户利益的程序能做什么。,4,访问控制的作用,未授权访问：包括未经授权的使用、泄露、修改、销毁信息以及颁发指令等。非法用户对系统资源的使用合法用户对系统资源的非法使用作用：机密性、完整性和可用性(CIA),5,主体与客体,主体发起者，是一个主动的实体，可以操作被动实体的相关信息或数据用户、程序、进程等客体一种被动实体，被操作的对象，规定需要保护的资源文件、存储介质、程序、进程等,6,主体与客体之间的关系,主体：接收客体相关信息和数据，也可能改变客体相关信息一个主体为了完成任务，可以创建另外的主体，这些子主体可以在网络上不同的计算机上运行，并由父主体控制它们客体：始终是提供、驻留信息或数据的实体主体和客体的关系是相对的，角色可以互换,7,授权,规定主体可以对客体执行的操作：读写执行拒绝访问,8,标识,标识是实体身份的一种计算机表达，每个实体与计算机内部的一个身份表达绑定标识的主要作用：访问控制和审计访问控制：标识用于控制是否允许特定的操作审计：标识用于跟踪所有操作的参与者，参与者的任何操作都能被明确地标识出来,9,主体标识的实例,主体的标识在UNIX中，主体（用户）的身份标识为0-65535之间的一个整数，称为用户身份号（UID）常见的主体标识还包括用户名、卡、令牌等，也可以是指纹、虹膜等生物特征,10,客体标识的实例,客体的标识文件名文件描述符或句柄文件分配表的条目UNIX中提供了四种不同的文件标识：inode文件描述符绝对路径文件名相对路径文件名,11,鉴别,确认实体是它所声明的，提供了关于某个实体身份的保证，某一实体确信与之打交道的实体正是所需要的实体口令、挑战-应答、生物特征鉴别所有其它的安全服务都依赖于该服务需求：某一成员（声称者）提交一个主体的身份并声称它是那个主体目的：使别的成员（验证者）获得对声称者所声称的事实的信任,12,访问控制的两个重要过程,第一步：鉴别检验主体的合法身份第二步：授权限制用户对资源的访问权限,13,访问控制模型,14,什么是访问控制模型对一系列访问控制规则集合的描述，可以是非形式化的，也可以是形式化的。组成,访问控制模型的分类,访问控制模型,强制访问控制模型（MAC）,自主访问控制模型（DAC）,访问矩阵模型,访问控制列表（ACL）,权能列表（Capacity List）,Bell-Lapudula 模型,Biba 模型,Clark-Wilson 模型,Chinese Wall 模型,保密性 模型,完整性 模型,基于角色访问控制模型（RBAC）,混合策略模型,15,知识域：访问控制模型,知识子域：自主访问控制模型理解自主访问控制的含义理解访问控制矩阵模型，及其实现方法：访问控制列表、权能列表理解自主访问控制模型的特点,16,自主访问控制的含义,允许客体的属主（创建者）决定主体对该客体的访问权限灵活地调整安全策略具有较好的易用性和可扩展性常用于商业系统安全性不高,17,自主访问控制的实现机制和方法,实现机制 访问控制表/矩阵实现方法 访问控制表（Access Control Lists）访问能力表（Capacity List）,18,访问许可与访问模式,访问许可(Access Permission)：描述主体对客体所具有的控制权定义了改变访问模式的能力或向其它主体传送这种能力的能力访问模式：描述主体对客体所具有的访问权指明主体对客体可进行何种形式的特定访问操作：读/写/运行,19,访问许可的类型,等级型（Hierarchical）有主型（Owner）每个客体设置一个拥有者（一般是客体的生成者），拥有者是唯一有权修改客体访问控制表的主体，拥有者对其客体具有全部控制权自由型（Laissez-faire）,20,访问模式的类型,对文件的访问模式设置如下：读-拷贝写-删除/更改运行无效,21,访问控制矩阵,行：主体（用户）列：客体（文件）矩阵元素：规定了相应用户对应于相应的文件被准予的访问许可、访问权限,22,访问控制表,访问控制矩阵按列：访问控制表访问控制表：每个客体可以被访问的主体及权限,客体y,主体b,主体d,RWOwn,RW,23,访问能力表,访问控制矩阵按行：访问能力表访问能力表：每个主体可访问的客体及权限,主体b,客体x,客体y,R,RWOwn,24,访问控制表与访问能力表的比较,25,自主访问控制的特点,优点：根据主体的身份和访问权限进行决策具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体灵活性高，被大量采用缺点：信息在传递过程中其访问权限关系会被改变,26,知识域：访问控制模型,知识子域：强制访问控制模型理解强制访问控制的分类和含义掌握典型强制访问控制模型：Bell-Lapudula模型、Biba模型、Clark-Wilson模型和Chinese Wall模型理解强制访问控制模型的特点,27,强制访问控制的含义,主体对客体的所有访问请求按照强制访问控制策略进行控制，客体的属主无权控制客体的访问权限，以防止对信息的非法和越权访问主体和客体分配有一个安全属性应用于军事等安全要求较高的系统可与自主访问控制结合使用,28,常见强制访问控制模型,BLP模型 提供保密性1973年提出的多级安全模型，影响了许多其他模型的发展，甚至很大程度上影响了计算机安全技术的发展Biba模型1977年，Biba提出的一种在数学上与BLP模型对偶的完整性保护模型Clark-Wilson模型1987年，David Clark和David Wilson开发的以事务处理为基本操作的完整性模型，该模型应用于多种商业系统Chinese Wall模型1989年，D.Brewer和M.Nash提出的同等考虑保密性与完整性的安全策略模型，主要用于解决商业中的利益冲突,29,BLP模型的组成,主体集：S客体集：O安全级：密级和范畴密级：绝密、机密、秘密、公开范畴：NUC、EUR、US偏序关系：支配 安全级L=(C,S)高于安全级L=(C,S)，当且仅当满足以下关系：C C，S S,30,BLP模型规则（一）,简单安全特性(与读有关的特性)：S可以读O，当且仅当S的安全级可以支配O的安全级，且S对O具有自主型读权限向下读*特性(与写有关的特性)：S可以写O，当且仅当O的安全级可以支配S的安全级，且S对O具有自主型写权限向上写,31,BLP模型规则（二）,当一个高等级的主体必须与另一个低等级的主体通信，即高等级的主体写信息到低等级的客体，以便低等级的主体可以读主体有一个最高安全等级和一个当前安全等级，最高安全等级必须支配当前等级主体可以从最高安全等级降低下来，以便与低安全等级的实体通信,32,BLP模型实例,33,Biba模型的组成,主体集：S客体集：O安全级：完整级和范畴完整等级：Crucial，Very Important，Important范畴：NUC、EUR、US偏序关系：支配 完整级L=(C,S)高于完整级L=(C,S)，当且仅当满足以下关系：C C，S S,34,Biba模型规则与实例,S可以读O，当且仅当O的安全级支配S的安全级S可以写O，当且仅当S的安全级支配O的安全级上读下写,35,Clark-Wilson模型的目标,解决商业系统最关心的问题：系统数据的完整性以及对这些操作的完整性一致性状态：数据满足给定属性，就称数据处于一个一致性状态实例：今天到目前为止存入金额的总数：D今天到目前为止提取金额的总数：W昨天为止所有账户的金额总数：YB今天到目前为止所有账户的金额总数：TB一致性属性：D+YB-W=TB,36,Clark-Wilson模型的组成,约束型数据项（CDI）：所有从属于完整性控制的数据，如：账户结算非约束型数据项（UDI）：不从属于完整性控制的数据CDI集合和UDI集合是模型中所有数据集合的划分完整性验证过程（IVP）：检验CDI是否符合完整性约束，如果符合，则称系统处于一个有效状态，如：检查账户的结算转换过程（TP）：将系统数据从一个有效状态转换为另一个有效状态，实现了定义的事务处理，如：存钱、取钱、转账,37,Clark-Wilson模型规则（一）,证明规则1（CR1）：当任意一个IVP在运行时，它必须保证所有的CDI都处于有效状态证明规则2（CR2）：对于某些相关联的CDI集合，TP必须将那些CDI从一个有效状态转换到另一个有效状态实施规则1（ER1）：系统必须维护所有的证明关系，且必须保证只有经过证明可以运行该CDI的TP才能操作该CDI,38,Clark-Wilson模型规则（二）,实施规则2（ER2）：系统必须将用户与每个TP及一组相关的CDI关联起来。TP可以代表相关用户来访问这些CDI。如果用户没有与特定的TP及CDI相关联，那么这个TP将不能代表那个用户对CDI进行访问证明规则3（CR3）：被允许的关系必须满足职责分离原则所提出的要求实施规则3（ER3）：系统必须对每一个试图执行TP的用户进行认证,39,Clark-Wilson模型规则（三）,证明规则4（CR4）：所有的TP必须添加足够多的信息来重构对一个只允许添加的CDI的操作证明规则5（CR5）：任何以UDI为输入的TP，对于该UDI的所有可能值，只能执行有效的转换，或者不进行转换。这种转换要么是拒绝该UDI，要么是将其转化为一个CDI实施规则4（ER4）：只有TP的证明者可以改变与该TP相关的一个实体列表。TP的证明者，或与TP相关的实体的证明者都不会有对该实体的执行许可,40,Clark-Wilson模型,自由数据条目 Unconstrained Data Item(UDI)受限数据条目 Constrained Data Item(CDI)转换程序 Transformation Procedure(TP)完整性检查程序 Integrity Verification Procedure(IVP),数据库服务器,应用程序服务器,用户,TP转换UD1为CDI1TP基于CDI1更新CDI2(订单)和CDI3(账单),IVP检查所有订单和账单(CDI2/CDI3),Chinese Wall模型的组成（一）,主体集：S客体集：O无害客体：可以公开的数据有害客体：会产生利益冲突，需要限制的数据PR(S)表示S曾经读取过的客体集合,42,Chinese Wall模型的组成（二）,公司数据集CD：与某家公司相关的若干客体利益冲突(COI)类：若干相互竞争的公司的数据集,银行COI类,银行a,银行b,银行c,石油公司COI类,