06运行安全2005--访问控制.ppt

运行安全 --访问控制 主讲人：翟健宏 Email: zhaijh@hit.edu.cn 办公室:新技术楼509 Tel:04511 访问控制的基本概念 2 访问控制的实现机制和方法 3 访问控制的一般策略 4 授权的管理 1 访问控制的基本概念 1.1 安全服务 安全服务（Security Services）：开放某一层所提供的服务，用以保证系统或数据传输足够的安全性。 根据ISO7498-2, 安全服务包括： 实体认证Entity Authentication 数据必威体育官网网址性Data Confidentiality 数据完整性Data Integrity 防抵赖Non-repudiation 访问控制Access Control 1.2 访问控制的概念 原始概念：是对进入系统的控制（用户标识+口令/生物特性/访问卡）。 一般概念：是针对越权使用资源的防御措施。 分类： 自主访问控制 强制访问控制 基于角色的访问控制 访问控制的目的： 是为了限制访问主体用户、进程服务等对访问客体文件系统等资源的访问权限，从而使计算机系统在合法范围内使用。 决定用户能做什么，也决定代表一定用户利益的程序能做什么。 作用： 是对需要访问系统及其数据的人进行鉴别，并验证其合法身份；也是进行记账审计等的前提。 1.3 访问控制与其他安全措施的关系模型 1 访问控制的基本概念 2 访问控制的实现机制和方法 3 访问控制的一般策略 4 授权的管理 2访问控制的实现机制和方法 2.1实现机制 基于访问控制属性： 访问控制表/矩阵 基于用户和资源分档“安全标签”： 多级访问控制 2.2 常见实现方法 主要包括三种形式： 访问控制表ACL（Access Control Lists） 访问能力表（Capabilities） 访问控制矩阵 授权关系表 访问控制表：每个客体附加一个它可以访问的主体的明细表。 访问能力表：每个主体都附加一个该主体可以访问的客体的明细表。 访问控制矩阵： 按列看是访问控制表内容，按行看是访问能力表内容。 授权关系表 1 访问控制的基本概念 2 访问控制的实现机制和方法 3 访问控制的一般策略 4 授权的管理 3 访问控制的一般策略 自主访问控制 强制访问控制 自主/强制访问的问题 基于角色的访问控制 一个基于角色的访问控制的实例 RBAC与传统访问控制的差别 RBAC参考模型 RBAC的优势 3 访问控制的一般策略 自主访问控制 特点：根据主体的身份和授权来决定访问模式；具有访问权限的可传递性。 缺点：信息在移动过程中，其访问权限关系会被改变，如用户A可将其对目标O的访问权限传递给用户B，从而使不具备对O访问权限的B，可访问O。 强制访问控制 特点： 将主题和客体分级，根据主体和客体的级别标记来决定访问模式，如绝密级、机密级、秘密级、无密级。 其访问控制关系分为：上读/下写（完整性），下读/上写（机密性）。 通过梯度安全标签实现单向信息流通模式。 强制访问控制 精确描述 强制访问控制(MAC)中，系统包含主体集S和客体集O，每个S中的主体s及客体集中的客体o，都属于一固定的安全类SC，安全类SC=L,C包括两个部分：有层次的安全级别和无层次的安全范畴。构成一偏序关系≤。 Bell-LaPadula：保证必威体育官网网址性 简单安全特性(无上读)：仅当SC(o)≤SC(s)时，s可以读取o； *-特性(无下写)： 仅当SC(s) ≤SC(o)时，s可以修改o Biba：保证完整性 同1 相反。（无上写，无下读） 强制访问控制 MAC（Mandatory Access Control ） Information Flow 自主/强制访问的问题 自主访问控制 配置的粒度小 配置的工作量大，效率低 强制访问控制 配置的粒度大 缺乏灵活性 例：1000主体访问10000客体须1000万次配置，如每次配置需1秒，每天工作8小时，就需10,000,000/ 3600*8=347.2天。 基于角色的访问控制 基于角色的访问控制是一个复合的规则，可以被认为是早期的IBAC和RBAC的结合体。一个身份被分配给一个被授权的组。 起源于UNIX系统或别的操作系统中组的概念（10year history）。 基于角色的访问控制 特点： 责任分离(separation of duties) 角色分层(role hierarchies) 角色激活(role activatio