信息安全体系结构-3-域内保护-4-访问控制矩阵3.ppt

信息安全体系结构 何永忠 北京交通大学计算机学院 2009 第二部分 域内保护 域内保护 第4章、访问控制 第5章、信息流控制 第6章、恶意行为检测 第7章、可信计算 4.3 访问控制矩阵 访问控制策略的描述形式 如何描述主体对客体的权限？ 访问控制矩阵是描述访问授权的一种直观的数据结构 矩阵一行对应一个主体 矩阵一列对应一个客体 矩阵一个单元的值对应主体对客体的权限 4.3 访问控制矩阵 4.3 访问控制矩阵 访问控制矩阵的改进 访问控制矩阵是稀疏矩阵 访问控制列表ACL 对象|{(主体，权限集)} 主体权能表Capability 主体|{(对象，权限集)} 4.3 访问控制矩阵 基于访问控制矩阵的安全模型 Harrison-Ruzzo-Ullman模型（HRU） HRU模型 主体S = { s1,…,sn } 客体O = { o1,…,om } ，S是O的子集 权限R = { r1,…,rk } 访问控制矩阵P 命令集合 C 4.3 访问控制矩阵 六个原子命令,每个命令由原子命令组成 enter R into (S,O) delete R from (S,O) create Subject S’ create Object O’ delete Subject S’ delete Object O’ 4.3 访问控制矩阵 4.3 访问控制矩阵 操作命令的特点 没有对权限的否定测试 not r in P[s,o] 实际系统一般都没有否定测试 没有权限的“或” 但可用多个命令代替 4.3 访问控制矩阵 常见操作命令 command CREATE(p,f) create object f enter own into(p,f) end 4.3 访问控制矩阵 常见操作命令 command CONFER(r,owner,friend,file) if own in (onwer,file) then enter r into(friend,file) end 4.3 访问控制矩阵 常见操作 command CONFER(r,owner,friend,file) if own in (onwer,file) then enter r into(friend,file) end 4.3 访问控制矩阵 常见操作 command REMOVE(r,owner,exfriend,file) if own in (onwer,file) then delete r from(exfriend,file) end 4.3 访问控制矩阵 其他操作例子 Process p creates file f with r and w permission command create?file(p, f) create object f; enter own into P[p, f]; enter r into P[p, f]; enter w into P[p, f]; end 4.3 访问控制矩阵 单操作命令 只有一个原子操作 使进程p成为文件 g的宿主 command make?owner(p, g) enter own into P[p, g]; end 4.3 访问控制矩阵 单条件操作 只有一个条件 Let p give q r rights over f, if p owns f command grant?read?file?1(p, f, q) if own in P[p, f] then enter r into P[q, f]; end 4.3 访问控制矩阵 多条件操作 p 授予 q对f权限 r 和 w, 如果 p 拥有 f 并且 p 对q有权限 c command grant?read?file?2(p, f, q) if own in P[p, f] and c in P[p, q] then enter r into P[q, f]; enter w into P[q, f]; end 4.3 访问控制矩阵 HRU模型 模型状态:（S,O,P） 模型状态转移关系: C 4.3 访问控制矩阵 状态转移 |– 代表转移关系 Qi |– ? Qi+1: 在命令 ?下状态 Qi 转移到 Qi+1 Qi |– *Qi+1: 存在一个命令序列，将状态Qi 转移到 Qi+1 4.3 访问控制矩阵 (S,O,P) |–op (S’,O’,P’) 4.3 访问控制矩阵 4.3 访问控制矩阵 问题 如果在条件检查是成立，但是在执行时不成立，如何处理？比如，其中一个原子操作删除一个对象，后继的原子操作不能成功授予该对象权限。那么是整个操作都失效，还是凡