安全模型理论-Read.PPT

第七章 安全模型理论 安全模型理论 访问控制 访问控制机制 自主访问控制 强制访问控制 访问控制矩阵 保护状态 访问控制矩阵模式 保护状态转变 条件命令 拷贝，拥有和特权的弱化 总结 安全模型理论 完整性策略 目标 Biba 完整性模式 Lipner的完整性矩阵模式 Clark-Wilson 完整性模式 小结 混合性政策 中国长城模式 临床信息系统安全政策 创建者控制访问控制 基于任务的控制 小结 审查 访问控制 访问控制是计算机保护中极其重要的一环。 它是在身份识别的基础上，根据身份对提出的资源访问请求加以控制。 访问控制中三个元素： 访问的发起者称为主体，通常为进程，程序或用户。 包括各种资源称为客体，如文件，设备，信号量等。 保护规则，它定义了主体与客体可能的相互作用途径。 访问控制机制 保护域： 每一主体（进程）都在一特定的保护域下工作。 保护域规定了进程可以访问的资源。 每一域定义了一组客体及可以对客体采取的操作。 可对客体操作的能力称为访问权（Access Right），访问权定义为有序对的形式客体名，权利集合。 一个域是访问权的集合。 访问控制机制 有重叠的保护域 访问控制机制 主体（进程）在某一特定时刻可以访问的客体（软件，硬件）的集合称为客体。 客体可以是静态的，即在进程生命期中保持不变，或动态改变。 为使进程对自身或他人可能造成的危害最小，最好在所有时间里进程都运行在最小客体下。 访问控制机制 一般客体的保护机制有两种： 自主访问控制（Discretionary Access Control）： 用户可以按自己的意愿对系统的参数做适当修改以决定哪些用户可以访问他们的文件，亦即一个用户可以有选择地与其它用户共享他的文件。用户有自主的决定权。 强制访问控制（Mandatory Access Control）： 用户与文件都有一个固定的安全属性。系统用该安全属性来决定一个用户是否可以访问某个文件。安全属性是强制性的规定，它是由安全管理员，或者是操作系统根据限定的规则确定的，用户或用户的程序不能加以修改。 自主访问控制 为了实现完备的自主访问控制系统，由访问控制矩阵提供的信息必须以某种形式存放在系统中。 访问矩阵中的每行表示一个主体，每一列则表示一个受保护的客体，而矩阵中的元素，则表示主体可以对客体的访问模式。 实际上常常是基于矩阵的行或列来表达访问控制信息。 自主访问控制 － 基于行的自主访问控制 基于行的自主访问控制： 所谓基于行的自主访问控制是在每个主体上都附加一个该主体可访问的客体的明细表。 权限字： 权限字是一个提供给主体对客体具有特定权限的不可伪造标志。主体可以建立新的客体，并指定这些客体上允许的操作。它作为一张凭证，允许主体对某一客体完成特定类型的访问。 自主访问控制－ 基于行的自主访问控制 具有转移或传播权限的主体A可以将其权限字的副本传递给Ｂ，Ｂ也可将权限字传递给Ｃ，并可移去其中的转移权限，于是Ｃ将不能继续传递权限字。 权限字也是一种程序运行期间直接跟踪主体对客体的访问权限的方法。每个权限字都标识了作用域中的单个客体，因此，权限字的集合就定义了作用域。 权限字必须存放在内存中不能被普通用户访问的地方，如系统保留区、专用区或者被保护区域内。 进程必须不能直接改动它自己的权限字表。 举例：UNIX，Linux 自主访问控制－ 基于行的自主访问控制 前缀表 前缀表(prefixes)包含受保护的文件名（客体名）及主体对它的访问权限。 当系统中有某个主体欲访问某个客体时，访问控制机制将检查主体的前缀是否具有它所请求的访问权。 自主访问控制－ 基于列的自主访问控制 基于列的自主访问控制 所谓基于列的访问控制是指按客体附加一份可访问它的主体的明细表。 基于列的访问控制可以有两种方式： 保护位。保护位对所有的主体、主体组（用户、用户组）以及该客体（文件）的拥有者，规定了一个访问模式的集合。 例如UNIX。 存取控制表。存取控制表可以决定任何一个特定的主体是否可对某一个客体进行访问。表中的每一项包括主体的身份以及对该客体的访问权。 自主访问控制 访问许可与访问模式 对访问许可与访问模式加以区分，把客体的控制与对客体的访问区别开来。 自主访问控制 自主访问控制的访问许可： 访问许可允许主体修改客体的存取控制表，可利用它实现对自主访问控制机制的控制。 这种控制有三种类型： 等级型。将对客体存取控制表的修改能力划分成等级。不同等级享有不同的权限范围。 拥有型。只有拥有者才是对客体有修改权的唯一主体。拥有者对其拥有的客体具有全部控制权，但无法传递这种控制权。 自由型。一个客体的生成者可以对任何一个主体分配对它拥有的客体的访问控制权 自主访问控制 自主访问控制的访问模式：