[所有分类]课件4：第3章访问控制原理3-1节.ppt

课件4 第3章 访问控制原理 3.1节 访问控制 第3章 访问控制原理 计算机信息系统中，对信息的安全控制技术有3种： 访问控制：访问矩阵模型 信息流控制：格式模型（BLP模型、Biba模型、军用安全模型） 推理控制：解决数据库应用系统中的信息泄漏问题 在这些关系中有的属于访问性质的（读、写、修改、删除、执行等）、有的属于信息的流动问题（如,是否信息从高安全级流向低安全级？），要实现信息系统安全的目的，需要解决系统中的访问控制问题和信息流控制问题。 建立在两个前提上 第一是用户鉴别与确证，保证每个用户只能行使自己的访问权，没有一个用户能够获得另一个用户的访问权。这一前提是在用户进入系统时登录过程中对用户进行确认之后完成的。 第二是“说明每一用户或程序的访问权信息是受保护的，是不会被非法修改的”，该前提是通过对系统客体与用户客体的访问控制获得的。 3.1.1 访问矩阵模型 操作系统的访问矩阵模型是由Lampson和Denning在70年代初提出的，后经Graham和Denning相继改进的。数据库系统的访问矩阵模型是Coway在Cornell大学提出的。 模型是用状态和状态转换的概念定义的。这里的状态是用访问矩阵表示的，状态转换是用命令描述的。 这个模型有以下优点： 1、简明——易懂、易理解、易证明。 2、通用——有能力综合不同策略和应用于多种实现。 3、精确——有能力忠实地反映策略和系统形态。 4、与数据式样无关。 一、访问矩阵模型 访问矩阵模型中包括三类要素： 1、系统中的客体集O，是系统中被访问的对象，如文件、程序、存储区等。每一个客体o?O可由它们的名字唯一地标识与识别。 2、系统中的主体集S，是系统中访问操作的主动发起者，如用户、进程、执行域等。执行域是进程运行期间的保护环境，一个进程在运行期间可以改变执行域。 每个主体s?S也是可以由它们的名字唯一地标识与识别。我们假定主体也是一种类型的客体，因此有S?O。 3、系统中主体对客体的访问权限集合R，访问权说明在不同客体上可以执行的访问操作的种类。对存储区段和文件的访问权通常包括r（读）、w（写）和e（执行），append（附加），own（拥有）等权利。 O、S和R三者之间的关系是以矩阵A的形式表示的 它的行对应与某个主体， 列对应于某个客体。 集合R是矩阵的项（元素）的集合，每个项用A[s,o]表示，其中存放着主体s对客体o的访问权或某些特权。 某些权利是通用的，可以应用到多种类型的客体上，如r、w、e都是通用的；有些客体是属于某人或某团体专有的，对这类客体需要具有own（拥有权）。 具有own权的主体可以对其他主体授予或撤消对该客体的权利。 表3-1访问矩阵示例 二、访问监控器 Graham和Denning建议用监控器（Monitor）与客体联结，形成访问监控器，用以控制对客体的访问。 当A[s,o]中不包含所需权利时，客体o的监控器就阻止主体s对其的访问。 监控器可以用硬件、软件或软硬件的组合实现。 访问监控器对应操作系统中的安全核。 访问控制数据基。实际上就是访问矩阵。 访问控制数据基是动态变化的，它随着主、客体的增加与删除以及访问权限与安全属性的改变而变化。 访问监控器的关键作用是要对主体对客体的每一次访问都要实施控制，并对每一次访问活动进行审计记录。 访问监控器的三原则 完备性原则。该原则要求不通过访问监控器，主体就不能对客体进行任何访问操作。完备性原则还要求硬件支持基于安全核的系统。硬件上必须保证任何程序必须经过安全核的控制进行访问。 2）隔离性原则。实现时必须将映射访问监控器的安全核与外部系统严密的隔离起来，以防止进程对安全核进行非法修改。实现隔离性原则也需要硬件与软件的支持。 3）可验证性原则。为了满足可验证性，访问监控器模型应该能够精确地定义安全的含义，并且还要证明模型中的功能与安全的定义是一致的。 模型的构造方法应该有利于使模型本身的安全性得到某种相应的证明。 在首次提出访问监控器的概念时，不少人认为能够构造一个足够小的安全核来穷尽测试验证。 认为模型与实现之间的一致性可以通过测试由模型所定义的系统的所有安全状态来证明，至少可以使足够多的状态满足测试要求，使得安全漏洞几乎不可能出现。 从实际中看，除非安全核具有简单功能，否则要想进行全面彻底的测试是不可能的。 访问监控器的不足 1、访问监控器主要还是作为单级安全模型使用的，受监视的目标要么允许被访问，要么不允许被访问。 受监控的目标只有简单的安全性，要么安全，要么不。监视器模型不适应更复杂的安全要求。 2）系统中所有对受监控目标的访问要求都由监控器检查核实，监控程序将被频繁调用，这将使监控器可能成为整个系统的瓶颈，影响系统效率。 3）监控器只