第九章访问控制.ppt

9.1 访问控制原理 访问资源—— 信息资源、处理资源、通信资源或者物理资源。 访问方式—— 读、写、执行 访问控制的目的—— 是为了限制访问主体（用户、进程、服务等）对访问客体（文件、系统等）的访问权限，从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么。 对于任意一个 都存在相应的一个 ，其中P是访问权限的函数。 代表 可以对 执行什么样的操作。用一个访问控制矩阵表 示： 访问控制的三种策略—— 9.2 自主访问控制 1、自主访问控制（DAC）的含义 由拥有资源的用户自己决定其他一个主体可以在什么程度上访问哪些资源。 2、访问控制表（ACL） 基于访问控制矩阵中列的自主访问控制。在客体上附加一个主体明晰表，来表示各个主体对这个客体的访问权限。 在实际的多用户系统中，用户可以根据部门结构或者工作性质被分为有限的几类。一类用户作为一个组，分配一个组名，简称 “GN”，访问可以按照组名判断。通配符“﹡”可以代替任何组名或者主体标识符。访问控制表中的主体标识为：主体标识=ID.GN。 3、访问能力表（CL） 基于访问控制矩阵中行的自主访问控制。 能力：为主体提供的、对客体具有特定访问权限的不 可伪造的标志，它决定主体是否可以访问客体以及以什么 方式访问客体。 4、自主访问控制的特点 优点： 根据主体的身份和授权来决定访问模式，灵活方便。 缺点： 限制比较弱，信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标o 的访问权限传递给用户B,从而使不具备对O访问权限的B可访问o。有一定的安全隐患。 8.3 强制访问控制 1、强制访问控制（MAC）的概念 将主体和客体分级，根据主体和客体的级别标记来决定访问模式。如，绝密级，机密级，秘密级，无密级。 将安全级别进行排序，规定高级别可以单向访问低级别，也可以规定低级别单向访问高级别。 其访问控制关系分为：上读/下写，下读/上写 （完整性） （机密性） 2、Bell Lapadula模型 （1）保障信息完整性策略 低级别的主体可以读高级别的客体的信息（不必威体育官网网址），但低级别的主体不能写高级别的客体（保障完整性），因此采用的是上读下写策略。即属于某一个安全级的主体可以读本级和本级以上的客体，可以写本级和本级以下的客体。 （2）保障信息机密性策略 低级别的主体不可以读高级别的信息（必威体育官网网址），但低级别的主体可以写高级别的客体（完整性可能破坏），因此采用的是下读/上写策略。即属于某一个安全级的主体可以写本级和本级以上的客体，可以读本级和本级以下的客体。 例：Unix文件系统强制访问控制机制的Multics方案 所有的用户和文件都有一个相应的安全级，用户对文件的访问需要遵守以下安全规则： 仅当用户的安全级别不低于文件的安全级别时，用户才可以读文件。 仅当用户的安全级别不高于文件的安全级别时，用户才可以写文件。 自主/强制访问机制的缺陷 （1）同一用户在不同的场合需要以不同的授权访问系统，变更权限不方便。 （2）当用户量增加时，每个用户注册一个帐号将使工作量增加。 （3）不容易实现层次化分权管理，尤其当同一用户在不同场合处在不同的权限层次时，系统管理很难实现。 3、基于角色访问控制的特点 （1）提供了三种授权管理的控制途径 （2）系统中所有角色的关系结构可以是层次化的，便于管理。 （3）具有较好的提供最小权利的能力，从而提高安全性。 （4）具有责任分离的能力。 例：在一个银行系统中,可以定义出纳员、分行管理者、系统管理员、顾客、审计员等角色。其中，担任系统管理员的用户具有维护系统文件的责任和权限，无论这个用户是谁。 设计如下访问策略： 9.5 常用操作系统中的访问控制 1、Linux中的访问控制 主体对文件的权限： 读（r）：用户可以读文件； 写（W）：用户可以创建或修改文件； 执行（x）：用户可以运行可