信息安全原理张基温电子教案第9章访问控制.ppt

访问控制 * * 访问控制（Access Control）是对信息系统资源的访问范围以及方式进行限制的策略。简单地说，就是防止合法用户的非法操作。它是建立在身份认证之上的操作权限控制。身份认证解决了访问者是否合法者，但并非身份合法就什么都可以做，还要根据不同的访问者，规定他们分别可以访问哪些资源，以及对这些可以访问的资源可以用什么方式（读？写？执行？删除？等）访问。它是基于权限管理的一种是非常重要的安全策略。对用户权限的设定，称为授权（Authorization）。 9.3.1 基本概念 1. 主体与客体 访问控制可以描述为：主动的主体（Subject）使用某种特定的访问操作去访问一个被动的客体（Object），所使用的特定的访问操作受访问监视器控制。这就是图9.1所示的安全系统逻辑模型。 主体 身份认证 访问控制 客体 访问监视器 访问 请求 权限 图9.1 安全系统逻辑模型 主体和客体都是访问控制系统中的实体。 主体是发出访问请求的主动方，通常是用户或用户进程。 客体是被访问的对象，通常是被调用的程序、进程，要存取的数据、文件、内存、系统、设备、设施等资源。信息系统的安全目标就是控制和管理主体对客体的访问。 安全策略，就是对这些访问进行约束的一组规则和目标，它反映了系统的安全需求，并可以用达到安全目的而采取的步骤进行描述。 2. 访问权限 （1）Bell-LaPadula安全模型中的访问权限 1973年David Bell和Len Lapadula提出了第一个也是最著名安全策略模型Bell-LaPadula安全模型，简称BLP模型。 在基本层面上，定义了两种访问方式： · 观察（Observe）：查看客体的内容。 · 改变（Alter）：改变客体的内容。 在Bell-LaPadula安全模型中定义了4种访问权限：执行、读、添加（有时也称盲目的写）和写。表9.1给出了这些访问权限与访问方法之间的关系。 ? 执行 添加 读 写 查 看 ? ? √ √ 改 变 ? √ ? √ 表9.1 Bell-LaPadula安全模型中的访问权限 注意，这里基于效率的考虑，写访问通常包含读访问。这样，在编辑一个文件时，就无须先打开一次进行读（了解内容），再打开一次用于写了。所以写访问包含了查看和改变两种访问形式。 （2）Unix Unix的访问控制用3种权限表示：读（read）、写 （write）、执行（execute）。它们应用于文件和目录时含义有所不同，如表9.2所示。 ? 用于文件 用于目录 读 从一个文件读 列出目录内容 写 写进一个文件 创建或重命名目录中的一个文件 执行 执行一个（程序）文件 有哪些信誉好的足球投注网站目录 表9.2 Unix的访问控制3种权限 （3）Windows NT/2000/XP Windows NT/2000/XP的权限分为文件权限和目录权限。每一个权限级别都确定了一个执行特定的任务组合的能力，这些任务是： Read（R）、 Execute（X）、 Write（W）、 Set Permission（P）、 Take Ownership（O）。 表9.3表明任务与各种权限级别之间的关联。 权 限 RXWDPO 目录权限 No Access ? List RX Read RX Add XW Add and Read RXW Change RXWD Full control RXWDPO 文件权限 No Access ? Read RX Change RXWD Full control RXWDPO 用 户 行 为 用户不能访问该目录 可以查看目录中的子目录和文件名，也可以进入其子目录 具有Linux权限，用户可以读取目录中的文件和运行目录中的应用程序 用户可以添加文件和子目录 具有Add 和 Read的权限 具有Add 和 Read的权限，另外还可以更改文件的内容，删除文件和子目录 具有Change的权限，另外用户可以更改权限和获取目录的所有权。 用户不能访问该文件 用户可以读取该文件，如果是应用程序可以运行 具有 Read的权限，还可以修改和删除文件 具有Change的权限，还可以更改权限和获取文件的所有权。 表9.3 Windows NT/2000/XP表明任务与各种权限级别之间的关联 9.3.2 访问控制结构 对于单个主体和客体进行单独的定义。但是对于数量众多的主体和客体，就要设计