第四章:访问控制
1.访问控制定义
授予或拒绝下列特定要求的过程:1.获得并使用信息及相关信息处理服务2.进入特定物理设施
实现依据安全策略对使用系统资源进行控制,且仅许可授权实体(用户,进程,程序等)依据该策略使用该系统资源。
访问控制策略:
自主访问控制DAC:基于请求者的身份和访问规则控制访问,规定请求者可以做什么
强制访问控制MAC:通过比较具有安全许可的安全标志来控制访问
基于角色的访问控制RBAC:基于用户在系统中所具有的角色和说明各种角色用户享有哪些访问权的规则来控制访问
基于属性的访问控制ABAC:基于用户、被访问资源及当前环境条件来控制方访问
2.主体客体和访问权
主体:能够访问客体的实体,一般存在三类:所有者,组,世界
客体:外界对其访问受到控制的资源,一个用来包含或接收信息的实体
访问权:描述了主体可以访问客体的方式,读写,执行,创建删除,搜索
3.自主访问控制DAC
自主访问控制方案是指一个实体可以被授权按照自己的意愿使另一个实体能够访问某些资源
保护域:
• 一组客体及对这些客体的访问权。
• 保护域这个更一般的概念用来提供更多的灵活性
• 根据访问矩阵的规定,一行定义一个保护域
• 用户可以通过定义一个新的保护域来为不同类别的用户创建进程
• 进程与保护域之间的关联可以是静态的,也可以是动态的
• 用户程序运行于用户模式,不能使用某些受保护的内存区域
• 当用户进程调用系统例程时,那个例程运行于系统模式(内核模式),其 能够执行特权指令,并能访问受保护的内存区域。
4.UNIX访问控制
所有类型的UNIX文件都由操作系统通过inode (索引节点, index nodes)
• Inode是包含操作系统对一个文件所需的关键信息的控制结构 • 几个文件名可以与一个inode关联
• 一个文件也仅被一个inode控制
• 文件的属性及访问许可和其他控制信息都存储在inode中
• 在磁盘上有个inode表,其中包含了文件系统中所有文件的inode
• 打开一个文件时,它的inode被读进驻村,存储在驻留内存的inode表中
目录呈分层树状结构
• 每个目录包含文件或其他目录
• 包含文件名和指向关联inode的指针的列表
• 唯一的用户标识号(user ID)
• 用户是主组的成员,还可能是其
他许多用组ID标识的组的成员
• 属于一个特定组
• 与每个文件相关联的是12个保护
位的组合:
• 用来指定文件属主、同组用户与
其他用户的读、写和执行许可
• 用户ID、组ID和保护位是文件的 inode的一部分
“设置用户ID”(SetUID) “设置组ID”(SetGID)
当用户执行该文件时,系统会临时把文件创建者的用户ID或文件属组的权 限分配给执行该文件的用户。
该特征使我们能够创建和使用正常情况下能访问其他用户不能访问的文件 的特权程序
黏滞位
然而当该位应用到目录时,则指出只有该目录中任何文件的属主才可以重
命名、移动或删除那个文件。 超级用户
不受通常的文件访问控制限制 具有系统范围的访问权
很多现代UNIX及基于UNIX的操作系统都支持访问控制列表 • FreeBSD、OpenBSD、Linux和Solaris
• FreeBSD
• 当允许管理员通过setFacl命令为文件分配一个UNIX用户ID和组的列表
• 任何数目的用户和组都可以通过读、写、执行三个保护位与文件关联
• 文件不是必须具有ACL
• FreeBSD文件包括一个附加的保护位。用来指出文件是否具有扩展的ACL
• 进程请求访问文件系统对象:
• 第一步:选择与请求进程最佳匹配的ACL项
• 第二步:检查匹配项是否包含足够的许可
5.基于角色的访问控制RBAC
RBAC约束提供了一种另RBAC适应组织中的管理和安全策略 细节的手段
• 约束是在角色之间定义的关系或与角色相关的条件 • 类型:
互斥角色
• 一个用户只能被分配 给集合中的一个角色 (这个限制可以是静 态的,也可以是动态 的)
• 在一次会话中一个用 户仅能被分配给集合 中的一个角色
基数
• 设置关于角色的最大 数值。
先决条件角色
• 如果已被分配给另一 个指定角色时,用户 只能被分配一个特定 角色。
RBAC基本模型中的四种实体类型
用户:可以访问此计算机系统的个人。
角色:控制此计算机系统的组织中的一个已命名的作业功能。
权限:批准对一个或多个对象的特定访问模式。
会话:用户与分配给用户的角色集的激活子集之间的映射。
6.基于属性的访问控制ABAC
能够定义表 达资源和主 体二者属性 条件的授权
ABAC方法的优势在于 它的灵活性 以及表达能力。
劣势是:需要考虑每次访问对资源 和用户属性的评价所造 成的性能影响。
Web服务是 实现ABAC 模型的开创性技术,尤其是引入了 可扩展的访问控制标记 语言 (XAMCL)
将ABAC模型应用到云服务引起了人们的兴趣
主体模型:主体是一个主动的实体,能引起客体之间的信息流动或者系统状态改变,每个主体都有能够定义其身份和特征的关联属性
客体模型:一个被动包含接收信息的与信息系统相关的实体,客体具有可以用来制定访问控制决策的属性
环境属性:描述了信息访问时发生时所处的运行、技术的甚至态势的环境或情景,很大程度上被大多数访问控制规则所忽视
7.身份、凭证、访问管理ICAM
ICAM是一种用来管理和实现数字身份、凭证和访问控制的综合性方法