网络与信息安全概论第九讲访问控制王昭北京大学信息科学技术学院软件研究所--信息安全研究室wangzhao@安全服务•安全服务（Security Services）：计算机通信网络中，主要的安全保护措施被称作安全服务。

根据ISO7498-2, 安全服务包括：1.鉴别（Authentication）2.访问控制（Access Control）3.数据机密性（Data Confidentiality）4.数据完整性（Data Integrity）5.抗抵赖（Non-repudiation）访问控制的概念和目标•一般概念——是针对越权使用资源的防御措施。

•基本目标：防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问。

从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么。

•未授权的访问包括：未经授权的使用、泄露、修改、销毁信息以及颁发指令等。

–非法用户进入系统。

–合法用户对系统资源的非法使用。

访问控制的作用•访问控制对机密性、完整性起直接的作用。

•对于可用性，访问控制通过对以下信息的有效控制来实现：（1）谁可以颁发影响网络可用性的网络管理指令（2）谁能够滥用资源以达到占用资源的目的（3）谁能够获得可以用于拒绝服务攻击的信息主体、客体和授权•客体（Object）：规定需要保护的资源，又称作目标（target)。

•主体（Subject）：或称为发起者(Initiator)，是一个主动的实体，规定可以访问该资源的实体，（通常指用户或代表用户执行的程序）。

•授权（Authorization)：规定可对该资源执行的动作（例如读、写、执行或拒绝访问）。

¾一个主体为了完成任务，可以创建另外的主体，这些子主体可以在网络上不同的计算机上运行，并由父主体控制它们。

¾主客体的关系是相对的。

访问控制策略与机制•访问控制策略(Access Control Policy):访问控制策略在系统安全策略级上表示授权。

是对访问如何控制,如何作出访问决定的高层指南。

•访问控制机制（Access Control Mechanisms):是访问控制策略的软硬件低层实现。

¾访问控制机制与策略独立，可允许安全机制的重用。

¾安全策略之间没有更好的说法，只是一种可以比一种提供更多的保护。

应根据应用环境灵活使用。

访问控制策略•自主访问控制（discretionary policies,DAC), 基于身份的访问控制(Identity Based Access Control)•强制访问控制(mandatory policies,MAC), 基于规则的访问控制(Rule Based Access Control）•基于角色的访问控制RBAC(role-based policies)如何决定访问权限•用户分类•资源•资源及使用•访问规则用户的分类（1）特殊的用户：系统管理员，具有最高级别的特权，可以访问任何资源，并具有任何类型的访问操作能力（2）一般的用户：最大的一类用户，他们的访问操作受到一定限制，由系统管理员分配（3）作审计的用户：负责整个安全系统范围内的安全控制与资源使用情况的审计（4）作废的用户：被系统拒绝的用户。

资源•系统内需要保护的是系统资源：–磁盘与磁带卷标–远程终端–信息管理系统的事务处理及其应用–数据库中的数据–应用资源资源和使用•对需要保护的资源定义一个访问控制包（Access control packet)，包括：–资源名及拥有者的标识符–缺省访问权–用户、用户组的特权明细表–允许资源的拥有者对其添加新的可用数据的操作–审计数据访问规则•规定了若干条件，在这些条件下，可准许访问一个资源。

•规则使用户与资源配对，指定该用户可在该文件上执行哪些操作，如只读、不许执行或不许访问。

•由系统管理人员来应用这些规则，由硬件或软件的安全内核部分负责实施。

访问控制的一般实现机制和方法一般实现机制——•基于访问控制属性——〉访问控制表/矩阵¾访问控制表ACLs（Access Control Lists)¾访问能力表（Capabilities)¾授权关系表•基于用户和资源分级（“安全标签”）——〉多级访问控制访问控制矩阵-1•任何访问控制策略最终均可被模型化为访问矩阵形式：行对应于用户，列对应于目标，每个矩阵元素规定了相应的用户对应于相应的目标被准予的访问许可、实施行为。

访问控制矩阵-2•历史–Lampson’1971•“Protection”–Refined by Graham and Denning’1972•“Protection: Principles and Practice”–Harrison, Ruzzo, and Ullman’1976•“On Protection in Operating Systems”访问控制机制：访问控制表(ACL, Access Control List)•访问控制列表–对应于访问控制矩阵中的一列内容•基于身份的访问控制策略和基于角色的访问控制策略都可以用ACL来实现•优点：–控制粒度比较小–适用于被区分的用户数比较小的情况，并且这些用户的授权情况相对比较稳•鉴别方面：二者需要鉴别的实体不同•保存位置不同•浏览访问权限–ACL:容易，CL:困难•访问权限传递–ACL:困难，CL：容易•访问权限回收–ACL:容易，CL：困难•ACL和CL之间转换–ACL->CL：困难–CL->ACL：容易•多数集中式操作系统使用ACL方法或类似方式•由于分布式系统中很难确定给定客体的潜在主体集，在现代OS中CL也得到广泛应用自主访问控制•特点：根据主体的身份及允许访问的权限进行决策。

自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。

灵活性高，被大量采用。

•缺点：信息在移动过程中其访问权限关系会被改变。

如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。

基于身份的策略：基于个人的策略•根据哪些用户可对一个目标实施哪一种行为的列表来表示。

•等价于用一个目标的访问矩阵列来描述•基础(前提)：一个隐含的、或者显式的缺省策略–例如，全部权限否决–最小特权原则：要求最大限度地限制每个用户为实施授权任务所需要的许可集合–在不同的环境下，缺省策略不尽相同，例如，在公开的布告板环境中，所有用户都可以得到所有公开的信息–对于特定的用户，有时候需要提供显式的否定许可•例如，对于违纪的内部员工，禁止访问内部一些信息31基于身份的策略：基于组的策略•一组用户对于一个目标具有同样的访问许可。

是基于身份的策略的另一种情形•相当于，把访问矩阵中多个行压缩为一个行。

•实际使用时–先定义组的成员–对用户组授权–同一个组可以被重复使用–组的成员可以改变访问模式Access Mode •系统支持的最基本的保护客体:文件，对文件的访问模式设置如下:（1）读-拷贝(Read-copy)（2）写-删除（write-delete）（3）运行(Execute)（4）无效(Null)Win2000的访问控制-1•DAC，采用ACL•帐户(user accounts)–定义了Windows中一个用户所必要的信息，包括口令、安全ID(SID)、组成员关系、登录限制，…–组：universal groups、global groups、local groups •Account Identifier: Security identifier (SID)–时间和空间唯一,全局惟一的48位数字–S-1-5-21-1507001333-1204550764-1011284298-500–SID带有前缀S，它的各个部分之间用连字符隔开–第一个数字(本例中的1)是修订版本编号–第二个数字是标识符颁发机构代码(对Windows 2000来说总是为5)–然后是4个子颁发机构代码(本例中是21和后续的3个长数字串)和一个相对标识符(Relative Identifier，RID，本例中是500)Win2000的访问控制-2•所有对对象的访问都要通过安全子系统的检查•系统中的所有对象都被保护起来–文件、目录、注册表键–内核对象–同步对象–私有对象(如打印机等)–管道、内存、通讯，等•对象的安全描述符(security descriptor)SD –包含了与一个安全对象有关的安全信息•Security identifiers (SIDs)for the owner and primary group of an object•DACL(discretionary access-control list)•SACL(system access-control list)•以及一组控制标记Win2000的访问控制-3•Security Access Token•是对一个进程或者线程的安全环境的完整描述•包括以下主要信息–用户帐户的SID–所有包含该用户的安全组的SIDs–特权：该用户和用户组所拥有的权利–Owner–Default Discretionary Access Control List (DACL)–……•这是一个基本的安全单元，每个进程一个共享对象的访问权限•访问权限：（1）完全控制（2）拒绝访问（3）读（4）更改•采用DAC•Linux系统将设备和目录都看作文件。

•对文件有三种访问权限：读、写、执行•系统将用户分为四类：–根用户（root)：具有最大权利–所有者（Owner):文件的所有者，一般可以读写执行文件–组（User Group):所有者所在组–其他用户（Other Users)•Linux文件系统安全模型与两个属性相关–文件的所有者(ownership)•文件所有者的id,UID•文件所有者所在用户组的id,GID•每个文件和其创建者的UID和GID关联•一个进程通常被赋予其父进程的UID和GID•Root的UID: 0–访问权限(access rights): 10个标志•第1个标志：d(目录), b(块系统设备), c(字符设备), . (普通文件)•第2-4个标志：所有者的读、写、执行权限•第5-7个标志：所有者所在组的读、写、执行权限•第8-10个标志：其他用户的读、写、执行权限•用chmod修改权限：字符方式和数字方式•$ls–ld test•Drwxr-x--x 2 lucy work 1024 Jun 25 22:53 test强制访问控制•特点：取决于能用算法表达的并能在计算机上执行的策略。

策略给出资源受到的限制和实体的授权，对资源的访问取决于实体的授权而非实体的身份。