网络攻防技术
访问控制策略
自主访问控制（DAC）（discretionary policies）：基于身份的访问控制 IBAC(Identity Based Access Control)
强制访问控制（MAC）策略 (mandatory policies)：基于规则的访 问控制RBAC（Rule Based Access Control）
10.1 访问控制概述 10.2 操作系统访问控制相关机制 10.3 UAC机制分析
2020/6/10
网络攻防技术
22
10.2 操作系统访问控制相关机制
认证和授权机制 访问检查机制 可信通路机制 对象重用机制 审计机制
2020/6/10
23
网络攻防技术
认证和授权机制
访问控制假定：在实施访问控制前，用户的 身份已得到验证。
网络攻防技术
BELL-LAPADULA保密性模型
基于两种规则来 保障数据的机密 度与敏感度：
上读(NRU) , 主 体不可读安全级 别高于它的数据
下写(NWD) , 主 体不可写安全级 别低于它的数据
网络攻防技术
BIBA完整性模型
对数据提供了分级别的完整性保证， 类似于BLP保密性模型，BIBA模型也 使用强制访问控制系统。
鉴别的目标是正确建立用户的身份。
网络攻防技术
认证和授权机制
鉴别：用以检验主体的合法身份 授权：用以限制用户对资源的访问级别
访问包括读取数据、更改数据、运 行程序、发起连接等。
网络攻防技术
Windows登录过程涉及的组件
6、授权，以用户令牌 创建用户代理进程
5、返回认证结果
登录进程 3、请求认证
网络攻防技术
访问控制矩阵
行对应用户，列对应目标即客体
网络攻防技术
访问控制表(ACL)
访问控制表是以客体为主体建立的。每个 客体附加一个可以访问它的主体和访问权 明细表。
网络攻防技术
访问能力表(CL)
访问能力表是以用户为主体建立的，每个 主体附加一个该主体可访问的客体和访问 权明细表。
网络攻防技术
网络攻防技术
访问控制模型
BELL-LAPADULA保密性模型 BIBA完整性模型
网络攻防技术
BELL-LAPADULA保密性模型
基于强制访问控制系统，以敏感度来划 分资源的安全级别。
数据和用户被划分为以下安全等级：
公开（Unclassified） 受限（Restricted） 秘密（Confidential） 机密（Secret） 高密（Top Secret）
网络攻防技术
自主访问控制（DAC）
根据主体（用户）的身份及允许的访问 权限来决定其访问操作。
自主是指具有某种访问能力的主体能够 自主地将访问权的某个子集授予其它主 体。
缺点：由于信息在移动过程中其访问权 限关系会被改变（灵活性高）, 无法保护 系统的数据流，使信息安全性能降低。
网络攻防技术
强制访问控制（MAC）
强制访问控制（MAC）实例
上读：用户级别低于文件级别的读操作； 下写：用户级别大于文件级别的写操作； 下读：用户级别大于文件级别的读操作； 上写：用户级别低于文件级别的写操作。
网络攻防技术
访问控制的实现机制
访问控制矩阵（Access Control Matrix ）
访问控制表（Access Control Lists） 访问能力表（Capabilities Lists） 授权关系表（Authorization Relation）
Biba与BLP模型的两个属性是相反的， BLP模型提供保密性，而BIBA模型对 于数据的完整性提供保障。
网络攻防技术
BIBA完整性模型
基于两种规则来 保障数据的机密度 与敏感度：
下读(NRU)属性, 主体不能读取安全 级别低于它的数据
上写(NWD)属性, 主体不能写入安全 级别高于它的数据
第十章 访问控制机制
本章主要内容
10.1 访问控制概述 10.2 操作系统访问控制相关机制 10.3 UAC机制分析
2020/6/10
网络攻防技术
2
10.1 访问控制概述
网络攻防技术
10.1 访问控制概述
访问控制是指在系统中通过对访问 各种资源的操作进行控制，以防止非 法用户对系统的入侵以及合法用户对 系统资源的违规使用。
1、认证界面

2、输入认证信息
LSA服务 认证包 MSV1_0
4、请求并获得认 证信息
SAM服务 SAMSRV
网络攻防技术
访问检查机制
当进程打开对象（句柄）时，对象管理器就调 用SRM向它发送进程期望的访问权限。SRM检 查对象的SD是否允许进程请求的访问类型。如 果允许，引用监控机就返回一组授权的访问权 限，允许进程得到这些权限，同时对象管理器 将它们存储在所创建的对象句柄中。
在强制访问控制中，系统本身对访问控 制矩阵加入了某些强制性的规则，所有 主体包括对象的所有者都不能绕过这些 限制。
主体和客体中用于强制访问判定的要素， 是由系统设置的固定内容，用户不能修 改。
访问控制关系分为：上读-下写方式保证 了数据的完整性，下读-上写方式保证了 信息的机密性。
网络攻防技术
网络攻防技术
访问检查机制
审计记录
主体
引用监控机 访问检查
访问控制信息库
客体 引用监控机模型
应用程序 操作系统 安全内核
硬件
操作系统接口 内核接口 硬件接口
安全内核系统结构
网络攻防技术
SRM的允许访问的算法
如果对象没有DACL，对象不受保护，允许完全访问 如果调用者具备SE_TAKE_OWNERSHIP_NAME特权
ACL和CL访问方式比较
ACL
CL
鉴别
两者鉴别的实体不同
浏览访问权 限
容易
访问权限回 收
容易
困难 困难
之间转换 ->CL困难 ->ACL容易
网络攻防技术
应用授权关系表
应用授权关系表直接建立用户与客体的隶属 关系，如表中所示，各行分别说明了用户与 客体的权限，不同的权限占不同的行。
网络攻防技术
本章主要内容
网络攻防技术
10.1 访问控制概述
将访问动作的发起者和目标定义为主体 和客体。访问控制即确定主体是否能够对 客体进行访问的控制机制和过程。 主体：用户和用户所创建的进程 客体：所有资源
网络攻防技术
什么是访问控制？
访问控制的目的: 为了限制访问主体（用户、进程、服 务等）对访问客体（文件、系统等） 的访问权限，从而使计算机系统在合 法范围内使用。