1、Access and Information Flow Controls,第9章: 访问控制和系统审计,经典安全模型的雏形,基本组成要素,(1)明确定义的主体和客体; (2)描述主体如何访问客体的一个授权数据库; (3)约束主体对客体访问尝试的参考监视器; (4)识别和验证主体和客体的可信子系统; (5)审计参考监视器活动的可信子系统。,三种安全机制的关系,计算机安全等级划分,为了加强计算机系统的信息安全,1985年美国国防部发表了可信计算机评估准则(缩写为TCSEC),它依据处理的信息等级采取的相应对策,划分了4类7个安全等级。 依照各类、级的安全要求从低到高,依次是D、C1、C2、B1、B
2、2、B3和A1级,计算机安全等级划分,D 级:(Minimal Protection)最低安全保护。没有任何安全性防护。 C1级:(Discretionary Security Protection)自主安全保护。这一级的系统必须对所有的用户进行分组;对于每个用户必须注册后才能使用;系统必须记录每个用户的注册活动;系统对可能破坏自身的操作发出警告。,计算机安全等级划分,C2级:(Controled Access Protection)可控访问保护。在C1级基础上,增加了以下要求: 所有的客体都只有一个主体; 对于每个试图访问客体的操作,都必须检验权限; 有且仅有主体和主体指定的用户可以更改权限
3、; 管理员可以取得客体的所有权,但不能再归还; 系统必须保证自身不能被管理员以外的用户改变; 系统必须有能力对所有的操作进行记录,并且只有管理员和由管理员指定的用户可以访问该记录。 SCO UNIX 和 Windows NT 属于 C2 级,计算机安全等级划分,B1级:(Labeled Security Protection)标识的安全保护。 增加:不同的组成员不能访问对方创建的客体,但管理员许可的除外;管理员不能取得客体的所有权。 Windows NT的定制版本可以达到 B1级。,计算机安全等级划分,B2级:(Structured Protection)结构化保护。 增加:所有的用户都被授予
4、一个安全等级;安全等级较低的用户不能访问高等级用户创建的客体。 银行的金融系统通常达到 B2 级。,计算机安全等级划分,B3级:(Security Domain)安全域保护。 增加:系统有自己的执行域,不受外界干扰或篡改。系统进程运行在不同的地址空间从而实现隔离。,计算机安全等级划分,A1级:(Verified Design)可验证设计。 在B3的基础上,增加:系统的整体安全策略一经建立便不能修改。,Access Control,given system has identified a user determine what resources they can access general
5、 model is that of access matrix with subject - active entity (user, process) object - passive entity (file or resource) access right way object can be accessed can decompose by columns as access control lists rows as capability tickets,Access Control Matrix,Access Modes,Readallows the user to read t
6、he file or view the file attributes. Writeallows the user to write to the file,which may include creating,modifying,or appending onto the file. Executethe user may load the file and execute it. Deletethe user may remove this file from the system. Listallows the user to view the files attributes.,Acc
7、ess Control Techniques,File Passwords Discretionary Access Controls Mandatory Access Controls Role-Based Access Controls,File Passwords,In order to gain access to a file,the user must present the system with the files password. Different to password used to gain access to the system. Each file is as
8、signed a(multiple) password(s). Assignment system manager or the owner of the file. For example: one for reading, one for writing.,File Passwords,Easy to implement and understand. Problem: 1:passwords themselves, a large number of passwords to remember. 2:no easy way to keep track of who has access
9、to a file. 3:a file requires access to other files. Embed the passwords Specify all file passwords up front Supply the password for each additional file,Discretionary Access Controls,自主访问控制任意访问控制:根据主体身份或者主体所属组的身份或者二者的结合, 对客体访问进行限制的一种方法。 最常用的一种方法,这种方法允许用户自主地在系统中规定谁可以存取它的资源实体,即用户(包括用户程序和用户进程)可选择同其他用户一
10、起共享某个文件。 自主:指具有授与某种访问权力的主体能够自己决定是否将访问权限授予其他的主体。安全操作系统需要具备的特征之一就是自主访问控制,它基于对主体或主体所属的主体组的识别来限制对客体的存取。 客体:文件,邮箱、通信信道、终端设备等。,File permissions,方法1:Directory list,为每一个欲实施访问操作的主体,建立一个能被其访问的“客体目录表(文件目录表)”,Discretionary Access Controls :Access Control Lists,Access Control Lists,Discretionary Access Controls
11、:Access Control Lists,Discretionary Access Controls :Access Control Lists,It is easy to determine a list of all subjects granted access to a specific object. The ease with which access can be revoked. Storage space is saved. Implement fine granularity:time,location Difficulty in listing all objects
12、a specific subject has access to.,Discretionary Access Controls :Capabilities Based,Discretionary Access Controls : Capabilities Based(Ticket),Ticket possessed by the subject which will grant a specified mode of access for a specific object. The system maintains a list of these tickets for each subj
13、ect. Passing copies of the ticket=give access to an object to another user. Revoke access to files by recalling the tickets.,Mandatory Access Controls,根据客体中信息的敏感标记和访问敏感信息的主体的访问级对客体访问实行限制 用户的权限和客体的安全属性都是固定的 所谓“强制”就是安全属性由系统管理员人为设置,或由操作系统自动地按照严格的安全策略与规则进行设置,用户和他们的进程不能修改这些属性。 所谓“强制访问控制”是指访问发生前,系统通过比较主体和
14、客体的安全属性来决定主体能否以他所希望的模式访问一个客体。,Sensitivity Label,SECRET VENUS , TANK , ALPHA Classification categories,Mandatory Access Controls,在强制访问控制中,它将每个用户及文件赋于一个访问级别,如:绝密级(Top Secret)、机密级(Secret)、秘密级(Confidential)及普通级(Unclassified)。 其级别为T,实现四种访问控制读写关系: 下读(read down):用户级别大于文件级别的读操作; 上写(Write up):用户级别低于文件级别的写操作;
15、 下写(Write down):用户级别大于文件级别的写操作; 上读(read up):用户级别低于文件级别的读操作;,Rules 三个因素,主体的标签,即你的安全许可 TOP SECRET VENUS TANK ALPHA 客体的标签,例如文件LOGISTIC的敏感标签如下: SECRET VENUS ALPHA 访问请求,例如你试图读该文件,examples,Role-Based Access Controls,授权给用户的访问权限,通常由用户在一个组织中担当的角色来确定。 “角色”指一个或一群用户在组织内可执行的操作的集合。角色就充当着主体(用户)和客体之间的关联的桥梁。这是与传统的访问
16、控制策略的最大的区别所在。,主体,角色,客体,FEATURES:,以角色作为访问控制的主体 用户以什么样的角色对资源进行访问,决定了用户拥有的权限以及可执行何种操作。 角色继承 最小权限原则 一方面给予主体“必不可少”的特权; 另一方面,它只给予主体“必不可少”的特权。,FEATURES,职责分离 ? 对于某些特定的操作集,某一个角色或用户不可能同时独立地完成所有这些操作。“职责分离”可以有静态和动态两种实现方式。 静态职责分离:只有当一个角色与用户所属的其它角色彼此不互斥时,这个角色才能授权给该用户。 动态职责分离:只有当一个角色与一主体的任何一个当前活跃角色都不互斥时,该角色才能成为该主体
17、的另一个活跃角色。 角色容量 在创建新的角色时,要指定角色的容量。在一个特定的时间段内,有一些角色只能由一定人数的用户占用。,系统审计,Trusted Computer Systems,information security is increasingly important have varying degrees of sensitivity of information cf military info classifications: confidential, secret etc subjects (people or programs) have varying rights
18、of access to objects (information) want to consider ways of increasing confidence in systems to enforce these rights known as multilevel security subjects have maximum & current security level objects have a fixed security level classification,可信计算机系统,Bell LaPadula (BLP) Model,one of the most famous
19、 security models implemented as mandatory policies on system has two key policies: no read up (simple security property) a subject can only read/write an object if the current security level of the subject dominates (=) the classification of the object no write down (*-property) a subject can only a
20、ppend/write to an object if the current security level of the subject is dominated by (=) the classification of the object,Reference Monitor,Complete mediation Isolation Verifiability,The Concept of Trusted Systems,Reference Monitor Controlling element in the hardware and operating system of a compu
21、ter that regulates the access of subjects to objects on basis of security parameters The monitor has access to a file (security kernel database) The monitor enforces the security rules (no read up, no write down),The Concept of Trusted Systems,Properties of the Reference Monitor Complete mediation:
22、Security rules are enforced on every access Isolation: The reference monitor and database are protected from unauthorized modification Verifiability: The reference monitors correctness must be provable (mathematically),The Concept of Trusted Systems,A system that can provide such verifications (prop
23、erties) is referred to as a trusted system That is ,it must be possible to demonstrate mathematically that the reference monitor enforces the security rules and provides complete mediation and isolation.,Evaluated Computer Systems,governments can evaluate IT systems against a range of standards: TCS
24、EC, IPSEC and now Common Criteria define a number of “levels” of evaluation with increasingly stringent checking have published lists of evaluated products though aimed at government/defense use can be useful in industry also,Trojan Horse Defense,用户Bob通过Program与敏感数据文件交互,Trojan Horse Defense,Trojan Horse Defense,Trojan Horse Defense,审计(Audit),是指产生、记录并检查按时间顺序排列的系统事件记录的过程。它是一个被信任的机制,TCB的一部分。同时它也是计算机系统安全机制的一个不可或缺的部分,对于C2及以上安全级别的计算机系统来讲,审计功能是其必备的安全机制。 而且审计是其它安全机制的有力补充,它贯穿计算机安全机制实现的整个过程,从身份认证到访问控制这些都离不开审计。同时审计还是后来人们研究的入侵检测系统的前提。,
