1第六讲、访问控制原理与防火墙技术26.1访问控制原理3主要内容•6.1.1访问控制的基本概念•6.1.2基本的访问控制政策模型4访问控制的基本概念•什么是访问控制•访问控制的基本模型•访问控制和其他安全机制的关系5访问控制的基本概念访问控制的基本概念•主体(Subject)–主体是一个主动的实体,它提出对资源访问请求。如用户,程序,进程等。•客体(Object)–含有被访问资源的被动实体,如网络、计算机、数据库、文件、目录、计算机程序、外设、网络。•访问(Access)–对资源的使用,读、写、修改、删除等操作,例如访问存储器;访问文件、目录、外设;访问数据库;访问一个网站。6访问控制的基本概念访问控制的基本概念•访问可以被描述为一个三元组(s,a,o)–主体,发起者:Subject,Initiator–客体,目标:Object,Target–访问操作:AccessObjectRead/Write/Exec7访问控制模型访问控制执行功能(AEF)访问控制决策功能(ADF)客体主体的访问控制信息主体客体的访问控制信息访问控制政策规则上下文信息(如时间,地址等)决策请求决策访问请求提交访问8访问控制的基本概念访问控制的基本概念•访问控制信息(ACI)的表示–主体访问控制属性–客体访问控制属性–访问控制政策规则•授权(Authorization)–怎样把访问控制属性信息分配给主体或客体–如何浏览、修改、回收访问控制权限•访问控制功能的实施–控制实施部件如何获得实体的访问控制信息–怎样执行9访问控制矩阵•访问控制机制可以用一个三元组来表示(S,O,M)–主体的集合S={s1,s2,…,sm}–客体的集合O={o1,o2,…,on}–所有操作的集合A={R,W,E,…}–访问控制矩阵M=S×O2AlkijjiijjiaWRaosMaOoSs},,{,,的操作。比如允许对决定存在对于任意mnmmnnaaaaaaaaaM.....................10111100010010访问控制矩阵•矩阵的的i行Si表示了主体si对所有客体的操作权限,称为主体si的能力表(CapabilityList)•矩阵的第j列Oj表示客体oj允许所有主体的操作,称为oj的访问控制表(ACL)nmmnmmnnOOOSSSaaaaaaaaaM...........................212110111100010011能力表(CapabilityList)•能力表与主体关联,规定主体所能访问的客体和权限。•表示形式:–用户Profile,由于客体相当多,分类复杂,不便于授权管理–授权证书,属性证书•从能力表得到一个主体所有的访问权限,很容易•从能力表浏览一个客体所允许的访问控制权限,很困难O1RWO2RO5RWESi12访问控制表(AccessControlList)•访问控制表与客体关联,规定能够访问它的主体和权限•由于主体数量一般比客体少得多而且容易分组,授权管理相对简单•得到一个客体所有的访问权限,很容易•浏览一个主体的所有访问权限,很困难S1RWS2RS5RWEOj13访问控制表(访问控制表(WindowsWindows))14授权信息访问控制与其他安全机制的关系•认证、授权、审计(AAA)Log身份认证访问控制审计授权(authorization)主体客体15访问控制与其他安全机制的关系•身分认证–身份认证是访问控制的前提•保密性–限制用户对数据的访问(读取操作)可以实现数据保密服务•完整性–限制用户对数据的修改,实现数据完整性保护•可用性–限制用户对资源的使用量,保证系统的可用性•安全管理相关的活动–访问控制功能通常和审计、入侵检测联系在一起16主要内容•访问控制的基本概念•基本的访问控制政策模型17访问控制政策模型•自主型访问控制(DAC)•强制型访问控制(MAC)•基于角色的访问控制(RBAC)18自主型访问控制政策•DiscretionaryAccessControl,DAC•每个客体有一个属主,属主可以按照自己的意愿把客体的访问控制权限授予其他主体•DAC是一种分布式授权管理的模式•控制灵活,易于管理,是目前应用最为普遍的访问控制政策19自主型访问控制政策/bin/ls[root@acltmp]#chownrootls[root@acltmp]#ls-l-rw-r--r--1nobodynobody770Oct1815:164011.tmp-rw-------1rootusers48Oct2811:41lssrwxrwxrwx1rootroot0Aug2909:04mysql.sockdrwxrwxr-x2duanuan4096Oct2323:41ssl[root@acltmp]#chmodo+rwls[...
VIP
