1、第四章 授权与访问控制,4.1 概念原理4.2 访问控制策略4.3 Windows NT的安全访问控制,本章重点介绍访问控制技术基本概念、作用、分类、基本原理以及基本实现技术等。 通过本章的学习,我们应该掌握以下内容: 理解访问控制技术的定义、分类、手段、模型; 了解Windows NT的安全访问控制。,本章学习目标,信息系统的授权(Authorization)与访问控制(Access Control)是信息安全保障系统防范和保护的主要策略,它的主要任务是保证信息系统的计算机及网络资源不被内部、外部人员非法使用和非正常访问,它是维护安全的重要手段,各种安全策略必须相互配合才能真正起到保护作用。
2、授权是资源的所有者或者控制者授予其他人访问此资源的权限。访问控制是一种加强授权的方法。资源包括信息资源、处理资源、通信资源和物理资源。,4.1 概念原理,在实际中存在这样两种可能:身份认证被骗过或者被绕过,非法用户进入了信息系统。内部合法用户企图进行非法操作或者无意识的误操作。,4.1 概念原理,在这样的情况下,如果没有保护措施的话,后果将是不堪设想的。而授权与访问控制正是在这种情况下起到了进一步的保护作用。就是说,即使你能进入到系统中,如果你没有得到相应的权限的话,你还是什么也不能做。,4.1 概念原理,授权是访问控制的核心,即控制不同用户对各种资源的访问权限,对授权控制的要求有:一致性对资
3、源的控制没有不一致性,各种定义之间不冲突统一性对所有资源进行管理控制时,安全策略统一贯彻可审计性对所有授权都要有记录可审查,4.1 概念原理,一般的访问控制系统至少包括以下实体和概念: 主体(Subject)是指发出访问操作、存取操作的主动方,造成了信息的流动和系统状态的改变,主体通常包括用户、进程和设备。 客体(Object)是指被访问的对象,一般可以是被调用的程序、进程、要存取的数据、信息、要访问的文件、系统设备、网络设备等资源。 访问(Access)是使信息在主体和客体间流动的一种交互方式。 访问许可(Access Permissions)指对所申请访问的批准。 访问控制策略(Polic
4、y)由一整套严密的规则所组成,是实施访问控制的依据,依从于整个系统的安全要求。 访问控制的目的是为了限制访问主体对访问客体的访问权限,能访问系统的何种资源以及如何使用这些资源。,4.1 概念原理,设计访问控制的原则:访问控制的有效性:每次对任何资源的访问都必须是受控制的,并且要能够实施必要的、严格的监督检查。访问控制的可靠性:对目标的访问权限最好能依赖某个条件,并且要防止主体通过已得到授权的访问路径去隐蔽地实现某些越权的访问,系统还可以抵挡可能出现的各种攻击。实体权限的时效性:是指实体所拥有的权限不能永远不变。共享访问最小化经济性:在保证安全有效性的前提下,应该是最小型、最简单化的。方便性,4
5、.2 访问控制策略,自主访问控制,强制访问控制,基于角色访问控制,访问控制,访问控制模型是用于规定如何作出访问决定的模型。传统的访问控制模型包括一组由操作规则定义的基本操作状态。典型的状态包含一组主体(S)、一组对象(O)、一组访问权(AS,O)包括读、写、执行和拥有。 访问控制模型涵盖对象、主体和操作,通过对访问者的控制达到保护重要资源的目的。对象包括终端、文本和文件,系统用户和程序被定义为主体。操作是主体和对象的交互。访问控制模型除了提供机密性和完整性外还提供记帐性。记帐性是通过审计访问记录实现的,访问记录包括主体访问了什么对象和进行了什么操作。,1.自主访问控制(DAC-discreti
6、onary Access Control) 自主访问控制是由客体自主地确定各个主体对它的直接访问权限(又称访问模式)。 这种方法能够控制主体对客体的直接访问,但不能控制主体对客体的间接访问(利用访问的传递性,即A可访问B,B可访问C,于是A可访问C)。 目前常用的操作系统中的文件系统,使用的是自主访问控制方式,因为这比较适合操作系统的资源的管理特性 。 自主访问控制经常通过访问控制列表实现,访问控制列表难于集中进行访问控制和访问权力的管理。,4.2.1 自主访问控制,2.强制访问控制(MAC-Mandatory Access Control) 强制访问控制是一种不允许主体干涉的访问控制类型。它
7、是基于安全标识和信息分级等信息敏感性的访问控制。 由一个授权机构为主体和客体分别定义固定的访问属性,且这些访问权限不能通过用户来修改。B类计算机采用这种方法,常用于军队和政府机构。 例如将数据分成绝密、机密、秘密和一般等几类。用户的访问权限也类似定义,即拥有相应权限的用户可以访问对应安全级别的数据,从而避免了自主访问控制方法中出现的访问传递问题。这种方法具有层次性的特点,高级别的权限可访问低级别的数据。,4.2.2 强制访问控制,3.基于角色的访问控制 是对自主控制和强制控制机制的改进,它基于用户在系统中所起的作用来规定其访问权限。这个作用(即角色rule)可被定义为与一个特定活动相关联的一组
8、动作和责任。角色包括职务特征、任务、责任、义务和资格。一个用户可以扮演多个角色,一个角色也可以包含多个用户。 角色通常由系统管理员定义,也就是说,只有系统管理员有权定义和分配角色,而且这种授权是强行给予用户的,用户不能决定自己的权限,也不可以把得到的权限转让给他人。,4.2.3 基于角色的访问控制,基于角色的访问控制特点: (1)提供了三种授权管理的控制途径: 改变客体的访问权限; 改变角色的访问权限; 改变主体所担任的角色。,用户1,用户2,用户3,角色1,角色2,授权,对象1,对象2,对象3,对象4,角色、用户、权限、授权管理之间的关系,(2)提供了层次化的管理结构,由于访问权限是客体的属
9、性,所以角色的定义可以用面向对象的方法来表达,并可用类和继承等概念来表示角色之间的关系。,4.2.3 基于角色的访问控制,角色4,角色3,角色2,角色1,包含,包含,包含,权限,小,大,(3)具有提供最小权限的能力,由于可以按照角色的具体要求来定义对客体的访问权限,因此具有针对性,不出现多余的访问权限,从而降低了不安全性。 (4)具有责任分离的能力,不同角色的访问权限可相互制约,即定义角色的人不一定能担任这个角色。因此具有更高的安全性。 非任意访问控制(non-discretionary access control)是为满足安全策略和目标而采用的一系列集中管理的控制手段。访问控制是由访问者在
10、机构中的角色决定的。角色包括职务特征、任务、责任、义务和资格。访问者在系统中的角色有管理者赋予或吊销。,4.2.3 基于角色的访问控制,RBAC模型,4.2.4 访问控制实现技术,访问控制实质上是对资源使用的限制,它决定主体是否被授权对客体执行某种操作它依赖于鉴别使主体合法化,并将成员关系和特权与主体联系起来。只有经授权的用户,才允许访问特定的网络资源。授权的权限是用来控制用户对目录、文件、设备的访问。访问权限一般有8种:系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限和访问控制权限。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对系统资源的访
11、问。访问控制的实现方法有很多种,这里介绍几种常用的方法。,4.2.4 访问控制实现技术,1. 目录表 目录表是一种非常自然的访问控制方法,它借用了操作系统中对文件目录的管理机制,为每一个想要实施访问操作的主体建立一个能被其访问的“客体目录表(文件目录表)”。当然,客体目录表的修改只能由该客体的合法属主确定,其他任何用户不允许在客体目录表中进行写操作,否则将出现对访问权限的伪造。目录表的形式如图:,张三,李四,王五,4.2.4 访问控制实现技术,目录表的优点: 非常自然直观,实现起来比较容易,能访问的客体及权限一目了然,依照目录表实施监督也很方便。目录表的缺点: 系统开销和浪费较大这是由于每个用
12、户都有一张表,如果某个客体允许所有用户访问,则将给每个用户逐一填写文件目录表,造成系统重复性的额外开销。另外,由于这种机制允许客体属主用户对访问权限实施传递转移并可多次进行,造成同一个文件可能有多个属主的情形,各属主每次传递的权限也难以相同,甚至可能会把客体改用别名,因此使得越权访问的用户大量存在,在管理上极易出错,造成系统混乱,甚至崩溃。,2.访问控制表方案,这是一种传统的授控机制,用访问矩阵表示,以客体为索引。即每一个访问控制列表(ACL-Access Control List)是客体(目标对象)的属性表,它给定每个主体(用户)对给定的目标的访问权限,即一系列实体及其对资源的访问权限的列表
13、。,4.2.4 访问控制实现技术,访问控制表ACL是目前操作系统中使用最多的一种访问控制方式。 优点:相对直观、易于理解和方便实现,能较好地解决多个主体访问一个客体的问题,不会像目录表那样因授权混乱而越权访问。 缺点:表项占用存储空间较多,并由于客体长度不同而出现存放空间碎片造成浪费,每个客体被访问时都需要对访问控制列表从头至尾扫描一遍,影响运行速度,浪费了存储空间。,4.2.4 访问控制实现技术,3.访问控制矩阵(Access Control Matrix) 访问控制矩阵是上述两种方法的综合。访问控制矩阵模型是用状态和状态转换进行定义的,系统和状态用矩阵表示,状态的转换则用命令来进行描述。由
14、系统中的全部用户(即主体)和系统中的所有存取目标(即客体)组成的一个二维矩阵,如图:,4.2.4 访问控制实现技术,4.2.4 访问控制实现技术,访问控制矩阵的原理简单,实现起来并不难,但当用户和文件都很多时,就需要占用大量的存储空间。 例如:如果系统有5000个用户和30000个文件,二维存取控制矩阵就要有5000*30000个表项,将占用大量的存储空间。如果用户和文件系统要管理的文件有所增加,那么控制矩阵将会成几何级数增长,对于增长的矩阵而言,会有大量的空余空间。另外,查找这样大的表不仅不方便,而且还浪费大量的CPU时间。所以在实际应用时,常常要采用另外的变通方式来实现。,4.2.4 访问
15、控制实现技术,3.授权关系方案 授权关系(Authorization relations) 使用关系来表示访问矩阵。每个关系表示一个主体对一个客体的访问权限,并使用关系式数据库来存放这个访问矩阵,实现效率比较高。,Windows NT的安全级别被列为TCSEC的C2级,是C类级别的最高级,它的访问控制安全策略为自主访问控制DAC,它有以下几项重要指标: 因为采用了自主访问控制(DAC),所以资源的属主必须能够控制对资源的访问。 保护对象的重用(Object Reuse),操作系统必须能够保护对象在完成使命后,不能再被其他对象所利用。比如,被释放的内存以及被删除的文件不能被其他程序或进程再次读取
16、。 强制的用户标识和认证,所有的用户都必须以唯一的登录标识(ID)和密码来鉴别自身,而且只有授权的用户才能访问相应的资源。 可审计性和可记录性,系统管理员必须能够审核与安全性相关的事件,并对其进行记录。时间的审核记录必须能够阻止非授权用户的访问,对审核数据的访问必须只限于经过授权的管理员。,4.3 Windows NT的安全访问控制,4.3.1 NTFS文件系统,NTFS(NT File System)建立在保护文件和目录数据基础上,比FAT文件系统功能更强大,适合更大的磁盘和分区,支持安全性,是更为完善和灵活的文件系统。特点: 文件角度:在NTFS分区上支持随机访问控制和拥有权,对共享文件夹
17、可以指定权限,以免受到本地访问或者远程访问的影响。 用户角度:对于所有可操作文件的用户,包括共享文件夹的访问用户,都可以指定权限。 NTFS使用事务日志自动记录所有文件夹和文件更新,可以利用日志文件重做或者恢复为成功的操作。 在一个格式化为NTFS的分区,每个文件或者文件夹都可以被单独地分配一个权限,这些权限使得这些资源具备更高级别的安全性。用户无论是在本机还是通过远程网络访问这些资源,都必须具备访问这些资源的权限。,4.3.2 NTFS的用户和用户组,Windows NT管理用户时使用本地用户账户、本地组账户和全局组账户。当第一次将系统安装成工作站或独立服务器时,Windows NT会默认创
18、建一批内置的本地用户和本地组账户,存放在本地计算机的SAM数据库中。Windows NT默认创建两个账户:Administrator和Guest。其中, Administrator由管理员使用,通过它可以管理安全性策略,创建、修改、删除用户和组,修改系统软件,创建管理公共目录,安装连接打印机和格式化硬盘等;Guest用于临时登录的一次性用户,默认是禁止的,所有使用该账户登录的用户会获得相同的桌面设置。这两个默认账户均可以改名,但不能删除。除了用户账户外, Windows NT还提供组账户。在Windows NT系统中,具有相似工作或相似资源要求的用户可以组成一个工作组(又称用户组)。把对资源的
19、存取权限许可分配给某个工作组,就是同时分配了该组中的所有成员,这样可以简化管理维护工作。,Windows NT提供了如下几种工具来管理用户账户和组账户:添加用户账户向导用户管理器域用户管理器一组命令行工具其中使用最多的管理工具是“用户管理器”和“域用户管理器”。 “用户管理器(MUSRMGR.EXE)”和“域用户管理器( USRMGR.EXE )”则是通过Windows NT域管理账户的Windows NT Server工具。通过“用户管理器”和“域用户管理器”创建的用户和组账户可以有不同的作用域,即本地作用域和全局作用域。如果账户(包括用户帐户和用户组帐户)仅在创建它的工作站上有效,那么就称
20、该账户具有本地作用域;如果该账户在当前选定的整个域中都有效,则称该账户具有全局作用域。,账户管理工具和账户作用域的对应关系,4.3.3 文件系统的访问权限,对文件系统的访问控制,仅适用于采用了NTFS的磁盘分区。可以在设置文件或目录权限的对话框中对作用于文件或文件夹的访问控制表(ACL)进行设置。ACL中的每项ACE(Access Control Entries)都会为用户或用户组分配一个或多个访问文件或目录的权限级别。对文件来说,可以设置的权限级别为“无(No Access)”。“读(Read)”、“更改(Change)”和“完全控制(Full Control)”。Windows NT允许用
21、户利用“特殊权限”方式按照特殊的组合方式分配基本权限。Windows NT也支持全面的目录访问权限。目录是容器对象,除了其自身的权限外,还有目录内创建的子目录和文件(即容器对象)所继承的权限。子目录总是从父目录继承所有的权限。,4.3.4 注册表的访问控制,标准的注册表键值权限设置对话框只提供了“读取(Read)”、“完全控制(Full Control)”和特殊访问(Special Access)这三个选项。同样地,在注册表键下面创建的子键也将会自动继承其权限,当上一级键的访问权限被修改时,其子键的权限也将被重置。,4.3.5 打印机的访问控制,从某种程度上来说,打印机也是系统中重要的对象。与文件系统、注册表一样也受到访问控制列表的保护。打印机的访问权限是通过打印机属性对话框进行设置的,其中权限设置对话框显示了用户和用户组访问特定打印机的设置。有以下4中权限可供设置:“无(No Access)”、“打印(Print)”、“管理文档(Management Documents)”和“完全控制(Full Control)”。,
