信息系統(tǒng)安全

1、信 息 系 統(tǒng) 安 全第五講 操作系統(tǒng)安全1目 錄1、信息系統(tǒng)安全的基本概念2、密碼學(xué)(1)3、密碼學(xué)(2)4、操作系統(tǒng)安全(1)5、操作系統(tǒng)安全(2)6、數(shù)據(jù)庫(kù)安全(1)7、數(shù)據(jù)庫(kù)安全(2)8、可信計(jì)算(1)9、可信計(jì)算(2)2一、訪問控制框架與模型操作系統(tǒng)安全的核心是訪問控制 主體對(duì)客體的訪問只能是授權(quán)的，未授權(quán)的訪問是不能進(jìn)行的，而且授權(quán)策略是安全的。 訪問控制身份識(shí)別權(quán)限控制行為監(jiān)控安全審計(jì)3ISO制定的訪問控制基本框架 訪問控制實(shí)施函數(shù)ACEF訪問者訪問目標(biāo)訪問控制決策函數(shù)ACDF訪問控制規(guī)則ACR訪問控制信息ACDIV VACDF（ACR，ACDI）Yes,No DecisionA

2、CEF(V) Permit,Deny一、訪問控制框架與模型4訪問控制模型自主訪問控制DAC（Discretionary Access Control）客體的屬主可以自主地將權(quán)限轉(zhuǎn)授給別的主體。強(qiáng)制訪問控制MAC(Mandatory Access Control)即使是客體的屬主，也不能自主地將權(quán)限轉(zhuǎn)授給別的主體。一個(gè)主體能否獲得對(duì)某客體的權(quán)限，要根據(jù)安全規(guī)則來確定?；诮巧脑L問控制RBAC（Role Based Access Cotrol）基于規(guī)則的訪問控制UBAC（Rule Based Access Control）一、訪問控制框架與模型5矩陣模型：設(shè)S為全體主體的集合，Ss 1，s 2，

3、s m 。設(shè)O為全體客體的集合，Oo 1，o 2，o n 。設(shè)R為全體權(quán)力的集合，Rr 1，r 2，r l 。記權(quán)力矩陣為： a 1 1 ，a 1 2 ，a 1 n S 1 a 2 1 ，a 2 2 ，a 2 n S2 A =o 1,o 2,o n a m 1 ，a m 2 ，a m n Sm 二、自主訪問控制模型6矩陣的每一行對(duì)應(yīng)一個(gè)主體，每一列對(duì)應(yīng)一個(gè)客體。行與列交叉點(diǎn)上的元素a ij 表示主體si 對(duì)客體oj 所擁有的所有權(quán)力的集合。當(dāng)主體si 要對(duì)客體oj 進(jìn)行訪問時(shí)，訪問控制機(jī)制檢查aij ，看主體si 是否具有對(duì)客體oj 進(jìn)行訪問的權(quán)力，以決定主體si 是否可對(duì)客體oj 進(jìn)行訪問，

4、以及進(jìn)行什么樣的訪問。自主性 客體的屬主有權(quán)將其客體的訪問權(quán)力授予其它主體，或收回。二、自主訪問控制模型7矩陣模型的實(shí)現(xiàn)基于矩陣列 對(duì)需要保護(hù)的客體附件一個(gè)訪問控制表，標(biāo)明各擁有權(quán)力的主體的標(biāo)識(shí)與權(quán)限。 UNIX，LINUX，NT基于矩陣的行在每個(gè)主體上附件一個(gè)可訪問的客體的明細(xì)表： 權(quán)力表 口令MULTICS MVS二、自主訪問控制模型81、 BLP模型軍事安全策略 每個(gè)軍官和文件都劃分一個(gè)密級(jí)：不保密（unclassified）、秘密（confidential）、機(jī)密（secret）、絕密（topsecret）等級(jí)。密級(jí)是線性有序的： unclassified confidential s

5、ecret topsecret 每個(gè)軍官和文件都劃分一個(gè)業(yè)務(wù)范圍：例如，北約類（NATO）、核武器類（NUCLEAR）、導(dǎo)彈防御系統(tǒng)（NMD）、反恐等。二、強(qiáng)制訪問控制模型9軍事安全策略 每個(gè)軍官和文件都劃分一個(gè)安全級(jí)別：安全級(jí)別一個(gè)軍官要能閱讀某一文件，軍官的密級(jí)必須大于等于該文件的密級(jí)，而且軍官的業(yè)務(wù)范圍必須包含文件的業(yè)務(wù)范圍。例如，設(shè)軍官A和文件F1的安全級(jí)別為 F1：， A：， 則軍官A可以閱讀文件F1。二、強(qiáng)制訪問控制模型10軍事安全策略一個(gè)軍官要能寫某一文件，軍官的密級(jí)必須小于等于該文件的密級(jí)，而且軍官的業(yè)務(wù)范圍必須被文件的業(yè)務(wù)范圍所包含。 例如，設(shè)軍官B和文件F2的安全級(jí)別為 F

6、2：， B：， 所以軍官B不可以寫文件F2。二、強(qiáng)制訪問控制模型11BLP模型每個(gè)主體和客體都劃分一個(gè)密級(jí) A；每個(gè)主體和客體都劃分一個(gè)業(yè)務(wù)范圍 C；設(shè)SC為全體安全級(jí)別的集合： SC 定義二元關(guān)系如下，并稱關(guān)系為支配 ： SC，SC, 則SC SC ，iff AA and C C 。二、強(qiáng)制訪問控制模型12BLP模型對(duì)于集合SC中的任意元素X，Y，Z都有 自反性 XX； 傳遞性 如果XY，而且YZ，則XZ； 反對(duì)稱性 如果XY，而且YX，則XY。如上定義的關(guān)系為偏序關(guān)系，集合SC為偏序集合，記為SC, 。二、強(qiáng)制訪問控制模型13BLP模型在SC, 中定義運(yùn)算、如下： = ， = 。 顯然，S

7、C, 的最高安全級(jí)別和最低安全級(jí)別分別是 HIGH， LOW。 所以SC, 構(gòu)成代數(shù)結(jié)構(gòu)格。二、強(qiáng)制訪問控制模型14BLP模型簡(jiǎn)單安全原則（向下讀） 主體 s對(duì)客體 o具有讀訪問權(quán)，當(dāng)且僅當(dāng) S支配 O，即 。*特性（向上寫） 主體 s對(duì)客體 o具有寫訪問權(quán)，當(dāng)且僅當(dāng) O支配 S，即 。穩(wěn)定原則 主體和客體的安全級(jí)別在它們被引用時(shí)必須保持不變。低高信息讀低高信息寫主體主體客體客體二、強(qiáng)制訪問控制模型15BLP模型強(qiáng)制性 通過比較主體和客體之間的安全級(jí)別的支配關(guān)系來控制主體對(duì)客體的訪問。 主體不能自主的授予客體權(quán)力或回收權(quán)力。優(yōu)缺點(diǎn) 更安全：可以阻止某些類型的特洛伊木馬攻擊。 缺點(diǎn)是對(duì)用戶限制較

8、多，用戶感到不夠靈活。 主要保護(hù)秘密性，缺乏對(duì)真實(shí)性和完整性保護(hù)。B級(jí)以上操作系統(tǒng)：多數(shù)安全操作系統(tǒng)，MULTICS 二、強(qiáng)制訪問控制模型16MAC和DAC的應(yīng)用在C級(jí)操作系統(tǒng)中應(yīng)用MAC訪問控制模型在B級(jí)以上操作系統(tǒng)中將MAC和DAC聯(lián)合應(yīng)用 二、強(qiáng)制訪問控制模型訪問請(qǐng)求接受訪問MAC檢查DAC檢查拒絕訪問失敗通過通過172、基于角色的訪問控制模型 BRAC介紹由IST的Ferraiolo等人在90年代提出。NIST成立專門機(jī)構(gòu)進(jìn)行研究。96年提出一個(gè)較完善的基于角色的訪問控制參考模型RBAC96。二、強(qiáng)制訪問控制模型18 BRAC的基本思想根據(jù)用戶在一個(gè)組織中擔(dān)任的角色來確定對(duì)其所的授權(quán)。

9、 如，張三今天擔(dān)任科長(zhǎng)，則應(yīng)授予他科長(zhǎng)的權(quán)限，明天他提升為處長(zhǎng)，則應(yīng)授予他處長(zhǎng)的權(quán)限。一個(gè)用戶擔(dān)任一個(gè)角色后，便可以擁有該角色的權(quán)限，但是他不能將權(quán)限轉(zhuǎn)授給別人。BRAC是強(qiáng)制訪問模型，不是DAC雖然一個(gè)用戶擔(dān)任一個(gè)角色后，便可以擁有該角色的權(quán)限，但是他不能將權(quán)限轉(zhuǎn)授給別人。 如，在醫(yī)院里醫(yī)生擁有開處方的權(quán)限，但他不能將開處方的權(quán)限轉(zhuǎn)給護(hù)士。二、強(qiáng)制訪問控制模型19 BRAC的基本概念RBAC的基本思想是根據(jù)用戶所擔(dān)任的角色來決定用戶的在系統(tǒng)中的訪問權(quán)限。一個(gè)用戶必須扮演某種角色，而且還必須激活這一角色，才能對(duì)一個(gè)對(duì)象進(jìn)行訪問或執(zhí)行某種操作。安全管理員用戶角色/權(quán)限指定訪問或操作激活二、強(qiáng)制訪

10、問控制模型20 BRAC的基本概念用戶（User）訪問計(jì)算機(jī)資源的主體。用戶集合為 U.角色（role）一種崗位，代表一種資格、權(quán)利和責(zé)任。角色集合為 R.權(quán)限（permission）對(duì)客體的操作權(quán)力。權(quán)限集合為 P.用戶分配（User Assignment）將用戶與角色關(guān)聯(lián)。用戶分配集合為UA=(u,r)|uU, rR . 用戶 u與角色 r關(guān)聯(lián)后，將擁有 r的權(quán)限。二、強(qiáng)制訪問控制模型21 BRAC的基本概念權(quán)限分配（Permission Assignment）將角色與權(quán)限關(guān)聯(lián)。權(quán)限分配集合為PA=(p,r)|pP, rR . 權(quán)限 p與角色 r關(guān)聯(lián)后，角色 r將擁有權(quán)限 p。激活角色（A

11、ctve Role）角色只有激活才能起作用，否則不起作用。通過會(huì)話激活角色。會(huì)話（Session）用戶要訪問系統(tǒng)資源時(shí)，必須先建立一個(gè)會(huì)話。一次會(huì)話僅對(duì)應(yīng)一個(gè)用戶。一次會(huì)話可激活幾個(gè)角色。二、強(qiáng)制訪問控制模型22 BRAC的基本機(jī)制RBAC的授權(quán)機(jī)制： a.分為兩步： 將用戶分配給角色 將訪問權(quán)限分配給角色 b.授權(quán)要滿足安全約束條件。 最小特權(quán)原則 職責(zé)分離原則 角色互斥原則 角色激活限制原則 c.角色分級(jí)，高級(jí)角色可以繼承低級(jí)角色的訪問權(quán)限。二、強(qiáng)制訪問控制模型23 BRAC的基本機(jī)制RBAC用戶與角色的關(guān)系：（多對(duì)多關(guān)系） a.一個(gè)用戶可擔(dān)當(dāng)多個(gè)角色 b.一個(gè)角色可分配給多個(gè)用戶角色和權(quán)

12、限之間的關(guān)系：（多對(duì)多的關(guān)系） a.一個(gè)角色可以擁有多個(gè)訪問權(quán)限， b.不同的角色也可以擁有相同的權(quán)限。角色和角色的關(guān)系：（分級(jí)關(guān)系） 高級(jí)角色可以繼承低級(jí)角色的訪問權(quán)限。二、強(qiáng)制訪問控制模型24 BRAC的基本機(jī)制會(huì)話： a.用戶要訪問系統(tǒng)資源時(shí)，必須先建立一個(gè)會(huì)話。 b.一次會(huì)話僅僅對(duì)應(yīng)一個(gè)用戶。 c.一次會(huì)話中可以激活幾個(gè)角色。 d.角色激活要滿足安全約束。激活：a.激活是角色的一種狀態(tài)。b.通過會(huì)話激活角色。c.只有激活的角色才起作用。 二、強(qiáng)制訪問控制模型25 BRAC的基本機(jī)制角色分級(jí) a.角色分級(jí)是組織角色的一種自然方法。 b.角色分級(jí)的結(jié)果將導(dǎo)致一個(gè)角色可以直接或間接地繼承另一

13、角色的訪問權(quán)限。 c.直接繼承：相鄰角色之間的繼承。 d.間接繼承：非相鄰角色之間的繼承。 e. 高低級(jí)角色之間的繼承關(guān)系是一種偏序關(guān)系。二、強(qiáng)制訪問控制模型26角色分級(jí)(role hierarchy)繼承關(guān)系 高級(jí)角色中間角色高級(jí)角色低級(jí)角色低級(jí)角色中間角色中間角色高級(jí)角色二、強(qiáng)制訪問控制模型27 BRAC的基本機(jī)制安全約束約束是設(shè)計(jì)高級(jí)安全策略的一個(gè)強(qiáng)有力的機(jī)制。各個(gè)環(huán)節(jié)施加安全約束，以實(shí)現(xiàn)不同的安全策略。可以定義在系統(tǒng)層，也可以定義在應(yīng)用層?？梢允鞘录|發(fā)的，也可以不是事件觸發(fā)的。職責(zé)分離約束合理劃分任務(wù)和相關(guān)權(quán)限，以保證多用戶協(xié)同工作的安全性。如，公檢法三權(quán)分立，互相配合，又互相監(jiān)督。

14、二、強(qiáng)制訪問控制模型28角色互斥約束如果一組角色是互斥的，那么一個(gè)用戶或同一個(gè)訪問權(quán)限只能被分配給其中的一個(gè)角色。 利用角色互斥約束可實(shí)現(xiàn)職責(zé)分離。 例如，一個(gè)人不能又當(dāng)裁判員又當(dāng)運(yùn)動(dòng)員。最小特權(quán)約束只給角色分配完成某工作所需的最小權(quán)力。角色激活約束 激活數(shù)約束 限制一個(gè)角色同時(shí)授權(quán)和激活的數(shù)目。如總經(jīng)理只有1個(gè)。角色激活時(shí)間約束 限制一個(gè)角色激活的時(shí)間。如崗位任期制。 二、強(qiáng)制訪問控制模型29 BRAC96模型BRAC96模型包括4個(gè)層次：BRAC0：基礎(chǔ)模型BRAC1：在BRAC0的基礎(chǔ)上增加了角色分級(jí)BRAC2：在BRAC0的基礎(chǔ)上增加了角色和權(quán)限約束BRAC3：集成了BRAC1 和BR

15、AC2 二、強(qiáng)制訪問控制模型BRAC3 加強(qiáng)模型BRAC0 基礎(chǔ)模型BRAC2 高級(jí)模型高級(jí)模型 BRAC130 BRAC96模型BRAC0用戶集 U,角色集 R,權(quán)限集 P,會(huì)話集 SUAUR：多對(duì)多的用戶角色分配關(guān)系PAPR：多對(duì)多的權(quán)限角色分配關(guān)系SU： 影射每個(gè)會(huì)話到一個(gè)用戶S2R： 影射每個(gè)會(huì)話到一組角色 R(s)r|(U(S),r) UA并且會(huì)話 s擁有權(quán)限 UrR(s)p|(p,r)PA. 可見：RBAC0只包括最基本的元素：用戶、角色、權(quán)限、會(huì)話。角色不分級(jí)，也沒有安全約束。二、強(qiáng)制訪問控制模型31 BRAC96模型BRAC1BRAC1包含BRAC0，增加了角色分級(jí)繼承關(guān)系。U

16、, R,P,S,UA,PA與BRAC0一致。RH RR是R上的偏序，記為，稱為角色繼承關(guān)系PAPR：多對(duì)多的權(quán)限角色分配關(guān)系S2R： 影射每個(gè)會(huì)話到一組角色 R(s)r|(rr)U(S),r) UA，并且會(huì)話 s擁有權(quán)限 UrR(s)p|(rr)(p,r)PA. 可見：一個(gè)會(huì)話擁有的角色包含UA關(guān)系里面指定的角色以及他們的父角色，會(huì)話擁有的權(quán)限包含其擁有的所有角色在PA關(guān)系里面的權(quán)限以及他們的子角色對(duì)應(yīng)的權(quán)力。二、強(qiáng)制訪問控制模型32 BRAC96模型BRAC2BRAC2包含BRAC0，增加了約束。BRAC0中的所有元素。一組約束。沒有指定約束的條件和表現(xiàn)形式，只是簡(jiǎn)單說明了兩種約束：角色互斥和角色激活數(shù)約束。二、強(qiáng)制訪問控制模型33 BRAC96模型BRAC3BRAC3包含BRAC1和BRAC2，自然也包括BRAC0。BRAC3是一個(gè)完整的模型。二、強(qiáng)制訪問控制模型34 BRAC96模型用戶U角色B權(quán)限P用戶分配權(quán)限分配分級(jí)安全約