【从零开始学习计算机科学】信息安全（十一）访问控制

访问控制

访问控制概述

资源访问存在的威胁主要有：未授权的访问，包括未经授权的使用、泄露、修改、销毁信息以及颁发指令等；非法用户进入系统；合法用户对系统资源的非法使用。

访问控制的基本目标是防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问。

访问控制对机密性、完整性起直接的作用。对于可用性，可通过对以下信息的有效控制来实现：谁可以颁发影响网络可用性的网络管理指令，谁能够滥用资源以达到占用资源的目的，谁能够获得可以用于拒绝服务攻击的信息。

访问控制的核心特点是明确定义的主体和客体；描述主体如何访问客体的一个授权数据库；约束主体对客体访问尝试的参考监视器；识别和验证主体和客体的可信子系统；审计参考监视器活动的可信子系统。

访问控制的基本概念

• 主体（subject）：访问的发起者。发起者是试图访问某个目标的用户或者是用户行为的代理。必须控制它对客体的访问。主体通常为进程，程序或用户。
• 客体（目标）：可供访问的各种软硬件资源，包括通讯、数据资源。
• 授权：资源所有者对他人使用资源的许可。
• 资源：信息、处理器、通信设施、物理设备。访问一种资源就是从这个资源中获得信息、修改资源或利用它完成某种功能。
• 敏感标签（sensitivity label）：表示客体安全级别并描述客体数据敏感性的一组信息，TCSEC中把敏感标记作为强制访问控制决策的依据。
• 访问控制（Access Control）：对系统中的用户、程序、进程或计算机网络中其他系统访问本系统资源进行限制、控制的过程。主体对客体的访问受到控制，是一种加强授权的方法。是针对越权使用资源的防御措施。口令认证不能取代访问控制。原始概念是指是对进入系统的控制(用户标识+口令/生物特性/访问卡)。
• 访问控制策略：系统中存取文件或访问信息的一整套严密安全的规则。其通过不同方式建立：OS固有的、管理员或用户制定的。
• 访问控制机构：具体实施访问策略的所有功能的集合，这些功能可通过系统的软硬件实现。

阻止非授权用户访问目标的方法

• 访问请求过滤器：当一个发起者试图访问一个目标时，审查其是否获准以请求的方式访问目标。
• 分离：防止非授权用户有机会去访问敏感的目标。

这两种方法均涉及访问控制机制和访问控制策略。

访问控制类别

按操作对象可分为物理访问控制、网络访问控制、操作系统访问控制、数据库系统访问控制、应用系统访问控制。

按技术方法可分为自主性访问控制、强制访问控制、基于角色的访问控制、基于任务的访问控制、基于属性的访问控制、基于信誉的访问控制。

访问控制策略

任何访问控制策略最终可被模型化为访问矩阵形式。每一行表示主体（用户），每一列表示客体（目标），矩阵元素表示相应的主体对客体的访问许可。

自主访问控制策略DAC

DAC(Discretionary Access Control)的基本思想是客体的拥有者自主管理其授权，被授权者可传递权限。所谓自主，是指具有授予某种访问权力的主体能够自己决定是否将访问控制权限的某个子集授予其他的主体或从其他主体那里收回他所授予的访问权限。

DAC的实现方式分为以下两种：

1. 基于个人的策略。隐含的缺省策略包括禁止/开放。具有最小特权原则，即最大限度地控制用户为完成授权任务所需要的许可集。
2. 基于组的策略。多个用户被组织在一起并赋予一个共同的标识符。其更容易、更有效。

其中，0代表不能进行任何访问，1代表执行，2代表读，3代表写，4代表拥有。

对目录和文件的访问权限一般有八种：系统管理员权限（Supervisor）、读权限（Read）、写权限（Write）、创建权限（Create）、删除权限（Erase）、修改权限（Modify）、文件查找权限（File Scan）、存取控制权限（Access Control）。

访问控制列表（ACL）

每个客体各自将能对自己访问的主体信息以列表的形式保存起来，这相当于是访问控制矩阵里的各个列向量（$O_j$