随意访问策略和模型
自由裁量(选择性)访问政策在大多数安全系统中实施,并且历史上是第一个在理论和实践方面制定的政策。
自由获取信息模式的第一个描述出现在20世纪60年代,并在文献中详细介绍。 最着名的是ADEPT-50模型(20世纪60年代末),Hartson五维空间(20世纪70年代初),Harisson-Ruzzo-Ullman模型(20世纪70年代中期)和Take-Grant模型(1976)。 这些模型的作者和研究人员为安全信息系统理论做出了重大贡献,他们的工作为随后创建和开发安全信息系统奠定了基础。
随意访问模型直接基于主体-客体模型,并将其发展为一组交互元素(主体,客体等)。). 自由访问模型中的集合(区域)安全访问由一组离散的三元组"用户(主体)-流(操作)-对象"定义。
在该模型中,基于安全访问区域的表示方式和访问许可机制,分析并证明系统将在有限数量的转换中保持安全状态。
基于访问矩阵的模型。 在实践中,基于访问矩阵的自由裁量模型得到了最广泛的应用。 在这些模型中,安全访问区域被构造为矩形矩阵(表),其行对应于访问主体,访问对象的列,并且单元格记录主体对对象的授权操作(权限)。 矩阵使用以下表示法:w-"写",r-"读",e-"执行"。
对对象的允许操作形式的矩阵单元中的访问权限确定对象对对象的安全访问类型。 为了表达允许的操作类型,使用特殊的名称来构成描述访问控制策略的某些语言的基础(字母表)。 因此,在自由裁量策略的框架内,每个单元包含主体-操作-对象三元组的子集。
访问矩阵是与安全监视器相关联的对象,其包含关于特定系统中的访问控制策略的信息。 矩阵的结构,其创建和修改由实施它们的系统的特定模型和特定软件和技术解决方案确定。
在实际系统中组织访问矩阵的原则决定了两种方法的使用-集中式和分布式。
通过集中式方法,访问矩阵被创建为一个单独的独立对象,具有特殊的放置和访问顺序。 实际系统中访问对象和主体的数量可能很大。 为了减少矩阵中的列数,访问对象可以分为两组-一组访问不受限制的对象和一组自由访问对象。 在访问矩阵中,用户权限仅表示给第二组的对象。 这种方法最着名的例子是UNIX系统中的"访问位"。
使用分布式方法,访问矩阵不是作为单独的对象创建的,而是由跨系统对象分布的"访问列表"或跨访问主体分布的"机会列表"表示。 在第一种情况下,系统的每个对象除了识别特征外,还被赋予一种与对象本身直接相关的列表,并且实际上表示访问矩阵的相应列。 在第二种情况下,每个主体在其初始化期间接收具有允许访问的对象列表(访问矩阵的一行)的列表。
访问矩阵组织的集中和分布式原则都有其在一般集中和分散的组织和管理原则中固有的优点和缺点。
根据访问控制原理,区分了两种方法:
强制访问控制;
自愿访问控制。
在强制管理的情况下,只有系统管理员的主体有权创建和更改访问矩阵,当注册新用户以在系统中工作时,创建具有适当填充的访问矩阵的新行,并且当 这种方法在数据库中最为广泛。
自愿访问控制的原则基于对象的所有权原则。 访问对象的所有者是初始化流的用户,结果该对象出现在系统中,或者以另一种方式定义它。 对象的访问权限由其所有者决定。
访问矩阵的单元格的填写和更改由拥有相应对象的用户的主体进行。 这种方法在其中访问对象的数量显着或不确定的那些系统中提供访问控制。 这种情况对于操作系统来说是典型的。
所有自由裁量模型都容易受到使用"特洛伊木马"程序的攻击,因为它们只控制对象对对象的访问操作,而不是它们之间的信息流。 因此,当特洛伊木马程序将信息从该用户可访问的对象传输到入侵者可访问的对象时,正式上不会违反自由裁量安全策略的规则,但会发生信息泄漏。