access control
play

Access Control CS461/ECE422 Spring 2012 Reading Material - PowerPoint PPT Presentation

Oct 04, 2022 •545 likes •967 views

Access Control CS461/ECE422 Spring 2012 Reading Material Chapter 4 through sec=on 4.5 Chapters 25 and 26 For the access control aspects of

  1. Access ¡Control ¡ CS461/ECE422 ¡ Spring ¡2012 ¡

  2. Reading ¡Material ¡ • Chapter ¡4 ¡through ¡sec=on ¡4.5 ¡ • Chapters ¡25 ¡and ¡26 ¡ – For ¡the ¡access ¡control ¡aspects ¡of ¡Unix ¡and ¡ Windows ¡

  3. Outline ¡ • Access ¡Control ¡Matrix ¡ • Access ¡Control ¡List ¡ • Capabili=es ¡

  4. Access ¡Control ¡in ¡Context ¡

  5. AAA ¡ • Access ¡control ¡part ¡of ¡a ¡broader ¡context ¡ • Authen=ca=on ¡ – Discussed ¡last ¡=me. ¡ ¡Bind ¡external ¡en=ty ¡to ¡ system ¡en=ty ¡ • Authoriza=on ¡ – Grant ¡a ¡right ¡or ¡permission ¡to ¡the ¡system ¡en=ty ¡to ¡ access ¡a ¡system ¡resource ¡ • Audit ¡ – Independent ¡review ¡of ¡system ¡ac=ons ¡

  6. Types ¡of ¡Access ¡Control ¡Policies ¡ • Discre=onary ¡Access ¡Control ¡(DAC) ¡ – Decision ¡made ¡based ¡on ¡iden=ty ¡of ¡requestor ¡and ¡ access ¡rules ¡ – Regular ¡users ¡can ¡adjust ¡the ¡policy ¡ • Mandatory ¡Access ¡Control ¡(MAC) ¡ – Decision ¡made ¡by ¡tes=ng ¡labels ¡associated ¡with ¡ processes ¡and ¡resources ¡against ¡system ¡policy ¡rules ¡ – Regular ¡user ¡cannot ¡adjust ¡the ¡policy ¡ • Role ¡Based ¡Access ¡Control ¡(RBAC) ¡ – Access ¡decisions ¡defined ¡against ¡roles ¡rather ¡than ¡ individual ¡requestors ¡

  7. Access ¡Control ¡Elements ¡ • Subject ¡– ¡system ¡en=ty ¡capable ¡of ¡access ¡objects. ¡ Generally ¡a ¡process ¡in ¡an ¡OS ¡context ¡ • Object ¡– ¡a ¡resource ¡in ¡a ¡system ¡ – OYen ¡a ¡file ¡ – Could ¡also ¡be ¡other ¡named ¡resources ¡like ¡mutex, ¡ process, ¡network ¡interface, ¡network ¡port ¡ • Access ¡right ¡– ¡a ¡way ¡that ¡a ¡subject ¡may ¡access ¡an ¡ object ¡in ¡the ¡system ¡ – Read, ¡Write, ¡Execute, ¡Delete, ¡Create, ¡Search, ¡Change ¡ Access, ¡Own ¡

  8. Access ¡Control ¡Matrix ¡ • Access ¡Matrix ¡or ¡Access ¡Control ¡Matrix ¡ (ACM) ¡and ¡related ¡concepts ¡provides ¡very ¡ basic ¡abstrac=on ¡ – Map ¡different ¡systems ¡to ¡a ¡common ¡form ¡for ¡ comparison ¡ – Enables ¡standard ¡proof ¡techniques ¡ – Not ¡directly ¡used ¡in ¡implementa=on ¡ 9/29/2010 ¡ Computer ¡Security ¡I ¡ 8 ¡

  9. Defini=ons ¡ • Protec=on ¡state ¡of ¡system ¡ – Describes ¡current ¡se`ngs, ¡values ¡of ¡system ¡ relevant ¡to ¡protec=on ¡ • Access ¡control ¡matrix ¡ – Describes ¡protec=on ¡state ¡precisely ¡ – Matrix ¡describing ¡rights ¡of ¡subjects ¡ – State ¡transi=ons ¡change ¡elements ¡of ¡matrix ¡ 9/29/2010 ¡ Computer ¡Security ¡I ¡ 9 ¡

  10. Access ¡Matrix: ¡File ¡Example ¡ File ¡1 ¡ File ¡2 ¡ File3 ¡ File4 ¡ User ¡A ¡ Own ¡ Own ¡ Read ¡ Read ¡ Write ¡ Write ¡ User ¡B ¡ Read ¡ Own ¡ Write ¡ Read ¡ Read ¡ Write ¡ User ¡C ¡ Read ¡ Read ¡ Own ¡ Write ¡ Read ¡ Write ¡

  11. Access ¡Matrix: ¡Broader ¡Example ¡ Subjects ¡ Files ¡ Processes ¡ Disks ¡ S1 ¡ S2 ¡ S3 ¡ F1 ¡ F2 ¡ P1 ¡ P2 ¡ D1 ¡ D2 ¡ S1 ¡ control ¡ owner ¡ owner ¡ Read* ¡ Read ¡ wakeup ¡ wakeup ¡ seek ¡ owner ¡ control ¡ owner ¡ S2 ¡ control ¡ Write* ¡ execute ¡ owner ¡ Seek* ¡ S3 ¡ control ¡ write ¡ stop ¡

  12. Media=on ¡Implementa=on ¡

  13. Rules ¡Governing ¡Access ¡Matrix ¡Change ¡ Rule ¡ Command ¡(by ¡S0) ¡ AuthorizaCon ¡ OperaCon ¡ R1 ¡ Transfer ¡α ¡or ¡α* ¡to ¡S,X ¡ ‘α*’ ¡in ¡A[S0,X] ¡ Store ¡α ¡or ¡α* ¡in ¡A[S,X] ¡ R2 ¡ Grant ¡α ¡or ¡α* ¡to ¡S,X ¡ ‘owner’ ¡in ¡A[S0,X] ¡ Store ¡α ¡or ¡α* ¡in ¡A[S,X] ¡ R3 ¡ Delete ¡α ¡from ¡S,X ¡ ‘control’ ¡in ¡A[S0,S] ¡ Delete ¡α ¡from ¡A[S,X] ¡ or ¡ ¡ ‘owner’ ¡in ¡A[S0,X] ¡ R4 ¡ w ¡<-­‑ ¡read ¡S,X ¡ ‘control’ ¡in ¡A[S0,S] ¡ Copy ¡A[S,X] ¡into ¡w ¡ or ¡ ¡ ‘owner’ ¡in ¡A[S0,X] ¡ R5 ¡ Create ¡object ¡X ¡ None ¡ Add ¡column ¡for ¡X ¡to ¡A; ¡ store ¡‘owner’ ¡in ¡A[S0,X] ¡ R6 ¡ Destroy ¡object ¡X ¡ ‘owner’ ¡in ¡A[S0,X] ¡ Delete ¡column ¡X ¡from ¡A ¡ R7 ¡ Create ¡subject ¡S ¡ None ¡ Add ¡row ¡for ¡S ¡to ¡A; ¡ execute ¡create ¡object ¡S; ¡ store ¡‘control’ ¡in ¡A[S,S] ¡ R8 ¡ Destroy ¡subject ¡S ¡ ‘owner’ ¡in ¡A[S0,S] ¡ Delete ¡row ¡for ¡S ¡from ¡A; ¡ execute ¡destroy ¡object ¡S ¡

  14. Actually ¡Implemen=ng ¡Access ¡Matrix ¡ • Slice ¡by ¡column ¡ – Access ¡control ¡list ¡ – Used ¡by ¡Mul=cs ¡and ¡most ¡modern ¡OS ¡ • Slice ¡by ¡row ¡ – Capability ¡list ¡ – Many ¡implementa=ons ¡in ¡the ¡‘80’s ¡ ¡ – OYen ¡associated ¡with ¡object-­‑oriented ¡systems ¡

  15. Slice ¡and ¡Dice ¡File ¡example ¡

  16. Unix ¡Access ¡Control ¡ • Three ¡permission ¡octets ¡associated ¡with ¡each ¡ file ¡and ¡directory ¡ – Owner, ¡group, ¡and ¡other ¡ ¡ – Read, ¡write, ¡execute ¡ • For ¡each ¡file/directory ¡ – Can ¡specify ¡RWX ¡permissions ¡for ¡one ¡owner, ¡one ¡ group, ¡and ¡one ¡other ¡ 9/29/2010 ¡ Computer ¡Security ¡I ¡ 16 ¡

  17. Windows ¡ACL ¡ 9/29/2010 ¡ Computer ¡Security ¡I ¡ 17 ¡

  18. Windows ¡ACL ¡ • Actually ¡two ¡ACL's ¡per ¡file ¡ – System ¡ACL ¡(SACL) ¡– ¡controls ¡audi=ng ¡and ¡now ¡ integrity ¡controls ¡ – Discre=onary ¡ACL ¡(DACL) ¡– ¡controls ¡object ¡ access ¡ • Windows ¡ACLs ¡apply ¡to ¡all ¡named ¡objects ¡ – Files ¡ – Pipes ¡ – Events ¡ 9/29/2010 ¡ Computer ¡Security ¡I ¡ 18 ¡

  19. ACL ¡Dis=nc=ons ¡ • What ¡subjects ¡can ¡modify ¡an ¡object's ¡ACL? ¡ • If ¡there ¡is ¡a ¡privileged ¡user, ¡do ¡the ¡ACLs ¡apply ¡ to ¡that ¡user? ¡ • Does ¡the ¡ACL ¡support ¡groups ¡or ¡wildcards? ¡ • How ¡are ¡contradictory ¡access ¡control ¡ permissions ¡handled? ¡ • If ¡a ¡default ¡permission ¡is ¡allowed, ¡do ¡the ¡ACL ¡ permissions ¡modify ¡it, ¡or ¡is ¡the ¡default ¡only ¡ used ¡when ¡the ¡subject ¡is ¡not ¡men=oned ¡in ¡the ¡ ACL? ¡ 9/29/2010 ¡ Computer ¡Security ¡I ¡ 19 ¡

  20. ACL ¡Scaling ¡ • Groups ¡of ¡users ¡ • Role ¡Base ¡Access ¡Control ¡ – Users ¡can ¡take ¡on ¡role ¡at ¡a ¡=me ¡ • Directory ¡inheritance ¡ • Nega=ve ¡rights ¡ 9/29/2010 ¡ Computer ¡Security ¡I ¡ 20 ¡

  21. Revoking ¡rights ¡with ¡ACLs ¡ • Revoking ¡rights ¡for ¡subject ¡ s ¡to ¡a ¡par=cular ¡ object ¡ o ¡straighqorward ¡ – Remove ¡ s ¡from ¡ ¡ACL( o ) ¡ – Make ¡sure ¡ s ¡has ¡a ¡nega=ve ¡entry ¡in ¡the ¡ACL( o ) ¡ • Example: ¡Alice ¡removes ¡all ¡of ¡Bob's ¡rights ¡to ¡ file ¡f ¡ – What ¡if ¡Bob ¡had ¡given ¡Carol ¡read ¡rights ¡to ¡f? ¡ – Should ¡Carol ¡s=ll ¡have ¡those ¡rights? ¡ 9/29/2010 ¡ Computer ¡Security ¡I ¡ 21 ¡

  22. Capabili=es ¡ • Where ¡are ¡access ¡rights ¡stored ¡ – ACL: ¡Each ¡resource ¡(file) ¡has ¡an ¡access ¡list ¡ – Capabili=es: ¡Each ¡process ¡has ¡a ¡capability ¡list ¡(C-­‑list) ¡ • Note: ¡In ¡capabili=es, ¡subjects ¡are ¡processes ¡ ¡ – In ¡ACLs, ¡subjects ¡are ¡users ¡(why?) ¡ • Capabili=es ¡act ¡as ¡a ¡=cket ¡ – Possession ¡of ¡capability ¡implies ¡access ¡rights ¡ • Tickets ¡must ¡be ¡unforgeable ¡ – Otherwise ¡access ¡control ¡fails ¡ 22 ¡

  23. Implementa=on ¡ • Tags ¡/ ¡descriptors ¡ • Cryptographic ¡=ckets ¡ • Type ¡system ¡ 23 ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Access Control Access Control 1 Access Control Access control : ensures that all direct

Access Control Access Control 1 Access Control Access control : ensures that all direct

Access Control Access Control 1 Access Control Access control : ensures that all direct accesses to object are authorized a scheme for mapping users to allowed actions Protection objects : system resources for which protection is

576 views • 21 slides
Access Control and Protection Overview Access control: What and Why Abstract Models of

Access Control and Protection Overview Access control: What and Why Abstract Models of

Access Control and Protection Overview Access control: What and Why Abstract Models of Access Control Discretionary acces control Mandatory access control Real systems: Unix Access Control Model Access control Access

817 views • 47 slides
Access Control Jackson Argo Rackspace MO After-hours April 28, 2016 What is Access Control?

Access Control Jackson Argo Rackspace MO After-hours April 28, 2016 What is Access Control?

Access Control Jackson Argo Rackspace MO After-hours April 28, 2016 What is Access Control? How Is Access Determined? Who Determines Access? Forms of Access Control SELinux Booleans iptables File Access Control Lists Apache Access Control

711 views • 36 slides
1 General Access Control General Access Control Control of access to memory relatively easy:

1 General Access Control General Access Control Control of access to memory relatively easy:

Role of Access Control Before closing back doors we need to close front doors Access control: determines access to files &amp; processes in OS Fall 2008 We will return to these themes throughout the course Fall 2008 CS

512 views • 6 slides
SYSTEM DIAGRAMS Door Entry &amp; Access Control ACCESS CONTROL ACCESS CONTROL Allowing

SYSTEM DIAGRAMS Door Entry &amp; Access Control ACCESS CONTROL ACCESS CONTROL Allowing

SYSTEM DIAGRAMS Door Entry &amp; Access Control ACCESS CONTROL ACCESS CONTROL Allowing residents / staff access to site areas Main entrance Vehicle entrances Pedestrian entrances Gate / Barrier entrance Bin / Bike / Refuge

336 views • 14 slides
Overview Basic Principles Access Control Methodologies Controls Access Control Designs

Overview Basic Principles Access Control Methodologies Controls Access Control Designs

Overview Basic Principles Access Control Methodologies Controls Access Control Designs Access Control Administration Accountability Chapter 2 Access Control Models Identification and Authentication Methods Lecturer:

708 views • 9 slides
Outline Unix-style access control, contd CSci 5271 Multilevel and mandatory access control

Outline Unix-style access control, contd CSci 5271 Multilevel and mandatory access control

Outline Unix-style access control, contd CSci 5271 Multilevel and mandatory access control Introduction to Computer Security Access control, contd Announcements intermission Stephen McCamant Capability-based access control University

380 views • 7 slides
D2: Access Control #2: Access cess Contr trol ol Similar to OWASP Top 10 Insufficient

D2: Access Control #2: Access cess Contr trol ol Similar to OWASP Top 10 Insufficient

D2: Access Control #2: Access cess Contr trol ol Similar to OWASP Top 10 Insufficient access control and authentication checks Insecure access control methods Private, internal functions and data are accessible through a

547 views • 11 slides
Smart.Net-IP NETWORKED ACCESS CONTROL Smart.Net-IP NETWORKED ACCESS CONTROL Smart.Net-IP is a

Smart.Net-IP NETWORKED ACCESS CONTROL Smart.Net-IP NETWORKED ACCESS CONTROL Smart.Net-IP is a

Smart.Net-IP NETWORKED ACCESS CONTROL Smart.Net-IP NETWORKED ACCESS CONTROL Smart.Net-IP is a simple, modular approach to networked access control with scalability in mind. Easy management from a central location PC from anywhere with an

196 views • 9 slides
Access Control Chester Rebeiro Indian Institute of Technology Madras Access Control (the tao of

Access Control Chester Rebeiro Indian Institute of Technology Madras Access Control (the tao of

Access Control Chester Rebeiro Indian Institute of Technology Madras Access Control (the tao of achieving confiden5ality and integrity) Who can access What Objects : Subjects : Files/ Programs/ Sockets/ User/ process/ applica5on Hardware/

985 views • 46 slides
Outline Basics of access control Unix-style access control CSci 5271 Introduction to Computer

Outline Basics of access control Unix-style access control CSci 5271 Introduction to Computer

Outline Basics of access control Unix-style access control CSci 5271 Introduction to Computer Security Announcements intermission Day 10: OS security: access control Multilevel and mandatory access control Stephen McCamant University of

324 views • 10 slides
Access Control Chester Rebeiro Indian Institute of Technology Madras Access Control (the tao of

Access Control Chester Rebeiro Indian Institute of Technology Madras Access Control (the tao of

Access Control Chester Rebeiro Indian Institute of Technology Madras Access Control (the tao of achieving confidentiality and integrity) Who can access What Objects : Subjects : Files/ Programs/ Sockets/ User/ process/ application

1.31k views • 50 slides
Access Control Mechanisms Week 6 1 CEN-5079: 7.March.2019 Why Access Control Following

Access Control Mechanisms Week 6 1 CEN-5079: 7.March.2019 Why Access Control Following

Access Control Mechanisms Week 6 1 CEN-5079: 7.March.2019 Why Access Control Following authentication, we need to decide what the subject can access 1 Read F 1 OK 2 Bob Write to F Alice 2 F NO ! 3 Execute G G 3 OK

596 views • 56 slides
Insecure Direct Object Reference IDOR ( Broken Access Control ) IDOR ( Broken Access Control ) ~#

Insecure Direct Object Reference IDOR ( Broken Access Control ) IDOR ( Broken Access Control ) ~#

Insecure Direct Object Reference IDOR ( Broken Access Control ) IDOR ( Broken Access Control ) ~# whoami Eric Biako Bsc. IT, CEH v9 Information security officer @ E-connecta Moderator @ https://legalhackmen.com IDOR ( Broken Access Control )

517 views • 12 slides
Access Control SecAppDev 2016 Maarten Decat maarten.decat@kuleuven.be @maartendecat What is

Access Control SecAppDev 2016 Maarten Decat maarten.decat@kuleuven.be @maartendecat What is

Access Control SecAppDev 2016 Maarten Decat maarten.decat@kuleuven.be @maartendecat What is access control? Access control is the part of security that constrains the actions that are performed in a system based on access control rules .

1.4k views • 113 slides
1 Types of Power-Saving MACs The Sensor MAC (S-MAC) Three distinct classes of power-saving

1 Types of Power-Saving MACs The Sensor MAC (S-MAC) Three distinct classes of power-saving

What Is Media Access Control? Media Access Control (MAC) determines who gets access to the shared medium, and when Media Access Control In wired settings, usually just tries to avoid Greg Hackmann contention In wireless settings, can

399 views • 7 slides
Security Concepts (cont) Deian Stefan Slides adopted from Kirill Levchenko and Stefan Savage

Security Concepts (cont) Deian Stefan Slides adopted from Kirill Levchenko and Stefan Savage

CSE 127: Computer Security Security Concepts (cont) Deian Stefan Slides adopted from Kirill Levchenko and Stefan Savage Incentives and Deterrents Attackers equation: (expected gain) &gt; (cost of attack) Defenders equation:

301 views • 28 slides
Security (2) Summer 2016 Cornell University 1 Today Access control DAC MAC 2

Security (2) Summer 2016 Cornell University 1 Today Access control DAC MAC 2

CS 4410 Operating Systems Security (2) Summer 2016 Cornell University 1 Today Access control DAC MAC 2 Access control Confidentiality and integrity are often enforced using access control. Predefined operations are the

649 views • 17 slides
CSE543 - Introduction to Computer and Network Security Module: Access Control Professor Trent

CSE543 - Introduction to Computer and Network Security Module: Access Control Professor Trent

806 views • 33 slides
CS-527 Software Security Basic Security Principles Asst. Prof. Mathias Payer Department of

CS-527 Software Security Basic Security Principles Asst. Prof. Mathias Payer Department of

CS-527 Software Security Basic Security Principles Asst. Prof. Mathias Payer Department of Computer Science Purdue University TA: Kyriakos Ispoglou https://nebelwelt.net/teaching/17-527-SoftSec/ Spring 2017 Security goals Table of Contents

794 views • 26 slides
access control 1 last time two phase commit and delayed messages simplifjcations in assignment

access control 1 last time two phase commit and delayed messages simplifjcations in assignment

access control 1 last time two phase commit and delayed messages simplifjcations in assignment quorum consensus: not requiring unanimity goal: use nodes for redundancy, but keep them consistent keep operating when suffjciently many nodes are

1k views • 62 slides
Network Verification Using Atomic Network Verification Using Atomic Predicates Predicates Ne

Network Verification Using Atomic Network Verification Using Atomic Predicates Predicates Ne

Network Verification Using Atomic Network Verification Using Atomic Predicates Predicates Ne two rk Ve rific atio n U sing Ato mic Pre dic ate s (S. S. L am) 1 3/ 28/ 2017 Difficulty in Managing Large Networks Difficulty in Managing Large

760 views • 44 slides
Access Control Cunsheng Ding HKUST, Hong Kong, CHINA C. Ding - COMP4631 - L17 1 Agenda of this

Access Control Cunsheng Ding HKUST, Hong Kong, CHINA C. Ding - COMP4631 - L17 1 Agenda of this

Access Control Cunsheng Ding HKUST, Hong Kong, CHINA C. Ding - COMP4631 - L17 1 Agenda of this Lecture The basic concepts of access control, ACLs, capabilities, etc. Two approaches to access control Further reading C. Ding -

784 views • 35 slides
SDSI -- A S imple D istributed S ecurity I nfrastructure by Ronald L. Rivest MIT Lab for Computer

SDSI -- A S imple D istributed S ecurity I nfrastructure by Ronald L. Rivest MIT Lab for Computer

SDSI -- A S imple D istributed S ecurity I nfrastructure by Ronald L. Rivest MIT Lab for Computer Science (joint work with Butler Lampson) Outline Context and history Motivation and goals SDSI: syntax public keys (principals)

717 views • 32 slides

More recommend