訪問控制試講

1、 3130802002 邵丹訪問控制技術(shù)訪問控制模型訪問控制策略訪問控制的實現(xiàn)訪問控制與審計訪問控制模型v相關(guān)概念v自主訪問控制模型（DAC Model）v強制訪問控制模型（MAC Model）v基于角色的訪問控制模型（RBAC Model）訪問控制模型相關(guān)概念 訪問控制定義 是指主體依據(jù)某些控制策略或權(quán)限對客體本身或是其資源進行的不同授權(quán)的訪問。訪問控制包括3個要素，即主體、客體和授權(quán)?？腕w（Object）：規(guī)定需要保護的資源，又稱作目標。主體（Subject）：或稱為發(fā)起者(Initiator)，是一個主動的實體，規(guī)定可以訪問該資源的實體，（通常指用戶或代表用戶執(zhí)行的程序）。授權(quán)（Auth

2、orization)：規(guī)定可對該資源執(zhí)行的動作（例如讀、寫、執(zhí)行或拒絕訪問）。 一個主體為了完成任務(wù)，可以創(chuàng)建另外的主體，這些子主體可以在網(wǎng)絡(luò)上不同的計算機上運行，并由父主體控制它們。 主客體的關(guān)系是相對的。訪問控制模型相關(guān)概念 訪問控制三個過程 訪問控制的實現(xiàn)首先要對合法用戶進行驗證，然后是對控制策略的選用與管理，最后是要對非法用戶或是越權(quán)操作進行審計。所以，訪問控制包括認證、授權(quán)和審計。1、通過“認證（authentication）”來檢驗主體的合法身份。2、通過“授權(quán)（authorization）”來限制用戶對資源的訪問級別。3、“審計”審計的重要意義在于，比如客體的管理者即管理員有操作

3、賦予權(quán)，他有可能濫用這一權(quán)力，這是無法在授權(quán)中加以約束的，故必須對這些行為進行記錄，從而達到威懾和保證訪問控制正常實現(xiàn)的目的。訪問控制模型相關(guān)概念 訪問控制作用v訪問控制對機密性、完整性起直接的作用。v對于可用性，訪問控制通過對以下信息的有效控制來實現(xiàn)：（1）誰可以頒發(fā)影響網(wǎng)絡(luò)可用性的網(wǎng)絡(luò)管理指令；（2）誰能夠濫用資源以達到占用資源的目的；（3）誰能夠獲得可以用于拒絕服務(wù)攻擊的信息；訪問控制模型DAC Modelv自主訪問控制（任意訪問控制）：是根據(jù)自主訪問控制策略建立的一種模型，允許合法用戶以用戶或用戶組的身份訪問策略規(guī)定的客體，同時阻止非授權(quán)用戶訪問客體，某些用戶還可以自主的把自己所擁有的

4、客體的訪問權(quán)限授予其他用戶。 在實現(xiàn)上首先要對用戶的身份進行鑒別，然后就可以按照訪問控制列表所賦予用戶的權(quán)限，允許和限制用戶使用客體的資源。主體控制權(quán)限的修改通常由特權(quán)用戶（管理員）或是特權(quán)用戶組實現(xiàn)。v自主：指具有授與某種訪問權(quán)力的主體能夠自己決定是否將訪問權(quán)限授予其他的主體。安全操作系統(tǒng)需要具備的特征之一就是自主訪問控制，它基于對主體或主體所屬的主體組的識別來限制對客體的存取。v客體：文件，郵箱、通信信道、終端設(shè)備等訪問控制模型MAC Model 在DAC訪問控制中，用戶和客體資源都被賦予一定的安全級別，用戶不能改變自身和客體的安全級別，只有管理員才能夠確定用戶和組的訪問權(quán)限。 MAC是一

5、種多級訪問控制策略，它的主要特點是系統(tǒng)對訪問主體和受控對象實行強制性訪問控制。所有主體（用戶，進程）和客體（文件，數(shù)據(jù)）都被指定了安全標簽，安全標簽標識一個安全等級，不同級別的主體對不同級別的客體的訪問是在強制的安全策略下實現(xiàn)的。v主體(用戶, 進程) 被分配一個安全等級v客體(文件, 數(shù)據(jù)) 也被分配一個安全等級v訪問控制執(zhí)行時對主體和客體的安全級別進行比較訪問控制模型MAC Model例如：絕密級（TS）、機密級（S）、秘密級（C）和無秘級（U）。其級別為T，實現(xiàn)四種訪問控制讀寫關(guān)系：下讀(read down)：主體安全級別高于客體信息資源的安全級別時允許查閱的讀操作；上寫(Write u

6、p)：主體安全級別低于客體信息資源的安全級別時允許執(zhí)行的動作或是寫操作；上讀(read up)：上讀(read up)：主體安全級別低于客體信息資源的安全級別時允許的讀操作；下寫(Write down)：主體安全級別高于客體信息資源的安全級別時允許的動作或是寫操作；訪問控制模型MAC ModelMAC模型中的兩種主要模型1 Bell-LaPadula模型（下讀/上寫）v典型的信息保密性多級安全模型，主要用于軍事系統(tǒng)。v是處理多級安全信息系統(tǒng)的設(shè)計基礎(chǔ)，客體在處理絕密級數(shù)據(jù)和秘密級數(shù)據(jù)時，要防止處理絕密級數(shù)據(jù)的程序把信息泄漏給處理秘密級數(shù)據(jù)的程序。v偏序關(guān)系可以表示為：(主體客體分屬不同安全級別

7、時，用SC表示它們構(gòu)成的一個偏序關(guān)系)（1）read down，當且僅當SC(S)=SC(O),允許讀操作；（2）write up，當且僅當SC(S)=SC(O),允許寫操作v控制原則：無向上讀；無向下寫。保證數(shù)據(jù)機密性。v忽略了完整性的重要安全指標，使非法、越權(quán)篡改成為可能。訪問控制模型MAC ModelMAC模型中的兩種主要模型2 Biba模型（上讀/下寫）v模仿BLP模型的信息保密級別，定義了信息完整性級別。v禁止向上寫，這樣使得完整性級別高的文件一定是右完整性高的進程所產(chǎn)生的，從而保證了完整性級別高的文件不會被完整性低的文件或者完整性低的進程中的信息所覆蓋。vBiba模型沒有下讀，其偏

8、序關(guān)系可以表示為：（1）read up，當且僅當SC(S)=SC(O),允許寫操作。訪問控制模型MAC Model自主訪問控制和強制訪問控制 自主訪問控制較弱，而強制訪問控制有太強，會給用戶帶來許多不便。因此，實際應(yīng)用中，往往將自主訪問控制和強制訪問控制結(jié)合在一起使用。自主訪問控制作為基礎(chǔ)的、常用的控制手段；強制訪問控制作為增強的、更加嚴格的控制手段。 訪問控制模型RBAC Model在傳統(tǒng)的訪問控制中，主體始終是和特定的實體捆綁對應(yīng)的。例如，用戶以固定的用戶名注冊，系統(tǒng)分配一定的權(quán)限，該用戶將始終以該用戶名訪問系統(tǒng)，直至銷戶。其間，用戶的權(quán)限可以變更，但必須在系統(tǒng)管理員的授權(quán)下才能進行。然而

9、在現(xiàn)實社會中，這種訪問控制方式表現(xiàn)出很多弱點，不能滿足實際需要。主要問題在于：（1）同一用戶在不同的場合需要以不同的權(quán)限訪問系統(tǒng)，按傳統(tǒng)的做法，變更權(quán)限必須經(jīng)系統(tǒng)管理員授權(quán)修改，因此很不方便。（2）當用戶大量增加時，按傳統(tǒng)方法為每一用戶分配一個賬號，工作量大，容易出錯。（3）傳統(tǒng)方式不容易實現(xiàn)層次化管理。訪問控制模型RBAC Model角色的定義v與一個特定活動相關(guān)聯(lián)的一組動作和責任。v一個主體可以同時擔任多個角色，他的權(quán)限就是多個角色權(quán)限的總和。v基于角色的訪問控制就是通過各種角色的不同搭配授權(quán)來盡可能實現(xiàn)主體的最小權(quán)限（最小權(quán)限指主體在能夠完成所有必須的訪問工作基礎(chǔ)上的最小權(quán)限）v角色與組

10、的區(qū)別 組：一組用戶的集合 角色：一組用戶的集合+ 一組操作權(quán)限的集合。訪問控制模型RBAC Model2.RBAC模型的基本思想 將訪問許可權(quán)分配給一定的角色，用戶通過飾演不同的角色獲得角色所擁有的訪問許可權(quán)。這是因為在很多實際應(yīng)用中，用戶并不是可以訪問的客體信息資源的所有者（這些信息屬于企業(yè)或公司），這樣的話，訪問控制應(yīng)該基于員工的職務(wù)而不是基于員工在哪個組或是誰信息的所有者，即訪問控制是由各個用戶在部門中所擔任的角色來確定的。訪問控制模型RBAC Model2.RBAC模型的基本思想RBAC從控制主體的角度出發(fā)，根據(jù)管理中相對穩(wěn)定的職權(quán)和責任來劃分角色，將訪問權(quán)限與角色相聯(lián)系，這點與傳統(tǒng)

11、的MAC和DAC將權(quán)限直接授予用戶的方式不同；通過給用戶分配合適的角色，讓用戶與訪問權(quán)限相聯(lián)系。角色就充當著主體（用戶）和客體之間的關(guān)聯(lián)的橋梁。用戶角色客體操作許可許可訪問控制模型RBAC Model3.RBAC根本特征v 依據(jù)RBAC策略，系統(tǒng)定義了各種角色，每種角色可以完成一定的職能，不同的用戶根據(jù)其職能和責任被賦予相應(yīng)的角色，一旦某個用戶成為某角色的成員，則此用戶可以完成該角色所具有的職能。v只有系統(tǒng)管理員有權(quán)定義和分配角色。v用戶與客體無直接聯(lián)系，他只有通過角色才享有該角色所對應(yīng)的權(quán)限，從而訪問相應(yīng)的客體。vRBAC與DAC的根本區(qū)別：用戶不能自主的將訪問權(quán)限授予別的用戶；vRBAC與

12、MAC的根本區(qū)別：MAC是基于多級安全需求的，而RBAC不是。訪問控制策略v基于身份的安全策略l 基于個人的策略 l 基于組的策略v基于規(guī)則的安全策略訪問控制策略-IDBACP基于身份的安全策略（Identification-based Access Control Policies）的目的是過濾對數(shù)據(jù)或資源的訪問，只有通過認證的那些主體才有可能正常使用客體的資源。它包括基于個人的策略和基于組的策略。1.基于個人的策略（Individual-based Access Control Policies）是指以用戶為中心建立的一種策略，這些策略由一些列表組成，這些列表限定了針對特定的客體，哪些用戶

13、可以實現(xiàn)何種策略的操作行為。訪問控制的實現(xiàn)-IDBACP2.基于組的策略（Group-based Access Control Policies）是基于個人的策略的擴充，指一些用戶被允許使用同樣的訪問控制規(guī)則訪問同樣的客體。訪問控制的實現(xiàn)-IDBACP2.基于組的策略（Group-based Access Control Policies）實際使用時 先定義組的成員 對用戶組授權(quán) 同一個組可以被重復(fù)使用 組的成員可以改變基于組的策略在表示和實現(xiàn)上更容易和更有效?；谏矸莸陌踩呗杂袃煞N基本的實現(xiàn)方法：能力表和訪問控制列表。訪問控制的實現(xiàn)-RBACP基于規(guī)則的安全策略：在一個安全系統(tǒng)中，數(shù)據(jù)或資

14、源應(yīng)該標注安全標記，代表用戶進行活動的進程可以得到與其原發(fā)者相應(yīng)的安全標記。實現(xiàn)上，由系統(tǒng)通過比較用戶的安全級別和客體資源的安全級別來判斷是否允許用戶進行訪問。訪問控制的實現(xiàn)-實現(xiàn)機制實現(xiàn)訪問的控制不僅要保證授權(quán)用戶使用的權(quán)限與其所擁有的權(quán)限對應(yīng)，制止非授權(quán)用戶的非授權(quán)行為，還要保證敏感信息的交叉感染。訪問控制的實現(xiàn)可由訪問控制表ACL和訪問能力表CL實現(xiàn).訪問控制的實現(xiàn)-ACL訪問控制表（Access Control Lists）是以文件為中心建立的訪問權(quán)限表，是一種基于列的訪問控制，它在一個客體上附加一個主體的明細表，表示各個主體對這個客體的訪問權(quán)限。其優(yōu)點在于實現(xiàn)簡單，任何得到授權(quán)的主體

15、都可以有一個訪問表。是實現(xiàn)自主訪問控制比較好的方式。缺點：占用過多的存儲空間，訪問效率下降。解決辦法：可通過分組或使用通配符實現(xiàn)。訪問控制的實現(xiàn)-CL 訪問能力表（Access Capabilities List） CL是一種基于行的自主訪問控制.能力是為主體提供的、對客體具有特定訪問權(quán)限的不可偽造的標志，它決定主體是否可以訪問客體以及以什么方式訪問客體。主體可以將能力轉(zhuǎn)移給自己工作的進程，在進程運行期間，還可以添加或者修改能力。能力的轉(zhuǎn)移不受任何策略的限制，所以對對于一個特定的客體，不能確定所有有權(quán)訪問他的主體。每個主體都附加一個該主體可訪問的客體的明細表。CL是以用戶為中心建立訪問權(quán)限表。訪問控制的實現(xiàn)-ACM訪問控制矩陣（Access Control Matrix）是通過矩陣形式表示訪問控制規(guī)則和授權(quán)用戶權(quán)限的方法；任何訪問控制策略最終均可被模型化為訪問矩陣形式：行對應(yīng)于用戶，列對應(yīng)于目標，每個矩陣元素規(guī)定了相應(yīng)的用戶對應(yīng)于相應(yīng)的目標被準予的訪問許可、實施行為。訪問控制的實現(xiàn)-ACM 按列看是訪問控制表內(nèi)容（ACL) 按行看是訪問能力表內(nèi)容(CL)訪問控制與審計-概述審計是對訪問控制的必要補充，是訪問控制的重要內(nèi)容。審計會對用戶使用