存取訪問(wèn)控制精品課件

1、存取訪問(wèn)控制第1頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二目錄4.1 訪問(wèn)控制概述4.2 訪問(wèn)控制策略第2頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二4.1 訪問(wèn)控制概述1、基本概念 （1）訪問(wèn)控制 Access Control 對(duì)系統(tǒng)中的用戶、程序、進(jìn)程或計(jì)算機(jī)網(wǎng)絡(luò)中其他系統(tǒng)訪問(wèn)本系統(tǒng)資源進(jìn)行限制、控制的過(guò)程。 主體對(duì)客體的訪問(wèn)受到控制，是一種加強(qiáng)授權(quán)的方法。 是針對(duì)越權(quán)使用資源的防御措施 口令認(rèn)證不能取代訪問(wèn)控制 。 原始概念 : 是對(duì)進(jìn)入系統(tǒng)的控制 (用戶標(biāo)識(shí)+口令/生物特性/訪問(wèn)卡) 第3頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二（2）訪問(wèn)控制機(jī)

2、制 在信息系統(tǒng)中，為檢測(cè)和防止未授權(quán)訪問(wèn)，以及為使授權(quán)訪問(wèn)正確進(jìn)行所設(shè)計(jì)的硬件或軟件功能、操作規(guī)程、管理規(guī)程和它們的各種組合。 （3）授權(quán)：資源所有者對(duì)他人使用資源的許可。（4）資源：信息、處理器、通信設(shè)施、物理設(shè)備。 訪問(wèn)一種資源就是從這個(gè)資源中獲得信息、修改資源或利用它完成某種功能。第4頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二（5）主體（subject）：訪問(wèn)的發(fā)起者 發(fā)起者是試圖訪問(wèn)某個(gè)目標(biāo)的用戶或者是用戶行為的代理。必須控制它對(duì)客體的訪問(wèn)。 主體通常為進(jìn)程，程序或用戶。（6）客體（目標(biāo)）： 可供訪問(wèn)的各種軟硬件資源。（7）敏感標(biāo)簽 sensitivity label 表

3、示客體安全級(jí)別并描述客體數(shù)據(jù)敏感性的一組信息，TCSEC中把敏感標(biāo)記作為強(qiáng)制訪問(wèn)控制決策的依據(jù)。第5頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二2、阻止非授權(quán)用戶訪問(wèn)目標(biāo)的方法 （1）訪問(wèn)請(qǐng)求過(guò)濾器： 當(dāng)一個(gè)發(fā)起者試圖訪問(wèn)一個(gè)目標(biāo)時(shí)，審查其是否獲準(zhǔn)以請(qǐng)求的方式訪問(wèn)目標(biāo)； （2）分離 防止非授權(quán)用戶有機(jī)會(huì)去訪問(wèn)敏感的目標(biāo)。 這兩種方法涉及： 訪問(wèn)控制機(jī)制和訪問(wèn)控制策略。第6頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二 3、訪問(wèn)控制策略 系統(tǒng)中存取文件或訪問(wèn)信息的一整套嚴(yán)密安全的規(guī)則。 通過(guò)不同方式建立： OS固有的 管理員或用戶制定的。 4、訪問(wèn)控制機(jī)構(gòu) 具體實(shí)施訪問(wèn)策略

4、的所有功能的集合，這些功能可通過(guò)系統(tǒng)的軟硬件實(shí)現(xiàn)第7頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二5、訪問(wèn)控制經(jīng)典模型第8頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二該模型的特點(diǎn)： （1）明確定義的主體和客體； （2）描述主體如何訪問(wèn)客體的一個(gè)授權(quán)數(shù)據(jù)庫(kù)； （3）約束主體對(duì)客體訪問(wèn)嘗試的參考監(jiān)視器； （4）識(shí)別和驗(yàn)證主體和客體的可信子系統(tǒng)； （5）審計(jì)參考監(jiān)視器活動(dòng)的可信子系統(tǒng)。 第9頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二6、各種安全機(jī)制的關(guān)系第10頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二自主訪問(wèn)控制強(qiáng)制訪問(wèn)控制基于角色訪問(wèn)控制訪問(wèn)控制8

5、.2 訪問(wèn)控制策略第11頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二8.2.1 訪問(wèn)控制策略分類8.2.2 自主訪問(wèn)控制策略8.2.3 強(qiáng)制訪問(wèn)控制策略8.2.4 基于角色的訪問(wèn)控制策略 8.2 訪問(wèn)控制策略第12頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二8.2.1 訪問(wèn)控制策略分類1、訪問(wèn)控制策略可分為 （1）自主式策略DAC （2）強(qiáng)制式策略MAC （3）基于角色的訪問(wèn)控制RBAC自主訪問(wèn)控制強(qiáng)制訪問(wèn)控制基于角色訪問(wèn)控制訪問(wèn)控制第13頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二2、任何訪問(wèn)控制策略最終可被模型化為訪問(wèn)矩陣形式。 每一行：用戶 每一列：目

6、標(biāo) 矩陣元素：相應(yīng)的用戶對(duì)目標(biāo)的訪問(wèn)許可。第14頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二1、DAC(Discretionary Access Control )的基本思想 DAC是在確認(rèn)主體身份及所屬組的基礎(chǔ)上，根據(jù)訪問(wèn)者的身份和授權(quán)來(lái)決定訪問(wèn)模式，對(duì)訪問(wèn)進(jìn)行限定的一種控制策略 2、自主的含義 所謂自主，是指具有授予某種訪問(wèn)權(quán)力的主體(用戶)能夠自己決定是否將訪問(wèn)控制權(quán)限的某個(gè)子集授予其他的主體或從其他主體那里收回他所授予的訪問(wèn)權(quán)限 8.2.2 自主訪問(wèn)控制策略DAC第15頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二3、實(shí)現(xiàn)方式 （1）基于個(gè)人的策略 隱含的缺省策略

7、 ： 禁止/開(kāi)放 最小特權(quán)原則：最大限度地控制用戶為完成授權(quán)任務(wù)所需要的許可集。 （2）基于組的策略 多個(gè)用戶被組織在一起并賦予一個(gè)共同的標(biāo)識(shí)符。 更容易、更有效。 第16頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二4、技術(shù)方法 （1）訪問(wèn)控制矩陣客體主體O1 O2 O3S14 3 0S2 2 1 4S3 1 4 2注：0代表不能進(jìn)行任何訪問(wèn) 1代表執(zhí)行，2代表讀，3代表寫(xiě)，4代表?yè)碛械?7頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二目錄級(jí)、文件的訪問(wèn)權(quán)限 對(duì)目錄和文件的訪問(wèn)權(quán)限一般有八種： 系統(tǒng)管理員權(quán)限（Supervisor） 讀權(quán)限（Read）、寫(xiě)權(quán)限（Write

8、） 創(chuàng)建權(quán)限（Create）、 刪除權(quán)限（Erase） 修改權(quán)限（Modify） 文件查找權(quán)限（File Scan） 存取控制權(quán)限（Access Control）。 第18頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二第19頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二(2) 訪問(wèn)控制列表（ACL） 每個(gè)客體各自將能對(duì)自己訪問(wèn)的主體信息以列表的形式保存起來(lái)，這相當(dāng)于是訪問(wèn)控制矩陣?yán)锏母鱾€(gè)列向量 優(yōu)點(diǎn)： （1）沒(méi)有一個(gè)中心點(diǎn)保存所有的訪問(wèn)信息，提高了執(zhí)行效率； （2）通過(guò)將不同的主體劃分不同的組，減少了訪問(wèn)信息的數(shù)量。 缺點(diǎn)： 但若對(duì)主體進(jìn)行查找、增加和撤銷某些訪問(wèn)權(quán)限時(shí)，操

9、作上費(fèi)時(shí)費(fèi)力，因?yàn)榇藭r(shí)必須遍歷所有的ACL。 第20頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二（3）能力 能力表示的是一個(gè)主體對(duì)一個(gè)客體的訪問(wèn)權(quán)力，它以主體為索引，將主體對(duì)每個(gè)客體的訪問(wèn)權(quán)限以列表的形式保存起來(lái)，這相當(dāng)于是訪問(wèn)控制矩陣中的各個(gè)行向量。 它的優(yōu)缺點(diǎn)與ACL的相反。第21頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二5、DAC的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：自主性提供了極大的靈活性，從而使之適合于許多系統(tǒng)和應(yīng)用缺點(diǎn)： （1）權(quán)限管理易于失控 DAC的這種自主性，使得信息總是可以從一個(gè)實(shí)體流向另一個(gè)實(shí)體，即使對(duì)高度機(jī)密的信息也是如此，故若控制不嚴(yán)就會(huì)產(chǎn)生嚴(yán)重安全隱患 例如，用戶

10、A可以將其對(duì)客體O的訪問(wèn)權(quán)限傳遞給用戶B，從而使不具備對(duì)O訪問(wèn)權(quán)限的B也可以訪問(wèn)O，這樣的結(jié)果是易于產(chǎn)生安全漏洞，因此自主訪問(wèn)控制的安全級(jí)別較低。 （2）權(quán)限管理復(fù)雜 由于同一用戶對(duì)不同的客體有不同的存取權(quán)限，不同的用戶對(duì)同一客體有不同的存取權(quán)限，用戶、權(quán)限、客體間的授權(quán)管理復(fù)雜 第22頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二1、MAC(Mandatory Access Control)的基本思想 依據(jù)主體和客體的安全級(jí)別來(lái)決定主體是否有對(duì)客體的訪問(wèn)權(quán) 。 最典型的例子是由Bell and LaPadula提出的BLP模型，該模型基于軍事部門的安全需求為基礎(chǔ)。 2、 安全級(jí)別

11、在BLP模型中，所有的主體和客體都有一個(gè)安全標(biāo)簽，它只能由安全管理員賦值，普通用戶不能改變，這個(gè)安全標(biāo)簽就是安全級(jí)別。8.2.3 強(qiáng)制訪問(wèn)控制策略MAC第23頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二 3、安全級(jí)別的意義 客體的安全級(jí)表現(xiàn)了客體中所含信息的敏感程度 主體的安全級(jí)別則反映了主體對(duì)敏感信息的可信程度 如客體級(jí)別可分為：絕密級(jí)、機(jī)密級(jí)、秘密級(jí)、無(wú)密級(jí) 4、訪問(wèn)控制規(guī)則 用標(biāo)志主體或客體的安全標(biāo)簽 當(dāng)主體訪問(wèn)客體時(shí)，需滿足如下兩條規(guī)則： 讀規(guī)則：如果主體s能夠讀客體o，則(s)(o) 寫(xiě)規(guī)則：如果主體s能夠?qū)懣腕wo，則(s)(o) 主體按照“向下讀，向上寫(xiě)”的原則訪問(wèn)客體

12、 第24頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二第25頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二5、BLP模型的優(yōu)點(diǎn) （1）它使得系統(tǒng)中的信息流成為單向不可逆的 （2）保證了信息流總是由低安全級(jí)別的實(shí)體流向高安全級(jí)別的實(shí)體，因此避免了在自主訪問(wèn)控制中的敏感信息泄漏的情況。 （3）保證了客體的高度安全性6、BLP模型的缺點(diǎn) （1）限制了高安全級(jí)別用戶向非敏感客體寫(xiě)數(shù)據(jù)的合理要求 （2）由高安全級(jí)別的主體擁有的數(shù)據(jù)永遠(yuǎn)不能被低安全級(jí)別的主體訪問(wèn)，降低了系統(tǒng)的可用性。 （3）BLP模型的“向上寫(xiě)”的策略使得低安全級(jí)別的主體篡改敏感數(shù)據(jù)成為可能，破壞了系統(tǒng)的數(shù)據(jù)完整性 （

13、4）MAC由于過(guò)于偏重保密性，對(duì)其它方面如系統(tǒng)連續(xù)工作能力、授權(quán)的可管理性等考慮不足，造成管理不便，靈活性差 第26頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二8.2.4 基于角色的訪問(wèn)控制策略RBAC1、基本思想 在用戶和訪問(wèn)權(quán)限之間引入角色的概念，將用戶和角色聯(lián)系起來(lái)，通過(guò)對(duì)角色的授權(quán)來(lái)控制用戶對(duì)系統(tǒng)資源的訪問(wèn) 角色是訪問(wèn)權(quán)限的集合，用戶通過(guò)賦予不同的角色獲得角色所擁有的訪問(wèn)權(quán)限 第27頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二2、RBAC模型的演變 （1）美國(guó)國(guó)家標(biāo)準(zhǔn)化和技術(shù)委員會(huì)(NIST)的Ferraiolo等人在90年代提出的 （2）RBAC96模型 美國(guó)

14、George Mason大學(xué)信息系統(tǒng)和系統(tǒng)工程系的R.Sandhu等人在對(duì)RBAC進(jìn)行深入研究的基礎(chǔ)上，于1996年提出了一個(gè)基于角色的訪問(wèn)控制參考模型，對(duì)角色訪問(wèn)控制產(chǎn)生了重要影響，被稱為RBAC96模型 （3）RBAC96模型包括4個(gè)不同層次 RBAC0、RBAC1、RBAC2和RBAC3 第28頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二RBAC2RBAC3RBAC0RBAC1 RBAC96模型間的關(guān)系1）基礎(chǔ)模型：RBAC0 定義了支持RBAC的最小需求，如用戶、角色、權(quán)限、會(huì)話等概念。第29頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二2）高級(jí)模型：RBAC1和

15、RBAC2 RBAC1在RBAC0的基礎(chǔ)上，加入了角色繼承關(guān)系，可以根據(jù)組織內(nèi)部權(quán)力和責(zé)任的結(jié)構(gòu)來(lái)構(gòu)造角色與角色之間的層次關(guān)系； RBAC2在RBAC0的基礎(chǔ)上，加入了各種用戶與角色之間、權(quán)限與角色之間以及角色與角色之間的約束關(guān)系，如角色互斥、角色最大成員數(shù)等。 RBAC1和 RBAC2之間不具有可比性。3）鞏固模型：RBAC3 RBAC2是RBAC1和 RBAC2的集成，它不僅包括角色的層次關(guān)系，還包括約束關(guān)系 第30頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二3、基本概念 角色、許可、用戶、會(huì)話、活躍角色 （1）許可是允許對(duì)一個(gè)或多個(gè)客體執(zhí)行操作。 （2）角色是許可的集合。 （

16、3）會(huì)話：一次會(huì)話是用戶的一個(gè)活躍進(jìn)程，它代表用戶與系統(tǒng)交互。用戶與會(huì)話是一對(duì)多關(guān)系，一個(gè)用戶可同時(shí)打開(kāi)多個(gè)會(huì)話。 （4）活躍角色集：一個(gè)會(huì)話構(gòu)成一個(gè)用戶到多個(gè)角色的映射，即會(huì)話激活了用戶授權(quán)角色集的某個(gè)子集，這個(gè)子集稱為活躍角色集。 活躍角色集決定了本次會(huì)話的許可集第31頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二角色與組的區(qū)別 組：用戶集角色：用戶集權(quán)限集第32頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二4、RBAC0(基礎(chǔ)模型) 包括以下幾個(gè)部分：（1）若干實(shí)體集：U、R、P、S(用戶集、角色集、權(quán)限集、會(huì)話集)（2）PAPR（權(quán)限角色分配，是權(quán)限到角色的多對(duì)多的

17、關(guān)系）（3）UAUR（用戶角色分配，是用戶到角色的多對(duì)多的關(guān)系）（4）roles(Si) r | (user(Si),r) UA 其中，user：SU，各個(gè)會(huì)話與一個(gè)用戶的一個(gè)函數(shù)映射 （每個(gè)會(huì)話Si對(duì)應(yīng)一個(gè)用戶user(Si)，在一個(gè)會(huì)話周期內(nèi)不變） roles：S2R，將各個(gè)會(huì)話Si與一個(gè)角色集合的映射 該映射隨時(shí)間變化可以變化 會(huì)話Si的權(quán)限為 p| (p,r) PA， rroles(Si) 第33頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二RBAC0模型指明用戶、角色、訪問(wèn)權(quán)限和會(huì)話之間的關(guān)系。 每個(gè)角色至少具備一個(gè)權(quán)限，每個(gè)用戶至少扮演一個(gè)角色； 可以對(duì)兩個(gè)完全不同的角色

18、分配完全相同的訪問(wèn)權(quán)限； 會(huì)話由用戶控制，一個(gè)用戶可以創(chuàng)建會(huì)話并激活多個(gè)用戶角色，從而獲取相應(yīng)的訪問(wèn)權(quán)限，用戶可以在會(huì)話中更改激活角色，并且用戶可以主動(dòng)結(jié)束一個(gè)會(huì)話 第34頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二5、RBAC1模型（層次模型） （1）角色層次結(jié)構(gòu) 在RBAC0的基礎(chǔ)上增加了角色的層次結(jié)構(gòu)，用RH表示。 RHRR RH是角色上的一個(gè)偏序關(guān)系，稱為角色層次關(guān)系 （2） Roles：S2R的函數(shù)映射有變化 roles(Si)r | (rr)(user(Si),r ) UA 這個(gè)會(huì)話Si具有訪問(wèn)權(quán)限為： p|(r”r)(p,r”)PA， rroles(Si) 第35頁(yè)，

19、共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二 該模型中用戶可以為他具有的角色或其下級(jí)角色建立一個(gè)會(huì)話，其獲取的訪問(wèn)權(quán)限包括在該會(huì)話中激活角色所具有的訪問(wèn)權(quán)限以及下級(jí)角色所具有的訪問(wèn)權(quán)限。 如果在角色繼承時(shí)限制繼承的范圍，則可建立私有角色及其私有子層次 第36頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二6、RBAC2模型（約束模型） RBAC2模型在RBAC0基礎(chǔ)上增加了約束機(jī)制。 約束條件指向UA、PA和會(huì)話中的user、roles等函數(shù)，約束一般有返回值“接受”或“拒絕”，只有擁有有效值的元素才可被接受 （1）互斥角色 同一用戶只能分配到一組互斥角色集合中至多一個(gè)角色，支

20、持職責(zé)分離的原則。 第37頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二（2）基數(shù)約束 一個(gè)角色被分配的用戶數(shù)量受限； 一個(gè)用戶可擁有的角色數(shù)目受限； 同樣一個(gè)角色對(duì)應(yīng)的訪問(wèn)權(quán)限數(shù)目也應(yīng)受限，以控制高級(jí)權(quán)限在系統(tǒng)中的分配 （3）先決條件角色 可以分配角色給用戶僅當(dāng)該用戶已經(jīng)是另一角色的成員； 可以分配訪問(wèn)權(quán)限給角色，僅當(dāng)該角色已經(jīng)擁有另一種訪問(wèn)權(quán)限。 第38頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二（4）運(yùn)行時(shí)互斥 例如，允許一個(gè)用戶具有兩個(gè)角色的成員資格，但在運(yùn)行中不可同時(shí)激活這兩個(gè)角色 第39頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二7、RBAC3 R

21、BAC96模型結(jié)構(gòu)U用戶R角色P權(quán)限S1S2S3：Sn用戶角色分配角色權(quán)限分配會(huì)話約束角色層次用戶角色第40頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二 8、RBAC的優(yōu)點(diǎn) （1）降低了權(quán)限管理的復(fù)雜程度 RABC這種分層的優(yōu)點(diǎn)是當(dāng)主體發(fā)生變化時(shí)，只需修改主體與角色之間的關(guān)聯(lián)而不必修改角色與客體的關(guān)聯(lián)。 RBAC中許可被授權(quán)給角色，角色被授權(quán)給用戶，用戶不直接與許可關(guān)聯(lián)。 RBAC對(duì)訪問(wèn)權(quán)限的授權(quán)由管理員統(tǒng)一管理，而且授權(quán)規(guī)定是強(qiáng)加給用戶的，這是一種強(qiáng)制式訪問(wèn)控制方式。第41頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二（2）RBAC能夠描述復(fù)雜的安全策略 通過(guò)角色定義、

22、分配和設(shè)置適應(yīng)安全策略 系統(tǒng)管理員定義系統(tǒng)中的各種角色，每種角色可以完成一定的職能； 不同的用戶根據(jù)其職能和責(zé)任被賦予相應(yīng)的角色，一旦某個(gè)用戶成為某角色的成員，則此用戶可以完成該角色所具有的職能。 第42頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二（3）易于使用 1）根據(jù)崗位定角色 根據(jù)組織的安全策略，特定的崗位定義為特定的角色、特定的角色授權(quán)給特定的用戶。 例如可以定義某些角色接近DAC，某些角色接近MAC。第43頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二 2）根據(jù)需要定角色 系統(tǒng)管理員也可以根據(jù)需要設(shè)置角色的可用性以適應(yīng)某一階段企業(yè)的安全策略 例如設(shè)置所有角色在所

23、有時(shí)間內(nèi)可用、特定角色在特定時(shí)間內(nèi)可用、用戶授權(quán)角色的子集在特定時(shí)間內(nèi)可用。第44頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二3）通過(guò)角色分層映射組織結(jié)構(gòu) 組織結(jié)構(gòu)中通常存在一種上、下級(jí)關(guān)系，上一級(jí)擁有下一級(jí)的全部權(quán)限，為此，RBAC引入了角色分層的概念。 角色分層把角色組織起來(lái)，能夠很自然地反映組織內(nèi)部人員之間的職權(quán)、責(zé)任關(guān)系。 層次之間存在高對(duì)低的繼承關(guān)系，即父角色可以繼承子角色的許可。第45頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二第46頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二（4）容易實(shí)現(xiàn)最小特權(quán)（least privilege）原則 最小特權(quán)

24、原則在保持完整性方面起著重要的作用。 最小特權(quán)原則是指用戶所擁有的權(quán)力不能超過(guò)他執(zhí)行工作時(shí)所需的權(quán)限。 這一原則的應(yīng)用可限制事故、錯(cuò)誤、未授權(quán)使用帶來(lái)的損害。使用RBAC能夠容易地實(shí)現(xiàn)最小特權(quán)原則。 在RBAC中，系統(tǒng)管理員可以根據(jù)組織內(nèi)的規(guī)章制度、職員的分工等設(shè)計(jì)擁有不同權(quán)限的角色，只有角色需要執(zhí)行的操作才授權(quán)給角色。當(dāng)一個(gè)主體要訪問(wèn)某資源時(shí),如果該操作不在主體當(dāng)前活躍角色的授權(quán)操作之內(nèi)，該訪問(wèn)將被拒絕。第47頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二（5）滿足職責(zé)分離(separation of duties)原則 這是保障安全的一個(gè)基本原則，是指有些許可不能同時(shí)被同一用戶獲

25、得，以避免安全上的漏洞。 例如收款員、出納員、審計(jì)員應(yīng)由不同的用戶擔(dān)任。在RBAC中，職責(zé)分離可以有靜態(tài)和動(dòng)態(tài)兩種實(shí)現(xiàn)方式。 靜態(tài)職責(zé)分離只有當(dāng)一個(gè)角色與用戶所屬的其他角色彼此不互斥時(shí),這個(gè)角色才能授權(quán)給該用戶。 動(dòng)態(tài)職責(zé)分離只有當(dāng)一個(gè)角色與一主體的任何一個(gè)當(dāng)前活躍角色都不互斥時(shí)該角色才能成為該主體的另一個(gè)活躍角色 角色的職責(zé)分離也稱為角色互斥，是角色限制的一種。 第48頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二崗位上的用戶數(shù)通過(guò)角色基數(shù)約束 企業(yè)中有一些角色只能由一定人數(shù)的用戶占用，在創(chuàng)建新的角色時(shí)，通過(guò)指定角色的基數(shù)來(lái)限定該角色可以擁有的最大授權(quán)用戶數(shù)。 如總經(jīng)理角色只能由一

26、位用戶擔(dān)任。第49頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二9、RBAC系統(tǒng)的構(gòu)成 服務(wù)器： （1）訪問(wèn)控制服務(wù)器ACS(Access Control Server) （2）訪問(wèn)請(qǐng)求過(guò)濾器AFS(Access Filter Server)、 （3）角色及授權(quán)管理器RAS(Role&Authorization Management Server) （4）管理控制臺(tái) 。 訪問(wèn)控制信息庫(kù)： 用戶角色信息庫(kù) 角色訪問(wèn)權(quán)限庫(kù) 。第50頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星期二（1）用戶在訪問(wèn)資源之前，必須先向身份認(rèn)證服務(wù)器證實(shí)自己的身份和角色（2）通過(guò)身份認(rèn)證之后，用戶以當(dāng)前的角色向AFS發(fā)出訪問(wèn)請(qǐng)求 AFS收到請(qǐng)求后，把用戶的當(dāng)前角色、要訪問(wèn)的資源以及訪問(wèn)權(quán)限組成一個(gè)新的報(bào)文，發(fā)送給ACS請(qǐng)求作出訪問(wèn)決策。 ACS返回決策結(jié)果給AFS。如果允許此次訪問(wèn)，則AFS負(fù)責(zé)向真正的應(yīng)用服務(wù)器發(fā)出訪問(wèn)請(qǐng)求，并將訪問(wèn)結(jié)果返回給用戶。如果否認(rèn)該次訪問(wèn)，則AFS返回給用戶一個(gè)“操作失敗”的應(yīng)答代碼報(bào)文 身份認(rèn)證服務(wù)器用戶AFSACS應(yīng)用服務(wù)器角色訪問(wèn)權(quán)限庫(kù)用戶/角色庫(kù)RAS管理界面1.請(qǐng)求認(rèn)證用戶和當(dāng)前角色2.返回認(rèn)證結(jié)果3.發(fā)出訪問(wèn)請(qǐng)求8.返回訪問(wèn)結(jié)果6.請(qǐng)求服務(wù)7.返回服務(wù)結(jié)果4.請(qǐng)求決策5.返回決策結(jié)果第51頁(yè)，共57頁(yè)，2022年，5月20日，16點(diǎn)9分，星