《網(wǎng)絡(luò)空間安全概論》課件4-2訪問控制

1訪問控制訪問控制（accesscontrol）：實現(xiàn)既定安全策略的系統(tǒng)安全技術(shù)目標(biāo)：防止對任何資源進行非授權(quán)的訪問。訪問控制系統(tǒng)一般包括：

(1)主體

(2)客體

(3)安全訪問策略主體是對客體提出請求訪問的主動實體，通常指用戶或代表用戶執(zhí)行的程序?？腕w是接受主體訪問的被動實體，是需要保護的資源。訪問控制策略是主體對客體的訪問規(guī)則集。權(quán)限是主體可對客體執(zhí)行的動作。授權(quán)是指資源的所有者或控制者將權(quán)限授予給他人，準(zhǔn)許他人訪問資源。3訪問控制的三個任務(wù)：一是授權(quán)，即確定可給予哪些主體訪問客體的權(quán)限；二是確定訪問權(quán)限(讀、寫、執(zhí)行、刪除、追加等訪問方式的組合)三是實施訪問權(quán)限。4訪問控制基本原則（1）最小特權(quán)原則最小特權(quán)（LeastPrivilege）指的是“在完成某種操作時所賦予主體必不可少的特權(quán)”。最小特權(quán)原則按照主體所需權(quán)限的最小化原則分配主體權(quán)限，賦予主體權(quán)限不能超過主體執(zhí)行操作時所需的權(quán)限。給予主體“必不可少”的特權(quán)，這就保證了所有的主體都能在所賦予的特權(quán)之下完成所需要完成的任務(wù)或操作；只給予主體“必不可少”的特權(quán)，這就限制了每個主體所能進行的操作。5（2）職責(zé)分離原則是指遵循不相容職責(zé)相分離的原則，實現(xiàn)合理的組織分工。6訪問控制策略：也稱安全策略，是為了滿足應(yīng)用的安全需求制定的主體對客體訪問的一系列規(guī)則集它反映信息系統(tǒng)對安全的需求。是對訪問如何控制，如何做出訪問決定的高層指南。最基本的訪問規(guī)則可表示為：

<主體、客體、權(quán)限>

<肯定/否定許可>7自主訪問控制（Discretionaryaccesscontrol:DAC）強制訪問控制（Mandatoryaccesscontrol：MAC）基于角色的訪問控制（Rolebasedaccesscontrol:RBAC）基于屬性的訪問控制（Attributebasedaccesscontrol,ABAC）訪問控制策略模型8例子自主訪問控制，如主流操作系統(tǒng)(WindowsNTServer,UNIX系統(tǒng))，防火墻（ACLs）等強制訪問控制自主訪問控制模型任何訪問控制策略能表示成最基本的<主體、客體、權(quán)限>三元組，因此可以被形式化成矩陣。

File1File2File3User1rwrrwoUser2rwxor

User3rxrwow兩種流行的實現(xiàn)機制為基于矩陣的列或者行來壓縮信息?；诹校涸L問控制列表

(ACL：AccessControlList)基于行：能力表（CapabilitiesList,CL）

File1File2File3User1rwrrwoUser2rwxor

User3rxrwow對應(yīng)的訪問控制列表：acl(File1)={(User1,rw),(User2,rwxo),(User3,rx)}acl(File2)={(User1,r),(User2,r),(User3,rwo)}acl(File3)={(User1,rwo),(User3,w)}能力表:cap(User1)={(File1,rw),(File2,r),(File3,rwo)}cap(User2)={(File1,rwxo),(File2,r)}cap(User3)={(File1,rx),(File2,rwo),(File3,w)}Unix簡化后的保護位訪問控制列表（文件權(quán)限表）ACLs很長，所以合并用戶UNIX:三級用戶:owner,group,rest

三類權(quán)限：r,w,x

強制訪問控制模型在強制訪問控制模型，用戶和客體資源都被賦予一定的安全級別，用戶不能改變自身和客體的安全級別，只有管理員才能夠確定用戶和組的訪問權(quán)限。和DAC模型不同的是，MAC是一種多級訪問控制策略，它的主要特點是系統(tǒng)對訪問主體和受控對象實行強制訪問控制，系統(tǒng)事先給訪問主體和受控對象分配不同的安全級別屬性，在實施訪問控制時，系統(tǒng)先對訪問主體和受控對象的安全級別屬性進行比較，再決定訪問主體能否訪問該受控對象。多級安全由于用戶的訪問涉及到訪問的權(quán)限控制規(guī)則集合，將敏感信息與通常資源分開隔離的系統(tǒng)，稱之為多級安全信息系統(tǒng)。多級安全系統(tǒng)必然要將信息資源按照安全屬性分級考慮，安全類別有兩種類型，一種是有層次的安全級別（HierarchicalClassification），分為TS，S，C，RS，U5級，它們是絕密級別（TopSecret）、秘密級別（Secret）、機密級別（Confidential）、限制級別（Restricted）和無級別級（Unclassified）；另一種是無層次的安全級別，不對主體和客體按照安全類別分類，只是給出客體接受訪問時可以使用的規(guī)則和管理者。14機密性安全策略Bell-LaPadula模型保密性分類形式是按照線性排列的安全許可。這些許可代表了敏感等級。安全許可越高，信息就越敏感。數(shù)據(jù)和用戶被劃分為以下安全等級公開（Unclassified）受限（Restricted）秘密（Confidential）機密（Secret）高密（TopSecret）每一個主體都有一個安全許可。當(dāng)我們同時指主體的許可和客體的密級時，用術(shù)語“密級”。15機密性安全策略Bell-LaPadula模型Bell-LaPadula安全模型中結(jié)合了強制性訪問控制和自主訪問控制。“S對O有自主的讀（寫）訪問權(quán)”，表示了與自主訪問控制部分相對應(yīng)的S和O的訪問控制矩陣條目中包含一項讀（寫）的權(quán)限。即如果沒有強制性控制，S就可以讀（寫）O。16機密性安全策略Bell-LaPadula模型設(shè)L(S)=l，是主體S的安全許可，并設(shè)L(O)=l，是客體O的安全密級。對于所有安全密級li

，i=0,

,k

1，有l(wèi)i

li+1。簡單安全條件，預(yù)備版：S可以讀O，當(dāng)且僅當(dāng)lo

ls，且S對O具有自主型讀權(quán)限。（不上讀）*-屬性（星號屬性），預(yù)備版：S可以寫O，當(dāng)且僅當(dāng)ls

lo，且S對O具有自主型寫權(quán)限。（不下寫）17機密性安全策略Bell-LaPadula模型不上讀/不下寫保證保密性禁止讀允許讀TopSecret主體SecretUnclassifiedTopSecret客體SecretUnclassified允許讀允許寫禁止寫TopSecret主體SecretUnclassifiedTopSecret客體SecretUnclassified允許寫18例子防火墻所實現(xiàn)的單向訪問機制不允許敏感數(shù)據(jù)從內(nèi)部網(wǎng)絡(luò)（安全級別為“機密”）流向Internet（安全級別為“公開”）

提供“不上讀”功能來阻止Internet對內(nèi)部網(wǎng)絡(luò)的訪問

提供“不下寫”功能來限制進入內(nèi)部的數(shù)據(jù)流只能經(jīng)由由內(nèi)向外發(fā)起的連接流入(例如，允許HTTP的"GET"操作而拒絕"POST"操作，或阻止任何外發(fā)的郵件

)19完整性安全策略Biba模型系統(tǒng)包括一個主體集合S，一個客體集合O和一個完整性等級集合I，這些等級是有序的。等級越高，程序正確執(zhí)行的可靠性就越高。高等級的數(shù)據(jù)比低等級的數(shù)據(jù)具備更高的精確性和可靠性。此外，這個概念隱含的融入了“信任”這個概念。事實上，用于衡量完整性等級的術(shù)語是“可信度”。20完整性安全策略Biba模型s

S可以讀取o

O，當(dāng)且僅當(dāng)i(s)

i(o)。s

S可以寫入o

O，當(dāng)且僅當(dāng)i(o)

i(s)。s1

S可以執(zhí)行s2

S，當(dāng)且僅當(dāng)i(s2)

i(s1)。（調(diào)用）21完整性安全策略Biba模型不下讀/不上寫保證完整性允許讀禁止讀HighintegrityMediumintegrityLowintegrity允許讀禁止寫允許寫允許寫HighintegrityMediumintegrityLowintegrityHighintegrityMediumintegrityLowintegrityHighintegrityMediumintegrityLowintegrity22例子對WEB服務(wù)器的訪問過程定義Web服務(wù)器上發(fā)布的資源安全級別為“秘密”，Internet上用戶的安全級別為“公開”，依照Biba模型，Web服務(wù)器上數(shù)據(jù)的完整性將得到保障Internet上的用戶只能讀取服務(wù)器上的數(shù)據(jù)而不能更改它23基于角色訪問控制（RBAC）核心RBAC包含了5個基本的數(shù)據(jù)元素：用戶集(USERS)、角色集(ROLES)、對象集(OBJS)、操作集(OPS)、權(quán)限集(PRMS)。RBAC的基本思想是權(quán)限被分配給角色，角色被分配給用戶。此外，核心RBAC中還包含了用戶會話集，用戶建立會話，通過會話激活角色。會話是從用戶到該用戶的角色集的某個激活角色子集的映射。會話激活了用戶授權(quán)角色集的某個子集，這個子集稱為活躍角色集。GB/T25062-2010RBAC參考模型通過四個RBAC模型組件來進行定義——核心RBAC、角色層次RBAC、靜態(tài)職責(zé)分離關(guān)系、動態(tài)職責(zé)分離關(guān)系。24核心RBAC25層次RBAC角色繼承：角色有自己的屬性，但可能還繼承其他角色的許可。角色繼承可以用祖先關(guān)系來表示。角色2是角色1的“父親”，它包含角色1的權(quán)限心臟病專家風(fēng)濕病專家21專家醫(yī)生護士上級訪問權(quán)限高于下級26帶約束的RBAC角色限制：包括角色互斥與角色基數(shù)限制。對于某些特定的操作集，某一個用戶不可能同時獨立地完成所有這些操作。角色互斥可以有靜態(tài)和動態(tài)兩種實現(xiàn)方式。靜態(tài)角色互斥：只有當(dāng)一個角色與用戶所屬的其他角色彼此不互斥時，這個角色才能授權(quán)給該用戶。動態(tài)角色互斥：只有當(dāng)一個角色與一主體的任何一個當(dāng)前活躍角色都不互斥時，該角色才能成為該主體的另一個活躍角色。角色基數(shù)限制是指在創(chuàng)建角色時，要指定角色的基數(shù)。在一個特定的時間段內(nèi)，有一些角色只能由一定人數(shù)的用戶占用?；趯傩缘脑L問控制開放網(wǎng)絡(luò)環(huán)境中系統(tǒng)訪問控制的新挑戰(zhàn)海量性。終端、用戶數(shù)量龐大，加重了系統(tǒng)管理的負擔(dān)動態(tài)性。節(jié)點和用戶以及訪問數(shù)據(jù)對象實時變化，體現(xiàn)出很強的動態(tài)性，無法預(yù)先獲得主客體身份的全集。隱私性。信息的共享對個人隱私和數(shù)據(jù)隱私的保護提出了更高的要求。數(shù)據(jù)交付于數(shù)據(jù)服務(wù)提供商前需考慮對存儲于數(shù)據(jù)服務(wù)平臺上的數(shù)據(jù)保護，如數(shù)據(jù)加密后存儲在云端，只有滿足某些條件的用戶才可以訪問，保護了數(shù)據(jù)隱私。ABAC適合于開放和分布式系統(tǒng)中的授權(quán)和訪問控制?；趯傩缘脑L問控制：進行授權(quán)時，系統(tǒng)需要進一步考慮用戶、被訪問資源及當(dāng)前上下文環(huán)境這些實體的屬性約束。把與訪問控制相關(guān)的時間、實體空間位置、實體行為、訪問歷史等信息當(dāng)作主體、客體、權(quán)限和環(huán)境的屬性來統(tǒng)一建模，通過定義屬性之間的關(guān)系描述復(fù)雜的授權(quán)和訪問控制約束，能夠靈活地表達細粒度、復(fù)雜的訪問控制策略，更好地支持大規(guī)模信息化系統(tǒng)的細粒度，動態(tài)的訪問控制。ABAC策略是一個四元組(S，O，P，E)，其中S，O，P和E分別是由主體屬性、客體屬性、權(quán)限屬性和環(huán)境屬性確定的主體、客體、權(quán)限和環(huán)境集合。ABAC授權(quán)是一個四元組(<s.v1,s.v2,…,s.vn>,<o.v’1,o.v’2,…,o.v’m>,<p.v’’1,p.v’’2,…,p.v’’k>,E)，表示屬性值為v1,v2,…,vn的主體s對屬性值為v’1,v’2,…,v’m的客體o在環(huán)境屬性集合E滿足條件下，實施屬性值為v’’1,v’’2,…,v’’k的操作例如，在一個網(wǎng)上組播系統(tǒng)中，ABAC模型包含：主體屬性為{用戶類型，年齡、費用余額，IP地址，管理域}，客體屬性為{資源類型、所需費用，應(yīng)用域}，權(quán)限屬性有{操作類型}，環(huán)境屬性為{訪問量}。其中用戶類型={管理員，