保密安全与密码技术-6访问控制精编版

《保密安全与密码技术-6访问控制精编版》由会员分享，可在线阅读，更多相关《保密安全与密码技术-6访问控制精编版（34页珍藏版）》请在金锄头文库上搜索。

1、保密安全与密码技术,第六讲 访问控制,1,安全机制,2,访问控制的目的,访问控制是为了限制访问主体（用户、进程、服务等）对访问客体（文件、系统等）的访问权限，从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么。,3,访问控制的基本概念 基本的访问控制政策模型 访问控制和其他安全机制的关系,访问控制原理,4,访问控制的基本概念,主体(Subject) 主体是一个主动的实体，它提出对资源访问请求，如用户，程序，进程等。 客体(Object ) 含有被访问资源的被动实体，如网络、计算机、数据库、文件、目录、计算机程序、 外设、网络。 访问（Access） 对资源

2、的使用，读、写、修改、删除等操作，例如访问存储器；访问文件、目录、外设；访问数据库；访问一个网站。,5,访问控制的基本概念,访问可以被描述为一个三元组 (s, a, o) 主体，发起者 : Subject，Initiator 客体，目标 : Object, Target 访问操作 : Access,Object,Read/Write/Exec,6,访问控制模型,访问控制执行功能（AEF）,访问控制决策功能（ADF）,客体,主体的访问控制信息,主体,客体的访问控制信息,访问控制政策规则,上下文信息(如时间，地址等),决策请求,决策,访问请求,提交访问,7,访问控制的基本概念,访问控制信息（ACI

3、）的表示 主体访问控制属性 客体访问控制属性 访问控制政策规则 授权（Authorization） 怎样把访问控制属性信息分配给主体或客体 如何浏览、修改、回收访问控制权限 访问控制功能的实施 控制实施部件如何获得实体的访问控制信息 怎样执行,8,能力表（Capability List）,能力表与主体关联，规定主体所能访问的客体和权限。 表示形式： 用户Profile，由于客体相当多，分类复杂，不便于授权管理 授权证书，属性证书 从能力表得到一个主体所有的访问权限，很容易 从能力表浏览一个客体所允许的访问控制权限，很困难,O1 R W,O2 R,O5 R W E,Si,9,访问控制表（Acce

4、ss Control List）,访问控制表与客体关联，规定能够访问它的主体和权限 由于主体数量一般比客体少得多而且容易分组，授权管理相对简单 得到一个客体所有的访问权限，很容易 浏览一个主体的所有访问权限，很困难,S1 R W,S2 R,S5 R W E,Oj,10,ACL、CL访问方式比较,鉴别方面：二者需要鉴别的实体不同 保存位置不同 浏览访问权限 ACL:容易，CL:困难 访问权限传递 ACL:困难，CL：容易 访问权限回收 ACL:容易，CL：困难 ACL和CL之间转换 ACL-CL：困难 CL-ACL：容易,11,ACL、CL访问方式比较,多数集中式操作系统使用ACL方法或类似方式

5、 由于分布式系统中很难确定给定客体的潜在主体集，在现代OS中CL也得到广泛应用,12,访问控制矩阵,访问控制机制可以用一个三元组来表示（S,O,M） 主体的集合 S=s1,s2,sm 客体的集合 O=o1,o2,on 所有操作的集合 A=R, W, E, 访问控制矩阵 M= S O 2A,13,访问控制矩阵,矩阵的的i行Si表示了主体si对所有客体的操作权限，称为主体si的能力表(Capability List) 矩阵的第j列Oj表示客体oj允许所有主体的操作，称为oj的访问控制表（ACL）,14,访问控制策略模型,自主型访问控制 DAC （ Discretionary Access Cont

6、rol ） 强制型访问控制 MAC （Mandatory Access Control） 基于角色的访问控制 RBAC （Role-Based Access Control） 基于对象的访问控制模型 OBAC （Object-Based Access Control）,15,自主型访问控制DAC,Discretionary Access Control , DAC 每个客体有一个属主，属主可以按照自己的意愿把客体的访问控制权限授予其他主体 DAC是一种分布式授权管理的模式 控制灵活，易于管理，是目前应用最为普遍的访问控制政策,16,自主型访问控制DAC,自主访问控制模型是根据自主访问控制策略建

7、立的一种模型，允许合法用户以用户或用户组的身份访问策略规定的客体，同时阻止非授权用户访问客体，某些用户还可以自主地把自己所拥有的客体的访问权限授予其它用户。 自主访问控制模型的特点是授权的实施主体 可以授权的主体； 管理授权的客体； 授权组 自主访问控制又称为任意访问控制。LINUX，UNIX、WindowsNT或是SERVER版本的操作系统都提供自主访问控制的功能。,17,自主型访问控制DAC,DAC模型提供的安全防护还是相对比较低的，不能给系统提供充分的数据保护。 自主负责赋予和回收其他主体对客体资源的访问权限。 DAC采用访问控制矩阵和访问控制列表来存放不同主体的访问控制信息，从而达到对

8、主体访问权限的限制目的。,无法控制信息流动：信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B, 从而使不具备对O访问权限的B可访问O。 特洛伊木马的威胁 ：特洛伊木马（Trojan）是一段计算机程序，它附在合法程序的中，执行一些非法操作而不被用户发现。,18,强制型访问控制MAC,Mandatory Access Control 每个主体和客体分配一个固定的安全级别，只有系统管理员才可以修改 Clearance ，classification , sensitivity Unclassified confidential secret top secret

9、普密秘密机密绝密 只有在主体和客体的安全级别满足一定规则时，才允许访问,19,强制型访问控制MAC,在MAC访问控制中，用户和客体资源都被赋予一定的安全级别，用户不能改变自身和客体的安全级别，只有管理员才能够确定用户和组的访问权限。 和DAC模型不同的是，MAC是一种多级访问控制策略。 MAC对访问主体和受控对象标识两个安全标记： 具有偏序关系的安全等级标记 非等级分类标记。 主体和客体在分属不同的安全类别时，都属于一个固定的安全类别SC，SC就构成一个偏序关系（比如TS表示绝密级，就比密级S要高）。当主体s的安全类别为TS，而客体o的安全类别为S时，用偏序关系可以表述为SC(s)SC(o)。

10、,20,考虑到偏序关系，主体对客体的访问主要有四种方式： 向下读（rd，read down）：主体安全级别高于客体信息资源的安全级别时允许查阅的读操作； 向上读（ru，read up）：主体安全级别低于客体信息资源的安全级别时允许的读操作； 向下写（wd，write down）：主体安全级别高于客体信息资源的安全级别时允许执行的动作或是写操作； 向上写（wu，write up）：主体安全级别低于客体信息资源的安全级别时允许执行的动作或是写操作。 由于MAC通过分级的安全标签实现了信息的单向流通，因此它一直被军方采用，其中最著名的是Bell-LaPadula模型和Biba模型：Bell-LaPa

11、dula模型具有只允许向下读、向上写的特点，可以有效地防止机密信息向下级泄露；Biba模型则具有不允许向下读、向上写的特点，可以有效地保护数据的完整性。,强制型访问控制MAC,21,强制型访问控制MAC,BLP(Bell-LaPadula)模型 禁止向下写： 如果用户的级别比要写的客体级别高，则该操作是不允许的 禁止向上读： 如果主体的级别比要读的客体级别低，则该操作是不允许的。,向下写是不允许的,向上读是不允许的,22,强制型访问控制MAC,TS S C U,TS,S,C,U,R/W,W,R/W,R,R/W,R,W,R,R,R,R/W,R,W,W,W,W,Subjects,Objects,信

12、息流向,BLP 模型的信息流,23,访问控制的策略 自主访问控制,特点： 根据主体的身份和授权来决定访问模式。 缺点： 信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。,24,访问控制的策略 强制访问控制,特点： 1.将主题和客体分级，根据主体和客体的级别标记来决定访问模式。如，绝密级，机密级，秘密级，无密级。 2.其访问控制关系分为： 上读/下写 ， 下读/上写 （完整性） （机密性） 3.通过安全标签实现单向信息流通模式。,25,1.自主式太弱 2.强制式太强 3.二者工作量大，不便管理 例： 1000主体访问10

13、000客体，须1000万次配置。如每次配置需1秒，每天工作8小时，就需 10，000，000/（3600*8） =347.2天,访问控制的策略 自主/强制访问的问题,26,基于角色的访问控制RBAC,Role-Based Access Control 基于角色的访问控制模型：RBAC模型的基本思想是将访问许可权分配给一定的角色，用户通过饰演不同的角色获得角色所拥有的访问许可权。 RBAC从控制主体的角度出发，根据管理中相对稳定的职权和责任来划分角色，将访问权限与角色相联系，这点与传统的MAC和DAC将权限直接授予用户的方式不同；通过给用户分配合适的角色，让用户与访问权限相联系。角色成为访问控制

14、中访问主体和受控对象之间的一座桥梁。,27,基于角色的访问控制RBAC,用户组（group） 用户组：用户的集合 G=s1, s2, s3 授权管理：把用户分组，把访问权限分配给一个用户组； 角色（Role） 角色是完成一项任务必须访问的资源及相应操作权限的集合，R=(a1,o1), (a2,o2), (a3,o3) 授权管理： 根据任务需要定义角色， 为角色分配资源和操作权限 给一个用户指定一个角色,28,基于角色的访问控制RBAC,角色的继承关系 RBAC的优势 便于授权管理 便于责任划分,Project Supervisor Test Engineer Programmer Projec

15、t Member,29,基于对象的访问控制OBAC,Object-based Access Control Model 控制策略和控制规则是OBAC访问控制系统的核心 将访问控制列表与受控对象或受控对象的属性相关联，并将访问控制选项设计成为用户、组或角色及其对应权限的集合；同时允许对策略和规则进行重用、继承和派生操作。 OBAC一方面定义对象的访问控制列表，增、删、修改访问控制项易于操作，另一方面，当受控对象的属性发生改变，或者受控对象发生继承和派生行为时，无须更新访问主体的权限，只需要修改受控对象的相应访问控制项即可，从而减少了访问主体的权限管理，降低了授权数据管理的复杂性。,30,授权信息

16、,访问控制与其他安全机制的关系,认证、授权、审计（AAA）,Log,身份认证,访问控制,审计,授权（authorization）,主体,客体,31,访问控制与其他安全机制的关系,身分认证 身份认证是访问控制的前提 保密性 限制用户对数据的访问（读取操作）可以实现数据保密服务 完整性 限制用户对数据的修改，实现数据完整性保护 可用性 限制用户对资源的使用量，保证系统的可用性 安全管理相关的活动 访问控制功能通常和审计、入侵检测联系在一起,32,小结,访问控制模型及相关概念 能力表 访问控制表 访问控制矩阵 四种常见的访问控制政策 DAC MAC RBAC OBAC,33,1、有时候读书是一种巧妙地避开思考的方法。20.9.1820.9.18Friday, September 18, 2020 2、阅读一切好书如同和过去最杰出的人谈话。17:50:5517:50:5517:509/18/2020 5:50:55 PM 3、越是没有本领的就越加自命不凡。20.9.1817:5