《北京大学网络信息安全课件-访问控制》由会员分享,可在线阅读,更多相关《北京大学网络信息安全课件-访问控制(41页珍藏版)》请在金锄头文库上搜索。
1、访问控制北京大学计算机系2002/04/13,安全服务的各个层面,安全服务(Security Services):安全系统提供的各项服务,用以保证系统或数据传输足够的安全性根据ISO7498-2, 安全服务包括: 实体鉴别(Entity Authentication) 数据保密性(Data Confidentiality) 数据完整性(Data Integrity) 防抵赖(Non-repudiation) 访问控制(Access Control),访问控制的概念以及分类,一般概念 是针对越权使用资源的防御措施。形式化地说访问控制是一个二元函数 f(s,o,r)一般分为:自主访问控制 强制访问
2、控制 基于角色的访问控制,访问控制的目的,是为了限制访问主体(用户、进程、服务等) 对访问客体(文件、系统等)的访问权限,从而使 计算机系统在合法范围内使用;决定用户能做什么,也决定代表一定用户利益的程序能做什么。,访问控制与其他安全措施的关系模型,引用监视器,鉴别,访问控制,授权数据库,用户,目标,目标,目标,目标,目标,审 计,安全管理员,访问控制的一般实现机制和方法,一般实现机制基于访问控制属性访问控制表/矩阵基于用户和资源分级(“安全标签”)多级访问控制常见实现方法访问控制表(ACL)访问能力表(Capabilities)授权关系表,Subjects,Objects,S1,S2,S3,
3、O1,O2,O3,Read/write,Write,Read,Execute,按列看是访问控制表内容按行看是访问能力表内容,访问控制实现方法访问控制矩阵,userA Own R W O,userBRO,userC R WO,Obj1,访问控制实现方法访问控制表(ACL),访问控制实现方法访问能力表(CL),Obj1 Own R W O,Obj2RO,Obj3R W O,UserA,访问控制实现方法授权关系表,ACL、CL访问方式比较,ACL,S,subject client,(s,r),object server,ACL、CL访问方式比较(续一),CL,subject client,(o,r)
4、,object server,ACL、CL访问方式比较(续二),鉴别方面:二者需要鉴别的实体不同 保存位置不同 浏览访问权限 ACL:容易,CL:困难 访问权限传递 ACL:困难,CL:容易 访问权限回收 ACL:容易,CL:困难 ACL和CL之间转换 ACL-CL:困难 CL-ACL:容易,ACL、CL访问方式比较(续三),多数集中式操作系统使用ACL方法或类似方式由于分布式系统中很难确定给定客体的潜在主体集,在现代OS中CL也得到广泛应用,自主 访问控制,强制 访问控制,基于角色 访问控制,访问控制,访问控制的一般策略,访问控制的策略自主访问控制,特点:根据主体的身份和授权来决定访问模式。
5、缺点:信息在移动过程中其访问权限关系会被改变。如用户A 可将其对目标O的访问权限传递给用户B,从而使不具备对O访 问权限的B可访问O。,访问控制的策略强制访问控制,特点:1.将主题和客体分级,根据主体和客体的级别标记来决定访问模式。如,绝密级,机密级,秘密级,无密级。2.其访问控制关系分为:上读/下写 , 下读/上写(完整性) (机密性)3.通过安全标签实现单向信息流通模式。,访问控制的策略强制访问控制,更精确的描述:强制访问控制(MAC)中,系统包含主体集S和客体集O,每个S中的主体s及客体集中的客体o,都属于一固定的安全类SC,安全类SC=包括两个部分:有层次的安全级别和无层次的安全范畴。
6、构成一偏序关系。 Bell-LaPadula:保证保密性 - 简单安全特性(无上读):仅当SC(o)SC(s)时,s可以读取o - *-特性(无下写): 仅当SC(s) SC(o)时,s可以修改o Biba:保证完整性 - 同(1)相反,TSSCU,TS,S,C,U,R/W,W,R/W,R,R/W,R,W,R,R,R,R/W,R,W,W,W,W,Subjects,Objects,Information Flow,访问控制的策略强制访问控制,MAC Information Flow,1.自主式太弱 2.强制式太强 3.二者工作量大,不便管理例: 1000主体访问10000客体,须1000万次配置
7、。如每次配置需1秒,每天工作8小时,就需 10,000,000/(3600*8)=347.2天,访问控制的策略自主/强制访问的问题,访问控制的策略基于角色的访问控制,角色概念A role can be defined as a set of actions and responsibilities associated with a particular working activity.,访问控制的策略基于角色的访问控制,角色与组的区别组 : 用户集角色 : 用户集权限集,访问控制的策略基于角色的访问控制,角色控制与DAC、MAC的区别:角色控制相对独立,根据配置可使某些角色为接近DAC,某
8、些角色接近MAC。,访问控制的策略基于角色的访问控制,模型基本模型 RBAC0角色分层模型 RBAC1角色约束模型 RBAC2统一模型 RBAC3,RBAC3RBAC1 RBAC2RBAC0,访问控制的策略基于角色的访问控制,基本模型RBAC0定义The RBAC0 Model has the following components:U,R,P, and S : (users, roles,permissions,and respectively session)PA P R, a many-to-many permission to role assignment relationUA U
9、 R, a many-to-many user to role assignment relationuser: S U, a function mapping each session si to the single user user(si) (constant for the sessions lifetime)roles: S 2R , a function mapping each session si to a set of roles roles(si) r(user(si),r)UA(which can change with time) and session si has
10、 the permissionsrroles(si) p(p,r) PA,访问控制的策略基于角色的访问控制,关于RBAC0的几点说明 (1) session:相当于传统访问控制中的subject (2) 管理U、R、P、PA、UA的具有权限不在RBAC0 定义。这里假设只有安全管理员才有权限修 改它们。 (3) session由用户控制,允许动态激活/取消角 色,实现最小特权。应避免同时激活所有角色。 (4) session和user分离可以解决同一用户多账号 带来的问题,如审计、计账等,访问控制的策略基于角色的访问控制,分层模型RBAC1定义The RBAC1 Model has the f
11、ollowing components:U,R,P,S,PA,UA and user are unchanged form RBAC0RH R R is a partial order on R called the role hierarchy or role dominanace relation, also written as roles: S 2R is modified from RBAC0 to require roles(si) rr r(user(si),r)UA(which can change with time) and session si has the permi
12、ssionsrroles(si) pr r(p,r) PA ,角色关系 偏序关系 (partial orders) 自反 (reflexive) 传递 (transitive) 反对称 (anti-symmetric),访问控制的策略基于角色的访问控制,访问控制的策略基于角色的访问控制,限制继承私有角色(pravite roles),访问控制的策略基于角色的访问控制,限制模型RBAC2定义The RBAC2 is unchanged from RBAC0 except for requiring that there be a collection of constraints that de
13、termine whether or not values of various components of RBAC0 are acceptable. Only acceptable values will be permitted.,访问控制的策略基于角色的访问控制,约束条件(constraints)互斥角色(multually exclusive roles)全程限制,同一场合限制基数约束(cardinality constraints)先决约束(prerequisite)会话约束(constraints in session)等级约束(hierarchy constraints),访问
14、控制的策略基于角色的访问控制,统一模型RBAC3定义RBAC3 combines RBAC1 and RBAC2 to provide both roles hierarchies and constraints.,访问控制的策略基于角色的访问控制,模型,UUsers,RRoles,P Permission,Constraints,S Session,users,roles,PA Permission Assignment,UA User Assignment,RH Role Hierarchy,RBAC3,RBAC1,RBAC2,访问控制的策略基于角色的访问控制,Primary-care S
15、pecialistPhysician PhysicianPhysicianHealth-care Provider,Project SupervisorTest Engineer ProgrammerProject Member,角色示例,访问控制的策略基于角色的访问控制,角色示例,Test Engineer Project Supervisor ProgrammerTest Engineer ProgrammerProject Member,访问控制的策略基于角色的访问控制,项目角色分层,Role Hierarchy,S,P3,P,S3,T1,T2,T3,T4,S,P3,P,S3,P3,T1 T2 T3 T4,T1,S3,T4,T3,访问控制的策略基于角色的访问控制,角色管理模型ARBAC0 ARBAC1 ARBAC2 ARBAC3区别:ARBAC0ARBAC3取消限制角色关系不满足偏序关系,
