《网络安全课件_0909第08章存取访问控制》由会员分享,可在线阅读,更多相关《网络安全课件_0909第08章存取访问控制(57页珍藏版)》请在金锄头文库上搜索。
1、第08章 存取访问控制,主讲人:郭松涛 单 位:重庆大学计算机学院 2010年11月,目录,8.1 访问控制概述 8.2 访问控制策略,8.1 访问控制概述,1、基本概念 (1)访问控制 Access Control 对系统中的用户、程序、进程或计算机网络中其他系统访问本系统资源进行限制、控制的过程。 主体对客体的访问受到控制,是一种加强授权的方法。 是针对越权使用资源的防御措施 口令认证不能取代访问控制 。 原始概念 : 是对进入系统的控制 (用户标识+口令/生物特性/访问卡),(2)访问控制机制 在信息系统中,为检测和防止未授权访问,以及为使授权访问正确进行所设计的硬件或软件功能、操作规程
2、、管理规程和它们的各种组合。 (3)授权:资源所有者对他人使用资源的许可。 (4)资源:信息、处理器、通信设施、物理设备。 访问一种资源就是从这个资源中获得信息、修改资源或利用它完成某种功能。,(5)主体(subject):访问的发起者 发起者是试图访问某个目标的用户或者是用户行为的代理。必须控制它对客体的访问。 主体通常为进程,程序或用户。 (6)客体(目标): 可供访问的各种软硬件资源。 (7)敏感标签 sensitivity label 表示客体安全级别并描述客体数据敏感性的一组信息,TCSEC中把敏感标记作为强制访问控制决策的依据。,2、阻止非授权用户访问目标的方法 (1)访问请求过滤
3、器: 当一个发起者试图访问一个目标时,审查其是否获准以请求的方式访问目标; (2)分离 防止非授权用户有机会去访问敏感的目标。 这两种方法涉及: 访问控制机制和访问控制策略。,3、访问控制策略 系统中存取文件或访问信息的一整套严密安全的规则。 通过不同方式建立: OS固有的 管理员或用户制定的。 4、访问控制机构 具体实施访问策略的所有功能的集合,这些功能可通过系统的软硬件实现,5、访问控制经典模型,该模型的特点: (1)明确定义的主体和客体; (2)描述主体如何访问客体的一个授权数据库; (3)约束主体对客体访问尝试的参考监视器; (4)识别和验证主体和客体的可信子系统; (5)审计参考监视
4、器活动的可信子系统。,6、各种安全机制的关系,8.2 访问控制策略,8.2.1 访问控制策略分类 8.2.2 自主访问控制策略 8.2.3 强制访问控制策略 8.2.4 基于角色的访问控制策略,8.2 访问控制策略,8.2.1 访问控制策略分类,1、访问控制策略可分为 (1)自主式策略DAC (2)强制式策略MAC (3)基于角色的访问控制RBAC,2、任何访问控制策略最终可被模型化为访问矩阵形式。 每一行:用户 每一列:目标 矩阵元素:相应的用户对目标的访问许可。,1、DAC(Discretionary Access Control )的基本思想 DAC是在确认主体身份及所属组的基础上,根据
5、访问者的身份和授权来决定访问模式,对访问进行限定的一种控制策略 2、自主的含义 所谓自主,是指具有授予某种访问权力的主体(用户)能够自己决定是否将访问控制权限的某个子集授予其他的主体或从其他主体那里收回他所授予的访问权限,8.2.2 自主访问控制策略DAC,3、实现方式 (1)基于个人的策略 隐含的缺省策略 : 禁止/开放 最小特权原则:最大限度地控制用户为完成授权任务所需要的许可集。 (2)基于组的策略 多个用户被组织在一起并赋予一个共同的标识符。 更容易、更有效。,4、技术方法 (1)访问控制矩阵,注:0代表不能进行任何访问 1代表执行,2代表读,3代表写,4代表拥有,目录级、文件的访问权
6、限 对目录和文件的访问权限一般有八种: 系统管理员权限(Supervisor) 读权限(Read)、写权限(Write) 创建权限(Create)、 删除权限(Erase) 修改权限(Modify) 文件查找权限(File Scan) 存取控制权限(Access Control)。,(2) 访问控制列表(ACL) 每个客体各自将能对自己访问的主体信息以列表的形式保存起来,这相当于是访问控制矩阵里的各个列向量 优点: (1)没有一个中心点保存所有的访问信息,提高了执行效率; (2)通过将不同的主体划分不同的组,减少了访问信息的数量。 缺点: 但若对主体进行查找、增加和撤销某些访问权限时,操作上费
7、时费力,因为此时必须遍历所有的ACL。,(3)能力 能力表示的是一个主体对一个客体的访问权力,它以主体为索引,将主体对每个客体的访问权限以列表的形式保存起来,这相当于是访问控制矩阵中的各个行向量。 它的优缺点与ACL的相反。,5、DAC的优缺点 优点:自主性提供了极大的灵活性,从而使之适合于许多系统和应用 缺点: (1)权限管理易于失控 DAC的这种自主性,使得信息总是可以从一个实体流向另一个实体,即使对高度机密的信息也是如此,故若控制不严就会产生严重安全隐患 例如,用户A可以将其对客体O的访问权限传递给用户B,从而使不具备对O访问权限的B也可以访问O,这样的结果是易于产生安全漏洞,因此自主访
8、问控制的安全级别较低。 (2)权限管理复杂 由于同一用户对不同的客体有不同的存取权限,不同的用户对同一客体有不同的存取权限,用户、权限、客体间的授权管理复杂,1、MAC(Mandatory Access Control)的基本思想 依据主体和客体的安全级别来决定主体是否有对客体的访问权 。 最典型的例子是由Bell and LaPadula提出的BLP模型,该模型基于军事部门的安全需求为基础。 2、 安全级别 在BLP模型中,所有的主体和客体都有一个安全标签,它只能由安全管理员赋值,普通用户不能改变,这个安全标签就是安全级别。,8.2.3 强制访问控制策略MAC,3、安全级别的意义 客体的安全
9、级表现了客体中所含信息的敏感程度 主体的安全级别则反映了主体对敏感信息的可信程度 如客体级别可分为:绝密级、机密级、秘密级、无密级 4、访问控制规则 用标志主体或客体的安全标签 当主体访问客体时,需满足如下两条规则: 读规则:如果主体s能够读客体o,则(s)(o) 写规则:如果主体s能够写客体o,则(s)(o) 主体按照“向下读,向上写”的原则访问客体,5、BLP模型的优点 (1)它使得系统中的信息流成为单向不可逆的 (2)保证了信息流总是由低安全级别的实体流向高安全级别的实体,因此避免了在自主访问控制中的敏感信息泄漏的情况。 (3)保证了客体的高度安全性 6、BLP模型的缺点 (1)限制了高
10、安全级别用户向非敏感客体写数据的合理要求 (2)由高安全级别的主体拥有的数据永远不能被低安全级别的主体访问,降低了系统的可用性。 (3)BLP模型的“向上写”的策略使得低安全级别的主体篡改敏感数据成为可能,破坏了系统的数据完整性 (4)MAC由于过于偏重保密性,对其它方面如系统连续工作能力、授权的可管理性等考虑不足,造成管理不便,灵活性差,8.2.4 基于角色的访问控制策略RBAC,1、基本思想 在用户和访问权限之间引入角色的概念,将用户和角色联系起来,通过对角色的授权来控制用户对系统资源的访问 角色是访问权限的集合,用户通过赋予不同的角色获得角色所拥有的访问权限,2、RBAC模型的演变 (1
11、)美国国家标准化和技术委员会(NIST)的Ferraiolo等人在90年代提出的 (2)RBAC96模型 美国George Mason大学信息系统和系统工程系的R.Sandhu等人在对RBAC进行深入研究的基础上,于1996年提出了一个基于角色的访问控制参考模型,对角色访问控制产生了重要影响,被称为RBAC96模型 (3)RBAC96模型包括4个不同层次 RBAC0、RBAC1、RBAC2和RBAC3,1)基础模型:RBAC0 定义了支持RBAC的最小需求,如用户、角色、权限、会话等概念。,2)高级模型:RBAC1和RBAC2 RBAC1在RBAC0的基础上,加入了角色继承关系,可以根据组织内
12、部权力和责任的结构来构造角色与角色之间的层次关系; RBAC2在RBAC0的基础上,加入了各种用户与角色之间、权限与角色之间以及角色与角色之间的约束关系,如角色互斥、角色最大成员数等。 RBAC1和 RBAC2之间不具有可比性。 3)巩固模型:RBAC3 RBAC2是RBAC1和 RBAC2的集成,它不仅包括角色的层次关系,还包括约束关系,3、基本概念 角色、许可、用户、会话、活跃角色 (1)许可是允许对一个或多个客体执行操作。 (2)角色是许可的集合。 (3)会话:一次会话是用户的一个活跃进程,它代表用户与系统交互。用户与会话是一对多关系,一个用户可同时打开多个会话。 (4)活跃角色集:一个
13、会话构成一个用户到多个角色的映射,即会话激活了用户授权角色集的某个子集,这个子集称为活跃角色集。 活跃角色集决定了本次会话的许可集,角色与组的区别 组 : 用户集 角色 : 用户集权限集,4、RBAC0(基础模型) 包括以下几个部分: (1)若干实体集:U、R、P、S(用户集、角色集、权限集、会话集) (2)PAPR(权限角色分配,是权限到角色的多对多的关系) (3)UAUR(用户角色分配,是用户到角色的多对多的关系) (4)roles(Si) r | (user(Si),r) UA 其中,user:SU,各个会话与一个用户的一个函数映射 (每个会话Si对应一个用户user(Si),在一个会话
14、周期内不变) roles:S2R,将各个会话Si与一个角色集合的映射 该映射随时间变化可以变化 会话Si的权限为 p| (p,r) PA, rroles(Si),RBAC0模型指明用户、角色、访问权限和会话之间的关系。 每个角色至少具备一个权限,每个用户至少扮演一个角色; 可以对两个完全不同的角色分配完全相同的访问权限; 会话由用户控制,一个用户可以创建会话并激活多个用户角色,从而获取相应的访问权限,用户可以在会话中更改激活角色,并且用户可以主动结束一个会话,5、RBAC1模型(层次模型) (1)角色层次结构 在RBAC0的基础上增加了角色的层次结构,用RH表示。 RHRR RH是角色上的一个
15、偏序关系,称为角色层次关系 (2) Roles:S2R的函数映射有变化 roles(Si)r | (rr)(user(Si),r ) UA 这个会话Si具有访问权限为: p|(r”r)(p,r”)PA, rroles(Si),该模型中用户可以为他具有的角色或其下级角色建立一个会话,其获取的访问权限包括在该会话中激活角色所具有的访问权限以及下级角色所具有的访问权限。 如果在角色继承时限制继承的范围,则可建立私有角色及其私有子层次,6、RBAC2模型(约束模型) RBAC2模型在RBAC0基础上增加了约束机制。 约束条件指向UA、PA和会话中的user、roles等函数,约束一般有返回值“接受”或
16、“拒绝”,只有拥有有效值的元素才可被接受 (1)互斥角色 同一用户只能分配到一组互斥角色集合中至多一个角色,支持职责分离的原则。,(2)基数约束 一个角色被分配的用户数量受限; 一个用户可拥有的角色数目受限; 同样一个角色对应的访问权限数目也应受限,以控制高级权限在系统中的分配 (3)先决条件角色 可以分配角色给用户仅当该用户已经是另一角色的成员; 可以分配访问权限给角色,仅当该角色已经拥有另一种访问权限。,(4)运行时互斥 例如,允许一个用户具有两个角色的成员资格,但在运行中不可同时激活这两个角色,7、RBAC3,8、RBAC的优点 (1)降低了权限管理的复杂程度 RABC这种分层的优点是当主体发生变化时,只需修改主体与角色之间的关联而不必修改角色与客体的关联。 RBAC中许可被授权给角色,角色被授权给用户,用户不直接与许可关联。 RBAC对访问权限的授权由管理员统一管理,而且授权规定是强加给用户的,这是一种强制式访问控制方式。,(2)RBAC能够描述复杂的安全策略 通过角色定义、分
