《第六章访问控制》由会员分享,可在线阅读,更多相关《第六章访问控制(73页珍藏版)》请在金锄头文库上搜索。
1、第六章第六章 访问控制访问控制1安全服务安全服务v安全服务(安全服务(Security Services):): 计算机通信网络中,主要的安全保护措施被计算机通信网络中,主要的安全保护措施被称作安全服务。称作安全服务。根据根据ISO7498-2, 安全服务包括:安全服务包括:1.鉴别(鉴别( Authentication)2.访问控制(访问控制(Access Control)3.数据机密性(数据机密性(Data Confidentiality)4.数据完整性(数据完整性(Data Integrity)5.抗抵赖(抗抵赖(Non-repudiation)2一、访问控制的概念第六章第六章 访问控制
2、访问控制 访问控制访问控制AccessControl限制已授权的用户、程序、进程或计算机网限制已授权的用户、程序、进程或计算机网络中其他系统访问本系统资源的过程。口令络中其他系统访问本系统资源的过程。口令认证不能取代访问控制认证不能取代访问控制。访问控制机制访问控制机制在信息系统中,为检测和防止未授权访问,在信息系统中,为检测和防止未授权访问,以及为使授权访问正确进行所设计的硬件或以及为使授权访问正确进行所设计的硬件或软件功能、操作规程、管理规程和它们的各软件功能、操作规程、管理规程和它们的各种组合。种组合。3访问控制的概念和目标v一般概念一般概念 是针对越权使用资源的防御措施。是针对越权使用
3、资源的防御措施。v基本目标:基本目标: 防止对任何资源(如计算资源、通信资源或信息资源)进行防止对任何资源(如计算资源、通信资源或信息资源)进行未授权的访问。未授权的访问。从而使计算机系统在合法范围内使用;决定用从而使计算机系统在合法范围内使用;决定用户能做什么,也决定代表一定用户利益的程序能做什么。户能做什么,也决定代表一定用户利益的程序能做什么。v未授权的访问包括:未经授权的使用、泄露、修改、销毁信息未授权的访问包括:未经授权的使用、泄露、修改、销毁信息以及颁发指令等。以及颁发指令等。非法用户进入系统。非法用户进入系统。合法用户对系统资源的非法使用。合法用户对系统资源的非法使用。4访问控制
4、的作用访问控制的作用v访问控制对机密性、完整性起直接的作用。访问控制对机密性、完整性起直接的作用。v对于可用性,访问控制通过对以下信息的有效对于可用性,访问控制通过对以下信息的有效控制来实现:控制来实现:(1 1)谁可以颁发影响网络可用性的网络管理)谁可以颁发影响网络可用性的网络管理指令指令(2 2)谁能够滥用资源以达到占用资源的目的)谁能够滥用资源以达到占用资源的目的(3 3)谁能够获得可以用于拒绝服务攻击的信)谁能够获得可以用于拒绝服务攻击的信息息5访问控制模型基本组成访问控制模型基本组成 6访问控制与其他安全服务的关系模型访问控制与其他安全服务的关系模型 引用监引用监 控器控器身份鉴别身
5、份鉴别访问控制访问控制授权数据库授权数据库用户用户目目标标目目标标目目标标目目标标目目标标审审 计计安全管理员安全管理员访问控访问控制决策制决策单元单元7第六章第六章 访问控制访问控制访问控制:主体对客体的访问受到控制,是访问控制:主体对客体的访问受到控制,是一种加强授权的方法。一种加强授权的方法。授权:资源所有者对他人使用资源的许可。授权:资源所有者对他人使用资源的许可。资源:信息、处理、通信、物理资源四种。资源:信息、处理、通信、物理资源四种。访问一种资源就是从这个资源中获得信息、访问一种资源就是从这个资源中获得信息、修改资源或利用它完成某种功能。修改资源或利用它完成某种功能。客体(目标客
6、体(目标):):可供可供访问的各种软硬件资源访问的各种软硬件资源。权威机构:目标的拥有者或控制者。权威机构:目标的拥有者或控制者。8第六章第六章 访问控制访问控制主体(主体(subject):):访问的发起者访问的发起者发起者是试图访问某个目标的用户或者是用发起者是试图访问某个目标的用户或者是用户行为的代理。必须控制它对客体的访问。户行为的代理。必须控制它对客体的访问。主体通常为进程,程序或用户。主体通常为进程,程序或用户。敏感标签敏感标签 sensitivity label 表示客体安全级别并描述客体数据敏感性的表示客体安全级别并描述客体数据敏感性的一组信息,一组信息,TCSEC中把敏感标记
7、作为强制访中把敏感标记作为强制访问控制决策的依据。问控制决策的依据。根据控制范围划分:网内控制、网间控制。根据控制范围划分:网内控制、网间控制。9阻止非授权用户访问目标的方法:阻止非授权用户访问目标的方法:1)访问请求过滤器:)访问请求过滤器:当一个发起者试图访问一个目标时,审查其当一个发起者试图访问一个目标时,审查其是否获准以请求的方式访问目标;是否获准以请求的方式访问目标;2)分离)分离防止非授权用户有机会去访问敏感的目标。防止非授权用户有机会去访问敏感的目标。这两种方法涉及:这两种方法涉及:访问控制机制和访问控制策略。访问控制机制和访问控制策略。10v访问控制策略访问控制策略系统中存取文
8、件或访问信息的一整套严密安全系统中存取文件或访问信息的一整套严密安全的规则。通过不同方式建立:的规则。通过不同方式建立:OS固有的,管固有的,管理员或用户制定的。理员或用户制定的。v访问控制机制访问控制机制对访问控制策略抽象模型的许可状态转换为系对访问控制策略抽象模型的许可状态转换为系统的物理形态,并对访问和授权进行监测。统的物理形态,并对访问和授权进行监测。是具体实施访问策略的所有功能的集合,这是具体实施访问策略的所有功能的集合,这些功能可通过系统的软硬件实现。些功能可通过系统的软硬件实现。11第六章 访问控制访问控制的种类访问控制的种类1、入网访问控制、入网访问控制控控制制哪哪些些用用户户
9、能能登登录录到到服服务务器器并并获获取取网网络络资资源源,控制用户入网时间,在哪台工作站入网。控制用户入网时间,在哪台工作站入网。用用户户的的入入网网访访问问控控制制可可分分为为三三个个步步骤骤:用用户户名名的的识识别别与与验验证证、用用户户口口令令的的识识别别与与验验证证、用用户户帐号的缺省限制检查。帐号的缺省限制检查。 缺缺省省限限制制检检查查。如如网网络络应应能能控控制制用用户户登登录录入入网网的的站站点点、限限制制用用户户入入网网的的时时间间、限限制制用用户户入入网网的工作站数量。的工作站数量。 12第六章第六章 访问控制访问控制2、网络的权限控制、网络的权限控制用用户户和和用用户户组
10、组被被赋赋予予一一定定的的权权限限。网网络络控控制制用用户户和和用用户户组组可可以以访访问问哪哪些些目目录录、子子目目录录、文文件件和和其其他他资资源源。可可以以指指定定用用户户对对这这些些文文件件、目录、设备能够执行哪些操作。目录、设备能够执行哪些操作。受受托托者者指指派派和和继继承承权权限限屏屏蔽蔽(IRM)可可作作为为其其两两种种实实现现方方式式。受受托托者者指指派派控控制制用用户户和和用用户户组组如如何何使使用用网网络络服服务务器器的的目目录录、文文件件和和设设备备。继继承承权权限限屏屏蔽蔽相相当当于于一一个个过过滤滤器器,可可以以限制子目录从父目录那里继承哪些权限。限制子目录从父目录
11、那里继承哪些权限。13第六章 访问控制3、目录级安全控制、目录级安全控制网网络络应应允允许许控控制制用用户户对对目目录录、文文件件、设设备备的的访访问问。用用户户在在目目录录一一级级指指定定的的权权限限对对所所有有文文件件和和子子目目录录有有效效,用用户户还还可可进进一一步步指指定定对对目目录录下下的的子子目目录录和和文文件件的的权权限限。对对目目录录和和文文件件的的访访问问权权限限一一般般有有八八种种:系系统统管管理理员员权权限限(Supervisor)、读读权权限限(Read)、写写权权限限(Write)、创创建建权权限限(Create)、删删除除权权限限(Erase)、修修改改权权限限(
12、Modify)、文文件件查查找找权权限限(File Scan)、存存取取控控制制权权限限(Access Control)。)。 14第六章第六章 访问控制访问控制4、属性安全控制、属性安全控制当当用用文文件件、目目录录和和网网络络设设备备时时,网网络络系系统统管管理理员员应应给给文文件件、目目录录等等指指定定访访问问属属性性。属属性性安安全全控控制制可可以以将将给给定定的的属属性性与与网网络络服服务务器器的的文文件件、目目录录和和网网络络设设备备联联系系起起来来。属属性性安安全全在在权权限限安安全全的的基基础础上上提提供供更更进进一一步步的的安安全全性性。网网络络上上的的资资源源都都应应预预先
13、先标标出出一一组组安安全全属属性性。用用户户对对网网络络资资源源的的访访问问权权限限对对应应一一张张访访问问控控制制表表,用用以以表表明明用用户户对对网网络络资资源源的的访访问问能能力力。属属性性设设置置可可以以覆覆盖盖已已经经指指定定的的任任何何受受托托者者指指派和有效权限。派和有效权限。 15第六章 访问控制5、网络服务器安全控制、网络服务器安全控制网网络络允允许许在在服服务务器器控控制制台台上上执执行行一一系系列列操操作作。用用户户使使用用控控制制台台可可以以装装载载和和卸卸载载模模块块,可可以以安安装装和和删删除除软软件件等等操操作作。网网络络服服务务器器的的安安全全控控制制包包括括可
14、可以以设设置置口口令令锁锁定定服服务务器器控控制制台台,以以防防止止非非法法用用户户修修改改、删删除除重重要要信信息息或或破破坏坏数数据据;可可以以设设定定服服务务器器登登录录时时间间限限制制、非非法法访问者检测和关闭的时间间隔。访问者检测和关闭的时间间隔。 16第六章 访问控制6、网络监测和锁定控制、网络监测和锁定控制网网络络管管理理员员应应对对网网络络实实施施监监控控,服服务务器器应应记记录录用用户户对对网网络络资资源源的的访访问问,对对非非法法的的网网络络访访问问,服服务务器器应应以以图图形形或或文文字字或或声声音音等等形形式式报报警警,以以引引起起网网络络管管理理员员的的注注意意。如如
15、果果不不法法之之徒徒试试图图进进入入网网络络,网网络络服服务务器器应应会会自自动动记记录录企企图图尝尝试试进进入入网网络络的的次次数数,如如果果非非法法访访问问的的次次数数达达到到设设定定数数值值,那那么么该该帐帐户户将将被被自自动动锁锁定。定。 17第六章第六章 访问控制访问控制7、网络端口和节点的安全控制、网络端口和节点的安全控制网网络络中中服服务务器器的的端端口口往往往往使使用用自自动动回回呼呼设设备备、静静默默调调制制解解调调器器加加以以保保护护,并并以以加加密密的的形形式式来来识识别别节节点点的的身身份份。自自动动回回呼呼设设备备用用于于防防止止假假冒冒合合法法用用户户,静静默默调调
16、制制解解调调器器用用以以防防范范黑黑客客的的自自动动拨拨号号程程序序对对计计算算机机进进行行攻攻击击。网网络络还还常常对对服服务务器器端端和和用用户户端端采采取取控控制制,用用户户必必须须携携带带证证实实身身份份的的验验证证器器(如如智智能能卡卡、磁磁卡卡、安安全全密密码码发发生生器器)。在在对对用用户户的的身身份份进进行行验验证证之之后后,才才允允许许用用户户进进入入用用户户端端。然然后后,用用户端和服务器端再进行相互验证。户端和服务器端再进行相互验证。18第六章第六章 访问控制访问控制8、防火墙控制、防火墙控制防防火火墙墙是是近近期期发发展展起起来来的的一一种种保保护护计计算算机机网网络络
17、安安全全的的技技术术性性措措施施,它它是是一一个个用用以以阻阻止止网网络络中中的的黑黑客客访访问问某某个个机机构构网网络络的的屏屏障障,也也可可称称之之为为控控制制进进/出出两两个个方方向向通通信信的的门门槛槛。在在网网络络边边界界上上通通过过建建立立起起来来的的相相应应网网络络通通信信监监控控系系统统来来隔隔离离内内部部和和外外部部网网络络,以以阻阻挡挡外外部部网网络的侵入。络的侵入。 19二、访问控制策略二、访问控制策略任何访问控制策略最终可被模型化为任何访问控制策略最终可被模型化为访问矩阵访问矩阵形式。形式。每一行:用户每一行:用户每一列:目标每一列:目标矩阵元素:相应的用户对目标的访问
18、许可。矩阵元素:相应的用户对目标的访问许可。20访问控制策略模型可分为:访问控制策略模型可分为:自主式策略(基于身份的策略)自主式策略(基于身份的策略)基于个人的策略基于个人的策略 隐含的缺省策略隐含的缺省策略 禁止禁止/开放开放 最小特权原则:最大限度地控制用户为完成授权任最小特权原则:最大限度地控制用户为完成授权任务所需要的许可集。务所需要的许可集。基于组的策略基于组的策略多个用户被组织在一起并赋予一个共同的标识符。多个用户被组织在一起并赋予一个共同的标识符。更容易、更有效。更容易、更有效。强制式策略(基于规则的策略)强制式策略(基于规则的策略)多用于机密、军事部门多用于机密、军事部门21
19、如何决定访问权限如何决定访问权限v用户分类用户分类v资源资源v资源及使用资源及使用v访问规则访问规则22用户的分类用户的分类(1)特殊的用户:系统管理员,具有最高级别)特殊的用户:系统管理员,具有最高级别的特权,可以访问任何资源,并具有任何类型的特权,可以访问任何资源,并具有任何类型的访问操作能力的访问操作能力(2)一般的用户:最大的一类用户,他们的访)一般的用户:最大的一类用户,他们的访问操作受到一定限制,由系统管理员分配问操作受到一定限制,由系统管理员分配(3)作审计的用户:负责整个安全系统范围内)作审计的用户:负责整个安全系统范围内的安全控制与资源使用情况的审计的安全控制与资源使用情况的
20、审计(4)作废的用户:被系统拒绝的用户。)作废的用户:被系统拒绝的用户。23资源资源v系统内需要保护的是系统资源:系统内需要保护的是系统资源:磁盘与磁带卷标磁盘与磁带卷标远程终端远程终端信息管理系统的事务处理及其应用信息管理系统的事务处理及其应用数据库中的数据数据库中的数据应用资源应用资源24资源和使用v对对需要保护的资源定义一个访问控制包需要保护的资源定义一个访问控制包(Access control packet),包括:包括:资源名及拥有者的标识符资源名及拥有者的标识符缺省访问权缺省访问权用户、用户组的特权明细表用户、用户组的特权明细表允许资源的拥有者对其添加新的可用数据的操作允许资源的拥
21、有者对其添加新的可用数据的操作审计数据审计数据25访问规则v规定了若干条件,在这些条件下,可准许访问一个规定了若干条件,在这些条件下,可准许访问一个资源。资源。v规则使用户与资源配对,指定该用户可在该文件上规则使用户与资源配对,指定该用户可在该文件上执行哪些操作,如只读、不许执行或不许访问。执行哪些操作,如只读、不许执行或不许访问。v由系统管理人员来应用这些规则,由硬件或软件的由系统管理人员来应用这些规则,由硬件或软件的安全内核部分负责实施。安全内核部分负责实施。26访问控制的一般实现机制和方法一般实现机制一般实现机制 基于访问控制属性基于访问控制属性 访问控制表访问控制表/矩阵矩阵 基于用户
22、和资源分级(基于用户和资源分级(“安全标签安全标签”) 多级访问控制多级访问控制常见实现方法常见实现方法 访问控制表访问控制表ACLACLs s(Access Control Lists)Access Control Lists) 访问能力表(访问能力表(Capabilities)Capabilities) 授权关系表授权关系表27访问控制矩阵访问控制矩阵任何访问控制策略最终均可被模型化为访问矩阵形式:任何访问控制策略最终均可被模型化为访问矩阵形式:行对应于用户,列对应于目标,每个矩阵元素规定了相应行对应于用户,列对应于目标,每个矩阵元素规定了相应的用户对应于相应的目标被准予的访问许可、实施行
23、为。的用户对应于相应的目标被准予的访问许可、实施行为。28访问控制矩阵v按列看是访问控制表内容按列看是访问控制表内容v 按行看是访问能力表内容按行看是访问能力表内容目标目标xR、W、OwnR、W、Own目标目标y目标目标z用户用户a用户用户b用户用户c用户用户dRRR、W、OwnR、WR、W 目标目标用户用户 29访问控制表(ACL) userAOwnRWOuserB R OuserCRWOObj1userAOwnRWOuserB R OuserCRWOObj1每个客体附加一个它可以访问的主体的明细表每个客体附加一个它可以访问的主体的明细表。30访问能力表(CL) Obj1OwnRWOObj2
24、 R OObj3 RWOUserA每个主体都附加一个该主体可访问的客体的明细表。每个主体都附加一个该主体可访问的客体的明细表。31ACL、CL访问方式比较访问方式比较v鉴别方面:二者需要鉴别的实体不同鉴别方面:二者需要鉴别的实体不同v保存位置不同保存位置不同v浏览访问权限浏览访问权限ACL:容易,容易,CL:困难困难v访问权限传递访问权限传递ACL:困难,困难,CL:容易容易v访问权限回收访问权限回收ACL:容易,容易,CL:困难困难vACL和和CL之间转换之间转换ACL-CL:困难困难CL-ACL:容易容易32ACL、CL访问方式比较访问方式比较v多数集中式操作系统使用多数集中式操作系统使用
25、ACL方法或类方法或类似方式似方式v由于分布式系统中很难确定给定客体的由于分布式系统中很难确定给定客体的潜在主体集,在现代潜在主体集,在现代OS中中CL也得到广泛也得到广泛应用应用33授权关系表授权关系表 UserA Own Obj1UserA R Obj1UserA W Obj1UserA W Obj2UserA R Obj234多级策略多级策略目标按敏感性划分为不同密级:绝密目标按敏感性划分为不同密级:绝密top secret、秘密秘密secret、机密机密confidential、限制限制restricted、无密无密级级unclassified。每个用户有一个允许安全级(每个用户有一个
26、允许安全级(clearance)。)。Bell和和LaPadula 安全模型定义了用户和目标在形式上的安安全模型定义了用户和目标在形式上的安全级别关系。全级别关系。只读访问规则:用户只能读不高于其安全级别的数据。只读访问规则:用户只能读不高于其安全级别的数据。只写访问规则:只写访问规则:为防止泄密:为防止泄密: Bell LaPadula 模型模型 “上写上写”完整性:防止删改数据、木马完整性:防止删改数据、木马 Biba 模型模型 “下写下写” 35 自主自主访问控制访问控制强制强制访问控制访问控制基于角色基于角色访问控制访问控制访问控制访问控制访问控制的一般策略模型访问控制的一般策略模型3
27、6自主访问控制(自主访问控制(DAC)第六章 访问控制80年代美国国防部制订了可信计算机系统评年代美国国防部制订了可信计算机系统评估准则(估准则(TCSEC),我国也于我国也于1999年颁布了年颁布了计算机信息系统安全保护等级划分准则这一计算机信息系统安全保护等级划分准则这一国家标准,准则要达到的一个主要目标就是国家标准,准则要达到的一个主要目标就是:阻止非授权用户对敏感信息的访问。访问控阻止非授权用户对敏感信息的访问。访问控制在准则中被分为两类:自主访问控制制在准则中被分为两类:自主访问控制(DAC)和强制访问控制和强制访问控制(MAC)。自主访问控制:自主访问控制:Discretionar
28、y Access Discretionary Access ControlControl强制访问控制:强制访问控制:Mandatory Access ControlMandatory Access Control37第六章 访问控制自主访问:有访问许可的主体能够向其他主体转让自主访问:有访问许可的主体能够向其他主体转让访问权。访问权。访问控制表(访问控制表(ACL)是是DAC中通常采用中通常采用的的一种安全一种安全机制。机制。ACL是带有访问权限的矩阵是带有访问权限的矩阵, 这些访问权是授这些访问权是授予主体访问某一客体的。安全管理员通过维护予主体访问某一客体的。安全管理员通过维护ACL控制用
29、户访问企业数据。对每一个受保护的资源,控制用户访问企业数据。对每一个受保护的资源,ACL对应一个个人用户列表或由个人用户构成的组对应一个个人用户列表或由个人用户构成的组列表,表中规定了相应的访问模式。列表,表中规定了相应的访问模式。DACDAC的主要特征体现在主体可以自主地把自己所拥有的主要特征体现在主体可以自主地把自己所拥有客体的访问权限授予其它主体或者从其它主体收回客体的访问权限授予其它主体或者从其它主体收回所授予的权限,访问通常基于访问控制表(所授予的权限,访问通常基于访问控制表(ACLACL)。)。访问控制的粒度是单个用户。访问控制的粒度是单个用户。 38第六章 访问控制ACL ACL
30、 访问控制表访问控制表 ACLACL是存在于计算机中的一张表,用户对特定系统对象例如文是存在于计算机中的一张表,用户对特定系统对象例如文件目录或单个文件的存取权限。每个对象拥有一个在访问控件目录或单个文件的存取权限。每个对象拥有一个在访问控制表中定义的安全属性。这张表对于每个系统用户有拥有一制表中定义的安全属性。这张表对于每个系统用户有拥有一个访问权限。最一般的访问权限包括读文件(包括所有目录个访问权限。最一般的访问权限包括读文件(包括所有目录中的文件),写一个或多个文件和执行一个文件(如果它是中的文件),写一个或多个文件和执行一个文件(如果它是一个可执行文件或者是程序的时候)。一个可执行文件
31、或者是程序的时候)。访访 对象对象访域访域 文件文件1 1文件文件2 2文件文件3 3文件文件4 4文件文件5 5文件文件6 6打印机打印机1 1绘图仪绘图仪2 2D1D1R RR,WR,WD2D2R RR,W,ER,W,ER,WR,WW WD3D3R,W,ER,W,EW WW W39第六章 访问控制DACDAC的缺点是信息在移动过程中其访问权限关的缺点是信息在移动过程中其访问权限关系会被改变。如用户系会被改变。如用户A A可将其对目标可将其对目标O O的访问的访问权限传递给用户权限传递给用户B,B,从而使不具备对从而使不具备对O O访问权限访问权限的的B B可访问可访问O O。 当用户数量多
32、、管理数据量大时,由于访问当用户数量多、管理数据量大时,由于访问控制的粒度是单个用户,控制的粒度是单个用户,ACL会很庞大。当组会很庞大。当组织内的人员发生能变化(升迁、换岗、招聘、织内的人员发生能变化(升迁、换岗、招聘、离职)、工作职能发生变化(新增业务)时,离职)、工作职能发生变化(新增业务)时,ACL的修改变得异常困难。采用的修改变得异常困难。采用ACL机制管理机制管理授权处于一个较低级的层次,管理复杂、代授权处于一个较低级的层次,管理复杂、代价高以至易于出错。价高以至易于出错。 40第六章 访问控制自主访问控制的访问许可自主访问控制的访问许可 a)等级型:等级型:将将对对客客体体存存取
33、取控控制制表表的的修修改改能能力力划划分分成成等等级级,控控制制关关系系构构成成一一个个树树型型结结构构。系系统统管管理理员员的的等等级级为为等等级级树树的的根根,根根一一级级具具有有修修改改所所有有客客体体存存取取控控制制表表的的能能力力,并并且且具具有有向向任任意意一一个个主主体体分分配配这这种种修修改改权权的的能能力力。在在树树中中的的最最低低级级的的主主体体不不再再具具有有访访问问许许可可,也也就就是是说说他他们们对对相相应应的的客客体体的的存存取取控控制制表表不不再再具具有有修修改改权权。有有访访问问许许可可的的主主体体(即即有有能能力力修修改改客客体体的的存存取取控控制制表表),可
34、可以以对对自自己己授授与与任任何何访访问问模模式式的访问权。的访问权。 41访问许可(Access Permission)(1)等级型的(Hierarchical)最高领导(系统操作员)部门领导部门领导科组领导科组领导科组领导科组领导成员成员成员成员成员成员成员成员42第六章第六章 访问控制访问控制自主访问控制的访问许可自主访问控制的访问许可 b)拥有型:拥有型:是是对对每每个个客客体体设设立立一一个个拥拥有有者者(通通常常是是该该客客体体的的生生成成者者)。只只有有拥拥有有者者才才是是对对客客体体有有修修改改权权的的唯唯一一主主体体。拥拥有有者者对对其其拥拥有有的的客客体体具具有有全全部部控
35、控制制权权。但但是是,拥拥有有者者无无权权将将其其对对客客体体的的控控制制权权分分配配给给其其它它主主体体。因因此此,客客体体拥拥有有者者在在任任何何时时候候都都可可以以改改变变其其所所属属客客体体的的存存取取控控制制表表,并并可可以以对对其其它它主主体体授授予予或或者者撤撤消消其其对对客客体体的的任任何何一种访问模式。一种访问模式。43(2)有主型的有主型的(Owner) 对每个客体设置一个拥有者对每个客体设置一个拥有者(通常是客体的生成者通常是客体的生成者).拥有者是拥有者是唯一有权修改客体访问控制表的唯一有权修改客体访问控制表的主体主体,拥有者对其客体具有全部控拥有者对其客体具有全部控制
36、权制权.44第六章 访问控制自主访问控制的访问许可自主访问控制的访问许可 c)自由型:自由型:自自由由型型方方案案的的特特点点是是:一一个个客客体体的的生生成成者者可可以以对对任任何何一一个个主主体体分分配配对对它它拥拥有有的的客客体体的的访访问问控控制制权权,即即对对客客体体的的存存取取控控制制表表有有修修改改权权,并并且且还还可可使使其其对对它它主主体体也也具具有有分分配配这这种种权权力力的的能能力力。在这种系统中,不存在在这种系统中,不存在“拥有者拥有者”概念。概念。 45第六章第六章 访问控制访问控制在在实实现现自自主主访访问问控控制制的的各各种种各各样样系系统统中中,访访问模式的应用
37、是很广泛的。问模式的应用是很广泛的。文件。对文件设置的访问模式有以下几种:文件。对文件设置的访问模式有以下几种:读拷贝读拷贝(read-copy)写删除(写删除(write-delete) 执行(执行(execute) Null(无无效效)这这种种模模式式表表示示,主主体体对对客客体体不不具具有有任任何何访访问问权权。在在存存取取控控制制表表中中用用这这种种模模式式可以排斥某个特定的主体。可以排斥某个特定的主体。46基于身份的策略:基于个人的策略基于身份的策略:基于个人的策略根据哪些用户可对一个目标实施哪一种行为的列根据哪些用户可对一个目标实施哪一种行为的列表来表示。表来表示。等价于用一个目标
38、的访问矩阵等价于用一个目标的访问矩阵列列来描述来描述基础基础(前提前提):一个隐含的、或者显式的缺省策略:一个隐含的、或者显式的缺省策略例如,全部权限否决例如,全部权限否决最小特权原则:要求最大限度地限制每个用户为实施最小特权原则:要求最大限度地限制每个用户为实施授权任务所需要的许可集合授权任务所需要的许可集合在不同的环境下,缺省策略不尽相同,例如,在公开在不同的环境下,缺省策略不尽相同,例如,在公开的布告板环境中,所有用户都可以得到所有公开的信的布告板环境中,所有用户都可以得到所有公开的信息息对于特定的用户,有时候需要提供显式的否定许可对于特定的用户,有时候需要提供显式的否定许可例如,对于违
39、纪的内部员工,禁止访问内部一些信息例如,对于违纪的内部员工,禁止访问内部一些信息47基于身份的策略:基于组的策略基于身份的策略:基于组的策略一组用户对于一个目标具有同样的访问许可。一组用户对于一个目标具有同样的访问许可。相当于,把访问矩阵中多个行压缩为一个行。相当于,把访问矩阵中多个行压缩为一个行。实际使用时实际使用时先定义组的成员先定义组的成员对用户组授权对用户组授权同一个组可以被重复使用同一个组可以被重复使用组的成员可以改变组的成员可以改变48强制访问控制(强制访问控制(MACMAC)第六章第六章 访问控制访问控制系统对所有主体及其所控制的客体(例如:进程、系统对所有主体及其所控制的客体(
40、例如:进程、文件、段、设备)实施强制访问控制。为这些主体文件、段、设备)实施强制访问控制。为这些主体及客体指定敏感标记,这些标记是等级分类和非等及客体指定敏感标记,这些标记是等级分类和非等级类别的组合,它们是实施强制访问控制的依据。级类别的组合,它们是实施强制访问控制的依据。系统根据主体和客体的敏感标记来决定访问模式。系统根据主体和客体的敏感标记来决定访问模式。如:绝密级,秘密级,机密级,无密级。如:绝密级,秘密级,机密级,无密级。MACMAC通过通过梯度安全标签实现单向信息流通模式。梯度安全标签实现单向信息流通模式。特点:强制性;限制性。特点:强制性;限制性。上读;下读;上写;下写上读;下读
41、;上写;下写强制方法:限制修改强制方法:限制修改ACLACL;过程控制;限制共享。过程控制;限制共享。49精确描述精确描述v强制访问控制强制访问控制(MAC)中,系统包含主体集中,系统包含主体集S和客体集和客体集O,每个每个S中的主体中的主体s及客体集中的客体及客体集中的客体o,都属于一都属于一固定的安全类固定的安全类SC,安全类安全类SC=包括两个部分:包括两个部分:有层次的安全级别和无层次的安全范畴。构成一偏有层次的安全级别和无层次的安全范畴。构成一偏序关系序关系。(1)(1)Bell-Bell-LaPadulaLaPadula:保证保密性保证保密性- - 简单安全特性简单安全特性( (无
42、上读无上读) ):仅当:仅当SC(o)SC(o)SC(s)时,时,s可以读取可以读取o- *-特性特性(无下写无下写): 仅当仅当SC(s) SC(o)时,时,s可以修改可以修改o(2)(2)BibaBiba:保证完整性保证完整性- - 同同(1)(1)相反相反50强制访问控制实现机制强制访问控制实现机制-安全标签安全标签v安全标签安全标签是限制在目标上的一组安全属性信息是限制在目标上的一组安全属性信息项。在访问控制中,一个安全标签隶属于一个项。在访问控制中,一个安全标签隶属于一个用户、一个目标、一个访问请求或传输中的一用户、一个目标、一个访问请求或传输中的一个访问控制信息。个访问控制信息。v
43、最通常的用途是支持多级访问控制策略。最通常的用途是支持多级访问控制策略。 在处理一个访问请求时,目标环境比较请求上在处理一个访问请求时,目标环境比较请求上的标签和目标上的标签,应用策略规则(如的标签和目标上的标签,应用策略规则(如Bell Bell LapadulaLapadula规则)决定是允许还是拒绝访规则)决定是允许还是拒绝访问。问。51自主自主/ /强制访问的问题强制访问的问题自主访问控制自主访问控制配置的粒度小配置的粒度小配置的工作量大,效率低配置的工作量大,效率低强制访问控制强制访问控制配置的粒度大配置的粒度大缺乏灵活性缺乏灵活性52基于角色访问控制(基于角色访问控制(RBAC)兼
44、有基于身份和基于规则的策略特征。可看作兼有基于身份和基于规则的策略特征。可看作基于组的策略的变形,一个角色对应一个组。基于组的策略的变形,一个角色对应一个组。例:银行业务系统中例:银行业务系统中 用户多种角色用户多种角色优点:优点: 对于非专业的管理人员,容易制定安全策略;对于非专业的管理人员,容易制定安全策略; 容易被映射到一个访问矩阵或基于组的策略。容易被映射到一个访问矩阵或基于组的策略。53第六章第六章 访问控制访问控制角色、许可、用户、会话、活跃角色角色、许可、用户、会话、活跃角色许许可可是是允允许许对对一一个个或或多多个个客客体体执执行行操操作作。角角色色是是许许可可的的集集合合。R
45、BACRBAC的的基基本本思思想想是是:授授权权给给用用户户的的访访问问权权限限, ,通通常常由由用用户户在在一一个个组组织织中中担担当当的的角角色色来来确确定定。ACLACL直直接接将将主主体体和和目目标标相相联联系系,而而RBACRBAC在在中中间间加加入入了了角角色色,通通过过角角色色沟沟通通主主体体与与目目标标。分分层层的的优优点点是是当当主主体体发发生生变变化化时时,只只需需修修改改主主体体与角色之间的关联而不必修改角色与客体的关联。与角色之间的关联而不必修改角色与客体的关联。角色:用户的集合与许可的集合。角色:用户的集合与许可的集合。54第六章第六章 访问控制访问控制RBACRBA
46、C中中许许可可被被授授权权给给角角色色,角角色色被被授授权权给给用用户户,用用户户不不直直接接与与许许可可关关联联。RBACRBAC对对访访问问权权限限的的授授权权由由管管理理员员统统一一管管理理,而而且且授授权权规规定定是是强强加加给给用用户户的的,这这是一种非自主型集中式访问控制方式。是一种非自主型集中式访问控制方式。用用户户是是一一个个静静态态的的概概念念,会会话话则则是是一一个个动动态态的的概概念念。一一次次会会话话是是用用户户的的一一个个活活跃跃进进程程,它它代代表表用用户户与与系系统统交交互互。用用户户与与会会话话是是一一对对多多关关系系,一一个个用用户户可可同同时时打打开开多多个
47、个会会话话。一一个个会会话话构构成成一一个个用用户户到到多多个个角角色色的的映映射射,即即会会话话激激活活了了用用户户授授权权角角色色集集的的某某个个子子集集,这这个个子子集集称称为为活活跃跃角角色色集集。活活跃跃角角色色集集决决定定了了本次会话的许可集。本次会话的许可集。 55第六章第六章 访问控制访问控制1 1、RBACRBAC能够描述复杂的安全策略能够描述复杂的安全策略 通过角色定义、分配和设置适应安全策略通过角色定义、分配和设置适应安全策略 系系统统管管理理员员定定义义系系统统中中的的各各种种角角色色,每每种种角角色色可可以以完完成成一一定定的的职职能能,不不同同的的用用户户根根据据其
48、其职职能能和和责责任任被被赋赋予予相相应应的的角角色色,一一旦旦某某个个用用户户成成为为某某角角色色的的成成员员,则则此此用用户户可可以以完完成成该该角角色色所所具具有有的的职职能能。根根据据组组织织的的安安全全策策略略特特定定的的岗岗位位定定义义为为特特定定的的角角色色、特特定定的的角角色色授授权权给给特特定定的的用用户户。例例如如可可以以定定义义某某些些角角色色接接近近DACDAC,某某些些角角色色接接近近MACMAC。系系统统管管理理员员也也可可以以根根据据需需要要设设置置角角色色的的可可用用性性以以适适应应某某一一阶阶段段企企业业的的安安全全策策略略,例例如如设设置置所所有有角角色色在
49、在所所有有时时间间内内可可用用、特特定定角角色色在在特特定定时时间间内内可可用用、用用户户授授权权角角色色的的子子集集在特定时间内可用。在特定时间内可用。56基于角色访问控制(基于角色访问控制(RBAC) 第六章 访问控制通过角色分层映射组织结构通过角色分层映射组织结构 组组织织结结构构中中通通常常存存在在一一种种上上、下下级级关关系系,上上一一级级拥拥有有下下一一级级的的全全部部权权限限,为为此此,RBACRBAC引引入入了了角角色色分分层层的的概概念念。角角色色分分层层把把角角色色组组织织起起来来,能能够够很很自自然然地地反反映映组组织织内内部部人人员员之之间间的的职职权权、责责任任关关系
50、系。层层次次之之间间存存在在高高对对低低的的继继承承关关系系,即即父父角角色色可可以以继继承承子子角角色色的的许许可。可。57基于角色访问控制(基于角色访问控制(RBAC) 第六章 访问控制58角色的继承关系59第六章 访问控制容易实现最小特权(容易实现最小特权(least privilegeleast privilege)原则原则 最最小小特特权权原原则则在在保保持持完完整整性性方方面面起起着着重重要要的的作作用用。最最小小特特权权原原则则是是指指用用户户所所拥拥有有的的权权力力不不能能超超过过他他执执行行工工作作时时所所需需的的权权限限。这这一一原原则则的的应应用用可可限限制制事事故故、错
51、错误误、未未授授权权使使用用带带来来的的损损害害。使使用用RBACRBAC能能够够容容易易地地实实现现最最小小特特权权原原则则。在在RBACRBAC中中,系系统统管管理理员员可可以以根根据据组组织织内内的的规规章章制制度度、职职员员的的分分工工等等设设计计拥拥有有不不同同权权限限的的角角色色,只只有有角角色色需需要要执执行行的的操操作作才才授授权权给给角角色色。当当一一个个主主体体要要访访问问某某资资源源时时, ,如如果果该该操操作作不不在在主主体体当当前活跃角色的授权操作之内,该访问将被拒绝。前活跃角色的授权操作之内,该访问将被拒绝。60第六章第六章 访问控制访问控制满足职责分离满足职责分离
52、(separation of duties)separation of duties)原则原则 这这是是保保障障安安全全的的一一个个基基本本原原则则,是是指指有有些些许许可可不不能能同同时时被被同同一一用用户户获获得得,以以避避免免安安全全上上的的漏漏洞洞。例例如如收收款款员员、出出纳纳员员、审审计计员员应应由由不不同同的的用用户户担担任任。在在RBACRBAC中中,职职责责分分离离可可以以有有静静态态和和动动态态两两种种实实现现方方式式。静静态态职职责责分分离离只只有有当当一一个个角角色色与与用用户户所所属属的的其其他他角角色色彼彼此此不不互互斥斥时时, ,这这个个角角色色才才能能授授权权给
53、给该该用用户户。动动态态职职责责分分离离只只有有当当一一个个角角色色与与一一主主体体的的任任何何一一个个当当前前活活跃跃角角色色都都不不互互斥斥时时该该角角色色才才能能成成为为该该主主体体的的另另一一个个活活跃跃角角色色。角角色色的的职职责责分离也称为角色互斥,是角色限制的一种。分离也称为角色互斥,是角色限制的一种。 61第六章 访问控制岗位上的用户数通过角色基数约束 企业中有一些角色只能由一定人数的用户占用,在创建新的角色时,通过指定角色的基数来限定该角色可以拥有的最大授权用户数。如总经理角色只能由一位用户担任。RBAC数据库设计维护RBAC数据库是系统管理员的基本职责,这里分析RBAC数据
54、库的基本表和相关操作。RBAC数据库包括静态数据和动态数据。62第六章 访问控制静态数据 用户表包括用户标识、姓名、登录密码。它是系统中的个体用户集,随用户的添加与删除动态变化。 角色表包括角色标识、角色名称、角色基数、角色可用标识。角色表是系统角色集,由系统管理员定义角色。受控对象表包括对象标识、对象名称。受控对象表是客体集,系统中所有受控对象的集合。 操作算子表包括操作标识、操作算子名称。系统中所有受控对象的操作算子构成操作算子表。许可表包括许可标识、许可名称、受控对象、操作标识。许可表给出了受控对象与操作算子的对应关系。 63第六章 访问控制角色/许可授权表包括角色标识、许可标识。系统管
55、理员为角色分配或取消许可,管理角色/许可授权表。用户/角色分配表包括用户标识、角色标识。系统管理员为用户分配或取消角色,管理用户/角色分配表。用户/角色授权表包括用户标识、角色标识、可用性。角色r授权给一个用户u,要么是角色r分配给用户u,要么是角色r通过一个分配给用户u的角色继承而来。用户/角色授权表记录了用户通过用户/角色分配表以及角色继承而取得的所有角色。可用性为真时,用户才真正可以使用该角色赋予的许可。 64第六章第六章 访问控制访问控制角角色色层层次次表表包包括括上上一一级级角角色色标标识识、下下一一级级角角色色标识。上一级角色包含下一级角色的许可。标识。上一级角色包含下一级角色的许
56、可。静静态态互互斥斥角角色色表表包包括括角角色色标标识识1、角角色色标标识识2。系统管理员为用户添加角色时参考。系统管理员为用户添加角色时参考。动动态态互互斥斥角角色色表表包包括括角角色色标标识识1、角角色色标标识识2。在用户创建会话选择活跃角色集时参考。在用户创建会话选择活跃角色集时参考。动态数据动态数据会话表包括会话标识、用户标识。会话表包括会话标识、用户标识。会话的活跃角色表包括会话标识、角色标识。会话的活跃角色表包括会话标识、角色标识。65第六章 访问控制RBAC系统结构RBAC系统结构由RBAC数据库、身份认证模块、系统管理模块、会话管理模块组成。身份认证模块通过用户标识、用户口令确
57、认用户身份。此模块仅使用RBAC数据库的USERS表。 RBAC数据库与各模块的对应关系见图 66五、基于角色访问控制(五、基于角色访问控制(RBAC) 第六章第六章 访问控制访问控制USERSROLESOBJECTSOPERATIONSPERMISSIONS角色角色/许可分配许可分配用户用户/角色分配角色分配会话管理模块会话管理模块定义角色关系定义角色关系系统管理模块系统管理模块图图1 RBAC数据库与各模块的对应关系图数据库与各模块的对应关系图会话会话67第六章第六章 访问控制访问控制系系统统管管理理模模块块主主要要完完成成用用户户增增减减(使使用用USERS表表)、角角色色增增减减(使使
58、用用ROLES表表)、用用 户户 /角角 色色 的的 分分 配配 ( 使使 用用 USERS表表 、ROLES表表、用用户户/角角色色分分配配表表、用用户户/角角色色授授权权表表)、角角色色/许许可可的的分分配配(使使用用ROLES表表、PERMISSIONS表表、角角色色/许许可可授授权权表表)、定定义义角角色色间间的的关关系系(使使用用ROLES表表、角角色色层层次次表表、静静态态互互斥斥角角色色表表、动动态态互互斥斥角角色色表表),其其中中每每个个操操作作都都带带有有参参数数,每每个个操操作作都都有有一一定定的的前前提提条条件件,操操作作使使RBAC数数据据库库发发生生动动态态变变化化。
59、系系统统管管理理员员使使用用该该模模块块初初始始化化RBAC数据库并维护数据库并维护RBAC数据库。数据库。68第六章第六章 访问控制访问控制系系统统管管理理员员的的操操作作包包括括添添加加、删删除除用用户户,添添加加、删删除除角角色色,设设置置角角色色可可用用性性,为为角角色色增增加加许许可可,取取消消角角色色的的某某个个许许可可,为为用用户户分分配配或或取取消消某某个个角角色色,设设置置用用户户授授权权角角色色的的可可用用性性,添添加加或或取取消消角角色色继继承承关关系系,添添加加或或删删除除一一个个静静态态角角色色互互斥斥关关系系,添添加加或或删删除除一一个个动动态角色互斥关系,设置角色
60、基数。态角色互斥关系,设置角色基数。会会话话管管理理模模块块结结合合RBAC数数据据库库管管理理会会话话。包包括括会会话话的的创创建建与与取取消消以以及及对对活活跃跃角角色色的的管管理理。此此模模块块使使用用USERS表表、ROLES表表、动动态互斥角色表、会话表和活跃角色表。态互斥角色表、会话表和活跃角色表。69第六章第六章 访问控制访问控制RBAC系统的运行步骤系统的运行步骤 用用户户登登录录时时向向身身份份认认证证模模块块发发送送用用户户标标识识、用用户户口令,确证用户身份;口令,确证用户身份;会会话话管管理理模模块块从从RBAC数数据据库库检检索索该该用用户户的的授授权权角色集并送回用
61、户;角色集并送回用户;用用户户从从中中选选择择本本次次会会话话的的活活跃跃角角色色集集,在在此此过过程程中会话管理模块维持动态角色互斥;中会话管理模块维持动态角色互斥;会会话话创创建建成成功功,本本次次会会话话的的授授权权许许可可体体现现在在菜菜单单与按扭上,如不可用显示为灰色;与按扭上,如不可用显示为灰色;在在会会话话过过程程中中,系系统统管管理理员员若若要要更更改改角角色色或或许许可可,可在此会话结束后进行或终止此会话立即进行。可在此会话结束后进行或终止此会话立即进行。 70六、访问控制的其它考虑六、访问控制的其它考虑v附加的控制附加的控制依赖于值的控制:临界数据的敏感性依赖于值的控制:临
62、界数据的敏感性多用户控制:需要多个个体、角色的同意多用户控制:需要多个个体、角色的同意基于上下文控制:时间、用户位置、通信路径基于上下文控制:时间、用户位置、通信路径v目标的粒度目标的粒度 策略与粒度大小密切相关。策略与粒度大小密切相关。v策略的交互作用策略的交互作用多种策略作用于一个目标时,需要策略协调规则多种策略作用于一个目标时,需要策略协调规则规定策略优先关系,解决策略冲突。规定策略优先关系,解决策略冲突。71v穿越互操作区域的策略映射穿越互操作区域的策略映射安全区域边界的翻译、映射,不同区域安全策略不同安全区域边界的翻译、映射,不同区域安全策略不同v访问控制转发访问控制转发如果如果B是
63、不可信的,或者是不可信的,或者B受到攻击,则受到攻击,则C将受到威胁。将受到威胁。通信访问控制与路由控制通信访问控制与路由控制 a)连接访问控制:连接访问控制: b)网络数据访问控制:网络数据访问控制: 路由控制:确保数据通过安全的子网、连接。在网路由控制:确保数据通过安全的子网、连接。在网络层,使用络层,使用a或或b方式;在方式;在E-mail这样的存储转发系这样的存储转发系统中,路由控制可出现在应用层。统中,路由控制可出现在应用层。发起者发起者A系统系统B目标目标C72v访问控制信息的产生、分发和存储访问控制信息的产生、分发和存储访问控制机制的有效性依赖于访问控制决策的准确性访问控制机制的
64、有效性依赖于访问控制决策的准确性和可信度。所以访问控制策略只能由适当的授权者和可信度。所以访问控制策略只能由适当的授权者独自产生和修改。对访问控制列表的修改由控制许独自产生和修改。对访问控制列表的修改由控制许可来完成,控制许可在逻辑上要与目标访问许可有可来完成,控制许可在逻辑上要与目标访问许可有明显的区别。明显的区别。为满足完整性和数据起源认证需要,访问控制信息通为满足完整性和数据起源认证需要,访问控制信息通常以访问控制证书的形式传递,例:当用户首次登常以访问控制证书的形式传递,例:当用户首次登录时,将获得特权属性证书录时,将获得特权属性证书(PAC)。v访问控制许可的撤消访问控制许可的撤消当某个安全区域去掉一个用户、目标,或改变其安全当某个安全区域去掉一个用户、目标,或改变其安全属性,或怀疑敏感信息受到威胁时属性,或怀疑敏感信息受到威胁时73
