信息安全技术：6-访问控制）.ppt

访问控制1自主访问控制模型的定义自主访问控制模型（DAC Model，Discretionary Access Control Model）是根据自主访问控制策略建立的一种模型，允许合法用户以用户或用户组的身份访问策略规定的客体，同时阻止非授权用户访问客体，某些用户还可以自主地把自己所拥有的客体的访问权限授予其它用户2自主访问控制模型的具体实现自主访问控制又称为任意访问控制LINUX，UNIX、Windows SERVER版本的操作系统都提供自主访问控制的功能在实现上，首先要对用户的身份进行鉴别，然后就可以按照访问控制列表所赋予用户的权限允许和限制用户使用客体的资源主体控制权限的修改通常由特权用户（管理员）或是特权用户组实现 3自主访问控制模型的特点应用广泛任意访问控制对用户提供的灵活的数据访问方式，使得DAC广泛应用在商业和工业环境中DAC模型提供的安全防护相对较低，不能给系统提供充分的数据保护用户可以任意传递权限，那么，没有访问文件File1权限的用户A就能够从有访问权限的用户B那里得到访问权限或是直接获得文件File的访问授权的实施主体自主负责赋予和回收其他主体对客体资源的访问权限，一般采用访问控制矩阵和访问控制列表来存放不同主体的访问控制信息，从而达到对主体访问权限的限制目的4强制访问控制模型的定义（1）强制访问控制模型MAC Model：Mandatory Access Control Model¤为了实现比DAC更为严格的访问控制策略，美国政府和军方开发了各种各样的控制模型，这些方案或模型都有比较完善的和详尽的定义。

¤在DAC访问控制中，用户和客体资源都被赋予一定的安全级别，用户不能改变自身和客体的安全级别，只有管理员才能够确定用户和组的访问权限¤MAC是一种多级访问控制策略，它的主要特点是系统对访问主体和受控对象实行强制访问控制，系统事先给访问主体和受控对象分配不同的安全级别属性，在实施访问控制时，系统先对访问主体和受控对象的安全级别属性进行比较，再决定访问主体能否访问该受控对象5¤MAC对访问主体和受控对象标识两个安全标记|具有偏序关系的安全等级标记具有偏序关系的安全等级标记 （（TS S C RS U））|非等级分类标记非等级分类标记6¤安全等级的层次|主主体体和和客客体体在在分分属属不不同同的的安安全全类类别别时时，，都都属属于于一一个个固固定定的的安安全全类类别别SCSC，，SCSC就就构构成成一一个个偏偏序序关关系系（（比比如如TSTS表表示示绝绝密密级级，，就就比比密密级级S S要要高高））当当主主体体s s的的安安全全类类别别为为TSTS，，而而客客体体o o的的安安全全类类别别 为为 S S时时 ，， 用用 偏偏 序序 关关 系系 可可 以以 表表 述述 为为SC(SC(s s)≥SC()≥SC(o o) )。

7¤考虑到偏序关系，主体对客体的访问主要有四种方式：|向向下下读读（（rdrd，，read read downdown））：：主主体体安安全全级级别别高高于于客客体信息资源的安全级别时允许查阅的读操作；体信息资源的安全级别时允许查阅的读操作；|向向上上读读（（ruru，，readread upup））：：主主体体安安全全级级别别低低于于客客体体信息资源的安全级别时允许的读操作；信息资源的安全级别时允许的读操作；|向向下下写写（（wdwd，，write write downdown））：：主主体体安安全全级级别别高高于于客客体体信信息息资资源源的的安安全全级级别别时时允允许许执执行行的的动动作作或或是是写操作；写操作；|向向上上写写（（wuwu，，writewrite upup））：：主主体体安安全全级级别别低低于于客客体体信信息息资资源源的的安安全全级级别别时时允允许许执执行行的的动动作作或或是是写写操作8¤由于MAC通过分级的安全标签实现了信息的单向流通，因此它一直被军方采用，其中最著名的是Bell-LaPadula模型和Biba模型|Bell-Bell-LaPadulaLaPadula模型具有只允许向下读、向模型具有只允许向下读、向上写的特点，可以有效地防止机密信息向下上写的特点，可以有效地防止机密信息向下级泄露级泄露|BibaBiba模型则具有不允许向下读、向上写的特模型则具有不允许向下读、向上写的特点，可以有效地保护数据的完整性。

点，可以有效地保护数据的完整性 9Bell-Bell-LaPadulaLaPadula模型（模型（BLP ModelBLP Model））BLP[Bell and LaPadula，1976]模型是典型的信息保密性多级安全模型，主要应用于军事系统Bell-LaPadula模型是处理多级安全信息系统的设计基础，客体在处理绝密级数据和秘密级数据时，要防止处理绝密级数据的程序把信息泄露给处理秘密级数据的程序BLP模型的出发点是维护系统的保密性，有效地防止信息泄露10BLP模型的安全策略包括：¤强制访问控制中的安全特性要求对给定安全级别的主体，仅被允许对同一安全级别和较低安全级别上的客体进行“读”；对给定安全级别上的主体，仅被允许向相同安全级别或较高安全级别上的客体进行“写”¤任意访问控制允许用户自行定义是否让个人或组织存取数据¤Bell-LaPadula模型用偏序关系可以表示为|（（1 1））rdrd，，当且仅当当且仅当SC(SC(s s)≥SC()≥SC(o o) )，，允许读操作允许读操作|（（2 2））wuwu，，当且仅当当且仅当SC(SC(s s) ≤SC() ≤SC(o o) )，，允许写操作。

允许写操作11BLP控制模型的特点有效防止低级用户和进程访问安全级别比他们高的信息资源安全级别高的用户和进程也不能向比他安全级别低的用户和进程写入数据BLP模型建立的访问控制原则¤（1）无上读¤（2）无下写12BLP控制模型的不足BLP模型“只能向下读、向上写”的规则忽略了完整性的重要安全指标，使非法、越权篡改成为可能BLP模型定义了安全性属性，即以一组规则表示什么是一个安全的系统，尽管这种基于规则的模型比较容易实现，但是它不能更一般地以语义的形式阐明安全性的含义，因此，这种模型不能解释主客体框架以外的安全性问题13BLP控制模型的不足¤例如，在一种远程读的情况下，一个高安全级主体向一个低安全级客体发出远程读请求，这种分布式读请求可以被看作是从高安全级向低安全级的一个消息传递，也就是“向下写”¤另一个例子是如何处理可信主体的问题，可信主体可以是管理员或是提供关键服务的进程，像设备驱动程序和存储管理功能模块，这些可信主体若不违背BLP模型的规则就不能正常执行它们的任务，而BLP模型对这些可信主体可能引起的泄露危机没有任何处理和避免的方法14BibaBiba模型（模型（BibaBiba Model Model））BLP模型的问题¤BLP模型只解决了信息的保密问题，其在完整性定义存在方面有一定缺陷¤BLP模型没有采取有效的措施制来约对信息的非授权修改，因此使非法、越权篡改成为可能Biba模型模仿BLP模型的信息保密性级别，定义了信息完整性级别，在信息流向的定义方面不允许从级别低的进程到级别高的进程，也就是说用户只能向比自己安全级别低的客体写入信息，从而防止非法用户创建安全级别高的客体信息，避免越权、篡改等行为的产生。

15Biba控制模型的具体实现Biba模型¤禁止向上“写”，这样使得完整性级别高的文件是一定由完整性高的进程所产生的，从而保证了完整性级别高的文件不会被完整性低的文件或完整性低的进程中的信息所覆盖¤没有下“读”¤用偏序关系可以表示为：|ruru，，当且仅当当且仅当SC(SC(s s) ≤SC() ≤SC(o o) )，，允许读操作允许读操作|wdwd，，当且仅当当且仅当SC(SC(s s) ≥SC() ≥SC(o o) )，，允许写操作允许写操作16Biba控制模型的特点Biba模型可同时针对有层次的安全级别和无层次的安全种类Biba模型是和BLP模型的相对立的模型，Biba模型改正了被BLP模型所忽略的信息完整性问题，但在一定程度上却忽视了保密性 17其他访问控制模型的引入MAC和DAC控制为每个用户赋予对客体的访问权限规则集，在这一过程中经常将具有相同职能的用户聚为组，然后再为每个组分配许可权;用户自主地把自己所拥有的客体的访问权限授予其它用户 但是如果企业的组织结构或是系统的安全需求出于变化的过程中时，那么就需要进行大量繁琐的授权变动，系统管理员的工作将变得非常繁重，更主要的是容易发生错误造成一些意想不到的安全漏洞。

考虑到上述因素，必须引入新的模型加以解决 18基于角色的访问控制模型基于角色的访问控制模型RBAC Model，Role-based Access Model¤RBAC模型的基本思想是将访问许可权分配给一定的角色，用户通过饰演不同的角色获得角色所拥有的访问许可权¤在实际应用中，用户并不是可以访问的客体信息资源的所有者（这些信息属于企业或公司），访问控制应该基于员工的职务而不是基于员工在哪个组或谁是信息的所有者¤访问控制是由各个用户在部门中所担任的角色来确定的，例如，一个学校可以有教工、老师、学生和其他管理人员等角色 19RBAC实现过程实现过程20基于角色的访问控制模型RBAC从控制主体的角度出发，根据管理中相对稳定的职权和责任来划分角色，将访问权限与角色相联系，通过给用户分配合适的角色，让用户与访问权限相联系角色成为访问控制中访问主体和受控对象之间的一座桥梁角色可以看作是一组操作的集合，不同的角色具有不同的操作集，这些操作集由系统管理员分配给角色 21角色的作用角色（Role）是指一个可以完成一定事务的命名组，不同的角色通过不同的事务来执行各自的功能角色是代表具有某种能力的人或是某些属性的人的一类抽象角色和组的主要区别在于¤用户属于组是相对固定的，而用户能被指派到哪些角色则受时间、地点、事件等诸多因素影响¤角色比组的抽象级别要高22基于角色的访问控制模型 RBAC是实施面向企业的安全策略的一种有效的访问控制方式，其具有灵活性、方便性和安全性的特点，目前在在大型数据库系统的权限管理中得到普遍应用。

角色由系统管理员定义，角色成员的增减也只能由系统管理员来执行，即只有系统管理员有权定义和分配角色用户与客体无直接联系，他只有通过角色才享有该角色所对应的权限，从而访问相应的客体23 基于任务的访问控制模型基于任务的访问控制模型TBAC Model，Task-based Access Control Model¤是从应用和企业层角度来解决安全问题，以为面向任务的观点，从任务（活动）的角度来建立安全模型和实现安全机制，在任务处理的过程中提供动态实时的安全管理 24 基于任务的访问控制模型TBAC模型由由工作流、授权结构体、受托人集、许可集四部分组成在TBAC中，对象的访问权限控制并不是静止不变的，而是随着执行任务的上下文环境发生变化在工作流环境中，数据的处理与上一次的处理相关联，相应的访问控制也如此，因而TBAC是一种上下文相关的访问控制模型TBAC不仅能对不同工作流实行不同的访问控制策略，而且还能对同一工作流的不同任务实例实行不同的访问控制策略TBAC是基于任务的，这也表明，TBAC是一种基于实例（instance-based）的访问控制模型25 基于任务的访问控制模型TBAC从工作流中的任务角度建模，可以依据任务和任务状态的不同，对权限进行动态管理TBAC非常适合分布式计算和多点访问控制的信息处理控制以及在工作流、分布式处理和事务管理系统中的决策制定26基于对象的访问控制模型当用户数量多、处理的信息数据量巨大时，用户权限的管理任务将变得十分繁重，并且用户权限难以维护，这就降低了系统的安全性和可靠性对于海量的数据和差异较大的数据类型，需要用专门的系统和专门的人员加以处理，要是采用RBAC模型的话，安全管理员除了维护用户和角色的关联关系外，还需要将庞大的信息资源访问权限赋予有限个角色。

27基于对象的访问控制模型当信息资源的种类增加或减少时，安全管理员必须更新所有角色的访问权限设置；如果受控对象的属性发生变化，同时需要将受控对象不同属性的数据分配给不同的访问主体处理时，安全管理员将不得不增加新的角色，并且还必须更新原来所有角色的访问权限设置以及访问主体的角色分配设置，这样的访问控制需求变化往往是不可预知的，造成访问控制管理的难度和工作量巨大在这种情况下，有必要引入基于受控对象的访问控制模型 28基于对象的访问控制模型基于对象的访问控制OBAC Model：Object-based Access Control Model¤控制策略和控制规则是OBAC访问控制系统的核心所在，在基于受控对象的访问控制模型中，将访问控制列表与受控对象或受控对象的属性相关联，并将访问控制选项设计成为用户、组或角色及其对应权限的集合¤允许对策略和规则进行重用、继承和派生操作¤不仅可以对受控对象本身进行访问控制，受控对象的属性也可以进行访问控制，而且派生对象可以继承父对象的访问控制设置，这对于信息量巨大、信息内容更新变化频繁的管理信息系统非常有益，可以减轻由于信息资源的派生、演化和重组等带来的分配、设定角色权限等的工作量。

29基于对象的访问控制模型从信息系统的数据差异变化和用户需求出发，地解决了信息数据量大、数据种类繁多、数据更新变化频繁的大型管理信息系统的安全管理OBAC从受控对象的角度出发，将访问主体的访问权限直接与受控对象相关联¤定义对象的访问控制列表，增、删、修改访问控制项易于操作¤当受控对象的属性发生改变，或受控对象发生继承和派生时，无须更新访问主体的权限，只要修改受控对象的相应访问控制项即可，减少了访问主体的权限管理，降低了授权数据管理的复杂性3031。