保密安全与密码技术-6访问控制.ppt

保密安全与密码技术第六讲 访问控制1安全机制2访问控制的目的访问控制是为了限制访问主体（用户、进程、服 务等）对访问客体（文件、系统等）的访问权限，从 而使计算机系统在合法范围内使用；决定用户能做什 么，也决定代表一定用户利益的程序能做什么3n访问控制的基本概念n基本的访问控制政策模型n访问控制和其他安全机制的关系访问控制原理4访问控制的基本概念n主体(Subject)¨主体是一个主动的实体，它提出对资源访问请求，如用户 ，程序，进程等n客体(Object )¨含有被访问资源的被动实体，如网络、计算机、数据库、 文件、目录、计算机程序、 外设、网络n访问（Access）¨对资源的使用，读、写、修改、删除等操作，例如访问存 储器；访问文件、目录、外设；访问数据库；访问一个网 站5访问控制的基本概念n访问可以被描述为一个三元组 (s, a, o)¨主体，发起者 : Subject，Initiator¨客体，目标 : Object, Target¨访问操作 : AccessObjectRead/Write/Exec6访问控制模型访问控制执行功能 （AEF）访问控制决策功能 （ADF）客体主体的访问 控制信息主体客体的访问 控制信息访问控制政策规则上下文信息(如时间，地址等)决策请求决策访问请求提交访问7访问控制的基本概念n访问控制信息（ACI）的表示¨主体访问控制属性¨客体访问控制属性¨访问控制政策规则n授权（Authorization）¨怎样把访问控制属性信息分配给主体或客体¨如何浏览、修改、回收访问控制权限n访问控制功能的实施¨控制实施部件如何获得实体的访问控制信息¨怎样执行8能力表（Capability List）n能力表与主体关联，规定主体所能访问的客体和权限。

n表示形式：¨用户Profile，由于客体相当多，分类复杂，不便于授权管理¨授权证书，属性证书n从能力表得到一个主体所有的访问权限，很容易n从能力表浏览一个客体所允许的访问控制权限，很困难O1RWO2RO5RWESi9访问控制表（Access Control List）n访问控制表与客体关联，规定能够访问它的主体和权限n由于主体数量一般比客体少得多而且容易分组，授权管 理相对简单n得到一个客体所有的访问权限，很容易n浏览一个主体的所有访问权限，很困难S1RWS2RS5RWEOj10ACL、CL访问方式比较n鉴别方面：二者需要鉴别的实体不同n保存位置不同n浏览访问权限 ¨ACL:容易，CL:困难n访问权限传递 ¨ACL:困难，CL：容易n访问权限回收 ¨ACL:容易，CL：困难nACL和CL之间转换¨ACL->CL：困难¨CL->ACL：容易11ACL、CL访问方式比较n多数集中式操作系统使用ACL方法或类似方 式n由于分布式系统中很难确定给定客体的潜 在主体集，在现代OS中CL也得到广泛应用12访问控制矩阵n访问控制机制可以用一个三元组来表示（S,O,M）¨主体的集合 S={s1,s2,…,sm}¨客体的集合 O={o1,o2,…,on}¨所有操作的集合 A={R, W, E,…} ¨访问控制矩阵 M= S × O  2A13访问控制矩阵n矩阵的的i行Si表示了主体si对所有客体的操作权 限，称为主体si的能力表(Capability List)n矩阵的第j列Oj表示客体oj允许所有主体的操作， 称为oj的访问控制表（ACL）14访问控制策略模型n自主型访问控制DAC （ Discretionary Access Control ）n强制型访问控制MAC （Mandatory Access Control）n基于角色的访问控制RBAC （Role-Based Access Control）n基于对象的访问控制模型OBAC （Object-Based Access Control）15自主型访问控制DACnDiscretionary Access Control , DACn每个客体有一个属主，属主可以按照自己的 意愿把客体的访问控制权限授予其他主体nDAC是一种分布式授权管理的模式n控制灵活，易于管理，是目前应用最为普遍 的访问控制政策16自主型访问控制DACn自主访问控制模型是根据自主访问控制策略建立的一种模型 ，允许合法用户以用户或用户组的身份访问策略规定的客体 ，同时阻止非授权用户访问客体，某些用户还可以自主地把 自己所拥有的客体的访问权限授予其它用户。

n自主访问控制模型的特点是授权的实施主体¨可以授权的主体；¨管理授权的客体；¨授权组n自主访问控制又称为任意访问控制LINUX，UNIX、 WindowsNT或是SERVER版本的操作系统都提供自主访问控 制的功能17自主型访问控制DACnDAC模型提供的安全防护还是相对比较低的，不能给系统 提供充分的数据保护n自主负责赋予和回收其他主体对客体资源的访问权限nDAC采用访问控制矩阵和访问控制列表来存放不同主体的 访问控制信息，从而达到对主体访问权限的限制目的n无法控制信息流动：信息在移动过程中其访问权限关系会 被改变如用户A可将其对目标O的访问权限传递给用户B, 从而使不具备对O访问权限的B可访问On特洛伊木马的威胁 ：特洛伊木马（Trojan）是一段计算机 程序，它附在合法程序的中，执行一些非法操作而不被用 户发现18强制型访问控制MACnMandatory Access Controln每个主体和客体分配一个固定的安全级别，只有 系统管理员才可以修改¨Clearance ，classification , sensitivity ¨Unclassified< confidential< secret< top secret ¨普密<秘密<机密<绝密n只有在主体和客体的安全级别满足一定规则时， 才允许访问19强制型访问控制MACn在MAC访问控制中，用户和客体资源都被赋予一定的安全 级别，用户不能改变自身和客体的安全级别，只有管理员才 能够确定用户和组的访问权限。

n和DAC模型不同的是，MAC是一种多级访问控制策略nMAC对访问主体和受控对象标识两个安全标记：¨具有偏序关系的安全等级标记¨非等级分类标记n主体和客体在分属不同的安全类别时，都属于一个固定的安 全类别SC，SC就构成一个偏序关系（比如TS表示绝密级， 就比密级S要高）当主体s的安全类别为TS，而客体o的安 全类别为S时，用偏序关系可以表述为SC(s)≥SC(o)20n考虑到偏序关系，主体对客体的访问主要有四种方式：¨向下读（rd，read down）：主体安全级别高于客体信息资源的安全级别时 允许查阅的读操作；¨向上读（ru，read up）：主体安全级别低于客体信息资源的安全级别时允 许的读操作；¨向下写（wd，write down）：主体安全级别高于客体信息资源的安全级别 时允许执行的动作或是写操作；¨向上写（wu，write up）：主体安全级别低于客体信息资源的安全级别时 允许执行的动作或是写操作n由于MAC通过分级的安全标签实现了信息的单向流通，因此它一直被 军方采用，其中最著名的是Bell-LaPadula模型和Biba模型：Bell- LaPadula模型具有只允许向下读、向上写的特点，可以有效地防止机 密信息向下级泄露；Biba模型则具有不允许向下读、向上写的特点， 可以有效地保护数据的完整性。

强制型访问控制MAC21强制型访问控制MACnBLP(Bell-LaPadula)模型¨禁止向下写：n如果用户的级别比要写 的客体级别高，则该操 作是不允许的¨禁止向上读：n如果主体的级别比要读 的客体级别低，则该操 作是不允许的向下写是不允许的向上读是不允许的22强制型访问控制MACTSSCUTSSCUR/WWR/WRR/WRWRRR R/WRWWWWSubjectsObjects信息流向BLP 模型的信息流23访问控制的策略 ——自主访问控制特点：根据主体的身份和授权来决定访问模式缺点：信息在移动过程中其访问权限关系会被改变 如用户A可将其对目标O的访问权限传递给用户 B,从而使不具备对O访问权限的B可访问O24访问控制的策略 ——强制访问控制特点：1.将主题和客体分级，根据主体和客体的级别标 记来决定访问模式如，绝密级，机密级，秘密级 ，无密级2.其访问控制关系分为：上读/下写 ， 下读/上写（完整性） （机密性）3.通过安全标签实现单向信息流通模式 251.自主式太弱2.强制式太强3.二者工作量大，不便管理例： 1000主体访问10000客体，须1000万次配置。

如每次 配置需1秒，每天工作8小时，就需 10，000，000/（3600*8） =347.2天访问控制的策略——自主/强制访问的问题26基于角色的访问控制RBACnRole-Based Access Controln基于角色的访问控制模型：RBAC模型的基本思想是将访 问许可权分配给一定的角色，用户通过饰演不同的角色获 得角色所拥有的访问许可权nRBAC从控制主体的角度出发，根据管理中相对稳定的职 权和责任来划分角色，将访问权限与角色相联系，这点与 传统的MAC和DAC将权限直接授予用户的方式不同；通 过给用户分配合适的角色，让用户与访问权限相联系角 色成为访问控制中访问主体和受控对象之间的一座桥梁27基于角色的访问控制RBACn用户组（group）¨用户组：用户的集合 G={s1, s2, s3 …}¨授权管理：把用户分组，把访问权限分配给一个用户 组；n角色（Role）¨角色是完成一项任务必须访问的资源及相应操作权限 的集合，R={(a1,o1), (a2,o2), (a3,o3)…}¨授权管理：n根据任务需要定义角色，n为角色分配资源和操作权限n给一个用户指定一个角色28基于角色的访问控制RBACn角色的继承关系nRBAC的优势¨便于授权管理¨便于责任划分Project SupervisorTest Engineer ProgrammerProject Member29基于对象的访问控制OBAC nObject-based Access Control Modeln控制策略和控制规则是OBAC访问控制系统的核心n将访问控制列表与受控对象或受控对象的属性相关联 ，并将访问控制选项设计成为用户、组或角色及其对 应权限的集合；同时允许对策略和规则进行重用、继 承和派生操作。

nOBAC一方面定义对象的访问控制列表，增、删、修改 访问控制项易于操作，另一方面，当受控对象的属性 发生改变，或者受控对象发生继承和派生行为时，无 须更新访问主体的权限，只需要修改受控对象的相应 访问控制项即可，从而减少了访问主体的权限管理， 降低了授权数据管理的复杂性30授权信息访问控制与其他安全机制的关系n认证、授权、审计（AAA）Log身份认证访问控制审计授权（authorization）主体客体31访问控制与其他安全机制的关系n身分认证¨身份认证是访问控制的前提n保密性¨限制用户对数据的访问（读取操作）可以实现数据保 密服务n完整性¨限制用户对数据的修改，实现数据完整性保护n可用性¨限制用户对资源的使用量，保证系统的可用性n安全管理相关的活动¨访问控制功能通常和审计、入侵检测联系在一起32小结n访问控制模型及相关概念¨能力表¨访问控制表¨访问控制矩阵n四种常见的访问控制政策¨DAC¨MAC¨RBAC¨OBAC33。