信息安全身份认证和访问控制讲义课件

信息安全身份认证和访问控制讲义1信息安全身份认证和访问控制讲义1 武汉大学国际软件学院2n身份身份认证的基本概念的基本概念n身份身份认证机制机制n访问控制的基本概念控制的基本概念n访问控制控制实现方法方法n访问控制策略控制策略主要内容主要内容2身份认证的基本概念主要内容 武汉大学国际软件学院3身份认证身份认证nThe property that ensures that the identity of a subject or resource is the one claimed.n身份认证就是确认实体是它所声明的。n身份认证是最重要的安全服务之一。实体的身份认证服务提供了关于某个实体身份的保证。（所有其它的安全服务都依赖于该服务）n身份认证可以对抗假冒攻击的危险3身份认证The property that ensures 武汉大学国际软件学院4身份认证的需求和目的身份认证的需求和目的n身份认证需求：n某一成员（声称者）提交一个主体的身份并声称它是那个主体。n身份认证目的：n使别的成员（验证者）获得对声称者所声称的事实的信任。4身份认证的需求和目的身份认证需求：武汉大学国际软件学院5身份认证分类身份认证分类n身份认证可以分为本地和远程两类。n本地身份本地身份认证（单机环境）：实体在本地环境的初始化鉴别（就是说，作为实体个人，和设备物理接触，不和网络中的其他设备通信）。n 需要用户进行明确的操作n 远程身份程身份认证（网络环境）：连接远程设备、实体和环境的实体鉴别。n通常将本地鉴别结果传送到远程。n（1）安全n（2）易用5身份认证分类身份认证可以分为本地和远程两类。武汉大学国际软件学院6身份认证分类身份认证分类n身份认证可以是单向的也可以是双向的。n单向向认证是指通信双方中只有一方向另一方进行鉴别。n双向双向认证是指通信双方相互进行鉴别。6身份认证分类身份认证可以是单向的也可以是双向的。武汉大学国际软件学院7身份认证身份认证n进行身份行身份认证的几种依据的几种依据 n用用户所知道的所知道的：密码、口令n用用户所所拥有的：有的：身份证、护照、信用卡、钥匙n用用户本身的特征：本身的特征：指纹、笔迹、声纹、手型、血型、视网膜、虹膜、DNA以及个人动作方面的一些特征7身份认证进行身份认证的几种依据 武汉大学国际软件学院8主要内容主要内容n身份身份认证的基本概念的基本概念n身份身份认证机制机制n访问控制的基本概念控制的基本概念n访问控制控制实现方法方法n访问控制策略控制策略8主要内容身份认证的基本概念 武汉大学国际软件学院9常用的身份认证机制常用的身份认证机制nA.口令机制nB.一次性口令机制nC.基于智能卡的机制nD.基于个人特征的机制9常用的身份认证机制A.口令机制 武汉大学国际软件学院10A.A.口令机制口令机制n常常规的口令方案中的口令是不随的口令方案中的口令是不随时间变化的口令，化的口令，该机制提供机制提供弱弱鉴别(weak authentication)。n口令或通行字机制是最广泛研究和使用的身份口令或通行字机制是最广泛研究和使用的身份鉴别法。法。n口令系口令系统有有许多脆弱点多脆弱点n外部泄露外部泄露n口令猜口令猜测n线路窃听路窃听n重放重放10A.口令机制常规的口令方案中的口令是不随时间变化的口令，武汉大学国际软件学院11对付外部泄露的措施对付外部泄露的措施n 教育、培训；n 严格组织管理办法和执行手续；n 口令定期改变；n 每个口令只与一个人有关；n 输入的口令不再现在终端上；n 使用易记的口令，不要写在纸上。11对付外部泄露的措施 教育、培训；武汉大学国际软件学院12对付口令猜测的措施对付口令猜测的措施n 教育、培训；n 严格限制非法登录的次数；n 口令验证中插入实时延迟；n 限制最小长度，至少68字节以上n 防止用户特征相关口令，n 口令定期改变；n 及时更改预设口令；n 使用机器产生的口令。12对付口令猜测的措施 教育、培训；武汉大学国际软件学院13强壮口令应符合的规则强壮口令应符合的规则个人名字个人名字或呢称或呢称电话号码、电话号码、生日等敏感生日等敏感信息信息输入输入8字符字符以上口令以上口令记录于纸上或记录于纸上或放置于办公处放置于办公处使用重复使用重复的字符的字符XXXX+=强壮的口令强壮的口令13强壮口令应符合的规则个人名字或呢称电话号码、生日等敏感信 武汉大学国际软件学院14对付线路窃听的措施对付线路窃听的措施n 使用保护口令机制：如单向函数。n对于每个用于每个用户，系，系统将将帐户和散列和散列值对存存储在一个口令文件中，当用在一个口令文件中，当用户输入口令入口令x，系，系统计算其散列算其散列值H(x)，然后将，然后将该值与口令文与口令文件中相件中相应的散列的散列值比比较，若相同，若相同则允允许登登录。n安全性安全性仅依依赖于口令于口令14对付线路窃听的措施 使用保护口令机制：如单向函数。武汉大学国际软件学院15B.B.一次性口令机制一次性口令机制n近似的强鉴别（towards strong authentication)n一次性口令机制确保在每次一次性口令机制确保在每次认证中所使用中所使用的口令不同，以的口令不同，以对付重放攻付重放攻击。15B.一次性口令机制近似的强鉴别（towards stro 武汉大学国际软件学院16双因素动态口令卡n双因素双因素动态口令卡口令卡n基于密基于密钥/时间双因素的身份双因素的身份认证机制；机制；n用用户登登录口令随口令随时间变化，口令一次性使用，化，口令一次性使用，无法无法预测，可以有效抵御密，可以有效抵御密码窃取和重放攻窃取和重放攻击行行为16双因素动态口令卡双因素动态口令卡 武汉大学国际软件学院17双因素动态口令卡n相关相关产品品n如如Security Dynamics公司的公司的SecureID设备n基于基于时间同步的同步的动态密密码认证系系统RSA SecureIDn美国美国Axend(现被被Symantec公司兼并公司兼并)是是较早推早推出双因素身份出双因素身份认证系系统的公司。的公司。n我国一些信息技我国一些信息技术公司也相公司也相继推出了推出了动态口令口令认证系系统。如网泰金安信息技。如网泰金安信息技术公司、北京公司、北京亿青青创新信息技新信息技术有限公司、有限公司、四川安盟四川安盟电子信息子信息安全有限公司安全有限公司等。等。17双因素动态口令卡相关产品 武汉大学国际软件学院18双因素动态口令卡-举例n北京亿青创新信息技术有限公司-易码通（EasyPass）动态口令系统。n动态口令卡是发给每个用户的动态口令发生器，通过同步信任认证算法，以时间为参数，每隔16-64秒产生一个一次性使用的“动态口令”。18双因素动态口令卡-举例北京亿青创新信息技术有限公司-武汉大学国际软件学院19双因素动态口令卡-举例Login:Login:JSMITHJSMITHPasscode:Passcode:24682468723656723656PINTOKENCODE令牌码令牌码:每每 60秒变秒变化一次化一次唯一的唯一的 64-bit 种子种子内部电池内部电池与与 UCT时钟同时钟同步步PASSCODE=+PINTOKENCODE19双因素动态口令卡-举例Login:JSMITH2 武汉大学国际软件学院20令牌码的产生令牌码的产生令牌码的产生令牌码的产生?时间时间 UCT时间时间算法算法 伪随机函数伪随机函数种子种子 随机数随机数Algorithm111011010001010101101010101010=20令牌码的产生令牌码的产生?Algorithm11101 武汉大学国际软件学院21认证过程认证过程访问请求访问请求(加密的加密的)访问请求被通过访问请求被通过(加密的加密的)登录者登录者ACE/代理代理ACE/服务器服务器User-ID:安盟安盟password:1234 234836PIN 数据库1234 1234 234836234836算法算法11101101000101010110101010101001010010101001010100101000101010010101001110110101010100011164-bit 种子时钟算法算法11101101000101010110101010101001010010101001010100101000101010010101001110110101010100011164-bit 种子时钟用户进入一个用户进入一个 SecurID保护的网络保护的网络,应用应用或服务。系统将提示用户输入用户名和一或服务。系统将提示用户输入用户名和一次性密码次性密码(PASSCODE)PIN 123421认证过程访问请求访问请求被通过 登录者ACE/代理ACE 武汉大学国际软件学院22种子种子时间时间354982354982安盟身份认安盟身份认安盟身份认安盟身份认证服务器证服务器证服务器证服务器安盟令牌安盟令牌安盟令牌安盟令牌算法算法种子种子时间时间354982354982算法算法相同的种子相同的种子相同的种子相同的种子相同的时间相同的时间相同的时间相同的时间时间同步技术时间同步技术22种子时间354982安盟身份认证服务器安盟令牌算法种子时 武汉大学国际软件学院23C.基于基于智能卡的机制智能卡的机制n优点点n基于智能卡的基于智能卡的认证方式是一种双因素的方式是一种双因素的认证方式（方式（PIN+智能卡）智能卡）n智能卡提供硬件保智能卡提供硬件保护措施和加密算法措施和加密算法n缺点缺点n智能卡和接口智能卡和接口设备之之间的信息流可能被截的信息流可能被截获n智能卡可能被智能卡可能被伪造造n职员的作弊行的作弊行为23C.基于智能卡的机制优点 武汉大学国际软件学院24基于基于智能卡的机制智能卡的机制n安全措施安全措施n对持卡人、卡和接口持卡人、卡和接口设备的合法性的相互的合法性的相互验证n重要数据加密后重要数据加密后传输n卡和卡和 接口接口设备中中设置安全区，安全区中保置安全区，安全区中保护逻辑电路或外部不可路或外部不可读的存的存储区区n明确有关人明确有关人员的的责任，并任，并严格遵守格遵守n设置止付名置止付名单24基于智能卡的机制安全措施 武汉大学国际软件学院25基于电子钥匙的机制n电子子钥匙是一种通匙是一种通过USB直接与直接与计算机相算机相连、具有密具有密码验证功能、可靠高速的小型存功能、可靠高速的小型存储设备，用于存用于存储一些个人信息或一些个人信息或证书，它内部的密，它内部的密码算法可以算法可以为数据数据传输提供安全的管道，是适合提供安全的管道，是适合单机或网机或网络应用的安全防用的安全防护产品。其安全保品。其安全保护措施与智能卡相似。措施与智能卡相似。25基于电子钥匙的机制电子钥匙是一种通过USB直接与计算机相 武汉大学国际软件学院26D.基于基于生物特征的机制生物特征的机制n以人体唯一的、可靠的、以人体唯一的、可靠的、稳定的生物特定的生物特征征为依据依据n指指纹识别n视网膜网膜识别n虹膜虹膜识别n手形手形识别n签名名识别n声声纹识别26D.基于生物特征的机制以人体唯一的、可靠的、稳定的生物特 武汉大学国际软件学院27n身份身份认证的基本概念的基本概念n身份身份认证机制机制n访问控制的基本概念控制的基本概念n访问控制控制实现方法方法n访问控制策略控制策略主要内容主要内容27身份认证的基本概念主要内容 武汉大学国际软件学院28访问控制访问控制安全服务安全服务nISO7498-2定定义了五大安全服了五大安全服务n对象象认证n访问控制控制n数据保密性数据保密性n数据完整性数据完整性n防抵防抵赖性性28访问控制安全服务ISO7498-2定义了五大安全服务 武汉大学国际软件学院29基本概念基本概念n一般定一般定义n是是针对越越权使用使用资源的防御措施源的防御措施n访问控制的基本任控制的基本任务是防止非法用是防止非法用户即未授即未授权用用户进入系入系统和合法用和合法用户即授即授权用用户对系系统资源的非法使用源的非法使用 n用用户身份的身份的识别和和认证 n对访问的控制的控制 n审计跟踪跟踪 29基本概念一般定义 武汉大学国际软件学院30访问控制访问控制授权数据库授权数据库访问监视器访问监视器审计审计身份认证身份认证访问控制访问控制30访问控制授权数据库访问监视器审计身份认证访问控制 武汉大学国际软件学院31访问控制系统的实体访问控制系统的实体n主体（主体（subject）n发出出访问操作、存取操作、存取请求的主求的主动方，通常可以是用方，通常可以是用户或用或用户的某个的某个进程等程等 n客体（客体（object）n被被访问的的对象，通常可以是被象，通常可以是被调用的程序、用的程序、进程，程，要存取的数据、信息，要要存取的数据、信息，要访问的文件、系的文件、系统或各种或各种网网络设备、设施等施等资源源 n安全安全访问策略策略 n一套一套规则，用以确定一个主体是否，用以确定一个主体是否对客体客体拥有有访问权限。限。31访问控制系统的实体主体（subject）武汉大学国际软件学院32访问控制的目的访问控制的目的n限制主体限制主体对访问客体的客体的访问权限，从而使限，从而使计算机系算机系统在合法范在合法范围内使用；内使用；n决定用决定用户能做什么，也决定代表一定用能做什么，也决定代表一定用户利利益的程序能做什么益的程序能做什么32访问控制的目的限制主体对访问客体的访问权限，从而使计算机 武汉大学国际软件学院33n身份身份认证的基本概念的基本概念n身份身份认证机制机制n访问控制的基本概念控制的基本概念n访问控制控制实现方法方法n访问控制策略控制策略主要内容主要内容33身份认证的基本概念主要内容 武汉大学国际软件学院34访问控制的实现方法访问控制的实现方法nA.访问控制矩控制矩阵nB.访问能力表能力表nC.访问控制表控制表nD.授授权关系表关系表34访问控制的实现方法A.访问控制矩阵 武汉大学国际软件学院35A.A.访问控制矩阵访问控制矩阵n访问控制表示控制表示为一个矩一个矩阵的形式的形式n列表示客体（各种列表示客体（各种资源）源）n行表示主体（通常行表示主体（通常为用用户）n行和列的交叉点表示某个主体行和列的交叉点表示某个主体对某个客体的某个客体的访问权限（比如限（比如读、写、写、执行、修改、行、修改、删除等）除等）35A.访问控制矩阵访问控制表示为一个矩阵的形式 武汉大学国际软件学院36File1File2File3File4Account1Account2JohnOwnRWOwnRWInquiryCreditAliceROwnRWWInquiryDebitInquiryCreditBobRWROwnRWInquiryDebitnOwn的确切含义可能因系统不同而异，通常一个文件的的确切含义可能因系统不同而异，通常一个文件的Own权限权限表示授予（表示授予（authorize）或撤销（）或撤销（revoke）其他用户对该文件的）其他用户对该文件的访问控制权限。访问控制权限。36File1File2File3File4Account1 武汉大学国际软件学院37n缺点缺点:访问控制矩控制矩阵中很多中很多单元是空白元是空白项n为了减了减轻系系统开开销与浪与浪费n从主体（行）出从主体（行）出发，表示矩，表示矩阵的某一行的信的某一行的信息息访问能力表能力表（Access Capabilities List）n从客体（列）出从客体（列）出发，表示矩，表示矩阵某一列的信息某一列的信息访问控制表控制表（Access Control List）37缺点:访问控制矩阵中很多单元是空白项 武汉大学国际软件学院38B.B.访问能力表访问能力表n能力（能力（Capability）是受一定机制保）是受一定机制保护的的客体客体标志，志，标记了客体以及主体（了客体以及主体（访问者）者）对客体的客体的访问权限。限。n只有当一个主体只有当一个主体对某个客体某个客体拥有有访问的的能力能力时，它才能，它才能访问这个客体。个客体。38B.访问能力表能力（Capability）是受一定机制保 武汉大学国际软件学院39File1OwnRWFile3OwnRWFile1RWFile2RFile4OwnRWJohnBob39File1OwnFile3OwnFile1File2Fi 武汉大学国际软件学院40n访问能力表的能力表的优点：点：n访问能力表着眼于某一主体的能力表着眼于某一主体的访问权限，以限，以主体的出主体的出发点描述控制信息，因此很容易点描述控制信息，因此很容易获得一个主体所被授得一个主体所被授权可以可以访问的客体及其的客体及其权限。限。n访问能力表的缺点：能力表的缺点：n如果要求如果要求获得得对某一特定客体有特定某一特定客体有特定权限的限的所有主体比所有主体比较困困难。n访问控制服控制服务应该能能够控制可控制可访问某一个客体某一个客体的主体集合，能的主体集合，能够授予或取消主体的授予或取消主体的访问权限。限。于是出于是出现了以客体了以客体为出出发点的点的实现方式方式访问控制表。控制表。40访问能力表的优点：武汉大学国际软件学院41C.C.访问控制表访问控制表n访问控制表（控制表（ACL）对某个指定的某个指定的资源指定任意一个源指定任意一个用用户的的权限，限，还可以将具有相同可以将具有相同权限的用限的用户分分组，并，并授予授予组的的访问权限限JohnOwnRWBobRFile1AliceRW41C.访问控制表访问控制表（ACL）对某个指定的资源指定任 武汉大学国际软件学院42n访问控制表的控制表的优点：点：n访问控制表（控制表（ACL）表述直）表述直观、易于理解，比、易于理解，比较容容易易查出出对某一特定某一特定资源源拥有有访问权限的所有用限的所有用户，有效地有效地实施授施授权管理。管理。n在一些在一些实际应用中，用中，还对ACL进行了行了扩展，以展，以进一一步控制用步控制用户的合法的合法访问时间，是否需要，是否需要审计等等n访问控制表的局限：控制表的局限：应用到网用到网络规模模较大、需大、需求复求复杂的企的企业的内部网的内部网络时n当网当网络中中资源很多源很多时，需要在，需要在ACL中中设定大量的表定大量的表项。而且。而且为了了实现整个整个组织范范围内的一致的控制策内的一致的控制策略，需要各管理部略，需要各管理部门的密切合作。的密切合作。n单纯使用使用ACL，不易，不易实现最小最小权限原限原则及复及复杂的安的安全政策全政策42访问控制表的优点：武汉大学国际软件学院43D.D.授权关系表授权关系表n使用一使用一张表描述主体和客体之表描述主体和客体之间的关系，的关系，可以可以对表表进行排序行排序主体主体访问权限访问权限客体客体JohnOwnFile1JohnRFile1JohnWFile1JohnOwnFile3JohnRFile3JohnWFile3AliceRFile143D.授权关系表使用一张表描述主体和客体之间的关系，可以对 武汉大学国际软件学院44n身份身份认证的基本概念的基本概念n身份身份认证机制机制n访问控制的基本概念控制的基本概念n访问控制控制实现方法方法n访问控制策略控制策略主要内容主要内容44身份认证的基本概念主要内容 武汉大学国际软件学院45访问控制策略访问控制策略nA.自主自主访问控制（控制（DAC）nB.强制制访问控制（控制（MAC）nC.基于角色的基于角色的访问控制（控制（RBAC）DAC MACRBAC访问控制访问控制45访问控制策略A.自主访问控制（DAC）DAC MAC 武汉大学国际软件学院46A.A.自主访问控制自主访问控制n自主自主访问控制（控制（DAC）n最早出最早出现在七十年代初期的分在七十年代初期的分时系系统中，它是多用中，它是多用户环境下最常用的一种境下最常用的一种访问控制手段。控制手段。n用用户可以按自己的意愿可以按自己的意愿对系系统参数做适当的修改，可参数做适当的修改，可以决定哪个用以决定哪个用户可以可以访问系系统资源。源。nDAC有有时又被称又被称为为基于主人的基于主人的访问控制控制 46A.自主访问控制自主访问控制（DAC）武汉大学国际软件学院47自主访问控制自主访问控制n优点点n根据主体的身份及允根据主体的身份及允许访问的的权限限进行决策行决策 n自主是指具有某种自主是指具有某种访问能力的主体能能力的主体能够自主地将自主地将访问权的某个子集授予其它主体。的某个子集授予其它主体。n灵活性高，被大量采用，灵活性高，被大量采用，WindowsWindows、UNIXUNIX系系统采用。采用。n缺点缺点n过于灵活、限制于灵活、限制较弱、可能存在安全弱、可能存在安全隐患患n如用如用户A把目把目标X的的访问权赋予了用予了用户B，用，用户B可能会把可能会把X访问权转赋予用予用户C，而，而A可能并不愿意可能并不愿意让C访问Xn用用户A把目把目标X的的访问权赋予了用予了用户B，而根据系，而根据系统基本安全基本安全规则，B并不能并不能访问X。47自主访问控制优点 武汉大学国际软件学院48自主访问控制自主访问控制基于个人的策略基于个人的策略n根据哪些用根据哪些用户可可对一个目一个目标实施哪一种行施哪一种行为的列的列表来表示。表来表示。n等价于用一个目等价于用一个目标的的访问矩矩阵列来描述列来描述n基基础(前提前提)：一个：一个隐含的、或者含的、或者显式的缺省策略式的缺省策略n例如，全部例如，全部权限否决限否决n最小特最小特权原原则：要求最大限度地限制每个用：要求最大限度地限制每个用户为实施施授授权任任务所需要的所需要的许可集合可集合n在不同的在不同的环境下，缺省策略不尽相同，例如，在公开境下，缺省策略不尽相同，例如，在公开的布告板的布告板环境中，所有用境中，所有用户都可以得到所有公开的信都可以得到所有公开的信息息n对于特定的用于特定的用户，有，有时候需要提供候需要提供显式的否定式的否定许可可n例如，例如，对于于违纪的内部的内部员工，禁止工，禁止访问内部一些信息内部一些信息48自主访问控制基于个人的策略根据哪些用户可对一个目标实 武汉大学国际软件学院49自主访问控制自主访问控制基于组的策略基于组的策略n一一组用用户对于一个目于一个目标具有同具有同样的的访问许可。可。是基于身份的策略的另一种情形是基于身份的策略的另一种情形n相当于，把相当于，把访问矩矩阵中多个行中多个行压缩为一个行。一个行。n实际使用使用时n先定先定义组的成的成员n对用用户组授授权n同一个同一个组可以被重复使用可以被重复使用n组的成的成员可以改可以改变49自主访问控制基于组的策略一组用户对于一个目标具有同样 武汉大学国际软件学院50B.B.强制访问控制强制访问控制n强制制访问控制（控制（MAC）n基于基于规则的的访问控制，主体和客体分控制，主体和客体分别定定义安全等安全等级标记，在自主，在自主访问控制的基控制的基础上上还必必须受到安全受到安全标记的的约束。束。n安安全全标记是是限限制制在在目目标上上的的一一组安安全全属属性性信信息息项。在在访问控控制制中中，一一个个安安全全标记隶隶属属于于一个用一个用户、一个目、一个目标、一个、一个访问请求。求。n系系统强制主体服从制主体服从访问控制策略。主要用于控制策略。主要用于多多层次安全次安全级别的的军事事应用中。用中。50B.强制访问控制强制访问控制（MAC）武汉大学国际软件学院51强制访问控制强制访问控制n将主体和客体分将主体和客体分级n定定义用用户的可信任的可信任级别及信息的敏感程度，如，及信息的敏感程度，如，绝密密级，机密，机密级，秘密，秘密级，无密，无密级。n根据主体和客体的根据主体和客体的级别关系决定关系决定访问模式模式n访问控制关系分控制关系分为n上上读/下写（完整性）下写（完整性）n下下读/上写（保密性）上写（保密性）n通通过梯度安全梯度安全标签实现单向信息流通模式。向信息流通模式。51强制访问控制将主体和客体分级 武汉大学国际软件学院52强制访问控制强制访问控制n安全安全标签是限制在目是限制在目标上的一上的一组安全属性信息安全属性信息项。在。在访问控制中，一个安全控制中，一个安全标签隶属于一个隶属于一个用用户、一个目、一个目标、一个、一个访问请求或求或传输中的一中的一个个访问控制信息。控制信息。n最通常的用途是支持多最通常的用途是支持多级访问控制策略。控制策略。在在处理一个理一个访问请求求时，目，目标环境比境比较请求上求上的的标签和目和目标上的上的标签，应用策略用策略规则（如（如Bell LapadulaBell Lapadula规则）决定是允）决定是允许还是拒是拒绝访问。52强制访问控制安全标签是限制在目标上的一组安全属性信息项。武汉大学国际软件学院53强制访问控制强制访问控制n强制制访问控制控制(MAC)中，系中，系统包含主体集包含主体集S和客和客体集体集O，每个，每个S中的主体中的主体s及客体集中的客体及客体集中的客体o，都属于一固定的安全都属于一固定的安全类SC，安全，安全类SC=包括两个部分：有包括两个部分：有层次的安全次的安全级别和无和无层次的次的安全范畴。构成一偏序关系安全范畴。构成一偏序关系nBell-LaPadula：保：保证保密性保密性nBiba：保：保证完整性完整性53强制访问控制强制访问控制(MAC)中，系统包含主体集S和 武汉大学国际软件学院54强制访问控制强制访问控制nBell-LaPadula模型（模型（BLP模型）模型）n安全属性用二元安全属性用二元组表示（密表示（密级，类别集合）集合）n密密级集合集合为绝密，机密，秘密，无密密，机密，秘密，无密，且，且绝密密机机密密秘密秘密无密无密n类别集合是系集合是系统中非分中非分层元素集合中的一个子集，元素集合中的一个子集，具体的元素依具体的元素依赖于所考于所考虑的的环境和境和应用用领域域n安全属性的集合安全属性的集合满足偏序关系足偏序关系n为每个用每个用户分配一个安全属性，分配一个安全属性，为每个客体也分配每个客体也分配一个安全属性一个安全属性54强制访问控制Bell-LaPadula模型（BLP模型）武汉大学国际软件学院55强制访问控制强制访问控制nBell-LaPadula模型中主体模型中主体对客体客体访问的两个的两个规则n简单安全原安全原则：仅当主体的敏感当主体的敏感级不低于客体不低于客体敏感敏感级且主体的且主体的类别集合包含客体集合包含客体时，才允，才允许该主体主体读该客体。即主体只能客体。即主体只能读密密级等于或低等于或低于它的客体于它的客体n星星规则：仅当主体的敏感当主体的敏感级不高于客体敏感不高于客体敏感级且客体的且客体的类别集合包含主体的集合包含主体的类别集合集合时，才，才允允许该主体写主体写该客体。即主体只能写等于或高客体。即主体只能写等于或高于它的客体。于它的客体。55强制访问控制Bell-LaPadula模型中主体对客体访 武汉大学国际软件学院56强制访问控制强制访问控制n下下读：低信任：低信任级别的用的用户不能不能读高敏感度的信息，只高敏感度的信息，只能能读比它信任比它信任级别更低的低敏感信息更低的低敏感信息n上写：不允上写：不允许高敏感度的信息写入低敏感度区域，只高敏感度的信息写入低敏感度区域，只能写入更高敏感度区域能写入更高敏感度区域n实现数据的保密性数据的保密性R/WWWWTSRR/WWWSRRR/WWCRRRR/WUTSSCU主体主体客体客体TS（绝密）、（绝密）、S（机密）、（机密）、C（秘密）、（秘密）、U（无密）（无密）信息流信息流56强制访问控制下读：低信任级别的用户不能读高敏感度的信息，武汉大学国际软件学院57例如，某例如，某单位部分行政机构如下位部分行政机构如下图：57例如，某单位部分行政机构如下图：武汉大学国际软件学院58n假设计算机系统中的数据的密级为：假设计算机系统中的数据的密级为：一般秘密机密绝密一般秘密机密绝密n定义校长的安全级定义校长的安全级 C C校长校长（绝密，（绝密，人事处人事处,教务处教务处,财务处财务处,设备处设备处），），（即校长的密级为绝密，部门属性为所有的部门）（即校长的密级为绝密，部门属性为所有的部门）n教务处长的安全级教务处长的安全级 C C教教=(=(机密机密,教务处教务处)n财务处长的安全级财务处长的安全级 C C财财=(=(机密机密,财务处财务处)n财务一科长的安全级财务一科长的安全级 C C一财一财=(=(秘密秘密,财务处财务处)n财务处工作人员的安全级财务处工作人员的安全级 C C工工=(=(一般一般,财务处财务处)n假假设设财财务务一一科科长长产产生生了了一一份份工工作作文文件件A A，文文件件A A的的安安全全级级定定义义为为与与一一科科长长的的安安全全级级相相同同，即即C CA A=(=(秘秘密密,财财务务处处)，那那么么，对对于于文文件件A A，只只有有校校长长和和财财务务处处长长能能看看到到，而而教教务务处处长长不不能能看看，尽尽管管教教务务处处长长的的密密级级是是机机密密级级，可可以以看看秘秘密密级级的的文文件件，但但教教务务处处长长的的部部门门属属性性仅仅是是 教教务务处处,他无权看财务处的信息。他无权看财务处的信息。58假设计算机系统中的数据的密级为：武汉大学国际软件学院59强制访问控制强制访问控制nBLP模型的不足模型的不足n应用用领域域较窄，使用不灵活，一般只用于窄，使用不灵活，一般只用于军方等具有明方等具有明显等等级观念的念的领域域n完整性方面控制的不完整性方面控制的不够好，好，强调信息向高安信息向高安全全级的方向流的方向流动，对高安全高安全级信息的完整性信息的完整性保保护不不够59强制访问控制BLP模型的不足 武汉大学国际软件学院60强制访问控制强制访问控制nBiba模型模型nBiba等人于等人于70年代提出的，它主要是年代提出的，它主要是针对信信息完整性保息完整性保护方面的。与方面的。与BLP模型模型类似，似，Biba模型用完整性等模型用完整性等级取代了取代了BLP模型中的模型中的敏感等敏感等级，而，而访问控制的限制正好与控制的限制正好与BLP模模型相反：型相反：60强制访问控制Biba模型 武汉大学国际软件学院61强制访问控制强制访问控制nBiba模型的模型的规则n简单完整完整规则。仅当主体的完整当主体的完整级大于等于客体的大于等于客体的完整完整级且主体的且主体的类别集合包含客体的集合包含客体的类别集集时，才，才允允许该主体写主体写该客体。即主体只能向客体。即主体只能向下写下写，而不能，而不能向上写，也就是向上写，也就是说主体只能写（修改）完整性主体只能写（修改）完整性级别等于或低于它的客体。等于或低于它的客体。n完整性制完整性制约规则（星（星规则）。仅当主体的完整当主体的完整级不不高于客体完整高于客体完整级且客体的且客体的类别集合包含主体的集合包含主体的类别集合集合时，才允，才允许该主体主体读客体。即主体只能从客体。即主体只能从上上读，而不能从下而不能从下读。61强制访问控制Biba模型的规则 武汉大学国际软件学院62强制访问控制强制访问控制n缺陷缺陷n实现工作量大工作量大n管理不便管理不便n不不够灵活灵活n过于偏重保密性，于偏重保密性，对其他方面，如系其他方面，如系统连续工作能力、授工作能力、授权的可管理性等方面考的可管理性等方面考虑不足不足62强制访问控制缺陷 武汉大学国际软件学院63C.C.基于角色的访问控制基于角色的访问控制n20世世纪90年代出年代出现，可以有效地克服，可以有效地克服传统访问控制技控制技术中存在的不足之中存在的不足之处，减少授，减少授权管理的复管理的复杂性，降低性，降低管理开管理开销。n起源于起源于UNIX系系统等操作系等操作系统中中组的概念的概念n基于角色的基于角色的访问控制是一个复合的控制是一个复合的规则，可以被，可以被认为是是DAC和和MAC的的变体。一个身份被分配体。一个身份被分配给一个被授一个被授权的的组。n基本思路：管理基本思路：管理员创建角色，建角色，给角色分配角色分配权限，限，给角角色分配用色分配用户，角色所属的用，角色所属的用户可以可以执行相行相应的的权限限63C.基于角色的访问控制20世纪90年代出现，可以有效地克 武汉大学国际软件学院64基于角色的访问控制基于角色的访问控制n所所谓角色，就是一个或一角色，就是一个或一组用用户在在组织内可内可执行的操作的集合行的操作的集合n角色由系角色由系统管理管理员定定义，角色成，角色成员的增减只能的增减只能由系由系统管理管理员执行，而且授行，而且授权规定是定是强加加给用用户的，用的，用户只能被只能被动接受，用接受，用户也不能自主的也不能自主的将将访问权限限传给他人，他人，这是一种非自主型是一种非自主型访问控制控制64基于角色的访问控制所谓角色，就是一个或一组用户在组织内可 武汉大学国际软件学院65基于角色的访问控制基于角色的访问控制n每个角色与一每个角色与一组用用户和有关的和有关的动作相互关作相互关联，角色中，角色中所属的用所属的用户可以有可以有权执行行这些操作些操作n角色与角色与组的区的区别n组：一：一组用用户的集合的集合n角色：一角色：一组用用户的集合的集合+一一组操作操作权限的集合限的集合客体客体1客体客体2客体客体3用户用户1用户用户2用户用户3角色角色1角色角色2权限权限a权限权限b权限权限c权限权限d65基于角色的访问控制每个角色与一组用户和有关的动作相互关联 武汉大学国际软件学院66基于角色的访问控制基于角色的访问控制n传统的的访问控制机制直接将控制机制直接将访问主体（主体（发出出访问操作、存取要求的主操作、存取要求的主动方）和客体（被方）和客体（被调用用的程序或欲存取的数据的程序或欲存取的数据访问）相）相联系系nRBAC在主体和客体中在主体和客体中间加入了角色，通加入了角色，通过角角色沟通主体和客体色沟通主体和客体nRBAC中，用中，用户的的标识对于身份于身份认证以及以及审计记录非常有用，但真正决定非常有用，但真正决定访问权限的是用限的是用户对应的角色的角色标识66基于角色的访问控制传统的访问控制机制直接将访问主体（发出 武汉大学国际软件学院67基于角色的访问控制基于角色的访问控制n与与DAC的区的区别n用用户与客体没有直接与客体没有直接联系，只要通系，只要通过角色才享有角色才享有该角色所角色所对于的于的权限，从而限，从而访问相相应的客体，因此用的客体，因此用户不能自主地将不能自主地将访问权限授限授给别的用的用户n与与MAC的区的区别nMAC是基于多是基于多级安全需求的，但安全需求的，但RBAC不是不是n在在军事系事系统中关心的是防止信息从高安全中关心的是防止信息从高安全级流向低流向低安全安全级，即限制，即限制“谁可以可以读/写什么信息写什么信息”n基于角色控制的系基于角色控制的系统关心保关心保护系系统的完整性，即的完整性，即“谁可以可以对什么信息什么信息执行何种行何种动作作”n角色控制比角色控制比较灵活，根据配置可以使某些角色接近灵活，根据配置可以使某些角色接近DAC，而某些角色更接近于，而某些角色更接近于MAC67基于角色的访问控制与DAC的区别 武汉大学国际软件学院68n三条安全原三条安全原则:n最小最小权限：用限：用户所所拥有的有的权利不能超利不能超过他他执行工作行工作时所需的所需的权限限n责任分离：多个互斥的角色合作完成重要任分离：多个互斥的角色合作完成重要工作工作n数据抽象：可以定数据抽象：可以定义抽象的抽象的权限，而不限，而不仅仅是操作系是操作系统中的中的读、写、写、执行等行等基于角色的访问控制基于角色的访问控制68三条安全原则:基于角色的访问控制