信息安全概论第6章-访问控制技术课件

第六章第六章 访问控制访问控制第六章 访问控制1第六章第六章 访问控制技术访问控制技术n n本章内容本章内容n6.1 访问控制的模型访问控制的模型n6.2 访问控制策略访问控制策略n6.3 访问控制的实现访问控制的实现n6.4 安全级别与访问控制安全级别与访问控制n6.5 访问控制与授权访问控制与授权n6.6 PMI第六章 访问控制技术本章内容26.1 访问控制的模型访问控制的模型n6.1.1自主访问控制模型（自主访问控制模型（DAC Model）n6.1.2强制访问控制模型（强制访问控制模型（MAC Model）n6.1.3基于角色的访问控制模型（基于角色的访问控制模型（RBAC Model）6.1 访问控制的模型6.1.1自主访问控制模型（DAC M3访问控制的模式访问控制的模式u访问控制模型：是一种从访问控制模型：是一种从访问控制访问控制的角度出的角度出发，描述安全系统，建立安全模型的方法。发，描述安全系统，建立安全模型的方法。u访问控制：访问控制：主体主体依据某些控制策略或权限对依据某些控制策略或权限对客体客体本身或是其资源进行的本身或是其资源进行的不同授权访问不同授权访问。u访问控制包括三个要素，即：访问控制包括三个要素，即：主体、客体和主体、客体和控制策略控制策略。访问控制的模式访问控制模型：是一种从访问控制的角度出发，描述4主体（主体（Subject）n主体主体：是指一个提出请求或要求的实体，是动作的发起者，但不一定是：是指一个提出请求或要求的实体，是动作的发起者，但不一定是动作的执行者。动作的执行者。n主体可以是主体可以是用户或其它任何代理用户行为的实体用户或其它任何代理用户行为的实体（例如进程、作业和程（例如进程、作业和程序）。简记为序）。简记为Sn广义上讲：主体可以是用户所在的组织（以后称为用户组）、用户本身，广义上讲：主体可以是用户所在的组织（以后称为用户组）、用户本身，也可是用户使用的计算机终端、卡机、手持终端（无线）等，甚至可以也可是用户使用的计算机终端、卡机、手持终端（无线）等，甚至可以是应用服务程序程序或进程。是应用服务程序程序或进程。主体（Subject）主体：是指一个提出请求或要求的实体，是5客体（客体（Object）n客体客体：是接受其他实体访问的被动实体：是接受其他实体访问的被动实体,简记简记为为O。n客体，可以被操作的信息、资源、对象客体，可以被操作的信息、资源、对象n例如：例如：信息、文件、记录等的集合体，信息、文件、记录等的集合体，网路上的硬件设施网路上的硬件设施无线通信中的终端无线通信中的终端一个客体可以包含另外一个客体一个客体可以包含另外一个客体客体（Object）客体：是接受其他实体访问的被动实体,简6控制策略控制策略u控制策略：控制策略：是主体对客体的是主体对客体的操作行为集操作行为集和和约束条件集约束条件集,简记为简记为KS。u控制策略：是控制策略：是主体对客体的访问规则集主体对客体的访问规则集u规则集定义了：规则集定义了：主体对客体的作用行为主体对客体的作用行为客体对主体的条件约束客体对主体的条件约束u访问策略体现了一种授权行为访问策略体现了一种授权行为控制策略控制策略：是主体对客体的操作行为集和约束条件集,简7三个要素之间的行为关系三个要素之间的行为关系 n访问控制系统三个要素之间的行为关系访问控制系统三个要素之间的行为关系n三元组（三元组（S，O，P）S表示主体表示主体O表示客体表示客体P表示许可表示许可三个要素之间的行为关系 访问控制系统三个要素之间的行为关系8访问控制关系示意图访问控制关系示意图 对主体进行认证正常的请求信息主体通过验证，才能访问客体，但并不保证其有权限可以对客体进行操作。客体对主体的验证验证一般会鉴别用户的标识和用户密码对主体的具体约束具体约束由访问控制表来控制实现。访问控制关系示意图 对主体进行认证正常的请求信息主体通过验证9多级安全信息系统多级安全信息系统n多级安全信息系统多级安全信息系统：n由于用户的访问涉及到访问的权限控制规则集合，由于用户的访问涉及到访问的权限控制规则集合，将敏感信息与通常资源分开隔离的系统将敏感信息与通常资源分开隔离的系统。n多级安全系统将信息资源按照多级安全系统将信息资源按照安全属性安全属性分级考虑，分级考虑，可分为两种。可分为两种。多级安全信息系统多级安全信息系统：11两种安全类别两种安全类别n一种是有层次的安全级别一种是有层次的安全级别（Hierarchical Classification），），n分为分为TS，S，C，RS，U 5级级绝密级别（绝密级别（Top Secret）秘密级别（秘密级别（Secret）机密级别（机密级别（Confidential）限制级别（限制级别（Restricted）无级别级（无级别级（Unclassified）n另一种是无层次的安全级别，另一种是无层次的安全级别，不对主体和客体按照安全类别分类不对主体和客体按照安全类别分类只是只是给出客体接受访问时可以使用的规则和管理者给出客体接受访问时可以使用的规则和管理者。两种安全类别一种是有层次的安全级别（Hierarchical12访问控制内容访问控制内容n访问控制的实现访问控制的实现首先要考虑对合法用户进行验证，然后是对控制策略的首先要考虑对合法用户进行验证，然后是对控制策略的选用与管理，最后要对非法用户或是越权操作进行管理选用与管理，最后要对非法用户或是越权操作进行管理。1.认证认证：主体对客体的识别认证和客体对主体检验认证。主体和客体的认：主体对客体的识别认证和客体对主体检验认证。主体和客体的认证关系是相互的，主体也可能变成了客体，取决于当前实体的功能是动证关系是相互的，主体也可能变成了客体，取决于当前实体的功能是动作的执行者还是被执行者。作的执行者还是被执行者。2.控制策略的具体实现控制策略的具体实现：体现在如何设定规则集合，对信息资源的合法使：体现在如何设定规则集合，对信息资源的合法使用，考虑敏感资源的泄漏，不能越权用，考虑敏感资源的泄漏，不能越权3.审计审计：当管理员有操作赋予权，他有可能滥用这一权利，这是无法在策：当管理员有操作赋予权，他有可能滥用这一权利，这是无法在策略中加以约束的。必须对这些行为进行记录，从而达到略中加以约束的。必须对这些行为进行记录，从而达到威慑和保证访问威慑和保证访问控制正常实现控制正常实现的目的。的目的。访问控制内容访问控制的实现首先要考虑对合法用户进行验证，然后13访问控制模型访问控制模型n访问控制安全模型一般包括：访问控制安全模型一般包括：主体、客体。主体、客体。为识别和验证这些实体的为识别和验证这些实体的子系统。子系统。控制实体间访问的控制实体间访问的监视器。监视器。n建立规范的访问控制模型，是实现严格访问控制策略所必建立规范的访问控制模型，是实现严格访问控制策略所必须的。须的。访问控制模型访问控制安全模型一般包括：14访问控制模型访问控制模型u20世纪世纪70年代，年代，Harrison 等提出了等提出了HRU模型。模型。u1976年，年，Jones等人提出了等人提出了Take-Grant模型。模型。u1985年，美国军方提出年，美国军方提出可信计算机系统评估准则可信计算机系统评估准则TCSEC，其中描述了两种著名的访问控制策略：，其中描述了两种著名的访问控制策略：自主访问控制模型（自主访问控制模型（DAC）强制访问控制模型（强制访问控制模型（MAC）u1992年，年，Ferraiolo等提出等提出基于角色的访问控制（基于角色的访问控制（RBAC）基于对象的访问控制基于对象的访问控制基于任务的访问控制基于任务的访问控制。n后两种考虑到网络安全和传输流。后两种考虑到网络安全和传输流。访问控制模型20世纪70年代，Harrison 等提出了HR156.1.1 自主访问控制模型自主访问控制模型n自主访问控制模型自主访问控制模型n（Discretionary Access Control Model，DAC Model）u根据根据自主访问控制策略自主访问控制策略建立的一种模型，建立的一种模型，允许允许合法用户访问策略规定的客体合法用户访问策略规定的客体阻止阻止非授权用户访问客体非授权用户访问客体某些用户把自己所拥有的某些用户把自己所拥有的访问权限授予其它用户访问权限授予其它用户u自主访问控制又称为任意访问控制。自主访问控制又称为任意访问控制。Linux，Unix、Windows NT或是或是Server版本的操作系统都提供自主版本的操作系统都提供自主访问控制的功能访问控制的功能。6.1.1 自主访问控制模型自主访问控制模型16n自主访问控制模型的实现：自主访问控制模型的实现：首先要对用户的身份进行首先要对用户的身份进行鉴别鉴别然后就可以按照访问控制列表所赋予用户的权限，然后就可以按照访问控制列表所赋予用户的权限，允允许和限制用户许和限制用户使用客体的资源使用客体的资源主体控制权限的修改主体控制权限的修改通常由特权用户（管理员）或是通常由特权用户（管理员）或是特权用户组实现。特权用户组实现。自主访问控制模型自主访问控制模型自主访问控制模型的实现：自主访问控制模型17自主访问控制模型的特点自主访问控制模型的特点u特点：特点：授权的实施主体授权的实施主体自主负责赋予和回收自主负责赋予和回收其他主体对客体其他主体对客体资源的访问权限。资源的访问权限。DAC模型一般采用模型一般采用访问控制矩阵访问控制矩阵和和访问控制列表访问控制列表来存来存放不同主体的访问控制信息，从而达到对主体访问权放不同主体的访问控制信息，从而达到对主体访问权限的限制目的限的限制目的u任意访问控制任意访问控制优点：灵活的数据访问方式优点：灵活的数据访问方式缺点：缺点：DAC模型的安全防护相对较低，用户可以模型的安全防护相对较低，用户可以任意传递权限任意传递权限自主访问控制模型的特点特点：186.1.2 强制访问控制模型强制访问控制模型n强制访问控制模型强制访问控制模型（Mandatory Access Control Model,MAC Model）u发展：发展：最初是为了实现比最初是为了实现比DAC更为严格的访问控制策略，美国政府和军更为严格的访问控制策略，美国政府和军方开发了各种各样的控制模型，随后得到广泛的商业关注和应用。方开发了各种各样的控制模型，随后得到广泛的商业关注和应用。uMAC与与DAC的不同之处：的不同之处：DAC：用户和客体资源都被赋予一定的安全级别，只有管理员才能够确定用：用户和客体资源都被赋予一定的安全级别，只有管理员才能够确定用户和组的访问权限。户和组的访问权限。MAC：是一种：是一种多级访问控制策略多级访问控制策略，系统对访问主体和受控对象实行强制访问，系统对访问主体和受控对象实行强制访问控制控制系统事先给访问主体和受控对象分配不同的安全级别属性系统事先给访问主体和受控对象分配不同的安全级别属性在实施访问控制时，系统先对在实施访问控制时，系统先对访问主体和受控对象的安全级别属性进行比较访问主体和受控对象的安全级别属性进行比较，再，再决定访问主体能否访问该受控对象。决定访问主体能否访问该受控对象。6.1.2 强制访问控制模型强制访问控制模型（Mand19uMAC对访问主体和受控对象标识两个安全标对访问主体和受控对象标识两个安全标记：记：u一个是具有偏序关系的一个是具有偏序关系的安全等级标记安全等级标记u一个一个是非等级分类标记是非等级分类标记。u主体和客体在分属不同的安全类别时，用主体和客体在分属不同的安全类别时，用SC表示它们构成的一个偏序关系，表示它们构成的一个偏序关系，比如：比如：TS绝密级比密级绝密级比密级S高，当高，当主体主体S的安全类别为的安全类别为TS 客体客体O的安全类别为的安全类别为S时时用偏序关系可以表述为用偏序关系可以表述为SC(S)SC(O)。强制访问控制模型强制访问控制模型MAC对访问主体和受控对象标识两个安全标记：强制访问控制模型20主体对客体的访问主体对客体的访问n根据偏序关系根据偏序关系，主体对客体的访问主要有，主体对客体的访问主要有4种方式种方式：n（1）向下读（向下读（rd，read down）n主体安全级别高于客体信息资源的安全级别时允许查阅的读操作；主体安全级别高于客体信息资源的安全级别时允许查阅的读操作；n（2）向上读（向上读（ru，read up）n主体安全级别低于客体信息资源的安全级别时允许的读操作；主体安全级别低于客体信息资源的安全级别时允许的读操作；n（3）向下写（向下写（wd，write down）n主体安全级别高于客体信息资源的安全级别时允许执行的动作或是写主体安全级别高于客体信息资源的安全级别时允许执行的动作或是写操作；操作；n（4）向上写（向上写（wu，write up）n主体安全级别低于客体信息资源的安全级别时允许执行的动作或是写主体安全级别低于客体信息资源的安全级别时允许执行的动作或是写操作。操作。主体对客体的访问根据偏序关系，主体对客体的访问主要有4种方式21MAC和和DACuMAC模型和模型和DAC模型属于模型属于传统的访问控制模型传统的访问控制模型。uMAC和和DAC在实现上在实现上通常通常为每个用户赋予对客体的访问权限规则集为每个用户赋予对客体的访问权限规则集用户自主地把自己所拥有的客体的访问权限授予其它用户用户自主地把自己所拥有的客体的访问权限授予其它用户u缺点：缺点：系统管理员的工作将变得非常繁重，容易发生错误、安全漏洞。u引入新的机制加以解决，即引入新的机制加以解决，即基于角色的访问控制模型。基于角色的访问控制模型。MAC和DACMAC模型和DAC模型属于传统的访问控制模型。226.1.3 基于角色的访问控制模型基于角色的访问控制模型u角色（角色（Role）：一个可以）：一个可以完成一定事务的命名组完成一定事务的命名组，不同的，不同的角色通过不同的事务来执行各自的功能。角色通过不同的事务来执行各自的功能。u事务（事务（Transaction）：一个）：一个完成一定功能的过程完成一定功能的过程，可以，可以是一个程序或程序的一部分。是一个程序或程序的一部分。u角色是代表具有角色是代表具有某种能力某种能力的人或是的人或是某些属性某些属性的人的一类抽的人的一类抽象象6.1.3 基于角色的访问控制模型角色（Role）：一个可23u角色和组的主要区别在于：角色和组的主要区别在于：用户属于组是用户属于组是相对固定相对固定的。的。用户能被指派到哪些角色则用户能被指派到哪些角色则受时间、受时间、地点、事件等诸多因素影响。地点、事件等诸多因素影响。角色比组的抽象级别要高。角色比组的抽象级别要高。基于角色的访问控制模型基于角色的访问控制模型角色和组的主要区别在于：基于角色的访问控制模型24基于角色的访问控制模型基于角色的访问控制模型RBACu基于角色的访问控制模型基于角色的访问控制模型（Role-based Access Model，RBAC Model）的的基本思想基本思想：n将访问许可权分配给一定的角色，用户通过将访问许可权分配给一定的角色，用户通过饰演不同的角色饰演不同的角色获得获得角色所拥有的访问许可权。角色所拥有的访问许可权。u访问控制应该访问控制应该基于员工的基于员工的职务职务，而不是基于员工在哪个组或谁是，而不是基于员工在哪个组或谁是信息的所有者信息的所有者u即访问控制是由各个用户在部门中即访问控制是由各个用户在部门中所担任的角色来确定所担任的角色来确定的，例如，的，例如，一个学校可以有教工、老师、学生和其他管理人员等角色。一个学校可以有教工、老师、学生和其他管理人员等角色。基于角色的访问控制模型RBAC基于角色的访问控制模型（Rol25uRBACu从从控制主体的角度控制主体的角度出发出发u根据管理中根据管理中相对稳定的职权和责任来划分角色相对稳定的职权和责任来划分角色，将访问权限，将访问权限与角色相联系与角色相联系u这点与传统的这点与传统的MAC和和DAC将权限将权限直接授予用户直接授予用户的方式不同；的方式不同；u通过通过给用户分配合适的角色给用户分配合适的角色，让用户与访问权限相联，让用户与访问权限相联系。系。基于角色的访问控制模型基于角色的访问控制模型RBACRBAC基于角色的访问控制模型RBAC26基于角色的访问控制模型基于角色的访问控制模型n角色可以看作是一组操作的集合角色可以看作是一组操作的集合 n假设：假设：nTch 1，Tch 2，Tch 3,Tchi 教师教师nStud 1,Stud 2,Stud3,Stud j学生学生nMng 1,Mng 2,Mng 3,Mng k教务处管理人员教务处管理人员n对应的权限对应的权限n老师的权限为老师的权限为Tch MN=查询成绩、上传所教课程的成绩查询成绩、上传所教课程的成绩；n学生的权限为学生的权限为Stud MN=查询成绩、反映意见查询成绩、反映意见；n教务管理人员的权限为教务管理人员的权限为Mng MN=查询、修改成绩、打印成绩清单查询、修改成绩、打印成绩清单。n执行的操作与其所扮演的角色的职能相匹配，不同的用户根据其职执行的操作与其所扮演的角色的职能相匹配，不同的用户根据其职能和责任被赋予相应的角色。能和责任被赋予相应的角色。基于角色的访问控制模型角色可以看作是一组操作的集合 27基于角色的访问控制模型基于角色的访问控制模型u系统管理员负责系统管理员负责授予授予用户各种角色的成员资格或用户各种角色的成员资格或撤消撤消某某用户具有的某个角色。用户具有的某个角色。例如学校新教师例如学校新教师Tch x，只需将，只需将Tch x添加到教师这一角色的成添加到教师这一角色的成员中，员中，无需对访问控制列表做改动无需对访问控制列表做改动。同一个用户可扮演多种角色，比如可以是老师，同时也可以作同一个用户可扮演多种角色，比如可以是老师，同时也可以作为进修的学生。为进修的学生。uRBAC提供了一种描述用户和权限之间的提供了一种描述用户和权限之间的多对多多对多关系；关系；基于角色的访问控制模型系统管理员负责授予用户各种角色的成员资28基于角色的访问控制模型基于角色的访问控制模型uRBAC简化了权限设置的管理，是简化了权限设置的管理，是实施面向企业的安全策略实施面向企业的安全策略的一种有的一种有效的访问控制方式效的访问控制方式u具有灵活性、方便性和安全性的特点具有灵活性、方便性和安全性的特点u目前在大型数据库系统的权限管理中得到普遍应用。目前在大型数据库系统的权限管理中得到普遍应用。uRBAC与与DAC的区别：的区别：u用户不能自主地将访问权限授给别的用户所在。用户不能自主地将访问权限授给别的用户所在。u用户与客体无直接联系，桥梁是角色，只有系统管理员有权定义和分配角色。用户与客体无直接联系，桥梁是角色，只有系统管理员有权定义和分配角色。uRBAC与与MAC的区别在于的区别在于：uMAC是基于多级安全需求的，而是基于多级安全需求的，而RBAC则不是。则不是。基于角色的访问控制模型RBAC简化了权限设置的管理，是实施面296.2 访问控制策略访问控制策略 n6.2.1安全策略安全策略n6.2.2基于身份的安全策略基于身份的安全策略n6.2.3基于规则的安全策略基于规则的安全策略6.2 访问控制策略 6.2.1安全策略316.2.1 安全策略安全策略n安全策略建立的需要和目的安全策略建立的需要和目的安全的领域非常广泛繁杂，构建一个可以抵御风险的安全框架涉及很安全的领域非常广泛繁杂，构建一个可以抵御风险的安全框架涉及很多细节。多细节。如果能够提供一种恰当的、符合安全需求的整体思路如果能够提供一种恰当的、符合安全需求的整体思路，也更，也更加有明确的前进方向。加有明确的前进方向。恰当的安全策略关注的恰当的安全策略关注的核心核心集中到集中到最高决策层最高决策层认为必须注意的方面。认为必须注意的方面。n一种安全策略实质上表明：一种安全策略实质上表明：必须必须明确在安全领域的范围内明确在安全领域的范围内，什么操作是明确允许的，什么操作是一般默认允，什么操作是明确允许的，什么操作是一般默认允许的，什么操作是明确不允许的，什么操作是默认不允许的。许的，什么操作是明确不允许的，什么操作是默认不允许的。不要求安全策略作出具体的措施规定以及何种方式不要求安全策略作出具体的措施规定以及何种方式但应该但应该向安全构架的实际搭造者们指出向安全构架的实际搭造者们指出在当前的前提下，在当前的前提下，什么因素和风险才是最什么因素和风险才是最重要的。重要的。6.2.1 安全策略安全策略建立的需要和目的32 安全策略的实施原则安全策略的实施原则 n围绕围绕主体、客体和安全控制规则集主体、客体和安全控制规则集三者之间的关系展开的。三者之间的关系展开的。n 最小特权原则最小特权原则：最小特权原则是指主体执行操作时，按照主体最小特权原则是指主体执行操作时，按照主体所需权利所需权利的最小化的最小化原则分配给主体权力。原则分配给主体权力。l优点：是最大限度地限制了主体实施授权行为，可以避免来自突发事件、错误和优点：是最大限度地限制了主体实施授权行为，可以避免来自突发事件、错误和未授权用主体的危险。未授权用主体的危险。n 最小泄漏原则最小泄漏原则：最小泄漏原则是指主体执行任务时，按照主体所需要知道的信息最小泄漏原则是指主体执行任务时，按照主体所需要知道的信息最小化的原则分配给主体权力最小化的原则分配给主体权力。n 多级安全策略多级安全策略：多级安全策略是指主体和客体间的数据流向和权限控制按照安全多级安全策略是指主体和客体间的数据流向和权限控制按照安全级别的绝密（级别的绝密（TS）、秘密（）、秘密（S）、机密（）、机密（C）、限制（）、限制（RS）和无级别（）和无级别（U）5级来划分。级来划分。l优点：避免敏感信息的扩散，只有安全级别比他高的主体才能够访问。优点：避免敏感信息的扩散，只有安全级别比他高的主体才能够访问。安全策略的实施原则 围绕主体、客体和安全控制规则集三者之间33安全策略的具体含义和实现安全策略的具体含义和实现 n安全策略的前提安全策略的前提是具有一般性和普遍性是具有一般性和普遍性n安全策略的最主要的问题安全策略的最主要的问题：n如何能使如何能使安全策略的这种普遍性安全策略的这种普遍性和和所要分析的所要分析的实际问题的特殊性实际问题的特殊性相结合。相结合。控制策略的制定是一个按照安全需求、依照实例控制策略的制定是一个按照安全需求、依照实例不断精确细化不断精确细化的求解的求解过程。过程。设计者要考虑到实际应用的设计者要考虑到实际应用的前瞻性前瞻性，有时候并不知道这些具体，有时候并不知道这些具体的需求与细节是什么；为了能够描述和了解这些细节，就需要的需求与细节是什么；为了能够描述和了解这些细节，就需要在安全策略的指导下在安全策略的指导下,对安全涉及到的领域和相关做细致的考对安全涉及到的领域和相关做细致的考查和研究。查和研究。安全策略的具体含义和实现 安全策略的前提是具有一般性和普遍性34l1989年年12月国际标准化组织（月国际标准化组织（ISO）颁布了该标准的第二部分，即）颁布了该标准的第二部分，即ISO 7498-2，并，并首次确定了开放系统互连（首次确定了开放系统互连（OSI）参考模型的信息安全体系结参考模型的信息安全体系结构构。l按照按照ISO 7498-2中中OSI安全体系结构中的定义，访问控制的安全策略有以安全体系结构中的定义，访问控制的安全策略有以下两种实现方式：下两种实现方式：l基于身份的安全策略，等同于DAC安全策略l基于规则的安全策略，等同于MAC安全策略。1989年12月国际标准化组织（ISO）颁布了该标准的第二部356.2.2 基于身份的安全策略基于身份的安全策略 n基于身份的安全策略基于身份的安全策略（Identification-based Access Control Policies,IDBACP）的目的是过的目的是过滤对数据或资源的访问，滤对数据或资源的访问，只有能通过认只有能通过认证证的那些主体才有可能正常使用客体的的那些主体才有可能正常使用客体的资源。资源。n基于身份的策略包括基于身份的策略包括基于个人的策略基于组的策略。6.2.2 基于身份的安全策略 基于身份的安全策略（I36基于个人的策略基于个人的策略 基于个人的策略：是指基于个人的策略：是指以用户为中心以用户为中心建立的一种策略，这种策略由一些列表来组成，建立的一种策略，这种策略由一些列表来组成，这些列表限定了针对特定的客体，哪些用户可以实现何种策操作行为。这些列表限定了针对特定的客体，哪些用户可以实现何种策操作行为。n n n对文件对文件2而言，授权用户而言，授权用户B有只读的权利，授权用户有只读的权利，授权用户A则被允许读和写；对授权用户则被允许读和写；对授权用户N而而言，具有对文件言，具有对文件1、2和文件和文件N的读写权利。的读写权利。基于个人的策略 基于个人的策略：是指以用户为中心建立的一种策37基于组的策略基于组的策略 u基于组的策略是基于个人的策略的扩充，指基于组的策略是基于个人的策略的扩充，指一些用户一些用户被允许使用同样的访问控制规则被允许使用同样的访问控制规则访问同样的客体。访问同样的客体。u基于身份的安全策略有两种基本的实现方法基于身份的安全策略有两种基本的实现方法：能力表和访问控制列表。：能力表和访问控制列表。基于组的策略 基于组的策略是基于个人的策略的扩充，指一些用户386.2.3基于规则的安全策略基于规则的安全策略u基于规则的安全策略中，授权依赖于基于规则的安全策略中，授权依赖于敏感敏感性性。u在实现上，在实现上，系统比较用户的安全级别和客系统比较用户的安全级别和客体资源的安全级别体资源的安全级别来判断是否允许用户可来判断是否允许用户可以进行访问。以进行访问。6.2.3基于规则的安全策略基于规则的安全策略中，授权依赖于396.3 访问控制的实现访问控制的实现 n6.3.1访问控制的实现机制访问控制的实现机制n6.3.2访问控制表访问控制表n6.3.3访问控制矩阵访问控制矩阵n6.3.4访问控制能力列表访问控制能力列表n6.3.5访问控制安全标签列表访问控制安全标签列表n6.3.6访问控制实现的具体类别访问控制实现的具体类别6.3 访问控制的实现 6.3.1访问控制的实现机制406.3.1 访问控制的实现机制访问控制的实现机制n实现访问控制的要求：实现访问控制的要求：保证授权用户使用的权限与其所拥有的权限对应保证授权用户使用的权限与其所拥有的权限对应制止非授权用户的非授权行为制止非授权用户的非授权行为保证敏感信息的交叉感染。保证敏感信息的交叉感染。n 本章本章以文件的访问控制以文件的访问控制为例做具体说明：为例做具体说明：n用户访问信息资源（文件或是数据库），可能的行为有：用户访问信息资源（文件或是数据库），可能的行为有：n读读R、写、写W和管理和管理O(own)6.3.1 访问控制的实现机制实现访问控制的要求：416.3.2 访问控制表访问控制表访问控制表访问控制表（Access Control Lists,ACLs）是以）是以文件为文件为中心中心建立的访问权限表。目前，大多数建立的访问权限表。目前，大多数PC、服务器和主、服务器和主机都使用机都使用ACLs作为访问控制的实现机制。作为访问控制的实现机制。6.3.2 访问控制表访问控制表（Access Cont426.3.4 访问控制能力列表访问控制能力列表n能力能力：请求访问的发起者所拥有的一个：请求访问的发起者所拥有的一个有效标签有效标签（ticket），它授权标签表明的持有），它授权标签表明的持有者可以按照何种访问方式访问特定的客体。者可以按照何种访问方式访问特定的客体。n访问控制能力（访问控制能力（ACCL）表是）表是以用户为中心以用户为中心建立访问权限表。建立访问权限表。n ACCLs的实现与的实现与ACLs正好相反。正好相反。6.3.4 访问控制能力列表能力：请求访问的发起者所拥有436.3.3 访问控制矩阵访问控制矩阵u访问控制矩阵（访问控制矩阵（Access Control Matrix,ACM）是通过）是通过矩阵形式矩阵形式表示访问控制规则和授权用户权限的方法；表示访问控制规则和授权用户权限的方法；u主体主体拥有对哪些客体的哪些访问权限；拥有对哪些客体的哪些访问权限；u客体客体有哪些主体对他可以实施访问有哪些主体对他可以实施访问u其中，特权用户或特权用户组可以修改主体的访问控制权限。其中，特权用户或特权用户组可以修改主体的访问控制权限。u缺点：如果用户和文件系统要管理的文件很多，那么控制矩阵将会成几何级数增长，这样对于增长的矩阵而言，会缺点：如果用户和文件系统要管理的文件很多，那么控制矩阵将会成几何级数增长，这样对于增长的矩阵而言，会有大量的空余空间。有大量的空余空间。6.3.3 访问控制矩阵访问控制矩阵（Access Con446.3.5 访问控制安全标签列表访问控制安全标签列表u安全标签：安全标签：限制和附属在主体或客体上的一组安全属性信息限制和附属在主体或客体上的一组安全属性信息。u访问控制标签列表访问控制标签列表（Access Control Security Labels Lists,ACSLLs）是限定一个用户对一是限定一个用户对一个客体目标访问的安全属性集合。个客体目标访问的安全属性集合。u假设用户假设用户User A为为S，User A请求访问请求访问File 2时，时，SC，允许访问。，允许访问。u安全标签能对敏感信息加以区分安全标签能对敏感信息加以区分，这样就可以对用户和客体资源强制执行安全策略，因，这样就可以对用户和客体资源强制执行安全策略，因此，此，强制访问控制经常会用到这种实现机制强制访问控制经常会用到这种实现机制。6.3.5 访问控制安全标签列表安全标签：限制和附属在主456.3.6 访问控制实现的具体类别访问控制实现的具体类别n访问控制的主要任务访问控制的主要任务：维护网络系统安全、保证网络资源不被非法使：维护网络系统安全、保证网络资源不被非法使用和非常访问。技术实现上包括：用和非常访问。技术实现上包括：n（1）接入访问控制）接入访问控制n（2）资源访问控制）资源访问控制n（3）网络端口和节点的访问控制）网络端口和节点的访问控制6.3.6 访问控制实现的具体类别访问控制的主要任务：46接入访问控制接入访问控制 接入访问控制接入访问控制为网络访问提供为网络访问提供第一层第一层访问控制访问控制控制控制哪些用户哪些用户能够登录到服务器并获取网络资源能够登录到服务器并获取网络资源控制准许用户入网的控制准许用户入网的时间时间和在和在哪台工作站哪台工作站入网入网。对合法用户的验证对合法用户的验证用户名和口令用户名和口令的认证方式的认证方式n可分为三个步骤：可分为三个步骤：用户名的识别与验证用户名的识别与验证用户口令的识别与验证用户口令的识别与验证用户账号的缺省限制检查。用户账号的缺省限制检查。接入访问控制 接入访问控制为网络访问提供第一层访问控制47资源访问控制资源访问控制u资源访问控制是指对资源访问控制是指对客体整体资源信息客体整体资源信息的访问控制管理。其中包括的访问控制管理。其中包括文件系统的访问控制（文件目录访问控制和系统访问控制）文件系统的访问控制（文件目录访问控制和系统访问控制）文件属性访问控制文件属性访问控制信息内容访问控制。信息内容访问控制。u文件目录访问控制：文件目录访问控制：用户和用户组用户和用户组被赋予一定的权限，被赋予一定的权限，哪些用户和用户组可以哪些用户和用户组可以访问哪些访问哪些目录、子目录、文件和其他资源，执行目录、子目录、文件和其他资源，执行何种操作何种操作。u系统访问控制：网络系统管理员系统访问控制：网络系统管理员应当为用户指定适当的访问权限应设置口令锁定服务器控制台应设定服务器登录时间限制、非法访问者检测和关闭的时间间隔应对网络实施监控、报警等。资源访问控制资源访问控制是指对客体整体资源信息的访问控制管理48网络端口和节点的访问控制网络端口和节点的访问控制网络中的节点和端口加密传输数据，其位置的管网络中的节点和端口加密传输数据，其位置的管理必须防止黑客理必须防止黑客发动的攻击发动的攻击。网络端口和节点的访问控制网络中的节点和端口加密传输数据，其位496.4 安全级别与访问控制安全级别与访问控制 u访问控制的具体实现与访问控制的具体实现与安全的级别安全的级别联系在一起的联系在一起的u安全级别有安全级别有两个含义两个含义：一个是一个是主客体信息资源主客体信息资源的安全类别，分为：的安全类别，分为：n 有层次的安全级别、无层次的安全级别有层次的安全级别、无层次的安全级别；一个是一个是访问控制系统实现访问控制系统实现的安全级别，分为的安全级别，分为4级：级：D、C（C1、C2）、）、B（B1、B2、B3）和）和A6.4 安全级别与访问控制 访问控制的具体实现与安全的级50计算机系统的安全级别介绍计算机系统的安全级别介绍 n1.D级别级别D级别是最低的安全级别。级别是最低的安全级别。系统的访问控制系统的访问控制没有限制没有限制，无需登陆系统就可，无需登陆系统就可以访问数据。以访问数据。这个级别的系统包括这个级别的系统包括DOS，WINDOWS98等。等。计算机系统的安全级别介绍 1.D级别51计算机系统的安全级别介绍计算机系统的安全级别介绍 n2.C级别，有两个子系统，级别，有两个子系统，C1和和C2uC1级称为级称为选择性保护级选择性保护级，可以实现自主安全防护，对用户和数据进行分离，可以实现自主安全防护，对用户和数据进行分离，保护或限制用户权限的传播保护或限制用户权限的传播。uC2级具有级具有访问控制环境访问控制环境的权力，比的权力，比C1的访问控制划分的更为详细，能够实现受控安全保护、个人账户管理、的访问控制划分的更为详细，能够实现受控安全保护、个人账户管理、审计和资源隔离。这个级别的系统包括审计和资源隔离。这个级别的系统包括Unix、Linux和和Windows NT系统。系统。uC级别的安全策略主要是级别的安全策略主要是自主存取控制自主存取控制，可以实现，可以实现n 保护数据确保非授权用户无法访问；保护数据确保非授权用户无法访问；n 对存取权限的传播进行控制；对存取权限的传播进行控制；n 个人用户数据的安全管理。个人用户数据的安全管理。计算机系统的安全级别介绍 2.C级别，有两个子系统，C1和52计算机系统的安全级别介绍计算机系统的安全级别介绍 n3.B级别，提供级别，提供强制性安全保护和多级安全强制性安全保护和多级安全n uB级别包括级别包括B1、B2和和B3 3个级别。个级别。nB级安全级别可实现级安全级别可实现自主存取控制和强制存取控制自主存取控制和强制存取控制，包括：，包括：n 所有敏感标识控制下的主体和客体都所有敏感标识控制下的主体和客体都有标识有标识；n 安全标识对普通用户是安全标识对普通用户是不可变更不可变更的；的；n 可以审计：可以审计：n任何试图违反可读输出标记的行为；任何试图违反可读输出标记的行为；n授权用户提供的无标识数据的安全级别和与之相关的动作；授权用户提供的无标识数据的安全级别和与之相关的动作；n信道和信道和I/O设备的安全级别的改变；设备的安全级别的改变；n用户身份和与相应的操作；用户身份和与相应的操作；n 维护认证数据和授权信息维护认证数据和授权信息；n 通过控制独立地址空间来通过控制独立地址空间来维护进程的隔离维护进程的隔离。计算机系统的安全级别介绍 3.B级别，提供强制性安全保护和53计算机系统的安全级别介绍计算机系统的安全级别介绍 n4.A级别，验证设计级（级别，验证设计级（Verity Design）u目前最高的安全级别；目前最高的安全级别；u安全的设计必须给出安全的设计必须给出形式化设计形式化设计说明和验证；说明和验证；u需要有严格的需要有严格的数学推导数学推导过程；过程；u包含秘密信道和可信分布的分析，也就是说要保证系统的部件来源有包含秘密信道和可信分布的分析，也就是说要保证系统的部件来源有安全保证安全保证。例如对这些软件和硬件在生产、销售、运输中进行严密跟踪和严格的配置管理，例如对这些软件和硬件在生产、销售、运输中进行严密跟踪和严格的配置管理，以避免出现安全隐患。以避免出现安全隐患。计算机系统的安全级别介绍 4.A级别，验证设计级（Veri546.5 访问控制与授权访问控制与授权 n6.5.1授权行为授权行为n6.5.2信任模型信任模型n6.5.3信任管理系统信任管理系统6.5 访问控制与授权 6.5.1授权行为556.5.1 授权行为授权行为u授权授权是资源的所有者或者控制者是资源的所有者或者控制者准许他人访问这种资源准许他人访问这种资源，这是实现访问控，这是实现访问控制的前提。制的前提。u对于简单的个体和不太复杂的群体：可以考虑对于简单的个体和不太复杂的群体：可以考虑基于个人和组的授权基于个人和组的授权。u对于一个大型跨国集团时：如何通过正常的授权以便保证合法的用户使用公司对于一个大型跨国集团时：如何通过正常的授权以便保证合法的用户使用公司公布的资源，而不合法的用户不能得到访问控制的权限，这公布的资源，而不合法的用户不能得到访问控制的权限，这是一个复杂的问题是一个复杂的问题。u授权表示的是一种授权表示的是一种信任关系信任关系，需要建立一种模型需要建立一种模型对这种关系进行描述。对这种关系进行描述。u本节将阐述信任模型的建立与信任管理。本节将阐述信任模型的建立与信任管理。6.5.1 授权行为授权是资源的所有者或者控制者准许566.5.2 信任模型信任模型n概念和定义概念和定义u信任模型信任模型（Trust Model）：建立和管理信任关系的框架。）：建立和管理信任关系的框架。u信任关系信任关系：客体对主体是信任的：如果主体能够符合客体所假定的期望值。客体对主体是信任的：如果主体能够符合客体所假定的期望值。信任关系可以使用期望值来衡量，并用信任度表示。信任关系可以使用期望值来衡量，并用信任度表示。u信任域：信任域：主客体间建立信任关系的范畴，信任域是主客体间建立信任关系的范畴，信任域是服从于一组公共策略的系统服从于一组公共策略的系统集集。6.5.2 信任模型概念和定义57信任模型信任模型n信任模型有信任模型有3种基本类型：种基本类型：n层次信任模型层次信任模型n网状信任模型网状信任模型n对等信任模型。对等信任模型。信任模型信任模型有3种基本类型：58层次信任模型层次信任模型 u建立层次信任模型的建立层次信任模型的基础基础是所有的信任用户都有一个是所有的信任用户都有一个可信任根可信任根。u层次信任关系是一种层次信任关系是一种链式的信任关系链式的信任关系，比如可信任实体，比如可信任实体A1可以表示为这样一个信任链：（可以表示为这样一个信任链：（R，C1，A1），），A1向上回溯到产生他的信任根向上回溯到产生他的信任根R。u双向信任的模型双向信任的模型，Ai和和Bj都基于可信任根都基于可信任根R，容易建立信任关系的很容易，容易建立信任关系的很容易u根节点根节点R作为信任的起点，也就是信任源，又称为信任锚。信任源负责下属的信任管理，下属再负责下面一层作为信任的起点，也就是信任源，又称为信任锚。信任源负责下属的信任管理，下属再负责下面一层的信任管理，这种的信任管理，这种管理方向是不可逆管理方向是不可逆的。的。层次信任模型 建立层次信任模型的基础是所有的信任用户都有一个59层次信任模型层次信任模型u优点优点：结构简单，管理方面，易于实现。：结构简单，管理方面，易于实现。u缺点：缺点：u是是Ai和和Xk的信任通过根实现，信任根出现问题，那么的信任通过根实现，信任根出现问题，那么信任的整个链路就被破坏了。信任的整个链路就被破坏了。u现实世界中，往往建立一个统一信任的根是困难的。现实世界中，往往建立一个统一信任的根是困难的。对于不在一个信任域中的两个实体如何来建立信任关对于不在一个信任域中的两个实体如何来建立信任关系？系？层次模型的适用范围：层次信任模型适用于孤立的、层状的企业孤立的、层状的企业，对于有组织边界交叉的企业，要应用这种模型是很困难的。层次信任模型优点：结构简单，管理方面，易于实现。层次模型的适60对等信任模型对等信任模型u对等信任模型：对等信任模型：两个或两个以上对等的信任域间建立两个或两个以上对等的信任域间建立的信任关系的信任关系。对等信任关系相对灵活，可解决任意已。对等信任关系相对灵活，可解决任意已经建立信任关系的两个信任模型之间的交互信任。经建立信任关系的两个信任模型之间的交互信任。A1和X1的信任关系要通过对等信任域对等信任域R1和和R2的相互认证的相互认证才能实现，因此这种信任关系在PKI领域中又叫做交叉认证交叉认证。两个实体间是对等的关系，既是被验证的主体，又是进行验证的客体。对等信任模型对等信任模型：两个或两个以上对等的信任域间建立的61网状信任模型网状信任模型n网状信任模型是对等信任模型的扩充。因为网状信任模型是对等信任模型的扩充。因为没有必要在任意两个对等的信任没有必要在任意两个对等的信任域建立交叉认证域建立交叉认证，完全可以通过建立一个，完全可以通过建立一个网络拓扑结构网络拓扑结构的信任模型来实现。的信任模型来实现。R1，R2R11是不同的信任域，之间的信任关系用实线箭头表示。是不同的信任域，之间的信任关系用实线箭头表示。R1和和R5信任域下的主体信任域下的主体A和和B 间可以建立的信任链共有间可以建立的信任链共有3条。条。网状信任模型网状信任模型是对等信任模型的扩充。因为没有必要在626.5.3 信任管理系统信任管理系统u阐述信任模型很容易产生一个问题，这就是在实际中阐述信任模型很容易产生一个问题，这就是在实际中是是由谁在管理信任由谁在管理信任？如果我们就是信任中的主体，我？如果我们就是信任中的主体，我们凭什么信任他们？这就是信任管理需要解决的问题。们凭什么信任他们？这就是信任管理需要解决的问题。u信任管理包含了两个方面，信任管理包含了两个方面，u一个是一个是对于信任链的维护与管理对于信任链的维护与管理u二个是二个是对信任域间信任关系的管理与维护对信任域间信任关系的管理与维护。u信任域的管理通常由认证机构来负责。信任域的管理通常由认证机构来负责。6.5.3 信任管理系统阐述信任模型很容易产生一个问题636.6 PKI与与PMI的关系的关系n6.6.1 授权管理授权管理n6.6.2 属性证书属性证书n6.6.3 PMI结构模型结构模型6.6 PKI与PMI的关系6.6.1 授权管理646.6.1 授权管理授权管理 uPMI即是即是特权管理基础设施特权管理基础设施，PMI授权技术主要解决授权技术主要解决有效授权问题有效授权问题。uPMI授权技术提供：授权技术提供：在分布式计算环境中的在分布式计算环境中的访问控制功能访问控制功能将访问控制机制从具体应用系统中将访问控制机制从具体应用系统中分离分离出来，使得访出来，使得访问控制机制和应用系统之间能灵活而方便的结合。问控制机制和应用系统之间能灵活而方便的结合。uPMI授权技术的核心思想：是以资源管理为核心，将授权技术的核心思想：是以资源管理为核心，将对对资源的访问控制权统一交由授权机构进行管理资源的访问控制权统一交由授权机构进行管理，即，即由资源的所有者来进行访问控制。由资源的所有者来进行访问控制。6.6.1 授权管理 PMI即是特权管理基础设施，PM65PKI与与PMI的关系的关系u同同PKI的区别：的区别：pPKI证明用户是谁，并将用户的身份信息保存在用户的公钥证书中；证明用户是谁，并将用户的身份信息保存在用户的公钥证书中；pPMI证明这个用户有什么权限，什么属性，能干什么，并将用户的属性证明这个用户有什么权限，什么属性，能干什么，并将用户的属性信息保存在授权证书（又称授权证书）中。信息保存在授权证书（又称授权证书）中。uPMI的最终目标：的最终目标：就是提供一种有效的体系结构来管理用户的属性就是提供一种有效的体系结构来管理用户的属性。这包括两个方面的含义：这包括两个方面的含义：pPMI保证用户获取他们保证用户获取他们有权有权获取的信息、做他们有权限进行的操作；获取的信息、做他们有权限进行的操作；pPMI应能提供应能提供跨跨应用、跨系统、跨企业、跨安全域的用户属性的管理和应用、跨系统、跨企业、跨安全域的用户属性的管理和交互手段。交互手段。PKI与PMI的关系同PKI的区别：66PKI与与PMI的关系（续）的关系（续）uPMI建立在建立在PKI提供的可信的身份认证服务的提供的可信的身份认证服务的基础上，基础上，以属性证书的形式实现授权的管理以属性证书的形式实现授权的管理。uPMI体系和模型的核心内容体系和模型的核心内容：是实现属性证书：是实现属性证书的有效管理，包括属性证书的产生、使用、吊的有效管理，包括属性证书的产生、使用、吊销、失效等。销、失效等。PKI与PMI的关系（续）67PKI与与PMI的关系的关系在一个应用系统中，在一个应用系统中，授权必须以身份认证为基础授权必须以身份认证为基础，没有经过身份认证，没有经过身份认证的访问控制是没有任何意义的。的访问控制是没有任何意义的。PMI与与PKI 的关联：属性权威可以在的关联：属性权威可以在属性证书中绑定用户身份证书的属性证书中绑定用户身份证书的有效信息有效信息实现，使实现，使PKI/PMI体系的基础设施为信息安全建设提供一体系的基础设施为信息安全建设提供一个通用的安全平台。个通用的安全平台。在一个在一个PKI/PMI 的安全平台中，的安全平台中，PKI是是PMI的基础的基础，为，为PMI授权提供了身份认证服务，授权提供了身份认证服务，PMI是是PKI的有益的补充的有益的补充，在身份认证的基础上进一步管理用户的权，在身份认证的基础上进一步管理用户的权限属性。限属性。PKI与PMI的关系在一个应用系统中，授权必须以身份认证为基686.6.2 属性证书属性证书n在在PKI/PMI体系中存在两种证书：体系中存在两种证书：u公钥证书公钥证书PKC：为了保证用户身份和公钥的可信度，将两者进行捆绑，并由可信的第三方为了保证用户身份和公钥的可信度，将两者进行捆绑，并由可信的第三方CA证书的权威机构签名的数据结构，即为证书的权威机构签名的数据结构，即为公钥证书公钥证书。PKI主要作用：身份认证提供安全依据。主要作用：身份认证提供安全依据。u属性证书属性证书AC：属性证书建立在基于公钥证书的身份认证的基础上：属性证书建立在基于公钥证书的身份认证的基础上PMI权威机构属性权威权威机构属性权威AA(Attribute Authority)签发的签发的将实体与其享有的将实体与其享有的权力属性捆绑在一起的数据结构权力属性捆绑在一起的数据结构，权威机构的数字签名保证了绑定的有效性，权威机构的数字签名保证了绑定的有效性和合法性。和合法性。PMI作用：授权管理作用：授权管理6.6.2 属性证书在PKI/PMI体系中存在两种证书69公钥证书与属性证书公钥证书与属性证书公钥证书公钥证书保证实体及其公钥的对应性保证实体及其公钥的对应性，为数据完整性、实体认证、保，为数据完整性、实体认证、保密性、授权等安全机制提供身份服务。密性、授权等安全机制提供身份服务。不直接用公钥证书来承载属性而使用独立的属性证书原因：不直接用公钥证书来承载属性而使用独立的属性证书原因：u身份和属性的身份和属性的有效时间有效时间有很大差异：有很大差异：n 属性证书的生命周期往往远低于用于标识身份的公钥证书。属性证书的生命周期往往远低于用于标识身份的公钥证书。u公钥证书和属性证书的管理公钥证书和属性证书的管理颁发部门颁发部门可能不同。可能不同。n 公钥证书公钥证书身份管理系统进行控制身份管理系统进行控制n 属性证书属性证书与应用紧密相关。与应用紧密相关。公钥证书与属性证书公钥证书保证实体及其公钥的对应性，为数据完70公钥证书与属性证书公钥证书与属性证书n公钥证书：公钥证书：n一个系统中，每个用户只有一张合法的公钥