访问控制技术课件

,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,访问控制技术,苏兆品,访问控制技术苏兆品,1,访问控制技术课件,2,访问控制技术课件,3,访问控制技术课件,4,国际标准化组织（ISO）在网络安全标准ISO7498-2中定义了5种层次型安全服务，即：,身份认证服务、访问控制服务、数据保密服务、数据完整性服务和不可否认服务,，因此，访问控制是信息安全的一个重要组成部分。,互联网络的蓬勃发展，为信息资源的共享提供了更加完善的手段，也给信息安全提供了更为丰富的研究材料。,信息安全的目的是为了保护在信息系统中存储和处理的信息的安全,国际标准化组织（ISO）在网络安全标准ISO7498-2中定,5,自20世纪70年代起，Denning、Bell、Lapadula和Biba等人对信息安全模型进行了大量的基础研究，特别是可信计算机评估标准TCSEC问世以后，系统安全模型得到了广泛的研究，并在各种系统中实现了多种安全模型。,阻止非授权用户对敏感信息的访问,自20世纪70年代起，Denning、Bell、Lapadu,6,访问控制含义,访问控制是指,主体,依据某些,控制策略,或,权限,对,客体,本身或是其,资源,进行的,不同授权访问,主要涉及以下几个方面：,访问控制的模型；访问控制的策略；访问控制的的实现；安全级别与访问控制；访问控制与授权；访问控制与审计,访问控制含义访问控制是指主体依据某些控制策略或权限对客体本身,7,提纲,1访问控制概述,2访问控制模型,3访问控制策略,4访问控制的实现,5 安全级别与访问控制,6 访问控制与授权,7 访问控制与审计,提纲,8,1 访问控制概述,访问控制的要素,访问控制的内容,1 访问控制概述访问控制的要素,9,1.1访问控制的要素,访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问,。访问控制包括三个要素，即：,主体、客体和控制策略,。,1.1访问控制的要素 访问控制是指主体依据某些控制策略或权限,10,主体（Subject）,是指一个提出请求或要求的实体，是动作的发起者，但不一定是动作的执行者，简记为S。,有时也称为用户（User）或访问者（被授权使用计算机的人员），记为U。,主体的含义是广泛的,用户所在的组织（以后称为用户组）、用户本身，,用户使用的计算机终端、卡机、手持终端（无线）等,应用服务程序程序或进程。,主体（Subject）是指一个提出请求或要求的实体，是动作的,11,客体（Object）,是接受其他实体访问的被动实体, 简记为O。,客体的概念也很广泛，凡是可以被操作的信息、资源、对象都可以认为是客体。,在信息社会中，客体可以是信息、文件、记录等的集合体，也可以是网路上的硬件设施，无线通信中的终端，甚至一个客体可以包含另外一个客体。,客体（Object）是接受其他实体访问的被动实体, 简记为O,12,控制策略,是主体对客体的,操作行为集,和,约束条件集, 简记为KS。,控制策略是主体对客体的,访问规则集,，这个规则集直接定义了主体对客体的,作用行为,和客体对主体的,条件约束,。,访问策略体现了一种授权行为，也就是客体对主体的权限允许，这种允许不超越规则集。,控制策略是主体对客体的操作行为集和约束条件集, 简记为KS。,13,三个要素之间的行为关系,使用,三元组（S，O，P）,来表示访问控制系统三个要素之间的行为关系。,UID,三个要素之间的行为关系 使用三元组（S，O，P）来表示访问控,14,注意：,用户标识,（UID：User Identification）是一个用来鉴别用户身份的字符串，每个用户有且只能有唯一的一个用户标识，以便与其他用户区别。当一个用户注册进入系统时，他必须提供其用户标识，然后系统执行一个可靠的审查来确信当前用户是对应用户标识的那个用户。,主体的身份认证：方式,监控器,：由控制规则集监视,认证通过，只能访问，不一定能操作,客体信息具有不同的安全属性,多级安全信息系统,注意：用户标识（UID：User Identificatio,15,多级安全信息系统：由于用户的访问涉及到访问的权限控制规则集合，将,敏感信息与通常资源分开隔离的系统,，称之为多级安全信息系统。,多级安全系统必然要将信息资源按照,安全属性,分级考虑，安全类别有两种类型：,一种是有层次的安全级别（Hierarchical Classification），分为5级：绝密级别TS，秘密级别S，机密级别C，限制级别RS，无级别级U ；,另一种是无层次的安全级别，不对主体和客体按照安全类别分类，只是给出客体接受访问时可以使用的规则和管理者。,多级安全信息系统：由于用户的访问涉及到访问的权限控制规则集合,16,1.2 访问控制内容,访问控制的实现首先要考虑对,合法用户进行验证,，然后是,对控制策略的选用与管理,，最后要,对非法用户或越权操作进行管理,。,访问控制包括认证、控制策略实现和审计3方面的内容：,1.2 访问控制内容访问控制的实现首先要考虑对合法用户进行验,17,(1),认证,：主体对客体的,识别认证,和客体对主体,检验认证,。主体和客体的认证关系是相互的：,当一个主体受到另外一个主体的访问时，这个主体也就变成了客体。,一个实体可以在某一时刻是主体，而在另一时刻是客体，这取决于当前实体的功能是动作的执行者还是动作的被执行者。,(1) 认证：主体对客体的识别认证和客体对主体检验认证。主体,18,(2),控制策略的具体实现,：体现在如何设定规则集合，从而确保正常用户对信息资源的合法使用。,防止非法用户,考虑敏感资源的泄漏,对于合法用户而言，也不能越权行使控制策略所赋予其权利以外的功能。,(2) 控制策略的具体实现：体现在如何设定规则集合，从而确保,19,(3),审计,：审计的重要意义在于，比如客体的管理者即管理员有操作赋予权，他有可能滥用这一权利，这是无法在策略中加以约束的，必须对这些行为进行记录，从而达到威慑和保证访问控制正常实现的目的。,(3) 审计：审计的重要意义在于，比如客体的管理者即管理员有,20,2 访问控制的模型,访问控制安全模型一般包括,主体、客体,，以及为识别和验证这些实体的子系统和控制实体间访问的,监视器,。,建立规范的访问控制模型，是实现严格访问控制策略所必须的。,由于网络传输的需要，访问控制的研究发展很快，提出了许多访问控制模型。,20世纪70年代，Harrison， Ruzzo和Ullman提出了HRU模型。,（S，O，访问矩阵）,Jones等人在1976年提出了Take-Grant模型,（S，O，系统授权状态的有向图）,2 访问控制的模型访问控制安全模型一般包括主体、客体，以及为,21,1985年美国军方提出可信计算机系统评估准则TCSEC，其中描述了两种著名的访问控制策略：,自主访问控制模型（DAC）,强制访问控制模型（MAC）,1992年， Ferraiolo和Kuhn提出了基于,角色的访问控制（RBAC）,。,考虑到网络安全和传输流，又提出了,基于对象和基于任务,的访问控制。,1985年美国军方提出可信计算机系统评估准则TCSEC，其中,22,要点,自主访问控制模型（DAC Model）,强制访问控制模型（MAC Model）,基于角色的访问控制模型（RBAC Model）,基于任务的访问控制模型（TBAC Model）,基于对象的访问控制模型（OBAC Model）,信息流模型,要点,23,2.1 自主访问控制模型（DAC Model）,自主访问控制模型（Discretionary Access Control Model ，DAC Model）是根据,自主访问控制策略,建立的一种模型，,允许合法用户以用户或用户组的身份访问策略规定的客体,同时阻止非授权用户访问客体,某些用户还可以自主地把自己所拥有的客体的访问权限,授予,其它用户。,特权用户或是特权用户组,管理员,2.1 自主访问控制模型（DAC Model）自主访问,24,DAC模型一般采用,访问控制矩阵和访问控制列表,来存放不同主体的访问控制信息,在实现上,首先，要对用户的,身份进行鉴别,然后，按照访问控制列表所赋予用户的权限，允许和限制用户使用客体的资源。,自主访问控制又称为,任意访问控制,。,Linux，Unix、Windows 操作系统都提供自主访问控制的功能。,DAC模型一般采用访问控制矩阵和访问控制列表来存放不同主体的,25,第八章,访问控制,例如：访问控制表ACL,ACL是存在于计算机中的一张表，用户对特定系统对象例如文件目录或单个文件的存取权限。,每个对象拥有一个在访问控制表中定义的安全属性。这张表对于每个系统用户，都拥有一个访问权限。,最一般的访问权限包括读文件（包括所有目录中的文件），写一个或多个文件和执行一个文件（如果它是一个可执行文件或者是程序的时候）。,访,对象,访,域,文件1,文件2,文件3,文件4,文件5,文件6,打印机1,绘图仪2,D1,R,R,W,D2,R,R,W,E,R,W,W,D3,R,W,E,W,W,第八章 访问控制例如：访问控制表ACL 访 对象访域,26,特点：,授权的实施主体（可以授权的主体、管理授权的客体、授权组）,自主负责赋予和回收,其他主体对客体资源的访问权限。,优点：,DAC对用户提供的这种,灵活,的数据访问方式，使得DAC广泛应用在商业和工业环境中,特点：,27,缺点：,在DAC访问控制中，用户和客体资源都被赋予一定的安全级别，,用户不能改变自身和客体的安全级别,，只有,管理员,才能够确定用户和组的访问权限。,安全防护还是相对比较低,任意传递权限,缺点：,28,2.2 强制访问控制模型（MAC Model）,强制访问控制模型（Mandatory Access Control Model, MAC Model）最初是为了实现比DAC更为严格的访问控制策略，美国政府和军方开发了各种各样的控制模型，这些方案或模型都有比较完善的和详尽的定义。随后，逐渐形成强制访问控制模型，并得到广泛的商业关注和应用。,2.2 强制访问控制模型（MAC Model）强制访问,29,MAC是一种,多级访问控制策略,，它的主要特点是：,系统对访问主体和受控对象实行强制访问控制，系统事先给访问主体和受控对象分配不同的,安全级别属性,在实施访问控制时，系统先对访问主体和受控对象的安全级别属性进行,比较,，再决定访问主体能否访问该受控对象,MAC是一种多级访问控制策略，它的主要特点是：,30,MAC对访问主体和受控对象标识,安全等级标记,5级：绝密级别TS，秘密级别S，机密级别C，限制级别RS，无级别级U ；,主体和客体在分属不同的安全类别时，用SC表示它们构成的一个偏序关系，,比如TS表示绝密级，就比密级S要高，当主体S的安全类别为TS，而客体O的安全类别为S时，用偏序关系可以表述为SC(S)SC(O)。,MAC对访问主体和受控对象标识安全等级标记,31,主体对客体的访问,根据偏序关系，主体对客体的访问主要有4种方式：,向下读（rd，read down）：,S安全级别高于O信息资源,的安全级别时允许查阅的读操作；,向上读（ru，read up）：,S,安全级别低于O信息资源,的安全级别时允许的读操作；,向下写（wd，write down）：,S,安全级别高于,O,信息资源的安全级别时允许执行的动作或是写操作；,向上写（wu，write up）：,S,安全级别低于,O,信息资源的安全级别时允许执行的动作或是写操作。,主体对客体的访问根据偏序关系，主体对客体的访问主要有4种方式,32,根据访问的方式，MAC模型包括：,Lattice模型,BLP模型,Biba模型,根据访问的方式，MAC模型包括：Lattice模型,33,Lattice模型,在Lattice模型中，每个资源和用户都服从于一个安全类别（安全级别）：,绝密级别,TS，秘密级别S，机密级别C，限制级别RS，无级别级U,。,在安全模型中，,用户所对应的安全级别必须比可以使用的客体资源高才能进行访问，即,SC(S)SC(O),访问方式,Lattices模型是实现安全分级的系统，这种,方案非常适用于需要对信息资源进行明显分类的系统,。,Lattice模型在Lattice模型中，每个资源和用户都,34,BLP模型,BLP（Bell and LaPadula，1976）模型是典型的,信息,保密性,多级安全模型,，主要应用于军事系统。,Bell-LaPadula模型通常是处理多级安全信息系统的设计基础，客体在处理,绝密级数据和秘密级数据时，要防止处理绝密级数据的程序把信息泄露给处理秘密级数据的程序,。,BLP模型的出发点是维护系统的,保密性,，有效地防止信息泄露,BLP模型BLP（Bell and LaPadula，1,35,Bell-LaPadula模型访问控制原则：,无向上读：,低级用户和进程不能访问安全级别比他们高的信息资源,无向下写：,安全级别高的用户和进程也不能向比他安全级别低的用户和进程写入数据,即：,对给定安全级别上的主体，仅被允许对同一安全级别和较低安全级别上的客体进行“读”： rd，当且仅当SC(S)SC(O)， ；,对给定安全级别上的主体，仅被允许向相同安全级别或较高安全级别上的客体进行“写”： wu，当且仅当SC(S) SC(O)，,Bell-LaPadula模型访问控制原则：,36,BLP模型的缺点：,只能处理机密性问题，不能解决完整性问题。,不能解决访问控制的管理问题，因为没有修改访问权限的机制；,不能防止或者解决隐蔽通道问题,主体之间的操作,不能解决在较为现代的系统中使用的文件共享问题。,BLP模型的缺点：,37,Biba模型,Biba模型（Biba,1977）在研究BLP模型的特性时发现，,定义了,信息完整性级别,信息流向：不允许从级别低的进程到级别高的进程，也就是说,用户只能向比自己安全级别低的客体写入信息,，从而防止非法用户创建安全级别高的客体信息，避免越权、篡改等行为的产生。,Biba模型Biba模型（Biba,1977）在研究BLP模,38,Biba模型的访问控制规则：, 禁止向上“写”, 禁止向下“读”。,用偏序关系可以表示为：, ru，当且仅当SC(S) SC(O)，允许读操作；, wd，当且仅当SC(S) SC(O)，允许写操作。,Biba模型的访问控制规则：,39,优点： Biba模型的访问控制规则,使得完整性级别高的文件是一定由完整性高的进程所产生的，从而保证了完整性级别高的文件不会被完整性低的文件或完整性低的进程中的信息所覆盖。,缺点：Biba模型是和BLP模型相对立的模型，Biba模型改正了被BLP模型所忽略的信息完整性问题，但在一定程度上却忽视了保密性。,优点： Biba模型的访问控制规则使得完整性级别高的文件是一,40,􀂾BLP和Biba的对比,功能：,BLP模型用于提供机密性,Biba模型用于提供完整性。,操作：,BLP模型：rd，wu,Biba模型：ru，wd,信息级别：,BLP模型使用安全性级别,Biba使用完整性级别,􀂾BLP和Biba的对比功能：,41,MAC模型小结,MAC模型特点：,多级访问控制策略,主体、客体赋予一定的安全级别，根据级别实施访问,Lattice、BLP、Biba模型的对比,访问策略,MAC模型小结MAC模型特点：,42,DAC与MAC模型小结,MAC模型和DAC模型属于传统的访问控制模型,在实现上，MAC和DAC通常为每个用户赋予对客体的访问权限规则集，考虑到管理的方便，在这一过程中还经常将具有相同职能的用户聚为,组,，然后再为每个组分配许可权。用户自主地把自己所拥有的客体的访问权限授予其它用户的这种做法，其优点是显而易见的,但是如果企业的组织结构或是系统的,安全需求处于变化,的过程中时，那么就需要进行,大量繁琐的授权变动,，系统管理员的工作将变得非常繁重，更主要的是容易发生错误造成一些意想不到的安全漏洞。,DAC与MAC模型小结MAC模型和DAC模型属于传统的访问控,43,2.3 基于角色的访问控制模型,（Role-based Access Model，RBAC Model）,角色（Role）是指一个可以完成一定,事务,的命名组，不同的角色通过不同的事务来执行各自的功能。,事务（Transaction）是指一个完成一定功能的过程，可以是一个程序或程序的一部分。,角色是代表具有某种能力的人或是某些属性的人的一类抽象,2.3 基于角色的访问控制模型（Role-based,44,角色和组的主要区别在于：,用户属于组是相对固定的，而用户能被指派到哪些角色则受时间、地点、事件等诸多因素影响。,角色比组的抽象级别要高,角色和组的主要区别在于：,45,RBAC Model基本思想：,将访问许可权分配给一定的角色，用户通过饰演不同的角色获得角色所拥有的访问许可权。,角色可以看作是一组,操作的集合,，不同的角色具有不同的操作集，这些操作集由系统管理员分配给角色。,角色成为访问控制中访问主体和客体之间的一座桥梁,。,RBAC从控制,主体,的角度出发，根据管理中相对稳定的,职权和责任,来划分角色，将访问权限与角色相联系，这点与传统的MAC和DAC将权限直接授予用户的方式不同,RBAC Model基本思想：将访问许可权分配给一定的角色，,46,举例：教务管理系统,角色：教师，学生，教务处管理人员,相应的权限集,教师：查询成绩、查询课程表、查询学生名单、上传所教课程的成绩、打印成绩清单；,学生：选课、查询课表、查询成绩,教务管理人员：课表的制定、修改、删除；各种查询；成绩的查询、修改、打印,举例：教务管理系统,47,特点,依据角色的不同，每个主体只能执行自己所规定的访问功能。,系统管理员负责授予用户,各种角色的成员资格,或,撤消某用户具有的某个角色,。,成员的添加、删除,一个角色可以拥有多个用户成员，,同一个用户可以是多个角色的成员，即同一个用户可以扮演多种角色,特点依据角色的不同，每个主体只能执行自己所规定的访问功能。,48,注意：,1 用户所执行的操作与其所扮演的角色的职能相匹配，这正是,RBAC,的根本特征，,即：,依据RBAC策略，系统定义了各种角色，每种角色可以完成一定的职能，不同的用户根据其职能和责任被赋予相应的角色，一旦某个用户成为某角色的成员，则此用户可以完成该角色所具有的职能。,用户与客体无直接联系，他只有通过角色才享有该角色所对应的权限，从而访问相应的客体。因此,用户不能自主地将访问权限授给别的用户,，这是RBAC与DAC的根本区别所在。,注意：,49,2 RBAC提供了一种描述用户和权限之间的,多对多关系,3 角色可以划分成不同的等级，通过,角色等级关系,来反映一个组织的职权和责任关系，通过,继承行为,形成了一个,偏序关系,4 RBAC中通常定义不同的约束规则来对模型中的各种关系进行限制，最基本的约束是,“相互排斥”约束,和,“基本限制”约束,相互排斥：,规定了模型中的互斥角色,基本限制：,一个角色可被分配的最大用户数。,2 RBAC提供了一种描述用户和权限之间的多对多关系,50,5简化了权限设置的管理,，从这个角度看，RBAC很好地解决了企业管理信息系统中用户数量多、变动频繁的问题。,是实施面向企业的安全策略的一种有效的访问控制方式，它具有,灵活性、方便性和安全性,的特点，目前在大型数据库系统的权限管理中得到普遍应用,6 不能满足多级安全需求,这是RBAC与MAC的区别,5简化了权限设置的管理，从这个角度看，RBAC很好地解决了企,51,DAC、MAC、RBAC小结,访问控制的特点：,共同点：,是从系统的角度出发去保护资源（控制环境是静态的），,访问权限的控制是静态的，,访问权限在任务执行过程中是不变的。,没有时间限制,只要主体拥有对客体的访问权限，主体就可以无数次地执行该权限。,DAC、MAC、RBAC小结访问控制的特点：,52,2.4 基于任务的访问控制模型,（Task-based Access Control Model，TBAC Model）,TBAC是从应用和企业层角度来解决安全问题，以面向任务的观点，从,任务,（活动）的角度来建立安全模型和实现安全机制，在任务处理的过程中提供,动态,实时的安全管理。,在TBAC中，对象的访问权限控制并不是静止不变的，而是,随着执行任务的上下文环境发生变化,。,2.4 基于任务的访问控制模型 （Task-base,53,TBAC首要考虑的是在,工作流,的环境中对信息的保护问题：,工作流是为完成某一目标而由,多个相关的任务（活动）构成的业务流程,。工作流所关注的问题是处理过程的自动化，对人和其他资源进行协调管理，从而完成某项工作。,在工作流环境中，数据的处理与上一次的处理相关联，相应的访问控制也如此，因而TBAC是一种,上下文相关的访问控制模型,。,TBAC首要考虑的是在工作流的环境中对信息的保护问题：,54,TBAC不仅能对不同工作流实行不同的访问控制策略，而且还能对,同一工作流的不同任务实例,实行不同的访问控制策略。从这个意义上说，,TBAC是基于任务的，这也表明，TBAC是一种基于实例（Instance-Based）的访问控制模型。,TBAC不仅能对不同工作流实行不同的访问控制策略，而且还能对,55,TBAC模型组成,TBAC模型由,工作流、授权结构体、受托人集、许可集,4部分组成。,任务（Task）是,工作流程,中的一个逻辑单元，是一个可区分的动作，与多个用户相关，也可能包括几个子任务。,受托人集是可被授予执行授权步的用户的集合,许可集则是受托集的成员被授予授权步时拥有的访问许可。,TBAC模型组成TBAC模型由工作流、授权结构体、受托人集、,56,授权结构体（Authorization Unit）是由一个或多个,授权步,组成的结构体，它们在逻辑上是联系在一起的。,授权步（Authorization Step）表示一个原始授权处理步，是指在一个工作流程中对处理对象的,一次处理过程,。,授权步是访问控制所能控制的最小单元，由受托人集（Trustee Set）和多个许可集（Permissions Set）组成。,授权结构体（Authorization Unit）是由一个或,57,说明：,一个工作流的业务流程由多个任务构成。,一个任务对应于一个授权结构体，每个授权结构体由特定的授权步组成。,一个来自受托人集中的成员将被授予授权步，称这个受托人为授权步的,执行委托者,执行委托者,执行授权步过程中所需许可的集合称为,执行者许可集,。,说明：一个工作流的业务流程由多个任务构成。,58,授权结构体之间以及授权步之间通过,依赖关系,联系在一起。,依赖（Dependency）：授权步之间或授权结构体之间的相互关系。,授权步的状态变化一般自我管理，依据执行的条件而自动变迁状态，但有时也可以由管理员进行调配。,一个授权步的处理可以决定后续授权步对处理对象的操作许可，上述许可集合称为,激活许可集,。,在TBAC中，执行者许可集和激活许可集一起称为,授权步的保护态,。,访问控制技术课件,59,TBAC模型的表示,用5元组（S，O，P，L，AS）来表示，其中S表示主体，O表示客体，P表示许可，L表示生命期，AS表示授权步。,由于任务都是有时效性的，所以在基于任务的访问控制中，用户对于授予他的权限的使用也是有时效性的。,在生命期期间，5元组有效。生命期终止时，五元组无效，委托执行者所拥有的权限被回收。,TBAC模型的表示用5元组（S，O，P，L，AS）来表示，其,60,TBAC的访问政策及其内部组件关系一般由,系统管理员,直接配置。通过授权步的动态权限管理，TBAC支持,最小特权原则,和,最小泄漏原则,在执行任务时只给用户分配所需的权限，未执行任务或任务终止后用户不再拥有所分配的权限；,在执行任务过程中，当某一权限不再使用时，授权步自动将该权限回收；,对于敏感的任务需要不同的用户执行，这可通过授权步之间的分权依赖实现,TBAC的访问政策及其内部组件关系一般由系统管理员直接配置。,61,特点：TBAC从工作流中的任务角度建模，可以依据任务和任务状态的不同，对权限进行动态管理。因此，TBAC非常适合,分布式计算,和多点访问控制的信息处理控制以及在工作流、分布式处理和事务管理系统中的决策制定。,典型应用：B/S模式使用,高校图书馆电子资源访问：中国知网,办公和商业领域：项目审批系统,特点：TBAC从工作流中的任务角度建模，可以依据任务和任务状,62,（S，O，P，L，AS）,项目审批,（S，O，P，L，AS）项目审批,63,RBAC小结,访问控制特点：,随着执行任务的上下文环境发生变化,优点：,相对比MAC来讲，管理员只需把访问权限赋予角色，不需要对每个主体设置,对权限动态管理,缺点：,安全管理员,维护用户和角色的关联关系,，,还需要将庞大的信息资源访问权限赋予有限个角色,；特别当信息资源的种类增加或减少时，,安全管理员必须更新所有角色的访问权限设置,，,如果受控对象的属性发生变化，安全管理员将不得不增加新的角色，还必须更新原来所有角色的访问权限设置以及访问主体的角色分配设置，这样的访问控制需求变化往往是不可预知的，造成访问控制管理的难度和工作量巨大。,RBAC小结访问控制特点：随着执行任务的上下文环境发生变化,64,2.5 基于对象的访问控制模型,（Object-based Access Control Model, OBAC Model）,将,访问控制列表与受控对象或受控对象的属性相关联,，,并将访问控制选项设计成为用户、组或角色及其对应权限的集合,；同时允许对策略和规则进行,重用、继承和派生操作,。,好处：,一方面定义对象的访问控制列表，增、删、修改访问控制项易于操作,另一方面，当受控对象的属性发生改变，或者受控对象发生继承和派生行为时，无须更新访问主体的权限，只需要修改受控对象的相应访问控制项即可，从而减少了访问主体的权限管理，降低了授权数据管理的复杂性。,2.5 基于对象的访问控制模型 （Object-ba,65,OBAC从信息系统的数据差异变化和用户需求出发，有效地解决了信息数据量大、数据种类繁多、数据更新变化频繁的大型管理信息系统的安全管理。,OBAC从信息系统的数据差异变化和用户需求出发，有效地解决了,66,课堂作业：,1、一个控制对病历和处方访问的医疗信息系统中：,医生可以读写病历和处方，,护士只能读处方，但是不应当知道病历的内容。,请设计一种安全访问机制？,课堂作业：1、一个控制对病历和处方访问的医疗信息系统中：,67,2、毕业设计管理系统,教师在1.31号之前完成题目准备，2.12.15号学生选题，3.153.20号：中期检查,学生可以进行选题、体交开题报告、中期检查,教师：出题、评阅论文.,系主任：调剂,管理员：.,请设计一种安全访问机制？,2、毕业设计管理系统,68,补充：,Chinese Wall-多边安全模型,多个组织间的访问控制系统，应用在可能存在利益冲突的组织中。,Chinese Wall安全策略的基础是客户访问的信息不会与目前他们可支配的信息产生冲突。,在投资银行中，一个银行会同时拥有多个互为竞争者的客户，一个银行家可能为一个客户工作，但他可以访问所有客户的信息。因此，应当制止该银行家访问其它客户的数据。,补充：Chinese Wall-多边安全模型多个组织间的访问,69,两个主要属性：,用户必须选择一个他可以访问的区域,用户必须自动拒绝来自其它与用户所选区域的利益冲突区域的访问,这种模型同时包括了DAC和MAC的属性：银行家可以选择为谁工作（DAC），但是一旦选定，他就被只能为该客户工作（MAC）。,两个主要属性：,70,3 访问控制策略,3.1安全策略,3.2基于身份的安全策略,3.3基于规则的安全策略,3 访问控制策略 3.1安全策略,71,3.1 安全策略,安全策略建立的需要和目的,安全策略能够提供一种恰当的、符合安全需求的整体思路，指明了明确的前进方向。,安全策略实质上：当设计所涉及的那个系统在进行操作时，必须明确在安全领域的范围内，什么操作是明确允许的，什么操作是一般默认允许的，什么操作是明确不允许的，什么操作是默认不允许的。,建立安全策略是实现安全的最首要的工作，也是实现安全技术管理与规范的第一步。,3.1 安全策略安全策略建立的需要和目的,72,安全策略的实现,安全策略的前提,是具有,一般性和普遍性,，如何能使安全策略的这种普遍性和所要分析的实际问题的特殊性相结合，,使安全策略与当前的具体应用紧密结合是面临的最主要的问题。,安全策略的实现 安全策略的前提是具有一般性和普遍性，如何能使,73,安全策略的实施原则,最小特权原则,主体执行操作时，按照主体所需权利的最小化原则分配给主体权力。,特点：也就是说，为了达到一定目的，主体必须执行一定操作，但他只能做他所被允许做的，其它除外。,优点：最大限度地限制了主体实施授权行为，可以避免来自突发事件、错误和未授权的危险。,安全策略的实施原则,74,安全策略的实施原则,最小泄漏原则,指主体执行任务时，按照主体所需要知道的信息最小化的原则分配给主体权力。,最大程度防止信息的泄露,安全策略的实施原则,75,安全策略的实施原则,多级安全策略,多级安全策略是指主体和客体间的数据流向和权限控制按照,安全级别,来划分。,多级安全策略的优点是避免敏感信息的扩散。,安全策略的实施原则,76,按照ISO 7498-2中OSI安全体系结构中的定义了两种实现方式：,基于身份的安全策略,基于规则的安全策略,按照ISO 7498-2中OSI安全体系结构中的定义了两种,77,3.2 基于身份的安全策略,（Identification-based Access Control Policies, IDBACP）,基于身份的安全策略的目的是过滤对数据或资源的访问，只有能通过认证的那些主体才有可能正常使用客体的资源。,基于个人的策略,基于组的策略。,3.2 基于身份的安全策略 （Identificat,78,基于个人的策略,（Individual-based Access Control Policies, IDLBACP）,基于个人的策略是指,以用户为中心,建立的一种策略，这种策略由一些列表来组成，这些列表限定了针对特定的客体，哪些用户可以实现何种操作行为。,基于个人的策略 （Individual-based Ac,79,基于组的策略,（Group-based Access Control Policies, GBACP）,基于组的策略是基于个人的策略的扩充，指一些用户被允许使用同样的访问控制规则访问同样的客体。,基于组的策略 （Group-based Access C,80,3.3基于规则的安全策略,基于规则的安全策略中，授权通常依赖于,敏感性,。在一个安全系统中，数据或资源应该标注,安全标记,，代表用户进行活动的进程可以得到与其原发者相应的安全标记。,基于规则的安全策略在实现上，,由系统通过比较用户的安全级别和客体资源的安全级别来判断是否允许用户可以进行访问,。,3.3基于规则的安全策略基于规则的安全策略中，授权通常依赖于,81,小结,共同点：基于授权,不同点：,基于身份的安全策略：DAC,基于规则的安全策略：MAC,小结共同点：基于授权,82,4 访问控制的实现,4.1访问控制的目的,4.2访问控制的实现方式,4.3访问控制实现的具体类别,4 访问控制的实现 4.1访问控制的目的,83,4.1 访问控制的目的,访问控制的目的：,要保证授权用户使用的权限与其所拥有的权限对应,制止非授权用户的非授权行为,要保证敏感信息的交叉感染。,4.1 访问控制的目的访问控制的目的：,84,4.2 4.2访问控制的实现方式,以,文件的访问控制,为例,通常用户访问信息资源（文件或是数据库），可能的行为有读 （R）、写(W)和管理(O)。,4.2 4.2访问控制的实现方式以文件的访问控制为例,85,4.2.1 访问控制表（,Access Control Lists, ACLs）,访问控制表,是以,文件,为中心建立的访问权限表。,目前，大多数PC、服务器和主机都使用ACLs作为访问控制的实现机制。,优点:实现简单，任何得到授权的主体都可以有一个访问表,4.2.1 访问控制表（Access Control Li,86,访问控制表的实现示例,授权用户A1的访问控制规则存储在文件File 1中，A1的访问规则可以由A1下面的权限表ACLs A1来确定，权限表限定了用户UserA1的访问权限。,访问控制表的实现示例 授权用户A1的访问控制规则存储在文件F,87,4.2.2 访问控制矩阵,（Access Control Matrix, ACM）,访问控制矩阵是通过,矩阵形式,表示访问控制规则和授权用户权限的方法；,对每个主体而言，都拥有对哪些客体的哪些访问权限；,对客体而言，又有哪些主体对他可以实施访问；,特权用户或特权用户组可以修改主体的访问控制权限。,4.2.2 访问控制矩阵（Access Contro,88,访问控制矩阵的实现很易于理解,查找和实现起来有一定的难度，而且，如果用户和文件系统要管理的文件很多，那么控制矩阵将会成几何级数增长，这样对于增长的矩阵而言，会有大量的空余空间。,访问控制技术课件,89,4.2.3 访问控制能力列表,（Access Control Capabilitis Lists, ACCLs）,访问控制能力表是以,用户,为中心建立访问权限表。,能力,是指请求访问的发起者所拥有的一个有效标签（ticket），表明了持有者可以按照何种访问方式访问特定的客体。,定义能力的重要作用在于能力的特殊性，如果赋予哪个主体具有一种能力，事实上是说明了这个主体具有了一定对应的权限。,4.2.3 访问控制能力列表 （Access Con,90,例如，访问控制权限表ACCLs F1表明了授权用户User A对文件File1的访问权限，User AF表明了User A对文件系统的访问控制规则集。因此，ACCLs的实现与ACLs正好相反。,访问控制技术课件,91,4.2.4 访问控制安全标签列表,（Access Control Security Labels Lists, ACSLLs）,安全标签,是限制和附属在主体或客体上的一组安全属性信息。,安全标签的含义比能力更为广泛和严格，因为它实际上还建立了一个严格的安全等级集合。,访问控制标签列表是限定一个用户对一个客体目标访问的安全属性集合。,4.2.4 访问控制安全标签列表 （Access,92,左侧为用户对应的安全级别，右侧为文件系统对应的安全级别。,安全标签能对敏感信息加以区分，这样就可以对用户和客体资源强制执行安全策略,强制访问控制经常会用到这种实现机制。,左侧为用户对应的安全级别，右侧为文件系统对应的安全级别。,93,4.3 访问控制实现的具体类别,访问控制,是网络安全防范和保护的重要手段，它的主要任务是维护网络系统安全、保证网络资源不被非法使用和非常访问。通常在技术实现上包括以下几部分：,（1）接入访问控制,（2）资源访问控制,（3）网络端口和节点的访问控制,4.3 访问控制实现的具体类别访问控制是网络安全防范和,94,4.3.1 接入访问控制,接入访问控制,为网络访问提供了第一层访问控制，是网络访问的最先屏障，它控制哪些用户能够登录到服务器并获取网络资源，并控制准许用户入网的时间和准许他们在哪台工作站入网。,例如，ISP服务商实现的就是接入服务。用户的接入访问控制是对合法用户的验证，通常使用用户名和口令的认证方式。,4.3.1 接入访问控制 接入访问控制为网络访问提供了第一层,95,4.3.2 资源访问控制,资源访问控制是指,对客体整体资源信息的访问控制管理,。其中包括文件系统的访问控制（文件目录访问控制和系统访问控制）、文件属性访问控制、信息内容访问控制。,文件目录访问控制,系统访问控制,文件属性访问控制,信息内容访问控制,4.3.2 资源访问控制资源访问控制是指对客体整体资源信息的,96,4.3.3 网络端口和节点的访问控制,网络中的节点和端口往往加密传输数据，这些重要位置的管理必须防止黑客发动的攻击。对于管理和修改数据，应该要求访问者提供足以证明身份的验证器（如智能卡）。,4.3.3 网络端口和节点的访问控制网络中的节点和端口往往加,97,5 安全级别与访问控制,访问控制的具体实现是与安全的级别联系在一起的，安全级别有,两个含义：,一个是,主客体信息资源,的安全类别，分为一种是有层次的安全级别（Hierarchical Classification）和无层次的安全级别；,另一个是,访问控制系统,实现的安全级别，这和计算机系统的安全级别是一样的,分为4级：具体为D、C（C1、C2）、B（B1、B2、B3）和A共4部分。,5 安全级别与访问控制 访问控制的具体实现是与安全的,98,计算机系统的安全级别介绍 （1/5）,1. D级别,D级别是最低的安全级别，对系统提供最小的安全防护。系统的访问控制没有限制，无需登陆系统就可以访问数据，这个级别的系统包括DOS，WINDOWS98等。,2. C级别,C级别有两个子系统，C1级和C2。,计算机系统的安全级别介绍 （1/5）1. D级别,99,计算机系统的安全级别介绍 （2/5）,C1级称为选择性保护级（Discrtionary Security Protection）可以实现自主安全防护，对用户和数据进行分离，保护或限制用户权限的传播。,C2级具有访问控制环境的权力，比C1的访问控制划分的更为详细，能够实现受控安全保护、个人账户管理、审计和资源隔离。这个级别的系统包括Unix、Linux和Windows NT系统。,C级别属于自由选择性安全保护，在设计上有自我保护和审计功能，可对主体行为进行审计与约束。C级别的安全策略主要是自主存取控制，可以实现, 保护数据确保非授权用户无法访问；, 对存取权限的传播进行控制；, 个人用户数据的安全管理。,C级别的用户必须提供身份证明，（比如口令机制）才能够正常实现访问控制，因此用户的操作与审计自动关联。C级别的审计能够针对实现访问控制的授权用户和非授权用户，建立、维护以及保护审计记录不被更改、破坏或受到非授权存取。这个级别的审计能够实现对所要审计的事件，事件发生的日期与时间，涉及的用户，事件类型，事件成功或失败等进行记录，同时能通过对个体的识别，有选择地审计任何一个或多个用户。C级别的一个重要特点是有对于审计生命周期保证的验证，这样可以检查是否有明显的旁路可绕过或欺骗系统，检查是否存在明显的漏路（违背对资源的隔离，造成对审计或验证数据的非法操作）。,计算机系统的安全级别介绍 （2/5）C1级称为选择性保护级（,100,计算机系统的安全级别介绍 （3/5）,3. B级别,B级别包括B1、B2和B3 3个级别，B级别能够提供强制性安全保护和多级安全。强制防护是指定义及保持标记的完整性，信息资源的拥有者不具有更改自身的权限，系统数据完全处于访问控制管理的监督下。,B1级称为标识安全保护（Labeled Security Protection）。,B2级称为结构保护级别（Security Protection），要求访问控制的所有对象都有安全标签以实现低级别的用户不能访问敏感信息，对于设备、端口等也应标注安全级别。,B3级别称为安全域保护级别（Security Domain），这个级别使用安装硬件的方式来加强域的安全，比如用内存管理硬件来防止无授权访问。B3级别可以实现：, 引用监视器参与所有主体对客体的存取以保证不存在旁路；, 审计跟踪能力强，可以提供系统恢复过程；, 支持安全管理员角色；, 用户终端必须通过可信通道才能实现对系统的访问；, 防止篡改。,计算机系统的安全级别介绍 （3/5）3. B级别,101,计算机系统的安全级别介绍 （4/5）,B级安全级别可以实现自主存取控制和强制存取控制，通常的实现包括：, 所有敏感标识控制下的主体和客体都有标识；, 安全标识对普通用户是不可变更的；, 可以审计：,任何试图违反可读输出标记的行为；,授权用户提供的无标识数据的安全级别和与之相关的动作；,信道和I/O设备的安全级别的改变；,用户身份和与相应的操作；, 维护认证数据和授权信息；, 通过控制独立地址空间来维护进程的隔离。,B级安全级别应该保证：, 在设计阶段，应该提供设计文档，源代码以及目标代码，以供分析和测试；, 有明确的漏洞清除和补救缺陷的措施；, 无论是形式化的，还是非形式化的模型都能被证明该模型可以满足安全策略的需求，监控对象在不同安全环境下的移动过程（如两进程间的数据传递）。,计算机系统的安全级别介绍 （4/5）B级安全级别可以实现自主,102,计算机系统的安全级别介绍 （5/5）,4. A级别,A级别称为验证设计级（Verity Design），是目前最高的安全级别，在A级别中，安全的设计必须给出形式化设计说明和验证，需要有严格的数学推导过程，同时应该包含秘密信道和可信分布的分析，也就是说要保证系统的部件来源有安全保证，例如对这些软件和硬件在生产、销售、运输中进行严密跟踪和严格的配置管理，以避免出现安全隐患。,计算机系统的安全级别介绍 （5/5）4. A级别,103,6 访问控制与授权,6.1授权与访问控制的关系,6.2信任模型,6.3信任管理系统,6 访问控制与授权 6.1授权与访问控制的关系,104,6.1授权与访问控制的关系,授权,是指,客体授予主体一定的权力,，通过这种权力，主体可以对客体执行某种行为，例如登陆，查看文件、修改数据、管理账户等。,授权行为是指主体履行被客体授予权力的那些活动。,访问控制,因此，访问控制与授权密不可分。授权表示的是一种,信任关系,，需要建立一种模型对这种关系进行描述。,6.1授权与访问控制的关系授权是指客体授予主体一定的权力，通,105,6.2 信任模型,信任模型,（Trust Model）是指建立和管理信任关系的框架。,信任关系,是指如果主体能够符合客体所假定的期望值，那么称客体对主体是信任的。,信任关系可以使用,期望值,来衡量，并用,信任度,表示。,6.2 信任模型信任模型（Trust Model）是,106,信任模型,信任模型有3种基本类型：,层次信任模型,网状信任模型,对等信任模型。,信任模型信任模型有3种基本类型：,107,6.2.1 层次信任模型,层次信任模型,是实现最简单的模型，使用也最为广泛。,建立层次信任模型的基础是,所有的信任用户都有一个可信任根。,所有的信任关系都基于根来产生。,例如通常所说的根管理员，事实上就是处于根的位置。,6.2.1 层次信任模型 层次信任模型是实现最简单的模型，使,108,层次信任模型对应于,层状结构,，有一个根节点R作为信任的起点，也就是,信任源,。,这种建立信任关系的起点或是依赖点称为,信任锚,。,信任源负责下属的信任管理，下属再负责下面一层的信任管理，这种管理方向是不可逆的。,这个模型的信任路径是简单的，从根节点到叶子节点的通路构成了简单唯一的信任路径。,层次信任模型对应于层状结构，有一个根节点R作为信任的起点，也,109,层次信任关系是一种,链式的信任关系,，比如可信任实体A1可以表示为这样一个信任链：（R，C1，A1），说明可以由A1向上回溯到产生他的信任根R。这种链式的信任关系称为,信任链,。,层次信任模型是一种双向信任的模型，假设A,i,和B,j,是要建立信任关系的双方，A,i,和B,j,间的信任关系很容易建立，因为他们都基于可信任根R。,层次信任关系是一种链式的信任关系，比如可信任实体A1可以表示,110,层次信任模型的优点,在于结构简单，管理方面，易于实现。,缺点：,是A,i,和X,k,的信任关系必须通过根来实现，而可信任根R是默认的，无法通过相互关系来验证信任。,一旦信任根出现问题，那么信任的整个链路就被破坏了。现实世界中，往往建立一个统一信任的根是困难的,这用一个统一的层次信任模型来实现时，需要在建立信任的框架中预留有未来的发展余量，而且必须强迫信任域中的各方都统一信任可信任根R。,层次信任模型的优点在于结构简单，管理方面，易于实现。,111,应用：层次信任模型适用于孤立的、层状的企业，对于有组织边界交叉的企业，要应用这种模型是很困难的。另外，在层次信任模型的内部必须保持相同的管理策略。层次信任模型主要使用在以下3种环境：, 严格的层次结构；, 分层管理的PKI商务环境；, PEM（Privacy-Enhanced Mail，保密性增强邮件）环境。,应用：层次信任模型适用于孤立的、层状的企业，对于有组织边界交,112,6.2.2 对等信任模型,对等信任模型是指两个或两个以上对等的信任域间建立的信任关系,。相对而言，对等信任关系灵活一些，它可以解决任意已经建立信任关系的两个信任模型之间的交互信任。,不同信任域的A1和X1之间的信任关系要通过对等信任域R1和R2的相互认证才能实现，因此这种信任关系在PKI领域中又叫做,交叉认证,。,6.2.2 对等信任模型对等信任模型是指两个或两个以上对等的,113,建立交叉认证的两个实体间是对等的关系，因为它们既是,被验证的主体，又是进行验证的客体,。,对于,N,个主客体而言，需要建立,N,(N1)/2个信任链。,对等信任模型这种结构非常适合表示,动态变化,的信任组织结构，这样，引入一个可信任域是易于实现的。,但是在构建有效的认证路径时，也就是说，假定A1和X,k,是建立信任的双方，那么，很难在整个信任域中确定R2是否是X,k,的最适当的信任源。,建立交叉认证的两个实体间是对等的关系，因为它们既是被验证的主,114,6.2.3 网状信任模型,网状信任模型可以看成是对等信任模型的扩充。因为没有必要在任意两个对等的信任域建立交叉认证，完全可以通过建立一个网络拓扑结构的信任模型来实现，也就是建立信任域间的,间接信任,关系。,假设R1、R2R11是不同的信任域，它们之间的信任关系用实线箭头表示。那么分别位于R1和R5信任域下的主体A和B 间可以建立的信任链共有3条，通过图中的虚线来表示。,6.2.3 网状信任模型网状信任模型可以看成是对等信任模型的,115,注意：,建立一个恰当合理的信任网络模型比想象的要复杂的多。,处于不同安全级别的信任域如何建立信任模型,S级别可能需要通过使用智能卡才能通过访问控制最初的验证，而C级别也许只是进行简单的IP地址检验就可以任意访问客体的信息资源。,可信第三方,网络资源和时限：最短的路径,注意：,116,6.3 信任管