存取訪問控制

第04章存取訪問控制2006年10月1目錄4.1訪問控制概述4.2訪問控制策略24.1訪問控制概述1、基本概念（1）訪問控制AccessControl對系統(tǒng)中的用戶、程序、進程或計算機網(wǎng)絡中其他系統(tǒng)訪問本系統(tǒng)資源進行限制、控制的過程。

主體對客體的訪問受到控制，是一種加強授權的方法。

是針對越權使用資源的防御措施口令認證不能取代訪問控制。原始概念:是對進入系統(tǒng)的控制(用戶標識+口令/生物特性/訪問卡)

3（2）訪問控制機制在信息系統(tǒng)中，為檢測和防止未授權訪問，以及為使授權訪問正確進行所設計的硬件或軟件功能、操作規(guī)程、管理規(guī)程和它們的各種組合。（3）授權：資源所有者對他人使用資源的許可。（4）資源：信息、處理器、通信設施、物理設備。訪問一種資源就是從這個資源中獲得信息、修改資源或利用它完成某種功能。4（5）主體（subject）：訪問的發(fā)起者發(fā)起者是試圖訪問某個目標的用戶或者是用戶行為的代理。必須控制它對客體的訪問。主體通常為進程，程序或用戶。（6）客體（目標）：可供訪問的各種軟硬件資源。（7）敏感標簽sensitivitylabel

表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息，TCSEC中把敏感標記作為強制訪問控制決策的依據(jù)。52、阻止非授權用戶訪問目標的方法（1）訪問請求過濾器：當一個發(fā)起者試圖訪問一個目標時，審查其是否獲準以請求的方式訪問目標；（2）分離防止非授權用戶有機會去訪問敏感的目標。這兩種方法涉及：

訪問控制機制和訪問控制策略。63、訪問控制策略系統(tǒng)中存取文件或訪問信息的一整套嚴密安全的規(guī)則。通過不同方式建立：OS固有的管理員或用戶制定的。4、訪問控制機構具體實施訪問策略的所有功能的集合，這些功能可通過系統(tǒng)的軟硬件實現(xiàn)75、訪問控制經(jīng)典模型8該模型的特點：（1）明確定義的主體和客體；（2）描述主體如何訪問客體的一個授權數(shù)據(jù)庫；（3）約束主體對客體訪問嘗試的參考監(jiān)視器；（4）識別和驗證主體和客體的可信子系統(tǒng)；（5）審計參考監(jiān)視器活動的可信子系統(tǒng)。96、各種安全機制的關系10自主訪問控制強制訪問控制基于角色訪問控制訪問控制8.2訪問控制策略118.2.1訪問控制策略分類8.2.2自主訪問控制策略8.2.3強制訪問控制策略8.2.4基于角色的訪問控制策略

8.2訪問控制策略128.2.1訪問控制策略分類1、訪問控制策略可分為（1）自主式策略DAC（2）強制式策略MAC（3）基于角色的訪問控制RBAC自主訪問控制強制訪問控制基于角色訪問控制訪問控制132、任何訪問控制策略最終可被模型化為訪問矩陣形式。每一行：用戶每一列：目標矩陣元素：相應的用戶對目標的訪問許可。141、DAC((DiscretionaryAccessControl)的基本思想DAC是在確認主體身份及所屬組的基礎上，根據(jù)訪問者的身份和授權來決定訪問模式，對訪問進行限定的一種控制策略

2、自主的含義所謂自主，是指具有授予某種訪問權力的主體(用戶)能夠自己決定是否將訪問控制權限的某個子集授予其他的主體或從其他主體那里收回他所授予的訪問權限

8.2.2自主訪問控制策略DAC153、實現(xiàn)方式（1）基于個人的策略隱含的缺省策略：禁止/開放最小特權原則：最大限度地控制用戶為完成授權任務所需要的許可集。（2）基于組的策略多個用戶被組織在一起并賦予一個共同的標識符。更容易、更有效。164、技術方法（1）訪問控制矩陣客體主體

O1

O2

O3

S1

4

3

0

S2

2

1

4

S3

1

4

2注：0代表不能進行任何訪問1代表執(zhí)行，2代表讀，3代表寫，4代表擁有17目錄級、文件的訪問權限對目錄和文件的訪問權限一般有八種：系統(tǒng)管理員權限（Supervisor）讀權限（Read）、寫權限（Write）創(chuàng)建權限（Create）、刪除權限（Erase）修改權限（Modify）文件查找權限（）存取控制權限（AccessControl）。1819(2)訪問控制列表（ACL）每個客體各自將能對自己訪問的主體信息以列表的形式保存起來，這相當于是訪問控制矩陣里的各個列向量

優(yōu)點：（1）沒有一個中心點保存所有的訪問信息，提高了執(zhí)行效率；（2）通過將不同的主體劃分不同的組，減少了訪問信息的數(shù)量。

缺點：但若對主體進行查找、增加和撤銷某些訪問權限時，操作上費時費力，因為此時必須遍歷所有的ACL。20（3）能力能力表示的是一個主體對一個客體的訪問權力，它以主體為索引，將主體對每個客體的訪問權限以列表的形式保存起來，這相當于是訪問控制矩陣中的各個行向量。它的優(yōu)缺點與ACL的相反。215、DAC的優(yōu)缺點優(yōu)點：自主性提供了極大的靈活性，從而使之適合于許多系統(tǒng)和應用缺點：（1）權限管理易于失控DAC的這種自主性，使得信息總是可以從一個實體流向另一個實體，即使對高度機密的信息也是如此，故若控制不嚴就會產(chǎn)生嚴重安全隱患例如，用戶A可以將其對客體O的訪問權限傳遞給用戶B，從而使不具備對O訪問權限的B也可以訪問O，這樣的結果是易于產(chǎn)生安全漏洞，因此自主訪問控制的安全級別較低。（2）權限管理復雜由于同一用戶對不同的客體有不同的存取權限，不同的用戶對同一客體有不同的存取權限，用戶、權限、客體間的授權管理復雜221、MAC(MandatoryAccessControl)的基本思想依據(jù)主體和客體的安全級別來決定主體是否有對客體的訪問權。最典型的例子是由BellandLaPadula提出的BLP模型，該模型基于軍事部門的安全需求為基礎。2、安全級別在BLP模型中，所有的主體和客體都有一個安全標簽，它只能由安全管理員賦值，普通用戶不能改變，這個安全標簽就是安全級別。8.2.3強制訪問控制策略MAC233、安全級別的意義客體的安全級表現(xiàn)了客體中所含信息的敏感程度主體的安全級別則反映了主體對敏感信息的可信程度如客體級別可分為：絕密級、機密級、秘密級、無密級4、訪問控制規(guī)則用λ標志主體或客體的安全標簽當主體訪問客體時，需滿足如下兩條規(guī)則：讀規(guī)則：如果主體s能夠讀客體o，則λ(s)≥λ(o)寫規(guī)則：如果主體s能夠?qū)懣腕wo，則λ(s)≤λ(o)

主體按照“向下讀，向上寫”的原則訪問客體

24255、BLP模型的優(yōu)點（1）它使得系統(tǒng)中的信息流成為單向不可逆的（2）保證了信息流總是由低安全級別的實體流向高安全級別的實體，因此避免了在自主訪問控制中的敏感信息泄漏的情況。（3）保證了客體的高度安全性6、BLP模型的缺點（1）限制了高安全級別用戶向非敏感客體寫數(shù)據(jù)的合理要求（2）由高安全級別的主體擁有的數(shù)據(jù)永遠不能被低安全級別的主體訪問，降低了系統(tǒng)的可用性。（3）BLP模型的“向上寫”的策略使得低安全級別的主體篡改敏感數(shù)據(jù)成為可能，破壞了系統(tǒng)的數(shù)據(jù)完整性（4）MAC由于過于偏重保密性，對其它方面如系統(tǒng)連續(xù)工作能力、授權的可管理性等考慮不足，造成管理不便，靈活性差268.2.4基于角色的訪問控制策略RBAC1、基本思想在用戶和訪問權限之間引入角色的概念，將用戶和角色聯(lián)系起來，通過對角色的授權來控制用戶對系統(tǒng)資源的訪問角色是訪問權限的集合，用戶通過賦予不同的角色獲得角色所擁有的訪問權限272、RBAC模型的演變（1）美國國家標準化和技術委員會(NIST)的Ferraiolo等人在90年代提出的（2）RBAC96模型美國GeorgeMason大學信息系統(tǒng)和系統(tǒng)工程系的R.Sandhu等人在對RBAC進行深入研究的基礎上，于1996年提出了一個基于角色的訪問控制參考模型，對角色訪問控制產(chǎn)生了重要影響，被稱為RBAC96模型（3）RBAC96模型包括4個不同層次RBAC0、RBAC1、RBAC2和RBAC328RBAC2RBAC3RBAC0RBAC1RBAC96模型間的關系1）基礎模型：RBAC0定義了支持RBAC的最小需求，如用戶、角色、權限、會話等概念。292）高級模型：RBAC1和RBAC2RBAC1在RBAC0的基礎上，加入了角色繼承關系，可以根據(jù)組織內(nèi)部權力和責任的結構來構造角色與角色之間的層次關系；RBAC2在RBAC0的基礎上，加入了各種用戶與角色之間、權限與角色之間以及角色與角色之間的約束關系，如角色互斥、角色最大成員數(shù)等。RBAC1和RBAC2之間不具有可比性。3）鞏固模型：RBAC3RBAC2是RBAC1和RBAC2的集成，它不僅包括角色的層次關系，還包括約束關系303、基本概念角色、許可、用戶、會話、活躍角色（1）許可是允許對一個或多個客體執(zhí)行操作。（2）角色是許可的集合。（3）會話：一次會話是用戶的一個活躍進程，它代表用戶與系統(tǒng)交互。用戶與會話是一對多關系，一個用戶可同時打開多個會話。（4）活躍角色集：一個會話構成一個用戶到多個角色的映射，即會話激活了用戶授權角色集的某個子集，這個子集稱為活躍角色集?；钴S角色集決定了本次會話的許可集31角色與組的區(qū)別 組 ： 用戶集 角色 ： 用戶集＋權限集324、RBAC0(基礎模型)包括以下幾個部分：（1）若干實體集：U、R、P、S(用戶集、角色集、權限集、會話集)（2）PAPR（權限角色分配，是權限到角色的多對多的關系）（3）UAUR（用戶角色分配，是用戶到角色的多對多的關系）（4）roles(Si){r|(user(Si),r)∈UA}其中，user：S→U，各個會話與一個用戶的一個函數(shù)映射（每個會話Si對應一個用戶user(Si)，在一個會話周期內(nèi)不變）roles：S→2R，將各個會話Si與一個角色集合的映射該映射隨時間變化可以變化會話Si的權限為{p|

(p,r)∈PA，r∈roles(Si)}

33RBAC0模型指明用戶、角色、訪問權限和會話之間的關系。每個角色至少具備一個權限，每個用戶至少扮演一個角色；可以對兩個完全不同的角色分配完全相同的訪問權限；

會話由用戶控制，一個用戶可以創(chuàng)建會話并激活多個用戶角色，從而獲取相應的訪問權限，用戶可以在會話中更改激活角色，并且用戶可以主動結束一個會話345、RBAC1模型（層次模型）（1）角色層次結構在RBAC0的基礎上增加了角色的層次結構，用RH表示。RHRRRH是角色上的一個偏序關系，稱為角色層次關系（2）Roles：S→2R的函數(shù)映射有變化roles(Si){r|ョ(r’r)[(user(Si),r’)∈UA]}這個會話Si具有訪問權限為：{p|ョ(r”r)[(p,r”)∈PA]，r∈roles(Si)}35

該模型中用戶可以為他具有的角色或其下級角色建立一個會話，其獲取的訪問權限包括在該會話中激活角色所具有的訪問權限以及下級角色所具有的訪問權限。如果在角色繼承時限制繼承的范圍，則可建立私有角色及其私有子層次366、RBAC2模型（約束模型）

RBAC2模型在RBAC0基礎上增加了約束機制。約束條件指向UA、PA和會話中的user、roles等函數(shù)，約束一般有返回值“接受”或“拒絕”，只有擁有有效值的元素才可被接受（1）互斥角色同一用戶只能分配到一組互斥角色集合中至多一個角色，支持職責分離的原則。

37（2）基數(shù)約束一個角色被分配的用戶數(shù)量受限；一個用戶可擁有的角色數(shù)目受限；同樣一個角色對應的訪問權限數(shù)目也應受限，以控制高級權限在系統(tǒng)中的分配（3）先決條件角色可以分配角色給用戶僅當該用戶已經(jīng)是另一角色的成員；可以分配訪問權限給角色，僅當該角色已經(jīng)擁有另一種訪問權限。38（4）運行時互斥例如，允許一個用戶具有兩個角色的成員資格，但在運行中不可同時激活這兩個角色397、RBAC3RBAC96模型結構U用戶R角色P權限S1S2S3：Sn用戶－角色分配角色－權限分配會話約束角色層次用戶角色40

8、RBAC的優(yōu)點（1）降低了權限管理的復雜程度RABC這種分層的優(yōu)點是當主體發(fā)生變化時，只需修改主體與角色之間的關聯(lián)而不必修改角色與客體的關聯(lián)。RBAC中許可被授權給角色，角色被授權給用戶，用戶不直接與許可關聯(lián)。RBAC對訪問權限的授權由管理員統(tǒng)一管理，而且授權規(guī)定是強加給用戶的，這是一種強制式訪問控制方式。41（2）RBAC能夠描述復雜的安全策略通過角色定義、分配和設置適應安全策略系統(tǒng)管理員定義系統(tǒng)中的各種角色，每種角色可以完成一定的職能；不同的用戶根據(jù)其職能和責任被賦予相應的角色，一旦某個用戶成為某角色的成員，則此用戶可以完成該角色所具有的職能。

42（3）易于使用1）根據(jù)崗位定角色根據(jù)組織的安全策略，特定的崗位定義為特定的角色、特定的角色授權給特定的用戶。例如可以定義某些角色接近DAC，某些角色接近MAC。432）根據(jù)需要定角色系統(tǒng)管理員也可以根據(jù)需要設置角色的可用性以適應某一階段企業(yè)的安全策略例如設置所有角色在所有時間內(nèi)可用、特定角色在特定時間內(nèi)可用、用戶授權角色的子集在特定時間內(nèi)可用。443）通過角色分層映射組織結構組織結構中通常存在一種上、下級關系，上一級擁有下一級的全部權限，為此，RBAC引入了角色分層的概念。角色分層把角色組織起來，能夠很自然地反映組織內(nèi)部人員之間的職權、責任關系。層次之間存在高對低的繼承關系，即父角色可以繼承子角色的許可。4546（4）容易實現(xiàn)最小特權（leastprivilege）原則最小特權原則在保持完整性方面起著重要的作用。最小特權原則是指用戶所擁有的權力不能超過他執(zhí)行工作時所需的權限。這一原則的應用可限制事故、錯誤、未授權使用帶來的損害。使用RBAC能夠容易地實現(xiàn)最小特權原則。在RBAC中，系統(tǒng)管理員可以根據(jù)組織內(nèi)的規(guī)章制度、職員的分工等設計擁有不同權限的角色，只有角色需要執(zhí)行的操作才授權給角色。當一個主體要訪問某資源時,如果該操作不在主體當前活躍角色的授權操作之內(nèi)，該訪問將被拒絕。47（5）滿足職責分離(separationofduties)原則這是保障安全的一個基本原則，是指有些許可不能同時被同一用戶獲得，以避免安全上的漏洞。例如收款員、出納員、審計員應由不同的用戶擔任。在RBAC中，職責分離可以有靜態(tài)和動態(tài)兩種實現(xiàn)方式。

靜態(tài)職責分離只有當一個角色與用戶所屬的其他角色彼此不互斥時,這個角色才能授權給該用戶。

動態(tài)職責分離只有當一個角色與一主體的任何一個當前活躍角色都不互斥時該角色才能成為該主體的另一個活躍角色

角色的職責分離也稱為角色互斥，是角色限制的一種。48崗位上的用戶數(shù)通過角色基數(shù)約束企業(yè)中有一些角色只能由一定人數(shù)的用戶占用，在創(chuàng)建新的角色時，通過指定角色的基數(shù)來限定該角色可以擁有的最大授權用戶數(shù)。如總經(jīng)理角色只能由一位用戶擔任。499、RBAC系統(tǒng)的構成服務器：（1）訪問控制服務器ACS(AccessControlServer)（2）訪問請求過濾器AFS(AccessFilterServer)、（3）角色及授權管理器RAS(Role&AuthorizationManagementServer)（4）管理控制臺。。。訪問控制信息庫：用戶／角色信息庫角色訪問權限庫。。。50（1）用戶在訪問資源之前，必須先向身份認證服務器證實自己的身份和角色（2）通過身份認證之后，用戶以當前的角色向AFS發(fā)出訪問請求

AFS收到請求后，把用戶的當前角色、要訪問的資源以及訪問權限組成一個新的報文，發(fā)送給ACS請求作出訪問決策。

ACS返回決策結果給AFS。如果允許此次訪問，則AFS負責向真正的應用服務器發(fā)出訪問請求，并將訪問結果返回給用戶。如果否認該次訪問，則AFS返回給用戶一個“操作失敗”的應答代碼報文

身份認證服務器用戶AFSACS應用服務器角色訪問權限庫用戶/角色庫RAS管理界面1.請求認證用戶和當前角色2.返回認證結果3.發(fā)出訪問請求8.返回訪問結果6.請求服務7.返回服務結果4.請求決策5.返回決策結果51訪問控制信息庫（1）用戶表（2）角色表（3）受控對象表（4）操作算子表（5）許可表：操作算子---對象（6）角色/許可表（7）用戶/角色分配表（8）用戶/角色授權表（9）角色層次表（10）靜態(tài)角色互斥表52(11)動態(tài)角色互斥表(12)會話的用戶表(13)會話的角色表53用戶表：用戶標識姓名登錄密碼