計(jì)算機(jī)08訪問(wèn)控制

計(jì)算機(jī)系統(tǒng)安全

第八章

訪問(wèn)控制

1

第八章訪問(wèn)控制

?、訪問(wèn)控制的概念

訪問(wèn)控缶UAccessControl

限制已授權(quán)的用戶、程序、進(jìn)程或計(jì)算機(jī)網(wǎng)

絡(luò)中其他系統(tǒng)訪問(wèn)本系統(tǒng)資源的過(guò)程。口令

認(rèn)證不能取代訪問(wèn)控制。

訪問(wèn)控制機(jī)制

在信息系統(tǒng)中，為檢測(cè)和防止未授權(quán)訪問(wèn)，

以及為使授權(quán)訪問(wèn)正確進(jìn)行所設(shè)計(jì)的硬件或

軟件功能、操作規(guī)程、管理規(guī)程和它們的各

種組合。

第八章訪問(wèn)控制

訪問(wèn)控制：主體對(duì)客體的訪問(wèn)受到控制，是

一種加強(qiáng)授權(quán)的方法。

授權(quán)：資源所有者對(duì)他人使用資源的許可。

資源：信息、處理、通信、物理資源四種。

訪問(wèn)一種資源就是從這個(gè)資源中獲得信息、

修改資源或利用它完成某種功能。

客體（目標(biāo)）：

可供訪問(wèn)的各種軟硬件資源。

權(quán)威機(jī)構(gòu)：目標(biāo)的擁有者或控制者。

3

第八章訪問(wèn)控制

主體（subject）：訪問(wèn)的發(fā)起者

發(fā)起者是試圖訪問(wèn)某個(gè)目標(biāo)的用戶或者是用

戶行為的代理。必須控制它對(duì)客體的訪問(wèn)。

主體通常為進(jìn)程，程序或用戶。

敏感標(biāo)簽sensitivitylabel

表示客體安全級(jí)別并描述客體數(shù)據(jù)敏感性的

一組信息，TCSEC中把敏感標(biāo)記作為強(qiáng)制訪

問(wèn)控制決策的依據(jù)。

根據(jù)控制范圍劃分：網(wǎng)內(nèi)控制、網(wǎng)間控制。

4

阻止非授權(quán)用戶訪問(wèn)目標(biāo)的方法：

1）訪問(wèn)請(qǐng)求過(guò)濾器：

當(dāng)一個(gè)發(fā)起者試圖訪問(wèn)一個(gè)目標(biāo)時(shí)，審查其

是否獲準(zhǔn)以請(qǐng)求的方式訪問(wèn)目標(biāo)；

2）分離

防止非授權(quán)用戶有機(jī)會(huì)去訪問(wèn)敏感的目標(biāo)。

這兩種方法涉及：

訪問(wèn)控制機(jī)制和訪問(wèn)控制策略。

5

訪問(wèn)控制策略

系統(tǒng)中存取文件或訪問(wèn)信息的一整套嚴(yán)密安全

的規(guī)則。通過(guò)不同方式建立：OS固有的，管

理員或用戶制定的。

訪問(wèn)控制機(jī)構(gòu)

對(duì)訪問(wèn)控制策略抽象模型的許可狀態(tài)轉(zhuǎn)換為系

統(tǒng)的物理形態(tài)，并對(duì)訪問(wèn)和授權(quán)進(jìn)行監(jiān)測(cè)。

是具體實(shí)施訪問(wèn)策略的所有功能的集合，這

些功能可通過(guò)系統(tǒng)的軟硬件實(shí)現(xiàn)。

6

二、訪問(wèn)控制策略

任何訪問(wèn)控制策略最終可被模型化為訪問(wèn)矩陣形式。

每一行：用戶

每一列：目標(biāo)

矩陣元素：相應(yīng)的用戶對(duì)目標(biāo)的訪問(wèn)許可。

7

訪問(wèn)控制策略可分為：

自主式策略（基于身份的策略）

基于個(gè)人的策略

隱含的缺省策略禁止/開放

最小特權(quán)原則：最大限度地控制用戶為完成授權(quán)任

務(wù)所需要的許可集。

基于組的策略

多個(gè)用戶被組織在一起并賦予一個(gè)共同的標(biāo)識(shí)符。

更容易、更有效。

強(qiáng)制式策略（基于規(guī)則的策略）

多用于機(jī)密、軍事部門

8

多級(jí)策略

目標(biāo)按敏感性劃分為不同密級(jí)：絕密topsecret、秘密

secret、機(jī)密confidential、限制restricted、無(wú)密級(jí)

unclassifiedo

每個(gè)用戶有一個(gè)允許安全級(jí)(clearance)。Bell和

LaPadula安全模型定義了用戶和目標(biāo)在形式上的安

全級(jí)別關(guān)系。

只讀訪問(wèn)規(guī)則：用戶只能讀不高于其安全級(jí)別的數(shù)據(jù)。

只寫訪問(wèn)規(guī)則：

為防止泄密：BellLaPadula模型“上寫”

完整性：防止刪改數(shù)據(jù)、木馬Biba模型“下寫”

9

第八章訪問(wèn)控制

訪問(wèn)控制的種類

1、入網(wǎng)訪問(wèn)控制

控制哪些用戶能登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源,

控制用戶入網(wǎng)時(shí)間，在哪臺(tái)工作站入網(wǎng)。

用戶的入網(wǎng)訪問(wèn)控制可分為三個(gè)步驟：用戶名

的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶

帳號(hào)的缺省限制檢查。

缺省限制檢查。如網(wǎng)絡(luò)應(yīng)能控制用戶登錄入網(wǎng)

的站點(diǎn)、限制用戶入網(wǎng)的時(shí)間、限制用戶入網(wǎng)

的工作站數(shù)量。

第八章訪問(wèn)控制

2、網(wǎng)絡(luò)的權(quán)限控制

用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制

用戶和用戶組可以訪問(wèn)哪些目錄、子目錄、

文件和其他資源?？梢灾付ㄓ脩魧?duì)這些文件、

目錄、設(shè)備能夠執(zhí)行哪些操作。

受托者指派和繼承權(quán)限屏蔽（IRM）可作為

其兩種實(shí)現(xiàn)方式。受托者指派控制用戶和用

戶組如何使用網(wǎng)絡(luò)服務(wù)器的目錄、文件和設(shè)

備。繼承權(quán)限屏蔽相當(dāng)于一個(gè)過(guò)濾器，可以

限制子目錄從父目錄那里繼承哪些權(quán)限。

11

第八章訪問(wèn)控制

3、目錄級(jí)安全控制

網(wǎng)絡(luò)應(yīng)允許控制用戶對(duì)目錄、文件、設(shè)備的

訪問(wèn)。用戶在目錄一級(jí)指定的權(quán)限對(duì)所有文

件和子目錄有效，用戶還可進(jìn)一步指定對(duì)目

錄下的子目錄和文件的權(quán)限。對(duì)目錄和文件

的訪問(wèn)權(quán)限一般有八種：系統(tǒng)管理員權(quán)限

(Supervisor)、讀權(quán)限(Read)、寫權(quán)限

(Write)、創(chuàng)建權(quán)限(Create)、刪除權(quán)限

(Erase)、修改權(quán)限(Modia)、文件查找

權(quán)限(FileScan)、存取控制權(quán)限(Access

Control)o

12

第八章訪問(wèn)控制

4、屬性安全控制

當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時(shí)，網(wǎng)絡(luò)系統(tǒng)管

理員應(yīng)給文件、目錄等指定訪問(wèn)屬性。屬性

安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的

文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來(lái)。屬性安全

在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性。

網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標(biāo)出一組安全屬性。

用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限對(duì)應(yīng)一張?jiān)L問(wèn)控

制表，用以表明用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)能力。

屬性設(shè)置可以覆蓋已經(jīng)指定的任何受托者指

派和有效權(quán)限。

13

第八章訪問(wèn)控制

5、網(wǎng)絡(luò)服務(wù)器安全控制

網(wǎng)絡(luò)允許在服務(wù)器控制臺(tái)上執(zhí)行一系列操作。

用戶使用控制臺(tái)可以裝載和卸載模塊，可以

安裝和刪除軟件等操作。網(wǎng)絡(luò)服務(wù)器的安全

控制包括可以設(shè)置口令鎖定服務(wù)器控制臺(tái)，

以防止非法用戶修改、刪除重要信息或破壞

數(shù)據(jù)；可以設(shè)定服務(wù)器登錄時(shí)間限制、非法

訪問(wèn)者檢測(cè)和關(guān)閉的時(shí)間間隔。

14

第八章訪問(wèn)控制

6、網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制

網(wǎng)絡(luò)管理員應(yīng)對(duì)網(wǎng)絡(luò)實(shí)施監(jiān)控，服務(wù)器應(yīng)記

錄用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，對(duì)非法的網(wǎng)絡(luò)訪

問(wèn)，服務(wù)器應(yīng)以圖形或文字或聲音等形式報(bào)

警，以引起網(wǎng)絡(luò)管理員的注意。如果不法之

徒試圖進(jìn)入網(wǎng)絡(luò)，網(wǎng)絡(luò)服務(wù)器應(yīng)會(huì)自動(dòng)記錄

企圖嘗試進(jìn)入網(wǎng)絡(luò)的次數(shù)，如果非法訪問(wèn)的

次數(shù)達(dá)到設(shè)定數(shù)值，那么該帳戶將被自動(dòng)鎖

15

第八章訪問(wèn)控制

7、網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制

網(wǎng)絡(luò)中服務(wù)器的端口往往使用自動(dòng)回呼設(shè)備、

靜默調(diào)制解調(diào)器加以保護(hù)，并以加密的形式

來(lái)識(shí)別節(jié)點(diǎn)的身份。自動(dòng)回呼設(shè)備用于防止

假冒合法用戶，靜默調(diào)制解調(diào)器用以防范黑

客的自動(dòng)撥號(hào)程序?qū)τ?jì)算機(jī)進(jìn)行攻擊。網(wǎng)絡(luò)

還常對(duì)服務(wù)器端和用戶端采取控制，用戶必

須攜帶證實(shí)身份的驗(yàn)證器（如智能卡、磁卡、

安全密碼發(fā)生器）。在對(duì)用戶的身份進(jìn)行驗(yàn)

證之后，才允許用戶進(jìn)入用戶端。然后，用

戶端和服務(wù)器端再進(jìn)行相互驗(yàn)證。

16

第八章訪問(wèn)控制

8、防火墻控制

防火墻是近期發(fā)展起來(lái)的一種保護(hù)計(jì)算機(jī)網(wǎng)

絡(luò)安全的技術(shù)性措施，它是一個(gè)用以阻止網(wǎng)

絡(luò)中的黑客訪問(wèn)某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障，也可

稱之為控制進(jìn)/出兩個(gè)方向通信的門檻。在網(wǎng)

絡(luò)邊界上通過(guò)建立起來(lái)的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控

系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻檔外部網(wǎng)

絡(luò)的侵入。

17

第八章訪問(wèn)控制

三、自主訪問(wèn)控制(DAC)

80年代美國(guó)國(guó)防部制訂了可信計(jì)算機(jī)系統(tǒng)評(píng)

估準(zhǔn)則(TCSEC)，我國(guó)也于1999年頒布了計(jì)

算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則這一國(guó)

家標(biāo)準(zhǔn)，準(zhǔn)則要達(dá)到的一個(gè)主要目標(biāo)就是:阻

止非授權(quán)用戶對(duì)敏感信息的訪問(wèn)。訪問(wèn)控制

在準(zhǔn)則中被分為兩類：自主訪問(wèn)控制(DAC)

和強(qiáng)缶I］訪問(wèn)控缶KMAC)。

自主訪問(wèn)控制：DiscretionaryAccess

Control

強(qiáng)制訪問(wèn)控制：MandatoryAccessControl18

第八章訪問(wèn)控制

自主訪問(wèn)：有訪問(wèn)許可的主體能夠向其他主體轉(zhuǎn)讓

訪問(wèn)權(quán)。

訪問(wèn)控制表(ACL)是DAC中通常采用一種的安全機(jī)

制。ACL是帶有訪問(wèn)權(quán)限的矩陣，這些訪問(wèn)權(quán)是授予

主體訪問(wèn)某一客體的。安全管理員通過(guò)維護(hù)ACL控制

用戶訪問(wèn)企業(yè)數(shù)據(jù)。對(duì)每一個(gè)受保護(hù)的資源，ACL對(duì)

應(yīng)一個(gè)個(gè)人用戶列表或由個(gè)人用戶構(gòu)成的組列表，

表中規(guī)定了相應(yīng)的訪問(wèn)模式。

DAC的主要特征體現(xiàn)在主體可以自主地把自己所擁有

客體的訪問(wèn)權(quán)限授予其它主體或者從其它主體收回

所授予的權(quán)限，訪問(wèn)通?；谠L問(wèn)控制表(ACL)。

訪問(wèn)控制的粒度是單個(gè)用戶。

19

第八章訪問(wèn)控制

ACL訪問(wèn)控制表

ACL是存在于計(jì)算機(jī)中的一張表，用戶對(duì)特定系統(tǒng)對(duì)象例如文

件目錄或單個(gè)文件的存取權(quán)限。每個(gè)對(duì)象擁有一個(gè)在訪問(wèn)控

制表中定義的安全屬性。這張表對(duì)于每個(gè)系統(tǒng)用戶有擁有一

個(gè)訪問(wèn)權(quán)限。最一般的訪問(wèn)權(quán)限包括讀文件（包括所有目錄

中的文件），寫一個(gè)或多個(gè)文件和執(zhí)行一個(gè)文件（如果它是

一個(gè)可執(zhí)行文件或者是程序的時(shí)候）。

域、

DIRR,W

D2RR,W,ER,WW

D3R,W,EWW

20

第八章訪問(wèn)控制

DAC的缺點(diǎn)是信息在移動(dòng)過(guò)程中其訪問(wèn)權(quán)限關(guān)

系會(huì)被改變。如用戶A可將其對(duì)目標(biāo)0的訪問(wèn)

權(quán)限傳遞給用戶B,從而使不具備對(duì)。訪問(wèn)權(quán)限

的B可訪問(wèn)0。

當(dāng)用戶數(shù)量多、管理數(shù)據(jù)量大時(shí)，由于訪問(wèn)

控制的粒度是單個(gè)用戶，ACL會(huì)很龐大。當(dāng)組

織內(nèi)的人員發(fā)生能變化（升遷、換崗、招聘、

離職）、工作職能發(fā)生變化（新增業(yè)務(wù)）時(shí)，

ACL的修改變得異常困難。采用ACL機(jī)制管理

授權(quán)處于一個(gè)較低級(jí)的層次，管理復(fù)雜、代

價(jià)高以至易于出錯(cuò)。

21

第八章訪問(wèn)控制

■基于行的自主訪問(wèn)控制是在每個(gè)主體上都附加

一個(gè)該主體可訪問(wèn)的客體的明細(xì)表。

權(quán)限字（能力）：主體對(duì)客體具有特定的不可偽造的

標(biāo)志。為防止權(quán)限字的不斷擴(kuò)散，可在傳遞權(quán)限字副

本時(shí)移去其中的轉(zhuǎn)移權(quán)限。

■基于列的訪問(wèn)控制是指按客體附加一份可訪問(wèn)

它的主體的明細(xì)表。

?:?保護(hù)位方式：UNIX采用；只有客體擁有者能改變客

體保護(hù)位（root除外）。一個(gè)用戶在某個(gè)時(shí)刻只能屬于

一個(gè)活動(dòng)的用戶組。

?:?存取控制表（ACL）

22

第八章訪問(wèn)控制

自主訪問(wèn)控制的訪問(wèn)許可

a）等級(jí)型：

將對(duì)客體存取控制表的修改能力劃分成等級(jí)，

控制關(guān)系構(gòu)成一個(gè)樹型結(jié)構(gòu)。系統(tǒng)管理員的

等級(jí)為等級(jí)樹的根，根一級(jí)具有修改所有客

體存取控制表的能力，并且具有向任意一個(gè)

主體分配這種修改權(quán)的能力。在樹中的最低

級(jí)的主體不再具有訪問(wèn)許可，也就是說(shuō)他們

對(duì)相應(yīng)的客體的存取控制表不再具有修改權(quán)。

有訪問(wèn)許可的主體（即有能力修改客體的存

取控制表），可以對(duì)自己授與任何訪問(wèn)模式23

第八章訪問(wèn)控制

自主訪問(wèn)控制的訪問(wèn)許可

b）擁有型：

另一種控制方式是對(duì)每個(gè)客體設(shè)立一個(gè)擁有者

（通常是該客體的生成者）。只有擁有者才是

對(duì)客體有修改權(quán)的唯一主體。擁有者對(duì)其擁有

的客體具有全部控制權(quán)。但是，擁有者無(wú)權(quán)將

其對(duì)客體的控制權(quán)分配給其它主體。因此，客

體擁有者在任何時(shí)候都可以改變其所屬客體的

存取控制表，并可以對(duì)其它主體授予或者撤消

其對(duì)客體的任何一種訪問(wèn)模式。

24

第八章訪問(wèn)控制

自主訪問(wèn)控制的訪問(wèn)許可

C）自由型：

自由型方案的特點(diǎn)是：一個(gè)客體的生成者可以

對(duì)任何一個(gè)主體分配對(duì)它擁有的客體的訪問(wèn)控

制權(quán)，即對(duì)客體的存取控制表有修改權(quán)，并且

還可使其對(duì)它主體也具有分配這種權(quán)力的能力O

在這種系統(tǒng)中，不存在“擁有者”概念。

25

第八章訪問(wèn)控制

在實(shí)現(xiàn)自主訪問(wèn)控制的各種各樣系統(tǒng)中，訪

問(wèn)模式的應(yīng)用是很廣泛的。

文件。對(duì)文件設(shè)置的訪問(wèn)模式有以下幾種：

讀拷貝(read-copy)

寫刪除(write-delete)

執(zhí)行(execute)

Null(無(wú)效)這種模式表示，主體對(duì)客體不具

有任何訪問(wèn)權(quán)。在存取控制表中用這種模式

可以排斥某個(gè)特定的主體。

26

第八章訪問(wèn)控制

四、強(qiáng)制訪問(wèn)控制（MAC）

系統(tǒng)對(duì)所有主體及其所控制的客體（例如：進(jìn)程、

文件、段、設(shè)備）實(shí)施強(qiáng)制訪問(wèn)控制。為這些主

體及客體指定敏感標(biāo)記，這些標(biāo)記是等級(jí)分類和

非等級(jí)類別的組合，它們是實(shí)施強(qiáng)制訪問(wèn)控制的

依據(jù)。系統(tǒng)根據(jù)主體和客體的敏感標(biāo)記來(lái)決定訪

問(wèn)模式。如：絕密級(jí)，秘密級(jí)，機(jī)密級(jí)，無(wú)密級(jí)。

MAC通過(guò)梯度安全標(biāo)簽實(shí)現(xiàn)單向信息流通模式。

特點(diǎn)：強(qiáng)制性；限制性。

上讀；下讀；上寫；下寫

強(qiáng)制方法：限制修改ACL；過(guò)程控制；限制共享「

五、基于角色訪問(wèn)控制（RBAC）

兼有基于身份和基于規(guī)則的策略特征。可看作

基于組的策略的變形，一個(gè)角色對(duì)應(yīng)一個(gè)組。

例：銀行業(yè)務(wù)系統(tǒng)中用戶多種角色

優(yōu)點(diǎn)：

對(duì)于非專業(yè)的管理人員，容易制定安全策略;

容易被映射到一個(gè)訪問(wèn)矩陣或基于組的策略。

28

第八章訪問(wèn)控制

角色、許可、用戶、會(huì)話、活躍角色

許可是允許對(duì)一個(gè)或多個(gè)客體執(zhí)行操作。角色是

許可的集合。RBAC的基本思想是：授權(quán)給用戶的

訪問(wèn)權(quán)限,通常由用戶在一個(gè)組織中擔(dān)當(dāng)?shù)慕巧?/p>

來(lái)確定。ACL直接將主體和目標(biāo)相聯(lián)系，而RBAC

在中間加入了角色，通過(guò)角色溝通主體與目標(biāo)。

分層的優(yōu)點(diǎn)是當(dāng)主體發(fā)生變化時(shí)，只需修改主體

與角色之間的關(guān)聯(lián)而不必修改角色與客體的關(guān)聯(lián)。

角色：用戶的集合與許可的集合。

29

第八章訪問(wèn)控制

RBAC中許可被授權(quán)給角色，角色被授權(quán)給用戶，用

戶不直接與許可關(guān)聯(lián)。RBAC對(duì)訪問(wèn)權(quán)限的授權(quán)由管

理員統(tǒng)一管理，而且授權(quán)規(guī)定是強(qiáng)加給用戶的，這

是一種非自主型集中式訪問(wèn)控制方式。

用戶是一個(gè)靜態(tài)的概念，會(huì)話則是一個(gè)動(dòng)態(tài)的概念。

一次會(huì)話是用戶的一個(gè)活躍進(jìn)程，它代表用戶與系

統(tǒng)交互。用戶與會(huì)話是一對(duì)多關(guān)系，一個(gè)用戶可同

時(shí)打開多個(gè)會(huì)話。一個(gè)會(huì)話構(gòu)成一個(gè)用戶到多個(gè)角

色的映射，即會(huì)話激活了用戶授權(quán)角色集的某個(gè)子

集，這個(gè)子集稱為活躍角色集?；钴S角色集決定了

本次會(huì)話的許可集。

30

第八章訪問(wèn)控制

1、RBAC能夠描述復(fù)雜的安全策略

通過(guò)角色定義、分配和設(shè)置適應(yīng)安全策略

系統(tǒng)管理員定義系統(tǒng)中的各種角色，每種角色

可以完成一定的職能，不同的用戶根據(jù)其職能和責(zé)

任被賦予相應(yīng)的角色，一旦某個(gè)用戶成為某角色的

成員，則此用戶可以完成該角色所具有的職能。根

據(jù)組織的安全策略特定的崗位定義為特定的角色、

特定的角色授權(quán)給特定的用戶。例如可以定義某些

角色接近DAC,某些角色接近MAC。系統(tǒng)管理員也可

以根據(jù)需要設(shè)置角色的可用性以適應(yīng)某一階段企業(yè)

的安全策略，例如設(shè)置所有角色在所有時(shí)間內(nèi)可用、

特定角色在特定時(shí)間內(nèi)可用、用戶授權(quán)角色的子集

在特定時(shí)間內(nèi)可用。31

第八章訪問(wèn)控制

五、基于角色訪問(wèn)控制（RBAC）

通過(guò)角色分層映射組織結(jié)構(gòu)

組織結(jié)構(gòu)中通常存在一種上、下級(jí)關(guān)系,

上一級(jí)擁有下一級(jí)的全部權(quán)限，為此，RBAC

引入了角色分層的概念。角色分層把角色組

織起來(lái)，能夠很自然地反映組織內(nèi)部人員之

間的職權(quán)、責(zé)任關(guān)系。層次之間存在高對(duì)低

的繼承關(guān)系，即父角色可以繼承子角色的許

可。

32

第八章訪問(wèn)控制

五、基于角色訪問(wèn)控制（RBAC）

站長(zhǎng)

副站長(zhǎng)1（運(yùn)物部）副站長(zhǎng)2僧票部）副站長(zhǎng)系服務(wù)部）

■度員13售票員］,2,34,67力服務(wù)員1,2,345

用卜鋪硬座免票電話廣播

33

第八章訪問(wèn)控制

五、基于角色訪問(wèn)控制（RBAC）

34

角色的繼承關(guān)系

35

第八章訪問(wèn)控制

容易實(shí)現(xiàn)最小特權(quán)(leastprivilege)原則

最小特權(quán)原則在保持完整性方面起著重要

的作用。最小特權(quán)原則是指用戶所擁有的權(quán)力

不能超過(guò)他執(zhí)行工作時(shí)所需的權(quán)限。這一原則

的應(yīng)用可限制事故、錯(cuò)誤、未授權(quán)使用帶來(lái)的

損害。使用RBAC能夠容易地實(shí)現(xiàn)最小特權(quán)原則。

在RBAC中，系統(tǒng)管理員可以根據(jù)組織內(nèi)的規(guī)章

制度、職員的分工等設(shè)計(jì)擁有不同權(quán)限的角色,

只有角色需要執(zhí)行的操作才授權(quán)給角色。當(dāng)一

個(gè)主體要訪問(wèn)某資源時(shí),如果該操作不在主體當(dāng)

前活躍角色的授權(quán)操作之內(nèi)，該訪問(wèn)將被拒絕。

36

第八章訪問(wèn)控制

滿足職責(zé)分離(separationofduties)原則

這是保障安全的一個(gè)基本原則，是指有

些許可不能同時(shí)被同一用戶獲得，以避免安

全上的漏洞。例如收款員、出納員、審計(jì)員

應(yīng)由不同的用戶擔(dān)任。在RBAC中，職責(zé)分離

可以有靜態(tài)和動(dòng)態(tài)兩種實(shí)現(xiàn)方式。靜態(tài)職責(zé)

分離只有當(dāng)一個(gè)角色與用戶所屬的其他角色

彼此不互斥時(shí)，這個(gè)角色才能授權(quán)給該用戶。

動(dòng)態(tài)職責(zé)分離只有當(dāng)一個(gè)角色與一主體的任

何一個(gè)當(dāng)前活躍角色都不互斥時(shí)該角色才能

成為該主體的另一個(gè)活躍角色。角色的職責(zé)

分離也稱為角色互斥，是角色限制的一種。37

第八章訪問(wèn)控制

崗位上的用戶數(shù)通過(guò)角色基數(shù)約束

企業(yè)中有一些角色只能由一定人數(shù)的用

戶占用，在創(chuàng)建新的角色時(shí)，通過(guò)指定角色

的基數(shù)來(lái)限定該角色可以擁有的最大授權(quán)用

戶數(shù)。如總經(jīng)理角色只能由一位用戶擔(dān)任。

RBAC數(shù)據(jù)庫(kù)設(shè)計(jì)

維護(hù)RBAC數(shù)據(jù)庫(kù)是系統(tǒng)管理員的基本職責(zé)，

這里分析RBAC數(shù)據(jù)庫(kù)的基本表和相關(guān)操作。

RBAC數(shù)據(jù)庫(kù)包括靜態(tài)數(shù)據(jù)和動(dòng)態(tài)數(shù)據(jù)。

38

第八章訪問(wèn)控制

靜態(tài)數(shù)據(jù)

用戶表包括用戶標(biāo)識(shí)、姓名、登錄密碼。它是系

統(tǒng)中的個(gè)體用戶集，隨用戶的添加與刪除動(dòng)態(tài)變化。

角色表包括角色標(biāo)識(shí)、角色名稱、角色基數(shù)、角

色可用標(biāo)識(shí)。角色表是系統(tǒng)角色集，由系統(tǒng)管理員定

義角色。

受控對(duì)象表包括對(duì)象標(biāo)識(shí)、對(duì)象名稱。受控對(duì)象表是

客體集，系統(tǒng)中所有受控對(duì)象的集合。

操作算子表包括操作標(biāo)識(shí)、操作算子名稱。系統(tǒng)中所

有受控對(duì)象的操作算子構(gòu)成操作算子表。

許可表包括許可標(biāo)識(shí)、許可名稱、受控對(duì)象、操作標(biāo)

識(shí)。許可表給出了受控對(duì)象與操作算子的對(duì)應(yīng)關(guān)系。39

第八章訪問(wèn)控制

角色/許可授權(quán)表包括角色標(biāo)識(shí)、許可標(biāo)識(shí)。系統(tǒng)管理

員為角色分配或取消許可，管理角色/許可授權(quán)表。

用戶/角色分配表包括用戶標(biāo)識(shí)、角色標(biāo)識(shí)。系統(tǒng)管理

員為用戶分配或取消角色，管理用戶/角色分配表。

用戶/角色授權(quán)表包括用戶標(biāo)識(shí)、角色標(biāo)識(shí)、可用性。

角色r授權(quán)給一個(gè)用戶u,要么是角色r分配給用戶u,

要么是角色r通過(guò)一個(gè)分配給用戶u的角色繼承而來(lái)。

用戶/角色授權(quán)表記錄了用戶通過(guò)用戶/角色分配表以

及角色繼承而取得的所有角色?？捎眯詾檎鏁r(shí)，用戶

才真正可以使用該角色賦予的許可。

40

第八章訪問(wèn)控制

角色層次表包括上一級(jí)角色標(biāo)識(shí)、下一級(jí)角色

標(biāo)識(shí)。上一級(jí)角色包含下一級(jí)角色的許可。

靜態(tài)互斥角色表包括角色標(biāo)識(shí)1、角色標(biāo)識(shí)2。

系統(tǒng)管理員為用戶添加角色時(shí)參考。

動(dòng)態(tài)互斥角色表包括角色標(biāo)識(shí)1、角色標(biāo)識(shí)2。

在用戶創(chuàng)建會(huì)話選擇活躍角色集時(shí)參考。

動(dòng)態(tài)數(shù)據(jù)

會(huì)話表包括會(huì)話標(biāo)識(shí)、用戶標(biāo)識(shí)。

會(huì)話的活躍角色表包括會(huì)話標(biāo)識(shí)、角色標(biāo)識(shí)。

41

第八章訪問(wèn)控制

RBAC系統(tǒng)結(jié)構(gòu)

RBAC系統(tǒng)結(jié)構(gòu)由RBAC數(shù)據(jù)庫(kù)、身份認(rèn)證模

塊、系統(tǒng)管理模塊、會(huì)話管理模塊組成。

身份認(rèn)證模塊通過(guò)用戶標(biāo)識(shí)、用戶口令確認(rèn)

用戶身份。此模塊僅使用RBAC數(shù)據(jù)庫(kù)的USERS

表。

RBAC數(shù)據(jù)庫(kù)與各模塊的對(duì)應(yīng)關(guān)系見圖

42

第八章訪問(wèn)控制

43

圖1RBAC數(shù)據(jù)庫(kù)與各模塊的對(duì)應(yīng)關(guān)系圖

第八章訪問(wèn)控制

系統(tǒng)管理模塊主要完成用戶增減（使用

USERS表）、角色增減（使用ROLES表）、

用戶/角色的分配（使用USERS表、ROLES

表、用戶/角色分配表、用戶/角色授權(quán)表）、

角色/許可的分配（使用ROLES表、

PERMISSIONS表、角色/許可授權(quán)表）、定

義角色間的關(guān)系（使用ROLES表、角色層次

表、靜態(tài)互斥角色表、動(dòng)態(tài)互斥角色表），

其中每個(gè)操作都帶有參數(shù)，每個(gè)操作都有一

定的前提條件，操作使RBAC數(shù)據(jù)庫(kù)發(fā)生動(dòng)

態(tài)變化。系統(tǒng)管理員使用該模塊初始化

RBAC數(shù)據(jù)庫(kù)并維護(hù)RBAC數(shù)據(jù)庫(kù)。

第八章訪問(wèn)控制

系統(tǒng)管理員的操作包括添加、刪除用戶，添

加、刪除角色，設(shè)置角色可用性，為角色增

加許可，取消角色的某個(gè)許可，為用戶分配

或取消某個(gè)角色，設(shè)置用戶授權(quán)角色的可用

性，添加或取消角色繼承關(guān)系，添加或刪除

一個(gè)靜態(tài)角色互斥關(guān)系，添加或刪除一個(gè)動(dòng)

態(tài)角色互斥關(guān)系，設(shè)置角色基數(shù)。

會(huì)話管理模塊結(jié)合RBAC數(shù)據(jù)庫(kù)管理會(huì)話。

包括會(huì)話的創(chuàng)建與取消以及對(duì)活躍角色的管

理。此模塊使用USERS表、ROLES表、動(dòng)

態(tài)互斥角色表、會(huì)話表和活躍角色表。

45

第八章訪問(wèn)控制

RBAC系統(tǒng)的運(yùn)行步驟

用戶登錄時(shí)向身份認(rèn)證模塊發(fā)送用戶標(biāo)識(shí)、用戶

口令，確證用戶身份；

會(huì)話管理模塊從RBAC數(shù)據(jù)庫(kù)檢索該用戶的授權(quán)角

色集并送回用戶；

用戶從中選擇本次會(huì)話的活躍角色集，在此過(guò)程

中會(huì)話管理模塊維持動(dòng)態(tài)角色互斥；

會(huì)話創(chuàng)建成功，本次會(huì)話的授權(quán)許可體現(xiàn)在菜單

與按扭上，如不可用顯示為灰色；

在會(huì)話過(guò)程中，系統(tǒng)管理員若要更改角色或許可,

可在此會(huì)話結(jié)束后進(jìn)行或終止此會(huì)話立即進(jìn)行。

46

六、訪問(wèn)控制的其它考慮

附加的控制

依賴于值的控制：臨界數(shù)據(jù)的敏感性

多用戶控制：需要多個(gè)個(gè)體、角色的同意

基于上下文控制：時(shí)間、用戶位置、通信路徑

目標(biāo)的粒度

策略與粒度大小密切相關(guān)。

策■

多種策略作用于一個(gè)目標(biāo)時(shí)，需要策略協(xié)調(diào)規(guī)

則。

穿越互操作區(qū)域的策略映射

安全區(qū)域邊界的翻譯、映射，不同區(qū)域安全策略不同

訪問(wèn)控制轉(zhuǎn)發(fā)

如果B是不可信的，或者B受到攻擊，貝K將受到威脅。

通信訪問(wèn)控制與路由控制

a）連接訪問(wèn)控制：

b）網(wǎng)絡(luò)數(shù)據(jù)訪問(wèn)控制：

路由控制：確保數(shù)據(jù)通過(guò)安全的子網(wǎng)、連接。在網(wǎng)

絡(luò)層，使用a或b方式；在E-mail這樣的存儲(chǔ)轉(zhuǎn)發(fā)系

統(tǒng)中，路由控制可出現(xiàn)在應(yīng)用層。

48

訪問(wèn)控制信息的產(chǎn)生、分發(fā)和存儲(chǔ)

訪問(wèn)控制機(jī)制的有效性依賴于訪問(wèn)控制決策的準(zhǔn)確性

和可信度。所以訪問(wèn)控制策略只能由適當(dāng)?shù)氖跈?quán)者

獨(dú)自產(chǎn)生和修改。對(duì)訪問(wèn)控制列表的修改由控制許

可來(lái)完成，控制許可在邏輯上要與目標(biāo)訪問(wèn)許可有

明顯的區(qū)別。

為滿足完整性和數(shù)據(jù)起源認(rèn)證需要，訪問(wèn)控制信息通

常以訪問(wèn)控制證書的形式傳遞，例：當(dāng)用戶首次登

錄時(shí)，將獲得特權(quán)屬性證書(PAC)。

訪問(wèn)控制許可的撤消

當(dāng)某個(gè)安全區(qū)域去掉一個(gè)用戶、目標(biāo)，或改變其安全

屬性，或懷疑敏感信息受到威脅時(shí)

49

七、訪問(wèn)控制類產(chǎn)品

SunScreen

WeBST安全平臺(tái)

HPPraesidium授權(quán)服務(wù)器

NetKey網(wǎng)絡(luò)安全認(rèn)證系統(tǒng)

CiscoNetRanger

50

SuccesswithMoneyandJoy

附落人生心語(yǔ)

?成功是一種觀念

?致富是一種義務(wù)

?快樂(lè)是一種權(quán)利

?每個(gè)人都有能力、有義

務(wù)、有權(quán)利辦到成功

致富快樂(lè)

附贈(zèng)人生心語(yǔ)

成成功不是打敗別人

功成功不是超越別人

成功不是名、利、權(quán)的獲得

致?lián)碛薪】档纳眢w

豐足的物質(zhì)生活

富平衡的心理狀態(tài)

又才能擁有成功

快SuccesswithMoneyandJoy

戰(zhàn)勝自己

樂(lè)貢獻(xiàn)自己

扮演好自己的歷史角色

才能超越自己

融入成功里

附贈(zèng)人生心語(yǔ)

知人者智，自知者明，勝人者力，自

勝者強(qiáng)。

——老子

附贈(zèng)人生心語(yǔ)

?成功必須靠百分之九十八的辛勤血

汗，加上百分之二的天才靈感。

?世界上注定只有百分之二十的人會(huì)成

功。

附贈(zèng)人生心語(yǔ)

成猶太諺語(yǔ)中有一句名言，

功會(huì)傷人的東西有三個(gè)：苦惱、爭(zhēng)吵、空的錢包。

其中最傷人的是——空的錢包。

致金錢本身并沒(méi)有善惡，

但沒(méi)有錢，

富卻的確是一件不幸的事情。

又所以，我們必須學(xué)習(xí)

快SuccesswithMoneyandJoy

重視財(cái)富，

樂(lè)管理財(cái)富，

更重要的是栗學(xué)會(huì)

正確地

使用自己的財(cái)富。

附贈(zèng)人生心語(yǔ)

重財(cái)---重視自己的財(cái)富

孔子說(shuō)：“不義而富且貴于我如浮云。”只要

是正正當(dāng)當(dāng)?shù)腻X，都應(yīng)該被珍惜、被重視。

附贈(zèng)人生心語(yǔ)

理財(cái)-----管理自己的財(cái)富

在貧苦和缺錢里掙扎的人，都有一個(gè)共同的特

點(diǎn)，就是不會(huì)理財(cái)，甚至不懂什么是理財(cái)。

附磨人生心語(yǔ)

增貝才----增加自己的財(cái)富

勞務(wù)收入

收入卜

財(cái)務(wù)收入

附霜人生心語(yǔ)

守貝才-----保護(hù)自己的財(cái)富

守財(cái)三原則：

?不賭錢

?不借錢

?不投資做生意

附贈(zèng)人生心語(yǔ)

成

功春有百花秋有月，夏有涼風(fēng)冬有雪

致若無(wú)閑事掛心頭，便是人間好時(shí)節(jié)

富

又SuccesswithMoney