1、6-1 6-1 信息安全技术信息安全技术- -访问控制访问控制安全服务安全服务 安全服务(安全服务(Security Services):): 计算机通信网络中,主要的安全保护措计算机通信网络中,主要的安全保护措施被称作安全服务。施被称作安全服务。 根据根据ISO7498-2, 安全服务包括:安全服务包括: 鉴别(鉴别( Authentication) 访问控制(访问控制(Access Control) 数据机密性(数据机密性(Data Confidentiality) 数据完整性(数据完整性(Data Integrity) 抗抵赖(抗抵赖(Non-repudiation)ISO7498-2到
2、到TCP/IP的映射的映射TCP/IP 协议层安全服务网络接口互联网层传输层应用层对等实体鉴别-YYY数据源鉴别-YYY访问控制服务-YYY连接保密性YYYY无连接保密性YYYY选择域保密性-Y流量保密性YY-Y有恢复功能的连接完整性-YY无恢复功能的连接完整性-YYY选择域连接完整性-Y无连接完整性-YYY选择域非连接完整性-Y源发方不可否认-Y接收方不可否认-Y访问控制的概念和目标访问控制的概念和目标 一般概念一般概念 是针对越权使用资源的防御措施。是针对越权使用资源的防御措施。 基本目标:基本目标: 防止对任何资源(如计算资源、通信资源或信息资防止对任何资源(如计算资源、通信资源或信息资
3、源)进行未授权的访问。源)进行未授权的访问。从而使计算机系统在合法范从而使计算机系统在合法范围内使用;决定用户能做什么,也决定代表一定用户围内使用;决定用户能做什么,也决定代表一定用户利益的程序能做什么。利益的程序能做什么。 未授权的访问包括:未经授权的使用、泄露、修改、未授权的访问包括:未经授权的使用、泄露、修改、销毁信息以及颁发指令等。销毁信息以及颁发指令等。 非法用户进入系统。非法用户进入系统。 合法用户对系统资源的非法使用。合法用户对系统资源的非法使用。访问控制的作用访问控制的作用 访问控制对机密性、完整性起直接的作用。访问控制对机密性、完整性起直接的作用。 对于可用性,访问控制通过对
4、以下信息的有效控对于可用性,访问控制通过对以下信息的有效控制来实现:制来实现:(1)谁可以颁发影响网络可用性的网络管理指令)谁可以颁发影响网络可用性的网络管理指令(2)谁能够滥用资源以达到占用资源的目的)谁能够滥用资源以达到占用资源的目的(3)谁能够获得可以用于拒绝服务攻击的信息)谁能够获得可以用于拒绝服务攻击的信息主体、客体和授权主体、客体和授权 客体(客体(Object):规定需要保护的资源,又称作目标:规定需要保护的资源,又称作目标(target)。 主体(主体(Subject):或称为发起者:或称为发起者(Initiator),是一个主,是一个主动的实体,规定可以访问该资源的实体,(通
5、常指用动的实体,规定可以访问该资源的实体,(通常指用户或代表用户执行的程序)。户或代表用户执行的程序)。 授权(授权(Authorization):规定可对该资源执行的动作:规定可对该资源执行的动作(例如读、写、执行或拒绝访问)。(例如读、写、执行或拒绝访问)。 一个主体为了完成任务,可以创建另外的主体,这些一个主体为了完成任务,可以创建另外的主体,这些子主体可以在网络上不同的计算机上运行,并由父主子主体可以在网络上不同的计算机上运行,并由父主体控制它们。体控制它们。 主客体的关系是相对的。主客体的关系是相对的。访问控制模型基本组成访问控制模型基本组成 发起者发起者Initiator访问控制实
6、施功能访问控制实施功能AEF访问控制决策功能访问控制决策功能ADF目标目标Target提交访问请求提交访问请求SubmiSubmit tA Access Requestccess Request提出访问请求提出访问请求PresentAccess Request请求决策请求决策Decision Request决策决策Decision访问控制与其他安全服务的关系模型访问控制与其他安全服务的关系模型 引用监引用监 控器控器身份鉴别身份鉴别访问控制访问控制授权数据库授权数据库用户用户目目标标目目标标目目标标目目标标目目标标审审 计计安全管理员安全管理员访问控访问控制决策制决策单元单元访问控制策略与机制
7、访问控制策略与机制 访问控制策略访问控制策略(Access Control Policy):访问控制策略在访问控制策略在系统安全策略级上表示授权。是对访问如何控制系统安全策略级上表示授权。是对访问如何控制, ,如何如何作出访问决定的高层指南。作出访问决定的高层指南。 访问控制机制(访问控制机制(Access Control Mechanisms):是访问控是访问控制策略的软硬件低层实现。制策略的软硬件低层实现。 访问控制机制与策略独立,可允许安全机制的重用。访问控制机制与策略独立,可允许安全机制的重用。 安全策略之间没有更好的说法,只是一种可以比一种安全策略之间没有更好的说法,只是一种可以比一
8、种提供更多的保护。应根据应用环境灵活使用。提供更多的保护。应根据应用环境灵活使用。访问控制策略访问控制策略 自主访问控制自主访问控制(discretionary policies), 基于身份的访基于身份的访问控制问控制IBAC(Identity Based Access Control) 强制访问控制强制访问控制(mandatory policies), 基于规则的访问控基于规则的访问控制制RBAC(Rule Based Access Control) 基于角色的访问控制基于角色的访问控制(role-based policies)如何决定访问权限如何决定访问权限 用户分类用户分类 资源资源
9、资源及使用资源及使用 访问规则访问规则用户的分类用户的分类(1)特殊的用户:系统管理员,具有最高级别)特殊的用户:系统管理员,具有最高级别的特权,可以访问任何资源,并具有任何类型的特权,可以访问任何资源,并具有任何类型的访问操作能力的访问操作能力(2)一般的用户:最大的一类用户,他们的访)一般的用户:最大的一类用户,他们的访问操作受到一定限制,由系统管理员分配问操作受到一定限制,由系统管理员分配(3)作审计的用户:负责整个安全系统范围内)作审计的用户:负责整个安全系统范围内的安全控制与资源使用情况的审计的安全控制与资源使用情况的审计(4)作废的用户:被系统拒绝的用户。)作废的用户:被系统拒绝的
10、用户。资源资源 系统内需要保护的是系统资源:系统内需要保护的是系统资源: 磁盘与磁带卷标磁盘与磁带卷标 远程终端远程终端 信息管理系统的事务处理及其应用信息管理系统的事务处理及其应用 数据库中的数据数据库中的数据 应用资源应用资源资源和使用资源和使用 对需要保护的资源定义一个访问控制包对需要保护的资源定义一个访问控制包(Access control packet),包括:,包括: 资源名及拥有者的标识符资源名及拥有者的标识符 缺省访问权缺省访问权 用户、用户组的特权明细表用户、用户组的特权明细表 允许资源的拥有者对其添加新的可用数据的允许资源的拥有者对其添加新的可用数据的操作操作 审计数据审计
11、数据访问规则访问规则 规定了若干条件,在这些条件下,可准许访问规定了若干条件,在这些条件下,可准许访问一个资源。一个资源。 规则使用户与资源配对,指定该用户可在该文规则使用户与资源配对,指定该用户可在该文件上执行哪些操作,如只读、不许执行或不许件上执行哪些操作,如只读、不许执行或不许访问。访问。 由系统管理人员来应用这些规则,由硬件或软由系统管理人员来应用这些规则,由硬件或软件的安全内核部分负责实施。件的安全内核部分负责实施。访问控制的一般实现机制和方法访问控制的一般实现机制和方法一般实现机制一般实现机制 基于访问控制属性基于访问控制属性 访问控制表访问控制表/矩阵矩阵 基于用户和资源分级(基
12、于用户和资源分级(“安全标签安全标签”) 多级访问控制多级访问控制常见实现方法常见实现方法 访问控制表访问控制表ACLACLs s(Access Control Lists)Access Control Lists) 访问能力表(访问能力表(Capabilities)Capabilities) 授权关系表授权关系表访问控制矩阵访问控制矩阵任何访问控制策略最终均可被模型化为访问矩阵形式:任何访问控制策略最终均可被模型化为访问矩阵形式:行对应于用户,列对应于目标,每个矩阵元素规定了相应行对应于用户,列对应于目标,每个矩阵元素规定了相应的用户对应于相应的目标被准予的访问许可、实施行为。的用户对应于相
13、应的目标被准予的访问许可、实施行为。访问控制矩阵访问控制矩阵 按列看是访问控制表内容按列看是访问控制表内容 按行看是访问能力表内容按行看是访问能力表内容目标目标xR、W、OwnR、W、Own目标目标y目标目标z用户用户a用户用户b用户用户c用户用户dRRR、W、OwnR、WR、W 目标目标用户用户 访问控制表访问控制表(ACL) userAOwnRWOuserB R OuserCRWOObj1userAOwnRWOuserB R OuserCRWOObj1每个客体附加一个它可以访问的主体的明细表每个客体附加一个它可以访问的主体的明细表。访问能力表访问能力表(CL) Obj1OwnRWOObj2
14、 R OObj3 RWOUserA每个主体都附加一个该主体可访问的客体的明细表。每个主体都附加一个该主体可访问的客体的明细表。ACL、CL访问方式比较访问方式比较(1) ACLSsubject client(s,r)?&),(siSiRrSsSSRSACLiobject serverACL、CL访问方式比较访问方式比较(2) CLsubject client(o,r)?oRrOoobject server),(iOiOOROCLiACL、CL访问方式比较访问方式比较(3) 鉴别方面:二者需要鉴别的实体不同鉴别方面:二者需要鉴别的实体不同 保存位置不同保存位置不同 浏览访问权限浏览访问权限 AC
15、L:容易,容易,CL:困难困难 访问权限传递访问权限传递 ACL:困难,困难,CL:容易:容易 访问权限回收访问权限回收 ACL:容易,容易,CL:困难:困难 ACL和和CL之间转换之间转换 ACL-CL:困难:困难 CL-ACL:容易:容易ACL、CL访问方式比较访问方式比较(4) 多数集中式操作系统使用多数集中式操作系统使用ACL方法或类方法或类似方式似方式 由于分布式系统中很难确定给定客体的由于分布式系统中很难确定给定客体的潜在主体集,在现代潜在主体集,在现代OS中中CL也得到广泛也得到广泛应用应用授权关系表授权关系表 UserA Own Obj1UserA R Obj1UserA W
16、Obj1UserA W Obj2UserA R Obj2 自主自主访问控制访问控制强制强制访问控制访问控制基于角色基于角色访问控制访问控制访问控制访问控制访问控制的一般策略访问控制的一般策略自主访问控制自主访问控制 特点:特点: 根据主体的身份及允许访问的权限进行决策根据主体的身份及允许访问的权限进行决策 。 自主是指具有某种访问能力的主体能够自主地将访问自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。权的某个子集授予其它主体。 灵活性高,被大量采用。灵活性高,被大量采用。 缺点:缺点: 信息在移动过程中其访问权限关系会被改变。如用户信息在移动过程中其访问权限关系会被改
17、变。如用户A可将其对目标可将其对目标O的访问权限传递给用户的访问权限传递给用户B,从而使不具从而使不具备对备对O访问权限的访问权限的B可访问可访问O。基于身份的策略:基于个人的策略基于身份的策略:基于个人的策略根据哪些用户可对一个目标实施哪一种行为的列根据哪些用户可对一个目标实施哪一种行为的列表来表示。表来表示。等价于用一个目标的访问矩阵等价于用一个目标的访问矩阵列列来描述来描述基础基础(前提前提):一个隐含的、或者显式的缺省策略:一个隐含的、或者显式的缺省策略例如,全部权限否决例如,全部权限否决最小特权原则:要求最大限度地限制每个用户为实施最小特权原则:要求最大限度地限制每个用户为实施授权任
18、务所需要的许可集合授权任务所需要的许可集合在不同的环境下,缺省策略不尽相同,例如,在公开在不同的环境下,缺省策略不尽相同,例如,在公开的布告板环境中,所有用户都可以得到所有公开的信的布告板环境中,所有用户都可以得到所有公开的信息息对于特定的用户,有时候需要提供显式的否定许可对于特定的用户,有时候需要提供显式的否定许可例如,对于违纪的内部员工,禁止访问内部一些信息例如,对于违纪的内部员工,禁止访问内部一些信息基于身份的策略:基于组的策略基于身份的策略:基于组的策略 一组用户对于一个目标具有同样的访问许可。是一组用户对于一个目标具有同样的访问许可。是基于身份的策略的另一种情形基于身份的策略的另一种
19、情形 相当于,把访问矩阵中多个行压缩为一个行。相当于,把访问矩阵中多个行压缩为一个行。 实际使用时实际使用时 先定义组的成员先定义组的成员 对用户组授权对用户组授权 同一个组可以被重复使用同一个组可以被重复使用 组的成员可以改变组的成员可以改变表示和实现表示和实现 基于组的策略在表示和实现上更容易和更有效基于组的策略在表示和实现上更容易和更有效 在基于个人的策略中在基于个人的策略中,对于系统中每一个需要保护的客对于系统中每一个需要保护的客体,为其附加一个访问控制表,表中包括主体标识符体,为其附加一个访问控制表,表中包括主体标识符(ID)和对该客体的访问模式)和对该客体的访问模式 对客体对客体I
20、 将属于同一部门或工作性质相同的人归为一组(将属于同一部门或工作性质相同的人归为一组(Group), 分配组名分配组名GN,主体标识,主体标识=ID1.GN 对客体对客体IID1.reID2.rID3.eIdn.rew张三张三.CRYPTO.re*. CRYPTO.re李四李四.CRYPTO.r *.*.n自主访问控制的访问类型自主访问控制的访问类型 访问许可与访问模式描述了主体对客体所具有访问许可与访问模式描述了主体对客体所具有的控制权与访问权的控制权与访问权. 访问许可定义了改变访问模式的能力或向其它访问许可定义了改变访问模式的能力或向其它主体传送这种能力的能力主体传送这种能力的能力. 访
21、问模式则指明主体对客体可进行何种形式的访问模式则指明主体对客体可进行何种形式的特定的访问操作特定的访问操作:读读写写运行运行.访问许可访问许可(Access Permission)(1)等级型的等级型的(Hierarchical)(2)有主型的有主型的(Owner) 对每个客体设置一个拥有者对每个客体设置一个拥有者(通常是客体的生成者通常是客体的生成者).拥拥有者是唯一有权修改客体访问控制表的主体有者是唯一有权修改客体访问控制表的主体,拥有者对拥有者对其客体具有全部控制权其客体具有全部控制权.(3)自由型的自由型的(Laissez-faire)最高领导最高领导(系统操作员系统操作员)部门领导部
22、门领导部门领导部门领导科组领导科组领导科组领导科组领导科组领导科组领导科组领导科组领导成员成员成员成员成员成员成员成员成员成员成员成员成员成员成员成员访问模式访问模式Access Mode 系统支持的最基本的保护客体系统支持的最基本的保护客体:文件文件,对文对文件的访问模式设置如下件的访问模式设置如下: (1)读)读-拷贝拷贝(Read-copy) (2)写)写-删除(删除(write-delete) (3)运行)运行(Execute) (4)无效)无效(Null)强制访问控制强制访问控制 特点:取决于能用算法表达的并能在计算机上执行的特点:取决于能用算法表达的并能在计算机上执行的策略。策略给
23、出资源受到的限制和实体的授权,对资策略。策略给出资源受到的限制和实体的授权,对资源的访问取决于实体的授权而非实体的身份。源的访问取决于实体的授权而非实体的身份。R RBAC决决策在批准一个访问之前需要进行授权信息和限制信息策在批准一个访问之前需要进行授权信息和限制信息的比较。的比较。 (1)将主体和客体分级,根据主体和客体的级别标记)将主体和客体分级,根据主体和客体的级别标记来决定访问模式。如,绝密级,机密级,秘密级,无来决定访问模式。如,绝密级,机密级,秘密级,无密级。密级。 ( 2)其访问控制关系分为:上读)其访问控制关系分为:上读/下写下写 , 下读下读/上写上写 (完整性)(完整性)
24、(机密性)(机密性) (3)通过安全标签实现单向信息流通模式。)通过安全标签实现单向信息流通模式。精确描述精确描述强制访问控制强制访问控制(MAC)中,系统包含主体集中,系统包含主体集S和客体集和客体集O,每个,每个S中的主体中的主体s及客体集中的客体及客体集中的客体o,都属于一,都属于一固定的安全类固定的安全类SC,安全类,安全类SC=包括两个部分:包括两个部分:有层次的安全级别和无层次的安全范畴。构成一偏有层次的安全级别和无层次的安全范畴。构成一偏序关系序关系。(1)(1) Bell-LaPadulaBell-LaPadula:保证保密性:保证保密性- - 简单安全特性简单安全特性( (无
25、上读无上读) ):仅当:仅当SC(o)SC(o)SC(s)时,时,s可可以读取以读取o- *-特性特性(无下写无下写): 仅当仅当SC(s) SC(o)时,时,s可以修改可以修改o(2)(2) BibaBiba:保证完整性:保证完整性- - 同同(1)(1)相反相反强制访问控制实现机制强制访问控制实现机制-安全标签安全标签 安全标签安全标签是限制在目标上的一组安全属性信息是限制在目标上的一组安全属性信息项。在访问控制中,一个安全标签隶属于一个项。在访问控制中,一个安全标签隶属于一个用户、一个目标、一个访问请求或传输中的一用户、一个目标、一个访问请求或传输中的一个访问控制信息。个访问控制信息。
26、最通常的用途是支持多级访问控制策略。最通常的用途是支持多级访问控制策略。 在处理一个访问请求时,目标环境比较请求上在处理一个访问请求时,目标环境比较请求上的标签和目标上的标签,应用策略规则(如的标签和目标上的标签,应用策略规则(如Bell LapadulaBell Lapadula规则)决定是允许还是拒绝访规则)决定是允许还是拒绝访问。问。MAC Information Flow TSSCUTSSCUR/WWR/WRR/WRWRRR R/WRWWWWSubjectsObjectsInformation Flow密级密级英文英文绝密绝密TSTop Secret秘密秘密SSecret机密机密CCo
27、nfidential无密级无密级UUnclassified自主自主/ /强制访问的问题强制访问的问题 自主访问控制自主访问控制 配置的粒度小配置的粒度小 配置的工作量大,效率低配置的工作量大,效率低 强制访问控制强制访问控制 配置的粒度大配置的粒度大 缺乏灵活性缺乏灵活性基于角色的策略基于角色的策略 与现代的商业环境相结合的产物与现代的商业环境相结合的产物 基于角色的访问控制是一个复合的规则,可以被基于角色的访问控制是一个复合的规则,可以被认为是认为是IBAC和和RBAC的变体。一个身份被分配给的变体。一个身份被分配给一个被授权的组。一个被授权的组。 起源于起源于UNIX系统或别的操作系统中组
28、的概念系统或别的操作系统中组的概念 10year history 责任分离责任分离(separation of duties) 角色分层角色分层(role hierarchies) 角色激活角色激活(role activation) 用户角色关系的约束用户角色关系的约束(constraints on user/role membership)角色的定义角色的定义 每个角色与一组用户和有关的动作相互关联,每个角色与一组用户和有关的动作相互关联,角色中所属的用户可以有权执行这些操作角色中所属的用户可以有权执行这些操作 A role can be defined as a set of action
29、s and responsibilities associated with a particular working activity. 角色与组的区别角色与组的区别 组:一组用户的集合组:一组用户的集合 角色:一组用户的集合角色:一组用户的集合 + 一组操作权限的集合一组操作权限的集合一个基于角色的访问控制的实例一个基于角色的访问控制的实例 在银行环境中,用户角色可以定义为在银行环境中,用户角色可以定义为出纳员出纳员、分行管理分行管理者者、顾客顾客、系统管理者系统管理者和和审计员审计员 访问控制策略的一个例子如下:访问控制策略的一个例子如下:(1)允许一个出纳员修改顾客的帐号记录(包括存款
30、和)允许一个出纳员修改顾客的帐号记录(包括存款和取款、转帐等),并允许查询所有帐号的注册项取款、转帐等),并允许查询所有帐号的注册项(2)允许一个分行管理者修改顾客的帐号记录(包括存)允许一个分行管理者修改顾客的帐号记录(包括存款和取款,但不包括规定的资金数目的范围)并允许查款和取款,但不包括规定的资金数目的范围)并允许查询所有帐号的注册项,也允许创建和终止帐号询所有帐号的注册项,也允许创建和终止帐号(3)允许一个顾客只询问他自己的帐号的注册项)允许一个顾客只询问他自己的帐号的注册项(4)允许系统的管理者询问系统的注册项和开关系统,)允许系统的管理者询问系统的注册项和开关系统,但不允许读或修改
31、用户的帐号信息但不允许读或修改用户的帐号信息(5)允许一个审计员读系统中的任何数据,但不允许修)允许一个审计员读系统中的任何数据,但不允许修改任何事情改任何事情特点特点 该策略陈述易于被非技术的组织策略者理解该策略陈述易于被非技术的组织策略者理解;同时也易于映射到访问控制矩阵或基于组的策同时也易于映射到访问控制矩阵或基于组的策略陈述。略陈述。 同时具有基于身份策略的特征,也具有基于规同时具有基于身份策略的特征,也具有基于规则的策略的特征。则的策略的特征。 在基于组或角色的访问控制中,一个个人用户在基于组或角色的访问控制中,一个个人用户可能是不只一个组或角色的成员,有时又可能可能是不只一个组或角
32、色的成员,有时又可能有所限制。有所限制。 RBAC与传统访问控制的差别与传统访问控制的差别 增加一层间接性带来了灵活性增加一层间接性带来了灵活性RBAC参考模型参考模型 Core RBAC Hierarchical RBAC Static Separation of Duty Relations Dynamic Separation of Duty relationsCore RBAC 包括五个基本数据元素包括五个基本数据元素: 用户用户users(USERS)、角色、角色roles(ROLES)、)、目标目标objects(OBS)、操作)、操作operations(OPS)、许可权许可权p
33、ermissions(PRMS) 关系:关系: 多对多,用户被分配一定角色,角色被分配一多对多,用户被分配一定角色,角色被分配一定的许可权定的许可权 会话会话sessions: 是用户与激活的角色集合之间的是用户与激活的角色集合之间的映射映射Core RBAC USERS: 可以是人、设备、进程可以是人、设备、进程Permission:是对被保护目标执行是对被保护目标执行OPS的许可的许可UA: user assignment relations PA :permission assignment relationsSession_roles:session激活的角色激活的角色User_ses
34、sions:与用户相联系的会话集合与用户相联系的会话集合几点说明几点说明 (1) session (1) session由用户控制,允许动态激活由用户控制,允许动态激活/ /取消角取消角色,实现最小特权。应避免同时激活所有角色色,实现最小特权。应避免同时激活所有角色 (2) session(2) session和和useruser分离可以解决同一用户多账分离可以解决同一用户多账号带来的问题,如审计、计账等号带来的问题,如审计、计账等Hierarchical RBAC 角色的结构化分层是反映一个组织的授权和责任的自角色的结构化分层是反映一个组织的授权和责任的自然方式。然方式。 定义了角色的继承关
35、系定义了角色的继承关系Role r1 “inherits” role r2,角色角色r2的权限同样是的权限同样是r1的权限。的权限。Hierarchal RBACRH ROLES ROLES is a partial order on ROLES called inheritance relation, also written as 角色关系角色关系 偏序关系偏序关系(partial orders) 自反自反 (reflexive) 传递传递 (transitive)反对称反对称 (anti-symmetric) 分层角色的例子(分层角色的例子(a)树)树 (b) 倒置的树倒置的树分层角色的
36、例子(分层角色的例子(C)格状)格状有约束的(有约束的(Constrained) RBAC 增加了责任分离,用于解决利益的冲突,增加了责任分离,用于解决利益的冲突,防止用户超越权限防止用户超越权限 静态责任分离静态责任分离Static Separation of Duty Relations 动态责任分离动态责任分离Dynamic Separation of Duty relationsStatic Separation of Duty Relations 对用户分配的角色对用户分配的角色 进行约束,也就是当进行约束,也就是当用户被分配给一个角色时,禁止其成为用户被分配给一个角色时,禁止其成为
37、第二个角色。第二个角色。SSD RBAC ModelSSD定义了一个用户角色分配的约束关系,一个用户不可定义了一个用户角色分配的约束关系,一个用户不可能同时分配能同时分配SSD中的两个角色中的两个角色Dynamic Separation of Duty relations 与与SSD类似,要限制一个用户的许可权类似,要限制一个用户的许可权 SSD直接在用户的许可空间进行约束直接在用户的许可空间进行约束 DSD通过对用户会话过程进行约束通过对用户会话过程进行约束 对最小特权提供支持:在不同的时间拥对最小特权提供支持:在不同的时间拥有不同的权限有不同的权限DSD RBAC ModelDSD允许用户
38、被授予不产生利益冲突的多个角色允许用户被授予不产生利益冲突的多个角色RBAC的优势的优势 便于授权管理,如系统管理员需要修改系统设置等内便于授权管理,如系统管理员需要修改系统设置等内容时,必须有几个不同角色的用户到场方能操作,从容时,必须有几个不同角色的用户到场方能操作,从而保证了安全性。而保证了安全性。 便于根据工作需要分级,如企业财务部门与非财力部便于根据工作需要分级,如企业财务部门与非财力部门的员工对企业财务的访问权就可由财务人员这个角门的员工对企业财务的访问权就可由财务人员这个角色来区分。色来区分。 便于赋于最小特权,如即使用户被赋于高级身份时也便于赋于最小特权,如即使用户被赋于高级身
39、份时也未必一定要使用,以便减少损失。只有必要时方能拥未必一定要使用,以便减少损失。只有必要时方能拥有特权。有特权。 便于任务分担,不同的角色完成不同的任务。便于任务分担,不同的角色完成不同的任务。 便于文件分级管理,文件本身也可分为不同的角色,便于文件分级管理,文件本身也可分为不同的角色,如信件、账单等,由不同角色的用户拥有。如信件、账单等,由不同角色的用户拥有。附加的控制附加的控制 1 1)依赖于值的控制)依赖于值的控制 目标数据项无论数据值存储在哪儿,都有确定的目标数据项无论数据值存储在哪儿,都有确定的访问控制许可。目标的敏感性会根据当前存储的数据访问控制许可。目标的敏感性会根据当前存储的
40、数据值而改变。值而改变。 2 2)多用户控制)多用户控制 当多于一个用户共同提出一个请求时,在访问目当多于一个用户共同提出一个请求时,在访问目标之前的访问控制策略。标之前的访问控制策略。 3 3)基于上下文的控制)基于上下文的控制 允许访问控制策略在确定访问一个目标时依靠外允许访问控制策略在确定访问一个目标时依靠外部因素(时间、位置、通信路径、鉴别强度)。可扩部因素(时间、位置、通信路径、鉴别强度)。可扩大基于身份的或基于规则的策略。目的在于保护访问大基于身份的或基于规则的策略。目的在于保护访问控制机制,鉴别机制或物理安全措施等防护措施的弱控制机制,鉴别机制或物理安全措施等防护措施的弱点。点。
41、授权的管理授权的管理 授权的管理决定谁能被授权修改允许的授权的管理决定谁能被授权修改允许的访问访问 强制访问控制的授权管理强制访问控制的授权管理 自主访问控制的授权管理自主访问控制的授权管理 角色访问控制的授权管理角色访问控制的授权管理 强制访问控制的授权管理强制访问控制的授权管理 在强制访问控制中,允许的访问控制完全是根在强制访问控制中,允许的访问控制完全是根据主体和客体的安全级别决定。其中主体(用据主体和客体的安全级别决定。其中主体(用户、进程)的安全级别是由系统安全管理员赋户、进程)的安全级别是由系统安全管理员赋予用户,而客体的安全级别则由系统根据创建予用户,而客体的安全级别则由系统根据
42、创建它们的用户的安全级别决定。因此,强制访问它们的用户的安全级别决定。因此,强制访问控制的管理策略是比较简单的,只有安全管理控制的管理策略是比较简单的,只有安全管理员能够改变主体和客体的安全级别。员能够改变主体和客体的安全级别。 自主访问控制的授权管理自主访问控制的授权管理 集中式管理:只单个的管理者或组对用户进行访问控集中式管理:只单个的管理者或组对用户进行访问控制授权和授权撤消。制授权和授权撤消。 分级式管理:一个中心管理者把管理责任分配给其它分级式管理:一个中心管理者把管理责任分配给其它管理员,这些管理员再对用户进行访问授权和授权撤管理员,这些管理员再对用户进行访问授权和授权撤消。分级式
43、管理可以根据组织结构而实行。消。分级式管理可以根据组织结构而实行。 所属权管理所属权管理:如果一个用户是一个客体的所有者,则:如果一个用户是一个客体的所有者,则该用户可以对其它用户访问该客体进行授权访问和授该用户可以对其它用户访问该客体进行授权访问和授权撤消。权撤消。 协作式管理:对于特定系统资源的访问不能有单个用协作式管理:对于特定系统资源的访问不能有单个用户授权决定,而必须要其它用户的协作授权决定。户授权决定,而必须要其它用户的协作授权决定。 分散式管理:在分散管理中,客体所有者可以把管理分散式管理:在分散管理中,客体所有者可以把管理权限授权给其他用户。权限授权给其他用户。 角色访问控制的
44、授权管理角色访问控制的授权管理 角色访问控制提供了类似自由访问控制的许多角色访问控制提供了类似自由访问控制的许多管理策略。而且,管理权限的委托代理是角色管理策略。而且,管理权限的委托代理是角色访问控制管理的重要特点,在以上的两种访问访问控制管理的重要特点,在以上的两种访问控制的管理策略中都不存在。控制的管理策略中都不存在。 目标的粒度和策略的结合目标的粒度和策略的结合 对于相同的信息结构,由于粒度不同可能需要逻对于相同的信息结构,由于粒度不同可能需要逻辑上截然不同的访问控制策略与机制。辑上截然不同的访问控制策略与机制。 比如,有的数据库只能控制对一张表的整体访比如,有的数据库只能控制对一张表的
45、整体访问或者禁止,而有的可以对一个字段进行控制问或者禁止,而有的可以对一个字段进行控制 多种策略的结合多种策略的结合 规定策略的优先级规定策略的优先级 否定策略的优先级否定策略的优先级 缺省策略缺省策略没有允许被认可没有允许被认可 公司策略公司策略公司外部的人不可能得到任公司外部的人不可能得到任何许可;审计员被允许读何许可;审计员被允许读 D.Feng 的策略的策略D.Feng 被允许读、修改、被允许读、修改、管理;组员被允许读管理;组员被允许读公司外的人公司外的人主主 体体读、修改、管理读、修改、管理审计员审计员D.Feng组员组员其他人其他人读读空集空集许许 可可 集集读读空集空集公司数据
46、公司数据D.Feng 的数据的数据多重策略实例多重策略实例 基本的基本的访问控制功能组件访问控制功能组件 发起者发起者Initiator访问控制实施功能访问控制实施功能AEF访问控制决策功能访问控制决策功能ADF目标目标Target提交访问请求提交访问请求SubmiSubmit tA Access Requestccess Request提出访问请求提出访问请求PresentAccess Request请求决策请求决策Decision Request决策决策Decision网络访问控制组件的分布网络访问控制组件的分布 网络环境中,行为的发起者和目标往往不在一网络环境中,行为的发起者和目标往往不
47、在一个系统中,他们的物理配置有多种方法。个系统中,他们的物理配置有多种方法。 A A输入、输出、插入访问控制输入、输出、插入访问控制通常的做法是在同一系统中为目标或发起者固通常的做法是在同一系统中为目标或发起者固定一个实施组件。对目标实施:输入访问控制。定一个实施组件。对目标实施:输入访问控制。对发起者实施:输出访问控制。对发起者实施:输出访问控制。 在访问请求穿越安全区域边界时和区域授在访问请求穿越安全区域边界时和区域授权机构想过滤访问请求时,一般采用在中介点权机构想过滤访问请求时,一般采用在中介点设置实施组件的办法:插入访问控制。设置实施组件的办法:插入访问控制。B访问控制配置实例访问控制
48、配置实例 输入和输出访问控制实例输入和输出访问控制实例 插入访问控制的实例配置插入访问控制的实例配置 发起者发起者目标目标实施功能实施功能发起者发起者实施功能实施功能决策功能决策功能决策功能决策功能目标目标发起者发起者目标目标实施功能实施功能决策功能决策功能(a)(b)(c)发起者发起者实施功能实施功能决策功能决策功能目标目标发起者发起者实施部件实施部件决策部件决策部件目标目标实施部件实施部件决策部件决策部件发起者发起者实施部件实施部件目标目标实施部件实施部件决策部件决策部件(d)(e)(f)输入和输出访问控制实例输入和输出访问控制实例 发起者发起者实施部件实施部件实施部件实施部件实施部件实施
49、部件实施部件实施部件决策部件决策部件目标目标决策部件决策部件决策部件决策部件插入访问控制的配置实例插入访问控制的配置实例C.穿越互操作区域的策略映射穿越互操作区域的策略映射 当在一个包含多个安全区域的路径上提供访问当在一个包含多个安全区域的路径上提供访问控制时,有时可能需要在一个安全区域的边界控制时,有时可能需要在一个安全区域的边界翻译、映射、访问控制一个伴随一个访问请求翻译、映射、访问控制一个伴随一个访问请求的信息。这是由于在临近的区域有不同的安全的信息。这是由于在临近的区域有不同的安全策略所导致的。例如策略所导致的。例如(1)(1)标识符的改变标识符的改变: : D.feng X.D.fe
50、ng (2)角色需要在区域间映射角色需要在区域间映射D访问控制转发访问控制转发 在分布式系统环境中,一个用户或系统为了自己的利在分布式系统环境中,一个用户或系统为了自己的利益经常需要请求另一个系统执行某些命令。发起者益经常需要请求另一个系统执行某些命令。发起者A A为为了自己的利益想要系统了自己的利益想要系统B B去访问一个在系统去访问一个在系统X X上的目标。上的目标。为了达到这一目的,为了达到这一目的,A A需要转发他的访问权利给需要转发他的访问权利给B B。 由于不同的策略,有许多种排列。访问控制传递可以由于不同的策略,有许多种排列。访问控制传递可以采用代理令牌的概念。采用代理令牌的概念
