第四章 身份認(rèn)證和訪問控制-21

1、第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證和訪問控制 訪問控制訪問控制Access Control安全服務(wù)（安全服務(wù)（Security Services）：）： 安全系統(tǒng)提供的各項(xiàng)服務(wù)，用以保證系統(tǒng)或數(shù)據(jù)安全系統(tǒng)提供的各項(xiàng)服務(wù)，用以保證系統(tǒng)或數(shù)據(jù)傳輸足夠的安全性傳輸足夠的安全性根據(jù)根據(jù)ISO7498-2, 安全服務(wù)包括：安全服務(wù)包括：實(shí)體鑒別實(shí)體鑒別(認(rèn)證認(rèn)證)（Entity Authentication）數(shù)據(jù)保密性（數(shù)據(jù)保密性（Data Confidentiality）數(shù)據(jù)完整性（數(shù)據(jù)完整性（Data Integrity）防抵賴（防抵賴（Non-repudiation）訪問控制（訪問控制（Ac

2、cess Control）美國國防部的可信計(jì)美國國防部的可信計(jì)算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)（TESEC）把訪問控把訪問控制作為評價(jià)系統(tǒng)安全制作為評價(jià)系統(tǒng)安全的主要指標(biāo)之一。的主要指標(biāo)之一。第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證和訪問控制 訪問控制的概念訪問控制的概念 一般概念一般概念-是針對越權(quán)使用資源的防御措施。是針對越權(quán)使用資源的防御措施。形式化地說形式化地說-訪問控制是一個(gè)二元函數(shù)訪問控制是一個(gè)二元函數(shù) f(s,o,r)-在系統(tǒng)中發(fā)生的事情，抽象的說都是某個(gè)主體在系統(tǒng)中發(fā)生的事情，抽象的說都是某個(gè)主體(subject)在某個(gè)資源在某個(gè)資源(resource)上執(zhí)行了某個(gè)上執(zhí)行了某個(gè)

3、操作操作(operation)。 第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證和訪問控制 訪問控制的分類訪問控制的分類計(jì)算機(jī)信息系統(tǒng)訪問控制技術(shù)最早產(chǎn)生于上個(gè)世紀(jì)計(jì)算機(jī)信息系統(tǒng)訪問控制技術(shù)最早產(chǎn)生于上個(gè)世紀(jì)60年代，隨后出現(xiàn)了兩種重要的訪問控制技術(shù)：年代，隨后出現(xiàn)了兩種重要的訪問控制技術(shù)：-自主訪問控制（自主訪問控制（Discretionary Access Control,DAC）-強(qiáng)制訪問控制（強(qiáng)制訪問控制（Mandatory Access Control,MAC）作為傳統(tǒng)訪問控制技術(shù)，它們已經(jīng)遠(yuǎn)遠(yuǎn)落后于當(dāng)代系作為傳統(tǒng)訪問控制技術(shù)，它們已經(jīng)遠(yuǎn)遠(yuǎn)落后于當(dāng)代系統(tǒng)安全的要求，安全需求的發(fā)展對訪問控制

4、技術(shù)提出統(tǒng)安全的要求，安全需求的發(fā)展對訪問控制技術(shù)提出了新的要求。了新的要求。-基于角色的訪問控制基于角色的訪問控制(Role-Based Access Control,RBAC)第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證和訪問控制 訪問控制的目的訪問控制的目的是為了限制訪問主體（用戶、進(jìn)程、服務(wù)等）是為了限制訪問主體（用戶、進(jìn)程、服務(wù)等）對訪問客體（文件、系統(tǒng)等）的訪問權(quán)限，從而對訪問客體（文件、系統(tǒng)等）的訪問權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用；決定用戶能做使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用；決定用戶能做什么，也決定代表一定用戶利益的程序能做什么。什么，也決定代表一定用戶利益的程序能做什么?？梢?/p>

5、限制對關(guān)鍵資源的訪問，防止非法用戶的侵可以限制對關(guān)鍵資源的訪問，防止非法用戶的侵入或者因合法用戶的不慎操作造成的破壞。入或者因合法用戶的不慎操作造成的破壞。訪問控制是實(shí)現(xiàn)數(shù)據(jù)保密性和完整性機(jī)制的主要訪問控制是實(shí)現(xiàn)數(shù)據(jù)保密性和完整性機(jī)制的主要手段。手段。第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證和訪問控制 認(rèn)證、審計(jì)與訪問控制的關(guān)系認(rèn)證、審計(jì)與訪問控制的關(guān)系 認(rèn)證、訪問控制和審計(jì)認(rèn)證、訪問控制和審計(jì)共共同建立了保護(hù)系統(tǒng)安全的同建立了保護(hù)系統(tǒng)安全的基礎(chǔ)。其中認(rèn)證是用戶進(jìn)基礎(chǔ)。其中認(rèn)證是用戶進(jìn)入系統(tǒng)的第一道防線入系統(tǒng)的第一道防線訪問控制是在鑒別用戶的訪問控制是在鑒別用戶的合法身份后，控制用戶對合法身份

6、后，控制用戶對數(shù)據(jù)信息的訪問，它是通數(shù)據(jù)信息的訪問，它是通過引用監(jiān)控器實(shí)施這種訪過引用監(jiān)控器實(shí)施這種訪問控制的。問控制的。 第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證和訪問控制 -身份認(rèn)證身份認(rèn)證VS訪問控制訪問控制正確地建立用戶的身份標(biāo)識(shí)是由認(rèn)證服務(wù)實(shí)現(xiàn)的。在通正確地建立用戶的身份標(biāo)識(shí)是由認(rèn)證服務(wù)實(shí)現(xiàn)的。在通過引用監(jiān)控器進(jìn)行訪問控制時(shí)，總是假定用戶的身份已過引用監(jiān)控器進(jìn)行訪問控制時(shí)，總是假定用戶的身份已經(jīng)被確認(rèn)，而且訪問控制在很大程度上依賴用戶身份的經(jīng)被確認(rèn)，而且訪問控制在很大程度上依賴用戶身份的正確鑒別和引用監(jiān)控器的正確控制。正確鑒別和引用監(jiān)控器的正確控制。-訪問控制訪問控制VS審計(jì)審計(jì)-訪

7、問控制不能作為一個(gè)完整的策略來解決系統(tǒng)安全，訪問控制不能作為一個(gè)完整的策略來解決系統(tǒng)安全，它必須要結(jié)合審計(jì)而實(shí)行。審計(jì)控制主要關(guān)注系統(tǒng)所有它必須要結(jié)合審計(jì)而實(shí)行。審計(jì)控制主要關(guān)注系統(tǒng)所有用戶的請求和活動(dòng)的事后分析。用戶的請求和活動(dòng)的事后分析。第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證和訪問控制 訪問控制的構(gòu)成訪問控制的構(gòu)成主體主體(subject)-who：指發(fā)出訪問操作、存取請求：指發(fā)出訪問操作、存取請求的主動(dòng)方，它包括的主動(dòng)方，它包括用戶、用戶組、終端、主機(jī)或一用戶、用戶組、終端、主機(jī)或一個(gè)應(yīng)用進(jìn)程個(gè)應(yīng)用進(jìn)程，主體可以訪問客體。，主體可以訪問客體?？腕w客體(object)-what：指被調(diào)用

8、的程序或欲存取的：指被調(diào)用的程序或欲存取的數(shù)據(jù)訪問，數(shù)據(jù)訪問，它可以是一個(gè)字節(jié)、字段、記錄、程序、它可以是一個(gè)字節(jié)、字段、記錄、程序、文件，或一個(gè)處理器、存儲(chǔ)器及網(wǎng)絡(luò)節(jié)點(diǎn)等文件，或一個(gè)處理器、存儲(chǔ)器及網(wǎng)絡(luò)節(jié)點(diǎn)等。安全訪問政策安全訪問政策:也稱為授權(quán)訪問，它是一套規(guī)則，用也稱為授權(quán)訪問，它是一套規(guī)則，用以確定一個(gè)以確定一個(gè)主體是否對客體擁有訪問能力主體是否對客體擁有訪問能力。第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證和訪問控制 主體主體VS客體客體-主體發(fā)起對客體的操作將由系統(tǒng)的授權(quán)來決定主體發(fā)起對客體的操作將由系統(tǒng)的授權(quán)來決定-一個(gè)主體為了完成任務(wù)可以創(chuàng)建另外的主體，一個(gè)主體為了完成任務(wù)可以創(chuàng)建

9、另外的主體，并由父主體控制子主體。并由父主體控制子主體。-主體與客體的關(guān)系是相對的，當(dāng)一個(gè)主體受到主體與客體的關(guān)系是相對的，當(dāng)一個(gè)主體受到另一主體的訪問，成為訪問目標(biāo)時(shí)，該主體便成另一主體的訪問，成為訪問目標(biāo)時(shí)，該主體便成了客體。了客體。第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證和訪問控制 安全訪問政策安全訪問政策訪問控制規(guī)定了哪些主體可以訪問，以及訪問權(quán)限訪問控制規(guī)定了哪些主體可以訪問，以及訪問權(quán)限的大小的大小負(fù)責(zé)控制主體負(fù)責(zé)控制主體對客體的訪問對客體的訪問根據(jù)訪問控制根據(jù)訪問控制信息作出是否信息作出是否允許主體操作允許主體操作的決定的決定第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證和訪問控制 訪

10、問控制的一般實(shí)現(xiàn)機(jī)制和方法訪問控制的一般實(shí)現(xiàn)機(jī)制和方法-實(shí)現(xiàn)機(jī)制實(shí)現(xiàn)機(jī)制 基于訪問控制屬性基于訪問控制屬性-訪問控制表訪問控制表/矩陣矩陣 基于用戶和資源分級（基于用戶和資源分級（“安全標(biāo)簽安全標(biāo)簽”）-多級訪問控制多級訪問控制-常見實(shí)現(xiàn)方法常見實(shí)現(xiàn)方法 訪問控制表（訪問控制表（ACL, Access Control Lists) 訪問能力表（訪問能力表（CL,Capabilities Lists) 授權(quán)關(guān)系表授權(quán)關(guān)系表 （Authorization Relation）第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證和訪問控制 訪問控制實(shí)現(xiàn)方法訪問控制實(shí)現(xiàn)方法-訪問控制矩陣訪問控制矩陣(Access

11、Control Matrix)-利用二維矩陣規(guī)定任意主體和客體間的訪問權(quán)限利用二維矩陣規(guī)定任意主體和客體間的訪問權(quán)限-按列看是訪問控制表按列看是訪問控制表(ACL)內(nèi)容內(nèi)容-按行看是訪問能力表按行看是訪問能力表(CL)內(nèi)容內(nèi)容SubjectsObjectsS1S2S3O1O2O3Read/writeWriteReadExecute用戶對特定系統(tǒng)對象例如文件目錄或單個(gè)文件的存取權(quán)限。用戶對特定系統(tǒng)對象例如文件目錄或單個(gè)文件的存取權(quán)限。每個(gè)對象擁有一個(gè)在訪問控制表中定義的安全屬性。每個(gè)對象擁有一個(gè)在訪問控制表中定義的安全屬性。這張表對于每個(gè)系統(tǒng)用戶有擁有一個(gè)訪問權(quán)限。這張表對于每個(gè)系統(tǒng)用戶有擁有一

12、個(gè)訪問權(quán)限。最一般的訪問權(quán)限包括最一般的訪問權(quán)限包括:讀拷貝讀拷貝(read-copy)；寫刪除（；寫刪除（write-delete） ；執(zhí)行（；執(zhí)行（execute）；）；Null（無效）（無效）:主體對客體不具有任何訪問權(quán)。在存取控制表中用這種模式主體對客體不具有任何訪問權(quán)。在存取控制表中用這種模式可以排斥某個(gè)特定的主體?？梢耘懦饽硞€(gè)特定的主體。稀疏稀疏不利用操作不利用操作第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證和訪問控制 訪問控制實(shí)現(xiàn)方法訪問控制實(shí)現(xiàn)方法-訪問控制表訪問控制表(ACL)客體為中心客體為中心userAOwnRWOuserB R OuserCRWOObj1每個(gè)客體附加一個(gè)它可

13、以訪問的主體的明細(xì)表每個(gè)客體附加一個(gè)它可以訪問的主體的明細(xì)表。-FileA : (Alice,r,w)，(Bob，r)，Deptw)UNIX采用保護(hù)位方式采用保護(hù)位方式-9個(gè)保護(hù)位分別用來指定文件所有者、組用戶與其他用戶個(gè)保護(hù)位分別用來指定文件所有者、組用戶與其他用戶的讀、寫和執(zhí)行許可。的讀、寫和執(zhí)行許可。rw-r-現(xiàn)代計(jì)算機(jī)現(xiàn)代計(jì)算機(jī)系統(tǒng)主要還系統(tǒng)主要還是利用訪問是利用訪問控制表方法控制表方法第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證和訪問控制 訪問控制實(shí)現(xiàn)方法訪問控制實(shí)現(xiàn)方法-訪問能力表訪問能力表(CL)主體為中心主體為中心Obj1OwnRWOObj2 R OObj3 RWOUserA每個(gè)主

14、體都附加一個(gè)該主體可訪問的客體的明細(xì)表。每個(gè)主體都附加一個(gè)該主體可訪問的客體的明細(xì)表。-每個(gè)用戶都有每個(gè)用戶都有Profiles文件，列出所有該用戶擁有訪問權(quán)限的受保護(hù)客體。文件，列出所有該用戶擁有訪問權(quán)限的受保護(hù)客體。CL沒有獲得商業(yè)上的成功沒有獲得商業(yè)上的成功但在分布式系統(tǒng)中，主體但在分布式系統(tǒng)中，主體認(rèn)證一次獲得自己的認(rèn)證一次獲得自己的訪問訪問能力表能力表后，就可以根據(jù)能后，就可以根據(jù)能力關(guān)系從對應(yīng)的服務(wù)器獲力關(guān)系從對應(yīng)的服務(wù)器獲得相應(yīng)的服務(wù)得相應(yīng)的服務(wù)而各個(gè)服務(wù)器可以進(jìn)一步而各個(gè)服務(wù)器可以進(jìn)一步采用采用訪問控制表訪問控制表進(jìn)行訪問進(jìn)行訪問控制控制第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證

15、和訪問控制 訪問控制表訪問控制表(ACL) VS 訪問能力表訪問能力表(CL)瀏覽瀏覽(特定客體特定客體)訪問權(quán)限：訪問權(quán)限：ACL-容易，容易，CL-困難困難訪問權(quán)限傳遞：訪問權(quán)限傳遞：ACL-困難，困難，CL-容易容易訪問權(quán)限回收：訪問權(quán)限回收：ACL-容易，容易，CL-困難困難第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證和訪問控制 訪問控制表訪問控制表(ACL) VS 訪問能力表訪問能力表(CL)-多數(shù)集中式操作系統(tǒng)使用多數(shù)集中式操作系統(tǒng)使用ACL方法或類似方式方法或類似方式-由于分布式系統(tǒng)中很難確定給定客體的潛在主由于分布式系統(tǒng)中很難確定給定客體的潛在主體集，在現(xiàn)代體集，在現(xiàn)代OS中中CL

16、也得到廣泛應(yīng)用也得到廣泛應(yīng)用第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證和訪問控制 訪問控制實(shí)現(xiàn)方法訪問控制實(shí)現(xiàn)方法-授權(quán)關(guān)系表授權(quán)關(guān)系表直接建立主體與客體的隸屬關(guān)系；直接建立主體與客體的隸屬關(guān)系；通過主體排序通過主體排序-得到能力關(guān)系表；得到能力關(guān)系表；通過客體排序通過客體排序-得到訪問控制表得到訪問控制表UserA Own Obj1UserA R Obj2UserA W Obj3UserB W Obj1UserB R Obj2第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證和訪問控制 訪問控制技術(shù)訪問控制技術(shù)- -自主訪問控制自主訪問控制DAC,Discretionary Access Control

17、 DAC是目前計(jì)算機(jī)系統(tǒng)中實(shí)現(xiàn)最多的訪問控制是目前計(jì)算機(jī)系統(tǒng)中實(shí)現(xiàn)最多的訪問控制機(jī)制，機(jī)制，它是在確認(rèn)主體身份以及（或）它們所屬組它是在確認(rèn)主體身份以及（或）它們所屬組的基礎(chǔ)上對訪問進(jìn)行限定的一種方法。的基礎(chǔ)上對訪問進(jìn)行限定的一種方法。傳統(tǒng)的傳統(tǒng)的DAC最早出現(xiàn)在上個(gè)世紀(jì)最早出現(xiàn)在上個(gè)世紀(jì)70年代初期的分時(shí)系統(tǒng)中，它年代初期的分時(shí)系統(tǒng)中，它是多用戶環(huán)境下最常用的一種訪問控制技術(shù)，在目是多用戶環(huán)境下最常用的一種訪問控制技術(shù)，在目前流行的前流行的Unix類操作系統(tǒng)中被普遍采用。類操作系統(tǒng)中被普遍采用?；舅枷牖舅枷?允許某個(gè)主體顯式地指定其他主體對該主允許某個(gè)主體顯式地指定其他主體對該主體所擁有

18、的信息資源是否可以訪問以及可執(zhí)行的訪體所擁有的信息資源是否可以訪問以及可執(zhí)行的訪問類型。問類型。第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證和訪問控制 訪問控制技術(shù)訪問控制技術(shù)- -自主訪問控制自主訪問控制DAC,Discretionary Access Control自主訪問自主訪問-有訪問許可的主體能夠向其他主體轉(zhuǎn)讓訪問權(quán)。有訪問許可的主體能夠向其他主體轉(zhuǎn)讓訪問權(quán)。特點(diǎn)特點(diǎn)-根據(jù)主體的身份和授權(quán)來決定訪問模式。根據(jù)主體的身份和授權(quán)來決定訪問模式。 -訪問控制的粒度是單個(gè)用戶。訪問控制的粒度是單個(gè)用戶。 缺點(diǎn)缺點(diǎn)-信息在移動(dòng)過程中其訪問權(quán)限關(guān)系會(huì)被改變。如用信息在移動(dòng)過程中其訪問權(quán)限關(guān)系會(huì)被改變

19、。如用戶戶A可將其對目標(biāo)可將其對目標(biāo)O的訪問權(quán)限傳遞給用戶的訪問權(quán)限傳遞給用戶B,從而使不具從而使不具備對備對O訪問權(quán)限的訪問權(quán)限的B可訪問可訪問O。第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證和訪問控制 訪問控制技術(shù)訪問控制技術(shù)- -強(qiáng)制訪問控制強(qiáng)制訪問控制MAC, Mandatory Access ControlMAC最早出現(xiàn)在最早出現(xiàn)在Multics系統(tǒng)中，在系統(tǒng)中，在1983美國美國國防部的國防部的TESEC中被用作為中被用作為B級安全系統(tǒng)的級安全系統(tǒng)的主要評價(jià)標(biāo)準(zhǔn)之一。主要評價(jià)標(biāo)準(zhǔn)之一。MAC的基本思想是：每的基本思想是：每個(gè)主體都有既定的安全屬性，每個(gè)客體也都個(gè)主體都有既定的安全屬性，

20、每個(gè)客體也都有既定安全屬性，主體對客體是否能執(zhí)行特有既定安全屬性，主體對客體是否能執(zhí)行特定的操作取決于兩者安全屬性之間的關(guān)系。定的操作取決于兩者安全屬性之間的關(guān)系。第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證和訪問控制 訪問控制技術(shù)訪問控制技術(shù)- -強(qiáng)制訪問控制強(qiáng)制訪問控制MAC, Mandatory Access Control系統(tǒng)對所有主體及其所控制的客體（例如：進(jìn)程、文件、系統(tǒng)對所有主體及其所控制的客體（例如：進(jìn)程、文件、段、設(shè)備）實(shí)施強(qiáng)制訪問控制。段、設(shè)備）實(shí)施強(qiáng)制訪問控制。為這些主體及客體指定為這些主體及客體指定敏感標(biāo)簽敏感標(biāo)簽，這些標(biāo)記是等級分類，這些標(biāo)記是等級分類和非等級類別的組合，

21、它們是實(shí)施強(qiáng)制訪問控制的依據(jù)。和非等級類別的組合，它們是實(shí)施強(qiáng)制訪問控制的依據(jù)。系統(tǒng)根據(jù)主體和客體的敏感標(biāo)記來決定訪問模式。系統(tǒng)根據(jù)主體和客體的敏感標(biāo)記來決定訪問模式。-敏感標(biāo)簽敏感標(biāo)簽 sensitivity label表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息，表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息，TCSEC中把敏感標(biāo)記作為強(qiáng)制訪問控制決策的依據(jù)。中把敏感標(biāo)記作為強(qiáng)制訪問控制決策的依據(jù)。如：絕密級，秘密級，機(jī)密級，無密級如：絕密級，秘密級，機(jī)密級，無密級第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證和訪問控制 訪問控制技術(shù)訪問控制技術(shù)- -強(qiáng)制訪問控制強(qiáng)制訪問控制MAC, Mand

22、atory Access Control特點(diǎn)：特點(diǎn)：-將主題和客體分級，根據(jù)主體和客體將主題和客體分級，根據(jù)主體和客體的級別標(biāo)記來決定訪問模式。的級別標(biāo)記來決定訪問模式。-其訪問控制關(guān)系分為：其訪問控制關(guān)系分為：下讀（下讀（read down）：用戶級別大于文件級別的讀操作。）：用戶級別大于文件級別的讀操作。上寫（上寫（Write up）：用戶級別小于文件級別的寫操作。）：用戶級別小于文件級別的寫操作。下寫（下寫（Write down）：用戶級別大于文件級別的寫操作。）：用戶級別大于文件級別的寫操作。上讀（上讀（read up）：用戶級別小于文件級別的讀操作。）：用戶級別小于文件級別的讀操作。

23、-MAC通過梯度安全標(biāo)簽實(shí)現(xiàn)單向信息流通模式。通過梯度安全標(biāo)簽實(shí)現(xiàn)單向信息流通模式。第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證和訪問控制 Bell-La Padula模型模型第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證和訪問控制 Biba安全模型安全模型第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證和訪問控制 -自主訪問控制自主訪問控制配置的粒度?。还ぷ髁看?；配置的粒度??；工作量大；DAC將賦予或取消訪將賦予或取消訪問權(quán)限的一部分權(quán)力留給最終用戶，管理員難以問權(quán)限的一部分權(quán)力留給最終用戶，管理員難以確定哪些用戶對哪些資源有訪問權(quán)限，不利于實(shí)確定哪些用戶對哪些資源有訪問權(quán)限，不利于實(shí)現(xiàn)統(tǒng)一的全局訪問控制?，F(xiàn)

24、統(tǒng)一的全局訪問控制。-強(qiáng)制訪問控制強(qiáng)制訪問控制配置的粒度大；缺乏靈活性；配置的粒度大；缺乏靈活性；缺點(diǎn)在于訪問級別缺點(diǎn)在于訪問級別的劃分不夠細(xì)致，在同級別之間缺乏控制機(jī)制。的劃分不夠細(xì)致，在同級別之間缺乏控制機(jī)制。第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證和訪問控制 訪問控制技術(shù)訪問控制技術(shù)- -基于角色的訪問控制基于角色的訪問控制RBAC,Role-Based Access Control -20世紀(jì)世紀(jì)70年代就已經(jīng)提出，但在相當(dāng)長的一年代就已經(jīng)提出，但在相當(dāng)長的一段時(shí)間內(nèi)沒有得到人們的關(guān)注。段時(shí)間內(nèi)沒有得到人們的關(guān)注。-進(jìn)入進(jìn)入90年代后，隨著安全需求的發(fā)展加之年代后，隨著安全需求的發(fā)展加

25、之R.S.Sandhu等人的倡導(dǎo)和推動(dòng)，等人的倡導(dǎo)和推動(dòng)，RBAC又引又引起了人們極大的關(guān)注起了人們極大的關(guān)注.第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證和訪問控制 訪問控制技術(shù)訪問控制技術(shù)- -基于角色的訪問控制基于角色的訪問控制RBAC,Role-Based Access Control用戶：可以獨(dú)立訪問資源的主體。用戶：可以獨(dú)立訪問資源的主體。角色：一個(gè)組織或任務(wù)中的工作或者位置，代表權(quán)利、資格和責(zé)任。角色：一個(gè)組織或任務(wù)中的工作或者位置，代表權(quán)利、資格和責(zé)任。-角色就是一個(gè)或是多個(gè)用戶可執(zhí)行的操作的集合，它體現(xiàn)了角色就是一個(gè)或是多個(gè)用戶可執(zhí)行的操作的集合，它體現(xiàn)了RBAC的基本思想，的基

26、本思想，即授權(quán)給用戶的訪問權(quán)限，通常由用戶在一個(gè)組織中擔(dān)當(dāng)?shù)慕巧珌泶_定。即授權(quán)給用戶的訪問權(quán)限，通常由用戶在一個(gè)組織中擔(dān)當(dāng)?shù)慕巧珌泶_定。-在銀行環(huán)境中，用戶角色可以定義為出納員、分行管理者、顧客、系統(tǒng)管理者和在銀行環(huán)境中，用戶角色可以定義為出納員、分行管理者、顧客、系統(tǒng)管理者和審計(jì)員審計(jì)員-但用戶不能自主地將訪問權(quán)限傳給他人，這一點(diǎn)是但用戶不能自主地將訪問權(quán)限傳給他人，這一點(diǎn)是RBAC和和DAC最基本的區(qū)別。最基本的區(qū)別。例如，在醫(yī)院里，醫(yī)生這個(gè)角色可以開處方，但他無權(quán)將開處方的權(quán)力傳給護(hù)士。例如，在醫(yī)院里，醫(yī)生這個(gè)角色可以開處方，但他無權(quán)將開處方的權(quán)力傳給護(hù)士。許可：允許的操作。許可：允許的

27、操作。多對多：用戶被分配一定角色，角色被分配一定的許可權(quán)多對多：用戶被分配一定角色，角色被分配一定的許可權(quán)角色與組的區(qū)別角色與組的區(qū)別組組:用戶集用戶集角色角色:用戶集權(quán)限集用戶集權(quán)限集第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證和訪問控制 基本模型基本模型-RBAC0許可許可(permission)-角色角色(role)-用戶用戶(user)-會(huì)話會(huì)話(session)RBAC中中許可許可被授權(quán)給被授權(quán)給角色角色，角色被授權(quán)給用戶，用戶不，角色被授權(quán)給用戶，用戶不直接與許可關(guān)聯(lián)。直接與許可關(guān)聯(lián)。RBAC對訪問權(quán)限的授權(quán)由管理員統(tǒng)一對訪問權(quán)限的授權(quán)由管理員統(tǒng)一管理，而且授權(quán)規(guī)定是強(qiáng)加給用戶的，這是

28、一種非自主管理，而且授權(quán)規(guī)定是強(qiáng)加給用戶的，這是一種非自主型集中式訪問控制方式。型集中式訪問控制方式。用戶用戶是一個(gè)靜態(tài)的概念，是一個(gè)靜態(tài)的概念，會(huì)話會(huì)話則是一個(gè)動(dòng)態(tài)的概念。則是一個(gè)動(dòng)態(tài)的概念。一個(gè)會(huì)話構(gòu)成一個(gè)用戶到多個(gè)角色的映射，即會(huì)話激活一個(gè)會(huì)話構(gòu)成一個(gè)用戶到多個(gè)角色的映射，即會(huì)話激活了用戶授權(quán)角色集的某個(gè)子集，這個(gè)子集稱為活躍角色了用戶授權(quán)角色集的某個(gè)子集，這個(gè)子集稱為活躍角色集。集?；钴S角色集決定了本次會(huì)話的許可集?；钴S角色集決定了本次會(huì)話的許可集。 第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證和訪問控制 單箭頭單箭頭-表示一，雙箭頭表示一，雙箭頭-表示多表示多模型模型 U Users R

29、 角色角色 P 許可許可約束 S會(huì)話會(huì)話用戶用戶角色角色PA許可分配許可分配UA用戶分配用戶分配RH角色層次角色層次RBAC3RBAC3RBAC1RBAC1RBAC2RBAC2第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證和訪問控制 通過角色定義、分配和設(shè)置適應(yīng)安全策略通過角色定義、分配和設(shè)置適應(yīng)安全策略-系統(tǒng)管理員定義系統(tǒng)中的各種角色，每種角色可以完成系統(tǒng)管理員定義系統(tǒng)中的各種角色，每種角色可以完成一定的職能，不同的用戶根據(jù)其職能和責(zé)任被賦予相應(yīng)一定的職能，不同的用戶根據(jù)其職能和責(zé)任被賦予相應(yīng)的角色，一旦某個(gè)用戶成為某角色的成員，則此用戶可的角色，一旦某個(gè)用戶成為某角色的成員，則此用戶可以完成該角

30、色所具有的職能。以完成該角色所具有的職能。-根據(jù)組織的安全策略特定的崗位定義為特定的角色、特根據(jù)組織的安全策略特定的崗位定義為特定的角色、特定的角色授權(quán)給特定的用戶。例如可以定義某些角色接定的角色授權(quán)給特定的用戶。例如可以定義某些角色接近近DAC，某些角色接近，某些角色接近MAC。-系統(tǒng)管理員也可以根據(jù)需要設(shè)置角色的可用性以適應(yīng)某系統(tǒng)管理員也可以根據(jù)需要設(shè)置角色的可用性以適應(yīng)某一階段企業(yè)的安全策略，例如設(shè)置所有角色在所有時(shí)間一階段企業(yè)的安全策略，例如設(shè)置所有角色在所有時(shí)間內(nèi)可用、特定角色在特定時(shí)間內(nèi)可用、用戶授權(quán)角色的內(nèi)可用、特定角色在特定時(shí)間內(nèi)可用、用戶授權(quán)角色的子集在特定時(shí)間內(nèi)可用。子集在

31、特定時(shí)間內(nèi)可用。第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證和訪問控制 容易實(shí)現(xiàn)最小特權(quán)（容易實(shí)現(xiàn)最小特權(quán)（least privilege）原則原則-保持完整性保持完整性-最小特權(quán)原則是指用戶所擁有的權(quán)力不能超過最小特權(quán)原則是指用戶所擁有的權(quán)力不能超過他執(zhí)行工作時(shí)所需的權(quán)限。他執(zhí)行工作時(shí)所需的權(quán)限。-使用使用RBAC能夠容易地實(shí)現(xiàn)最小特權(quán)原則。能夠容易地實(shí)現(xiàn)最小特權(quán)原則。-在在RBAC中，系統(tǒng)管理員可以根據(jù)組織內(nèi)的規(guī)章中，系統(tǒng)管理員可以根據(jù)組織內(nèi)的規(guī)章制度、職員的分工等設(shè)計(jì)擁有不同權(quán)限的角色，制度、職員的分工等設(shè)計(jì)擁有不同權(quán)限的角色，只有角色需要執(zhí)行的操作才授權(quán)給角色。當(dāng)一個(gè)只有角色需要執(zhí)行的操作才授權(quán)給角色。當(dāng)一個(gè)主體要訪問某資源時(shí)主體要訪問某資源時(shí),如果該操作不在主體當(dāng)前如果該操作不在主體當(dāng)前活躍角色的授權(quán)操作之內(nèi)，該訪問將被拒絕?；钴S角色的授權(quán)操作之內(nèi)，該訪問將被拒絕。第四章第四章 身份認(rèn)證和訪問控制身份認(rèn)證和訪問控制 層次模型層次模型RBAC1-角色分層角色分層-組織結(jié)構(gòu)中通常存在一種上、下級關(guān)系，上一級擁有下一級的全部權(quán)限組織結(jié)構(gòu)中通常存在一種上、下級關(guān)系，上一級擁有下一級的全部權(quán)限