第6章訪問控制-劉

1、第6章訪問控制主要內(nèi)容 訪問控制概述 訪問控制策略 訪問控制模型 訪問控制的實現(xiàn) 訪問控制與審計訪問控制概述 訪問控制的有關(guān)概念 訪問控制的策略和機(jī)制 授權(quán)管理4訪問控制的概念和目標(biāo) 一般概念： 訪問控制是針對越權(quán)使用資源的防御措施。 基本目標(biāo)： 防止對任何資源（如計算資源、通信資源或信息資源）進(jìn)行未授權(quán)的訪問，從而使計算機(jī)系統(tǒng)在合法范圍內(nèi)使用。決定用戶能做什么，也決定代表一定用戶的程序能做什么。 未授權(quán)的訪問包括：未經(jīng)授權(quán)的使用、泄露、修改、銷毀信息以及頒發(fā)指令等。 非法用戶進(jìn)入系統(tǒng)。 合法用戶對系統(tǒng)資源的非法使用。5訪問控制的作用 訪問控制對機(jī)密性機(jī)密性、完整性完整性起直接的作用。 對于可

2、用性可用性，訪問控制通過對以下信息的有效控制來實現(xiàn)：（1）誰可以頒發(fā)影響網(wǎng)絡(luò)可用性的網(wǎng)絡(luò)管理指令（2）誰能夠濫用資源以達(dá)到占用資源的目的（3）誰能夠獲得可以用于拒絕服務(wù)攻擊的信息6主體、客體和授權(quán) 客體（客體（Object）：規(guī)定需要保護(hù)的資源，又稱作目標(biāo)（target)。 主體（主體（Subject）：或稱為發(fā)起者(Initiator)，是一個主動的實體，規(guī)定可以訪問該資源的實體，（通常指用戶或代表用戶執(zhí)行的程序）。 授權(quán)（授權(quán)（Authorization)：規(guī)定可對該資源執(zhí)行的動作（例如讀、寫、執(zhí)行或拒絕訪問）。 一個主體為了完成任務(wù)，可以創(chuàng)建另外的主體，這些子主體可以在網(wǎng)絡(luò)上不同的計算機(jī)

3、上運(yùn)行，并由父主體控制它們。 主客體的關(guān)系是相對的。7訪問控制模型基本組成 發(fā)起者發(fā)起者Initiator訪問控制實施功能訪問控制實施功能AEF訪問控制決策功能訪問控制決策功能ADF目標(biāo)目標(biāo)Target提交訪問請求提交訪問請求SubmiSubmit tA Access Requestccess Request提出訪問請求提出訪問請求PresentAccess Request請求決策請求決策Decision Request決策決策Decision8授權(quán)信息訪問控制與其他安全機(jī)制的關(guān)系 認(rèn)證、授權(quán)、審計（AAA）Log身份認(rèn)證身份認(rèn)證訪問控制訪問控制審計審計授權(quán)（授權(quán)（authorization）

4、主體主體客體客體9訪問控制策略與機(jī)制 訪問控制策略：是對訪問如何控制,如何作出訪問決定的高層指南 訪問控制機(jī)制：是訪問控制策略的軟硬件低層實現(xiàn)訪問控制機(jī)制與策略獨立，可允許安全機(jī)制的重用安全策略和機(jī)制根據(jù)應(yīng)用環(huán)境靈活使用10如何決定訪問權(quán)限 用戶分類 資源 訪問規(guī)則11用戶的分類（1）特殊的用戶：系統(tǒng)管理員，具有最高級別的特權(quán)，可以訪問任何資源，并具有任何類型的訪問操作能力（2）一般的用戶：最大的一類用戶，他們的訪問操作受到一定限制，由系統(tǒng)管理員分配（3）作審計的用戶：負(fù)責(zé)整個安全系統(tǒng)范圍內(nèi)的安全控制與資源使用情況的審計（4）作廢的用戶：被系統(tǒng)拒絕的用戶。12資源 需要保護(hù)的系統(tǒng)資源： 磁盤與

5、磁帶卷標(biāo) 遠(yuǎn)程終端 信息管理系統(tǒng)的事務(wù)處理及其應(yīng)用 數(shù)據(jù)庫中的數(shù)據(jù) 應(yīng)用資源13訪問規(guī)則 規(guī)定若干條件下，可準(zhǔn)許訪問的資源。 規(guī)則使用戶與資源配對，指定該用戶可在該資源上執(zhí)行哪些操作，如只讀、不許執(zhí)行或不許訪問。 由系統(tǒng)管理人員來應(yīng)用這些規(guī)則，由硬件或軟件的安全內(nèi)核部分負(fù)責(zé)實施。14訪問控制的一般實現(xiàn)機(jī)制和方法l 一般實現(xiàn)機(jī)制： 基于訪問控制屬性 訪問控制表/矩陣 基于用戶和資源分級（“安全標(biāo)簽”） 多級訪問控制l 常見實現(xiàn)方法： 訪問控制表ACLs（Access Control Lists) 訪問能力表（Capabilities) 授權(quán)關(guān)系表15訪問控制矩陣任何訪問控制策略最終均可被模型化為

6、訪問矩陣形式：任何訪問控制策略最終均可被模型化為訪問矩陣形式：行對應(yīng)于用戶，列對應(yīng)于目標(biāo)，每個矩陣元素規(guī)定了相應(yīng)行對應(yīng)于用戶，列對應(yīng)于目標(biāo)，每個矩陣元素規(guī)定了相應(yīng)的用戶對應(yīng)于相應(yīng)的目標(biāo)被準(zhǔn)予的訪問許可、實施行為。的用戶對應(yīng)于相應(yīng)的目標(biāo)被準(zhǔn)予的訪問許可、實施行為。file1file2file3file4account1account2JackownrwownrwinquirycreditMaryrownrwwrinquirydebitinquirycreditLilyrwrownrwinquirydebit16 上表是一個訪問控制矩陣的例子。在這個例子中，Jack、Mary、Lily是三個主體，

7、客體有四個文件（file）和兩個賬戶（account）。從該訪問控制矩陣可以看出，Jack是file1、file3的擁有者（own），而且能夠?qū)ζ溥M(jìn)行讀（r）、寫操作（w），但是Jack對 file2、file4就沒有訪問權(quán)。需要注意的是擁有者的確切含義會因不同的系統(tǒng)而擁有不同的含義，通常一個文件的擁有（own）權(quán)限表示可以授予（authorize）或者撤銷（revoke）其他用戶對該文件的訪問控制權(quán)限，比如Jack擁有file1的own權(quán)限，他就可以授予Mary讀或者Lily讀、寫的權(quán)限，也可以撤銷給予他們的權(quán)限。17 對賬戶的訪問權(quán)限展示了訪問可以被應(yīng)用程序的抽象操作所控制。 查詢（查詢

8、（inquiry）操作與讀操作類似，它只檢索數(shù)據(jù)而并）操作與讀操作類似，它只檢索數(shù)據(jù)而并不改動數(shù)據(jù)。不改動數(shù)據(jù)。 借（借（debit）操作和貸（）操作和貸（credit）操作與寫操作類似，要）操作與寫操作類似，要對原始數(shù)據(jù)進(jìn)行改動，都會涉及讀原先賬戶平衡信息、對原始數(shù)據(jù)進(jìn)行改動，都會涉及讀原先賬戶平衡信息、改動并重寫。實現(xiàn)這兩種操作的應(yīng)用程序需要有對賬戶改動并重寫。實現(xiàn)這兩種操作的應(yīng)用程序需要有對賬戶數(shù)據(jù)的讀、寫權(quán)限，而用戶并不允許直接對數(shù)據(jù)進(jìn)行讀數(shù)據(jù)的讀、寫權(quán)限，而用戶并不允許直接對數(shù)據(jù)進(jìn)行讀寫，他們只能通過已經(jīng)實現(xiàn)借、貸操作的應(yīng)用程序來間寫，他們只能通過已經(jīng)實現(xiàn)借、貸操作的應(yīng)用程序來間接操

9、作數(shù)據(jù)。接操作數(shù)據(jù)。18訪問控制矩陣訪問控制矩陣 實際的系統(tǒng)中雖然可能有很多的主體和客體，但主體和客體之間的關(guān)系可能并不多，這樣的話就存在著很多的空白項。為了減輕系統(tǒng)開銷與浪費(fèi)，我們可以從主體（行）出發(fā)，表達(dá)矩陣某一行的信息，這就是訪問能力表（capability）。也可以從客體（列）出發(fā)，表達(dá)矩陣某一列的信息，這便成了訪問控制表（access control list）。 能力（capability）是受一定機(jī)制保護(hù)的客體標(biāo)志，標(biāo)記了客體以及主體（訪問者）對客體的訪問權(quán)限。只有當(dāng)一個主體對某個客體擁有訪問能力的時候，它才能訪問這個客體。19file1ownr wfile3file1own r

10、 wfile2file3file4file1file4file2own r wown r wrrwr wrJackMaryLily每個主體都附加一個該主體可訪問的客體的明細(xì)表。每個主體都附加一個該主體可訪問的客體的明細(xì)表。20 在訪問能力表中，很容易獲得一個主體所授權(quán)可以訪問的客體及其權(quán)限，但如果要求獲得對某一特定客體有特定權(quán)限的所有主體就比較困難。 在一個安全系統(tǒng)中，正是客體本身需要得到可靠的保護(hù)，訪問控制服務(wù)也應(yīng)該能夠控制可訪問某一客體的主體集合，能夠授予或取消主體的訪問權(quán)限，于是出現(xiàn)了以客體為出發(fā)點的實現(xiàn)方式ACL（訪問控制表）， 現(xiàn)代的操作系統(tǒng)都大體上采用基于ACL的方法。21Mary

11、own r wwJackown r wMarywLilyMaryrMaryrLily r wLilyrJackown r wown r wfile1file2file3file4每個客體附加一每個客體附加一個它可以訪問的個它可以訪問的主體的明細(xì)表主體的明細(xì)表。22 ACL的優(yōu)點：表述直觀、易于理解，而且比較容易查出對某一特定資源擁有訪問權(quán)限的所有用戶，有效地實施授權(quán)管理。 ACL的缺點：ACL需要對每個資源指定可以訪問的用戶或組以及相應(yīng)的權(quán)限。訪問控制的授權(quán)管理費(fèi)力而繁瑣，且容易出錯。單純使用ACL，不易實現(xiàn)最小權(quán)限原則及復(fù)雜的安全策略。23ACL、CL訪問方式比較 鑒別方面：二者需要鑒別的實

12、體不同 保存位置不同 訪問權(quán)限傳遞 ACL:困難，CL：容易 訪問權(quán)限回收 ACL:容易，CL：困難24ACL、CL訪問方式比較(續(xù)) 多數(shù)集中式操作系統(tǒng)使用ACL方法或類似方式 由于分布式系統(tǒng)中很難確定給定客體的潛在主體集，在現(xiàn)代OS中CL也得到廣泛應(yīng)用25 ACL和CL的方法都有自身的不足與優(yōu)勢，所以引入另一種方法授權(quán)關(guān)系表（authorization relations）。 每一行（或稱一個元組）表示了主體和客體的一個權(quán)限關(guān)系，因此Jack訪問file1的權(quán)限關(guān)系需要3行。 如果這張表按客體進(jìn)行排序的話，我們就可以擁有訪問控制表的優(yōu)勢，如果按主體進(jìn)行排序的話，那我們又擁有了訪問能力表的好

13、處。這種實現(xiàn)方式也特別適合采用關(guān)系數(shù)據(jù)庫。26主體訪問權(quán)限客體Jackownfile1Jackrfile1Jackwfile1Jackownfile3Jackrfile3Jackwfile327訪問控制矩陣的表示方法訪問控制矩陣的表示方法 訪問控制機(jī)制可以用一個三元組來表示（S,O,M） 主體的集合 S=s1,s2,sm 客體的集合 O=o1,o2,on 所有操作的集合 A=R, W, E, 訪問控制矩陣 M= S O 2AlkijjiijjiaWRaosMaOoSs,的操作。比如允許對決定存在對于任意mnmmnnaaaaaaaaaM.10111100010028訪問控制矩陣的表示方法訪問控制

14、矩陣的表示方法 矩陣的的i行Si表示了主體si對所有客體的操作權(quán)限，稱為主體si的能力表(Capability List) 矩陣的第j列Oj表示客體oj所允許的所有主體的操作，稱為oj的訪問控制表（ACL）nmmnmmnnOOOSSSaaaaaaaaaM.2121101111000100主流訪問控制策略主流訪問控制策略 目前的主流訪問控制策略有：目前的主流訪問控制策略有：1. 自主訪問控制（自主訪問控制（DAC）2. 強(qiáng)制訪問控制（強(qiáng)制訪問控制（MAC）3. 基于角色的訪問控制（基于角色的訪問控制（RBAC） 自主訪問控制和強(qiáng)制訪問控制，都是由主自主訪問控制和強(qiáng)制訪問控制，都是由主體和訪問權(quán)限

15、直接發(fā)生關(guān)系，主要針對用體和訪問權(quán)限直接發(fā)生關(guān)系，主要針對用戶個人授予權(quán)限。戶個人授予權(quán)限。30 自主自主訪問控制訪問控制強(qiáng)制強(qiáng)制訪問控制訪問控制基于角色基于角色訪問控制訪問控制訪問控制訪問控制訪問控制的一般策略訪問控制的一般策略31 自主訪問控制自主訪問控制DAC（discretionary access control）是目是目前計算機(jī)系統(tǒng)中實現(xiàn)最多的訪問控制機(jī)制。前計算機(jī)系統(tǒng)中實現(xiàn)最多的訪問控制機(jī)制。 DAC是在確認(rèn)主體身份及所屬組的基礎(chǔ)上，根據(jù)訪問者的身是在確認(rèn)主體身份及所屬組的基礎(chǔ)上，根據(jù)訪問者的身份和授權(quán)來決定訪問模式，對訪問進(jìn)行限定的一種控制策略。份和授權(quán)來決定訪問模式，對訪問進(jìn)

16、行限定的一種控制策略。 所謂所謂自主自主，是指具有授予某種訪問權(quán)力的主體（用戶）能夠，是指具有授予某種訪問權(quán)力的主體（用戶）能夠自己決定是否將訪問控制權(quán)限的某個子集授予其他的主體或自己決定是否將訪問控制權(quán)限的某個子集授予其他的主體或從其他主體那里收回他所授予的訪問權(quán)限。從其他主體那里收回他所授予的訪問權(quán)限。 其基本思想是：允許某個主體顯式地指定其他主體對該主體其基本思想是：允許某個主體顯式地指定其他主體對該主體所擁有的信息資源是否可以訪問以及可執(zhí)行的訪問類型。所擁有的信息資源是否可以訪問以及可執(zhí)行的訪問類型。DAC將訪問規(guī)則存儲在訪問控制矩陣中，通過訪問控制矩陣將訪問規(guī)則存儲在訪問控制矩陣中，

17、通過訪問控制矩陣可以很清楚地了解可以很清楚地了解DAC。32 DAC的優(yōu)點是其自主性為用戶提供了極大的靈活性，從而使之適用于許多系統(tǒng)和應(yīng)用。 由于這種自主性，在DAC中，信息總是可以從一個實體流向另一個實體，即使對于高度機(jī)密的信息也是如此，因此自主訪問控制的安全級別較低。另外，由于同一用戶對不同的客體有不同的存取權(quán)限，不同的用戶對同一客體有不同的存取權(quán)限，用戶、權(quán)限、客體間的授權(quán)管理復(fù)雜。33 DAC將賦予或取消訪問權(quán)限的一部分權(quán)力留給用戶個人，將賦予或取消訪問權(quán)限的一部分權(quán)力留給用戶個人，管理員難以確定哪些用戶對那些資源有訪問權(quán)限，不利于管理員難以確定哪些用戶對那些資源有訪問權(quán)限，不利于實現(xiàn)

18、統(tǒng)一的全局訪問控制。實現(xiàn)統(tǒng)一的全局訪問控制。 在許多組織中，用戶對他所能訪問的資源并不具有所有權(quán)，在許多組織中，用戶對他所能訪問的資源并不具有所有權(quán)，組織本身才是系統(tǒng)中資源的真正所有者。組織本身才是系統(tǒng)中資源的真正所有者。 各組織一般希望訪問控制與授權(quán)機(jī)制的實現(xiàn)結(jié)果能與組織各組織一般希望訪問控制與授權(quán)機(jī)制的實現(xiàn)結(jié)果能與組織內(nèi)部的規(guī)章制度相一致，并且由管理部門統(tǒng)一實施訪問控內(nèi)部的規(guī)章制度相一致，并且由管理部門統(tǒng)一實施訪問控制，不允許用戶自主地處理。顯然制，不允許用戶自主地處理。顯然DAC已不能適應(yīng)這些需已不能適應(yīng)這些需求。求。34 強(qiáng)制訪問控制強(qiáng)制訪問控制MAC（mandatory access

19、 control）依據(jù)主體和客體的安全級別來決定主體對客體的訪問依據(jù)主體和客體的安全級別來決定主體對客體的訪問權(quán)。權(quán)。 最典型的例子是最典型的例子是Bell and LaPadula提出的提出的BLP模型模型。 BLP模型以軍事部門的安全控制作為其現(xiàn)實基礎(chǔ)，恰模型以軍事部門的安全控制作為其現(xiàn)實基礎(chǔ)，恰當(dāng)?shù)伢w現(xiàn)了軍事部門的安全策略，然后用到計算機(jī)的當(dāng)?shù)伢w現(xiàn)了軍事部門的安全策略，然后用到計算機(jī)的安全設(shè)計中去。它側(cè)重于信息的保密性。安全設(shè)計中去。它側(cè)重于信息的保密性。 BLP模型已經(jīng)成為許多系統(tǒng)或原型實現(xiàn)的理論基礎(chǔ)。模型已經(jīng)成為許多系統(tǒng)或原型實現(xiàn)的理論基礎(chǔ)。35 在在BLP模型中，所有的主體和客體都

20、有一個安全標(biāo)簽，它只模型中，所有的主體和客體都有一個安全標(biāo)簽，它只能由安全管理員賦值，普通用戶不能改變。這個安全標(biāo)簽就能由安全管理員賦值，普通用戶不能改變。這個安全標(biāo)簽就是是安全級安全級，客體的安全級表現(xiàn)了客體中所含信息的，客體的安全級表現(xiàn)了客體中所含信息的敏感程度敏感程度，而主體的安全級別則反映了主體對敏感信息的而主體的安全級別則反映了主體對敏感信息的可信程度可信程度。 在一般情況下，安全級是線性有序的。用在一般情況下，安全級是線性有序的。用標(biāo)志主體或客體的標(biāo)志主體或客體的安全標(biāo)簽，當(dāng)主體訪問客體時，需滿足如下兩條規(guī)則：安全標(biāo)簽，當(dāng)主體訪問客體時，需滿足如下兩條規(guī)則： （1）簡單安全屬性：如

21、果主體）簡單安全屬性：如果主體s能夠讀客體能夠讀客體o，則，則(s)(o) （2）保密安全屬性：如果主體）保密安全屬性：如果主體(s)能夠?qū)懣腕w能夠?qū)懣腕wo，則，則(s)(o)36 BLP模型中，主體按照模型中，主體按照“向下讀，向上寫向下讀，向上寫”的原則訪問客的原則訪問客體，即只有當(dāng)主體的密級不小于客體的密級并且主體的范體，即只有當(dāng)主體的密級不小于客體的密級并且主體的范圍包含客體的范圍時，主體才能讀取客體中的數(shù)據(jù)；只有圍包含客體的范圍時，主體才能讀取客體中的數(shù)據(jù)；只有當(dāng)主體的密級不大于客體的密級，并且主體的范圍包括客當(dāng)主體的密級不大于客體的密級，并且主體的范圍包括客體的范圍時，主體才能向客

22、體中寫數(shù)據(jù)。體的范圍時，主體才能向客體中寫數(shù)據(jù)。 BLP模型保證了客體的高度安全性，它的最大優(yōu)點是：它模型保證了客體的高度安全性，它的最大優(yōu)點是：它使得系統(tǒng)中的信息流程為單向不可逆的，保證了信息流總使得系統(tǒng)中的信息流程為單向不可逆的，保證了信息流總是低安全級別的實體流向高安全級別的實體。是低安全級別的實體流向高安全級別的實體。 系統(tǒng)通過比較主體和客體的系統(tǒng)通過比較主體和客體的安全標(biāo)簽安全標(biāo)簽來決定一個主體是否來決定一個主體是否能夠訪問某個客體。用戶的程序不能改變他自己及任何其能夠訪問某個客體。用戶的程序不能改變他自己及任何其它客體的敏感標(biāo)記，從而系統(tǒng)可以防止病毒（如特洛伊木它客體的敏感標(biāo)記，從

23、而系統(tǒng)可以防止病毒（如特洛伊木馬）的攻擊。馬）的攻擊。37BLP模型的信息流規(guī)則 Bell-LaPadula的例子 39 由于由于MAC策略是通過梯度安全標(biāo)簽實現(xiàn)信息的單向流通，從策略是通過梯度安全標(biāo)簽實現(xiàn)信息的單向流通，從而很好地阻止特洛伊木馬的泄漏，也因此而避免了在自主訪而很好地阻止特洛伊木馬的泄漏，也因此而避免了在自主訪問控制中的敏感信息泄漏的情況。問控制中的敏感信息泄漏的情況。 缺點是限制了高安全級別用戶向非敏感客體寫數(shù)據(jù)的合理要缺點是限制了高安全級別用戶向非敏感客體寫數(shù)據(jù)的合理要求，而且由高安全級別的主體擁有的數(shù)據(jù)永遠(yuǎn)不能被低安全求，而且由高安全級別的主體擁有的數(shù)據(jù)永遠(yuǎn)不能被低安全級

24、別的主體訪問，級別的主體訪問，降低了系統(tǒng)的可用性降低了系統(tǒng)的可用性。BLP模型的模型的“向上向上寫寫”的策略使得低安全級別的主體篡改敏感數(shù)據(jù)成為可能，的策略使得低安全級別的主體篡改敏感數(shù)據(jù)成為可能，破壞了系統(tǒng)的數(shù)據(jù)完整性。另外強(qiáng)制訪問控制破壞了系統(tǒng)的數(shù)據(jù)完整性。另外強(qiáng)制訪問控制MAC由于過于由于過于偏重保密性，造成實現(xiàn)工作量太大，管理不便，靈活性差。偏重保密性，造成實現(xiàn)工作量太大，管理不便，靈活性差。40自主自主/ /強(qiáng)制訪問的問題強(qiáng)制訪問的問題 自主訪問控制自主訪問控制 配置的粒度小配置的粒度小 配置的工作量大，效率低配置的工作量大，效率低 強(qiáng)制訪問控制強(qiáng)制訪問控制 配置的粒度大配置的粒度大

25、 缺乏靈活性缺乏靈活性3. 基于角色的策略 基于角色的訪問控制基于角色的訪問控制 (role-based policies，RBAC) 基本思路：管理員創(chuàng)建角色，給角色分配權(quán)限，給角色分基本思路：管理員創(chuàng)建角色，給角色分配權(quán)限，給角色分配用戶，角色所屬的用戶可以執(zhí)行相應(yīng)的權(quán)限配用戶，角色所屬的用戶可以執(zhí)行相應(yīng)的權(quán)限41增加一層間接性帶來了靈活性增加一層間接性帶來了靈活性42角色的定義 每個角色與一組用戶和有關(guān)的動作相互關(guān)聯(lián)，角色中所屬的用戶可以有權(quán)執(zhí)行這些操作 A role can be defined as a set of actions and responsibilities asso

26、ciated with a particular working activity. 角色與組的區(qū)別 組：一組用戶的集合 角色：一組用戶的集合 + 一組操作權(quán)限的集合43基于角色的訪問控制的實例 在銀行環(huán)境中，用戶角色可以定義為出納員、分行管理者、顧客、系統(tǒng)管理者和審計員 訪問控制策略的一個例子如下：（1）允許一個出納員修改顧客的帳號記錄（包括存款和取款、轉(zhuǎn)帳等），并允許查詢所有帳號的注冊項（2）允許一個分行管理者修改顧客的帳號記錄（包括存款和取款，但不包括規(guī)定的資金數(shù)目的范圍）并允許查詢所有帳號的注冊項，也允許創(chuàng)建和終止帳號（3）允許一個顧客只詢問他自己的帳號的注冊項（4）允許系統(tǒng)的管理者詢

27、問系統(tǒng)的注冊項和開關(guān)系統(tǒng)，但不允許讀或修改用戶的帳號信息（5）允許一個審計員讀系統(tǒng)中的任何數(shù)據(jù)，但不允許修改任何事情44RBAC的安全原則3條安全原則:最小權(quán)限最小權(quán)限:只把必須的權(quán)限分配給角色只把必須的權(quán)限分配給角色責(zé)任分離責(zé)任分離(separation of duties)多個互斥的角色合作完成重要工作多個互斥的角色合作完成重要工作數(shù)據(jù)抽象數(shù)據(jù)抽象:可以定義抽象的權(quán)限，而不僅僅是可以定義抽象的權(quán)限，而不僅僅是OS中的讀、寫、中的讀、寫、執(zhí)行等執(zhí)行等45NIST RBAC參考模型 Proposed by NIST in 2000 基本RBAC（Core RBAC） 分級RBAC（Hierar

28、chical RBAC） 靜態(tài)責(zé)任分離（Static Separation of Duty Relations） 動態(tài)責(zé)任分離（Dynamic Separation of Duty relations）46基本 RBAC 包括五個基本數(shù)據(jù)元素包括五個基本數(shù)據(jù)元素:用戶users(USERS)角色roles（ROLES）目標(biāo)objects（OBS）操作operations(OPS)許可權(quán)permissions(PRMS) 關(guān)系：多對多，用戶被分配一定角色，角色被分配一定的許可權(quán) 會話sessions: 是用戶與激活的角色集合之間的映射47基本RBAC USERS: 可以是人、設(shè)備、進(jìn)程可以是人、

29、設(shè)備、進(jìn)程Permission:是對被保護(hù)目標(biāo)執(zhí)行是對被保護(hù)目標(biāo)執(zhí)行OPS的許可的許可UA: user assignment relations PA :permission assignment relationsSession_roles:session激活的角色激活的角色User_sessions:與用戶相聯(lián)系的會話集合與用戶相聯(lián)系的會話集合 48幾點說明 (1) session由用戶控制，允許動態(tài)激活/取消角色，實現(xiàn)最小特權(quán)。應(yīng)避免同時激活所有角色 (2) session和user分離可以解決同一用戶多賬號帶來的問題，如審計、計賬等49等級 RBAC 角色的結(jié)構(gòu)化分層是反映一個組織的授

30、權(quán)和責(zé)任的自然角色的結(jié)構(gòu)化分層是反映一個組織的授權(quán)和責(zé)任的自然方式。方式。 定義了角色的繼承關(guān)系定義了角色的繼承關(guān)系Role r1 “inherits” role r2,角色角色r2的權(quán)限同樣是的權(quán)限同樣是r1的權(quán)限。的權(quán)限。 角色繼承：角色繼承：角色繼承有自己的屬性，但可能還繼承其他角色的許可。角色繼承可以用祖先關(guān)系來表示。角色2是角色1的“父親”，它包含角色1的許可。 心臟病專家心臟病專家風(fēng)濕病專家風(fēng)濕病專家2 21專家專家醫(yī)生醫(yī)生護(hù)士護(hù)士51有約束的RBAC 增加了責(zé)任分離，用于解決利益的沖突，增加了責(zé)任分離，用于解決利益的沖突，防止用戶超越權(quán)限防止用戶超越權(quán)限 靜態(tài)責(zé)任分離（Stati

31、c Separation of Duty Relations） 動態(tài)責(zé)任分離（Dynamic Separation of Duty relations）52靜態(tài)責(zé)任分離 對用戶分配的角色進(jìn)行約束，也就是當(dāng)用戶被分對用戶分配的角色進(jìn)行約束，也就是當(dāng)用戶被分配給一個角色時，禁止其成為第二個角色配給一個角色時，禁止其成為第二個角色。53動態(tài)責(zé)任分離 DSD與SSD類似，要限制一個用戶的許可權(quán) SSD直接在用戶的許可空間進(jìn)行約束直接在用戶的許可空間進(jìn)行約束 DSD通過對用戶會話過程進(jìn)行約束通過對用戶會話過程進(jìn)行約束 對最小特權(quán)提供支持：在不同的時間擁有不同的權(quán)限對最小特權(quán)提供支持：在不同的時間擁有不同

32、的權(quán)限用戶登錄時向身份認(rèn)證模塊發(fā)送用戶標(biāo)識、用戶口令，確證用戶身份。會話管理模塊從RBAC數(shù)據(jù)庫檢索該用戶的授權(quán)角色集并送回用戶。用戶從中選擇本次會話的活躍角色集，在此過程中會話管理模塊維持動態(tài)角色互斥。會話創(chuàng)建成功，本次會話的授權(quán)許可體現(xiàn)在菜單與按扭上，如不可用顯示為灰色。在此會話過程中，系統(tǒng)管理員若要更改角色或許可，可在此會話結(jié)束后進(jìn)行或終止此會話立即進(jìn)行。 RBACRBAC系統(tǒng)的運(yùn)行步驟系統(tǒng)的運(yùn)行步驟 55RBACRBAC的優(yōu)勢的優(yōu)勢 便于授權(quán)管理便于授權(quán)管理，如系統(tǒng)管理員需要修改系統(tǒng)設(shè)置等內(nèi)，如系統(tǒng)管理員需要修改系統(tǒng)設(shè)置等內(nèi)容時，必須有幾個不同角色的用戶到場方能操作，從容時，必須有幾個

33、不同角色的用戶到場方能操作，從而保證了安全性。而保證了安全性。 便于根據(jù)工作需要分級便于根據(jù)工作需要分級，如企業(yè)財務(wù)部門與非財力部，如企業(yè)財務(wù)部門與非財力部門的員工對企業(yè)財務(wù)的訪問權(quán)就可由財務(wù)人員這個角門的員工對企業(yè)財務(wù)的訪問權(quán)就可由財務(wù)人員這個角色來區(qū)分。色來區(qū)分。 便于賦于最小特權(quán)便于賦于最小特權(quán)，如即使用戶被賦于高級身份時也，如即使用戶被賦于高級身份時也未必一定要使用，以便減少損失。只有必要時方能擁未必一定要使用，以便減少損失。只有必要時方能擁有特權(quán)。有特權(quán)。 便于任務(wù)分擔(dān)便于任務(wù)分擔(dān)，不同的角色完成不同的任務(wù)。，不同的角色完成不同的任務(wù)。 便于文件分級管理便于文件分級管理，文件本身也可

34、分為不同的角色，文件本身也可分為不同的角色，如信件、賬單等，由不同角色的用戶擁有。如信件、賬單等，由不同角色的用戶擁有。其他訪問控制策略 基于任務(wù)（基于任務(wù)（Task-Based）的訪問控制）的訪問控制 基于屬性的訪問控制基于屬性的訪問控制 使用控制使用控制 信任管理（信任管理（Trust Management） 數(shù)字版權(quán)管理（數(shù)字版權(quán)管理（DRM）5657授權(quán)管理 授權(quán)管理決定誰能被授權(quán)修改允許的訪問 強(qiáng)制訪問控制的授權(quán)管理自主訪問控制的授權(quán)管理角色訪問控制的授權(quán)管理 58強(qiáng)制訪問控制的授權(quán)管理 在強(qiáng)制訪問控制中，訪問控制完全是根據(jù)主體和客體的安全級別決定。其中主體（用戶、進(jìn)程）的安全級別是由系統(tǒng)安全管理員賦予用戶，而客體的安全級別則由系統(tǒng)根據(jù)創(chuàng)建它們的用戶的安全級別決定。因此，強(qiáng)制訪問控制的授權(quán)管理策略是比較簡單的，只有安全管理員能夠改變主體和客體的安全級別。 59自主訪問控制的授權(quán)管理 集中式管理：集中式管理：單個的管理者或組對用戶進(jìn)行訪問控制授權(quán)和授權(quán)撤消。 分級式管理：分級式管理：一個中心管理者把管理責(zé)任分配給其它管理員，這些管理員再對用戶進(jìn)行訪問授權(quán)和授權(quán)撤消。分級式管理可以根據(jù)組織結(jié)構(gòu)而實行。 所屬權(quán)管理：所屬權(quán)管理：如果一個用戶是一個客體的所有者，則該用戶可以對其它用戶訪問該客