第八章訪問控制

1、在登錄過程中加入不確定因素，使每次登錄過程中傳送的信息都不相同確定口令的方法： 口令序列 挑戰(zhàn)/回答 時(shí)間戳1ISO/IEC9798-2協(xié)議 單向認(rèn)證(時(shí)間戳) 單向認(rèn)證(一次性隨機(jī)數(shù))2AB: TA, BKAB1. B A : RB2. AB: RB, BKABISO/IEC 9798-3 單向認(rèn)證ISO/IEC 9798-3 單向認(rèn)證31. AB: TA , B, SigA(TA,B)1. BA: RB2. AB: RB, SigA (RB, B)2021-12-26TickettgsEKtgsKC,tgs, IDC, ADC, IDtgs, TS2, LT2TicketVEKVKC,V,

2、 IDC, ADC, IDV, TS4, LT4訪問控制訪問控制基本概念訪問控制模型訪問控制的安全策略訪問控制實(shí)現(xiàn)技術(shù)網(wǎng)絡(luò)安全防護(hù)的主要安全策略安全策略之一依據(jù)授權(quán)規(guī)則，對提出的資源訪問加以控制。 限制訪問主體（用戶、進(jìn)程、服務(wù)等）對任何資源（計(jì)算資源、通信資源或信息資源）進(jìn)行未授權(quán)訪問未授權(quán)訪問，使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用； 非法用戶使用 合法用戶濫用權(quán)限 決定用戶能做什么，或代表用戶的程序能做什么。訪問控制與其他安全措施的關(guān)系模型訪問控制與其他安全措施的關(guān)系模型引用監(jiān)視器身份認(rèn)證訪問控制授權(quán)數(shù)據(jù)庫授權(quán)數(shù)據(jù)庫用戶目標(biāo)目標(biāo)目標(biāo)目標(biāo)目標(biāo)審 計(jì)安全管理員 訪問控制三要素 主體Subject、客體

3、Object、安全訪問策略形式化描述 三元函數(shù) f(s,a,o)2021-12-26主體主體訪問控制實(shí)施功能訪問控制實(shí)施功能訪問控制決策功能訪問控制決策功能客體客體提交訪問請求提交訪問請求提出訪問請求提出訪問請求請求決策請求決策決策決策一般實(shí)現(xiàn)機(jī)制 基于訪問控制屬性：訪問控制表/矩陣 基于用戶和資源分級（“安全標(biāo)簽”）：多級訪問控制常見實(shí)現(xiàn)方法 訪問控制表ACLs（Access Control Lists) 訪問能力表（Capabilities) 訪問控制矩陣 授權(quán)關(guān)系表 訪問控制安全標(biāo)簽 其它 userAOwnRWOuserB R OuserCRWOuserAOwnRWOuserB R Ou

4、serCRWOObj1每個(gè)客體附加一個(gè)它可以訪問的主體的明細(xì)表每個(gè)客體附加一個(gè)它可以訪問的主體的明細(xì)表。訪問控制粒度為用戶：當(dāng)用戶數(shù)量多、管理資源多時(shí)，ACL會很龐大。缺省策略： 公開布告板中，所有用戶都可以得到所有公開信息 對于特定的用戶禁止訪問：對于違紀(jì)員工，禁止訪問內(nèi)部一些信息。當(dāng)組織內(nèi)人員變化（升遷、換崗、招聘、離職）、工作職能發(fā)生變化（新增業(yè)務(wù)）時(shí)，ACL的修改變得異常困難。2021-12-26Copyright電子科技大學(xué)計(jì)算機(jī)學(xué)院12 Obj1OwnRWOObj2 R OObj3 RWOUserA每個(gè)主體都附加一個(gè)該主體可訪問的客體的每個(gè)主體都附加一個(gè)該主體可訪問的客體的明細(xì)表。

5、明細(xì)表。ACLCL按客體排序：訪問控制表按客體排序：訪問控制表按主體排序：訪問能力表按主體排序：訪問能力表UserA Own Obj1UserA R Obj1UserA W Obj1UserB W Obj2UserB R Obj2用戶安全級別用戶1絕密用戶2機(jī)密.用戶n未分類客體安全級別客體1絕密客體2機(jī)密.客體n未分類客體由一個(gè)密鑰加密（鎖），主體擁有解密密鑰（鑰匙）同時(shí)具有訪問控制表與能力表的特征具有動態(tài)性17自主訪問控制強(qiáng)制訪問控制基于角色訪問控制訪問控制客體屬主自主管理對客體的訪問權(quán)限 屬主自主負(fù)責(zé)賦予或回收其他主體對客體資源的訪問權(quán)限 授權(quán)主體可以直接或者間接地向其他主體轉(zhuǎn)讓訪問權(quán)L

6、inux權(quán)限管理 -rwx r-x r-x 主 組 其它c(diǎn)hmod,chown特點(diǎn)： 根據(jù)主體身份及權(quán)限進(jìn)行決策； 具有某種訪問能力的主體能夠自主地將訪問權(quán)的某個(gè)子集授予其它主體。 靈活性高，被大量采用。缺點(diǎn)： 訪問權(quán)限關(guān)系會改變 無法控制信息（權(quán)限）的流動 Eg，小人書借閱每個(gè)主體和客體分配一個(gè)固定的安全級別，只有系統(tǒng)管理員才可以修改 用戶：可信任級別 信息：敏感程度 絕密、機(jī)密、秘密、無密依據(jù)主體和客體的安全級別決定是否允許訪問主要用于多層次安全級別的軍事應(yīng)用中依據(jù)主體和客體的安全級別，MAC中主體對客體的訪問有四種方式： 下讀/上寫 上讀/下寫絕密級絕密級機(jī)密級機(jī)密級秘密級秘密級無密級無

7、密級寫寫讀讀寫寫讀讀“寫寫”代表了信息流動方向代表了信息流動方向機(jī)密性機(jī)密性完整性完整性向下讀（Read Down，rd） 主體高于客體時(shí)允許讀， 低級別用戶不能讀高敏感度的信息向上寫（Write Up，wr） 主體低于客體時(shí)允許寫， 不允許高敏感度的信息寫入低敏感度區(qū)域信息流只能從低級別流向高級別，從而保證數(shù)據(jù)機(jī)密性向上讀（Read Up，ru） 主體低于客體時(shí)允許讀操作 低信任級別的用戶能夠讀高敏感度的信息向下寫（Write Down，wd） 主體高于客體時(shí)允許寫操作 允許高敏感度的信息寫入低敏感度區(qū)域?qū)崿F(xiàn)數(shù)據(jù)完整性通過訪問方式組合Lattice 模型Bell-Lapadula(BLP)模

8、型Biba主體的安全級別高于客體的安全級別才能訪問下讀、下寫絕密機(jī)密未分類主體絕密機(jī)密未分類客體禁止讀禁止讀允許讀絕密機(jī)密未分類主體絕密機(jī)密未分類客體禁止寫禁止寫允許寫下讀/上寫 (不上讀/不下寫)保證機(jī)密性絕密機(jī)密未分類主體絕密機(jī)密未分類客體禁止讀禁止讀允許讀絕密機(jī)密未分類主體絕密機(jī)密未分類客體允許寫允許寫禁止寫安全級別 內(nèi)部網(wǎng)絡(luò)：機(jī)密 外部Internet：公開隔離內(nèi)外部網(wǎng)絡(luò)單向訪問機(jī)制 不上讀：阻止Internet訪問內(nèi)部網(wǎng)絡(luò)，僅允許由內(nèi)向外發(fā)起的數(shù)據(jù)流通過 不下寫：不允許敏感數(shù)據(jù)從內(nèi)部網(wǎng)絡(luò)流向Internet28上讀/下寫（不下讀/不上寫）保證完整性絕密機(jī)密未分類主體絕密機(jī)密未分類客體

9、允許讀允許讀禁止讀絕密機(jī)密未分類主體絕密機(jī)密未分類客體禁止寫禁止寫允許寫安全級別 Web服務(wù)器上資源安全級別為“秘密” Internet用戶級別為“公開”上讀/不上寫，保障Web數(shù)據(jù)完整性 Internet上的用戶只能讀取服務(wù)器上的數(shù)據(jù)而不能更改它 30網(wǎng)絡(luò)安全防護(hù)的主要安全策略安全策略之一依據(jù)授權(quán)規(guī)則，對提出的資源訪問加以控制。 限制訪問主體（用戶、進(jìn)程、服務(wù)等）對任何資源（計(jì)算資源、通信資源或信息資源）進(jìn)行未授權(quán)訪問未授權(quán)訪問，使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用； 非法用戶使用 合法用戶濫用權(quán)限一般實(shí)現(xiàn)機(jī)制 基于訪問控制屬性：訪問控制表/矩陣 基于用戶和資源分級（“安全標(biāo)簽”）：多級訪問控制常見

10、實(shí)現(xiàn)方法 訪問控制表ACLs（Access Control Lists) 訪問能力表（Capabilities) 訪問控制矩陣 授權(quán)關(guān)系表 訪問控制安全標(biāo)簽 其它自主訪問控制強(qiáng)制訪問控制基于角色訪問控制訪問控制依據(jù)主體和客體的安全級別，MAC中主體對客體的訪問有四種方式： 上讀/下寫：完整性，eg，web server 下讀/上寫：機(jī)密性，eg，email server絕密級絕密級機(jī)密級機(jī)密級秘密級秘密級無密級無密級寫寫讀讀完整性完整性寫寫讀讀機(jī)密性機(jī)密性自主式太弱 配置的粒度小；配置的工作量大，效率低 無法控制信息（權(quán)限）的流動強(qiáng)制式太強(qiáng) 配置的粒度大；缺乏靈活性二者工作量大，不便管理 例：

11、1000主體訪問10000客體，須1000萬次配置。如每次配置需1秒，每天工作8小時(shí)，就需 10，000，000/（3600*8）=347.2天優(yōu)點(diǎn) 嚴(yán)格，便于控制和管理 特別適用于軍事領(lǐng)域缺點(diǎn) 不靈活 用戶、資源多時(shí)配置工作量大RBAC(Role Based Access Control)與現(xiàn)代的應(yīng)用環(huán)境相結(jié)合的產(chǎn)物起源于UNIX系統(tǒng)或別的操作系統(tǒng)中組的概念2021-12-2637一組用戶對于一個(gè)目標(biāo)具有同樣的訪問許可。實(shí)際使用時(shí) 先定義組的成員； 用戶的集合 G=s1, s2, s3 對用戶組授權(quán)； 把訪問權(quán)限分配給一個(gè)用戶組； 組的成員可以改變。2021-12-2638角色（Role）

12、用戶組及其完成一項(xiàng)任務(wù)必須訪問的資源及相應(yīng)操作權(quán)限的集合，R=(a1,o1), (a2,o2), (a3,o3) 角色：用戶組權(quán)限集授權(quán)管理： 根據(jù)任務(wù)需要定義角色 為角色分配許可（資源和操作權(quán)限） 給一個(gè)用戶指定一個(gè)角色392021-12-26Copyright電子科技大學(xué)計(jì)算機(jī)學(xué)院40訪問訪問獲取獲取訪問訪問角色角色2021-12-26角色角色.。用戶用戶1用戶用戶2用戶用戶3角色角色1角色角色2客體客體1客體客體2客體客體3權(quán)限權(quán)限1權(quán)限權(quán)限2權(quán)限權(quán)限2權(quán)限權(quán)限3屬于屬于屬于屬于屬于屬于操作操作客體客體許可許可( (權(quán)限權(quán)限) )有時(shí)用戶先分組后再分配角色用戶、角色多對多 一個(gè)用戶可經(jīng)授

13、權(quán)而擁有多個(gè)角色 一個(gè)角色可授予多個(gè)用戶角色、許可多對多 每個(gè)角色可擁有多種許可（權(quán)限） 每個(gè)許可也可授權(quán)給多個(gè)不同的角色許可=操作+客體，操作、客體多對多 每個(gè)操作可施加于多個(gè)客體（受控對象） 每個(gè)客體也可以接受多個(gè)操作。角色： 出納員、分行管理者、顧客、系統(tǒng)管理者和審計(jì)員。授權(quán)管理： 出納員：允許修改顧客帳號記錄； 分行管理者：允許修改顧客的帳號記錄，也允許創(chuàng)建和終止帳號； 顧客：允許查詢自己的帳號； 系統(tǒng)管理者：允許開關(guān)系統(tǒng)，但不允許讀或修改用戶的帳號信息； 審計(jì)員：允許讀系統(tǒng)中任何數(shù)據(jù)，但不允許修改任何事情。2021-12-2643避免角色權(quán)限重復(fù)設(shè)置 角色有自己許可，還能繼承其他角色

14、的許可?？捎米嫦汝P(guān)系來表示繼承。 角色2是角色1的“子角色”，繼承了角色1的部分許可44心臟病專家心臟病專家風(fēng)濕病專家風(fēng)濕病專家1 123專家專家醫(yī)生醫(yī)生實(shí)習(xí)醫(yī)生實(shí)習(xí)醫(yī)生繼承繼承嵌套嵌套角色：面向?qū)ο蟮念惤巧好嫦驅(qū)ο蟮念愊到y(tǒng)管理員 設(shè)定角色 設(shè)定權(quán)限 為用戶分配角色、取消角色等 為角色分配權(quán)限、撤銷權(quán)限等45用戶： 靜態(tài)概念會話： 動態(tài)概念 用戶的一個(gè)活躍進(jìn)程，代表用戶與系統(tǒng)交互。會話構(gòu)成用戶到角色的映射： 會話中分配角色 會話激活用戶授權(quán)角色集的某個(gè)子集活躍角色集。46角色互斥： 對于某些特定的操作集，某一個(gè)用戶不可能同時(shí)獨(dú)立地完成所有這些操作。角色互斥： 靜態(tài)角色互斥 動態(tài)角色互斥角色基

15、數(shù)限制： 創(chuàng)建角色時(shí)，要指定角色的基數(shù)。在一個(gè)特定的時(shí)間段內(nèi)，有一些角色只能由一定人數(shù)的用戶占用。47通過角色定義、分配和設(shè)置，可描述復(fù)雜、靈活的安全策略通過角色分層映射組織結(jié)構(gòu)容易實(shí)現(xiàn)最小特權(quán)原則能夠滿足職責(zé)分離原則角色互斥崗位上的用戶數(shù)通過角色基數(shù)約束4849USERSROLESOBJECTSOPERATIONSPERMISSIONS角色/許可分配用戶/角色分配會話管理模塊定義角色關(guān)系系統(tǒng)管理模塊會話用戶登錄： 身份認(rèn)證檢索授權(quán)角色集 會話管理模塊從RBAC數(shù)據(jù)庫檢索用戶授權(quán)角色集并送回用戶。選擇活躍角色集 選擇本次會話活躍角色集，其間會話管理模塊維持動態(tài)角色互斥。創(chuàng)建會話 體現(xiàn)授權(quán)，菜單、按鈕會話過程中，系統(tǒng)管理員若要更改角色或許可 在此會話結(jié)束后 或終止此會話立即進(jìn)行。 50MAC+RBA