信息安全概論-訪問控制

1、信息安全概論-訪問控制什么是訪問控制Access Control 主體（subject）：訪問的發(fā)起者發(fā)起者是試圖訪問某個(gè)目標(biāo)的用戶或者是用戶行為的代理。必須控制它對(duì)客體的訪問。主體通常為進(jìn)程，程序或用戶?？腕w（Object）：接收其他實(shí)體訪問的被動(dòng)實(shí)體?？晒┰L問的各種軟硬件資源?？刂撇呗灾黧w對(duì)客體的訪問規(guī)則集，這個(gè)規(guī)則集直接定義了主體可以的作用行為和客體對(duì)主體的約束條件。是主體對(duì)客體的操作行為集和約束條件集。體現(xiàn)為一種授權(quán)行為。記錄誰(shuí)可以訪問誰(shuí)。訪問控制策略任何訪問控制策略最終可被模型化為訪問矩陣形式。每一行：用戶每一列：目標(biāo)矩陣元素：相應(yīng)的用戶對(duì)目標(biāo)的訪問許可。訪問控制關(guān)系圖多級(jí)信息安全系

2、統(tǒng)將敏感信息與通常資源分開隔離的系統(tǒng)。通常存在兩種有層次安全級(jí)別。目標(biāo)按敏感性劃分為不同密級(jí)：絕密top secret、秘密secret、機(jī)密confidential、限制restricted、無(wú)密級(jí)unclassified。無(wú)層次安全級(jí)別。訪問控制過程首先對(duì)合法用戶進(jìn)行驗(yàn)證。（認(rèn)證）然后對(duì)選用控制策略。（控制策略的具體實(shí)現(xiàn)）最后對(duì)非法用戶或越權(quán)操作進(jìn)行審計(jì)。（審計(jì)）認(rèn)證包括主體對(duì)客體的識(shí)別認(rèn)證與客體對(duì)主體的檢驗(yàn)認(rèn)證。身份認(rèn)證?？刂撇呗跃唧w實(shí)現(xiàn)規(guī)則集設(shè)定方法。允許授權(quán)用戶、限制非法用戶。保護(hù)敏感信息。禁止越權(quán)訪問。審計(jì)操作日志。記錄用戶對(duì)系統(tǒng)的關(guān)鍵操作。威懾。訪問控制 在安全操作系統(tǒng)領(lǐng)域中，訪

3、問控制一般都涉及自主訪問控制（Discretionary Access Control，DAC）強(qiáng)制訪問控制（Mandatory Access Control，MAC）兩種形式安全模型 安全模型就是對(duì)安全策略所表達(dá)的安全需求的簡(jiǎn)單、抽象和無(wú)歧義的描述，它為安全策略和它的實(shí)現(xiàn)機(jī)制之間的關(guān)聯(lián)提供了一種框架。安全模型描述了對(duì)某個(gè)安全策略需要用哪種機(jī)制來(lái)滿足；而模型的實(shí)現(xiàn)則描述了如何把特定的機(jī)制應(yīng)用于系統(tǒng)中，從而實(shí)現(xiàn)某一特定安全策略所需的安全保護(hù)。安全模型的特點(diǎn) 能否成功地獲得高安全級(jí)別的系統(tǒng)，取決于對(duì)安全控制機(jī)制的設(shè)計(jì)和實(shí)施投入多少精力。但是如果對(duì)系統(tǒng)的安全需求了解的不清楚，即使運(yùn)用最好的軟件技術(shù)，

4、投入最大的精力，也很難達(dá)到安全要求的目的。安全模型的目的就在于明確地表達(dá)這些需求，為設(shè)計(jì)開發(fā)安全系統(tǒng)提供方針。安全模型有以下4個(gè)特點(diǎn)：它是精確的、無(wú)歧義的；它是簡(jiǎn)易和抽象的，所以容易理解；它是一般性的：只涉及安全性質(zhì)，而不過度地牽扯系統(tǒng)的功能或其實(shí)現(xiàn)；它是安全策略的明顯表現(xiàn)。安全模型一般分為兩種：非形式化安全模型僅模擬系統(tǒng)的安全功能；形式化安全模型則使用數(shù)學(xué)模型，精確地描述安全性及其在系統(tǒng)中使用的情況。訪問控制準(zhǔn)則 在安全操作系統(tǒng)領(lǐng)域中，訪問控制一般都涉及自主訪問控制（Discretionary Access Control，DAC）強(qiáng)制訪問控制（Mandatory Access Contro

5、l，MAC）兩種形式自主訪問控制 自主訪問控制是最常用的一類訪問控制機(jī)制，用來(lái)決定一個(gè)用戶是否有權(quán)訪問一些特定客體的一種訪問約束機(jī)制。在自主訪問控制機(jī)制下，文件的擁有者可以按照自己的意愿精確指定系統(tǒng)中的其他用戶對(duì)其文件的訪問權(quán)。亦即使用自主訪問控制機(jī)制，一個(gè)用戶可以自主地說明他所擁有的資源允許系統(tǒng)中哪些用戶以何種權(quán)限進(jìn)行共享。從這種意義上講，是“自主”的。另外自主也指對(duì)其他具有授予某種訪問權(quán)力的用戶能夠自主地（可能是間接的）將訪問權(quán)或訪問權(quán)的某個(gè)子集授予另外的用戶。強(qiáng)制訪問控制MAC 在強(qiáng)制訪問控制機(jī)制下，系統(tǒng)中的每個(gè)進(jìn)程、每個(gè)文件、每個(gè) IPC 客體( 消息隊(duì)列、信號(hào)量集合和共享存貯區(qū))都被

6、賦予了相應(yīng)的安全屬性，這些安全屬性是不能改變的，它由管理部門（如安全管理員）或由操作系統(tǒng)自動(dòng)地按照嚴(yán)格的規(guī)則來(lái)設(shè)置，不像訪問控制表那樣由用戶或他們的程序直接或間接地修改。當(dāng)一進(jìn)程訪問一個(gè)客體(如文件)時(shí)，調(diào)用強(qiáng)制訪問控制機(jī)制，根據(jù)進(jìn)程的安全屬性和訪問方式，比較進(jìn)程的安全屬性和客體的安全屬性，從而確定是否允許進(jìn)程對(duì)客體的訪問。代表用戶的進(jìn)程不能改變自身的或任何客體的安全屬性，包括不能改變屬于用戶的客體的安全屬性，而且進(jìn)程也不能通過授予其他用戶客體存取權(quán)限簡(jiǎn)單地實(shí)現(xiàn)客體共享。如果系統(tǒng)判定擁有某一安全屬性的主體不能訪問某個(gè)客體，那么任何人（包括客體的擁有者）也不能使它訪問該客體。從這種意義上講，是“

7、強(qiáng)制”的。強(qiáng)制訪問控制和自主訪問控制強(qiáng)制訪問控制和自主訪問控制是兩種不同類型的訪問控制機(jī)制，它們常結(jié)合起來(lái)使用。僅當(dāng)主體能夠同時(shí)通過自主訪問控制和強(qiáng)制訪問控制檢查時(shí)，它才能訪問一個(gè)客體。用戶使用自主訪問控制防止其他用戶非法入侵自己的文件，強(qiáng)制訪問控制則作為更強(qiáng)有力的安全保護(hù)方式，使用戶不能通過意外事件和有意識(shí)的誤操作逃避安全控制。因此強(qiáng)制訪問控制用于將系統(tǒng)中的信息分密級(jí)和類進(jìn)行管理，適用于政府部門、軍事和金融等領(lǐng)域。訪問控制模型從訪問控制的角度出發(fā)，描述安全系統(tǒng)，建立安全模型的方法。一般包括主體、客體、以及為識(shí)別和驗(yàn)證這些實(shí)體的子系統(tǒng)和控制實(shí)體間的訪問的監(jiān)視器。訪問控制模型自主訪問控制模型。（

8、DAC）強(qiáng)制訪問控制模型。（MAC）基于角色的訪問控制模型。（RBAC）基于任務(wù)的訪問控制模型。（TBAC）基于對(duì)象的訪問控制模型。（OBAC）信息流模型。自主訪問控制（DAC）根據(jù)自主訪問控制策略建立的一種模型。允許合法用戶以用戶或用戶組的身份訪問策略規(guī)定的客體。阻止非授權(quán)用戶訪問客體。某些客體還可以自主的把自己所擁有的客體訪問權(quán)授予其它用戶。任意訪問控制。自主訪問控制（DAC）訪問控制表（ACL）是DAC中通常采用的一種安全機(jī)制。ACL是帶有訪問權(quán)限的矩陣, 這些訪問權(quán)是授予主體訪問某一客體的。安全管理員通過維護(hù)ACL控制用戶訪問企業(yè)數(shù)據(jù)。對(duì)每一個(gè)受保護(hù)的資源，ACL對(duì)應(yīng)一個(gè)個(gè)人用戶列表或

9、由個(gè)人用戶構(gòu)成的組列表，表中規(guī)定了相應(yīng)的訪問模式。DAC的主要特征體現(xiàn)在主體可以自主地把自己所擁有客體的訪問權(quán)限授予其它主體或者從其它主體收回所授予的權(quán)限，訪問通?；谠L問控制表（ACL）。訪問控制的粒度是單個(gè)用戶。 DAC的缺點(diǎn)在移動(dòng)過程中其訪問權(quán)限關(guān)系會(huì)被改變。如用戶A可將其對(duì)目標(biāo)O的訪問權(quán)限傳遞給用戶B,從而使不具備對(duì)O訪問權(quán)限的B可訪問O。 當(dāng)用戶數(shù)量多、管理數(shù)據(jù)量大時(shí)，由于訪問控制的粒度是單個(gè)用戶，ACL會(huì)很龐大。當(dāng)組織內(nèi)的人員發(fā)生能變化（升遷、換崗、招聘、離職）、工作職能發(fā)生變化（新增業(yè)務(wù)）時(shí)，ACL的修改變得異常困難。采用ACL機(jī)制管理授權(quán)處于一個(gè)較低級(jí)的層次，管理復(fù)雜、代價(jià)高以

10、至易于出錯(cuò)。 基于行的自主訪問控制是在每個(gè)主體上都附加一個(gè)該主體可訪問的客體的明細(xì)表。權(quán)限字（能力）：主體對(duì)客體具有特定的不可偽造的標(biāo)志。為防止權(quán)限字的不斷擴(kuò)散，可在傳遞權(quán)限字副本時(shí)移去其中的轉(zhuǎn)移權(quán)限?；诹械脑L問控制指按客體附加一份可訪問它的主體的明細(xì)表。保護(hù)位方式：UNIX采用；只有客體擁有者能改變客體保護(hù)位（root除外）。一個(gè)用戶在某個(gè)時(shí)刻只能屬于一個(gè)活動(dòng)的用戶組。存取控制表（ACL)自主訪問控制的訪問許可 等級(jí)型擁有型自由型等級(jí)型將對(duì)客體存取控制表的修改能力劃分成等級(jí)，控制關(guān)系構(gòu)成一個(gè)樹型結(jié)構(gòu)。系統(tǒng)管理員的等級(jí)為等級(jí)樹的根，根一級(jí)具有修改所有客體存取控制表的能力，并且具有向任意一個(gè)主

11、體分配這種修改權(quán)的能力。在樹中的最低級(jí)的主體不再具有訪問許可，也就是說他們對(duì)相應(yīng)的客體的存取控制表不再具有修改權(quán)。有訪問許可的主體（即有能力修改客體的存取控制表），可以對(duì)自己授與任何訪問模式的訪問權(quán)。 擁有型對(duì)每個(gè)客體設(shè)立一個(gè)擁有者（通常是該客體的生成者）。只有擁有者才是對(duì)客體有修改權(quán)的唯一主體。擁有者對(duì)其擁有的客體具有全部控制權(quán)。擁有者無(wú)權(quán)將其對(duì)客體的控制權(quán)分配給其它主體?？腕w擁有者在任何時(shí)候都可以改變其所屬客體的存取控制表，并可以對(duì)其它主體授予或者撤消其對(duì)客體的任何一種訪問模式。自由型一個(gè)客體的生成者可以對(duì)任何一個(gè)主體分配對(duì)它擁有的客體的訪問控制權(quán)，即對(duì)客體的存取控制表有修改權(quán)，并且還可使

12、其對(duì)它主體也具有分配這種權(quán)力的能力。在這種系統(tǒng)中，不存在“擁有者”概念。自主訪問控制訪問模式的應(yīng)用Unix,Windows NT,Linux的文件系統(tǒng)廣泛應(yīng)用，對(duì)文件設(shè)置的訪問模式有以下幾種：讀拷貝(read-copy)寫刪除（write-delete） 執(zhí)行（execute） Null（無(wú)效）這種模式表示，主體對(duì)客體不具有任何訪問權(quán)。在存取控制表中用這種模式可以排斥某個(gè)特定的主體。強(qiáng)制訪問控制（MAC）系統(tǒng)對(duì)所有主體及其所控制的客體（例如：進(jìn)程、文件、段、設(shè)備）實(shí)施強(qiáng)制訪問控制。為這些主體及客體指定敏感標(biāo)記，這些標(biāo)記是等級(jí)分類和非等級(jí)類別的組合，它們是實(shí)施強(qiáng)制訪問控制的依據(jù)。系統(tǒng)根據(jù)主體和客

13、體的敏感標(biāo)記來(lái)決定訪問模式。如：絕密級(jí)，秘密級(jí)，機(jī)密級(jí)，無(wú)密級(jí)。MAC通過梯度安全標(biāo)簽實(shí)現(xiàn)單向信息流通模式。特點(diǎn)強(qiáng)制性當(dāng)一進(jìn)程訪問一個(gè)客體(如文件)時(shí)，調(diào)用強(qiáng)制訪問控制機(jī)制，根據(jù)進(jìn)程的安全屬性和訪問方式，比較進(jìn)程的安全屬性和客體的安全屬性，從而確定是否允許進(jìn)程對(duì)客體的訪問。代表用戶的進(jìn)程不能改變自身的或任何客體的安全屬性，包括不能改變屬于用戶的客體的安全屬性，而且進(jìn)程也不能通過授予其他用戶客體存取權(quán)限簡(jiǎn)單地實(shí)現(xiàn)客體共享。如果系統(tǒng)判定擁有某一安全屬性的主體不能訪問某個(gè)客體，那么任何人（包括客體的擁有者）也不能使它訪問該客體。從這種意義上講，是“強(qiáng)制”的。限制性在強(qiáng)制訪問控制機(jī)制下，系統(tǒng)中的每個(gè)進(jìn)

14、程、每個(gè)文件、每個(gè) IPC 客體( 消息隊(duì)列、信號(hào)量集合和共享存貯區(qū))都被賦予了相應(yīng)的安全屬性，這些安全屬性是不能改變的，它由管理部門（如安全管理員）或由操作系統(tǒng)自動(dòng)地按照嚴(yán)格的規(guī)則來(lái)設(shè)置，不像訪問控制表那樣由用戶或他們的程序直接或間接地修改。主體對(duì)客體的訪問方式下讀:用戶級(jí)別大于文件級(jí)別的讀操作; 上寫:用戶級(jí)別低于文件級(jí)別的寫操作;下寫:用戶級(jí)別大于文件級(jí)別的寫操作; 上讀:用戶級(jí)別低于文件級(jí)別的讀操作;強(qiáng)制訪問控制模型Lattice模型。Bell-LaPadula模型(BPL Model)。Biba模型。Lattice模型每個(gè)資源與用戶都服從于一個(gè)安全級(jí)別。主體級(jí)別高于客體級(jí)別才可以訪問

15、。適用于需要對(duì)信息資源進(jìn)行明顯分類的系統(tǒng)。BPL模型信息保密安全模型。維護(hù)系統(tǒng)的保密性，有效防止信息泄露?？刂圃瓌t：無(wú)上讀。無(wú)下寫。BPL模型缺點(diǎn)忽略了完整性。存在越權(quán)篡改。分布式操作。關(guān)鍵服務(wù)進(jìn)程。Biba模型信息完整性模型。維護(hù)系統(tǒng)信息的完整性，有效防止信息篡改?？刂圃瓌t：無(wú)上寫。無(wú)下讀。Biba模型缺點(diǎn)保密性差。基于角色訪問控制（RBAC）兼有基于身份和基于規(guī)則的策略特征?？煽醋骰诮M的策略的變形，一個(gè)角色對(duì)應(yīng)一個(gè)組。例：銀行業(yè)務(wù)系統(tǒng)中用戶多種角色優(yōu)點(diǎn)： 對(duì)于非專業(yè)的管理人員，容易制定安全策略； 容易被映射到一個(gè)訪問矩陣或基于組的策略?；诮巧L問控制（RBAC）角色（Role）是指一個(gè)

16、可以完成一定事務(wù)的命名組，不同的角色通過不同的事務(wù)來(lái)執(zhí)行各自的功能。用戶的集合與許可的集合。角色與組的區(qū)別在于：用戶屬于的組是相對(duì)固定的，而用戶能被指派到那些角色則受時(shí)間、地點(diǎn)、事件等諸多因素影響。事務(wù)（Transaction）是指一個(gè)完成一定功能的過程，可以是一個(gè)程序或程序的一部分。RBAC的基本思想授權(quán)給用戶的訪問權(quán)限,通常由用戶在一個(gè)組織中擔(dān)當(dāng)?shù)慕巧珌?lái)確定。ACL直接將主體和目標(biāo)相聯(lián)系，而RBAC在中間加入了角色，通過角色溝通主體與目標(biāo)。分層的優(yōu)點(diǎn)是當(dāng)主體發(fā)生變化時(shí)，只需修改主體與角色之間的關(guān)聯(lián)而不必修改角色與客體的關(guān)聯(lián)。RBAC的基本思想RBAC中許可被授權(quán)給角色，角色被授權(quán)給用戶，用

17、戶不直接與許可關(guān)聯(lián)。RBAC對(duì)訪問權(quán)限的授權(quán)由管理員統(tǒng)一管理，而且授權(quán)規(guī)定是強(qiáng)加給用戶的，這是一種非自主型集中式訪問控制方式。用戶是一個(gè)靜態(tài)的概念，會(huì)話則是一個(gè)動(dòng)態(tài)的概念。一次會(huì)話是用戶的一個(gè)活躍進(jìn)程，它代表用戶與系統(tǒng)交互。用戶與會(huì)話是一對(duì)多關(guān)系，一個(gè)用戶可同時(shí)打開多個(gè)會(huì)話。一個(gè)會(huì)話構(gòu)成一個(gè)用戶到多個(gè)角色的映射，即會(huì)話激活了用戶授權(quán)角色集的某個(gè)子集，這個(gè)子集稱為活躍角色集?；钴S角色集決定了本次會(huì)話的許可集。 RBAC的優(yōu)點(diǎn)RBAC能夠描述復(fù)雜的安全策略容易實(shí)現(xiàn)最小特權(quán)（least privilege）原則滿足職責(zé)分離(separation of duties)原則崗位上的用戶數(shù)通過角色基數(shù)約束

18、通過角色定義、分配和設(shè)置適應(yīng)安全策略系統(tǒng)管理員定義系統(tǒng)中的各種角色，每種角色可以完成一定的職能。不同的用戶根據(jù)其職能和責(zé)任被賦予相應(yīng)的角色，一旦某個(gè)用戶成為某角色的成員，則此用戶可以完成該角色所具有的職能。根據(jù)組織的安全策略特定的崗位定義為特定的角色、特定的角色授權(quán)給特定的用戶。系統(tǒng)管理員也可以根據(jù)需要設(shè)置角色的可用性以適應(yīng)某一階段企業(yè)的安全策略。通過角色分層映射組織結(jié)構(gòu)基于角色訪問控制（RBAC） 容易實(shí)現(xiàn)最小特權(quán)（least privilege）原則最小特權(quán)原則是指用戶所擁有的權(quán)力不能超過他執(zhí)行工作時(shí)所需的權(quán)限。這一原則的應(yīng)用可限制事故、錯(cuò)誤、未授權(quán)使用帶來(lái)的損害。在RBAC中，系統(tǒng)管理員

19、可以根據(jù)組織內(nèi)的規(guī)章制度、職員的分工等設(shè)計(jì)擁有不同權(quán)限的角色，只有角色需要執(zhí)行的操作才授權(quán)給角色。當(dāng)一個(gè)主體要訪問某資源時(shí),如果該操作不在主體當(dāng)前活躍角色的授權(quán)操作之內(nèi)，該訪問將被拒絕。最小特權(quán)原則在保持完整性方面起著重要的作用。滿足職責(zé)分離(separation of duties)原則這是保障安全的一個(gè)基本原則，是指有些許可不能同時(shí)被同一用戶獲得，以避免安全上的漏洞。例如收款員、出納員、審計(jì)員應(yīng)由不同的用戶擔(dān)任。在RBAC中，職責(zé)分離可以有靜態(tài)和動(dòng)態(tài)兩種實(shí)現(xiàn)方式。靜態(tài)職責(zé)分離只有當(dāng)一個(gè)角色與用戶所屬的其他角色彼此不互斥時(shí),這個(gè)角色才能授權(quán)給該用戶。動(dòng)態(tài)職責(zé)分離只有當(dāng)一個(gè)角色與一主體的任何一

20、個(gè)當(dāng)前活躍角色都不互斥時(shí)該角色才能成為該主體的另一個(gè)活躍角色。角色的職責(zé)分離也稱為角色互斥，是角色限制的一種。 崗位上的用戶數(shù)通過角色基數(shù)約束企業(yè)中有一些角色只能由一定人數(shù)的用戶占用，在創(chuàng)建新的角色時(shí)，通過指定角色的基數(shù)來(lái)限定該角色可以擁有的最大授權(quán)用戶數(shù)。如總經(jīng)理角色只能由一位用戶擔(dān)任。RBAC數(shù)據(jù)庫(kù)設(shè)計(jì)維護(hù)RBAC數(shù)據(jù)庫(kù)是系統(tǒng)管理員的基本職責(zé)，這里分析RBAC數(shù)據(jù)庫(kù)的基本表和相關(guān)操作。RBAC數(shù)據(jù)庫(kù)包括靜態(tài)數(shù)據(jù)和動(dòng)態(tài)數(shù)據(jù)?；谌蝿?wù)的訪問控制（TBAC）問題DAC、MAC、RBAC都是靜態(tài)模型，未考慮系統(tǒng)執(zhí)行的上下文環(huán)境。沒有時(shí)限性，主體可以無(wú)限制的執(zhí)行所擁有的權(quán)限。無(wú)法實(shí)現(xiàn)對(duì)工作流的訪問控

21、制。例如：戰(zhàn)略導(dǎo)彈的發(fā)射控制。基于任務(wù)的訪問控制TBAC是從應(yīng)用和企業(yè)層角度來(lái)解決安全問題，以面向任務(wù)的觀點(diǎn)，從任務(wù)（活動(dòng)）的角度來(lái)建立安全模型和安全機(jī)制，在任務(wù)處理過程中提供動(dòng)態(tài)和實(shí)時(shí)的安全管理。在TBAC中，對(duì)象的訪問權(quán)限控制并不是靜止的，而是隨時(shí)間執(zhí)行的上下文環(huán)境發(fā)生變化?；谌蝿?wù)的訪問控制工作流環(huán)境中，數(shù)據(jù)的處理與上一次的處理相關(guān)聯(lián)。TBAC不僅對(duì)不同工作流實(shí)行訪問控制，而且對(duì)同一工作流進(jìn)行控制。TBAC是基于實(shí)例的訪問控制模型。TBAC的組成任務(wù)授權(quán)結(jié)構(gòu)體授權(quán)步受托人集任務(wù)工作流程中的一個(gè)邏輯單元，是一個(gè)不可區(qū)分的動(dòng)作，與多個(gè)用戶相關(guān)?？梢杂凶尤蝿?wù)。授權(quán)結(jié)構(gòu)體由一個(gè)或多個(gè)授權(quán)步組成的結(jié)構(gòu)體，他們?cè)谶壿嬌鲜锹?lián)系在一起。連接件，連接每個(gè)授權(quán)步。授權(quán)步表示一個(gè)原始授權(quán)步，是指在一個(gè)工作流中對(duì)處理對(duì)象的一次處理過程。訪問控制最小單元受托人集被授予執(zhí)行授權(quán)步的訪問集合?；谌蝿?wù)的訪問控制（TBAC）TB