信息安全技術(shù)—第6講

1、信息安全技術(shù)信息安全技術(shù)訪問控制與訪問控制與防火墻技術(shù)防火墻技術(shù)提綱提綱l訪問控制技術(shù)l防火墻技術(shù)基礎(chǔ)l防火墻安全設(shè)計策略l防火墻攻擊策略l第四代防火墻的主要技術(shù)l防火墻發(fā)展的新方向l防火墻選擇原則與常見產(chǎn)品l本章小結(jié)提綱提綱l訪問控制技術(shù)訪問控制技術(shù)l防火墻技術(shù)基礎(chǔ)l防火墻安全設(shè)計策略l防火墻攻擊策略l第四代防火墻的主要技術(shù)l防火墻發(fā)展的新方向l防火墻選擇原則與常見產(chǎn)品l本章小結(jié)知識點(diǎn)知識點(diǎn)l訪問控制技術(shù)概述l訪問控制策略l訪問控制的實現(xiàn)方法訪問控制訪問控制 任何一個信息系統(tǒng)都需要對敏感數(shù)據(jù)及其資源進(jìn)行安全保護(hù)，避免未授權(quán)的信息泄露、修改或丟失，同時保證合法授權(quán)用戶對數(shù)據(jù)的正常訪問。對系統(tǒng)及

2、資源的保護(hù)要求每一個訪問請求都在控制下進(jìn)行，保證只有合法授權(quán)的訪問才能發(fā)生。這個過程稱之為訪問訪問控制（控制（access control）。）。 訪問控制的作用訪問控制的作用l訪問控制的作用訪問控制的作用l機(jī)密性和完整性l直接作用l可用性l通過對信息的有效控制來實現(xiàn)兩個基本理論模型兩個基本理論模型l兩個基本理論模型兩個基本理論模型l引用監(jiān)控器(Reference Monitor)l訪問矩陣(Access Matrix)引用監(jiān)控器引用監(jiān)控器l引用監(jiān)控器引用監(jiān)控器l1972年，作為承擔(dān)美國空軍的一項計算機(jī)安全規(guī)劃研究任務(wù)的研究成果，J.P.Anderson在一份研究報告中首次提出了引用監(jiān)控器(R

3、eference Monitor)的概念。l安全操作系統(tǒng)的核心部分是安全內(nèi)核，安全內(nèi)核的基礎(chǔ)是引用監(jiān)控器，它是負(fù)責(zé)實施系統(tǒng)安全策略的硬件與軟件的結(jié)合體。引用監(jiān)控器模型引用監(jiān)控器模型 訪問控制依賴引用監(jiān)控器進(jìn)行主體對客體訪問的控制，以決定主體是否有權(quán)對客體進(jìn)行操作和進(jìn)行何種操作。引用監(jiān)控器查詢授權(quán)數(shù)據(jù)庫(Authorization Database)，根據(jù)系統(tǒng)安全策略進(jìn)行訪問控制的判斷，同時將相應(yīng)活動記錄在審計數(shù)據(jù)庫(Audit Database)中。訪問控制矩陣訪問控制矩陣l訪問矩陣訪問矩陣l最基本的訪問控制抽象模型l1969年，B.W.Lampson通過形式化表示方法運(yùn)用主體、客體和訪問控制

4、矩陣(Access Matrix)的思想第一次對訪問控制問題進(jìn)行了抽象。l主體是訪問操作中的主動實體，客體是訪問操作中的被動實體，主體對客體進(jìn)行訪問，系統(tǒng)使用引用監(jiān)控器根據(jù)訪問矩陣來進(jìn)行訪問控制。訪問矩陣模型描述了訪問控制策略。訪問矩陣模型描述了訪問控制策略。在訪問矩陣模型中，系統(tǒng)的狀態(tài)由三元組三元組(S,O,A)來定義S是主體的集合行標(biāo)對應(yīng)主體O是客體的集合列標(biāo)對應(yīng)客體A是訪問矩陣，矩陣元素As,o是主體s在o上實施的操作客體以及在其上實施的操作類型取決應(yīng)用系統(tǒng)本身的特點(diǎn) 實現(xiàn)訪問矩陣的三種方法實現(xiàn)訪問矩陣的三種方法l實際應(yīng)用中實現(xiàn)訪問矩陣的三種方法實現(xiàn)訪問矩陣的三種方法l訪問控制列表訪問控

5、制列表(Access Control List，ACL)l能力列表能力列表(Capability List)l授權(quán)表授權(quán)表(Authorization Table)訪問控制列表訪問控制列表l訪問控制表訪問控制表ACLs(Access Control Lists)l目前最流行、使用最多的訪問控制實現(xiàn)技術(shù)。l每個客體有一個訪問控制表，是系統(tǒng)中每一個有權(quán)訪問這個客體的主體信息實際上是按列保存訪問矩陣實際上是按列保存訪問矩陣。l訪問控制表提供了針對客體的方便查詢方法，通過查詢一個客體的訪問控制表很容易決定某一個主體對該客體的當(dāng)前訪問權(quán)限。刪除客體的訪問權(quán)限也很方便，把該客體的訪問控制表整個替換為空表即

6、可。但是用訪問控制表來查詢一個主但是用訪問控制表來查詢一個主體對所有客體的所有訪問權(quán)限是很困難的體對所有客體的所有訪問權(quán)限是很困難的，必須查詢系統(tǒng)中所有客體的訪問控制表來獲得其中每一個與該主體有關(guān)的信息。類似地刪除一個主體對所有客體的所有訪問權(quán)限也必須查詢所有客體的訪問控制表，刪除與該主體相關(guān)的信息。能力表能力表l能力表能力表(Capabilities list)l每個主體有一個能力表(Cap-ability Lists)，是該主體對系統(tǒng)中每一個客體的訪問權(quán)限信息是按行保存訪問矩陣。l使用能力表實現(xiàn)的訪問控制系統(tǒng)可以很方便地查詢某一個主體的所有訪問權(quán)限，只需要遍歷這個主體的能力表即可。然而查詢

7、對某一個客體具有訪問權(quán)然而查詢對某一個客體具有訪問權(quán)限的主體信息就很困難了限的主體信息就很困難了，必須查詢系統(tǒng)中所有主體的能力表。l實驗性強(qiáng)，但并沒有取得商業(yè)上的成功授權(quán)關(guān)系表授權(quán)關(guān)系表l授權(quán)關(guān)系表授權(quán)關(guān)系表(Authorization Relations)l既不對應(yīng)于行也不對應(yīng)于列的實現(xiàn)技術(shù)l對應(yīng)訪問矩陣中每一個非空元素的實現(xiàn)技術(shù)l授權(quán)關(guān)系表的每一行(或者說元組)就是訪問矩陣中的一個非空元素，是某一個主體對應(yīng)于某一個客體的訪問權(quán)限信息。l如果授權(quán)關(guān)系表按主體排序，查詢時就可以得到能力表的效率；如果按客體排序，詢時就可以得到訪問控制表的效率。l安全數(shù)據(jù)庫系統(tǒng)通常采用授權(quán)關(guān)系表來實現(xiàn)其訪問控制安

8、全機(jī)制。訪問控制方法分類訪問控制方法分類l訪問控制方法分類訪問控制方法分類l有仲裁機(jī)構(gòu)有仲裁機(jī)構(gòu)l本地仲裁機(jī)構(gòu)的訪問控制本地仲裁機(jī)構(gòu)的訪問控制自主訪問控制DAC強(qiáng)制訪問控制MAC基于角色的訪問控制RBACl異地第三方異地第三方CA認(rèn)證中心的訪問控制認(rèn)證中心的訪問控制基于PKI證書的訪問控制l無仲裁機(jī)構(gòu)的訪問控制無仲裁機(jī)構(gòu)的訪問控制l在分布式對等環(huán)境下，沒有認(rèn)證中心的訪問控制，通訊雙方事先并不認(rèn)識，也稱為信任管理，如移動ad hoc網(wǎng)絡(luò)環(huán)境下的信任管理。訪問控制模型分類（訪問控制模型分類（1/3）l考慮主體是否能夠自主控制自身擁有的權(quán)限考慮主體是否能夠自主控制自身擁有的權(quán)限l自主訪問控制l強(qiáng)制訪

9、問控制訪問控制模型分類（訪問控制模型分類（2/3）l主體是否能夠直接擁有訪問控制權(quán)限主體是否能夠直接擁有訪問控制權(quán)限l直接訪問控制直接訪問控制l指通過主體與權(quán)限的直接關(guān)聯(lián)實現(xiàn)訪問控制，應(yīng)用直接訪問控制策略實現(xiàn)的訪問控制模型被稱為直接訪問控制模型；l早期的訪問控制模型都是直接訪問控制模型，典型模型有訪問控制矩陣；l適用于主體和客體比較少的環(huán)境，特別適用于靜態(tài)應(yīng)用環(huán)境適用于主體和客體比較少的環(huán)境，特別適用于靜態(tài)應(yīng)用環(huán)境，如自主訪問控制模型和強(qiáng)制訪問控制模型都屬這種類型。l間接訪問控制間接訪問控制l指主體與權(quán)限不是直接關(guān)聯(lián)，而是通過中間實體與權(quán)限的間接關(guān)聯(lián)實現(xiàn)訪問控制，應(yīng)用間接訪問控制策略實現(xiàn)的訪問

10、控制模型被稱為間接訪問控制模型。l與直接訪問控制模型相比，間接訪問控制模型具有一定的彈性，間接訪問控制模型具有一定的彈性， 能夠適應(yīng)動態(tài)的應(yīng)用環(huán)境，能夠適應(yīng)動態(tài)的應(yīng)用環(huán)境，如基于角色的訪問控制模型和基于任務(wù)的訪問控制模型。訪問控制模型分類（訪問控制模型分類（3/3）l訪問控制的功能訪問控制的功能l一般的訪問控制模型一般的訪問控制模型l一般訪問控制模型是指對一般應(yīng)用系統(tǒng)進(jìn)行訪問保護(hù)的模型，這類訪問控制模型不存在任務(wù)作為中間實體，不支持工作流系統(tǒng)的訪問控制;l工作流訪問控制模型工作流訪問控制模型l工作流訪問控制模型主要指支持工作流系統(tǒng)的訪問控制模型，這類模型與一般訪問控制模型的關(guān)鍵區(qū)別在于支持任務(wù)

11、之間的相互關(guān)聯(lián)。*工作流管理訪問控制（工作流管理訪問控制（1/3）l工作流管理訪問控制的背景與意義工作流管理訪問控制的背景與意義l工作流管理工作流管理是指整個或部分經(jīng)營過程在計算機(jī)支持下的全自動或半自動化，在此過程中的文檔、信息或任務(wù)按照一系列程序規(guī)則從一個任務(wù)執(zhí)行者傳送到另一個執(zhí)行者。l隨著計算機(jī)及其網(wǎng)絡(luò)通信技術(shù)的飛速發(fā)展，工作流管理系統(tǒng)開始在企業(yè)應(yīng)用中得到不斷推廣，為了保證信息在恰當(dāng)?shù)臅r間被正確的執(zhí)行者獲得，需要對工作流管理進(jìn)行訪問控制。*工作流管理訪問控制（工作流管理訪問控制（2/3）l工作流管理訪問控制的特征工作流管理訪問控制的特征l與一般的系統(tǒng)資源訪問控制相比，工作流管理中的工作流管

12、理中的訪問控制具有時間性和空間性特征，即權(quán)限控制需訪問控制具有時間性和空間性特征，即權(quán)限控制需要與任務(wù)執(zhí)行同步，要與任務(wù)執(zhí)行同步， 同時各個任務(wù)節(jié)點(diǎn)之間具有約同時各個任務(wù)節(jié)點(diǎn)之間具有約束關(guān)系。束關(guān)系。l時間性和空間性特征是工作流管理訪問控制的重要特征，一般的訪問控制模型不能夠滿足這一特征。一般的訪問控制模型不能夠滿足這一特征。*工作流管理訪問控制（工作流管理訪問控制（3/3）l工作流管理訪問控制的研究內(nèi)容工作流管理訪問控制的研究內(nèi)容l工作流訪問控制模型工作流訪問控制模型l工作流訪問控制模型研究單個流程任務(wù)之間的關(guān)聯(lián)對訪問控制的影響，系統(tǒng)主體和角色對任務(wù)以及任務(wù)關(guān)聯(lián)的系統(tǒng)資源的訪問控制。l工作流

13、交互安全工作流交互安全l研究同一組織或者聯(lián)盟中不同工作流系統(tǒng)之間協(xié)作和交互的安全l多層工作流系統(tǒng)信息安全多層工作流系統(tǒng)信息安全l是工作流交互安全的一部分，它研究層次工作流模型中工作流之間的關(guān)系以及交互問題選擇訪問控制方法要考慮的因素選擇訪問控制方法要考慮的因素l選擇訪問控制方法將要考慮如下因素選擇訪問控制方法將要考慮如下因素l根據(jù)什么來制定訪問決策(用戶ID還是用戶證書)？l是要最大化地共享，還是要實現(xiàn)最小特權(quán)？l是否要實現(xiàn)責(zé)任的劃分？l對涉及到系統(tǒng)的安全屬性的操作是實行集中管理，還是實行分散管理？ 訪問控制在安全評測中的作用訪問控制在安全評測中的作用 ?安全評測的依據(jù)安全評測的依據(jù)l可信計算

14、機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（TCSEC）l1985年美國國防部發(fā)布，已成為公認(rèn)的計算機(jī)系統(tǒng)系統(tǒng)安全級別的劃分標(biāo)準(zhǔn)。安全產(chǎn)品在美國必須通過嚴(yán)格的評測并授予級別證書，才能出售和使用。l訪問控制在該標(biāo)準(zhǔn)中有非常重要的地位。l國標(biāo)國標(biāo)GB17859-1999l在參考美國的TCSE和可信計算機(jī)網(wǎng)絡(luò)系統(tǒng)說明（NCSC-TG-005）的基礎(chǔ)上，從自主訪問控制、強(qiáng)制訪問控制、標(biāo)記、身份鑒別、客體重用、審計、數(shù)據(jù)完整性、隱信道分析、可信路徑和可信恢復(fù)等10個方面來將計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分為五個安全級別 TCSEC對對安全系統(tǒng)設(shè)計的要求安全系統(tǒng)設(shè)計的要求l安全要求安全要求1.計算機(jī)系統(tǒng)必須實施

15、一種定義清晰明確的安全訪問控制策略。即給定主體和客體，系統(tǒng)有一套明確的規(guī)則用來判定主體是否有權(quán)訪問客體；2.對每個客體賦予一個訪問標(biāo)簽，以表示其安全級別；3.主體訪問客體前必須經(jīng)過嚴(yán)格的身份鑒別和認(rèn)證；4.審計信息必須獨(dú)立保存，以使安全相關(guān)的動作能夠追蹤到責(zé)任人。在可信系統(tǒng)中，安全相關(guān)時間被記錄在審計日志里，審計的執(zhí)行對系統(tǒng)整體性能的影響要盡可能小，審計數(shù)據(jù)要易于分析，能保證這些數(shù)據(jù)不被非法存取和修改；5.系統(tǒng)本身必須能夠獨(dú)立地保證1-4的安全要求；6.實現(xiàn)安全要求的可信機(jī)制自身必須得到保護(hù)，以防被篡改。根據(jù)這六點(diǎn)要求，TCSEC把計算機(jī)系統(tǒng)的安全劃分為A、B、C、D四個等級，A級最高，D級最

16、低。有有5條與訪問控制有關(guān)條與訪問控制有關(guān)計算機(jī)系統(tǒng)的安全劃分計算機(jī)系統(tǒng)的安全劃分lD級（最小保護(hù)）級（最小保護(hù)）l未通過測評，系統(tǒng)不可信任，硬件無任何保護(hù)，操作系統(tǒng)易受損害，用戶訪問系統(tǒng)無需身份認(rèn)證，如早期的DOS和WINDOWS3.1；lC級（自主保護(hù)）級（自主保護(hù)）l分為分為C1（任意訪問控制）和（任意訪問控制）和C2（受限訪問控制）兩個子級別。（受限訪問控制）兩個子級別。C1要求用戶通過口令訪問系統(tǒng)，但系統(tǒng)管理員權(quán)限不受限制，如早期UNIX和Novell3.x；C2在C1的基礎(chǔ)上引入受控訪問控制，進(jìn)一步限制存取，隱藏口令文件，并增加了審計機(jī)制，記錄所發(fā)生的事件，如NT3.51；lB級（

17、強(qiáng)制訪問控制）級（強(qiáng)制訪問控制）l建立敏感標(biāo)簽并維護(hù)其完整性，實施強(qiáng)制訪問控制，分為分為B1（標(biāo)簽安全保護(hù)）、（標(biāo)簽安全保護(hù)）、B2（結(jié)構(gòu)化保護(hù)）、（結(jié)構(gòu)化保護(hù)）、B3（安全區(qū)域保護(hù)）三個子級別（安全區(qū)域保護(hù)）三個子級別。B1要求對系統(tǒng)中主要數(shù)據(jù)附加敏感標(biāo)簽，在引用監(jiān)視器（reference monitor）的控制下進(jìn)行客體訪問；B2要求對系統(tǒng)中所有對象（包括終端、磁盤驅(qū)動器等設(shè)備）定義不同的安全標(biāo)簽，并增加隱通道的分析和保護(hù)；B3要求提供登陸系統(tǒng)的可信通道，并通過硬件保護(hù)系統(tǒng)安全區(qū)域。DGUX和HP都有B1和B2級的UNIX產(chǎn)品。lA級（驗證保護(hù)）級（驗證保護(hù)）l對安全訪問控制模型的正確性要

18、進(jìn)行形式化的數(shù)學(xué)證明，對隱通道也要做形式化分析。這是最高安全級別，目前還正在研究當(dāng)中目前還正在研究當(dāng)中。國標(biāo)國標(biāo)GB17859-1999中劃分的安全保中劃分的安全保護(hù)等級護(hù)等級 l第一級，用戶自主保護(hù)級第一級，用戶自主保護(hù)級l本級的計算機(jī)信息系統(tǒng)通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力。它具有多種形式的控制能力，對用戶實施訪問控制，即為用戶提供可行的手段，保護(hù)用戶和用戶信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞。l第二級：系統(tǒng)審計保護(hù)級第二級：系統(tǒng)審計保護(hù)級l在用戶自主保護(hù)級的基礎(chǔ)上，實施了粒度更細(xì)的自主訪問控制，它通過登錄規(guī)程、審計安全性相關(guān)事件和隔離資源，使用戶對自己的行為負(fù)責(zé)。l第

19、三級：安全標(biāo)記保護(hù)級第三級：安全標(biāo)記保護(hù)級l在具備第二級審計保護(hù)所有功能的基礎(chǔ)上，本級另外提供了有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記以及主體對客體強(qiáng)制訪問控制的非形式化描述，具有準(zhǔn)確地標(biāo)記信息輸出的能力，消除通過測試發(fā)現(xiàn)的任何錯誤。l第四級：結(jié)構(gòu)化保護(hù)級第四級：結(jié)構(gòu)化保護(hù)級l本級的計算機(jī)信息系統(tǒng)建立了一個明確定義的形式化安全策略模型之上，它要求將第三級系統(tǒng)中的自主和強(qiáng)制訪問控制擴(kuò)展到所有主體與客體。還要考慮隱通道。將需要保護(hù)的資源分為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素。系統(tǒng)的接口必須明確定義，使其設(shè)計和實現(xiàn)能經(jīng)受更充分的測試和更完整的復(fù)審。加強(qiáng)了鑒別機(jī)制，支持系統(tǒng)管理員和操作員的職能，提供可信設(shè)施管理，增強(qiáng)配

20、置管理策略，具有較高的抗?jié)B透能力。l第五級：訪問驗證保護(hù)級第五級：訪問驗證保護(hù)級l本級的系統(tǒng)滿足訪問監(jiān)控器要求。訪問監(jiān)控器仲裁主體對客體的全部訪問。訪問監(jiān)控器本身是防篡改的，代碼量盡量少，能夠分析和測試。支持安全管理員職能，擴(kuò)充審計機(jī)制，當(dāng)發(fā)生與安全相關(guān)的事件時發(fā)出警告信號，提供，系統(tǒng)恢復(fù)機(jī)制，系統(tǒng)具有很高的抗?jié)B透能力?；谙到y(tǒng)訪問控制的程度基于系統(tǒng)訪問控制的程度 如何實施對訪問的控制如何實施對訪問的控制?訪問控制的實施訪問控制的實施 訪問控制系統(tǒng)由訪問控制系統(tǒng)由主體主體(Subject)、客體客體(Oubject)及及主客體屬性主客體屬性組成。組成。 訪問的控制就是訪問的控制就是通過比較系統(tǒng)

21、內(nèi)通過比較系統(tǒng)內(nèi)的主、客體的相關(guān)屬性來決策的的主、客體的相關(guān)屬性來決策的。 訪問控制屬性訪問控制屬性主體主體 l主體主體l指系統(tǒng)內(nèi)行為的發(fā)起者（指系統(tǒng)內(nèi)行為的發(fā)起者（人類用戶、角色、證書和進(jìn)程等人類用戶、角色、證書和進(jìn)程等）l用戶用戶可以分為普通用戶、信息的擁有者和系統(tǒng)管理員l普通用戶：普通用戶：一個獲得授權(quán)可以訪問系統(tǒng)資源的自然人，在一個計算機(jī)系統(tǒng)中，相應(yīng)的授權(quán)包括對信息的讀、寫、刪除、追加、執(zhí)行以及授權(quán)和撤消另外一個用戶對信息的訪問授權(quán)等。l信息的擁有者：信息的擁有者：該用戶擁有對此信息的完全處理權(quán)限，包括讀、寫、修改和刪除該信息的權(quán)限以及他可以授權(quán)其他用戶對其所擁有的信息授予一定的權(quán)限，

22、除非該信息被系統(tǒng)另外加以控制。l系統(tǒng)管理員：系統(tǒng)管理員：為使系統(tǒng)正常運(yùn)轉(zhuǎn)，對系統(tǒng)運(yùn)行進(jìn)行管理的用戶l角色角色(Role)：在現(xiàn)實社會中，每個人都同時充當(dāng)一個多個角色，同樣在信息系統(tǒng)中。每個用戶也都充當(dāng)著某個角色，角色是用角色是用戶組和責(zé)任集合。戶組和責(zé)任集合。 訪問控制屬性訪問控制屬性客體客體l客體客體l指在信息系統(tǒng)內(nèi)所有主體行為的直接承受者。l一般客體：一般客體：指在系統(tǒng)內(nèi)以客觀、具體的形式存在的信息實體，如文件、目錄等。l設(shè)備客體：設(shè)備客體：指系統(tǒng)內(nèi)的設(shè)備，如CPU、打印機(jī)等。l特殊客體：特殊客體：有時系統(tǒng)內(nèi)的某些程序也是另外一些程序的承受者，那么這類程序也屬于客體。 相關(guān)屬性相關(guān)屬性 l

23、相關(guān)屬性相關(guān)屬性l主體屬性l客體屬性l環(huán)境屬性主體屬性主體屬性l主體屬性主體屬性l是指訪問者的屬性訪問者的屬性，可以是用戶ID或者許可級別和其他的證書屬性。l用戶用戶ID/組組ID：這種屬性將系統(tǒng)中的用戶與一個唯一的ID號一一對應(yīng)，訪問控制時，基于用戶的此ID號，來判斷他是否有權(quán)利對該信息進(jìn)行相應(yīng)的訪問。l用戶訪問許可級別：用戶訪問許可級別：這種屬性一般用在軍事上，需要基于用戶的訪問級別的高低和系統(tǒng)內(nèi)客體信息的安全級別來保護(hù)敏感信息的安全。強(qiáng)制訪問控制策略MAC就是基于此屬性。l主體屬性是系統(tǒng)用來決定訪問控制的最常用的因素，一個用主體屬性是系統(tǒng)用來決定訪問控制的最常用的因素，一個用戶的任何一種

24、屬性均可以作為訪問控制的決策點(diǎn)戶的任何一種屬性均可以作為訪問控制的決策點(diǎn)，例如年齡、性別、居住地、出生日期等等。客體屬性客體屬性l客體屬性客體屬性l是指要被訪問信息的屬性被訪問信息的屬性，例如信息的安全級別、信息的流動方向、信息的內(nèi)容等。l系統(tǒng)內(nèi)的信息安全等級由兩部分組成系統(tǒng)內(nèi)的信息安全等級由兩部分組成l信息的敏感性級別信息的敏感性級別在可信計算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)(TCSEC)中，將信息按安全等級進(jìn)行分類：公開信息公開信息(nclassified)、機(jī)密信息、機(jī)密信息(Confidential),秘密信息秘密信息(Secret)、絕密信息、絕密信息(Top Secret)。l范疇范疇將系統(tǒng)內(nèi)的信息

25、模擬人類資源系統(tǒng)進(jìn)行分類（例如，參謀部、作戰(zhàn)部、后勤部等）l一般使用訪問控制列表訪問控制列表(Access Control List, ACL)來表示來表示系統(tǒng)中哪些用戶可以對此信息進(jìn)行何種訪問系統(tǒng)中哪些用戶可以對此信息進(jìn)行何種訪問。信息的擁有者可以對此訪問控制列表進(jìn)行管理，即他們可以按照自己的意愿來制定誰可以訪問此信息。 環(huán)境屬性環(huán)境屬性l環(huán)境屬性環(huán)境屬性l地點(diǎn)地點(diǎn)l某些訪問控制可能是基于訪問地點(diǎn)來制定的，如只有來自于總經(jīng)理辦公室的人員發(fā)出的請求才能允許訪問某些文件。l時間時間l對系統(tǒng)內(nèi)信息的訪問可能會隨著時間的變化而變化，例如，某報社第二天要出版的新聞稿，在第二天早上9:00以前是敏感性信

26、息，而在9:00之后它就是公共信息了。l狀態(tài)狀態(tài)l有時系統(tǒng)狀態(tài)也可以作為對信息的訪問策略，例如，在網(wǎng)絡(luò)負(fù)載過大時，將會控制一部分用戶的訪問。知識點(diǎn)知識點(diǎn)l訪問控制技術(shù)概述l訪問控制策略訪問控制策略l訪問控制的實現(xiàn)方法訪問控制策略訪問控制策略l訪問控制策略訪問控制策略(Access Control Policy)l在系統(tǒng)安全策略級上表示授權(quán)，是對訪問控制、如何做出訪問決策的高層指南。l包括l自主訪問控制l強(qiáng)制訪問控制l基于角色的訪問控制訪問控制策略訪問控制策略 自主訪問控制自主訪問控制 強(qiáng)制訪問控制強(qiáng)制訪問控制 基于角色的訪問控制基于角色的訪問控制 自主訪問控制自主訪問控制l自主訪問控制自主訪問

27、控制DACl也稱基于身份的訪問控制IBACl自主指具有某種訪問能力的主體能夠自主地將訪問權(quán)的某個子集授予其他主體，訪問信息的決定權(quán)在于信息的創(chuàng)建者訪問信息的決定權(quán)在于信息的創(chuàng)建者。l當(dāng)用戶請求以某種方式訪問某一客體時，系統(tǒng)訪問控制模塊就根據(jù)系統(tǒng)自主訪問控制規(guī)則來檢查主、客體及其相應(yīng)的屬性或被用來實現(xiàn)自主訪問控制的其它屬性。l如果申請的訪問屬性與系統(tǒng)內(nèi)所指定的授權(quán)相同，則授予該主體所申請的訪問許可權(quán)，否則拒絕該用戶對此信息的訪問。l策略設(shè)置策略設(shè)置l針對訪問資源的用戶或者應(yīng)用來設(shè)置訪問控制權(quán)限；l根據(jù)主體的身份及允許訪問的權(quán)限來進(jìn)行決策；兩個重要概念兩個重要概念l存取許可存取許可l一種權(quán)力，即能

28、夠允許主體修改客體的訪問控制表l三種控制模式：等級型、擁有型和自由型l作用l定義或改變存取模式l存取模式存取模式l經(jīng)過存取許可的確定后，對客體進(jìn)行的各種不同的存取操作l作用l規(guī)定主體對客體可以進(jìn)行何種形式的存取操作存取模式存取模式l讀讀(read)l允許主體對客體進(jìn)行讀和拷貝操作；l寫寫(write)l允許主體對客體進(jìn)行寫入或修改，包括擴(kuò)展、壓縮和刪除等；l執(zhí)行執(zhí)行(execute)l允許主體將客體作為一種可執(zhí)行文件運(yùn)行；l空模式空模式(null)l主體對客體不具有任何的存取權(quán)力。自主訪問控制的主要類型（自主訪問控制的主要類型（1/2）l基于個人的策略基于個人的策略l用哪些用戶可以對一個目標(biāo)實

29、施哪一種行為的列表來表示；l等價于用一個目標(biāo)的訪問矩陣的列來描述；自主訪問控制的主要類型（自主訪問控制的主要類型（2/2）l基于組的策略基于組的策略l一組用戶對于一個目標(biāo)具有同樣的訪問許可l是基于身份策略的另一種情形l相當(dāng)于把訪問矩陣中的多行壓縮為一行相當(dāng)于把訪問矩陣中的多行壓縮為一行l(wèi)實際使用時，先定義組的成員，對用戶的授權(quán)，同一個組可以被重復(fù)使用，組的成員可以改變。模型適用范圍模型適用范圍 自主訪問控制策略卓越的靈活性特征使得它適用于各種各樣系統(tǒng)的安全需求，因而使得它在各種情況下得到大量的應(yīng)用，特別是在商用在商用操作系統(tǒng)和應(yīng)用程序中更是應(yīng)用的普遍操作系統(tǒng)和應(yīng)用程序中更是應(yīng)用的普遍。 模型評

30、價模型評價l在自主訪問控制策略中，首先由用戶提交訪問請求，然后系統(tǒng)檢測該請求者的授權(quán)，沒有考察用戶執(zhí)行授沒有考察用戶執(zhí)行授權(quán)期間的行為，沒有將權(quán)期間的行為，沒有將已授權(quán)用戶已授權(quán)用戶和和執(zhí)行授權(quán)的行為執(zhí)行授權(quán)的行為主體主體分開考慮分開考慮。l用戶是被動的實體，說明對誰授權(quán)，誰可以連接到系統(tǒng)中。用戶是被動的實體，說明對誰授權(quán)，誰可以連接到系統(tǒng)中。一旦連接到系統(tǒng)，用戶就會產(chǎn)生一個行為，這時用戶就變成一旦連接到系統(tǒng)，用戶就會產(chǎn)生一個行為，這時用戶就變成行為主體。行為主體。自主訪問控制策略忽略了這種區(qū)分，使得自主訪問控制策略在主體執(zhí)行惡意程序時具有一些弱點(diǎn)，惡意程序利用該用戶的對他們正在執(zhí)行的行為的授

31、權(quán)進(jìn)行破壞。以上這些弱點(diǎn)使得自主訪問控制方法盡管每個單一的請求在訪問控制之下，但是仍能夠使執(zhí)行主體在未經(jīng)管理員或者信息擁有者同意就泄漏信息給未授權(quán)的用戶，不能有效阻止木馬攻擊。 在自主訪問控制策略下，木馬程序如在自主訪問控制策略下，木馬程序如何將信息泄漏給未授權(quán)的用戶何將信息泄漏給未授權(quán)的用戶機(jī)密信息機(jī)密信息上司 A居心叵測的雇員B竊取機(jī)密信息，出竊取機(jī)密信息，出售給公司的競爭對售給公司的競爭對手手自主訪問控制策略對對stolen文件的寫操作文件的寫操作對機(jī)密文件的讀操作對機(jī)密文件的讀操作在自主訪問控制策略下，木馬程序如在自主訪問控制策略下，木馬程序如何將信息泄漏給未授權(quán)的用戶何將信息泄漏給未

32、授權(quán)的用戶文件文件stolen居心叵測居心叵測的雇員的雇員BB修改了A使用的一個應(yīng)用程序，修改后的應(yīng)用程序包含兩個隱藏的操作（1）對機(jī)密文件機(jī)密文件的讀操作（2）對stolen文件文件的寫操作B將修改完的應(yīng)用給他的上司A使用 創(chuàng)建了一個新的文件stolen，然后授予上司A寫stolen文件的權(quán)利A使用的一個應(yīng)用程序使用的一個應(yīng)用程序+12對對stolen文件的寫操作文件的寫操作對機(jī)密文件的讀操作對機(jī)密文件的讀操作在自主訪問控制策略下，木馬程序如在自主訪問控制策略下，木馬程序如何將信息泄漏給未授權(quán)的用戶何將信息泄漏給未授權(quán)的用戶機(jī)密信息機(jī)密信息文件文件stolen上司 A居心叵測的雇員BA使用的

33、一個應(yīng)用程序使用的一個應(yīng)用程序+信息泄漏給未授信息泄漏給未授權(quán)的用戶！權(quán)的用戶！問題的原因問題的原因：沒有區(qū)分沒有區(qū)分用戶用戶和和行為主體行為主體自主訪問控制的特點(diǎn)自主訪問控制的特點(diǎn)l自主訪問控制的特點(diǎn)自主訪問控制的特點(diǎn)l優(yōu)點(diǎn)優(yōu)點(diǎn)l靈活性高，被大量采用商用和民用商用和民用l缺點(diǎn)缺點(diǎn)l安全性最低信息在移動過程中其訪問權(quán)限關(guān)系會改變(沒有區(qū)分用戶和行為主體)；不僅需要在執(zhí)行訪問前驗證用戶，還需要在執(zhí)行訪問不僅需要在執(zhí)行訪問前驗證用戶，還需要在執(zhí)行訪問期間驗證行為主體期間驗證行為主體l配置的粒度小，工作量大，效率低；訪問控制策略訪問控制策略 自主訪問控制自主訪問控制 強(qiáng)制訪問控制強(qiáng)制訪問控制 基于角

34、色的訪問控制基于角色的訪問控制 強(qiáng)制訪問控制強(qiáng)制訪問控制l強(qiáng)制訪問控制強(qiáng)制訪問控制MACl也稱基于規(guī)則的訪問控制RBACl在自主訪問控制的基礎(chǔ)上，增加了對資源的屬性增加了對資源的屬性（安全屬性）劃分（安全屬性）劃分，規(guī)定不同屬性下的訪問權(quán)限；l由授權(quán)機(jī)構(gòu)為主體和客體分別定義由授權(quán)機(jī)構(gòu)為主體和客體分別定義固定的訪問權(quán)限固定的訪問權(quán)限，且這些訪問權(quán)限不能由用戶，甚至是文件的創(chuàng)建者進(jìn)行修改。l主體的信任級別反映了授權(quán)中心對主體的信任的程度，客體的級別與其包含信息的敏感度一致。l擁有一定訪問級別的用戶可訪問相應(yīng)級別的數(shù)據(jù)MAC的實施策略的實施策略l在強(qiáng)制訪問控制機(jī)制下，系統(tǒng)內(nèi)的每一個用戶或主體被系統(tǒng)內(nèi)

35、的每一個用戶或主體被賦予一個賦予一個訪問標(biāo)簽訪問標(biāo)簽(access label)，表示對敏感性客體的訪問許可級別，同樣，系統(tǒng)內(nèi)的每個客體也被賦予一系統(tǒng)內(nèi)的每個客體也被賦予一個敏感性標(biāo)簽個敏感性標(biāo)簽，以反映該信息的敏感性級別。系統(tǒng)內(nèi)的訪問控制程序，通過比較主、客體相應(yīng)的標(biāo)簽來決定是否授予一個主體對客體的訪問請求。l在強(qiáng)制訪問控制策略中，其訪問三元組(s,o,a)與自主訪問控制策略相同，只不過此三元組內(nèi)的訪問權(quán)利a與自主訪問控制策略中的訪問權(quán)利有所不同，后者可以有非常靈活的的形式，前者只有兩種，即“讀”和“寫”敏感標(biāo)簽敏感標(biāo)簽l組成部分組成部分l類別類別(Classification)l類別是單一

36、的、層次結(jié)構(gòu)的比如在美國國防部的多級安全策略中，有四種不同的等級：最高秘密級、秘密級、機(jī)密級和無級別級，l類集合類集合(Compartments)l類集合是非層次的，表示系統(tǒng)當(dāng)中信息的不同區(qū)域l類集合中可以包含任意數(shù)量的項比如：客體文件FILE-1的敏感標(biāo)簽為 SECRETVENUS， ALPHA類別類別類集合類集合完整性和保密性的實現(xiàn)完整性和保密性的實現(xiàn)l標(biāo)簽可以以不同的形式來實現(xiàn)信息的完整性和機(jī)密性l如果在一個系統(tǒng)內(nèi)存在兩種強(qiáng)制訪問控制策略，則該系統(tǒng)內(nèi)的主、客體必有兩類不同的訪問標(biāo)簽，每一類標(biāo)簽與一個強(qiáng)制訪問控制策略相對應(yīng)，在這種情況下，這兩類訪問控制標(biāo)簽之間沒有關(guān)系，但在同一類訪問標(biāo)簽之

37、間，必須滿足“偏序”關(guān)系。讀寫規(guī)則讀寫規(guī)則l讀寫規(guī)則讀寫規(guī)則l只有當(dāng)主體的敏感等級高于或等于客體的等級時，訪問才是允許的，否則將拒絕訪問。l根據(jù)主體和客體的敏感等級和讀寫關(guān)系的四種組合四種組合l下讀下讀(Read Down)：主體級別大于客體級別的讀操作；l上寫上寫(Write Up)：主體級別低于客體級別的寫操作；l上讀上讀(Read Up)：主體級別低于客體級別的讀操作；l下寫下寫(Write Down)：主體級別大于客體級別的寫操作；上讀上讀-下寫方式下寫方式可以保證數(shù)據(jù)的完整性完整性上寫上寫-下讀方式下讀方式可以保證數(shù)據(jù)的保密性保密性說明：說明：客體LOGISTIC文件的敏感標(biāo)簽為SE

38、CRETVENUS ALPHA，主體Jane的敏感標(biāo)簽為SECRETALPHA。雖然主體的敏感等級滿足讀寫規(guī)則，但由于主體Jane的類集合當(dāng)中沒有VENUS，所以不能讀此文件。（而主體John滿足讀文件要求）而由于LOGISTIC文件的敏感等級不低于主體Jane的敏感等級，寫了以后不會降低敏感等級，所以寫操作是允許的。（由于主體John的敏感等級高于客體，所以不能對客體執(zhí)行寫操作）DAC Vs. MACl策略不同策略不同l自主訪問控制策略自主訪問控制策略中的主體一般是指用戶主體一般是指用戶l強(qiáng)制策略強(qiáng)制策略中的主體和用戶之間是有區(qū)別的主體和用戶之間是有區(qū)別的l用戶是訪問系統(tǒng)的人類l主體是允許用

39、戶訪問的進(jìn)程這個區(qū)別允許策略控制由于進(jìn)程執(zhí)行引起的間接訪問，防止信息泄漏和修改。MAC的應(yīng)用考慮的應(yīng)用考慮lMAC的應(yīng)用考慮的應(yīng)用考慮l相對與DAC，安全性更高安全性更高l不適合處理訪問控制粒度細(xì)的應(yīng)用不適合處理訪問控制粒度細(xì)的應(yīng)用l適合應(yīng)用于操作系統(tǒng)，但不適合于數(shù)據(jù)庫l強(qiáng)制訪問控制的寧靜性原則不允許對客體的安全級別進(jìn)行修改，這不符合實際l無論是用戶的安全級別，還是信息的安全級別都不是一無論是用戶的安全級別，還是信息的安全級別都不是一成不變的成不變的訪問控制策略訪問控制策略 自主訪問控制自主訪問控制 強(qiáng)制訪問控制強(qiáng)制訪問控制 基于角色的訪問控制基于角色的訪問控制基于角色的訪問控制基于角色的訪問

40、控制l基于角色的訪問控制基于角色的訪問控制RBAClRole-Based Access Control，簡稱，簡稱RBACl與現(xiàn)代的商業(yè)環(huán)境相結(jié)合后的產(chǎn)物，同時具有基于身份策略同時具有基于身份策略的特征和基于規(guī)則策略的特征的特征和基于規(guī)則策略的特征l可以看作是基于組的策略的變種，根據(jù)用戶所屬的角色做出授權(quán)決定；l用戶可能是不只一個組或角色的成員，有時可能有所限制；l同訪問者的身份認(rèn)證密切相關(guān)同訪問者的身份認(rèn)證密切相關(guān)，通過確定該合法訪問者的身份來確定訪問者在系統(tǒng)中對哪類信息有什么樣的訪問權(quán)限。一個訪問者可以充當(dāng)多個角色一個角色可以由多個訪問者擔(dān)任基于角色訪問控制的一般模式基于角色訪問控制的一般

41、模式l一般模式一般模式1.用戶經(jīng)過系統(tǒng)認(rèn)證；2.系統(tǒng)給通過認(rèn)證的用戶分派角色(該角色被分配了一定的權(quán)限)；3.用戶以該角色訪問系統(tǒng)資源；4.訪問控制機(jī)制檢查角色的權(quán)限，決定是否允許其訪問 組和角色的區(qū)別組和角色的區(qū)別組組代表一組用戶的集合代表一組用戶的集合角色角色一組用戶的集合一組用戶的集合+ 一組操作權(quán)限的集合一組操作權(quán)限的集合用戶可以隨意激活和釋放角色，而組成員的授權(quán)不能以用戶的意愿來決定是加入還是離開。 基于角色的訪問控制的特點(diǎn)基于角色的訪問控制的特點(diǎn)l基于角色的訪問控制的特點(diǎn)基于角色的訪問控制的特點(diǎn)l策略描述容易被非技術(shù)的組織策略者所理解；l策略容易被映射到訪問控制矩陣或基于組的策略描

42、述上；l同時具有基于身份策略的特征和基于規(guī)則策略的特征；l基于角色的訪問控制模型是基于組織機(jī)構(gòu)內(nèi)部的實際責(zé)任崗位，來控制用戶對信息的訪問，即角色被定義為與一個角色被定義為與一個特殊工作相關(guān)的活動和責(zé)任的集合。特殊工作相關(guān)的活動和責(zé)任的集合。 l角色可以包含廣泛的內(nèi)容，反映用戶的工作職位，或者反映用戶所需要完成的任務(wù)。 l基于角色的訪問控制并不將對資源的訪問權(quán)利直接指定給基于角色的訪問控制并不將對資源的訪問權(quán)利直接指定給用戶，而是將對數(shù)據(jù)對象的訪問授權(quán)給角色，然后將用戶用戶，而是將對數(shù)據(jù)對象的訪問授權(quán)給角色，然后將用戶的訪問權(quán)利與某個角色相聯(lián)系。的訪問權(quán)利與某個角色相聯(lián)系。 RBAC參考模型參考

43、模型lRBAC參考模型參考模型l核心RBACl層次RBACl靜態(tài)約束l動態(tài)約束每個組件都有三個子部分每個組件都有三個子部分l一個基本元素的集合l元素關(guān)系的集合l一套映射函數(shù)核心核心RBACl核心核心RBACl用戶集合(USERS)l角色集合(ROLES)l數(shù)據(jù)對象集合(OBS)l操作集合(OPS)l許可集合(PRMS)和對話集合(SESSIONS)?；竞x包括將角色分配給用戶，權(quán)利分配將角色分配給用戶，權(quán)利分配給角色，用戶通過加入某個角色獲得對數(shù)據(jù)對給角色，用戶通過加入某個角色獲得對數(shù)據(jù)對象的訪問。象的訪問。 層次層次RBACl層次層次RBACl核心功能的基礎(chǔ)上增加了角色的層次管理層次管理l角色層次關(guān)系即是數(shù)學(xué)上的一個偏序關(guān)系，是分配給角色的權(quán)利之間的繼承關(guān)系。一個組織內(nèi)的所有角色的層次關(guān)系可以構(gòu)造一個樹狀結(jié)構(gòu)，用戶成員用戶成員從屬關(guān)系的繼承是從樹的從屬關(guān)系的繼承是從樹的頂?shù)较?，而分配給角色的頂?shù)较拢峙浣o角色的權(quán)利的繼承是從底向上權(quán)利的繼承是從底向上。 靜態(tài)約束靜態(tài)約束l靜態(tài)約束靜態(tài)約束l在RBAC核心模型上增加了責(zé)任分離約束，對執(zhí)行對執(zhí)行組織內(nèi)沖突策