訪問控制總結(jié)報(bào)告

1、訪問控制概念訪問控制是計(jì)算機(jī)發(fā)展史上最重要的安全需求之一。美國國防部發(fā)布的可信計(jì)算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（Trusted Computer System Evaluation Criteria，TCSEC，即橘皮書),已成為目前公認(rèn)的計(jì)算機(jī)系統(tǒng)安全級別的劃分標(biāo)準(zhǔn).訪問控制在該標(biāo)準(zhǔn)中占有極其重要的地位。安全系統(tǒng)的設(shè)計(jì)，需要滿足以下的要求：計(jì)算機(jī)系統(tǒng)必須設(shè)置一種定義清晰明確的安全授權(quán)策略；對每個(gè)客體設(shè)置一個(gè)訪問標(biāo)簽，以標(biāo)示其安全級別；主體訪問客體前，必須經(jīng)過嚴(yán)格的身份認(rèn)證;審計(jì)信息必須獨(dú)立保存，以使與安全相關(guān)的動作能夠追蹤到責(zé)任人.從上面可以看出來，訪問控制常常與授權(quán)、身份鑒別和認(rèn)證、審計(jì)相關(guān)聯(lián)。設(shè)計(jì)訪問

2、控制系統(tǒng)時(shí),首先要考慮三個(gè)基本元素:訪問控制策略、訪問控制模型以及訪問控制機(jī)制。其中,訪問控制策略是定義如何管理訪問控制，在什么情況下誰可以訪問什么資源.訪問控制策略是動態(tài)變化的。訪問控制策略是通過訪問機(jī)制來執(zhí)行，訪問控制機(jī)制有很多種，各有優(yōu)劣。一般訪問控制機(jī)制需要用戶和資源的安全屬性.用戶安全屬性包括用戶名,組名以及用戶所屬的角色等，或者其他能反映用戶信任級別的標(biāo)志。資源屬性包括標(biāo)志、類型和訪問控制列表等。為了判別用戶是否有對資源的訪問，訪問控制機(jī)制對比用戶和資源的安全屬性。訪問控制模型是從綜合的角度提供實(shí)施選擇和計(jì)算環(huán)境，提供一個(gè)概念性的框架結(jié)構(gòu)。目前人們提出的訪問控制方式包括：自主性訪問

3、控制、強(qiáng)訪問控制、基于角色的訪問控制等。訪問控制方式分類自主訪問控制美國國防部（Department of Defense，DoD)在1985年公布的“可信計(jì)算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)(trusted computer system evaluation criteria，TCSEC)中明確提出了訪問控制在計(jì)算機(jī)安全系統(tǒng)中的重要作用，并指出一般的訪問控制機(jī)制有兩種：自主訪問控制和強(qiáng)制訪問控制。自主訪問控制（DAC)根據(jù)訪問請求者的身份以及規(guī)定誰能（或不能）在什么資源進(jìn)行什么操作的訪問規(guī)則來進(jìn)行訪問控制，即根據(jù)主體的標(biāo)識或主體所屬的組對主體訪問客體的過程進(jìn)行限制。在DAC系統(tǒng)中，訪問權(quán)限的授予可以進(jìn)行傳遞

4、,即主體可以自主地將其擁有的對客體的訪問權(quán)限(全部或部分地）授予其它主體。DAC根據(jù)主體的身份及允許訪問的權(quán)限進(jìn)行決策.自主是指具有某種訪問能力的主體能夠自主地將訪問權(quán)的某個(gè)子集授予其它主體。在DAC系統(tǒng)中，由于DAC可以將訪問權(quán)限進(jìn)行傳遞，對于被傳遞出去的訪問權(quán)限，一般很難進(jìn)行控制。比如，當(dāng)某個(gè)進(jìn)程獲得了信息之后，該信息的流動過程就不再處于控制之中，就是說如果A可訪問B，B可訪問C，則A就可訪問C，這就導(dǎo)致主體對客體的間接訪問無法控制（典型如操作系統(tǒng)中文件系統(tǒng)）。這就造成資源管理分散，授權(quán)管理困難;用戶間的關(guān)系不能在系統(tǒng)中體現(xiàn)出來；信息容易泄漏，無法抵御特洛伊木馬的攻擊；系統(tǒng)開銷巨大，效率低

5、下的缺點(diǎn)，不適合大型網(wǎng)絡(luò)應(yīng)用環(huán)境。強(qiáng)訪問控制強(qiáng)制訪問控制（MAC)根據(jù)中央權(quán)威所確定的強(qiáng)制性規(guī)則來進(jìn)行訪問控制。和DAC不同，強(qiáng)制訪問控制并不具備訪問主體自主性，主體必須在由中央權(quán)威制定的策略規(guī)則約束下對系統(tǒng)資源進(jìn)行訪問.強(qiáng)制訪問控制是一種不允許主體干涉的訪問控制類型，是基于安全標(biāo)識和信息分級等信息敏感性的訪問控制.在MAC中，系統(tǒng)安全管理員強(qiáng)制分配給每個(gè)主/客體一個(gè)安全屬性，強(qiáng)制訪問控制根據(jù)安全屬性來決定主體是否能訪問客體.安全屬性具有強(qiáng)制性，不能隨意更改。MAC最早出現(xiàn)在美國軍方的安全體制中，并且被美國軍方沿用至今。在MAC方案中,每個(gè)目標(biāo)由安全標(biāo)簽分級,每個(gè)對象給予分級列表的權(quán)限。分級列

6、表指定哪種類型的分級目標(biāo)對象是可以訪問的。典型安全策略就是“readdown”和“writeup”,指定對象權(quán)限低的可以對目標(biāo)進(jìn)行讀操作，權(quán)限高的就可以對目標(biāo)進(jìn)行寫操作。MAC通過基于格的非循環(huán)單向信息流政策來防止信息的擴(kuò)散,抵御特洛伊木馬對系統(tǒng)保密性的攻擊。系統(tǒng)中,每個(gè)主體都被授予一個(gè)安全證書，而每個(gè)客體被指定為一定的敏感級別。MAC的兩個(gè)關(guān)鍵規(guī)則是：不向上讀和不向下寫，即信息流只能從低安全級向高安全級流動.任何違反非循環(huán)信息流的行為都是被禁止的。MAC實(shí)現(xiàn)一般采用安全標(biāo)簽機(jī)制，由于安全標(biāo)簽的數(shù)量是非常有限的，因此在授權(quán)管理上體現(xiàn)為粒度很粗。但是由于MAC本身的嚴(yán)格性，授權(quán)管理方式上顯得刻板

7、，不靈活。如果主體和權(quán)限的數(shù)量龐大,授權(quán)管理的工作量非常大.在MAC中，允許的訪問控制完全是根據(jù)主體和客體的安全級別決定。其中主體(用戶、進(jìn)程)的安全級別是由系統(tǒng)安全管理員賦予用戶，而客體的安全級別則由系統(tǒng)根據(jù)創(chuàng)建它們的用戶的安全級別決定.因此，強(qiáng)制訪問控制的管理策略是比較簡單的,只有安全管理員能夠改變主體和客體的安全級別。MAC應(yīng)用領(lǐng)域也比較窄，使用不靈活，一般只用于軍方等具有明顯等級觀念的行業(yè)或領(lǐng)域;雖然MAC增強(qiáng)了機(jī)密性,但完整性實(shí)施不夠，它重點(diǎn)強(qiáng)調(diào)信息向高安全級的方向流動，對高安全級信息的完整性保護(hù)強(qiáng)調(diào)不夠?；诮巧L問控制隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，對訪問控制提出了更高的要求，傳統(tǒng)的訪問

8、控制技術(shù)(DAC,MAC）已經(jīng)很難滿足這些需求，于是提出了新型的基于角色的訪問控制(RBAC).RBAC有效地克服了傳統(tǒng)訪問控制技術(shù)的不足，降低授權(quán)管理的復(fù)雜度，降低管理成本,提高系統(tǒng)安全性,成為近幾年訪問控制領(lǐng)域的研究熱點(diǎn)。最早使用RBAC這個(gè)術(shù)語,是在1992年Ferraiolo和Kuhn發(fā)表的文章中.提出了RBAC中的大部分術(shù)語，如，角色激活（Role Activation)，角色繼承(Role Hierarchy),角色分配時(shí)的約束（Constraints)等等。因?yàn)镽BAC借鑒了較為人們熟知的用戶組、權(quán)限組和職責(zé)分離（Separation of Duty)等概念，而且，以角色為中心的

9、權(quán)限管理更為符合公司和企業(yè)的實(shí)際管理方式。Ferraiolo和Sandhu等人分別在1994年后提出了有關(guān)RBAC模型的早期形式化定義，其中，Sandhu等人定義了RBAC模型的一個(gè)比較完整的框架，即RBAC96模型.RBAC1和RBAC2都建立在RBAC0之上，RBAC1給出了角色繼承的概念,RBAC2增加了約束的概念。在擴(kuò)展研究中，RBAC管理方面，研究者試圖采用RBAC本身來管理RBAC,于是，出現(xiàn)ARBAC97模型及其擴(kuò)展,這些模型讓管理角色及其權(quán)限獨(dú)立于常規(guī)角色及其權(quán)限。第二是RBAC功能方面.研究者通過擴(kuò)展RBAC的約束來增強(qiáng)它的表達(dá)能力，以適應(yīng)不同情況下的權(quán)限管理。最初的約束是用

10、來實(shí)現(xiàn)權(quán)責(zé)分離，后來又出現(xiàn)了其他的約束,如,約束角色的用戶數(shù)目，增加了時(shí)間約束的TRBAC模型，增加了權(quán)限使用次數(shù)的UCRBAC模型，帶有使用范圍的靈活約束，采用形式化的語言來描述RBAC的約束，如RCL2000語言、對象約束語言（OCL， Object Constraint Language）和其他語言等。第三，是討論RBAC與其他訪問控制模型的關(guān)系.第四是RBAC在各個(gè)領(lǐng)域的應(yīng)用。美國國家標(biāo)準(zhǔn)與技術(shù)研究院（The National Institute of Standards and Technology，NIST)制定的標(biāo)準(zhǔn)RBAC模型由4個(gè)部件模型組成，這4個(gè)部件模型包括RBAC的核心

11、(Core RBAC)，RBAC的繼承（Hierarchal RBAC），RBAC的約束(Constraint RBAC)中的靜態(tài)職權(quán)分離（SSD)和動態(tài)職權(quán)分離(DSD)兩個(gè)責(zé)任分離部件模型。RBAC的核心思想就是將訪問權(quán)限與角色相聯(lián)系，通過給用戶分配合適的角色，讓用戶與訪問權(quán)限相聯(lián)系。角色是根據(jù)企業(yè)內(nèi)為完成各種不同的任務(wù)需要而設(shè)置的,根據(jù)用戶在企業(yè)中的職權(quán)和責(zé)任來設(shè)定它們的角色.用戶可以在角色間進(jìn)行轉(zhuǎn)換，系統(tǒng)可以添加、刪除角色,還可以對角色的權(quán)限進(jìn)行添加、刪除。這樣通過應(yīng)用RBAC將安全性放在一個(gè)接近組織結(jié)構(gòu)的自然層面上進(jìn)行管理。在DAC和MAC系統(tǒng)中，訪問權(quán)限都是直接授予用戶，而系統(tǒng)中的

12、用戶數(shù)量眾多,且經(jīng)常變動,這就增加了授權(quán)管理的復(fù)雜性。RBAC彌補(bǔ)了這方面的不足,簡化了各種環(huán)境下的授權(quán)管理。RBAC模型引入了角色（role)這一中介，實(shí)現(xiàn)了用戶（user）與訪問許可權(quán)（permission）的邏輯分離。在RBAC系統(tǒng)模型中，用戶是動態(tài)變化的，用戶與特定的一個(gè)或多個(gè)角色相聯(lián)系，擔(dān)任一定的角色.角色是與特定工作崗位相關(guān)的一個(gè)權(quán)限集，角色與一個(gè)或多個(gè)訪問許可權(quán)相聯(lián)系，角色可以根據(jù)實(shí)際的工作需要生成或取消。用戶可以根據(jù)自己的需要動態(tài)激活自己擁有的角色。與用戶變化相比，角色變化比較穩(wěn)定。系統(tǒng)將訪問權(quán)限分配給角色，當(dāng)用戶權(quán)限發(fā)生變化時(shí)，只需要執(zhí)行角色的撤消和重新分配即可。另外，通過角

13、色繼承的方法可以充分利用原來定義的角色，使得各個(gè)角色之間的邏輯關(guān)系清晰可見，同時(shí)又避免了重復(fù)工作,減小了出錯(cuò)幾率。2.4 基于上下文的訪問控制CBAC是在RBAC研究的基礎(chǔ)上產(chǎn)生的。CBAC是把請求人所處的上下文環(huán)境作為訪問控制的依據(jù)?；谏舷挛牡脑L問控制，可以識別上下文，同時(shí)，其策略管理能夠根據(jù)上下文的變化,來實(shí)現(xiàn)動態(tài)的自適應(yīng).一般地,基于上下文的訪問控制利用了語義技術(shù),以此實(shí)現(xiàn)上下文和策略的更高層次的描述和推理。2。5 基于任務(wù)的訪問控制隨著數(shù)據(jù)庫、網(wǎng)絡(luò)和分布式計(jì)算的發(fā)展，組織任務(wù)進(jìn)一步自動化，與服務(wù)相關(guān)的信息進(jìn)一步計(jì)算機(jī)化,為了解決隨著任務(wù)的執(zhí)行而進(jìn)行動態(tài)授權(quán)的安全保護(hù)問題,提出了基于任

14、務(wù)的訪問控制(Task-based Access Control，TBAC）模型。TBAC是從應(yīng)用和企業(yè)層角度來解決安全問題(而非從系統(tǒng)角度）。TBAC采用“面向服務(wù)的觀點(diǎn)，從任務(wù)的角度，建立安全模型和實(shí)現(xiàn)安全機(jī)制，依據(jù)任務(wù)和任務(wù)狀態(tài)的不同，在任務(wù)處理的過程中提供動態(tài)實(shí)時(shí)的安全管理.TBAC模型包括工作流（Work flow， Wf)，授權(quán)結(jié)構(gòu)體（Authorization unit, Au）,受托人集（TrusteeSet, T)，許可集（Permissions， P)四部分。其中，Wf是由一系列Au組成；Au之間存在順序依賴，失敗依賴,分權(quán)依賴，代理依賴的關(guān)系。在TBAC中，授權(quán)需用五元組

15、（S,O，P,L,AS）來表示。（1)S表示主體,O表示客體，P表示許可，L表示生命期（lifecycle)；（2)AS表示授權(quán)步（Authorization step），是指在一個(gè)工作流程中對處理對象(如辦公流程中的原文檔）的一次處理過程.授權(quán)步由受托人集（trustee-set)和多個(gè)許可集（permissions set)組成，其中，受托人集是可被授予執(zhí)行授權(quán)步的用戶的集合，許可集則是受托集的成員被授予授權(quán)步時(shí)擁有的訪問許可。(3)P是授權(quán)步AS所激活的權(quán)限，L則是授權(quán)步AS的存活期限。L和AS是TBAC不同于其他訪問控制模型的顯著特點(diǎn)。在授權(quán)步AS被觸發(fā)之前,它的保護(hù)態(tài)是無效的,其中包

16、含的許可不可使用。當(dāng)授權(quán)步AS被觸發(fā)時(shí)，它的委托執(zhí)行者開始擁有執(zhí)行者許可集中的權(quán)限，同時(shí)它的生命期開始倒記時(shí)。在生命期期間,五元組（S，O，P，L，AS）有效。當(dāng)生命期終止,即授權(quán)步AS被定為無效時(shí),五元組(S，O，P,L，AS）無效，委托執(zhí)行者所擁有的權(quán)限被回收。通過授權(quán)步的動態(tài)權(quán)限管理，TBAC可以支持最小權(quán)限和職責(zé)分離原則。TBAC是一種主動安全模型，在這種模型中，對象的訪問權(quán)限控制并不是靜止不變的，而是隨著執(zhí)行任務(wù)的上下文環(huán)境發(fā)生變化.TBAC是從工作流的環(huán)境來考慮信息安全問題。在工作流環(huán)境中，每一步對數(shù)據(jù)的處理都與以前的處理相關(guān)，相應(yīng)的訪問控制也是這樣,因此,TBAC是一種上下文相關(guān)

17、的訪問控制模型。TBAC不僅能對不同工作流實(shí)行不同的訪問控制策略，而且還能對同一工作流的不同任務(wù)實(shí)例（instance）實(shí)行不同的訪問控制策略，所以,TBAC又是一種基于實(shí)例的訪問控制模型。在TBAC中，用戶對于授予的權(quán)限的使用具有時(shí)效性的。TBAC比較適合分布式計(jì)算和多點(diǎn)訪問控制的信息處理控制以及在工作流、分布式處理和事務(wù)管理系統(tǒng)中的決策指定。T-RBAC模型把任務(wù)和角色置于同等重要的地位，它們是兩個(gè)獨(dú)立而又相互關(guān)聯(lián)的重要概念。任務(wù)是RBAC和TBAC能結(jié)合的基礎(chǔ)。2.6 基于屬性的訪問控制在開放環(huán)境下（如互聯(lián)網(wǎng))不同的客戶端和服務(wù)器頻繁交互，這些交互方有時(shí)處于不同的安全域之內(nèi)，相互只能知道

18、對方部分信息。傳統(tǒng)的基于身份的訪問控制 （IBAC)已不能適用于這種環(huán)境，基于屬性的訪問控制（ABAC）能夠很好地適應(yīng)這種開放的網(wǎng)絡(luò)環(huán)境。基于屬性的訪問控制模型(ABAC)是根據(jù)參與決策的相關(guān)實(shí)體的屬性來進(jìn)行授權(quán)決策的。ABAC中的基本元素包括請求者，被訪問資源，訪問方法和條件,這些元素統(tǒng)一使用屬性來描述，各個(gè)元素所關(guān)聯(lián)的屬性可以根據(jù)系統(tǒng)需要定義.屬性概念將訪問控制中對所有元素的描述統(tǒng)一起來,同時(shí)擺脫了基于身份的限制。在ABAC中，策略中的訪問者是通過訪問者屬性來描述，同樣,被訪問資源、訪問方法也是通過資源和方法的屬性來描述，而條件用環(huán)境屬性來描述.環(huán)境屬性通常是一類不屬于主體，資源和方法的動

19、態(tài)屬性，如訪問時(shí)間，歷史信息等。條件有時(shí)也會用來描述不同類型屬主具有的屬性之間的關(guān)系,如訪問者的某一屬性與資源的某一屬性之間的關(guān)系。ABAC是否允許一個(gè)主體訪問資源是根據(jù)請求者、被訪問資源以及當(dāng)前上下文環(huán)境的相關(guān)屬性來決定的.這使得ABAC具有足夠的靈活性和可擴(kuò)展性，同時(shí)使得安全的匿名訪問成為可能,這在大型分布式環(huán)境下是十分重要的931.XACML集中體現(xiàn)了CBAC和ABAC的思想，利用上下文中包含的請求方的屬性信息，與事前制定的策略進(jìn)行匹配，來進(jìn)行訪問控制決策和授權(quán)。2。7 基于信譽(yù)的訪問控制1996年，M. Blaze等人為了解決Internet網(wǎng)絡(luò)服務(wù)的安全問題，首次提出了“信任管理（T

20、rust Management）的概念，其基本思想是承認(rèn)開放系統(tǒng)中安全信息的不完整性，提出系統(tǒng)的安全決策需要附加的安全信息.與此同時(shí)，A。 AdulRahman等學(xué)者則從信任的概念出發(fā)，對信任內(nèi)容和信任程度進(jìn)行劃分,并從信任的主觀性入手給出信任的數(shù)學(xué)模型用于信任評估。長期以來，信任管理技術(shù)演化發(fā)展為兩個(gè)分支：基于憑證和策略的理性信任模型和基于信譽(yù)的感性信任模型。針對網(wǎng)格應(yīng)用具體環(huán)境，這兩種模型各有優(yōu)缺點(diǎn)。對于理性信任模型而言，由于在廣域網(wǎng)格環(huán)境下缺乏公共認(rèn)可的權(quán)威機(jī)構(gòu),憑證并不完全可靠，也并不一定能通行無阻；而且完全依靠認(rèn)證中心，弱化了個(gè)體的自我信任，而盲目信任大范圍內(nèi)的認(rèn)證中心，往往會無法解決個(gè)體間的利益沖突。在基于信譽(yù)的感性信任模型中，也存在著很多問題:存在著評價(jià)空白時(shí)“信與“不信的臨界兩難狀態(tài)；對惡意行為的免疫力不強(qiáng),譬如對惡意推薦缺乏行之有效的過濾方法，對策略型欺騙行為缺乏有效的識別和抑制;對評價(jià)反饋行