第08章 身份認證、訪問控制與系統(tǒng)審計

1、第8章 身份認證、訪問控制與系統(tǒng)審計 Network and Information Security圖8-1 經典安全模型 8.1 計算機安全模型 Network and Information Security經典安全模型包含如下基本要素：(1) 明確定義的主體和客體；(2) 描述主體如何訪問客體的一個授權數據庫；(3) 約束主體對客體訪問嘗試的參考監(jiān)視器；(4) 識別和驗證主體和客體的可信子系統(tǒng)；(5) 審計參考監(jiān)視器活動的審計子系統(tǒng)。Network and Information Security可以看出，這里為了實現計算機系統(tǒng)安全所采取的基本安全措施，即安全機制有身份認證、訪問控制和

2、審計。 參考監(jiān)視器是主體/角色對客體進行訪問的橋梁.身份識別與驗證，即身份認證是主體/角色獲得訪問授權的第一步，這也是早期黑客入侵系統(tǒng)的突破口。訪問控制是在主體身份得到認證后，根據安全策略對主體行為進行限制的機制和手段。審計作為一種安全機制，它在主體訪問客體的整個過程中都發(fā)揮著作用，為安全分析提供了有利的證據支持。它貫穿于身份認證、訪問控制的前前后后。同時，身份認證、訪問控制為審計的正確性提供保障。它們之間是互為制約、相互促進的。 Network and Information Security圖8-2 安全機制Network and Information Security訪問控制模型基本結

3、構Network and Information Security8.2 身份認證在有安全需求的應用系統(tǒng)中，識別用戶的身份是系統(tǒng)的基本要求，身份認證是安全系統(tǒng)中不可缺少的一部分，也是防范入侵的第一道防線。身份認證的方法多種多樣，其安全強度也各不相同，具體方法可歸結為3類：根據用戶知道什么、擁有什么、是什么來進行認證。用戶知道什么，一般就是口令、用戶標識碼（Personal Identification Number, PIN）以及對預先設置的問題的答案；用戶擁有什么，通常為令牌或USB key；用戶是什么，這是一種基于生物識別技術的身份認證，分為靜態(tài)生物認證和動態(tài)生物認證，靜態(tài)生物認證包括：指

4、紋識別、虹膜識別及人臉識別， 動態(tài)生物認證包括： 語音識別及筆跡特征識別。Network and Information Security8.2.1 用戶名和口令認證通過用戶名和口令進行身份認證是最簡單，也是最常見的認證方式，但是認證的安全強度不高。所有的多用戶系統(tǒng)、網絡服務器、Web的電子商務等系統(tǒng)都要求提供用戶名或標識符（ID），還要求提供口令。系統(tǒng)將用戶輸入的口令與以前保存在系統(tǒng)中的該用戶的口令進行比較，若完全一致則認為認證通過，否則不能通過認證。根據處理方式的不同，有3種方式：口令的明文傳送、利用單向散列函數處理口令、利用單向散列函數和隨機數處理口令，這3種方式的安全強度依次增高，處理

5、復雜度也依次增大。 Network and Information Security口令以明文形式傳送時，沒有任何保護 Network and Information Security為防止口令被竊聽，可用單向散列函數處理口令，傳輸口令的散列值，而不傳輸口令本身。 Network and Information Security傳輸口令的散列值也存在不安全因素，黑客雖然不知道口令的原文，但是他可以截獲口令的散列值，直接把散列值發(fā)送給驗證服務器，也能驗證通過，這是一種重放攻擊。為解決這個問題，服務器首先生成一個隨機數并發(fā)給用戶，用戶把口令散列值與該隨機數連接或異或后再用單向散列函數處理一遍，把最

6、后的散列值發(fā)給服務器。 Network and Information Security8.2.2 令牌和USB key認證令牌實際上就是一種智能卡，私鑰存儲在令牌中，對私鑰的訪問用口令進行控制。令牌沒有物理接口，無法與計算機連接，必須手動把隨機數鍵入令牌，令牌對鍵入的隨機數用私鑰進行數字簽名，并把簽名值的Base64編碼（一種編碼方法，可以把任意二進制位串轉化為可打印的ASCII碼）輸出到令牌的顯示屏上，用戶再鍵入計算機。如果用時間代替隨機數，就不需要用戶鍵入隨機數了，更容易使用。在青島朗訊公司，每位員工都有一個這樣的令牌，員工在任何一個地方都可以通過身份認證，安全地登錄公司內部網絡，大大提

7、高了工作效率。令牌無法與計算機連接，使用總是不方便，可以用USB key代替。USB key通過USB接口直接連接在計算機上，不需要用戶手動鍵入數據，比令牌方便得多。Network and Information Security8.2.3 生物識別認證使用生物識別技術的身份認證方法已經廣泛使用，主要是根據用戶的圖像、指紋、氣味、聲音等作為認證數據。有的公司為了嚴格職工考勤，購入指紋考勤機，職工上下班時必須按指紋考勤。這避免了以前使用打卡機時職工相互代替打卡的問題，雖然認證是非常嚴格而且安全了，但職工卻有了一種不被信任感，未必是好事。在安全性要求很高的系統(tǒng)中，可以把這3種認證方法結合起來，達到

8、最高的安全性。Network and Information Security8.3 訪 問 控 制 在計算機安全防御措施中，訪問控制是極其重要的一環(huán)，它是在身份認證的基礎上，根據身份的合法性對提出的資源訪問請求加以控制。Network and Information Security 8.3.1 基本概念廣義地講， 所有的計算機安全都與訪問控制有關。實際上RFC 2828 定義計算機安全如下：用來實現和保證計算機系統(tǒng)的安全服務的措施， 特別是保證訪問控制服務的措施。訪問控制(Access Control)是指主體訪問客體的權限或能力的限制，以及限制進入物理區(qū)域(出入控制)和限制使用計算機系統(tǒng)

9、和計算機存儲數據的過程(存取控制)。在訪問控制中，主體是訪問的發(fā)起者，訪問客體的活動資源，通常為進程、程序或用戶。客體則是指對其訪問必須進行控制的資源，客體一般包括各種資源，如文件、設備、信號量等。訪問控制中的第三個元素是保護規(guī)則，它定義了主體與客體之間可能的相互作用途徑。Network and Information Security保護域的概念。每一主體(進程)都在一特定的保護域下工作，保護域規(guī)定了進程可以訪問的資源。每一域定義了一組客體及可以對客體采取的操作?？蓪腕w操作的能力稱為訪問權(Access Right)，訪問權定義為有序對的形式。 一個域是訪問權的集合。如域X有訪問權，則在域

10、X下運行的進程可對文件A執(zhí)行讀寫，但不能執(zhí)行任何其它的操作。 保護域并不是彼此獨立的。它們可以有交叉，即它們可以共享權限。域X和域Y對打印機都有寫的權限，從而產生了訪問權交叉現象。Network and Information Security圖8-3 有重疊的保護域Network and Information Security 根據訪問控制策略的不同，訪問控制一般分為自主訪問控制、強制訪問控制、基于角色的訪問控制、基于任務的訪問控制、使用控制等 。自主訪問控制是以前計算機系統(tǒng)中實現較多的訪問控制機制，它是根據訪問者的身份和授權來決定訪問模式的。強制訪問控制是將主體和客體分級，然后根據主體和

11、客體的級別標記來決定訪問模式?！皬娭啤敝饕w現在系統(tǒng)強制主體服從訪問控制策略上?；诮巧脑L問控制的基本思想是：授權給用戶的訪問權限通常由用戶在一個組織中擔當的角色來確定。它根據用戶在組織內所處的角色作出訪問授權和控制，但用戶不能自主地將訪問權限傳給他人。Network and Information Security 8.3.2 自主訪問控制 自主訪問控制又稱任意訪問控制(Discretionary Access Control，DAC)，是指根據主體身份或者主體所屬組的身份或者二者的結合，對客體訪問進行限制的一種方法。 它是訪問控制措施中常用的一種方法，這種訪問控制方法允許用戶可以自主地在

12、系統(tǒng)中規(guī)定誰可以存取它的資源實體，即用戶(包括用戶程序和用戶進程)可選擇同其它用戶一起共享某個文件。 Network and Information Security 在各種以自主訪問控制機制進行訪問控制的系統(tǒng)中，存取模式主要有：讀(read)，即允許主體對客體進行讀和拷貝的操作；寫(write)，即允許主體寫入或修改信息，包括擴展、壓縮及刪除等；執(zhí)行(execute)，就是允許將客體作為一種可執(zhí)行文件運行，在一些系統(tǒng)中該模式還需要同時擁有讀模式；空模式(null)，即主體對客體不具有任何的存取權。 自主訪問控制缺陷Network and Information Security自主訪問控制的

13、具體實施可采用以下四種方法。(1) 目錄表(Directory List)在目錄表訪問控制方法中借用了系統(tǒng)對文件的目錄管理機制，為每一個欲實施訪問操作的主體，建立一個能被其訪問的“客體目錄表(文件目錄表)”。例如某個主體的客體目錄表可能為：客體1:權限1 客體2:權限2 客體n:權限n 。當然，客體目錄表中各個客體的訪問權限的修改只能由該客體的合法屬主確定，不允許其它任何用戶在客體目錄表中進行寫操作，否則將可能出現對客體訪問權的偽造。操作系統(tǒng)必須在客體的擁有者控制下維護所有的客體目錄。Network and Information Security目錄表訪問控制機制的優(yōu)點是容易實現，每個主體擁

14、有一張客體目錄表，這樣主體能訪問的客體及權限就一目了然了，依據該表對主體和客體的訪問與被訪問進行監(jiān)督比較簡便。缺點之一是系統(tǒng)開銷、浪費較大，這是由于每個用戶都有一張目錄表，如果某個客體允許所有用戶訪問，則將給每個用戶逐一填寫文件目錄表，因此會造成系統(tǒng)額外開銷；二是由于這種機制允許客體屬主用戶對訪問權限實施傳遞并可多次進行，造成同一文件可能有多個屬主的情形，各屬主每次傳遞的訪問權限也難以相同，甚至可能會把客體改用別名，因此使得能越權訪問的用戶大量存在，在管理上繁亂易錯。Network and Information Security(2) 訪問控制列表(Access Control List)訪

15、問控制列表的策略正好與目錄表訪問控制相反，它是從客體角度進行設置的、面向客體的訪問控制。每個客體有一個訪問控制列表，用來說明有權訪問該客體的所有主體及其訪問權限。訪問控制列表方式的最大優(yōu)點就是能較好地解決多個主體訪問一個客體的問題，不會像目錄表訪問控制那樣因授權繁亂而出現越權訪問。缺點是由于訪問控制列表需占用存儲空間，并且由于各個客體的長度不同而出現存放空間碎片，造成浪費；每個客體被訪問時都需要對訪問控制列表從頭到尾掃描一遍，影響系統(tǒng)運行速度和浪費了存儲空間。 Network and Information Security(3) 訪問控制矩陣(Access Control Matrix)訪問

16、控制矩陣是對上述兩種方法的綜合。存取控制矩陣模型是用狀態(tài)和狀態(tài)轉換進行定義的，系統(tǒng)和狀態(tài)用矩陣表示，狀態(tài)的轉換則用命令來進行描述。直觀地看，訪問控制矩陣是一張表格，每行代表一個用戶(即主體)，每列代表一個存取目標(即客體)，表中縱橫對應的項是該用戶對該存取客體的訪問權集合(權集)。訪問控制矩陣原理示意圖 Network and Information Security抽象地說，系統(tǒng)的訪問控制矩陣表示了系統(tǒng)的一種保護狀態(tài)，如果系統(tǒng)中用戶發(fā)生了變化，訪問對象發(fā)生了變化，或者某一用戶對某個對象的訪問權限發(fā)生了變化，都可以看作是系統(tǒng)的保護狀態(tài)發(fā)生了變化。由于訪問控制矩陣模型只規(guī)定了系統(tǒng)狀態(tài)的遷移必須有

17、規(guī)則，而沒有規(guī)定是什么規(guī)則，因此該模型的靈活性很大，但卻給系統(tǒng)埋下了潛在的安全隱患。 Network and Information Security(4) 能力表(Capability List)能力表是訪問控制矩陣的另一種表示方式。在訪問控制矩陣表中可以看到，矩陣中存在一些空項(空集)，這意味著有的用戶對一些客體不具有任何訪問或存取的權力 。能力表的方法是對存取矩陣的改進，它將矩陣的每一列作為一個客體而形成一個存取表。每個存取表只由主體、權集組成，無空集出現。為了實現完善的自主訪問控制系統(tǒng)，由訪問控制矩陣提供的信息必須以某種形式保存在系統(tǒng)中，這種形式就是用訪問控制表和能力表來實施的。Net

18、work and Information Security自主訪問控制面臨的最大問題是：在自主訪問控制中，具有某種訪問權的主體能夠自行決定將其訪問權直接或間接地轉交給其它主體。自主訪問控制允許系統(tǒng)的用戶對于屬于自己的客體，按照自己的意愿，允許或者禁止其它用戶訪問。也就是說，主體擁有者對訪問的控制有一定權利。但正是這種權利使得信息在移動過程中，其訪問權限關系會被改變。如用戶A可以將其對客體目標O的訪問權限傳遞給用戶B，從而使不具備對O訪問權限的B也可以訪問O，這樣做很容易產生安全漏洞，所以自主訪問控制的安全級別很低。Network and Information Security強制訪問控制(M

19、andatory Access Control，MAC)是根據客體中信息的敏感標簽和訪問敏感信息的主體的訪問等級，對客體的訪問實行限制的一種方法。它主要用于保護那些處理特別敏感數據(例如，政府保密信息或企業(yè)敏感數據)的系統(tǒng)。在強制訪問控制中，用戶的權限和客體的安全屬性都是固定的，由系統(tǒng)決定一個用戶對某個客體能否進行訪問。所謂“強制”，就是安全屬性由系統(tǒng)管理員人為設置，或由操作系統(tǒng)自動地按照嚴格的安全策略與規(guī)則進行設置，用戶和他們的進程不能修改這些屬性。 8.3.3 強制訪問控制Network and Information Security圖8-7 強制訪問控制Network and Info

20、rmation Security 8.3.4 基于角色的訪問控制基于角色的訪問控制(Role-Based Access Control，RBAC)的核心思想就是：授權給用戶的訪問權限通常由用戶在一個組織中擔當的角色來確定。 引入了“角色”這一重要的概念，所謂“角色”，是指一個或一群用戶在組織內可執(zhí)行的操作的集合。這里的角色就充當著主體(用戶)和客體之間的關系的橋梁。這是與傳統(tǒng)的訪問控制策略的最大區(qū)別所在。Network and Information Security圖8-8 基于角色的訪問控制一個主體可以具有多個角色，一個角色可以分給多個主體；一個角色可以訪問多個客體，一個客體可以被多個角色

21、訪問 Network and Information Security RBAC96模型 Sandhu等于1996年提出的RBAC96模型 。此后， Sandhu 和Ferraiolo等人綜合了該領域眾多研究者的共識，將RBAC96模型修改后形成為NIST RBAC建議標準（RBAC2001模型） Network and Information Security 基于角色的訪問控制有以下五個特點。 1) 以角色作為訪問控制的主體 用戶以什么樣的角色對資源進行訪問，決定了用戶擁有的權限以及可執(zhí)行何種操作。 2) 角色繼承 為了提高效率，避免相同權限的重復設置，RBAC采用了“角色繼承”的概念，定

22、義的各類角色，它們都有自己的屬性，但可能還繼承其它角色的屬性和權限。角色繼承把角色組織起來，能夠很自然地反映組織內部人員之間的職權、責任關系。 Network and Information Security圖8-8 角色繼承Network and Information Security 3) 最小特權原則(Least Privilege Theorem) 最小特權原則是系統(tǒng)安全中最基本的原則之一。所謂最小特權，是指“在完成某種操作時所賦予網絡中每個主體(用戶或進程)的必不可少的特權”。 最小特權原則則是指“應限定網絡中每個主體所必須的最小特權，確保由于可能的事故、錯誤、網絡部件的篡改等原因

23、造成的損失最小”。 換句話說，最小特權原則是指用戶所擁有的權利不能超過他執(zhí)行工作時所需的權限。 Network and Information Security在RBAC中，可以根據組織內的規(guī)章制度、職員的分工等設計擁有不同權限的角色，只有角色執(zhí)行所需要的才授權給角色。 當一個主體需訪問某資源時，如果該操作不在主體當前所扮演的角色授權操作之內，該訪問將被拒絕。 最小特權原則一方面給予主體“必不可少”的特權，這就保證了所有的主體都能在所賦予的特權之下完成所需要完成的任務或操作；另一方面，它只給予主體“必不可少”的特權，這就限制了每個主體所能進行的操作。 Network and Informati

24、on Security 4) 職責分離（主體與角色的分離） 對于某些特定的操作集，某一個角色或用戶不可能同時獨立地完成所有這些操作?！奥氊煼蛛x”可以有靜態(tài)和動態(tài)兩種實現方式。靜態(tài)職責分離：只有當一個角色與用戶所屬的其它角色彼此不互斥時，這個角色才能授權給該用戶。動態(tài)職責分離：只有當一個角色與一主體的任何一個當前活躍角色都不互斥時，該角色才能成為該主體的另一個活躍角色。Network and Information Security 5) 角色容量 在創(chuàng)建新的角色時，要指定角色的容量。在一個特定的時間段內，有一些角色只能由一定人數的用戶占用。Network and Information Sec

25、urity 基于角色的訪問控制是根據用戶在系統(tǒng)里表現的活動性質而定的，這種活動性質表明用戶充當了一定的角色。 用戶訪問系統(tǒng)時，系統(tǒng)必須先檢查用戶的角色，一個用戶可以充當多個角色，一個角色也可以由多個用戶擔任。Network and Information Security基于角色的訪問控制機制優(yōu)缺點：模型的優(yōu)點在于便于授權管理、角色劃分、RBAC能夠很容易地將組織的安全策略映射到信息系統(tǒng)中，簡化安全策略的實施、具有自我管理能力、支持數據抽象和最小特權原則等。 基于角色的訪問控制是一種有效而靈活的安全措施，目前仍處在深入研究和廣泛使用之中。但也存在缺點，RBAC模型是基于主體客體觀點的被動安全模

26、型,它是從系統(tǒng)的角度(控制環(huán)境是靜態(tài)的)出發(fā)保護資源。授權是靜態(tài)的,不具備動態(tài)適應性，這顯然使系統(tǒng)面臨極大的安全威脅，難以適應動態(tài)開放的網絡環(huán)境。 Network and Information Security8.3.5基于任務的訪問控制(Task-Based Access Control)TBAC模型是一種基于任務、采用動態(tài)授權的主動安全模型。它從應用和企業(yè)的角度來解決安全問題。TBAC模型采用面向任務的觀點,從任務的角度來建立安全模型和實現安全機制,在任務處理的過程中提供實時的安全管理。它將訪問權限與任務相結合, 客體的訪問控制權限并不是靜止不變的,而是隨著執(zhí)行任務的上下文環(huán)境的變化而變

27、化。Network and Information SecurityTBAC 的基本概念如下(1)(1)授權步驟（Authorization Step）：是指在一個工作流程中對處理對象(如辦公流程中的原文檔)的一次處理過程。它是訪問控制所能控制的最小單元。授權步由受托人集（Trustee Set）和多個許可集（Permissions Set）組成。受托人集是可被授予執(zhí)行授權步的用戶的集合，許可集則是受托集的成員被授予授權步時擁有的訪問許可。Network and Information Security(2)授權單元（Authorization Unit）：授權單元是由一個或多個授權步驟組成的

28、單元，它們在邏輯上是相互聯系的。授權單元分為一般授權單元和復合授權單元。一般授權單元內的授權步驟按順序依次執(zhí)行，復合授權單元內部的每個授權步驟緊密聯系，其中任何一個授權步驟失敗都會導致整個單元的失敗。Network and Information SecurityTBAC 的基本概念如下(2)(3)任務（Task）：任務是工作流程中的一個邏輯單元。它是一個可區(qū)分的動作，可能與多個用戶相關，也可能包括幾個子任務。一個任務包含如下特征：長期存在；可能包括多個子任務；完成一個子任務可能需要不同的人。Network and Information Security(4)依賴（Dependency）：依

29、賴是指授權步驟之間或授權單元之間的相互關系，包括順序依賴、失敗依賴、分權依賴和代理依賴。依賴反映了基于任務的訪問控制的原則。Network and Information Security圖3-3 TBAC模型Network and Information SecurityTBAC 的優(yōu)缺點TBAC的主動、動態(tài)等特性,使其廣泛應用于工作流、分布式處理、多點訪問控制的信息處理和事務管理系統(tǒng)的決策制定等方面。盡管TBAC具備許多特點,但當應用于復雜的企業(yè)環(huán)境時,就會暴露出自身的缺陷。例如在實際的企業(yè)環(huán)境中,角色是一個非常重要的概念,但TBAC中并沒有將角色與任務清楚地分離開來,也不支持角色的層次等

30、級，也無法表示職責分離約束；另外,訪問控制并非都是主動的,也有屬于被動形式的,但TBAC并不支持被動訪問控制，同時，任務的劃分也不明確。Network and Information Security2.3.6基于任務和角色的訪問控制模型（TRBAC）TRBAC是一種動態(tài)授權的主動安全模型，它將從系統(tǒng)角度出發(fā)保護資源的RBAC模型和從應用和企業(yè)層角度出發(fā)解決安全問題的TBAC模型結合在一起，結合二者的優(yōu)點而構建的訪問控制模型。其主要思想是將角色與任務相關聯,然后再給任務賦予相關的權限。這樣,在工作流應用訪問控制時,權限與任務相關聯的主要目的是實現對權限的動態(tài)管理,而將角色與任務相關聯有利于管理

31、人員掌握角色所執(zhí)行的任務和客體之間的相關信息。在更新角色的權限時,以任務為中介十分便于管理人員對角色的管理。Network and Information SecurityTRBAC同時擁有角色與任務兩個同等重要元素，符合企業(yè)環(huán)境中職員通過接受任務而進行工作的思想。實現了動靜結合的訪問控制，使角色的操作、維護和任務的管理變得簡單方便,也使得系統(tǒng)變得更為安全。Network and Information SecurityTRBAC基于任務-角色層次模型 Network and Information Security但TRBAC模型也存在其不足，其授權策略大都是基于工作流應用環(huán)境出發(fā)考慮的訪問

32、控制。雖然改進了的TRBAC模型既滿足了機密性，又滿足了有效性，但對于現今高動態(tài)、開化式的網絡環(huán)境還存在諸多不足，例如客體屬性的更新不僅可能發(fā)生在主體訪問客體前，而且可能在整個訪問的過程中和訪問后也需要有更新。主體在訪問客體時需要完成一定的操作行為，系統(tǒng)才允許訪問?；蛘咴L問需要滿足執(zhí)行環(huán)境和系統(tǒng)狀態(tài)才可以進行。而這些需求在TRBAC模型中還不能完全解決，缺少對現代訪問控制領域的若干新概念的支持。Network and Information Security8.3.7 使用控制 （UCONABC） Network and Information Security表8-1 16種UCONABC核

33、心模型 0(屬性不可變)1(屬性訪問前更新)2(屬性過程更新)3(屬性訪問后更新)預先授權YYNY過程授權YYYY預先責任YYNY過程責任YYYY預先條件YNNN過程條件YNNNNetwork and Information Security8.3.8 訪問控制小結 訪問控制主要優(yōu)點主要缺點DAC是基于授權者的訪問控制手段，訪問控制靈活安全可靠性低，會造成存儲空間和查找時間的浪費MAC基于管理的信息流控制原則，支持多種級別的安全梯度，具有高安全性授權方式不太靈活，安全級別劃分困難RBAC是一種策略中立的訪問控制方式，授權靈活，使用繼承和約束的概念，能容易的融合新技術最小權限約束還不夠細化，效率

34、低且動態(tài)適應性差，只能用于被動訪問控制TBAC基于活動的動態(tài)安全模型，訪問控制的客體是動態(tài)變化的，且權限的使用也是有時效的角色和任務沒有分離，且只能進行主動的訪問控制TRBAC是一種動態(tài)授權的主動安全模型，同時擁有角色與任務兩個同等重要元素，實現了動靜結合的訪問控制思想只針對于工作流來考慮，缺少對任務特性的細化，以及不能適應系統(tǒng)的多樣性訪問控制需求UCON是一種將傳統(tǒng)的訪問控制、信任管理和數字版權管理集成的一個訪問控制框架。在定義了授權、義務、和條件的同時提出了連續(xù)性易變性兩大特性。豐富和完善了訪問控制，適用于現代開放式網絡環(huán)境。還只是一種高度抽象的參考性的基本框架模型，它闡述了使用控制中最基

35、本的問題，但是不涉及到管理，委托授權，以及其它后期工作中出現的諸如并發(fā)性等重要問題Network and Information Security8.4 案例：企業(yè)Web系統(tǒng)中的RBAC 這個簡單的例子包括3個模塊：模塊管理、角色管理和用戶管理，采用以角色為中心的安全模型。此模型將系統(tǒng)的模塊權限和用戶分開，使用角色作為一個中間層。用戶訪問模塊時，通過其所對應的角色對該模塊的訪問權限來獲得訪問模塊的權限，通過這種分層的管理模式可以實現有效的訪問控制。Network and Information Security角色1角色2部門1部門2部門3部門4用戶1用戶2用戶3模塊1模塊2模塊3模塊4圖8-

36、10 用戶、角色和模塊間的關系Network and Information Security說明角色是為系統(tǒng)安全而設計的抽象層，同一角色里的成員具有相同的模塊操作權限。但是角色不像機構部門那樣有固定成員和組織結構，并非真正的實體，可以根據需求任意地建立和刪除角色。角色的成員為部門員工，角色的成員也可以不受限制進行任意組合。通過這種設計思想形成三層安全模型，第一層為用戶，第二層為角色，第三層為系統(tǒng)模塊。用戶和角色之間建立關系，角色和模塊權限之間建立關系，而用戶和模塊權限之間沒有直接的關系。 Network and Information Security用戶、角色和模塊數據訪問結構圖用戶信息用

37、戶角色關系信息角色信息角色模塊信息模塊信息數據庫Network and Information Security8.5 系統(tǒng)審計 美國國防部(DOD)在20世紀70年代支持的一項內容廣泛的研究計劃，該計劃研究安全策略、安全指南和“可信系統(tǒng)”的控制?？尚畔到y(tǒng)定義為：“能夠提供足夠的硬件和軟件，以確保系統(tǒng)同時處理一定范圍內的敏感或分級信息”。因此，可信系統(tǒng)主要是為軍事和情報組織在同一計算機系統(tǒng)中存放不同敏感級別(通常對應于相應的分級)信息而提出的。審計機制被納入可信計算機系統(tǒng)評估準則(“橙皮書”)中。Network and Information Security 8.5.1 審計及審計跟蹤 審計

38、(Audit)是指產生、記錄并檢查按時間順序排列的系統(tǒng)事件記錄的過程，它是一個被信任的機制 。同時，它也是計算機系統(tǒng)安全機制的一個不可或缺的部分，對于C2及其以上安全級別的計算機系統(tǒng)來講，審計功能是其必備的安全機制。而且，審計是其它安全機制的有力補充，它貫穿計算機安全機制實現的整個過程，從身份認證到訪問控制這些都離不開審計。同時，審計還是后來人們研究的入侵檢測系統(tǒng)的前提。Network and Information Security 審計跟蹤(Audit Trail ）是系統(tǒng)活動的記錄，這些記錄足以重構、評估、審查環(huán)境和活動的次序，這些環(huán)境和活動是同一項事務的開始到最后結束期間圍繞或導致一項

39、操作、一個過程或一個事件相關的。 從這個意義來講，審計跟蹤可用來實現：確定和保持系統(tǒng)活動中每個人的責任；重建事件；評估損失；監(jiān)測系統(tǒng)問題區(qū)；提供有效的災難恢復；阻止系統(tǒng)的不正當使用等。Network and Information Security 作為一種安全機制，計算機系統(tǒng)的審計機制的安全目標有： 審查基于每個目標或每個用戶的訪問模式，并使用系統(tǒng)的保護機制。 發(fā)現試圖繞過保護機制的外部人員和內部人員。 發(fā)現用戶從低等級到高等級的訪問權限轉移。 制止用戶企圖繞過系統(tǒng)保護機制的嘗試。 作為另一種機制確保記錄并發(fā)現用戶企圖繞過保護的嘗試，為損失控制提供足夠的信息。Network and Info

40、rmation Security 8.5.2 安全審計 審計是記錄用戶使用計算機網絡系統(tǒng)進行所有活動的過程，它是提高安全性的重要工具。安全審計跟蹤機制的價值在于：經過事后的安全審計可以檢測和調查安全漏洞。 (1) 它不僅能夠識別誰訪問了系統(tǒng)，還能指出系統(tǒng)正被怎樣的使用。 (2) 對于確定是否有網絡攻擊的情況，審計信息對于確定問題和攻擊源很重要。 Network and Information Security (3) 系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題，并且它是后面階段事故處理的重要依據。 (4) 通過對安全事件的不斷收集與積累并且加以分析，有選擇性地對其中的某些站點或用戶進行審計跟蹤，

41、以提供發(fā)現可能產生破壞性行為的有力證據。Network and Information Security 安全審計就是對系統(tǒng)的記錄與行為進行獨立的品評考查，目的是： (1) 測試系統(tǒng)的控制是否恰當，保證與既定安全策略和操作能夠協(xié)調一致。 (2) 有助于作出損害評估。 (3) 對控制、策略與規(guī)程中特定的改變作出評價。 Network and Information Security 安全審計跟蹤將考慮： 1) 要選擇記錄什么信息 審計記錄必須包括網絡中任何用戶、進程、實體獲得某一級別的安全等級的嘗試：包括注冊、注銷，超級用戶的訪問，產生的各種票據，其它各種訪問狀態(tài)的改變，并特別注意公共服務器上的

42、匿名或客人賬號。 實際收集的數據隨站點和訪問類型的不同而不同。通常要收集的數據包括：用戶名和主機名，權限的變更情況，時間戳，被訪問的對象和資源。當然這也依賴于系統(tǒng)的空間。(注意不要收集口令信息)Network and Information Security 2) 在什么條件下記錄信息 3) 為了交換安全審計跟蹤信息所采用的語法和語義定義 收集審計跟蹤的信息，通過列舉被記錄的安全事件的類別(例如明顯違反安全要求的或成功完成操作的)，應能適應各種不同的需要。已知安全審計的存在可對某些潛在的侵犯安全的攻擊源起到威攝作用。Network and Information Security 審計是系統(tǒng)安

43、全策略的一個重要組成部分，它貫穿整個系統(tǒng)不同安全機制的實現過程，它為其它安全策略的改進和完善提供了必要的信息。而且，它的深入研究為后來的一些安全策略的誕生和發(fā)展提供了契機。后來發(fā)展起來的入侵檢測系統(tǒng)就是在審計機制的基礎上得到啟示而迅速發(fā)展起來的。Network and Information Security8.6 PMI訪問控制就是控制用戶訪問資源的權限，如何證明用戶所具有的權限正是PMI要做的事情。8.6.1 PMI概述授權管理基礎設施PMI(Privilege Management Infrastructure)是國家信息安全基礎設施(National Information Secur

44、ity Infrastructure，NISI)的一個重要組成部分。目標是：向用戶和應用程序提供授權管理服務 提供用戶身份到應用授權的映射功能提供與實際應用處理模式相對應的、與具體應用系統(tǒng)開發(fā)和管理無關的授權和訪問控制機制簡化具體應用系統(tǒng)的開發(fā)與維護。Network and Information Security屬性證書授權管理基礎設施PMI是一個由屬性證書(Attribute Certificate,AC)、屬性權威(Attribute Authority,AA)、屬性證書庫等部件構成的綜合系統(tǒng)，用來實現權限和證書的產生、管理、存儲、分發(fā)和撤銷等功能。PMI使用屬性證書表示和容納權限信息，

45、通過管理證書的生命周期實現對權限生命周期的管理。屬性證書的申請、簽發(fā)、撤銷、驗證流程對應著權限的申請、發(fā)放、撤銷、使用和驗證的過程。而且，使用屬性證書進行權限管理使得權限的管理不必依賴某個具體的應用，而且利于權限的安全分布式應用。Network and Information SecurityPMI與PKI的比較授權管理基礎設施PMI以資源管理為核心，對資源的訪問控制權統(tǒng)一交由授權機構統(tǒng)一處理，即由資源的所有者來進行訪問控制。同公鑰基礎設施PKI相比，兩者主要區(qū)別在于：PKI證明用戶是誰，而PMI證明這個用戶有什么權限，能干什么，而且授權管理基礎設施PMI需要公鑰基礎設施PKI為其提供身份認證

46、。PMI與PKI在結構上是非常相似的。信任的基礎都是有關權威機構，由他們決定建立身份認證系統(tǒng)和屬性特權機構。Network and Information Security在PKI中，由有關部門建立并管理根CA，下設各級CA、RA和其它機構；在PMI中，由有關部門建立權威源點SOA(Source Of Authority)，下設分布式的AA和其它機構。PMI實際上提出了一個新的信息保護基礎設施，能夠與PKI和目錄服務緊密地集成，并系統(tǒng)地建立起對認可用戶的特定授權，對權限管理進行了系統(tǒng)的定義和描述，完整地提供了授權服務所需過程。Network and Information Security8.

47、6.2 PMI技術的授權管理模式及其優(yōu)點授權服務體系主要是為網絡空間提供用戶操作授權的管理，即在虛擬網絡空間中的用戶角色與最終應用系統(tǒng)中用戶的操作權限之間建立一種映射關系。目前建立授權服務體系的關鍵技術主要是授權管理基礎設施PMI技術。PMI技術通過數字證書機制來管理用戶的授權信息，并將授權管理功能從傳統(tǒng)的應用系統(tǒng)中分離出來，以獨立服務的方式面向應用系統(tǒng)提供授權管理服務。Network and Information Security由于數字證書機制提供了對授權信息的安全保護功能，因此，作為用戶授權信息存放載體的屬性證書同樣可以通過公開方式對外發(fā)布。 在PMI中主要使用基于角色的訪問控制。其中

48、角色提供了間接分配權限的方法。在實際應用中，個人被簽發(fā)角色分配證書使之具有一個或多個對應的角色，而每個角色具有的權限通過角色定義來說明，而不是將權限放在屬性證書中分配給個人。這種間接的權限分配方式使得角色權限更新時，不必撤銷每一個屬性證書，極大地減小了管理開銷。Network and Information Security授權管理體系將授權管理功能從傳統(tǒng)的信息應用系統(tǒng)中剝離出來，可以為應用系統(tǒng)的設計、開發(fā)和運行管理提供很大的便利。應用系統(tǒng)中與授權處理相關的地方全部改成對授權服務的調用，因此，可以在不改變應用系統(tǒng)的前提下完成對授權模型的轉換，進一步增加了授權管理的靈活性。同時，通過采用屬性證書

49、的委托機制，授權管理體系可進一步提供授權管理的靈活性。與信任服務系統(tǒng)中的證書策略機制類似，授權管理系統(tǒng)中也存在安全策略管理的問題。同一授權管理系統(tǒng)中將遵循相同的安全策略提供授權管理服務，不同的授權管理系統(tǒng)之間的互通必須以策略的一致性為前提。Network and Information Security基于PMI技術的授權管理模式主要存在以下三個方面的優(yōu)勢：1.授權管理的靈活性基于PMI技術的授權管理模式可以通過屬性證書的有效期以及委托授權機制來靈活地進行授權管理，從而實現了傳統(tǒng)的訪問控制技術領域中的強制訪問控制模式與自主訪問控制模式的有機結合，其靈活性是傳統(tǒng)的授權管理模式所無法比擬的。 2.

50、授權操作與業(yè)務操作相分離基于授權服務體系的授權管理模式將業(yè)務管理工作與授權管理工作完全分離，更加明確了業(yè)務管理員和安全管理員之間的職責分工，可以有效地避免由于業(yè)務管理人員參與到授權管理活動中而可能帶來的一些問題。加強了授權管理的可信度。3.多授權模型的靈活支持基于PMI技術的授權管理模式將整個授權管理體系從應用系統(tǒng)中分離出來，授權管理模塊自身的維護和更新操作將與具體的應用系統(tǒng)無關。Network and Information Security8.6.3 PMI系統(tǒng)的架構PMI授權服務體系以高度集中的方式管理用戶和為用戶授權，并且采用適當的用戶身份信息來實現用戶認證，主要是PKI體系下的數字證

51、書，也包括動態(tài)口令或者指紋認證技術。安全平臺將授權管理功能從應用系統(tǒng)中分離出來，以獨立和集中服務的方式面向整個網絡，統(tǒng)一為各應用系統(tǒng)提供授權管理服務。PMI在體系上可以分為三級，分別是信任源點SOA中心、屬性權威機構AA中心和AA代理點。在實際應用中，這種分級體系可以根據需要進行靈活配置，可以是三級、二級或一級。 Network and Information Security圖8.18 授權管理系統(tǒng)的總體架構示意圖SOAAAAAAA代理點AA代理點AA代理點AA代理點訪問控制執(zhí)行者Network and Information Security授權管理系統(tǒng)說明 1.權威源點SOA權威源點(S

52、OA中心)是整個授權管理體系的中心業(yè)務節(jié)點，也是整個PMI的最終信任源和最高管理機構。SOA中心的職責主要包括：授權管理策略的管理、應用授權受理、AA中心的設立審核及管理和授權管理體系業(yè)務的規(guī)范化等。2.屬性權威機構AA屬性權威機構AA中心是PMI的核心服務節(jié)點，是對應于具體應用系統(tǒng)的授權管理分系統(tǒng)，由具有設立AA中心業(yè)務需求的各應用單位負責建設，并與SOA中心通過業(yè)務協(xié)議達成相互的信任關系。AA中心的職責主要包括：應用授權受理、屬性證書的發(fā)放和管理，以及AA代理點的設立審核和管理等。AA中心需要為其所發(fā)放的所有屬性證書維持一個歷史記錄和更新記錄。Network and Information Security授權管理系統(tǒng)說明 3.AA代理點AA代理點是PMI的用戶代理節(jié)點，也稱為資源管理中心，是與具體應用用戶的接口。是對應AA中心的附屬機構，接受AA中心的直接管理，由各AA中心負責建設，報經主管的SOA中心同意，并簽發(fā)相應的證書。AA代理點的設立和數目由各AA中心根據自身的業(yè)務發(fā)展需求而定。AA代理點的職責主要包括應用授權服務代理和應用授