第四章訪問控制技術(shù)

第四章

訪問控制技術(shù)

主要內(nèi)容

1.訪問控制概念2.訪問控制矩陣3.BLP模型4.基于角色的訪問控制模型5.訪問控制實施6.訪問控制技術(shù)新進(jìn)展7.小結(jié)1訪問控制概念訪問控制概念訪問控制策略訪問控制概念

訪問控制涉及三個基本概念，即主體、客體和授權(quán)訪問。

主體。

主體是一個主動的實體，該實體造成了信息的流動和系統(tǒng)狀態(tài)的改變，它包括用戶、用戶組、終端、主機(jī)或一個應(yīng)用，主體可以訪問客體。

客體。

客體是指一個包含或接受信息的被動實體，對客體的訪問要受控。

授權(quán)訪問。

授權(quán)訪問指主體訪問客體的允許，對每一對主體和客體來說授權(quán)訪問是給定的，決定了誰能夠訪問系統(tǒng)，能訪問系統(tǒng)的何種資源以及如何使用這些資源。訪問控制策略

訪問控制策略是用于規(guī)定如何做出訪問決定的策略。

傳統(tǒng)的訪問控制策略包括一組由操作規(guī)則定義的基本操作狀態(tài)。典型的狀態(tài)包含一組主體(S)、一組對象(O)、一組訪問權(quán)(A[S,O])，包括讀、寫、執(zhí)行和擁有。

訪問控制策略涵蓋對象、主體和操作，通過對訪問者的控制達(dá)到保護(hù)重要資源的目的。

對象包括終端、文本和文件，系統(tǒng)用戶和程序被定義為主體。

操作是主體和客體的交互。2訪問控制矩陣保護(hù)狀態(tài)訪問控制概念矩陣模型保護(hù)狀態(tài)

系統(tǒng)的當(dāng)前狀態(tài)是由所有內(nèi)存、二級緩存、寄存器和系統(tǒng)中其他設(shè)備的狀態(tài)構(gòu)成的集合。這個集合中涉及安全保護(hù)的子集稱為保護(hù)狀態(tài)。

1.（系統(tǒng)的）狀態(tài)——指一組內(nèi)部存儲器或外部存儲器的當(dāng)前值。

2.（系統(tǒng)的）保護(hù)狀態(tài)——狀態(tài)存儲器中用來描述系統(tǒng)的安全保護(hù)的子集，稱為保護(hù)狀態(tài)

3.

狀態(tài)的安全性——假設(shè)P是系統(tǒng)的保護(hù)狀態(tài)，Q是P中那些認(rèn)為是安全的狀態(tài)。保護(hù)狀態(tài)

4.刻畫Q中的狀態(tài)是安全策略的研究目標(biāo)；保證系統(tǒng)處于Q中的狀態(tài)則是安全機(jī)制的研究目標(biāo)。

5.

一組安全機(jī)制的作用是限制系統(tǒng)到達(dá)保護(hù)狀態(tài)的子集合R?P。圖4-1

系統(tǒng)保護(hù)狀態(tài)區(qū)分圖保護(hù)狀態(tài)給定一組安全機(jī)制，它對于安全策略有下列概念：安全的—如果R?Q

；精確的—如果R==Q

；過保護(hù)的—如果它是安全的但不是精確的；寬松的—如果R不包含Q。

訪問控制矩陣模型

訪問控制矩陣是用于描述當(dāng)前保護(hù)狀態(tài)的工具。描述一個保護(hù)系統(tǒng)的最簡單框架模型是使用訪問控制矩陣模型，這個模型將所有用戶對于文件的權(quán)限存儲在矩陣中。訪問控制矩陣模型

客體——受保護(hù)的實體（如數(shù)據(jù)、文件等）的集合，記為O；

主體——發(fā)起行為的實體集合（如人、進(jìn)程等），記為S。

訪問權(quán)限——對象集合O和主體集合S之間的關(guān)系用帶有權(quán)限的矩陣A來描述,所有權(quán)限的集合的類型用集合R來表示,記為R。

對于一個主體s∈S和一個客體

o∈O,用

[s,o]∈R

來表示允許s對o實施的所有訪問權(quán)限集合。這樣，可以得到以S中元素為行指標(biāo)，O中元素為列指標(biāo)，表值為

a[s,o]

的一個矩陣A，稱為訪問控制矩陣。這時，系統(tǒng)的安全狀態(tài)可以用三元組（S,O,A）來表示。

客體主體主機(jī)1主機(jī)2主機(jī)3主機(jī)1{own}{ftp}{ftp}主機(jī)2{ftp,nfs,mail,own}{ftp,nfs,mail}主機(jī)3{ftp,mail}{ftp,nfs,mail,own}主體

客體文件1文件2進(jìn)程1進(jìn)程2進(jìn)程1{讀,寫,擁有}{讀

}{讀,寫,執(zhí)行,擁有}{寫

}進(jìn)程2{添加

}{讀，擁有

}{讀

}{讀,寫,執(zhí)行,擁有}訪問控制矩陣優(yōu)缺點分析

訪問矩陣模型對訪問控制理解，提供了一個很好的框架。現(xiàn)實中，直接用訪問控制矩陣表示保護(hù)狀態(tài)或安全狀態(tài)是不現(xiàn)實的，描述狀態(tài)的轉(zhuǎn)移也是不方便的（上面兩個例子向我們展示了靜態(tài)的訪問控制矩陣的概念。但是在實際系統(tǒng)中經(jīng)常需要考慮保護(hù)狀態(tài)處于動態(tài)轉(zhuǎn)移的情形。）就好比用列表法表示一個復(fù)雜函數(shù)一樣笨拙，更嚴(yán)重的是使用大量數(shù)據(jù)經(jīng)常會掩蓋其內(nèi)在的邏輯關(guān)系。

3BLP模型BLP模型BLP模型的形式化描述BLP模型BLP模型是一個形式化模型，使用數(shù)學(xué)語言對系統(tǒng)的安全性質(zhì)進(jìn)行描述，BLP模型也是一個狀態(tài)機(jī)模型，它反映了多級安全策略的安全特性和狀態(tài)轉(zhuǎn)換規(guī)則。

BLP模型定義了系統(tǒng)、系統(tǒng)狀態(tài)、狀態(tài)間的轉(zhuǎn)換規(guī)則，安全概念、制定了一組安全特性，對系統(tǒng)狀態(tài)、狀態(tài)轉(zhuǎn)換規(guī)則進(jìn)行約束，如果它的初始狀態(tài)是安全的，經(jīng)過一系列轉(zhuǎn)換規(guī)則都是保持安全的，那么可以證明該系統(tǒng)是安全的。BLP模型BLP模型是一個形式化模型，使用數(shù)學(xué)語言對系統(tǒng)的安全性質(zhì)進(jìn)行描述，BLP模型也是一個狀態(tài)機(jī)模型，它反映了多級安全策略的安全特性和狀態(tài)轉(zhuǎn)換規(guī)則。

BLP模型定義了系統(tǒng)、系統(tǒng)狀態(tài)、狀態(tài)間的轉(zhuǎn)換規(guī)則，安全概念、制定了一組安全特性，對系統(tǒng)狀態(tài)、狀態(tài)轉(zhuǎn)換規(guī)則進(jìn)行約束，如果它的初始狀態(tài)是安全的，經(jīng)過一系列轉(zhuǎn)換規(guī)則都是保持安全的，那么可以證明該系統(tǒng)是安全的。BLP模型

在BLP模型中將主體對客體的訪問分為r（只讀），w（讀寫），a（只寫），e（執(zhí)行），以及c（控制）等幾種訪問模式，其中c（控制）是指該主體用來授予或撤銷另一主體對某一客體的訪問權(quán)限的能力。

BLP模型的安全策略從兩個方面進(jìn)行描述：自主安全策略（DiscretionaryPolicy）和強制安全策略（MandatoryPolicy）。自主安全策略與訪問控制矩陣有關(guān)。

強制安全策略與（主體和客體的）密級和范疇有關(guān)。BLP模型介紹

所謂密級是一個有限全序集L。用兩個函數(shù)和表示主體S和客體O的密級函數(shù)。主體的密級函數(shù)為：客體的密級函數(shù)為：

為了使模型能適應(yīng)主體的安全級變化的需要，還引入了一個主體的當(dāng)前密級函數(shù)：主體的當(dāng)前密級是可以變化的，但要求滿足訪問控制矩陣

為了能準(zhǔn)確地理解密級的含義，用一個例子來說明。例3.假設(shè)主體的集合是S={Alice,Bob,Carol}；客體的集合是O={Email_File,Telephone_Number_Book,Personal_File}?？腕w主體Email_FileTelephone_Number_BookPersonal_FileAlice{w}{r}{r}Bob{a}{w,o,app}{a}Carol{a}{r}

假設(shè)密級集合L={絕密，機(jī)密，秘密，敏感，普通}。L中的序：絕密>機(jī)密>秘密>敏感>普通。密級函數(shù)主、客體Alice絕密敏感Bob機(jī)密敏感Carol普通普通Email_File秘密Telephone_Number_Book普通Personal_File絕密密級函數(shù)表

Bell-LaPadula模型中，對不同的訪問要有不同的密級關(guān)系。為了防止高密級的信息流入低密級的主體或客體中，在“讀”訪問中它要求主體的當(dāng)前密級不得低于客體的密級(上讀），而在“寫”訪問中則要求主體的密級不得高于客體的密級（下寫），這樣就能保證信息流只能從一個客體流到同等密級或較高密級的客體中,從而能適應(yīng)軍事指揮的信息機(jī)密性需求。

Carol可以從Telephone_Number_Book中讀取信息，然后寫到Email_File

中。三個主體中的任何一個都不能讀取Email_File中的信息，因為Bob和Carol既不滿足訪問控制矩陣的要求又不滿足密級的限制，而Alice的當(dāng)前密級不滿足讀的要求（當(dāng)她以后密級升高后可以）。Bell-LaPadula模型還使用了范疇的概念。范疇描述了實體（主體和客體）的一種信息。每一個實體被指定到若干個范疇內(nèi)，每一個實體對應(yīng)到了范疇集合的一個子集，而按照包含關(guān)系“?”，實體的范疇子集構(gòu)成了一種偏序關(guān)系。用（C,?)表示范疇集合按照包含關(guān)系形成的偏序集。同實體的密級一樣，定義主體的最高范疇等級、主體的當(dāng)前范疇等級和客體的范疇等級如下。主體的最高范疇等級函數(shù)為：主體的當(dāng)前主體的范疇等級函數(shù)為：客體的范疇等級函數(shù)為：用表示主體的最高范疇等級函數(shù)

范疇概念的思想是，僅當(dāng)主體有訪問需要的時候才考慮這種訪問，略稱為“需要知道（needtoknown）”思想。范疇直觀上就是對業(yè)務(wù)的一種劃分，以避免那些不需要的訪問的發(fā)生。再把實體的密級和范疇等級的笛卡爾積稱為實體的安全級，按照下屬規(guī)則它構(gòu)成一個偏序。用表示主體的當(dāng)前范疇等級函數(shù)用表示客體的范疇等級函數(shù)

在例3中，進(jìn)一步假設(shè)范疇集合={VPN課題組,辦公室，后勤}，而相應(yīng)的范疇等級函數(shù)由下表給出。

范疇等級表范疇等級函數(shù)主、客體Alice{VPN課題組，辦公室}{VPN課題組}Bob{VPN課題組}{VPN課題組}Carol{辦公室，后勤}{辦公室，后勤}Email_File{VPN課題組}Telephone_Number_Book{辦公室，后勤}Personal_File{VPN課題組，辦公室}

Carol仍然可以從Telephone_Number_Book中讀取信息，因為Carol的當(dāng)前安全等級(普通,{辦公室，后勤})等于Telephone_Number_Book的安全等級(普通，{辦公室，后勤})，滿足“讀低”的要求。但她不可以寫到Email_File中，因為Email_File的安全等級是（秘密，{VPN課題組}）對Carol的最高安全等級(普通,{辦公室，后勤})沒有控制關(guān)系，不滿足“寫高”的要求。對BLP安全模型的評價

BLP模型是一個最早的對多級安全策略進(jìn)行描述的模型；

BLP模型是一個嚴(yán)格形式化的模型，并給出了形式化的證明；

BLP模型是一個很安全的模型，既有自主訪問控制，又有強制訪問控制；

BLP模型控制信息只能由低向高流動，能滿足軍事部門等一類對數(shù)據(jù)保密性要求特別高的機(jī)構(gòu)的需求。但是，總的來說，BLP模型“過于安全”。其一：上級對下級發(fā)文受到限制；

其二，部門之間信息的橫向流動被禁止；其三，缺乏靈活、安全的授權(quán)機(jī)制。另外，BLP模型也有不安全的地方。①低安全級的信息向高安全級流動，可能破壞高安全客體中數(shù)據(jù)完整性，被病毒和黑客利用。②只要信息由低向高流動即合法（高讀低），不管工作是否有需求，這不符合最小特權(quán)原則。③高級別的信息大多是由低級別的信息通過組裝而成的，要解決推理控制的問題。4基于角色的訪問控制模型RBAC模型介紹NISTRBAC模型RBAC模型的特點RBAC模型介紹

基于角色的訪問控制（Role-BasedAccessControl，RBAC)模型是20世紀(jì)90年代研究出來的一種新模型，但從本質(zhì)上講，這種模型是對前面描述的訪問矩陣模型的擴(kuò)展。這種模型的基本概念是把許可權(quán)（Permission）與角色（Role）聯(lián)系在一起，用戶通過充當(dāng)合適角色的成員而獲得該角色的許可權(quán)。NISTRBAC模型RBAC參考模型由4個模型構(gòu)件定義：核心RBAC，層次RBAC，靜態(tài)職責(zé)分離和動態(tài)職責(zé)分離。核心RBAC定義了獲取一個完備的基于角色的訪問控制系統(tǒng)的最小RBAC元素集合、元素集和關(guān)系。層次RBAC構(gòu)件添加了關(guān)系來支持角色層次。它定義了角色之間的一個優(yōu)先級關(guān)系。靜態(tài)職責(zé)分離的關(guān)系模型構(gòu)件定義了角色層次的存在和不存在關(guān)系。動態(tài)職責(zé)分離關(guān)系，定義了在一個用戶會話中被激活的角色的排他關(guān)系。核心RBAC

核心RBAC包括五個基本的數(shù)據(jù)元素集：用戶(USERS)、角色(ROLES)、對象(OBS)、操作(OPS)和權(quán)限(PRMS)。層次RBAC

層次是結(jié)構(gòu)化角色來反映一個組織權(quán)威和責(zé)任的一種自然的方法。

角色層次定義了角色之間的一個繼承關(guān)系，繼承根據(jù)權(quán)限描述。約束的RBAC

約束RBAC是在RBAC模型上增加了職責(zé)分離關(guān)系。職責(zé)分離關(guān)系用于組織內(nèi)實施的利益沖突策略，避免用戶超出其當(dāng)前職位所擁有的合理權(quán)限等級。該RBAC標(biāo)準(zhǔn)定義了靜態(tài)和動態(tài)的職責(zé)分離。職責(zé)關(guān)系的動態(tài)分離靜態(tài)職責(zé)分離RBAC模型的特點RBAC模型支持最小特權(quán)原則、責(zé)任分離原則，這些原則是任何組織的管理工作都需要的RBAC模型支持?jǐn)?shù)據(jù)抽象原則和繼承概念。

RBAC模型仍屬于訪問控制類模型，本質(zhì)是對訪問矩陣模型的擴(kuò)充，能夠很好的解決系統(tǒng)中主體對客氣的訪問控制訪問權(quán)力的分配與控制問題，但模型沒有提供信息流控制機(jī)制，還不能完全滿足信息系統(tǒng)的全部安全需求。

RBAC模型沒有提供操作順序控制機(jī)制。5訪問控制實施PMI模型一般訪問控制實現(xiàn)框架基于KDC和PMI的訪問控制框架PMI模型PMI指授權(quán)管理基礎(chǔ)設(shè)施或稱為屬性特權(quán)機(jī)構(gòu)它依賴于公共密鑰基礎(chǔ)設(shè)施PKI（PublicKeyInfrastructure）的支持，任務(wù)旨在提供訪問控制和特權(quán)管理，提供用戶身份到應(yīng)用授權(quán)的映射功能，實現(xiàn)與實際應(yīng)用處理模式相對應(yīng)的、與具體應(yīng)用系統(tǒng)和管理無關(guān)的訪問控制機(jī)制，并能極大地簡化應(yīng)用中訪問控制和權(quán)限管理系統(tǒng)的開發(fā)與維護(hù)。PMI模型PMI授權(quán)技術(shù)的基本思想是以資源管理為核心，將對資源的訪問控制權(quán)統(tǒng)一交由授權(quán)機(jī)構(gòu)去管理，即由資源的所有者來進(jìn)行訪問控制管理。PMI的重要貢獻(xiàn)是規(guī)范了由權(quán)威機(jī)構(gòu)生成，并進(jìn)行數(shù)字簽名的屬性證書的概念，該屬性證書可用來準(zhǔn)確地表述權(quán)限聲明者的權(quán)限。而且便于權(quán)限驗證者進(jìn)行驗證。一般訪問控制實現(xiàn)框架一般訪問控制實現(xiàn)框架的基本因素基于KDC和PMI的訪問控制框架（1）KDC：密鑰分發(fā)中心，應(yīng)用網(wǎng)絡(luò)中的兩個分別與KDC共享對稱密鑰的通信方，通過KDP（密鑰分發(fā)協(xié)議）獲得兩者之間的通信共享密鑰。（2）身份識別服務(wù)器：用戶通過安全的識別協(xié)議將用戶標(biāo)識和用戶憑證提交到身份識別服務(wù)器，身份識別服務(wù)器完成識別，用戶獲得識別憑證，用于用戶與應(yīng)用服務(wù)器交互。（3）安全中間件：包括訪問控制組件和密鑰共享組件，部署在應(yīng)用服務(wù)器之前，通過KDC實現(xiàn)應(yīng)用服務(wù)器同用戶的密鑰共享，向PMI申請用戶屬性證書，并根據(jù)用戶的屬性來實現(xiàn)用戶對服務(wù)的安全訪問控制。（4）PMI：通過屬性證書的生成、分發(fā)、注銷等整個生命周期的管理，實現(xiàn)用戶權(quán)限的授予?；贙DC和PMI的訪問控制框架6訪問控制技術(shù)新進(jìn)展信任管理UCON模型訪問控制技術(shù)的發(fā)展趨勢信任管理

隨著計算機(jī)網(wǎng)絡(luò)和一些分布式系統(tǒng)支撐技術(shù)的飛速發(fā)展在各式各樣的資源面前，如何進(jìn)行有效的真?zhèn)危ò踩╄b別，即防止惡意節(jié)點的偽裝帶來安全問題；發(fā)現(xiàn)之后又該怎樣處理相應(yīng)的問題。解決這些問題在很大的程度上需要有一套相應(yīng)的標(biāo)準(zhǔn)。

信任管理的內(nèi)容包括：制定安全策略、獲取安全憑證、判斷安全憑證集是否滿足相關(guān)的安全策略等。信任管理要回答的問題可表述為“安全憑證集C是否能夠證明請求r滿足本地策略集P”。UCON模型UCON模型包含三個基本元素：主體、客體、權(quán)限和另外三個與授權(quán)有關(guān)的元素：授權(quán)規(guī)則、條件、義務(wù)，如圖所示。UCON模型UCON模型中的主要元素如下：

主體(Subjects)。它是具有某些屬性和對客體(Objects)操作權(quán)限的實體。主體的屬性包括身份、角色、安全級別、成員資格等。這些屬性用于授權(quán)過程。

客體(Objects)。它是主體的操作對象，它也有屬性，包括安全級別、所有者、等級等。這些屬性也用于授權(quán)過程。

義務(wù)(Obligations)。它是一個主體在獲得對客體的訪問權(quán)限后必須履行的強制需求。分配了權(quán)限，就應(yīng)有執(zhí)行這些權(quán)限的義務(wù)責(zé)任。UCON模型

條件(Conditions)。它是在使用授權(quán)規(guī)則進(jìn)行授權(quán)過程中，允許主體對客體進(jìn)行訪問權(quán)限前必須檢驗的一個決策因素集。條件是環(huán)境的或面向系統(tǒng)的決策因素。條件可用來檢查存在的限制，使用權(quán)限是否有效，哪些限制必須更新等。

權(quán)限(Rights)。它是主體擁有的對客體操作的一些特權(quán)。權(quán)限由一個主體對客體進(jìn)行訪問或使用的功能集組成。授權(quán)規(guī)則(AuthorizationRules)。它是允許主體對客體進(jìn)行訪問或使用前必須滿足的一個需求集。授權(quán)規(guī)則是用來檢查主體是否有資格訪問客體的決策因素。訪問控制技術(shù)的發(fā)展趨勢

分布式系統(tǒng)中的訪問控制技術(shù)將成為未來的研究熱點，包括適用于分布式系統(tǒng)或工作流系統(tǒng)的動態(tài)訪問控制及分層訪問控制，基于角色的訪問控制將會在大型分布式系統(tǒng)中得到更廣泛的應(yīng)用。

對網(wǎng)絡(luò)信息系統(tǒng)、無線網(wǎng)絡(luò)(如adhoc,sensornetwork

和移動網(wǎng)絡(luò))及P2P系統(tǒng)、云計算環(huán)境下訪問控制技術(shù)的研究，將成為重要的研究方向。

可信網(wǎng)