4-3身份與訪問安全-訪問控制

4.4訪問控制用戶認(rèn)證解決的是：“你是誰(shuí)？你是否真的是你所聲稱的身份？”訪問控制技術(shù)解決的是“你能做什么？你有什么樣的權(quán)限？”。2023/6/2514.4訪問控制

4.4.1訪問控制基本概念基本目標(biāo)都是防止非法用戶進(jìn)入系統(tǒng)和合法用戶對(duì)系統(tǒng)資源的非法使用。為了達(dá)到這個(gè)目標(biāo)，訪問控制常以用戶身份認(rèn)證為前提，在此基礎(chǔ)上實(shí)施各種訪問控制策略來(lái)控制和規(guī)范合法用戶在系統(tǒng)中的行為這些策略和規(guī)范，被稱為安全體系模型（或簡(jiǎn)稱為安全模型）。2023/6/2524.4訪問控制

4.4.1訪問控制基本概念1．訪問控制的三要素主體(Subject)：訪問操作的主動(dòng)發(fā)起者，但不一定是動(dòng)作的執(zhí)行者。客體(Object)：通常是指信息的載體或從其他主體或客體接收信息的實(shí)體。安全訪問規(guī)則：用以確定一個(gè)主體是否對(duì)某個(gè)客體擁有某種訪問權(quán)力。2023/6/2534.4訪問控制

4.4.1訪問控制基本概念2．引用監(jiān)視器和安全內(nèi)核訪問控制機(jī)制的理論基礎(chǔ)是引用監(jiān)視器（ReferenceMonitor），由J.P.Anderson于1972年首次提出。引用監(jiān)視器是一個(gè)抽象的概念。引用監(jiān)視器借助訪問數(shù)據(jù)庫(kù)控制主體到客體的每一次訪問，并將重要的安全事件記入審計(jì)文件中。訪問控制數(shù)據(jù)庫(kù)包含有關(guān)主體訪問客體訪問模式的信息。數(shù)據(jù)庫(kù)是動(dòng)態(tài)的，它會(huì)隨著主體和客體的產(chǎn)生或刪除及其權(quán)限的改變而改變。2023/6/2544.4訪問控制

4.4.1訪問控制基本概念在引用監(jiān)視器思想的基礎(chǔ)上，J.P.Anderson定義了安全內(nèi)核的概念。安全內(nèi)核是實(shí)現(xiàn)引用監(jiān)視器概念的一種技術(shù)。安全內(nèi)核可以由硬件和介于硬件與操作系統(tǒng)之間的一層軟件組成。安全內(nèi)核的軟件和硬件是可信的，處于安全邊界內(nèi)，而操作系統(tǒng)和應(yīng)用軟件均處于安全邊界之外。這里講的邊界，是指與系統(tǒng)安全有關(guān)和無(wú)關(guān)對(duì)象之間的一個(gè)想象的邊界。2023/6/2554.4訪問控制

4.4.1訪問控制基本概念3．基本的訪問控制模型（1）訪問控制矩陣(AccessControlMatrix，ACM)訪問控制矩陣模型的基本思想就是將所有的訪問控制信息存儲(chǔ)在一個(gè)矩陣中集中管理。當(dāng)前的訪問控制模型一般都是在它的基礎(chǔ)上建立起來(lái)的。2023/6/2564.4訪問控制

4.4.1訪問控制基本概念3．基本的訪問控制模型（2）訪問控制表訪問控制表機(jī)制實(shí)際上是按訪問控制矩陣的列實(shí)施對(duì)系統(tǒng)中客體的訪問控制。每個(gè)客體都有一張ACL，用于說(shuō)明可以訪問該客體的主體及其訪問權(quán)限。2023/6/2574.4訪問控制

4.4.1訪問控制基本概念3．基本的訪問控制模型（3）能力表能力表保護(hù)機(jī)制實(shí)際上是按訪問控制矩陣的行實(shí)施對(duì)系統(tǒng)中客體的訪問控制。每個(gè)主體都有一張能力表，用于說(shuō)明可以訪問的客體及其訪問權(quán)限。2023/6/2584.4訪問控制

4.4.1訪問控制基本概念兩個(gè)問題構(gòu)成了訪問控制的基礎(chǔ)：1）對(duì)于給定主體，它能訪問哪些客體以及如何訪問？2）對(duì)于給定客體，哪些主體能訪問它以及如何訪問？對(duì)于第1個(gè)問題，使用能力表回答最為簡(jiǎn)單，只需要列出與主體相關(guān)聯(lián)的cap表中的元素即可。對(duì)于第2個(gè)問題，使用訪問控制表ACL回答最為簡(jiǎn)單，只需列出與客體相關(guān)聯(lián)的acl表中的元素即可。人們可能更關(guān)注第2個(gè)問題，因此，現(xiàn)今大多數(shù)主流的操作系統(tǒng)都把ACL作為主要的訪問控制機(jī)制。這種機(jī)制也可以擴(kuò)展到分布式系統(tǒng)，ACL由文件服務(wù)器維護(hù)。2023/6/2594.4訪問控制

4.4.2自主訪問控制由客體的屬主對(duì)自己的客體進(jìn)行管理，由屬主自己決定是否將自己客體的訪問權(quán)或部分訪問權(quán)授予其他主體，這種控制方式是自主的，我們把它稱為自主訪問控制(DAC，DiscretionaryAccessControl)。在自主訪問控制下，一個(gè)用戶可以自主選擇哪些用戶可以共享他的文件。訪問控制表ACL、能力表是實(shí)現(xiàn)DAC策略的基本數(shù)據(jù)結(jié)構(gòu)在DAC模式下，有3種控制許可權(quán)手段：層次型、屬主型和自由型。2023/6/25104.4訪問控制

4.4.3強(qiáng)制訪問控制DAC機(jī)制的缺陷允許用戶自主地轉(zhuǎn)授訪問權(quán)，這是系統(tǒng)不安全的隱患。系統(tǒng)無(wú)法區(qū)分是用戶合法的修改還是木馬程序的非法修改；無(wú)法防止木馬程序利用共享客體或隱蔽信道傳送信息。無(wú)法解決因用戶無(wú)意（如程序錯(cuò)誤、某些誤操作等）或不負(fù)責(zé)任的操作而造成的敏感信息的泄漏問題。2023/6/25114.4訪問控制

4.4.3強(qiáng)制訪問控制強(qiáng)制訪問控制最早出現(xiàn)在20世紀(jì)70年代。是美國(guó)政府和軍方源于對(duì)信息保密性的要求以及防止特洛伊木馬之類的攻擊而研發(fā)的。MAC是一種基于安全級(jí)標(biāo)簽的訪問控制方法，通過(guò)分級(jí)的安全標(biāo)簽實(shí)現(xiàn)信息從下向上的單向流動(dòng)，從而防止高密級(jí)信息的泄露。在MAC中，對(duì)于主體和客體，系統(tǒng)為每個(gè)實(shí)體指派一個(gè)安全級(jí)，安全級(jí)由兩部分組成：1）保密級(jí)別(Classification，或叫做敏感級(jí)別或級(jí)別)。2）范疇集(Categories)。2023/6/25124.4訪問控制

4.4.3強(qiáng)制訪問控制安全級(jí)中包括一個(gè)保密級(jí)別，范疇集包含任意多個(gè)范疇。安全級(jí)通常寫作保密級(jí)別后隨范疇集的形式。例如：{機(jī)密：人事處，財(cái)務(wù)處，科技處}。安全級(jí)的集合形成一個(gè)滿足偏序關(guān)系的格(Lattice)，此偏序關(guān)系稱為支配(Dominate)，通常用符號(hào)“>”表示，它類似于“大于或等于”的含義。對(duì)于任意兩個(gè)安全級(jí)Si=(li,Ci)和Sj=(lj,Cj)，若Si支配Sj(Si>Sj)，當(dāng)且僅當(dāng)li>lj，且Ci包含Cj。如果兩個(gè)安全級(jí)的范疇互不包含，則這兩個(gè)安全級(jí)不可比。2023/6/25134.4訪問控制

4.4.3強(qiáng)制訪問控制在一個(gè)系統(tǒng)中實(shí)現(xiàn)MAC機(jī)制，最主要的是要做到兩條：1）對(duì)系統(tǒng)中的每一個(gè)主體與客體，都要根據(jù)總體安全策略與需求分配一個(gè)特殊的安全級(jí)別。該安全級(jí)別能夠反映該主體或客體的敏感等級(jí)和訪問權(quán)限，并把它以標(biāo)簽的形式和這個(gè)主體或客體緊密相連而無(wú)法分開。這些安全屬性是不能輕易改變的，它由管理部門(如安全管理員)或由操作系統(tǒng)自動(dòng)按照嚴(yán)格的規(guī)則來(lái)設(shè)置，不像DAC那樣可以由用戶或他們的程序直接或間接修改。2023/6/25144.4訪問控制

4.4.3強(qiáng)制訪問控制在一個(gè)系統(tǒng)中實(shí)現(xiàn)MAC機(jī)制，最主要的是要做到兩條：2）當(dāng)一個(gè)主體訪問一個(gè)客體時(shí)，調(diào)用強(qiáng)制訪問控制機(jī)制，比較主體和客體的安全級(jí)別，從而確定是否允許主體訪問客體。在MAC機(jī)制下，即使是客體的擁有者也沒有對(duì)自己客體的控制權(quán)，也沒有權(quán)利向別的主體轉(zhuǎn)授對(duì)自己客體的訪問權(quán)。即使是系統(tǒng)安全管理員修改、授予或撤銷主體對(duì)某客體的訪問權(quán)的管理工作也要受到嚴(yán)格的審核與監(jiān)控。有了MAC控制后，可以極大地減少因用戶的無(wú)意性(如程序錯(cuò)誤或某些誤操作)泄漏敏感信息的可能性。2023/6/25154.4訪問控制

4.4.3強(qiáng)制訪問控制2．加強(qiáng)保密性的強(qiáng)制訪問控制模型BLP模型有兩條基本的規(guī)則規(guī)則1：不能向上讀(No-Read-Up)，也稱為簡(jiǎn)單安全特性。如果一個(gè)主體的安全級(jí)支配客體的安全級(jí)，則主體可讀客體，即主體只能向下讀，不能向上讀。規(guī)則2：不能向下寫(No-Write-Down)，也稱為*特性。如果一個(gè)客體的安全級(jí)支配主體的安全級(jí)，則主體可寫客體，即主體只能向上寫，不能向下寫。2023/6/25164.4訪問控制

4.4.3強(qiáng)制訪問控制3.加強(qiáng)完整性的強(qiáng)制訪問控制模型Biba模型設(shè)計(jì)類似于BLP模型，不過(guò)使用完整性級(jí)別而非信息安全級(jí)別來(lái)進(jìn)行劃分。Biba模型規(guī)定，信息只能從高完整性的安全等級(jí)向低完整性的安全等級(jí)流動(dòng)，就是要防止低完整性的信息“污染”高完整性的信息。Biba模型只能夠?qū)崿F(xiàn)信息完整性中防止數(shù)據(jù)被未授權(quán)用戶修改這一要求。而對(duì)于保護(hù)數(shù)據(jù)不被授權(quán)用戶越權(quán)修改、維護(hù)數(shù)據(jù)的內(nèi)部和外部一致性這兩項(xiàng)數(shù)據(jù)完整性要求卻無(wú)法做到。2023/6/25174.4訪問控制

4.4.3強(qiáng)制訪問控制3.加強(qiáng)完整性的強(qiáng)制訪問控制模型Clark-Wilson模型的特點(diǎn)有以下幾個(gè)方面：采用主體(Subject)/事務(wù)(Program)/客體(Object)三元素的組成方式，主體要訪問客體只能通過(guò)程序進(jìn)行。權(quán)限分離原則。將關(guān)鍵功能分為由兩個(gè)或多個(gè)主體完成，防止已授權(quán)用戶進(jìn)行未授權(quán)的修改。要求具有審計(jì)能力(Auditing)。2023/6/25184.4訪問控制

4.4.3強(qiáng)制訪問控制3.加強(qiáng)完整性的強(qiáng)制訪問控制模型Dion模型結(jié)合BLP模型中保護(hù)數(shù)據(jù)保密性的策略和Biba模型中保護(hù)數(shù)據(jù)完整性的策略，模型中的每一個(gè)客體和主體被賦予一個(gè)安全級(jí)別和完整性級(jí)別，安全級(jí)別定義同BLP模型，完整性級(jí)別定義同Biba模型，因此，可以有效地保護(hù)數(shù)據(jù)的保密性和完整性。ChinaWall模型和上述的安全模型不同，它主要用于可能存在利益沖突的多邊應(yīng)用體系中。比如在某個(gè)領(lǐng)域有兩個(gè)競(jìng)爭(zhēng)對(duì)手同時(shí)選擇了一個(gè)投資銀行作為他們的服務(wù)機(jī)構(gòu)，而這個(gè)銀行出于對(duì)這兩個(gè)客戶的商業(yè)機(jī)密的保護(hù)就只能為其中一個(gè)客戶提供服務(wù)。2023/6/25194.4訪問控制

4.4.4基于角色的訪問控制由于DAC和MAC授權(quán)時(shí)需要對(duì)系統(tǒng)中的所有用戶進(jìn)行一維的權(quán)限管理，因此不能適應(yīng)大型系統(tǒng)中數(shù)量龐大的用戶管理和權(quán)限管理的需求。20世紀(jì)90年代以來(lái)，隨著對(duì)在線的多用戶、多系統(tǒng)的研究不斷深入，角色的概念逐漸形成，并逐步產(chǎn)生了基于角色的訪問控制RBAC(Role-BasedAccessControl)模型這一訪問控制模型已被廣為應(yīng)用。2023/6/25204.4訪問控制

4.4.4基于角色的訪問控制基于角色訪問控制的核心思想是將權(quán)限同角色關(guān)聯(lián)起來(lái)，而用戶的授權(quán)則通過(guò)賦予相應(yīng)的角色來(lái)完成，用戶所能訪問的權(quán)限由該用戶所擁有的所有角色的權(quán)限集合的并集決定。當(dāng)用戶機(jī)構(gòu)或權(quán)限發(fā)生變動(dòng)時(shí)，可以很靈活地將該用戶從一個(gè)角色移到另一個(gè)角色來(lái)實(shí)現(xiàn)權(quán)限的協(xié)調(diào)轉(zhuǎn)換，降低了管理的復(fù)雜度，另外在組織機(jī)構(gòu)發(fā)生職能性改變時(shí)，應(yīng)用系統(tǒng)只需要對(duì)角色進(jìn)行重新授權(quán)或取消某些權(quán)限，就可以使系統(tǒng)重新適應(yīng)需要。與用戶相比角色是相對(duì)穩(wěn)定的。這里的角色就充當(dāng)著主體(用戶)和客體之間的關(guān)系的橋梁2023/6/25214.4訪問控制

4.4.4基于角色的訪問控制角色由系統(tǒng)管理員定義，角色成員的增減也只能由系統(tǒng)管理員來(lái)執(zhí)行，即只有系統(tǒng)管理員有權(quán)定義和分配角色。用戶與客體無(wú)直接聯(lián)系，他只有通過(guò)角色才享有該角色所對(duì)應(yīng)的權(quán)限，從而訪問相應(yīng)的客體。RBAC與DAC的根本區(qū)別在于：用戶不能自主地將訪問權(quán)限授給別的用戶。RBAC與MAC的區(qū)別在于：MAC是基于多級(jí)安全需求的，而RBAC則不是。2023/6/25224.4訪問控制

4.4.4基于角色的訪問控制RBAC核心模型中包含了五個(gè)基本靜態(tài)集合：用戶集(Users)、角色集(Roles)、對(duì)象集(Objects)、操作集(Operators)和權(quán)限集(Perms)，以及一個(gè)運(yùn)行過(guò)程中動(dòng)態(tài)維護(hù)的集合——會(huì)話集(Sessions)2023/6/25234.4訪問控制

4.4.4基于角色的訪問控制RBAC的特點(diǎn)便于授權(quán)管理便于根據(jù)工作需要分級(jí)便于賦予最小權(quán)限便于任務(wù)分擔(dān)便于文件分級(jí)管理便于大規(guī)模實(shí)現(xiàn)2023/6/25244.4訪問控制

4.4.5基于PMI的授權(quán)與訪問控制1．構(gòu)建PMI的必要性PKI通過(guò)方便靈活的密鑰和證書管理方式，提供了在線身份認(rèn)證——“他是誰(shuí)”的有效手段，并為訪問控制、抗抵賴、保密性等安全機(jī)制在系統(tǒng)中的實(shí)施奠定了基礎(chǔ)。然而，隨著網(wǎng)絡(luò)應(yīng)用的擴(kuò)展和深入，僅僅能確定“他是誰(shuí)”已經(jīng)不能滿足需要，安全系統(tǒng)要求提供一種手段能夠進(jìn)一步確定“他能做什么”。即需要驗(yàn)證對(duì)方的屬性(授權(quán))信息，這個(gè)用戶有什么權(quán)限、什么屬性、能進(jìn)行哪方面的操作、不能進(jìn)行哪方面的操作。2023/6/25254.4訪問控制

4.4.5基于PMI的授權(quán)與訪問控制1．構(gòu)建PMI的必要性解決上述問題的一種思路是，利用X.509公鑰證書中的擴(kuò)展項(xiàng)來(lái)保存用戶的屬性信息，由CA完成權(quán)限的集中管理。應(yīng)用系統(tǒng)通過(guò)查詢用戶的數(shù)字證書即可得到用戶的權(quán)限信息。該方案的優(yōu)點(diǎn)在于，可以直接利用已經(jīng)建立的PKI平臺(tái)進(jìn)行統(tǒng)一授權(quán)管理，實(shí)施成本低，接口簡(jiǎn)單，服務(wù)方式一致。但是，將用戶的身份信息和授權(quán)信息捆綁在一起管理存在以下幾個(gè)方面的問題。身份和屬性的有效時(shí)間有很大差異其次，公鑰證書和屬性證書的管理頒發(fā)部門有可能不同。2023/6/25264.4訪問控制

4.4.5基于PMI的授權(quán)與訪問控制1．構(gòu)建PMI的必要性身份和授權(quán)管理之間的差異決定了對(duì)認(rèn)證和授權(quán)服務(wù)應(yīng)該區(qū)別對(duì)待。認(rèn)證和授權(quán)的分離不僅有利于系統(tǒng)的開發(fā)和重用，同時(shí)也有利于對(duì)安全方面實(shí)施更有效的管理。只有那些身份和屬性生命周期相同，而且CA同時(shí)兼任屬性管理功能的情況下，可以使用公鑰證書來(lái)承載屬性。大部分情況下應(yīng)使用公鑰證書+屬性證書的方式實(shí)現(xiàn)屬性的管理。國(guó)際電信聯(lián)盟ITU和因特網(wǎng)網(wǎng)絡(luò)工程技術(shù)小組IETF進(jìn)行了PKI的擴(kuò)展，提出了權(quán)限管理基礎(chǔ)設(shè)施PMI(PrivilegeManagementInfrastructure)。202