信息安全理論與技術(shù) 6、訪問控制

信息安全基本原理與技術(shù)目錄信息安全概述常見攻擊手段密碼學(xué)知識(shí)認(rèn)證與數(shù)字簽名網(wǎng)絡(luò)安全防御體系訪問控制可信計(jì)算訪問控制的概念訪問控制是為了限制訪問主體（或稱為發(fā)起者，是一個(gè)主動(dòng)的實(shí)體，如用戶、進(jìn)程、服務(wù)等）對(duì)訪問客體（需要保護(hù)的資源）的訪問權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用。訪問控制機(jī)制決定用戶及代表一定用戶利益的程序能做什么，以及做到什么程度。訪問控制由兩個(gè)重要過程組成通過認(rèn)證來(lái)檢驗(yàn)主體的合法身份；通過授權(quán)（Authorization）來(lái)限制用戶對(duì)資源的訪問級(jí)別。訪問控制的最基本概念主體（Subject）訪問的發(fā)起者，通常包括人、進(jìn)程和設(shè)備。根據(jù)主體權(quán)限不同可以分為四類：特殊用戶、一般用戶、審計(jì)用戶、作廢的用戶客體（Object）接受訪問的被動(dòng)實(shí)體通常包括文件和文件系統(tǒng)、磁盤和磁帶卷標(biāo)、遠(yuǎn)程終端、信息管理系統(tǒng)的事務(wù)處理及其應(yīng)用、數(shù)據(jù)庫(kù)中的數(shù)據(jù)、應(yīng)用資源等。訪問控制的最基本概念訪問（Access）使信息在主體和客體之間流動(dòng)的一種交互方式。訪問許可（AccessPermissions）決定了誰(shuí)能夠訪問系統(tǒng)，能訪問系統(tǒng)的何種資源以及如何使用這些資源。控制策略控制策略是主體對(duì)客體的訪問規(guī)則集，這個(gè)規(guī)則集直接定義了主體對(duì)客體的作用行為和客體對(duì)主體的條件約束。訪問控制策略自主訪問控制強(qiáng)制訪問控制基于角色的訪問控制基于任務(wù)的訪問控制基于對(duì)象的訪問控制自主訪問控制根據(jù)主體的身份及允許訪問的權(quán)限進(jìn)行決策。自主是指具有某種訪問能力的主體能夠自主地將訪問權(quán)的某個(gè)子集授予其它主體。靈活性高，被大量采用。缺點(diǎn)：信息在移動(dòng)過程中其訪問權(quán)限關(guān)系會(huì)被改變。如用戶A可將其對(duì)目標(biāo)O的訪問權(quán)限傳遞給用戶B,從而使不具備對(duì)O訪問權(quán)限的B可訪問O。自主訪問控制的實(shí)現(xiàn)機(jī)制訪問控制矩陣訪問控制列表訪問控制能力列表訪問控制矩陣?yán)枚S矩陣規(guī)定任意主體和任意客體間的訪問權(quán)限矩陣中的行代表主體的訪問權(quán)限屬性，矩陣中的列代表客體的訪問權(quán)限屬性，矩陣中的每一格表示所在行的主體對(duì)所在列的客體的訪問授權(quán)客體1客體2客體3主體1OwnRWOwnRW主體2ROwnRWW主體3RWR訪問控制列表

以文件為中心建立訪問權(quán)限表，表中登記了客體文件的訪問用戶名及訪問權(quán)隸屬關(guān)系

Object1UserAOWNRWOUserBRWOUserCRO對(duì)于客體Object1，主體A具有管理、讀和寫的權(quán)力，主體B具有讀和寫的權(quán)力，主體C只能讀訪問控制能力列表

以用戶為中心建立訪問權(quán)限表，為每個(gè)主體附加一個(gè)該主體能夠訪問的客體的明細(xì)表

UserAObject1OWNRWOObject2RWOObject3RO強(qiáng)制訪問控制每個(gè)用戶及文件都被賦予一定的安全級(jí)別，用戶不能改變自身或任何客體的安全級(jí)別，即不允許單個(gè)用戶確定訪問權(quán)限，只有系統(tǒng)管理員可以確定用戶和組的訪問權(quán)限。系統(tǒng)通過比較用戶和訪問的文件的安全級(jí)別來(lái)決定用戶是否可以訪問該文件。

安全級(jí)別一般有五級(jí)：絕密級(jí)（TopSecret，T）、秘密級(jí)（Secret，S）、機(jī)密級(jí)（Confidential，C）、限制級(jí)（Restricted，R）和無(wú)密級(jí)（Unclassified，U），其中T＞S＞C＞R＞U。拒絕讀??？客體1導(dǎo)彈計(jì)劃級(jí)別：絕密主體：Jack級(jí)別：秘密允許讀取？客體2電話簿級(jí)別：限制訪問控制安全標(biāo)簽列表用戶A的安全級(jí)別為S，那么他請(qǐng)求訪問文件File2時(shí)，由于T＞S，訪問會(huì)被拒絕；當(dāng)他訪問File1時(shí)，由于S＞R，所以允許訪問。用戶安全級(jí)別用戶AS用戶BC……用戶XT文件安全級(jí)別File1RFile2T……FilenS基于角色的訪問控制Role-basedAccess，RBAC基本思想:將訪問許可權(quán)分配給一定的角色，用戶通過飾演不同的角色獲得角色所擁有的訪問許可權(quán)。角色成為訪問控制中訪問主體和受控對(duì)象之間的一座橋梁。角色由系統(tǒng)管理員定義，角色成員的增減也只能由系統(tǒng)管理員來(lái)執(zhí)行，即只有系統(tǒng)管理員有權(quán)定義和分配角色。用戶與客體無(wú)直接聯(lián)系，他只有通過角色才享有該角色所對(duì)應(yīng)的權(quán)限，從而訪問相應(yīng)的客體。因此用戶不能自主地將訪問權(quán)限授給別的用戶基于任務(wù)的訪問控制Task-basedAccessControl，TBAC對(duì)象的訪問權(quán)限控制并不是靜止不變的，而是隨著執(zhí)行任務(wù)的上下文環(huán)境發(fā)生變化。TBAC模型由工作流、授權(quán)結(jié)構(gòu)體、受托人集、許可集四部分組成。TBAC模型一般用五元組（S，O，P，L，AS）來(lái)表示，其中S表示主體，O表示客體，P表示許可，L表示生命期（Lifecycle），AS表示授權(quán)步。TBAC從工作流中的任務(wù)角度建模，可以依據(jù)任務(wù)和任務(wù)狀態(tài)的不同，對(duì)權(quán)限進(jìn)行動(dòng)態(tài)管理。因此，TBAC非常適合分布式計(jì)算和多點(diǎn)訪問控制的信息處理控制以及在工作流、分布式處理和事務(wù)管理系統(tǒng)中的決策制定。

基于對(duì)象的訪問控制Object-basedAccessControl，OBAC將訪問控制列表與受控對(duì)象或受控對(duì)象的屬性相關(guān)聯(lián)，并將訪問控制選項(xiàng)設(shè)計(jì)成為用戶、組或角色及其對(duì)應(yīng)權(quán)限的集合允許對(duì)策略和規(guī)則進(jìn)行重用、繼承和派生操作。派生對(duì)象可以繼承父對(duì)象的訪問控制設(shè)置可以減輕由于信息資源的派生、演化和重組等帶來(lái)的分配、設(shè)定角色權(quán)限等的工作量。網(wǎng)絡(luò)訪問控制的應(yīng)用MAC地址過濾VLAN隔離

ACL訪問控制列表防火墻訪問控制MAC地址過濾a和b可以訪問服務(wù)器B，c不能訪問Ba、b、c都可以訪問AVLAN隔離通過VALN技術(shù)，可以把一個(gè)網(wǎng)絡(luò)系統(tǒng)中的眾多網(wǎng)絡(luò)設(shè)備分成若干個(gè)虛擬的“工作組”，組和組之間的網(wǎng)絡(luò)設(shè)備在二層上互相隔離，形成不同的廣播域，進(jìn)而將廣播流量限制在不同的廣播域中。允許同一VLAN上的用戶互相通信，而處于不同VLAN的用戶之間在鏈路層上是斷開的，只能通過路由器或三層交換機(jī)才能訪問。工作站1、2劃分到VLAN1中，3、4劃分到VLAN2中，這樣1、2工作站之間可以相互通信，3、4工作站之間也可以相互通信，但兩個(gè)組之間不可以直接通信ACL訪問控制列表訪問控制列表在路由器中被廣泛采用，它是一種基于包過濾的流向控制技術(shù)。通過把源地址、目的地址以及端口號(hào)作為數(shù)據(jù)包檢查的基本元素，并可以規(guī)定符合檢查條件的數(shù)據(jù)包是允許通過，還是不允許通過。訪問控制列表可以有效地在網(wǎng)絡(luò)層上控制網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)資源的訪問，它既可以細(xì)致到兩臺(tái)網(wǎng)絡(luò)設(shè)備間的具體的網(wǎng)絡(luò)應(yīng)用，也可以按網(wǎng)段進(jìn)行大范圍的訪問控制管理允許IP地址為192.168.2.10的工作站通過路由器訪問其它網(wǎng)絡(luò)IP地址為192.168.5.2的主機(jī)子網(wǎng)192.168.1.0不能與192.168.2.10及192.168.5.2