《授權(quán)與訪問(wèn)控制》PPT課件.ppt

1、第八講 授權(quán)與訪問(wèn)控制,王志偉 Email: ,8.1 訪問(wèn)控制的地位,鑒別認(rèn)證 Authentication 訪問(wèn)控制 Authorization Access Control 數(shù)據(jù)保密 數(shù)據(jù)完整性 防抵賴性,身份認(rèn)證和訪問(wèn)控制的關(guān)系,身份認(rèn)證是訪問(wèn)控制的前提和基礎(chǔ)，成功的身份認(rèn)證為訪問(wèn)控制提供關(guān)于客戶的各類真實(shí)信息；相反，如果認(rèn)證失敗，訪問(wèn)控制就必然會(huì)出現(xiàn)錯(cuò)誤。,安全服務(wù),8.2 一般概念和目標(biāo),一般概念：是針對(duì)越權(quán)使用資源的防御措施。 基本目標(biāo)：防止對(duì)任何資源（如計(jì)算資源、通信資源或信息資源）進(jìn)行未授權(quán)的訪問(wèn)。從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用；決定用戶能做什么，也決定代表一定用戶利益的程

2、序能做什么。 未授權(quán)的訪問(wèn)包括 ：未經(jīng)授權(quán)的使用、泄露、修改、銷毀信息以及頒發(fā)指令等。 非法用戶進(jìn)入系統(tǒng) 合法用戶對(duì)系統(tǒng)資源的非法使用,主體、客體、授權(quán),客體（Object）：規(guī)定需要保護(hù)的資源，又稱作目標(biāo)（target) 主體（Subject）：或稱為發(fā)起者，是一個(gè)主動(dòng)的實(shí)體，規(guī)定可以訪問(wèn)該資源的實(shí)體，（通常指用戶或代表用戶執(zhí)行的程序） 授權(quán)（Authorization）：一套規(guī)則，規(guī)定可對(duì)該資源執(zhí)行的動(dòng)作（例如讀、寫(xiě)、執(zhí)行或拒絕訪問(wèn)）。一個(gè)主體為了完成任務(wù)，可以創(chuàng)建另外的主體，這些子主體可以在網(wǎng)絡(luò)上不同的計(jì)算機(jī)上運(yùn)行，并由父主體控制它們 ，主客體的關(guān)系是相對(duì)的,限制主體對(duì)客體的訪問(wèn)權(quán)限，從

3、而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用。,訪問(wèn)控制模型基本組成,發(fā)起者 Initiator,目標(biāo) Target,訪問(wèn)控制實(shí)施功能 AEF,訪問(wèn)控制決策功能 ADF,提交訪問(wèn)請(qǐng)求 Submit Access Request,提出訪問(wèn)請(qǐng)求 Present Access Request,請(qǐng)求決策 Decision Request,決策 Decision,訪問(wèn)控制與其它安全服務(wù)的關(guān)系模型,又稱為訪問(wèn)監(jiān)視器，通過(guò)查詢授權(quán)數(shù)據(jù)庫(kù)來(lái)查明是否允許執(zhí)行某操作； 控制對(duì)授權(quán)數(shù)據(jù)庫(kù)中訪問(wèn)規(guī)則的改變。,特殊的用戶：系統(tǒng)管理員，具有最高級(jí)別的特權(quán)，可以訪問(wèn)任何資源，并具有任何類型的訪問(wèn)操作能力 一般的用戶：最大的一類用戶，他們

4、的訪問(wèn)操作受到一定限制，由系統(tǒng)管理員分配 作審計(jì)的用戶：負(fù)責(zé)整個(gè)安全系統(tǒng)范圍內(nèi)的安全控制與資源使用情況的審計(jì) 作廢的用戶：被系統(tǒng)拒絕的用戶,目標(biāo)資源,系統(tǒng)內(nèi)需要保護(hù)的是系統(tǒng)資源 磁盤(pán)與磁帶卷標(biāo) 遠(yuǎn)程終端 信息管理系統(tǒng)的事務(wù)處理及其應(yīng)用 數(shù)據(jù)庫(kù)中的數(shù)據(jù) 應(yīng)用資源,Tip 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)是干啥的？,1） 采集多種類型的日志數(shù)據(jù) 能采集各種操作系統(tǒng)的日志，防火墻系統(tǒng)日志，入侵檢測(cè)系統(tǒng)日志，網(wǎng)絡(luò)交換及路由設(shè)備的日志，各種服務(wù)和應(yīng)用系統(tǒng)日志。 2）日志管理 多種日志格式的統(tǒng)一管理。自動(dòng)將其收集到的各種日志格式轉(zhuǎn)換為統(tǒng)一的日志格式，便于對(duì)各種復(fù)雜日志信息的統(tǒng)一管理與處理。 3）日志查詢 支持以多種方式查

5、詢網(wǎng)絡(luò)中的日志記錄信息，以報(bào)表的形式顯示。,網(wǎng)絡(luò)安全審計(jì)系統(tǒng)是一個(gè)獨(dú)立的軟件，和其他的安全產(chǎn)品（如防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)等）在功能上互相獨(dú)立，但是同時(shí)又能互相協(xié)調(diào)、補(bǔ)充，保護(hù)網(wǎng)絡(luò)的整體安全。,網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的主要功能：,4）入侵檢測(cè) 使用多種內(nèi)置的相關(guān)性規(guī)則，對(duì)分布在網(wǎng)絡(luò)中的設(shè)備產(chǎn)生的日志及報(bào)警信息進(jìn)行相關(guān)性分析，從而檢測(cè)出單個(gè)系統(tǒng)難以發(fā)現(xiàn)的安全事件。 5）自動(dòng)生成安全分析報(bào)告 根據(jù)日志數(shù)據(jù)庫(kù)記錄的日志數(shù)據(jù)，分析網(wǎng)絡(luò)或系統(tǒng)的安全性，并輸出安全性分析報(bào)告。報(bào)告的輸出可以根據(jù)預(yù)先定義的條件自動(dòng)地產(chǎn)生、提交給管理員。 6）網(wǎng)絡(luò)狀態(tài)實(shí)時(shí)監(jiān)視 可以監(jiān)視運(yùn)行有代理的特定設(shè)備的狀態(tài)、網(wǎng)絡(luò)設(shè)備、

6、日志內(nèi)容、網(wǎng)絡(luò)行為等情況。 7）事件響應(yīng)機(jī)制 當(dāng)審計(jì)系統(tǒng)檢測(cè)到安全事件時(shí)候，可以采用相關(guān)的響應(yīng)方式報(bào)警。 8）集中管理 審計(jì)系統(tǒng)通過(guò)提供一個(gè)統(tǒng)一的集中管理平臺(tái)，實(shí)現(xiàn)對(duì)日志代理、安全審計(jì)中心、日志數(shù)據(jù)庫(kù)的集中管理。,網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的主要功能（續(xù)）：,8.3 訪問(wèn)控制實(shí)現(xiàn)方法,8.3.1 訪問(wèn)控制矩陣 8.3.2 訪問(wèn)能力表 8.3.3 訪問(wèn)控制表 8.3.4 授權(quán)關(guān)系表,8.3.1 訪問(wèn)控制矩陣,訪問(wèn)控制矩陣-2,按列看是訪問(wèn)控制表內(nèi)容 按行看是訪問(wèn)能力表內(nèi)容,訪問(wèn)控制矩陣-3,任何訪問(wèn)控制策略最終均可被模型化為訪問(wèn)矩陣形式：行對(duì)應(yīng)于用戶，列對(duì)應(yīng)于目標(biāo)，每個(gè)矩陣元素規(guī)定了相應(yīng)的用戶對(duì)應(yīng)于相應(yīng)的

7、目標(biāo)被準(zhǔn)予的訪問(wèn)許可、實(shí)施行為 R、W、X、OWNER 最原始的訪問(wèn)控制方法 開(kāi)銷大、不易擴(kuò)展管理,8.3.2 訪問(wèn)能力表（Capability List，CL）,訪問(wèn)能力表-2,能力（Capability）是受一定機(jī)制保護(hù)的客體標(biāo)志，標(biāo)記了客體以及主體對(duì)客體的訪問(wèn)權(quán)限。 每個(gè)主體都附加一個(gè)該主體可訪問(wèn)的客體的明細(xì)表 。,8.3.3 訪問(wèn)控制表（ACL）,訪問(wèn)控制表-2,Access Control List 應(yīng)用最廣泛的訪問(wèn)控制方法 是以客體為基準(zhǔn)的 靈活、易用、直觀 Unix、Windows都使用了該方法進(jìn)行訪問(wèn)控制,8.3.4 授權(quán)關(guān)系表,每一行 表示主體和客體的一個(gè)權(quán)限關(guān)系。,8.4

8、訪問(wèn)控制策略,8.4.1 自主訪問(wèn)控制（DAC）Discretionary Access Control,特點(diǎn)：根據(jù)主體的身份及允許訪問(wèn)的權(quán)限進(jìn)行決策 自主是指具有某種訪問(wèn)能力的主體能夠自主地將訪問(wèn)權(quán)的某個(gè)子集授予其它主體 靈活性高，被大量采用 缺點(diǎn)：信息在移動(dòng)過(guò)程中其訪問(wèn)權(quán)限關(guān)系會(huì)被改變。如用戶A可將其對(duì)目標(biāo)O的訪問(wèn)權(quán)限傳遞給用戶B,從而使不具備對(duì)O訪問(wèn)權(quán)限的B可訪問(wèn)O,8.4.2 強(qiáng)制訪問(wèn)控制（MAC）Mandatory Access Control,系統(tǒng)強(qiáng)制主體服從訪問(wèn)控制政策。 特點(diǎn)：對(duì)所有主體及其所控制的客體（例如：進(jìn)程、文件、段、設(shè)備）實(shí)施強(qiáng)制訪問(wèn)控制。為這些主體及客體指定敏感標(biāo)記

9、，這些標(biāo)記是等級(jí)分類和非等級(jí)類別的組合，它們是實(shí)施強(qiáng)制訪問(wèn)控制的依據(jù)。系統(tǒng)通過(guò)比較主體和客體的敏感標(biāo)記來(lái)決定一個(gè)主體是否能夠訪問(wèn)某個(gè)客體。用戶的程序不能改變他自己及任何其它客體的敏感標(biāo)記，從而系統(tǒng)可以防止特洛伊木馬的攻擊。 主體和客體的敏感標(biāo)記：絕密級(jí)，機(jī)密級(jí)，秘密級(jí)，無(wú)密級(jí) 其訪問(wèn)控制關(guān)系分為：上讀/下寫(xiě)， 下讀/上寫(xiě)，具體參見(jiàn)課本P199 通過(guò)安全標(biāo)簽實(shí)現(xiàn)單向信息流通模式,強(qiáng)制訪問(wèn)的四個(gè)密級(jí),TS：Top Secret S：Secret C：Confidential U：Unclassified,8.4.3基于角色的訪問(wèn)控制,與現(xiàn)代的商業(yè)環(huán)境相結(jié)合的產(chǎn)物 基于角色的訪問(wèn)控制是一個(gè)復(fù)合的規(guī)則

10、，可以被認(rèn)為是IBAC和RBAC的變體。一個(gè)身份被分配給一個(gè)被授權(quán)的組 IBAC (Identifier-Based Access Control) RBAC ( Rule-Based Access Control) 起源于UNIX系統(tǒng)或別的操作系統(tǒng)中組的概念,一個(gè)基于角色的訪問(wèn)控制實(shí)例,在銀行環(huán)境中，用戶角色可以定義為出納員、分行管理者、顧客、系統(tǒng)管理者和審計(jì)員 訪問(wèn)控制策略的一個(gè)例子如下： 允許一個(gè)出納員修改顧客的帳號(hào)記錄（包括存款和取款、轉(zhuǎn)帳等），并允許查詢所有帳號(hào)的注冊(cè)項(xiàng) 允許一個(gè)分行管理者修改顧客的帳號(hào)記錄（包括存款和取款，但不包括規(guī)定的資金數(shù)目的范圍）并允許查詢所有帳號(hào)的注冊(cè)項(xiàng)，也

11、允許創(chuàng)建和終止帳號(hào) 允許一個(gè)顧客只詢問(wèn)他自己的帳號(hào)的注冊(cè)項(xiàng) 允許系統(tǒng)的管理者詢問(wèn)系統(tǒng)的注冊(cè)項(xiàng)和開(kāi)關(guān)系統(tǒng)，但不允許讀或修改用戶的帳號(hào)信息 允許一個(gè)審計(jì)員讀系統(tǒng)中的任何數(shù)據(jù)，但不允許修改任何事情,角色的定義,每個(gè)角色與一組用戶和有關(guān)的動(dòng)作相互關(guān)聯(lián)，角色中所屬的用戶可以有權(quán)執(zhí)行這些操作 A role can be defined as a set of actions and responsibilities associated with a particular working activity,角色于組的區(qū)別與聯(lián)系,聯(lián)系 都是一個(gè)集合的概念 針對(duì)管理粒度(Granularity)的需求 兩者有內(nèi)在的本質(zhì)共性 區(qū)別 組的概念是用戶的集合 角色是組加權(quán)限集合的集合,RBAC與傳統(tǒng)訪問(wèn)控制的差別,增加