第八讲 访问控制

☺系统限制
8.4 基于角色的访问控制
8.4.1 基本思想
来确定。 授权给用户的访问权限， 授权给用户的访问权限，通常由用户在一个组织中担当的角色来确定。 基于角色的访问控制的要素包括用户 角色、许可等基本定义 用户、 等基本定义。 基于角色的访问控制的要素包括用户、角色、许可等基本定义。三者之 间的关系如下图所示。 间的关系如下图所示。 就是一个可以独立访问计算机系统中的数据或者用数据表示的其他资源的主体； 用户就是一个可以独立访问计算机系统中的数据或者用数据表示的其他资源的主体； 是一个组织或任务中的工作或者位置，它代表了一种权利、资格和责任； 角色是一个组织或任务中的工作或者位置，它代表了一种权利、资格和责任； 就是允许对一个或多个客体执行的操作。 许可就是允许对一个或多个客体执行的操作。
8.2 自主访问控制
自主访问控制（ 自主访问控制（DAC）是在确认主体身份以及（或）它们所属的组 ）是在确认主体身份以及（ 的基础上，控制主体的活动，实施用户权限管理、访问属性（ 的基础上，控制主体的活动，实施用户权限管理、访问属性（读、写、 执行）管理等，是一种最为普遍的访问控制手段。 执行）管理等，是一种最为普遍的访问控制手段。 DAC的主要特征体现在主体可以自主地把所拥有客体的访问权限 的主要特征体现在主体可以自主地把所拥有客体的访问权限 授予其他主体或者从其他主体收回所授予的权限。即用户程序可修改他 授予其他主体或者从其他主体收回所授予的权限。 拥有文件的ACL。 拥有文件的 。 DAC通常采用基于访问控制矩阵的访问控制表（ACL）机制。矩 通常采用基于访问控制矩阵的访问控制表（ 通常采用基于访问控制矩阵的访问控制表 ）机制。 阵中每行表示一个主体 每列表示一个受保护的客体 而矩阵中的元素， 主体， 客体， 阵中每行表示一个主体，每列表示一个受保护的客体，而矩阵中的元素， 则表示主体可以对客体的访问模式 如下所示： 访问模式。 则表示主体可以对客体的访问模式。如下所示： 客体A 客体 主体A 主体 主体B 主体 （R、W） （R） 客体B 客体 （W） －
2. 角色分配与授权
用户角色的分配与授权由系统管理员通过用户 角色分配表来进行。 用户角色的分配与授权由系统管理员通过用户/角色分配表来进行。它 用户 角色分配表来进行 包括用户标识 角色标识、可用性。只有可用性为真时， 用户标识、 包括用户标识、角色标识、可用性。只有可用性为真时，用户才真正可以 使用该角色赋予的许可。用户取得某种角色既可以是直接通过分配得来得， 使用该角色赋予的许可。用户取得某种角色既可以是直接通过分配得来得， 也可以是通过继承的来的。 也可以是通过继承的来的。
权限字方式 前缀表方式 口令字方式
主体A 主体 主体B 主体 主体C 主体
权限（ 权限（Administrator、Guest、Power……） 、 、 ）
客体1 客体 （名称、主体权限） 名称、主体权限） 客体1 客体 口令、访问方式） （口令、访问方式） 客体2 客体 （名称、主体权限） 名称、主体权限） 客体2 客体 口令、访问方式） （口令、访问方式）
…...
访问控制表
8.3 强制访问控制
强制访问控制（ 强制访问控制（MAC）的主要特征是对所有主体及其所控制的客体 ） 实施强制访问控制，即系统强制主体服从访问控制政策。 实施强制访问控制，即系统强制主体服从访问控制政策。 方法：先给主体和客体指定敏感标记，系统通过比较主体和客体的 方法：先给主体和客体指定敏感标记， 敏感标记来决定一个主体是否能够访问某个客体。 敏感标记来决定一个主体是否能够访问某个客体。用户的程序不能改变 它自己及任何其他客体的敏感标记。 它自己及任何其他客体的敏感标记。 （A） Bell-Lapadula安全模型 ） 安全模型 B-L模型制定的原则是利用不上读 不下写来保证数据的保密性。这 模型制定的原则是利用不上读/不下写来保证数据的保密性 模型制定的原则是利用不上读 不下写来保证数据的保密性。 种模型禁止信息从高级别流向低级别，从而实现信息的单向流通。 种模型禁止信息从高级别流向低级别，从而实现信息的单向流通。 （B） Biba安全模型 ） 安全模型 Biba模型制定的原则是不下读 不上写来保证数据的完整性。这种 模型制定的原则是不下读/不上写来保证数据的完整性 模型制定的原则是不下读 不上写来保证数据的完整性。 模型主要是为了避免应用程序修改某些重要的系统程序或系统数据库。 模型主要是为了避免应用程序修改某些重要的系统程序或系统数据库。
3. 角色限制
角色限制包括角色基数限制与角色互斥。角色基数在创建角色时指定； 角色限制包括角色基数限制与角色互斥。角色基数在创建角色时指定； 角色基数限制 角色互斥是指对某些特定的操作集合， 角色互斥是指对某些特定的操作集合，某一个用户不可能同时独立地完成 所有这些操作。角色互斥分为静态角色互斥 动态角色互斥。 静态角色互斥和 所有这些操作。角色互斥分为静态角色互斥和动态角色互斥。
……
……
……Hale Waihona Puke Baidu
…… …… …… ……
8.2.1 基于行的自主访问控制
基于行的自主访问控制是在每个主体上都附加一个该主体可访问的客 体明细表。基于行的DAC有如下三种方式： 有如下三种方式： 体明细表。基于行的 有如下三种方式 1. 权限字（能力）：权限字是一个提供给主体对客体具有特定权限 权限字（能力）： ）：权限字是一个提供给主体对客体具有特定权限 的不可伪造标志，只有当一个主体对某个客体拥有准许访问的能力时， 的不可伪造标志，只有当一个主体对某个客体拥有准许访问的能力时，它 才能访问该客体。 才能访问该客体。 2. 前缀表：授权分散化，关键的任务由多人来承担，保证没有人具 前缀表：授权分散化，关键的任务由多人来承担， 有完成任务的全部授权或信息。 有完成任务的全部授权或信息。 3. 口令字：将不同的责任分派给不同的人员以期达到互相牵制，消 口令字：将不同的责任分派给不同的人员以期达到互相牵制， 除一个人执行两项不相容的工作的风险。 除一个人执行两项不相容的工作的风险。
义了主体与客体可能的相互作用途径。 义了主体与客体可能的相互作用途径。
8.1.2 访问控制的基本原则
1. 最小特权原则
完成某种操作时所赋予网络中每个主体必须的最小特权。 完成某种操作时所赋予网络中每个主体必须的最小特权。 必须 特权
2. 多人负责原则
授权分散化，关键的任务由多人来承担， 授权分散化，关键的任务由多人来承担，保证没有人具有完成任务 的全部授权或信息。 的全部授权或信息。
Top Secret 禁止读 Secret 允许读 允许读 Unclassified
Top Secret
Top Secret 允许写 允许写 禁止写
Top Secret
Secret
Secret
Secret
Unclassified
Unclassified
Unclassified
（A） Bell-Lapadula安全模型 ） 安全模型 访问级别： 访问级别：
High integrity
允许读 允许读
High integrity
High integrity
禁止写 允许写
High integrity
Medium integrity
Medium integrity
Medium integrity
Medium integrity
禁止读 Low integrity Low integrity Low integrity
…… ……
8.2.2 基于列的自主访问控制
基于列的访问控制是指按客体附加一份可访问它的主体的明细表， 基于列的访问控制是指按客体附加一份可访问它的主体的明细表， 基于列的DAC有两种方式： 有两种方式： 基于列的 有两种方式
1. 保护位 保护位对所有的主 主体组（用户、 体、主体组（用户、用 户组） 户组）以及该客体的拥 有者， 有者，规定了一个访问 模式的集合。 模式的集合。UNIX 2. 访问控制表（ACL） 访问控制表（ ） ACL利用在客体上 利用在客体上 附加一个主体明细表的 方法来表示访问控制矩 阵，表中的每一项包括 主体的身份以及对该客 体的访问权。 体的访问权。Windows
3. 职责分离原则
将不同的责任分派给不同的人员以期达到互相牵制， 将不同的责任分派给不同的人员以期达到互相牵制，消除一个人执 行两项不相容的工作的风险。 行两项不相容的工作的风险。 在可信计算机系统评估准则中，访问控制系统被分为自主访问控制 自主访问控制、 在可信计算机系统评估准则中，访问控制系统被分为自主访问控制、 强制访问控制两大类 但最近几年基于角色的访问控制 两大类， 基于角色的访问控制正在得到广泛的 强制访问控制两大类，但最近几年基于角色的访问控制正在得到广泛的 研究和应用，代表着访问控制技术的发展方向。 研究和应用，代表着访问控制技术的发展方向。
一个角色可由多个用户构成； 每个角色可拥有多种许可 每个许可也可授权给 多个不同的角色
用户
角色
操作
每个操作可施加于 多个客体
许可
客体
沟通主体和客体
每个客体可以接 受多个操作
1. 角色继承
为避免相同权限的重复设置，采用“角色继承”的概念， 为避免相同权限的重复设置，采用“角色继承”的概念，即它们有自己 的属性，但可能还继承其他角色的许可。在角色继承关系中， 的属性，但可能还继承其他角色的许可。在角色继承关系中，处于最上面 的角色拥有最大的访问权限，最下面的则相反。 的角色拥有最大的访问权限，最下面的则相反。举例
Top Secret；Secret；Confidential；Unclassified ； ； ；
访问模式： 访问模式：
下读（ ）：用户级别大于文件级别的读操作 下读（Read down）：用户级别大于文件级别的读操作 ）： 上写（ ）：用户级别小于文件级别的写操作 上写（Write up）：用户级别小于文件级别的写操作 ）： 下写（ ）：用户级别等于文件级别的写操作 下写（Write down）：用户级别等于文件级别的写操作 ）： 上读（ ）：用户级别小于文件级别的读操作 上读（Read up）：用户级别小于文件级别的读操作 ）：
允许写 Low integrity
（B） Biba安全模型 ） 安全模型
MAC对专用的或简单的系统比较有效，而对通用、大型系统并不怎 对专用的或简单的系统比较有效，而对通用、 对专用的或简单的系统比较有效 么有效。通常MAC采取以下几种方法：☺ 限制访问控制；☺ 过程控制； 么有效。通常 采取以下几种方法： 限制访问控制； 过程控制； 采取以下几种方法
第八讲 访问控制
访问控制的概念 自主访问控制 强制访问控制 基于角色的访问控制
8.1 访问控制的概念
8.1.1 访问控制的基本概念
访问控制就是在身份认证的基础上， 访问控制就是在身份认证的基础上，依据授权对提出的资源访问请 求加以控制。主要分为网络访问控制和系统访问控制。 求加以控制。主要分为网络访问控制和系统访问控制。 网络访问控制用于限制外部对网络服务的访问和系统内部用户对外 网络访问控制用于限制外部对网络服务的访问和系统内部用户对外 部的访问，通常由防火墙实现。 部的访问，通常由防火墙实现。 系统访问控制为不同用户赋予不同的主机资源访问权限 为不同用户赋予不同的主机资源访问权限， 系统访问控制为不同用户赋予不同的主机资源访问权限，通常通过 操作系统来实现。 操作系统来实现。 访问控制系统通常包括主体、客体、安全访问策略三部分。 访问控制系统通常包括主体、客体、安全访问策略三部分。 主体 三部分 主体：发出访问操作、存取要求的发起者，通常指用户或用户的某个进程； 主体：发出访问操作、存取要求的发起者，通常指用户或用户的某个进程； 客体：被调用的程序或预存取的数据，即必须进行控制的资源目标； 客体：被调用的程序或预存取的数据，即必须进行控制的资源目标； 安全访问策略：一套规则，用以确定一个主体是否对客体拥有访问能力， 安全访问策略：一套规则，用以确定一个主体是否对客体拥有访问能力，定
客体A 客体
客体B 客体
主体1 主体 主体1 主体 用户/用户组 用户组甲、 （用户组甲、访 （用户 用户组 问模式） 访问权限） 问模式） 甲、访问权限） 主体2 主体 主体2 主体 用户/用户组 用户组乙、 （用户组乙、访 （用户 用户组 问模式） 访问权限） 问模式） 乙、访问权限）
…...
保护位