4-3 身份与访问安全——访问控制

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
4.4 访问控制


用户认证解决的是:“你是谁?你是否 真的是你所声称的身份?” 访问控制技术解决的是“你能做什么? 你有什么样的权限?”。
2017/10/6
信息安全案例教程:技术与应用
1
4.4 访问控制

4.4.1 访问控制基本概念
基本目标都是防止非法用户进入系统和合法用 户对系统资源的非法使用。 为了达到这个目标,访问控制常以用户身份认 证为前提,在此基础上实施各种访问控制策略 来控制和规范合法用户在系统中的行为 这些策略和规范,被称为安全体系模型(或简 称为安全模型)。
信息安全案例教程:技术与应用 5


2017/10/6
4.4 访问控制

4.4.1 访问控制基本概念
3.基本的访问控制模型 (1)访问控制矩阵(Access Control Matrix,ACM) 访问控制矩阵模型的基本思想就是将所有的 访问控制信息存储在一个矩阵中集中管理。 当前的访问控制模型一般都是在它的基础上 建立起来的。
信息安全案例教程:技术与应用 21


2017/10/6
4.4 访问控制

4.4.4 基于角色的访问控制
角色由系统管理员定义,角色成员的增减也只能由系 统管理员来执行,即只有系统管理员有权定义和分配 角色。 用户与客体无直接联系,他只有通过角色才享有该角 色所对应的权限,从而访问相应的客体。 RBAC与DAC的根本区别在于:用户不能自主地将访 问权限授给别的用户。 RBAC与MAC的区别在于:MAC是基于多级安全需求 的,而RBAC则不是。
2017/10/6
信息安全案例教程:技术与应用
16
4.4 访问控制

4.4.3 强制访问控制
3. 加强完整性的强制访问控制模型 Biba模型设计类似于BLP模型,不过使用完整性级别 而非信息安全级别来进行划分。Biba模型规定,信息 只能从高完整性的安全等级向低完整性的安全等级流 动,就是要防止低完整性的信息“污染”高完整性的 信息。 Biba模型只能够实现信息完整性中防止数据被未授权 用户修改这一要求。而对于保护数据不被授权用户越 权修改、维护数据的内部和外部一致性这两项数据完 整性要求却无法做到。
2017/10/6
信息安全案例教程:技术与应用
14
4.4 访问控制

4.4.3 强制访问控制
在一个系统中实现MAC机制,最主要的是要做到两条: 2)当一个主体访问一个客体时,调用强制访问控制机 制,比较主体和客体的安全级别,从而确定是否允许 主体访问客体。在MAC机制下,即使是客体的拥有者 也没有对自己客体的控制权,也没有权利向别的主体 转授对自己客体的访问权。即使是系统安全管理员修 改、授予或撤销主体对某客体的访问权的管理工作也 要受到严格的审核与监控。有了MAC控制后,可以极 大地减少因用户的无意性(如程序错误或某些误操作) 泄漏敏感信息的可能性。


2017/10/6
信息安全案例教程:技术与应用
20
4.4 访问控制

4.4.4 基于角色的访问控制
基于角色访问控制的核心思想是将权限同角色关联起 来,而用户的授权则通过赋予相应的角色来完成,用 户所能访问的权限由该用户所拥有的所有角色的权限 集合的并集决定。 当用户机构或权限发生变动时,可以很灵活地将该用 户从一个角色移到另一个角色来实现权限的协调转换, 降低了管理的复杂度,另外在组织机构发生职能性改 变时,应用系统只需要对角色进行重新授权或取消某 些权限,就可以使系统重新适应需要。 与用户相比角色是相对稳定的。这里的角色就充当着 主体(用户)和客体之间的关系的桥梁
2017/10/6
信息安全案例教程:技术与应用
6
4.4 访问控制

4.4.1 访问控制基本概念
3.基本的访问控制模型 (2)访问控制表 访问控制表机制实际上是按访问控制矩阵的 列实施对系统中客体的访问控制。每个客体 都有一张ACL,用于说明可以访问该客体的 主体及其访问权限。
2017/10/6
信息安全案例教程:技术与应用 17

2017/10/6
4.4 访问控制

4.4.3 强制访问控制
3. 加强完整性的强制访问控制模型 Clark-Wilson模型的特点有以下几个方面:



采用主体(Subject)/事务(Program)/客体(Object)三元素的组成 方式,主体要访问客体只能通过程序进行。 权限分离原则。将关键功能分为由两个或多个主体完成,防 止已授权用户进行未授权的修改。 要求具有审计能力(Auditing)。
信息安全案例教程:技术与应用
7
4.4 访问控制

4.4.1 访问控制基本概念
3.基本的访问控制模型 (3)能力表 能力表保护机制实际上是按访问控制矩阵的 行实施对系统中客体的访问控制。每个主体 都有一张能力表,用于说明可以访问的客体 及其访问权限。
2017/10/6
信息安全案例教程:技术与应用
信息安全案例教程:技术与应用 19

2017/10/6
4.4 访问控制

4.4.4 基于角色的访问控制
由于DAC和MAC授权时需要对系统中的所有用户进行 一维的权限管理,因此不能适应大型系统中数量庞大 的用户管理和权限管理的需求。 20世纪90年代以来,随着对在线的多用户、多系统的 研究不断深入,角色的概念逐渐形成,并逐步产生了 基于角色的访问控制RBAC(Role-Based Access Control) 模型 这一访问控制模型已被广为应用。
信息安全案例教程:技术与应用 4
2017/10/6
4.4 访问控制

4.4.1 访问控制基本概念
在引用监视器思想的基础上,J.P.Anderson 定义了安全内核的概念。 安全内核是实现引用监视器概念的一种技术。 安全内核可以由硬件和介于硬件与操作系统之 间的一层软件组成。 安全内核的软件和硬件是可信的,处于安全边 界内,而操作系统和应用软件均处于安全边界 之外。这里讲的边界,是指与系统安全有关和 无关对象之间的一个想象的边界。



1)保密级别(Classification,或叫做敏感级别或级别)。 2)范畴集(Categories)。
信息安全案例教程:技术与应用 12
2017/10/6
4.4 访问控制

4.4.3 强制访问控制
安全级中包括一个保密级别,范畴集包含任意多个范 畴。安全级通常写作保密级别后随范畴集的形式。例 如:{机密:人事处,财务处,科技处}。 安全级的集合形成一个满足偏序关系的格(Lattice),此 偏序关系称为支配(Dominate),通常用符号“>”表示, 它类似于“大于或等于”的含义。 对于任意两个安全级Si=(li, Ci)和Sj=(lj, Cj),若Si支配 Sj(Si>Sj),当且仅当li>lj,且Ci包含Cj。如果两个安全级 的范畴互不包含,则这两个安全级不可比。



2017/10/6
信息安全案例教程:技术与应用
22
4.4 访问控制

4.4.4 基于角色的访问控制
RBAC核心模型中包含了五个基本静态集合:用户集 (Users)、角色集(Roles)、对象集(Objects)、操作集 (Operators)和权限集(Perms),以及一个运行过程中动 态维护的集合——会话集(Sessions)
2017/10/6
信息安全案例教程:技术与应用
18
4.4 访问控制

4.4.3 强制访问控制
3. 加强完整性的强制访问控制模型 Dion模型结合BLP模型中保护数据保密性的策略和 Biba模型中保护数据完整性的策略,模型中的每一个 客体和主体被赋予一个安全级别和完整性级别,安全 级别定义同BLP模型,完整性级别定义同Biba模型, 因此,可以有效地保护数据的保密性和完整性。 China Wall模型和上述的安全模型不同,它主要用于 可能存在利益冲突的多边应用体系中。比如在某个领 域有两个竞争对手同时选择了一个投资银行作为他们 的服务机构,而这个银行出于对这两个客户的商业机 密的保护就只能为其中一个客户提供服务。
8
4.4 访问控制

4.4.1 访问控制基本概念
两个问题构成了访问控制的基础:

1)对于给定主体,它能访问哪些客体以及如何访问? 2)对于给定客体,哪些主体能访问它以及如何访问?


对于第1个问题,使用能力表回答最为简单,只需要列 出与主体相关联的cap表中的元素即可。对于第2个问 题,使用访问控制表ACL回答最为简单,只需列出与 客体相关联的acl表中的元素即可。 人们可能更关注第2个问题,因此,现今大多数主流的 操作系统都把ACL作为主要的访问控制机制。这种机 制也可以扩展到分布式系统,ACL由文件服务器维护。
2017/10/6
信息安全案例教程:技术与应用
3
4.4 访问控制

4.4.1 访问控制基本概念
2.引用监视器和安全内核


访问控制机制的理论基础是引用监视器 (Reference Monitor),由J.P.Anderson于 1972年首次提出。 引用监视器是一个抽象的概念。 引用监视器借助访问数据库控制主体到客体的每一 次访问,并将重要的安全事件记入审计文件中。访 问控制数据库包含有关主体访问客体访问模式的信 息。数据库是动态的,它会随着主体和客体的产生 或删除及其权限的改变而改变。
2017/10/6
信息安全案例教程:技术与应用
11
4.4 访问控制

4.4.3 强制访问控制
强制访问控制最早出现在20世纪70年代。是美国政府 和军方源于对信息保密性的要求以及防止特洛伊木马 之类的攻击而研发的。 MAC是一种基于安全级标签的访问控制方法,通过分 级的安全标签实现信息从下向上的单向流动,从而防 止高密级信息的泄露。 在MAC中,对于主体和客体,系统为每个实体指派一 个安全级,安全级由两部分组成:
信息安全案例教程:技术与应用 15
2017/10/6
4.4 访问控制

4.4.3 强制访问控制
2.加强保密性的强制访问控制模型 BLP模型有两条基本的规则


规则1:不能向上读(No-Read-Up),也称为简单安全特性。如 果一个主体的安全级支配客体的安全级,则主体可读客体, 即主体只能向下读,不能向上读。 规则2:不能向下写(No-Write-Down),也称为*特性。如果一 个客体的安全级支配主体的安全级,则主体可写客体,即主 体只能向上写,不能向下写。
信息安全案例教程:技术与应用 10



2017/10/6
4.4 访问控制

4.4.3 强制访问控制
DAC机制的缺陷


允许用户自主地转授访问权,这是系统不安全的隐患。 系统无法区分是用户合法的修改还是木马程序的非法修改; 无法防止木马程序利用共享客体或隐蔽信道传送信息。 无法解决因用户无意(如程序错误、某些误操作等)或不负 责任的操作而造成的敏感信息的泄漏问题。
信息安全案例教程:技术与应用 9
2017/10/6
4.4 访问控制

4.4.2 自主访问控制
由客体的属主对自己的客体进行管理,由属主自己决 定是否将自己客体的访问权或部分访问权授予其他主 体,这种控制方式是自主的,我们把它称为自主访问 控制(DAC,Discretionary Access Control)。 在自主访问控制下,一个用户可以自主选择哪些用户 可以共享他的文件。 访问控制表ACL、能力表是实现DAC策略的基本数据 结构 在DAC模式下,有3种控制许可权手段:层次型、属 主型和自由型。


2017/10/6
Hale Waihona Puke Baidu
信息安全案例教程:技术与应用
2
4.4 访问控制

4.4.1 访问控制基本概念
1.访问控制的三要素



主体(Subject):访问操作的主动发起者,但不一 定是动作的执行者。 客体(Object):通常是指信息的载体或从其他主体 或客体接收信息的实体。 安全访问规则:用以确定一个主体是否对某个客体 拥有某种访问权力。


2017/10/6
信息安全案例教程:技术与应用
13
4.4 访问控制

4.4.3 强制访问控制
在一个系统中实现MAC机制,最主要的是要做到两条: 1)对系统中的每一个主体与客体,都要根据总体安全 策略与需求分配一个特殊的安全级别。该安全级别能 够反映该主体或客体的敏感等级和访问权限,并把它 以标签的形式和这个主体或客体紧密相连而无法分开。 这些安全属性是不能轻易改变的,它由管理部门(如安 全管理员)或由操作系统自动按照严格的规则来设置, 不像DAC那样可以由用户或他们的程序直接或间接修 改。
相关文档
最新文档