身份与访问安全——访问控制

4.4 访问控制
4.4.3 强制访问控制
强制访问控制最早出现在20世纪70年代。是美国政府 和军方源于对信息保密性的要求以及防止特洛伊木马 之类的攻击而研发的。
MAC是一种基于安全级标签的访问控制方法，通过分 级的安全标签实现信息从下向上的单向流动，从而防 止高密级信息的泄露。
在MAC中，对于主体和客体，系统为每个实体指派一 个安全级，安全级由两部分组成：
2020/5/9
信息安全案例教程：技术与应用
6
4.4 访问控制
4.4.1 访问控制基本概念
3．基本的访问控制模型 （2）访问控制表 访问控制表机制实际上是按访问控制矩阵的 列实施对系统中客体的访问控制。每个客体 都有一张ACL，用于说明可以访问该客体的 主体及其访问权限。
2020/5/9
信息安全案例教程：技术与应用
引用监视器是一个抽象的概念。
引用监视器借助访问数据库控制主体到客体的每一 次访问，并将重要的安全事件记入审计文件中。访 问控制数据库包含有关主体访问客体访问模式的信 息。数据库是动态的，它会随着主体和客体的产生 或删除及其权限的改变而改变。
2020/5/9
信息安全案例教程：技术与应用
4
4.4 访问控制
2020/5/9
信息安全案例教程：技术与应用
13
4.4 访问控制
4.4.3 强制访问控制
在一个系统中实现MAC机制，最主要的是要做到两条： 1）对系统中的每一个主体与客体，都要根据总体安全
策略与需求分配一个特殊的安全级别。该安全级别能 够反映该主体或客体的敏感等级和访问权限，并把它 以标签的形式和这个主体或客体紧密相连而无法分开。 这些安全属性是不能轻易改变的，它由管理部门(如安 全管理员)或由操作系统自动按照严格的规则来设置， 不像DAC那样可以由用户或他们的程序直接或间接修 改。
允许用户自主地转授访问权，这是系统不安全的隐患。 系统无法区分是用户合法的修改还是木马程序的非法修改； 无法防止木马程序利用共享客体或隐蔽信道传送信息。 无法解决因用户无意（如程序错误、某些误操作等）或不负
责任的操作而造成的敏感信息的泄漏问题。
2020/5/9
信息安全案例教程：技术与应用
11
1）保密级别(Classification，或叫做敏感级别或级别)。 2）范畴集(Categories)。
2020/5/9
信息安全案例教程：技术与应用
12
4.4 访问控制
4.4.3 强制访问控制
安全级中包括一个保密级别，范畴集包含任意多个范 畴。安全级通常写作保密级别后随范畴集的形式。例 如：{机密：人事处，财务处，科技处}。
2020/5/9
信息安全案例教程：技术与应用
5
4.4 访问控制
4.4.1 访问控制基本概念
3．基本的访问控制模型 （1）访问控制矩阵(Access Control Matrix，ACM) 访问控制矩阵模型的基本思想就是将所有的 访问控制信息存储在一个矩阵中集中管理。 当前的访问控制模型一般都是在它的基础上 建立起来的。
4.4.4 基于角色的访问控制
由于DAC和MAC授权时需要对系统中的所有用户进行 一维的权限管理，因此不能适应大型系统中数量庞大 的用户管理和权限管理的需求。
20世纪90年代以来，随着对在线的多用户、多系统的 研究不断深入，角色的概念逐渐形成，并逐步产生了 基于角色的访问控制RBAC(Role-Based Access Control) 模型
与用户相比角色是相对稳定的。这里的角色就充当着 主体(用户)和客体之间的关系的桥梁
2020/5/9
信息安全案例教程：技术与应用
21
4.4 访问控制
4.4.4 基于角色的访问控制
角色由系统管理员定义，角色成员的增减也只能由系 统管理员来执行，即只有系统管理员有权定义和分配 角色。
用户与客体无直接联系，他只有通过角色才享有该角 色所对应的权限，从而访问相应的客体。
2020/5/9
信息安全案例教程：技术与应用
安全访问规则：用以确定一个主体是否对某个客体 拥有某种访问权力。
2020/5/9
信息安全案例教程：技术与应用
3
4.4 访问控制
4.4.1 访问控制基本概念
2．引用监视器和安全内核
访问控制机制的理论基础是引用监视器 （Reference Monitor），由J.P.Anderson于 1972年首次提出。
这些策略和规范，被称为安全体系模型（或简 称为安全模型）。
2020/5/9
信息安全案例教程：技术与应用
2
4.4 访问控制
4.4.1 访问控制基本概念
1．访问控制的三要素
主体(Subject)：访问操作的主动发起者，但不一 定是动作的执行者。
客体(Object)：通常是指信息的载体或从其他主体 或客体接收信息的实体。
2020/5/9
信息安全案例教程：技术与应用
14
4.4 访问控制
4.4.3 强制访问控制
在一个系统中实现MAC机制，最主要的是要做到两条： 2）当一个主体访问一个客体时，调用强制访问控制机
制，比较主体和客体的安全级别，从而确定是否允许 主体访问客体。在MAC机制下，即使是客体的拥有者 也没有对自己客体的控制权，也没有权利向别的主体 转授对自己客体的访问权。即使是系统安全管理员修 改、授予或撤销主体对某客体的访问权的管理工作也 要受到严格的审核与监控。有了MAC控制后，可以极 大地减少因用户的无意性(如程序错误或某些误操作) 泄漏敏感信息的可能性。
7
4.4 访问控制
4.4.1 访问控制基本概念
3．基本的访问控制模型 （3）能力表 能力表保护机制实际上是按访问控制矩阵的 行实施对系统中客体的访问控制。每个主体 都有一张能力表，用于说明可以访问的客体 及其访问权限。
2020/5/9
信息安全案例教程：技术与应用
8
4.4 访问控制
4.4.1 访问控制基本概念
RBAC与DAC的根本区别在于：用户不能自主地将访 问权限授给别的用户。
RBAC与MAC的区别在于：MAC是基于多级安全需求 的，而RBAC则不是。
2020/5/9
信息安全案例教程：技术与应用
22
4.4 访问控制
4.4.4 基于角色的访问控制
RBAC核心模型中包含了五个基本静态集合：用户集 (Users)、角色集(Roles)、对象集(Objects)、操作集 (Operators)和权限集(Perms)，以及一个运行过程中动 态维护的集合——会话集(Sessions)
人们可能更关注第2个问题，因此，现今大多数主流的 操作系统都把ACL作为主要的访问控制机制。这种机 制也可以扩展到分布式系统，ACL由文件服务器维护。
2020/5/9
信息安全案例教程：技术与应用
9
4.4 访问控制
4.4.2 自主访问控制
由客体的属主对自己的客体进行管理，由属主自己决 定是否将自己客体的访问权或部分访问权授予其他主 体，这种控制方式是自主的，我们把它称为自主访问 控制(DAC，Discretionary Access Control)。
而非信息安全级别来进行划分。Biba模型规定，信息 只能从高完整性的安全等级向低完整性的安全等级流 动，就是要防止低完整性的信息“污染”高完整性的 信息。
Biba模型只能够实现信息完整性中防止数据被未授权 用户修改这一要求。而对于保护数据不被授权用户越 权修改、维护数据的内部和外部一致性这两项数据完 整性要求却无法做到。
安全级的集合形成一个满足偏序关系的格(Lattice)，此 偏序关系称为支配(Dominate)，通常用符号“>”表示， 它类似于“大于或等于”的含义。
对于任意两个安全级Si=(li, Ci)和Sj=(lj, Cj)，若Si支配 Sj(Si>Sj)，当且仅当li>lj，且Ci包含Cj。如果两个安全级 的范畴互不包含，则这两个安全级不可比。
China Wall模型和上述的安全模型不同，它主要用于 可能存在利益冲突的多边应用体系中。比如在某个领 域有两个竞争对手同时选择了一个投资银行作为他们 的服务机构，而这个银行出于对这两个客户的商业机 密的保护就只能为其中一个客户提供服务。
2020/5/9
信息安全案例教程：技术与应用
19
4.4 访问控制
权限分离原则。将关键功能分为由两个或多个主体完成，防 止已授权用户进行未授权的修改。
要求具有审计能力(Auditing)。
2020/5/9
信息安全案例教程：技术与应用
18
4.4 访问控制
4.4.3 强制访问控制
3. 加强完整性的强制访问控制模型
Dion模型结合BLP模型中保护数据保密性的策略和 Biba模型中保护数据完整性的策略，模型中的每一个 客体和主体被赋予一个安全级别和完整性级别，安全 级别定义同BLP模型，完整性级别定义同Biba模型， 因此，可以有效地保护数据的保密性和完整性。
这一访问控制模型已被广为应用。
2020/5/9
Baidu Nhomakorabea
信息安全案例教程：技术与应用
20
4.4 访问控制
4.4.4 基于角色的访问控制
基于角色访问控制的核心思想是将权限同角色关联起 来，而用户的授权则通过赋予相应的角色来完成，用 户所能访问的权限由该用户所拥有的所有角色的权限 集合的并集决定。
当用户机构或权限发生变动时，可以很灵活地将该用 户从一个角色移到另一个角色来实现权限的协调转换， 降低了管理的复杂度，另外在组织机构发生职能性改 变时，应用系统只需要对角色进行重新授权或取消某 些权限，就可以使系统重新适应需要。
两个问题构成了访问控制的基础：
1）对于给定主体，它能访问哪些客体以及如何访问？ 2）对于给定客体，哪些主体能访问它以及如何访问？
对于第1个问题，使用能力表回答最为简单，只需要列 出与主体相关联的cap表中的元素即可。对于第2个问 题，使用访问控制表ACL回答最为简单，只需列出与 客体相关联的acl表中的元素即可。
4.4 访问控制
用户认证解决的是：“你是谁？你是否 真的是你所声称的身份？”
访问控制技术解决的是“你能做什么？ 你有什么样的权限？”。
2020/5/9
信息安全案例教程：技术与应用
1
4.4 访问控制
4.4.1 访问控制基本概念
基本目标都是防止非法用户进入系统和合法用 户对系统资源的非法使用。
为了达到这个目标，访问控制常以用户身份认 证为前提，在此基础上实施各种访问控制策略 来控制和规范合法用户在系统中的行为
规则2：不能向下写(No-Write-Down)，也称为*特性。如果一 个客体的安全级支配主体的安全级，则主体可写客体，即主 体只能向上写，不能向下写。
2020/5/9
信息安全案例教程：技术与应用
16
4.4 访问控制
4.4.3 强制访问控制
3. 加强完整性的强制访问控制模型 Biba模型设计类似于BLP模型，不过使用完整性级别
2020/5/9
信息安全案例教程：技术与应用
17
4.4 访问控制
4.4.3 强制访问控制
3. 加强完整性的强制访问控制模型 Clark-Wilson模型的特点有以下几个方面：
采用主体(Subject)/事务(Program)/客体(Object)三元素的组成 方式，主体要访问客体只能通过程序进行。
2020/5/9
信息安全案例教程：技术与应用
15
4.4 访问控制
4.4.3 强制访问控制
2．加强保密性的强制访问控制模型 BLP模型有两条基本的规则
规则1：不能向上读(No-Read-Up)，也称为简单安全特性。如 果一个主体的安全级支配客体的安全级，则主体可读客体， 即主体只能向下读，不能向上读。
在自主访问控制下，一个用户可以自主选择哪些用户 可以共享他的文件。
访问控制表ACL、能力表是实现DAC策略的基本数据 结构
在DAC模式下，有3种控制许可权手段：层次型、属 主型和自由型。
2020/5/9
信息安全案例教程：技术与应用
10
4.4 访问控制
4.4.3 强制访问控制
DAC机制的缺陷
4.4.1 访问控制基本概念
在引用监视器思想的基础上，J.P.Anderson 定义了安全内核的概念。
安全内核是实现引用监视器概念的一种技术。 安全内核可以由硬件和介于硬件与操作系统之 间的一层软件组成。
安全内核的软件和硬件是可信的，处于安全边 界内，而操作系统和应用软件均处于安全边界 之外。这里讲的边界，是指与系统安全有关和 无关对象之间的一个想象的边界。