访问控制PPT
合集下载
网络互联 7第七章 访问控制列表PPT课件
在测试条件中使用通配符掩码,它是一个32 比特位的数字字符串,用点号分成4个通8位配符组 两1.R种ou特te01殊r(c写on法fi表表g:)#示示access-lis检 不t 1查 检per相 查mit应 相0.0的 应.0.0位 的25位5.255.255掩.2码55
例Rou如ter,(co测nfig试)#a条cce件ss-为list:1 p1er7m2i.t1an6y.0.0 0.0.255.255 2.R解ou释ter(:con通fig过)#a路cce由ss-l器ist 的1 peIrPm地it 1址92.必168须.1.满1 0.足0.0上.0 述测 试Rou条ter件(co,nfig前)#a两cce个ss-字list节1 p必erm须it h检ost查19,2.1后68.1两.1 个字节 不用检查。
14
标准访问控制列表例题1
15
标准访问控制列表例题2
16
标准访问控制列表例题3
17
扩展访问控制列表
扩展访问控制列表检查源地址,目的地址, 协议类型和端口号,101-199
配置在离源地近的路由器上 为什么
命令格式如下
router(config)# access-list access-list-number { permit | deny } protocol source [source-mask destination destination-mask operator operand] protocol : IP , TCP , UDP , ICMP , IGRP operator: it , gt , eq , neq operand: port number
8
提问
检查IP子网:172.20.16.0/20 写出通配符掩码?
例Rou如ter,(co测nfig试)#a条cce件ss-为list:1 p1er7m2i.t1an6y.0.0 0.0.255.255 2.R解ou释ter(:con通fig过)#a路cce由ss-l器ist 的1 peIrPm地it 1址92.必168须.1.满1 0.足0.0上.0 述测 试Rou条ter件(co,nfig前)#a两cce个ss-字list节1 p必erm须it h检ost查19,2.1后68.1两.1 个字节 不用检查。
14
标准访问控制列表例题1
15
标准访问控制列表例题2
16
标准访问控制列表例题3
17
扩展访问控制列表
扩展访问控制列表检查源地址,目的地址, 协议类型和端口号,101-199
配置在离源地近的路由器上 为什么
命令格式如下
router(config)# access-list access-list-number { permit | deny } protocol source [source-mask destination destination-mask operator operand] protocol : IP , TCP , UDP , ICMP , IGRP operator: it , gt , eq , neq operand: port number
8
提问
检查IP子网:172.20.16.0/20 写出通配符掩码?
访问控制 ppt
– 每个角色与一组用户和有关的动作相互关联; – 角色中所属的用户可以有权执行这些操作。
④
基于角色的访问控制
• 角色与组的区别
– 组:用户集; – 角色:用户集+权限集。
• 基于角色访问控制与DAC、MAC的区别
– 角色控制相对独立,根据配置可使某些角色接近DAC,某些角 色接近MAC。
⑤
• ① ② ③ ④ ⑤
访问控制
沈箫慧 魏华
• • • •
1、 访问控制的基本概念 2、 访问控制的实现机制和方法 3、 访问控制的一般策略 9.5 审计
1、 访问控制的基本概念
• 访问控制(Access Control)指系统对用户身份及其所属的 预先定义的策略组限制其使用数据资源能力的手段。通常用 于系统管理员控制用户对服务器、目录、文件等网络资源的 访问。访问控制是系统保密性、完整性、可用性和合法使用 性的重要基础,是网络安全防范和资源保护的关键策略之一 ,也是主体依据某些控制策略或权限对客体本身或其资源进 行的不同授权访问。 • 原始概念:是对进入系统的控制(用户标识+口令/生物特性 /访问卡)。 • 一般概念:是针对越权使用资源的防御措施。
ThankYou !
2.2 如何实现访问控制
访问控制流程图:
否
进入用户注 册页面
系统保存该用 户的登录信息
1
用户登录
是否是注册用户 是
进入欲访问 的页面
否
2
用户直接访 问某个页面
进入用户登录 页面 显示该页面 内容
系统是否保存了 该用户登录信息
是
• 1、 访问控制的基本概念 • 2、 访问控制的实现机制和方法 • 3、 访问控制的一般策略 • 9.5 审计
④
基于角色的访问控制
• 角色与组的区别
– 组:用户集; – 角色:用户集+权限集。
• 基于角色访问控制与DAC、MAC的区别
– 角色控制相对独立,根据配置可使某些角色接近DAC,某些角 色接近MAC。
⑤
• ① ② ③ ④ ⑤
访问控制
沈箫慧 魏华
• • • •
1、 访问控制的基本概念 2、 访问控制的实现机制和方法 3、 访问控制的一般策略 9.5 审计
1、 访问控制的基本概念
• 访问控制(Access Control)指系统对用户身份及其所属的 预先定义的策略组限制其使用数据资源能力的手段。通常用 于系统管理员控制用户对服务器、目录、文件等网络资源的 访问。访问控制是系统保密性、完整性、可用性和合法使用 性的重要基础,是网络安全防范和资源保护的关键策略之一 ,也是主体依据某些控制策略或权限对客体本身或其资源进 行的不同授权访问。 • 原始概念:是对进入系统的控制(用户标识+口令/生物特性 /访问卡)。 • 一般概念:是针对越权使用资源的防御措施。
ThankYou !
2.2 如何实现访问控制
访问控制流程图:
否
进入用户注 册页面
系统保存该用 户的登录信息
1
用户登录
是否是注册用户 是
进入欲访问 的页面
否
2
用户直接访 问某个页面
进入用户登录 页面 显示该页面 内容
系统是否保存了 该用户登录信息
是
• 1、 访问控制的基本概念 • 2、 访问控制的实现机制和方法 • 3、 访问控制的一般策略 • 9.5 审计
基于角色的访问控制的.课件
允许被授权的主体对某些客体的访问 拒绝向非授权的主体提供服务
主要模型
传统模型:自主访问控制(DAC),强制访问控制(MAC) 新模型:基于角色的访问控制(RBAC)
硕士论文答辩
4
基于角色的访问控制
背景
主体和客体的数量级增大,传统模型很难适用 Web上的访问控制成为主流研究课题
基本思想
硕士论文答辩
角色名称 company/1manager company/1filiale/1manager company/1manager/2developer company/1filiale/1manager/2developer company/1manager/2salesman company/1filiale/1manager/2salesman company/1manager/2developer/2employee company/1filiale/1manager/2developer/2employee
在RBAC模型内部实现缓存机制 独立于外部应用程序 可实现缓存自动更新和细粒度更新 可以缓存细粒度的内容
缓存用户权限对应 缓存用户指派 缓存权限指派 缓存角色继承关系
硕士论文答辩
30
RBAC模型内缓存 (3)
缓存用户权限对应
类似于RBAC模型外缓存
可实现细粒度缓存更新
缓存自动更新
分层的RBAC基本模型
RBAC0: 含有RBAC核心部分 RBAC1: 包含RBAC0,另含角色继承关系(RH) RBAC2: 包含RBAC0,另含限制(Constraints) RBAC3: 包含所有层次内容,是一个完整模型
硕士论文答辩
6
RBAC主流模型——RBAC96 (2)
主要模型
传统模型:自主访问控制(DAC),强制访问控制(MAC) 新模型:基于角色的访问控制(RBAC)
硕士论文答辩
4
基于角色的访问控制
背景
主体和客体的数量级增大,传统模型很难适用 Web上的访问控制成为主流研究课题
基本思想
硕士论文答辩
角色名称 company/1manager company/1filiale/1manager company/1manager/2developer company/1filiale/1manager/2developer company/1manager/2salesman company/1filiale/1manager/2salesman company/1manager/2developer/2employee company/1filiale/1manager/2developer/2employee
在RBAC模型内部实现缓存机制 独立于外部应用程序 可实现缓存自动更新和细粒度更新 可以缓存细粒度的内容
缓存用户权限对应 缓存用户指派 缓存权限指派 缓存角色继承关系
硕士论文答辩
30
RBAC模型内缓存 (3)
缓存用户权限对应
类似于RBAC模型外缓存
可实现细粒度缓存更新
缓存自动更新
分层的RBAC基本模型
RBAC0: 含有RBAC核心部分 RBAC1: 包含RBAC0,另含角色继承关系(RH) RBAC2: 包含RBAC0,另含限制(Constraints) RBAC3: 包含所有层次内容,是一个完整模型
硕士论文答辩
6
RBAC主流模型——RBAC96 (2)
访问控制技术及其应用 PPT课件
库服务器、文件服务器);
在网络安全中,任何提供服务的网络实体(例如万维 网服务器、文件服务器、域名服务器以及邮件服务器);
在网络安全中,某个网络区域也可作为访问控制的客
体;
5
1、访问控制基本概念
▪ 托管监控器
被信息系统委托管理整个系统内访问控制权限的一个 部件,它负责执行系统中的安全策略。
满足三点要求:完备性、孤立性和可验证性 完备性:要求系统中所有主体对客体的访问都必须通 过托管监视器才能实现,不存在其他路径可以绕过。 孤立性:要求托管监视器不受其他系统的干扰,具有 自己独立的一套安全控制机制。 可验证性:要求托管监视器的设计和实现都需要通过 安全验证,它的软件实现代码必须通过严格的安全检验,不 能出现任何软件漏洞。
▪ 完整性星状特征规则:如果主体的完整等级不小于客体
的完整等级,则主体可以“写”访问客体
11
6、商用安全策略与Clark-Wilson模型
▪ 商用安全策略是指保证信息完整性的安全策略
▪ 传统商用领域控制欺诈和错误的两条基本原则:
采用严格的步骤、可以事后监督的“正规交易”原则 一个交易须有多人参与、可相互监督约束的“职责分离”原则
Bell-LaPadula模型(实现MAC策略) Biba模型(实现完整性控制策略) Brewer-Nash模型(实现中国城墙策略) RBAC模型(实现中国城墙策略和MAC策略)
▪ 访问控制机制包括:
基于客体的访问控制列表(ACL)控制机制 基于主体的能力列表控制机制
3
1、访问控制基本概念
▪ 访问控制策略、机制与模型
▪ 访问控制策略:表示了访问控制的总体要求,描述了如何进 行访问控制,明确了哪些用户、在何种环境下、可以访问哪 些信息。
在网络安全中,任何提供服务的网络实体(例如万维 网服务器、文件服务器、域名服务器以及邮件服务器);
在网络安全中,某个网络区域也可作为访问控制的客
体;
5
1、访问控制基本概念
▪ 托管监控器
被信息系统委托管理整个系统内访问控制权限的一个 部件,它负责执行系统中的安全策略。
满足三点要求:完备性、孤立性和可验证性 完备性:要求系统中所有主体对客体的访问都必须通 过托管监视器才能实现,不存在其他路径可以绕过。 孤立性:要求托管监视器不受其他系统的干扰,具有 自己独立的一套安全控制机制。 可验证性:要求托管监视器的设计和实现都需要通过 安全验证,它的软件实现代码必须通过严格的安全检验,不 能出现任何软件漏洞。
▪ 完整性星状特征规则:如果主体的完整等级不小于客体
的完整等级,则主体可以“写”访问客体
11
6、商用安全策略与Clark-Wilson模型
▪ 商用安全策略是指保证信息完整性的安全策略
▪ 传统商用领域控制欺诈和错误的两条基本原则:
采用严格的步骤、可以事后监督的“正规交易”原则 一个交易须有多人参与、可相互监督约束的“职责分离”原则
Bell-LaPadula模型(实现MAC策略) Biba模型(实现完整性控制策略) Brewer-Nash模型(实现中国城墙策略) RBAC模型(实现中国城墙策略和MAC策略)
▪ 访问控制机制包括:
基于客体的访问控制列表(ACL)控制机制 基于主体的能力列表控制机制
3
1、访问控制基本概念
▪ 访问控制策略、机制与模型
▪ 访问控制策略:表示了访问控制的总体要求,描述了如何进 行访问控制,明确了哪些用户、在何种环境下、可以访问哪 些信息。
访问控制模型简介课件
主要内容
一、什么是访问控制 二、DAC模型 三、MAC模型 四、RBAC模型 五、LBAC模型
一、什么是访问控制
访问控制是指控制对一台计算机或一个网络中的 某个资源的访问
有了访问控制,用户在获取实际访问资源或进行 操作之前,必须通过识别、验证、授权。
二、DAC模型
Discretionary Access Control(DAC)自主访问控 制模型
四、RBAC模型
Role Based Access Control(RBAC)基于角色 的访问控制
管理员定义一系列角色(roles)并把它们赋 予主体。系统进程和普通用户可能有不同的 角色。设置对象为某个类型,主体具有相应 的角色就可以访问它。这样就把管理员从定 义每个用户的许可权限的繁冗工作中解放出 来
自主访问控制模型是根据自主访问控制策略建立的一 种模型,允许合法用户以用户或用户组的身份访问策 略规定的客体,同时阻止非授权用户访问客体,某些 用户还可以自主地把自己所拥有的客体的访问权限授 予其他用户
——DAC模型特点
自主访问控制模型的特点是授权的实施主体 (可以授权的主体、管理授权的客体、授权 组)自主负责赋予和回收其他主体对客体资 源的访问权限。DAC模型一般采用访问控制矩 阵和访问控制列表来存放不同主体的访问控 制信息,从而达到对主体访问权限限制的目 的。
谢 谢!
——RBAC特点
RBAC模型是20世纪90年代研究出来的一种新 模型,从本质上讲,这种模型是对前面描述 的访问矩阵模型的扩展。这种模型的基本概 念是把许可权(Permission)与角色(Role) 联系在一起,用户通过充当合适角色的成员 而获得该角色的许可权
五、LBAC模型
现有的基于层次的访问控制模型(LBAC)就是基 于工作流视角的。它通常被用于由多个工作流管 理系统实现的组织间(inter-organizational) 工作流。原因是LBAC采用了一个独立的访问层 (Access Layer,AC),它封装了该组织的访问 控制系统。由访问层将组织内的工作流转化为组 织间的工作流,而采用同样的方式对组织内和组 织间的工作流的访问控制问题进行处理。概括说 来,所谓工作流视角的LBAC,就是指把整个访问 控制过程看作是层次化的工作流的实现
一、什么是访问控制 二、DAC模型 三、MAC模型 四、RBAC模型 五、LBAC模型
一、什么是访问控制
访问控制是指控制对一台计算机或一个网络中的 某个资源的访问
有了访问控制,用户在获取实际访问资源或进行 操作之前,必须通过识别、验证、授权。
二、DAC模型
Discretionary Access Control(DAC)自主访问控 制模型
四、RBAC模型
Role Based Access Control(RBAC)基于角色 的访问控制
管理员定义一系列角色(roles)并把它们赋 予主体。系统进程和普通用户可能有不同的 角色。设置对象为某个类型,主体具有相应 的角色就可以访问它。这样就把管理员从定 义每个用户的许可权限的繁冗工作中解放出 来
自主访问控制模型是根据自主访问控制策略建立的一 种模型,允许合法用户以用户或用户组的身份访问策 略规定的客体,同时阻止非授权用户访问客体,某些 用户还可以自主地把自己所拥有的客体的访问权限授 予其他用户
——DAC模型特点
自主访问控制模型的特点是授权的实施主体 (可以授权的主体、管理授权的客体、授权 组)自主负责赋予和回收其他主体对客体资 源的访问权限。DAC模型一般采用访问控制矩 阵和访问控制列表来存放不同主体的访问控 制信息,从而达到对主体访问权限限制的目 的。
谢 谢!
——RBAC特点
RBAC模型是20世纪90年代研究出来的一种新 模型,从本质上讲,这种模型是对前面描述 的访问矩阵模型的扩展。这种模型的基本概 念是把许可权(Permission)与角色(Role) 联系在一起,用户通过充当合适角色的成员 而获得该角色的许可权
五、LBAC模型
现有的基于层次的访问控制模型(LBAC)就是基 于工作流视角的。它通常被用于由多个工作流管 理系统实现的组织间(inter-organizational) 工作流。原因是LBAC采用了一个独立的访问层 (Access Layer,AC),它封装了该组织的访问 控制系统。由访问层将组织内的工作流转化为组 织间的工作流,而采用同样的方式对组织内和组 织间的工作流的访问控制问题进行处理。概括说 来,所谓工作流视角的LBAC,就是指把整个访问 控制过程看作是层次化的工作流的实现
《访问控制技术》课件
通过安全标签、安全上下文等方式,对信 息进行强制性的访问控制,确保信息的安 全性。
基于内容对信息进行感知和判断,从而决 定是否允许访问,适用于智能信息处理系 统。
访问控制策略
基于规则的策略
通过制定一系列规则来决定用户对资源的访问权限,规则可以基于用 户、角色、资源、时间等多种因素。
基于角色的策略
将角色与权限相关联,通过为用户分配角色来实现对资源的访问控制 。
04 安全审计与监控
安全审计
安全审计定义
安全审计是对系统安全性进行检测、 评估和改善的过程,目的是发现系统 中的漏洞和弱点,预防潜在的威胁和 攻击。
安全审计方法
安全审计结果
安全审计的结果应该包括漏洞评估报 告、安全建议和改进措施等,这些结 果可以为系统管理员和安全人员提供 参考和指导。
安全审计的方法包括渗透测试、漏洞 扫描、代码审查等,通过这些方法可 以全面了解系统的安全性状况。
02 访问控制技术分类
自主访问控制
总结词
用户自主决定访问权限
详细描述
自主访问控制是指用户可以根据自己的需求和判断,自主地设置和调整访问权限。这种控制方式灵活度高,但安 全性较低,因为用户可以随意更改权限,容易引发安全风险。
强制访问控制
总结词
系统强制实施访问权限
详细描述
强制访问控制是指系统根据预先设定的规则和策略,强制性地为用户分配访问权限。用户无法自主更 改权限,安全性较高,但灵活性较低。
动态决策能力
系统应能够根据用户行为、 资源状态、环境变化等因素 动态调整访问控制策略,以 适应不断变化的安全需求。
智能决策能力
借助人工智能技术,系统能 够自动学习和优化访问控制 策略,提高决策的准确性和 效率。
课件4:第3章访问控制原理3-1节 acl
4
3.1 基本任务与实现方法
基本任务:是保证对客体的所有直接访问 都是被认可的。它通过对程序与数据的读 、写、更改和删除的控制,保证系统的安 全性和有效性,以免受偶然的和蓄意的侵 犯。 实现:由支持安全策略的执行机制实现
5
访问控制的有效性
建立在两个前提上
• 第一是用户鉴别与确证,保证每个用户 只能行使自己的访问权,没有一个用户 能够获得另一个用户的访问权。这一前 提是在用户进入系统时登录过程中对用 户进行确认之后完成的。
34
权利的转授
• 4、某些系统允许主体把自己对一个客体的访 问权转授给另一个主体,只要它持有这一权利 而毋需具备拥有权。下面的命令从进程 p转授 r-访问权给进程q,但没有给q进一步的转授权。 命令中的“*”表示权利r是可拷贝的标记。 • Command transfer read (p,q,f) If r* in A[p,f] Then enter r into A[q, f] End
条件 sS, oO
sS, oO
新状态(加’)
S’=A’[s,o]=A[s,o]{r} 矩阵其他入口项内容不变。
S’=S,O’=O,A’[s,o]=A[s,o]-{r}
矩阵其他入口项内容不变。
Create subject s’
Create o’ object
s’O
o’O
S’=S{s’},O’=O{s’}A’[s,o]=A[s,o] , 当 sS, oO,A’[s,o’]=, 当 oO’A’[s,s’]=, 当sS’ S’=S, O’=O{o’}A’[s,o]=A[s,o], 当sS, oOA’[s,o’]=, 当sS’
19
• 3)可验证性原则。为了满足可验证性,
《访问控制列表》课件
缺点
可能会增加网络延迟,对性能有一定影响,同时 需要配置网关设备。
REPORT
CATALOG
DATE
ANALYSIS
SUMMAR Y
03
访问控制列表的配置
配置步骤
01
02
03
04
05
确定需求
选择合适的访问 控制列表
配置访问规则
测试配置
监控和维护
明确访问控制的目标和需 求,例如保护特定资源、 限制网络访问等。
应场景
流量过滤
通过配置ACL,可以过滤网络流 量,只允许符合特定条件的数据 包通过。例如,可以过滤掉来自
特定IP地址或端口的数据包。
安全策略实施
ACL可以用于实施网络安全策略 ,限制对敏感资源的访问。例如 ,可以限制外部网络对内部服务 器的访问,以防止潜在的攻击和
数据泄露。
网络地址转换
在私有网络中使用ACL,可以控 制对公共IP地址的访问,实现网 络地址转换(NAT)功能。通过 将私有IP地址转换为公共IP地址 ,可以实现多台计算机共享一个
CATALOG
DATE
ANALYSIS
SUMMAR Y
04
访问控制列表的安全性
安全风险
未经授权的访问
攻击者可能利用访问控制 列表的漏洞,绕过安全策 略,获取未授权的资源访 问权限。
数据泄露
如果访问控制列表配置不 当,敏感数据可能被未经 授权的人员访问,导致数 据泄露。
系统性能下降
过于复杂的访问控制策略 可能增加系统的处理负担 ,导致系统性能下降。
05
访问控制列表的发展趋 势
动态访问控制列表
总结词
动态访问控制列表可以根据用户行为和环境变化进行动态调整,提高访问控制的 安全性和灵活性。
可能会增加网络延迟,对性能有一定影响,同时 需要配置网关设备。
REPORT
CATALOG
DATE
ANALYSIS
SUMMAR Y
03
访问控制列表的配置
配置步骤
01
02
03
04
05
确定需求
选择合适的访问 控制列表
配置访问规则
测试配置
监控和维护
明确访问控制的目标和需 求,例如保护特定资源、 限制网络访问等。
应场景
流量过滤
通过配置ACL,可以过滤网络流 量,只允许符合特定条件的数据 包通过。例如,可以过滤掉来自
特定IP地址或端口的数据包。
安全策略实施
ACL可以用于实施网络安全策略 ,限制对敏感资源的访问。例如 ,可以限制外部网络对内部服务 器的访问,以防止潜在的攻击和
数据泄露。
网络地址转换
在私有网络中使用ACL,可以控 制对公共IP地址的访问,实现网 络地址转换(NAT)功能。通过 将私有IP地址转换为公共IP地址 ,可以实现多台计算机共享一个
CATALOG
DATE
ANALYSIS
SUMMAR Y
04
访问控制列表的安全性
安全风险
未经授权的访问
攻击者可能利用访问控制 列表的漏洞,绕过安全策 略,获取未授权的资源访 问权限。
数据泄露
如果访问控制列表配置不 当,敏感数据可能被未经 授权的人员访问,导致数 据泄露。
系统性能下降
过于复杂的访问控制策略 可能增加系统的处理负担 ,导致系统性能下降。
05
访问控制列表的发展趋 势
动态访问控制列表
总结词
动态访问控制列表可以根据用户行为和环境变化进行动态调整,提高访问控制的 安全性和灵活性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
访问规则
• 规定了若干条件,在这些条件下,可准许访问 一个资源。 • 规则使用户与资源配对,指定该用户可在该文 件上执行哪些操作,如只读、不许执行或不许 访问。 • 由系统管理人员来应用这些规则,由硬件或软 件的安全内核部分负责实施。
访问控制的一般实现机制和方法
一般实现机制—— • 基于访问控制属性 ——〉访问控制表/矩阵 • 基于用户和资源分级(“安全标签”) ——〉多级访问控制 常见实现方法—— • 访问控制表ACLs(Access Control Lists) • 访问能力表(Capabilities) • 授权关系表
访问控制的作用
• 访问控制对机密性、完整性起直接的作用。
• 对于可用性,访问控制通过对以下信息的有效控 制来实现: (1)谁可以颁发影响网络可用性的网络管理指令 (2)谁能够滥用资源以达到占用资源的目的 (3)谁能够获得可以用于拒绝服务攻击的信息
主体、客体和授权
• 客体(Object):规定需要保护的资源,又称作目标 (target)。 • 主体(Subject):或称为发起者(Initiator),是一个主 动的实体,规定可以访问该资源的实体,(通常指用 户或代表用户执行的程序)。 • 授权(Authorization):规定可对该资源执行的动作 (例如读、写、执行或拒绝访问)。 一个主体为了完成任务,可以创建另外的主体,这些 子主体可以在网络上不同的计算机上运行,并由父主 体控制它们。 主客体的关系是相对的。
2003年春季北京大学硕士研究生课程
网络与信息安全 第八讲
访问控制
陈 钟 北京大学信息科学技术学院 软件研究所关概念
• 访问控制的策略和机制 • 授权的管理、网络访问控制组件的分布
安全服务
• 安全服务(Security Services): 计算机通信网络中,主要的安全保护措施被 称作安全服务。
资源
• 系统内需要保护的是系统资源:
– – – – – 磁盘与磁带卷标 远程终端 信息管理系统的事务处理及其应用 数据库中的数据 应用资源
资源和使用
• 对需要保护的资源定义一个访问控制包 (Access control packet),包括:
– – – – 资源名及拥有者的标识符 缺省访问权 用户、用户组的特权明细表 允许资源的拥有者对其添加新的可用数据的 操作 – 审计数据
表示和实现
• 基于组的策略在表示和实现上更容易和更有效 • 在基于个人的策略中,对于系统中每一个需要保护的客 体,为其附加一个访问控制表,表中包括主体标识符 (ID)和对该客体的访问模式 • 对客体I ID1.re ID2.r ID3.e …… Idn.rew • 将属于同一部门或工作性质相同的人归为一组 (Group), 分配组名GN,主体标识=ID1.GN • 对客体I
如何决定访问权限
• • • • 用户分类 资源 资源及使用 访问规则
用户的分类
(1)特殊的用户:系统管理员,具有最高级别 的特权,可以访问任何资源,并具有任何类型 的访问操作能力 (2)一般的用户:最大的一类用户,他们的访 问操作受到一定限制,由系统管理员分配 (3)作审计的用户:负责整个安全系统范围内 的安全控制与资源使用情况的审计 (4)作废的用户:被系统拒绝的用户。
UserA
R
Obj2
访问控制的一般策略
访问控制
自主 访问控制
强制 访问控制 基于角色 访问控制
自主访问控制
• 特点: 根据主体的身份及允许访问的权限进行决策 。 自主是指具有某种访问能力的主体能够自主地将访问 权的某个子集授予其它主体。 灵活性高,被大量采用。 • 缺点:
信息在移动过程中其访问权限关系会被改变。如用户 A可将其对目标O的访问权限传递给用户B,从而使不具 备对O访问权限的B可访问O。
强制访问控制实现机制-安全标签
• 安全标签是限制在目标上的一组安全属性信息 项。在访问控制中,一个安全标签隶属于一个 用户、一个目标、一个访问请求或传输中的一 个访问控制信息。 • 最通常的用途是支持多级访问控制策略。 在处理一个访问请求时,目标环境比较请求上 的标签和目标上的标签,应用策略规则(如 Bell Lapadula规则)决定是允许还是拒绝访 问。
根据ISO7498-2, 安全服务包括: 1.鉴别( Authentication) 2.访问控制(Access Control) 3.数据机密性(Data Confidentiality) 4.数据完整性(Data Integrity) 5.抗抵赖(Non-repudiation)
ISO7498-2到TCP/IP的映射
安全管理员
授权数据库 访问控 制决策 单元
用户
引用监 控器
目 目 标目 标目 标目 标 标
访问控制
身份鉴别
审 计
访问控制策略与机制
• 访问控制策略(Access Control Policy):访问控制策略在 系统安全策略级上表示授权。是对访问如何控制,如何 作出访问决定的高层指南。 • 访问控制机制(Access Control Mechanisms):是访问控 制策略的软硬件低层实现。 访问控制机制与策略独立,可允许安全机制的重用。 安全策略之间没有更好的说法,只是一种可以比一种 提供更多的保护。应根据应用环境灵活使用。
安全服务 对等实体鉴别 数据源鉴别 访问控制服务 连接保密性 无连接保密性 选择域保密性 流量保密性 有恢复功能的连接完整性 无恢复功能的连接完整性 选择域连接完整性 无连接完整性 选择域非连接完整性 源发方不可否认 接收方不可否认 网络接口 Y Y Y TCP/IP 协议层 互联网层 传输层 Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y 应用层 Y Y Y Y Y Y Y Y Y Y Y Y Y Y
访问控制矩阵
•任何访问控制策略最终均可被模型化为访问矩阵形式: 行对应于用户,列对应于目标,每个矩阵元素规定了相应 的用户对应于相应的目标被准予的访问许可、实施行为。
访问控制矩阵
• 按列看是访问控制表内容
• 按行看是访问能力表内容
目标 用户
用户a 目标x R、W、Own 目标y 目标z R、W、Own
访问控制的概念和目标
• 一般概念 —— 是针对越权使用资源的防御措施。 • 基本目标: 防止对任何资源(如计算资源、通信资源或信息资 源)进行未授权的访问。从而使计算机系统在合法范 围内使用;决定用户能做什么,也决定代表一定用户 利益的程序能做什么。 • 未授权的访问包括:未经授权的使用、泄露、修改、 销毁信息以及颁发指令等。 – 非法用户进入系统。 – 合法用户对系统资源的非法使用。
CL (Oi , ROi ) O {Oi }
(o,r)
oO? r Ro ?
ACL、CL访问方式比较(3)
• 鉴别方面:二者需要鉴别的实体不同 • 保存位置不同 • 浏览访问权限
– ACL:容易,CL:困难
• 访问权限传递
– ACL:困难,CL:容易
• 访问权限回收
– ACL:容易,CL:困难
访问模式Access Mode
• 系统支持的最基本的保护客体:文件,对文 件的访问模式设置如下:
(1)读-拷贝(Read-copy) (2)写-删除(write-delete) (3)运行(Execute) (4)无效(Null)
强制访问控制
• 特点:取决于能用算法表达的并能在计算机上执行的 策略。策略给出资源受到的限制和实体的授权,对资 源的访问取决于实体的授权而非实体的身份。RBAC决 策在批准一个访问之前需要进行授权信息和限制信息 的比较。 • (1)将主体和客体分级,根据主体和客体的级别标记 来决定访问模式。如,绝密级,机密级,秘密级,无 密级。 ( 2)其访问控制关系分为:上读/下写 , 下读/上写 (完整性) (机密性) (3)通过安全标签实现单向信息流通模式。
基于身份的策略:基于个人的策略
• • • 根据哪些用户可对一个目标实施哪一种行为的列 表来表示。 等价于用一个目标的访问矩阵列来描述 基础(前提):一个隐含的、或者显式的缺省策略
– 例如,全部权限否决 – 最小特权原则:要求最大限度地限制每个用户为实施 授权任务所需要的许可集合 – 在不同的环境下,缺省策略不尽相同,例如,在公开 的布告板环境中,所有用户都可以得到所有公开的信 息 – 对于特定的用户,有时候需要提供显式的否定许可
访问控制模型基本组成
发起者 Initiator
提交访问请求 Submit Access Request
访问控制实施功能 AEF
提出访问请求 Present Access Request
目标 Target
请求决策 Decision Request
决策 Decision
访问控制决策功能 ADF
访问控制与其他安全服务的关系模型
张三.CRYPTO.re *. CRYPTO.re 李四.CRYPTO.r *.*.n
自主访问控制的访问类型
• 访问许可与访问模式描述了主体对客体所具有 的控制权与访问权. • 访问许可定义了改变访问模式的能力或向其它 主体传送这种能力的能力. • 访问模式则指明主体对客体可进行何种形式的 特定的访问操作:读\写\运行.
精确描述
• 强制访问控制(MAC)中,系统包含主体集S和客体集 O,每个S中的主体s及客体集中的客体o,都属于一 固定的安全类SC,安全类SC=<L,C>包括两个部分: 有层次的安全级别和无层次的安全范畴。构成一偏 序关系≤。
(1) Bell-LaPadula:保证保密性 - 简单安全特性(无上读):仅当SC(o)≤SC(s)时,s 可以读取o - *-特性(无下写): 仅当SC(s) ≤SC(o)时,s可以修改o (2) Biba:保证完整性 - 同(1)相反
• 例如,对于违纪的内部员工,禁止访问内部一些信息