访问控制模型

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

第四阶段: 此后,对访问控制模型的研究扩展到更多的领域,比较有代表性的 有:应用于工作流系统或分布式系统中的基于任务的授权控制模 型(task-based authentication control,简称TBAC)、基于任务 和角色的访问控制模型(task-role-based access control,简称 T-RBAC)以及被称作下一代访问控制模型的使用控制(usage control,简称UCON)模型,也称其为ABC模型。
第二阶段: 美国国防部(Department of Defense,简称DoD)在1985年公布的 “可信计算机安全评价标准(trusted computer system evaluation criteria,简称 TCSEC)” 中明确提出了访问控制在计算机安全系统中的重要作用,并指出 一般的访问控制机制有两种:自主访问控制DAC和强制访问控制 MAC。目前,DAC和MAC被应用在很多领域。
访问控制模型——发展历史
最早由Lampson提出了访问控制的形式化和机制描述,引入了主体 、客体和访问矩阵的概念,它们是访问控制的基本概念。 对访问控制模型的研究,从早期的20世纪六、七十年代至今,大致 经历了以下 4 个阶段:
第一阶段: 20世纪六、七十年代应用于大型主机系统中的访问控制模型,较 典型的是Bell-Lapadula模型和HRU模型。 Bell-Lapadula模型着重系统的机密性,遵循两个基本的规则: “不上读”和“不下写”,以此实现强制存取控制,防止具有高安 全级别的信息流入低安全级别的客体,主要应用于军事系统中。
RBAC优点: • 减小授权复杂度,提高效率质量 不再存在大量权限的直接变动和授予,而是通过变化较少 的角色变动和授予替代 • 动态管理 权限变更只影响涉及的角色,修改角色的权限动态反应到 具有角色的所有主体,主体可自行禁用或者启用拥有的角 色,系统也可根据情况自动禁用启用主体角色,角色启用 禁用可使用密码 • 授权基本和现实情况符合,失真较小 管理员负责简单工作(比如角色到主体的映射),研发人 员负责复杂工作(比如客体、操作、权限到角色的映射)
MAC缺点: • 不灵活 • 级别定义繁琐,工作量大,管理不便 • 有些场合无法定义合理的级别,主体信任级别和客体安全级 别和现实情况不能一致 • 过于强调保密性,对系统连续工作能力和可管理性考虑不足 • 不能实现完整性控制,不适合WEB,原因:多级访问控制
访问控制模型——RBAC
• 基于角色的访问控制 Role Based Access Control,20世纪90 年代,John F.Barkley,Ravi Sandhu • 角色——一个或者一组用户在组织内可执行的操作的集合 (组、角色是聚合体Aggregation) • 角色隔离主体和客体,是权限的集合,权限变成角色对 客体的操作许可 • 主体和角色、角色和权限、权限和客体、权限和操作四 种关系均是多对多
基本内容
访问控制首先需要对用户身份的合法性进行验证,同时利用控 制策略进行选用和管理工作。当用户身份和访问权限验证之后 ,还需要对越权操作进行监控。 因此,访问控制的内容包括认证、控制策略实现和安全审计。 1、认证:包括主体对客体的识别及客体对主体的检验确认 2、控制策略:通过合理地设定控制规则集合,确保用户对信 息资源在授权范围内的合法使用。既要确保授权用户的合理使 用,又要防止非法用户侵权进入系统,使重要信息资源泄露。 同时对合法用户,也不能越权行使权限以外的功能及访问范围 3、安全审计:系统可以自动根据用户的访问权限,对计算机 网络环境下的有关活动或行为进行系统的、独立的检查验证, 并做出相应评价与审计
TBAC缺点: • 没有角色概念,和现实不符合 • 访问控制并不都是主动的,也有被动的
T-RBAC • 在TBAC上加上角色 • 建立角色和任务的映射关系
访问控制模型——UCON
• 用户控制 Usage Control,可变性、连续性 • 也称ABC(Authorization,oBligation,Condition)模型 • 决策依据 – 通过授权、职责、条件来进行访问控制决策,涵盖DAC、 MAC、DRM(数字版权管理)、TM(可信管理) – 授权基于主体客体属性和相关操作进行 – 职责是操作执行前和执行后的强制要求 – 条件是环境或者系统相关的约束因子 • 预先授权,过程授权(使用过程中授权)
访问控制模型——MAC
• 强制访问控制 Mandatory Access Control 1965年Multics操作系统(B级安全评价标准) 本质:基于格的单向信息流 • 授权过程 – 安全管理员(Security Officer)预定义主体信任级别、 客体安全级别 – 系统比较主体和客体级别后自动授权 – 安全管理员特殊授权 • 可归类为ACM,常和DAC结合使用 • 上读下写(数据完整性) • 下读上写(数据保密性)
访问控制模型——DAC
• • • • • 自主访问控制 Discretionary Access Control 20世纪70年代分时系统 Unix、WINDOWS普遍采用 客体的拥有者全权管理其授权,被授权者可传递权限 从ACM角度说——基于行,“基于主人的访问控制”
DAC缺点: • 管理权分散 拥有者拥有管理权,不利于集中访问控制 • 信息易泄漏,比如木马篡改数据、胡乱授权 • 客体的真正拥有者不是主体,而是组织单位本身, 从而造成所有权混乱 • 拥有者调离和死亡需要特殊处理 • 存在职权滥用现象 • 主体间关系不能直接体现,不易管理
RBAC功能规范: • 管理功能 • 系统支持功能 • 审查功能
RBAC缺点: • 静态授权,任务完成后权限没有收回,没有考虑上下文 • 基于主体、客体,被动访问控制,从系统角度出发,不 能主动防御
访问控制模型——TBAC
• 基于任务的访问控制模型,是一种采用动态授权的主动安 全模型 • 将访问权限和任务结合,每个任务都是主体使用权限对客 体的访问过程,任务执行完权限被消耗,不能再对客体进 行访问 • 授权不仅和主体客体有关,而且和任务内容、任务状态等 有关;访问权限随着任务上下文而变化 • 任务——要进行的一系列操作的有序集合,属性包括内容、 状态、执行结果、生命周期等 • 任务间关系——依赖、排斥
第三阶段: 从1992年最早的RBAC模型,即Ferraiolo-Kuhn模型的提出,到 Sandhu等人对RBAC模型的研究,先后提出了RBAC96,ARBAC97, ARBAC99模型,再到2001年NIST RBAC标准的提出。FerraioloKuhn模型将现有的面向应用的方法应用到RBAC模型中,是RBAC 最初的形式化描述。NIST RBAC参考模型对角色进行了详细的 研究,在用户和访问权限之间引入了角色的概念,为RBAC模型 提供了参考。
作用: · 访问控制对机密性、完整性起直接的作用。 · 对于可用性,访问控制通过对以下信息的有效控制来实现: (1)谁可以颁发影响网络可用性的网络管理指令 (2)谁能够滥用资源以达到占用资源的目的 (3)谁能够获得可以用于拒绝服务攻击的信息
目录
• 定义 • 基本内容 • 访问控制策略、 访问控制机制、 访问控制模型
RBAC96: • 4个子模型 • RBAC0满足最小需求 RBAC1在RBAC0基础上加“角色层次” RBAC2在RBAC0基础上加“约束” RBAC3 =RBAC1+ RBAC2
RBAC0
RBAC1
RBAC2
RBAC3
RBAC非法合法规则: • 无角色则无权(非法) • 主体角色经过授权则主体有权(合法) • 主体角色有客体操作的权限则主体有权(合法)
访问控制 与其他安全机制的关系:
授权(authorization)
授权信息
身份认证 主体
访问控制 客体
审计
Log
目录
• 定义 • 基本内容 • 访问控制策略、 访问控制机制、 访问控制模型
访问控制策略
访问控制策略——
是对访问如何控制、如何作出访问决定的高层指南
访问控制机制
访问控制机制—— 是访问控制策略的软硬件低层实现 · 访问控制机制与策略独立,可允许安全机制的重用 · 安全策略和机制根据应用环境灵活使用
访问控制模型基本组成:
发起者 Initiator
提交访问请求 Submit Access Request
访问控制实施功能 AEF
提出访问请求 Present Access Request
目标 Target
请求决策 Decision Request
决策 Decision
访问控制决策功能 ADF
· 发起者(Initiator)/主体(Subject):是一个主动的实体,规定可以访问 该资源的实体,(通常指用户或代表用户执行的程序) · 目标(target)/客体(Object):规定需要保护的资源 · 授权(Authorization):规定可对该资源执行的动作(例如读、写、执 行或拒绝访问) ▲一个主体为了完成任务,可以创建另外的主体,这些子主体可 以在网络上不同的计算机上运行,并由父主体控制它们 ▲主客体的关系是相对的
访问控制 POWEPOINT
适用于简约清爽主题及相关类别演示
欧阳恒宜 曲文芳 张丽欣 王单单 王宁 殷少鹏
目录
• 定义 • 基本内容 • 访问控制策略、 访问控制机制、 访问控制模型
定义
概念 : 访问控制(Access Control)是通过某种途径显式地准许或者限 制访问能力及范围的一种方法,是针对越权使用系统资源的防 御措施。 目的: · 保证系统资源受控地合法地使用 · 通过限制对关键资源的访问,防止非法用户侵入,防止合法 用户不慎操作造成的破坏 · 限制用户能做什么,限制系统对用户操作的响应 · 满足国际标准协议的要求
相关文档
最新文档