第11章 访问控制机制

2011-1-9
第11章 访问控制机制 章
24
Bell-LaPadula (BLP)模型 模型
BLP 保密模型基于两种规则来保障数据的机秘 度与敏感度： 度与敏感度：
上读(NRU) , 主体不可读安全级别高于它的数据 上读 下写(NWD) , 主检不可写安全级别低于它的数据 下写
BLP模型允许用户读取安全级别比他低的资源； 模型允许用户读取安全级别比他低的资源； 模型允许用户读取安全级别比他低的资源 相反地， 相反地，写入对象的安全级别只能高于用户级 简言之， 别。简言之，信息系统是一个由低到高的层次 化结构。 化结构。
访问控制的策略 ——基于角色的访问控制
角色控制优势
便于授权管理 便于角色划分 便于赋予最小特权 便于职责分担 便于目标分级
2011-1-9
第11章 访问控制机制 章
21
访问控制模型
BLP保密性模型 保密性模型 BIBA完整性模型 完整性模型 HRU模型 模型 Take-Grant模型 模型
2011-1-9
2011-1-9
第11章 访问控制机制 章
26
Biba模型 模型
2011-1-9
第11章 访问控制机制 章
27
Biba模型 模型
数据和用户被划分为以下安全等级
公开（ 公开（Unclassified） ） 受限（ 受限（Restricted） ） 秘密（ 秘密（Confidential） ） 机密（ 机密（Secret） ） 高密（ 高密（Top Secret） ）
2011-1-9
第11章 访问控制机制 章
5
访问控制的目的和作用
目的 是为了限制访问主体（用户、进程、服务等） 是为了限制访问主体（用户、进程、服务等） 对访问客体（文件、系统等）的访问权限从而 对访问客体（文件、系统等） 使计算机系统在合法范围内使用决定用户能做 什么也决定代表一定用户利益的程序能做什么 作用 是对需要访问系统及其数据的人进行鉴别并验证 其合法身份；也是进行记账审计等的前提。 其合法身份；也是进行记账审计等的前提。
2011-1-9
第11章 访问控制机制 章
23
Bell-LaPadula (BLP)模型 模型
数据和用户被划分为以下安全等级
公开（ 公开（Unclassified） ） 受限（ 受限（Restricted） ） 秘密（ 秘密（Confidential） ） 机密（ 机密（Secret） ） 高密（ 高密（Top Secret） ）
BIBA模型并没有被用来设计安全操作系 模型并没有被用来设计安全操作系 统，但大多数完整性保障机制都基于 Biba模型的两个基本属性构建。 模型的两个基本属性构建。 模型的两个基本属性构建
2011-1-9 第11章 访问控制机制 章 29
操作系统访问控制相关机制
2011-1-9
第11章 访问控制机制 章
第11章 访问控制机制 章
12
访问控制实现方法 ——授权关系表
2011-1-9
第11章 访问控制机制 章
13
访问控制的一般策略
2011-1-9
第11章 访问控制机制 章
14
访问控制的策略 ——自主访问控制
特点 根据主体的身份和授权来决定访问模式 缺点 信息在移动过程中其访问权限关系会被改 如用户A可将其对目标 可将其对目标O的访问权限 变，如用户 可将其对目标 的访问权限 传递给用户B，从而使不具备对O访问权 传递给用户 ，从而使不具备对 访问权 限的B可访问 可访问O。 限的 可访问 。
2011-1-9 第11章 访问控制机制 章 31
操作系统访问控制相关机制
访问控制往往嵌入应用程序（或中间件） 访问控制往往嵌入应用程序（或中间件） 中以提供更细粒度的数据访问控制。 中以提供更细粒度的数据访问控制。当访 ຫໍສະໝຸດ Baidu控制需要基于数据记录或更小的数据单 元实现时， 元实现时，应用程序将提供其内置的访问 控制模型。 控制模型。
30
操作系统访问控制相关机制
目前主流的操作系统均提供不同级别的访 问控制功能。通常， 问控制功能。通常，操作系统借助访问控 制机制来限制对文件及系统设备的访问。 制机制来限制对文件及系统设备的访问。 例如： 例如：Windows NT/2000操作系统应用 操作系统应用 访问控制列表来对本地文件进行保护， 访问控制列表来对本地文件进行保护，访 问控制列表指定某个用户可以读、 问控制列表指定某个用户可以读、写或执 行某个文件。 行某个文件。文件的所有者可以改变该文 件访问控制列表的属性。 件访问控制列表的属性。
2011-1-9
第11章 访问控制机制 章
3
ISO访问控制通用框架 访问控制通用框架
2011-1-9
第11章 访问控制机制 章
4
访问控制概述
访问控制的三个要素：主体、客体、 访问控制的三个要素：主体、客体、保护 规则
主体：发出访问操作、存取要求的主动方， 主体：发出访问操作、存取要求的主动方，通常 为进程、程序或用户。 为进程、程序或用户。 客体：被访问的对象，通常可以是被调用的程序、 客体：被访问的对象，通常可以是被调用的程序、 进程，要存取的数据、信息，要访问的文件、 进程，要存取的数据、信息，要访问的文件、系 统或各种网络设备、设施等资源。 统或各种网络设备、设施等资源。 保护规则：主体与客体之间可能的相互作用途径， 保护规则：主体与客体之间可能的相互作用途径， 用以确定一个主体是否对客体拥有访问能力。 用以确定一个主体是否对客体拥有访问能力。
2011-1-9
第11章 访问控制机制 章
18
访问控制的策略 ——基于角色的访问控制
基于角色的访问控制有如下特点： 基于角色的访问控制有如下特点：
该策略陈述易于被非技术的组织策略者理解； 该策略陈述易于被非技术的组织策略者理解； 同时也易于映射到访问控制矩阵或基于组的 策略陈述。 策略陈述。 同时具有基于身份策略的特征， 同时具有基于身份策略的特征，也具有基于 规则的策略的特征。 规则的策略的特征。 在基于组或角色的访问控制中， 在基于组或角色的访问控制中，一个个人用 户可能是不只一个组或角色的成员， 户可能是不只一个组或角色的成员，有时又 可能有所限制。 可能有所限制。
2011-1-9
第11章 访问控制机制 章
6
访问控制概念及分类
访问控制一般分为： 访问控制一般分为： 自主访问控制 强制访问控制 基于角色的访问控制
2011-1-9
第11章 访问控制机制 章
7
访问控制与其他安全措施的关系模型
2011-1-9
第11章 访问控制机制 章
8
访问控制的一般实现机制和方法
2011-1-9
第11章 访问控制机制 章
32
操作系统访问控制相关机制
操作系统的访问控制机制包括： 操作系统的访问控制机制包括：
认证和授权机制 访问检查机制 对象重用机制 审计和可信通信机制
2011-1-9
第11章 访问控制机制 章
33
网络访问控制机制
访问控制机制应用在网络安全环境中， 访问控制机制应用在网络安全环境中，主 要是限制用户可以建立什么样的连接以及 通过网络传输什么样的数据， 通过网络传输什么样的数据，这就是传统 的网络防火墙。 的网络防火墙。防火墙作为网络边界阻塞 点来过滤网络会话和数据传输。 点来过滤网络会话和数据传输。根据防火 墙的性能和功能， 墙的性能和功能，这种控制可以达到不同 的级别。 的级别。
2011-1-9
第11章 访问控制机制 章
15
访问控制的策略 ——强制访问控制
特点 1.将主题和客体分级根据主体和客体的级 将主题和客体分级根据主体和客体的级 别标记来决定访问模式如绝密级机密级秘 密级无密级 2.其访问控制关系分为上读 下写下读 上 其访问控制关系分为上读/下写下读 其访问控制关系分为上读 下写下读/上 写完整性机密性 3.通过梯度安全标签实现单向信息流通模 通过梯度安全标签实现单向信息流通模 式
2011-1-9
第11章 访问控制机制 章
25
Biba模型 模型
七十年代， 提出了Biba访问控 七十年代，Ken Biba提出了 提出了 访问控 制模型， 制模型，该模型对数据提供了分级别的完 整性保证，类似于BLP保密性模型， 保密性模型， 整性保证，类似于 保密性模型 BIBA模型也使用强制访问控制系统。 模型也使用强制访问控制系统。 模型也使用强制访问控制系统
第11章 访问控制机制 章
本节主要内容
访问控制概述 操作系统访问控制相关机制 网络访问控制机制
2011-1-9
第11章 访问控制机制 章
2
访问控制概述
访问控制(Access Control) ：从广义的角 度来看，访问控制是指对主体访问客体的 权限或能力的限制，以及限制进入物理区 域(出入控制)和限制使用计算机系统和计 算机存储数据的过程(存取控制)。
2011-1-9 第11章 访问控制机制 章 9
访问控制实现方法 ——访问控制表
2011-1-9
第11章 访问控制机制 章
10
访问控制实现方法 ——访问能力表
2011-1-9
第11章 访问控制机制 章
11
访问控制实现方法 ——访问控制矩阵
按列看是访问控制表内容 按行看是访问能力表内容
2011-1-9
2011-1-9
第11章 访问控制机制 章
28
Biba模型 模型
BIBA模型基于两种规则来保障数据的完 模型基于两种规则来保障数据的完 整性的保密性。 整性的保密性。
下读(NRU) 属性 主体不能读取安全级别低 属性, 下读 于它的数据 上写(NWD) 属性 主体不能写入安全级别高 属性, 上写 于它的数据
一般实现机制—— 一般实现机制 基于访问控制属性 —— 访问控制表 矩阵 访问控制表/矩阵 基于用户和资源分档“安全标签” 基于用户和资源分档“安全标签” —— 多级访问控制 常见实现方法—— 常见实现方法 访问控制表ACL) 访问控制表 访问能力表Capabilities) 访问能力表 授权关系表
2011-1-9 第11章 访问控制机制 章 16
访问控制的策略 ——强制访问控制
MAC Information Flow
2011-1-9
第11章 访问控制机制 章
17
访问控制的策略 ——基于角色的访问控制
基于角色的访问控制是一个复合的规则， 基于角色的访问控制是一个复合的规则， 可以被认为是IBAC和RBAC的变体。一个 的变体。 可以被认为是 和 的变体 身份被分配给一个被授权的组。 身份被分配给一个被授权的组。每个角色 与一组用户和有关的动作相互关联， 与一组用户和有关的动作相互关联，角色 中所属的用户可以有权执行这些操作。 中所属的用户可以有权执行这些操作。 角色与组的区别是： 角色与组的区别是： 组只是一组用户的集合， 组只是一组用户的集合，而角色则是一 组用户的集合加上一组操作权限的集合。 组用户的集合加上一组操作权限的集合。
2011-1-9
第11章 访问控制机制 章
34
网络访问控制机制
2011-1-9
第11章 访问控制机制 章
35
网络访问控制机制
防火墙可实现以下几类访问控制： 防火墙可实现以下几类访问控制：
1) 连接控制，控制哪些应用程序终结点之间可建立 连接控制， 连接。例如， 连接。例如，防火墙可控制内部的某些用户可以发 起对外部WEB站点间的的连接。 站点间的的连接。 起对外部 站点间的的连接 2) 协议控制，控制用户通过一个应用程序可以进行 协议控制， 什么操作，例如， 什么操作，例如，防火墙可以允许用户浏览一个页 同时拒绝用户在非信任的服务器上发布数据。 面，同时拒绝用户在非信任的服务器上发布数据。 3) 数据控制，防火墙可以控制应用数据流的通过。 数据控制，防火墙可以控制应用数据流的通过。 如防火墙可以阻塞邮件附件中的病毒。 如防火墙可以阻塞邮件附件中的病毒。 防火墙实现访问控制的尺度依赖于它所能实现的技 术。
第11章 访问控制机制 章
22
Bell-LaPadula (BLP)模型 模型
Bell-LaPadula保密性模型是第一个能够提供分 保密性模型是第一个能够提供分 级别数据机密性保障的安全策略模型（ 级别数据机密性保障的安全策略模型（多级安 全）。 1973年，David Bell和Len LaPadula提出了第 年 和 提出了第 一个正式的安全模型， 一个正式的安全模型，该模型基于强制访问控 制系统，以敏感度来划分资源的安全级别。 制系统，以敏感度来划分资源的安全级别。将 数据划分为多安全级别与敏感度的系统称之为 多级安全系统 Bell-LaPadula (BLP) 安全模型对主体和客体 按照强制访问控制系统的哲学进行分类， 按照强制访问控制系统的哲学进行分类，这种 分类方法一般应用于军事用途。 分类方法一般应用于军事用途。
2011-1-9 第11章 访问控制机制 章 19
访问控制的策略 ——基于角色的访问控制
角色关系
偏序(partial orders) 偏序 自反(reflexive) 自反 传递(transitive) 传递 反对称anti-symmetric) 反对称
2011-1-9
第11章 访问控制机制 章
20