访问控制模型
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 例如,对于违纪的内部员工, 例如,对于违纪的内部员工,禁止访问内部一些信息
27
访问控制矩阵
按列看是访问控制表内容 按行看是访问能力表内容
目标 用户 用户a 用户 用户b 用户 用户c 用户 用户d 用户 R R 目标x 目标 R、W、Own 、 、 R、W、Own 、 、 R、W 、 R、W 、
28
目标y 目标
目标z 目标 R、W、Own 、 、
访问控制表(ACL)
Obj1
a 10 M= ... am0
2A a00
a01 ... a0 n a11 ... a1n ... ... ... am1 ... amn
对于任意si ∈ S , o j ∈ O, 存在aij ∈ M决定si 对o j 允许 的操作。比如aij = {R, W }, alk = φ
38
基于身份的策略: 基于身份的策略:基于个人的策略
• • • 根据哪些用户可对一个目标实施哪一种行为的列 表来表示。 表来表示。 等价于用一个目标的访问矩阵列 等价于用一个目标的访问矩阵列来描述 基础(前提 一个隐含的、 前提): 基础 前提 :一个隐含的、或者显式的缺省策略
– 例如,全部权限否决 例如, – 最小特权原则:要求最大限度地限制每个用户为实施 最小特权原则: 授权任务所需要的许可集合 – 在不同的环境下,缺省策略不尽相同,例如,在公开 在不同的环境下,缺省策略不尽相同,例如, 的布告板环境中, 的布告板环境中,所有用户都可以得到所有公开的信 息 – 对于特定的用户,有时候需要提供显式的否定许可 对于特定的用户,
Lecture 1 访问控制
1
内容
网络与信息安全简介 访问控制概述 系统访问控制 网络访问控制
2
什么是信息安全
沈昌祥院士:“信息安全保密内容分为:实体安全、运行安全、数
据安全和管理安全四个方面。” 我国计算机信息系统安全专用产品分类原则给出的定义是:“涉及实 体安全、 运行安全和信息安全三个方面。” 我国相关立法给出的定义是:“保障计算机及其相关的和配套的设备、 设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机 功能的正常发挥,以维护计算机信息系统的安全”。这里面涉及了物 理安全、运行安全与信息安全三个层面。 国家信息安全重点实验室给出的定义是:“信息安全涉及到信息的机 密性、完整性、可用性、可控性。综合起来说,就是要保障电子信息 的有效性。” 英国BS7799信息安全管理标准给出的定义是:“信息安全是使信息 避免一系列威胁,保障商务的连续性,最大限度地减少商务的损失, 最大限度地获取投资和商务的回报,涉及的是机密性、完整性、可用 性。”
34
访问控制矩阵
a00 a 10 M= ... am 0 a01 a11 ... am1 ... a0 n S1 S ... a1n 2 = = [O1 O2 ... On ] ... ... ... ... amn S m
运行安全
路由欺骗 域名欺骗
物理安全 对传递信息进行 捕获并解析
阻断信息传输系统,使得被 传播的内容不能送达目的地
删除局部内容 或附加特定内容
数据安全
内容安全 6
网 络 与 信 息 安 全 涵 盖 范 围
这些层面具有相同的 性质,都可以归并为真实 性。其中,完整性是真实 性的子集,是表示内容因 未被修改而是真实的
30
ACL、CL访问方式比较
鉴别方面:二者需要鉴别的实体不同 保存位置不同 访问权限传递
ACL:困难,CL:容易 ACL: CL
访问权限回收
ACL:容易,CL:困难
31
ACL、CL访问方式比较(续)
多数集中式操作系统使用ACL方法或类似方 式 由于分布式系统中很难确定给定客体的潜 在主体集,在现代OS中CL也得到广泛应用
11
网 保证信息与信息系统可被授权人 络 员正常使用。 员正常使用。 主要防护措施是确保信息与信息 与 系统处于一个可信的环境之下 信 息 安 全 涵 盖 范 围
12
网 络 与 信 息 安 全 涵 盖 范 围
信息安全金三角
机密性
真实性 (完整性)
可用性
13
网 络 与 信 息 安 全 框 架
属性
非法用户进入系统。 合法用户对系统资源的非法使用。
16
访问控制的作用
访问控制对机密性、完整性起直接的作用。 对于可用性,访问控制通过对以下信息的有效控制 来实现: (1)谁可以颁发影响网络可用性的网络管理指令 (2)谁能够滥用资源以达到占用资源的目的 (3)谁能够获得可以用于拒绝服务攻击的信息
17
目标 Target
请求决策 Decision Request
决策 Decision
访问控制决策功能 ADF
19
访问控制与其他安全机制的关系
认证、授权、审计(AAA)
授权( 授权(authorization) )
授权信息
身份认证 主体
访问控制 客体 审计 Log
20
访问控制策略与机制
访问控制策略:是对访问如何控制,如何作出访问 决定的高层指南 访问控制机制:是访问控制策略的软硬件低层实现
25
访问控制的一般实现机制和方法
一般实现机制——
• • 基于访问控制属性 基于用户和资源分级(“安全标签”)
——〉访问控制表/矩阵 ——〉多级访问控制 常见实现方法——
• 访问控制表ACLs(Access Control Lists) • 访问能力表(Capabilities) • 授权关系表
26
userA Own R W O
userB
userC R
R
W
O
O
每个客体附加一个它可以访问的主体的明细表。 每个客体附加一个它可以访问的主体的明细表
29
访问能力表(CL)
UserA
Obj1 Own R W O
Obj2
Obj3
R
R W
来自百度文库
O
O
每个主体都附加一个该主体可访问的客体的明细表。 每个主体都附加一个该主体可访问的客体的明细表。
访问控制机制与策略独立,可允许安全机制的重用 安全策略和机制根据应用环境灵活使用
21
如何决定访问权限
用户分类 资源 访问规则
22
用户的分类
(1)特殊的用户:系统管理员,具有最高级别的特 权,可以访问任何资源,并具有任何类型的访问 操作能力 (2)一般的用户:最大的一类用户,他们的访问操 2 作受到一定限制,由系统管理员分配 (3)作审计的用户:负责整个安全系统范围内的安 全控制与资源使用情况的审计 (4)作废的用户:被系统拒绝的用户。
访问控制矩阵
•任何访问控制策略最终均可被模型化为访问矩阵形式: 任何访问控制策略最终均可被模型化为访问矩阵形式: 任何访问控制策略最终均可被模型化为访问矩阵形式 行对应于用户,列对应于目标, 行对应于用户,列对应于目标,每个矩阵元素规定了相应 的用户对应于相应的目标被准予的访问许可、实施行为。 的用户对应于相应的目标被准予的访问许可、实施行为。
主体、客体和授权
客体(Object):规定需要保护的资源,又称作目标 (target)。 主体(Subject):或称为发起者(Initiator),是一个主 动的实体,规定可以访问该资源的实体,(通常指用 户或代表用户执行的程序)。 授权(Authorization):规定可对该资源执行的动作 (例如读、写、执行或拒绝访问)。
一个主体为了完成任务,可以创建另外的主体,这些子主体 可以在网络上不同的计算机上运行,并由父主体控制它们。 主客体的关系是相对的。
18
访问控制模型基本组成
发起者 Initiator
提交访问请求 Submit Submit Access Request
访问控制实施功能 AEF
提出访问请求 Present Access Request
内容
物理安全
保证系统的可用性,使得发 布 者无法否认所发布的信息 方式向外泄漏信息。 方式向外泄漏信息。
保障网络的正常运 保证数据在传输、 行 , 确保系统时刻 保证数据在传输、 能为授权人提供基 存储等过程中不 数据安全 被非法修改 本服务。 本服务。
保证系统至少能 提供基本的服务
5
网 络 与 信 息 安 全 涵 盖 范 围
36
访问控制的一般策略
访问控制
自主 访问控制
强制 访问控制 基于角色 访问控制
37
自主访问控制
• 特点: 根据主体的身份及允许访问的权限进行决策 。 自主是指具有某种访问能力的主体能够自主地将 访问权的某个子集授予其它主体。 灵活性高,被大量采用。 • 缺点: 信息在移动过程中其访问权限关系会被改变。如 用户A可将其对目标O的访问权限传递给用户B,从 而使不具备对O访问权限的B可访问O。
9
网 络 与 信 息 安 全 涵 盖 范 围
保证信息与信息系统不被 非授权者所获取和使用。 主要防范技术是密码技术
10
网 络 与 信 息 安 全 涵 盖 范 围
这些层面都反映出可用性属性。 这些层面都反映出可用性属性。其中 抗否认性可看作是可用性的子集, 抗否认性可看作是可用性的子集,是 为了保证系统确实能够遵守游戏规则 不被恶意使用所反映的可用性的属性
7
网 络 与 信 息 安 全 涵 盖 范 围
保证信息是真实可信的 其发布者不被冒充, 其发布者不被冒充,来 源不被伪造, 源不被伪造,内容不被 篡改。 篡改。主要防范技术是 校验与认证技术
8
网 络 与 信 息 安 全 涵 盖 范 围
这些层面都反映出机密性特性 其中可控性是机密性的子集, 其中可控性是机密性的子集, 是表示为保护机密性而进行 访问控制
3
信 内容安全 完整性 息 数据安全 安 运行安全 全 实体安全 机密性 可用性 两 种 信息安全金三角结构 主 面向属性信息安全框架 信息安全分层结构 要 面向应用信息安全框架 观 点
4
网 络 与 信 息 安 全 涵 盖 范 围
保证数据的发送 源头不被伪造
运行安全
保证系统的机密性, 保证系统的机密性, 使得系 保证数据在传输、 保证数据在传输、存储 统任何时候不被非 授权人所 过程中不被获取并解析 恶意利用。 恶意利用。 保证系统不以电磁等
32
授权关系表
UserA UserA UserA UserA UserA
Own R W W R
Obj1 Obj1 Obj1 Obj2 Obj2
33
访问控制矩阵
访问控制机制可以用一个三元组来表示(S,O,M)
主体的集合 S={s1,s2,…,sm} 客体的集合 O={o1,o2,…,on} 所有操作的集合 A={R, W, E,…} 访问控制矩阵 M= S × O
23
资源
系统内需要保护的是系统资源:
磁盘与磁带卷标 远程终端 信息管理系统的事务处理及其应用 数据库中的数据 应用资源
24
访问规则
规定若干条件下,可准许访问的资源。 规则使用户与资源配对,指定该用户可在该资源 上执行哪些操作,如只读、不许执行或不许访问。 由系统管理人员来应用这些规则,由硬件或软件 的安全内核部分负责实施。
机密性 真实性 可用性
层次
物理安 全 数据安 全 运行安 全
防泄漏 抗非授 权访问 防解析
—— ——
发布/路由 内容真实
抗恶劣 环境 正常提供 服务 抗否认
14
内容安 信息解析 路由/内 信息阻断 容欺骗 全
访问控制概述
访问控制的有关概念 访问控制的策略和机制 授权管理
15
访问控制的概念和目标
一般概念 —— 是针对越权使用资源的防御措施。 基本目标: 防止对任何资源(如计算资源、通信资源或信息 资源)进行未授权的访问。从而使计算机系统在合法 范围内使用;决定用户能做什么,也决定代表一定用 户的程序能做什么。 未授权的访问包括:未经授权的使用、泄露、修改、 销毁信息以及颁发指令等。
矩阵的的i行Si表示了主体si对所有客体的操作权 限,称为主体si的能力表(Capability List) 矩阵的第j列Oj表示客体oj允许所有主体的操作, 称为oj的访问控制表(ACL)
35
访问控制策略
• 自主访问控制DAC(Discretionary Access Control), 基于身份的访问控制IBAC(Identity Based Access Control) • 强制访问控制MAC(Mandatory Access Control), 基于规则的访问控制RBAC(Rule Based Access Control) • 基于角色的访问控制RBAC (Role-Based Access Control)
27
访问控制矩阵
按列看是访问控制表内容 按行看是访问能力表内容
目标 用户 用户a 用户 用户b 用户 用户c 用户 用户d 用户 R R 目标x 目标 R、W、Own 、 、 R、W、Own 、 、 R、W 、 R、W 、
28
目标y 目标
目标z 目标 R、W、Own 、 、
访问控制表(ACL)
Obj1
a 10 M= ... am0
2A a00
a01 ... a0 n a11 ... a1n ... ... ... am1 ... amn
对于任意si ∈ S , o j ∈ O, 存在aij ∈ M决定si 对o j 允许 的操作。比如aij = {R, W }, alk = φ
38
基于身份的策略: 基于身份的策略:基于个人的策略
• • • 根据哪些用户可对一个目标实施哪一种行为的列 表来表示。 表来表示。 等价于用一个目标的访问矩阵列 等价于用一个目标的访问矩阵列来描述 基础(前提 一个隐含的、 前提): 基础 前提 :一个隐含的、或者显式的缺省策略
– 例如,全部权限否决 例如, – 最小特权原则:要求最大限度地限制每个用户为实施 最小特权原则: 授权任务所需要的许可集合 – 在不同的环境下,缺省策略不尽相同,例如,在公开 在不同的环境下,缺省策略不尽相同,例如, 的布告板环境中, 的布告板环境中,所有用户都可以得到所有公开的信 息 – 对于特定的用户,有时候需要提供显式的否定许可 对于特定的用户,
Lecture 1 访问控制
1
内容
网络与信息安全简介 访问控制概述 系统访问控制 网络访问控制
2
什么是信息安全
沈昌祥院士:“信息安全保密内容分为:实体安全、运行安全、数
据安全和管理安全四个方面。” 我国计算机信息系统安全专用产品分类原则给出的定义是:“涉及实 体安全、 运行安全和信息安全三个方面。” 我国相关立法给出的定义是:“保障计算机及其相关的和配套的设备、 设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机 功能的正常发挥,以维护计算机信息系统的安全”。这里面涉及了物 理安全、运行安全与信息安全三个层面。 国家信息安全重点实验室给出的定义是:“信息安全涉及到信息的机 密性、完整性、可用性、可控性。综合起来说,就是要保障电子信息 的有效性。” 英国BS7799信息安全管理标准给出的定义是:“信息安全是使信息 避免一系列威胁,保障商务的连续性,最大限度地减少商务的损失, 最大限度地获取投资和商务的回报,涉及的是机密性、完整性、可用 性。”
34
访问控制矩阵
a00 a 10 M= ... am 0 a01 a11 ... am1 ... a0 n S1 S ... a1n 2 = = [O1 O2 ... On ] ... ... ... ... amn S m
运行安全
路由欺骗 域名欺骗
物理安全 对传递信息进行 捕获并解析
阻断信息传输系统,使得被 传播的内容不能送达目的地
删除局部内容 或附加特定内容
数据安全
内容安全 6
网 络 与 信 息 安 全 涵 盖 范 围
这些层面具有相同的 性质,都可以归并为真实 性。其中,完整性是真实 性的子集,是表示内容因 未被修改而是真实的
30
ACL、CL访问方式比较
鉴别方面:二者需要鉴别的实体不同 保存位置不同 访问权限传递
ACL:困难,CL:容易 ACL: CL
访问权限回收
ACL:容易,CL:困难
31
ACL、CL访问方式比较(续)
多数集中式操作系统使用ACL方法或类似方 式 由于分布式系统中很难确定给定客体的潜 在主体集,在现代OS中CL也得到广泛应用
11
网 保证信息与信息系统可被授权人 络 员正常使用。 员正常使用。 主要防护措施是确保信息与信息 与 系统处于一个可信的环境之下 信 息 安 全 涵 盖 范 围
12
网 络 与 信 息 安 全 涵 盖 范 围
信息安全金三角
机密性
真实性 (完整性)
可用性
13
网 络 与 信 息 安 全 框 架
属性
非法用户进入系统。 合法用户对系统资源的非法使用。
16
访问控制的作用
访问控制对机密性、完整性起直接的作用。 对于可用性,访问控制通过对以下信息的有效控制 来实现: (1)谁可以颁发影响网络可用性的网络管理指令 (2)谁能够滥用资源以达到占用资源的目的 (3)谁能够获得可以用于拒绝服务攻击的信息
17
目标 Target
请求决策 Decision Request
决策 Decision
访问控制决策功能 ADF
19
访问控制与其他安全机制的关系
认证、授权、审计(AAA)
授权( 授权(authorization) )
授权信息
身份认证 主体
访问控制 客体 审计 Log
20
访问控制策略与机制
访问控制策略:是对访问如何控制,如何作出访问 决定的高层指南 访问控制机制:是访问控制策略的软硬件低层实现
25
访问控制的一般实现机制和方法
一般实现机制——
• • 基于访问控制属性 基于用户和资源分级(“安全标签”)
——〉访问控制表/矩阵 ——〉多级访问控制 常见实现方法——
• 访问控制表ACLs(Access Control Lists) • 访问能力表(Capabilities) • 授权关系表
26
userA Own R W O
userB
userC R
R
W
O
O
每个客体附加一个它可以访问的主体的明细表。 每个客体附加一个它可以访问的主体的明细表
29
访问能力表(CL)
UserA
Obj1 Own R W O
Obj2
Obj3
R
R W
来自百度文库
O
O
每个主体都附加一个该主体可访问的客体的明细表。 每个主体都附加一个该主体可访问的客体的明细表。
访问控制机制与策略独立,可允许安全机制的重用 安全策略和机制根据应用环境灵活使用
21
如何决定访问权限
用户分类 资源 访问规则
22
用户的分类
(1)特殊的用户:系统管理员,具有最高级别的特 权,可以访问任何资源,并具有任何类型的访问 操作能力 (2)一般的用户:最大的一类用户,他们的访问操 2 作受到一定限制,由系统管理员分配 (3)作审计的用户:负责整个安全系统范围内的安 全控制与资源使用情况的审计 (4)作废的用户:被系统拒绝的用户。
访问控制矩阵
•任何访问控制策略最终均可被模型化为访问矩阵形式: 任何访问控制策略最终均可被模型化为访问矩阵形式: 任何访问控制策略最终均可被模型化为访问矩阵形式 行对应于用户,列对应于目标, 行对应于用户,列对应于目标,每个矩阵元素规定了相应 的用户对应于相应的目标被准予的访问许可、实施行为。 的用户对应于相应的目标被准予的访问许可、实施行为。
主体、客体和授权
客体(Object):规定需要保护的资源,又称作目标 (target)。 主体(Subject):或称为发起者(Initiator),是一个主 动的实体,规定可以访问该资源的实体,(通常指用 户或代表用户执行的程序)。 授权(Authorization):规定可对该资源执行的动作 (例如读、写、执行或拒绝访问)。
一个主体为了完成任务,可以创建另外的主体,这些子主体 可以在网络上不同的计算机上运行,并由父主体控制它们。 主客体的关系是相对的。
18
访问控制模型基本组成
发起者 Initiator
提交访问请求 Submit Submit Access Request
访问控制实施功能 AEF
提出访问请求 Present Access Request
内容
物理安全
保证系统的可用性,使得发 布 者无法否认所发布的信息 方式向外泄漏信息。 方式向外泄漏信息。
保障网络的正常运 保证数据在传输、 行 , 确保系统时刻 保证数据在传输、 能为授权人提供基 存储等过程中不 数据安全 被非法修改 本服务。 本服务。
保证系统至少能 提供基本的服务
5
网 络 与 信 息 安 全 涵 盖 范 围
36
访问控制的一般策略
访问控制
自主 访问控制
强制 访问控制 基于角色 访问控制
37
自主访问控制
• 特点: 根据主体的身份及允许访问的权限进行决策 。 自主是指具有某种访问能力的主体能够自主地将 访问权的某个子集授予其它主体。 灵活性高,被大量采用。 • 缺点: 信息在移动过程中其访问权限关系会被改变。如 用户A可将其对目标O的访问权限传递给用户B,从 而使不具备对O访问权限的B可访问O。
9
网 络 与 信 息 安 全 涵 盖 范 围
保证信息与信息系统不被 非授权者所获取和使用。 主要防范技术是密码技术
10
网 络 与 信 息 安 全 涵 盖 范 围
这些层面都反映出可用性属性。 这些层面都反映出可用性属性。其中 抗否认性可看作是可用性的子集, 抗否认性可看作是可用性的子集,是 为了保证系统确实能够遵守游戏规则 不被恶意使用所反映的可用性的属性
7
网 络 与 信 息 安 全 涵 盖 范 围
保证信息是真实可信的 其发布者不被冒充, 其发布者不被冒充,来 源不被伪造, 源不被伪造,内容不被 篡改。 篡改。主要防范技术是 校验与认证技术
8
网 络 与 信 息 安 全 涵 盖 范 围
这些层面都反映出机密性特性 其中可控性是机密性的子集, 其中可控性是机密性的子集, 是表示为保护机密性而进行 访问控制
3
信 内容安全 完整性 息 数据安全 安 运行安全 全 实体安全 机密性 可用性 两 种 信息安全金三角结构 主 面向属性信息安全框架 信息安全分层结构 要 面向应用信息安全框架 观 点
4
网 络 与 信 息 安 全 涵 盖 范 围
保证数据的发送 源头不被伪造
运行安全
保证系统的机密性, 保证系统的机密性, 使得系 保证数据在传输、 保证数据在传输、存储 统任何时候不被非 授权人所 过程中不被获取并解析 恶意利用。 恶意利用。 保证系统不以电磁等
32
授权关系表
UserA UserA UserA UserA UserA
Own R W W R
Obj1 Obj1 Obj1 Obj2 Obj2
33
访问控制矩阵
访问控制机制可以用一个三元组来表示(S,O,M)
主体的集合 S={s1,s2,…,sm} 客体的集合 O={o1,o2,…,on} 所有操作的集合 A={R, W, E,…} 访问控制矩阵 M= S × O
23
资源
系统内需要保护的是系统资源:
磁盘与磁带卷标 远程终端 信息管理系统的事务处理及其应用 数据库中的数据 应用资源
24
访问规则
规定若干条件下,可准许访问的资源。 规则使用户与资源配对,指定该用户可在该资源 上执行哪些操作,如只读、不许执行或不许访问。 由系统管理人员来应用这些规则,由硬件或软件 的安全内核部分负责实施。
机密性 真实性 可用性
层次
物理安 全 数据安 全 运行安 全
防泄漏 抗非授 权访问 防解析
—— ——
发布/路由 内容真实
抗恶劣 环境 正常提供 服务 抗否认
14
内容安 信息解析 路由/内 信息阻断 容欺骗 全
访问控制概述
访问控制的有关概念 访问控制的策略和机制 授权管理
15
访问控制的概念和目标
一般概念 —— 是针对越权使用资源的防御措施。 基本目标: 防止对任何资源(如计算资源、通信资源或信息 资源)进行未授权的访问。从而使计算机系统在合法 范围内使用;决定用户能做什么,也决定代表一定用 户的程序能做什么。 未授权的访问包括:未经授权的使用、泄露、修改、 销毁信息以及颁发指令等。
矩阵的的i行Si表示了主体si对所有客体的操作权 限,称为主体si的能力表(Capability List) 矩阵的第j列Oj表示客体oj允许所有主体的操作, 称为oj的访问控制表(ACL)
35
访问控制策略
• 自主访问控制DAC(Discretionary Access Control), 基于身份的访问控制IBAC(Identity Based Access Control) • 强制访问控制MAC(Mandatory Access Control), 基于规则的访问控制RBAC(Rule Based Access Control) • 基于角色的访问控制RBAC (Role-Based Access Control)