1、第八章 电子商务访问控制,【学习目标】 1熟知安全电子商务系统的逻辑结构 2理解身份认证和访问控制的原理 3熟悉各种常见的访问控制策略 4掌握各种访问控制的实现方式 5了解RBAC在公钥密码系统的实现模型,第八章 电子商务访问控制,一、安全电子商务系统结构 1基于开环控制的电子商务系统2基于PDR闭环控制的电子商务系统 ANSM是以PDR(保护,监测,反应)为核心的闭环控制安全模型。 从安全的实施过程来描述,可将PDR模型描述为:安全风险分析制定安全策略系统实施漏洞检测实时响应。,第一节 访问控制概述,第一节 访问控制概述,图8-2 基于PDR的计算机闭环控制系统,第一节 访问控制概述,图8-
2、3安全电子商务系统的逻辑结构图,在电子商务安全系统中,身份认证、访问控制和审核共同建立了保护系统安全的基础。 访问控制成功与否是以正确的身份识别为基础的,身份识别的任务是正确建立用户的标识,准确识别当前会话的用户身份。访问控制是在鉴别用户的合法身份后,控制用户对数据项的访问的过程。 系统通过访问监控器实施访问控制。访问监控器通过查询授权数据库来判定用户是否可以合法操作相应的目标或客体。授权数据库由管理员负责管理。 为了确保系统的安全,一般系统中还会有审核功能。审核涉及的是用户在系统中所有请求和活动数据的后期分析以及计算机取证。,第一节 访问控制概述,二、访问控制定义和主要过程 访问控制是指要确
3、定合法用户对哪些系统资源享有何种权限,可以进行什么类型的访问操作,并防止非法用户进入系统和合法用户对系统的非法使用。 访问控制的目的是对抗涉及计算机或通信系统的非授权操作的威胁。,第一节 访问控制概述,图8-4基本访问控制功能示意图,第一节 访问控制概述,制定访问控制安全政策的主要过程 1规定需要保护的资源,也就是确定客体。 客体(Object)通常可以是被调用的程序、进程,要存取的数据、信息,要访问的文件、系统或各种网络设备、设施等资源。 2规定可以访问该资源的实体或主体。 主体(Subject)是发出访问指令、存取要求的主动方,通常可以是用户或用户的某个进程等。 3规定可对该资源执行的动作
4、,如读、写、执行或不许访问等。 4通过确定每个实体可对哪些客体执行哪些动作来确定安全访问政策。安全访问政策定义了主体与客体可能的相互作用途径。,三、访问控制策略 访问控制的实现依赖于访问控制策略。访问控制策略在系统安全策略级上表示授权,具体决定对访问如何控制及如何访问。 最常用的访问控制策略是 自主访问控制(DAC) 强制访问控制(MAC) 基于角色的访问控制(RBAC)。,第一节 访问控制概述,一、自主访问控制 自主访问(Discretionary Access Control,DAC)的含义是有访问许可的主体能够直接或间接地授予其他主体访问权。它在确认主体身份的基础上,控制主体的活动,实施
5、用户权限管理、访问属性(读、写、执行)管理等,是一种最为普遍的访问控制手段。DAC的主要特征体现在主体可以根据自身意愿把自己所拥有客体的访问权限授予其它主体或者从其它主体收回所授予的权限。,第二节 自主访问控制和强制访问控制,第二节 自主访问控制和强制访问控制,1DAC的实现方法 访问控制可以很自然的表示成一个矩阵的形式。访问矩阵中的每行表示一个主体,每一列则表示一个受保护的客体,而矩阵中的元素则表示主体可以对客体的访问模式。,表8-1 访问控制矩阵示例,第二节 自主访问控制和强制访问控制,第二节 自主访问控制和强制访问控制,2DAC的优缺点 DAC是一种比较宽松的访问控制,灵活性较高,被广泛
6、地用在商业领域,尤其是在操作系统和关系数据库系统上。但DAC也有很多局限性,具体如下: 采用ACL机制管理授权处于一个较低级的层次,管理复杂、代价高以至易于出错。 DAC的灵活性使信息总是可以从一个实体流向另一个实体,即使对于高度机密的信息也是如此,因此DAC的安全级别较低。 一个主体的访问权限具有传递性,即用户先登录,然后启动某个进程为该用户做某个工作,这个进程就继承了该用户的属性,包括访问权限,这种权限的传递可能会给系统带来安全隐患。 DAC机制容易受到特洛伊木马的攻击。,第二节 自主访问控制和强制访问控制,二、强制访问控制策略 强制访问控制(Mandatory Access Contro
7、l,MAC)是“强加”给访问主体的,即系统强制主体服从访问控制政策。 MAC的主要特征是对所有主体及其所控制的客体指定敏感标记,这些标记是等级分类和非等级类别的组合,它们是实施强制访问控制的依据。系统通过比较主体和客体的敏感标记来决定一个主体是否能够访问某个客体。,第二节 自主访问控制和强制访问控制,1BLP模型 在BLP模型中,所有的主体和客体都有一个安全标签,它只能由管理员赋值,普通用户不能改变。这个安全标签就是安全级,主体的安全级别用于反映主体的可信度,客体的安全级别反映客体所含信息的敏感程度。一般情况下,安全级是线性有序的。用 表示主体和客体的安全级别,当主体访问客体时,需满足下面两条
8、规则:简单安全属性:如果主体S能够读客体O,则 ; 保密安全属性:如果主体S能够写客体O,则 ;BLP模型中,主体按照“向下读,向上写”的原则访问客体。即对于读操作,仅当主体的安全类别包含客体的安全类别且主体的安全等级大于或等于客体的安全等级时,主体才能对客体进行读操作;对于写操作,仅当主体的安全类别包含客体的安全类别且主体的安全等级小于或等于客体的安全等级时,主体才能对客体进行写操作。,第二节 自主访问控制和强制访问控制,2MAC的优缺点 MAC的控制原则是不允许低信任级别的用户读高敏感度的信息,也不允许高敏感度的信息写入低敏感度的区域,即禁止信息从高级别流向低级别。强制访问控制通过这种梯度
9、安全的方式实现信息的单向流通,能有效地阻止特洛伊木马。MAC同样有一些弱点: 对用户恶意泄露信息无能为力。 虽然MAC增强了信息的机密性,但不能实施完整性控制,而网络应用对信息的完整性有较高的要求,因此,MAC可能无法胜任某些网络应用。 在MAC系统中,实现单向信息流的前提是系统中不存在逆向潜通道,否则会导致信息违反规则的流动,这就给信息留下了安全的漏洞。 MAC过于强调保密性,对系统的授权管理不便,不够灵活。,基于角色的访问控制RBAC(Role-Based Access Control)既具有自主访问控制的特点,又具有强制访问控制的特点,是二者的结合和改进,在现实中得到了更好的应用。一、R
10、BAC的工作原理 RBAC的基本思想是将用户划分成与其职能和职位相符合的角色,将权限授予角色而不是授予主体,主体通过角色分派得到客体操作权限,从而实现授权。 在RBAC中,角色定义为与一个特定活动相关联的一组动作和责任,系统中的主体担任角色,完成角色规定的责任,具有角色拥有的权限。基于角色的访问控制通过角色的不同搭配授权来尽可能的实现主体的最小权限授权。 一个用户可以扮演多种角色,一个角色可以拥有多个用户成员。,第三节 基于角色的访问控制,1核心RBAC模型 用户是一个访问计算机系统的数据或其他资源的主体,用U表示全体用户的集合。角色定义如前文,在这里用R表示所有角色的集合。权限是对计算机系统
11、中的数据或其他资源进行访问的许可,用P表示全体权限的集合。S是会话集。单箭头表示一对一关系,双箭头表示多对多关系,虚线表示约束关系。,第三节 基于角色的访问控制,2RBAC86模型(1)基本模型RBAC0 (2)角色层次RBAC1 (3)约束条件RBAC2 (4)完整的RBAC模型RBAC3,第三节 基于角色的访问控制,第三节 基于角色的访问控制,图8-8 RBAC86完整模型,3分布式角色管理模型ARBAC97 (1)用户角色管理模型URA97 (2)权限角色管理模型PRA97 (3)角色角色管理模型RRA97,第三节 基于角色的访问控制,(R:规则角色;AR:管理角色;P:规则权限;AP:
12、管理权限) 图8-9 ARBAC87管理模型,第三节 基于角色的访问控制,三、RBAC的优点 1通过角色定义、分配和设置适应安全策略 2通过角色分层映射组织结构 3容易实现最小特权原则 4满足职责分离原则 5岗位上的用户数通过角色基数约束四、RBAC的应用 1RBAC的实现层次 操作系统 数据库 Web方式下的实现 应用程序,第三节 基于角色的访问控制,2 RBAC与PKI的结合应用PKI系统很好地解决了身份认证、数据保密性、数据完整性和不可否认服务等问题;RBAC技术则有效地解决了访问控制问题,将两者有机的结合起来就为解决电子商务系统中的安全问题提供了一个有效的途径。,图8-10 PKI和RBAC的结合方式,第三节 基于角色的访问控制,图8-11 访问控制模型图,第三节 基于角色的访问控制,(2)结合的优点 基于PKI的RBAC访问控制模型主要采用了将角色信息和用户证书分离的模式,它的优点是: PKI和RBAC的功能相对独立、完整。 角色的更改不会要求给用户重新颁发证书,减小了CA的负担。 不需要更改现有的CA系统,实现比较容易。,
