1、第04章 存取访问控制,主讲人:郭松涛 单 位:重庆大学计算机学院2006年10月,目录,4.1 访问控制概述 4.2 访问控制策略,4.1 访问控制概述,1、基本概念(1)访问控制 Access Control 对系统中的用户、程序、进程或计算机网络中其他系统访问本系统资源进行限制、控制的过程。主体对客体的访问受到控制,是一种加强授权的方法。是针对越权使用资源的防御措施口令认证不能取代访问控制 。原始概念 : 是对进入系统的控制(用户标识+口令/生物特性/访问卡),(2)访问控制机制在信息系统中,为检测和防止未授权访问,以及为使授权访问正确进行所设计的硬件或软件功能、操作规程、管理规程和它们
2、的各种组合。 (3)授权:资源所有者对他人使用资源的许可。 (4)资源:信息、处理器、通信设施、物理设备。访问一种资源就是从这个资源中获得信息、修改资源或利用它完成某种功能。,(5)主体(subject):访问的发起者发起者是试图访问某个目标的用户或者是用户行为的代理。必须控制它对客体的访问。主体通常为进程,程序或用户。 (6)客体(目标): 可供访问的各种软硬件资源。 (7)敏感标签 sensitivity label 表示客体安全级别并描述客体数据敏感性的一组信息,TCSEC中把敏感标记作为强制访问控制决策的依据。,2、阻止非授权用户访问目标的方法(1)访问请求过滤器:当一个发起者试图访问
3、一个目标时,审查其是否获准以请求的方式访问目标;(2)分离防止非授权用户有机会去访问敏感的目标。这两种方法涉及:访问控制机制和访问控制策略。,3、访问控制策略系统中存取文件或访问信息的一整套严密安全的规则。通过不同方式建立:OS固有的管理员或用户制定的。4、访问控制机构具体实施访问策略的所有功能的集合,这些功能可通过系统的软硬件实现,5、访问控制经典模型,该模型的特点:(1)明确定义的主体和客体;(2)描述主体如何访问客体的一个授权数据库;(3)约束主体对客体访问尝试的参考监视器;(4)识别和验证主体和客体的可信子系统;(5)审计参考监视器活动的可信子系统。,6、各种安全机制的关系,8.2 访
4、问控制策略,8.2.1 访问控制策略分类 8.2.2 自主访问控制策略 8.2.3 强制访问控制策略 8.2.4 基于角色的访问控制策略,8.2 访问控制策略,8.2.1 访问控制策略分类,1、访问控制策略可分为(1)自主式策略DAC(2)强制式策略MAC(3)基于角色的访问控制RBAC,2、任何访问控制策略最终可被模型化为访问矩阵形式。每一行:用户每一列:目标矩阵元素:相应的用户对目标的访问许可。,1、DAC(Discretionary Access Control )的基本思想DAC是在确认主体身份及所属组的基础上,根据访问者的身份和授权来决定访问模式,对访问进行限定的一种控制策略 2、自
5、主的含义所谓自主,是指具有授予某种访问权力的主体(用户)能够自己决定是否将访问控制权限的某个子集授予其他的主体或从其他主体那里收回他所授予的访问权限,8.2.2 自主访问控制策略DAC,3、实现方式(1)基于个人的策略隐含的缺省策略 : 禁止/开放 最小特权原则:最大限度地控制用户为完成授权任务所需要的许可集。(2)基于组的策略多个用户被组织在一起并赋予一个共同的标识符。更容易、更有效。,4、技术方法(1)访问控制矩阵,注:0代表不能进行任何访问1代表执行,2代表读,3代表写,4代表拥有,目录级、文件的访问权限对目录和文件的访问权限一般有八种:系统管理员权限(Supervisor)读权限(Re
6、ad)、写权限(Write)创建权限(Create)、 删除权限(Erase)修改权限(Modify)文件查找权限(File Scan)存取控制权限(Access Control)。,(2) 访问控制列表(ACL)每个客体各自将能对自己访问的主体信息以列表的形式保存起来,这相当于是访问控制矩阵里的各个列向量 优点:(1)没有一个中心点保存所有的访问信息,提高了执行效率;(2)通过将不同的主体划分不同的组,减少了访问信息的数量。缺点:但若对主体进行查找、增加和撤销某些访问权限时,操作上费时费力,因为此时必须遍历所有的ACL。,(3)能力能力表示的是一个主体对一个客体的访问权力,它以主体为索引,将
7、主体对每个客体的访问权限以列表的形式保存起来,这相当于是访问控制矩阵中的各个行向量。它的优缺点与ACL的相反。,5、DAC的优缺点 优点:自主性提供了极大的灵活性,从而使之适合于许多系统和应用缺点:(1)权限管理易于失控DAC的这种自主性,使得信息总是可以从一个实体流向另一个实体,即使对高度机密的信息也是如此,故若控制不严就会产生严重安全隐患例如,用户A可以将其对客体O的访问权限传递给用户B,从而使不具备对O访问权限的B也可以访问O,这样的结果是易于产生安全漏洞,因此自主访问控制的安全级别较低。(2)权限管理复杂由于同一用户对不同的客体有不同的存取权限,不同的用户对同一客体有不同的存取权限,用
8、户、权限、客体间的授权管理复杂,1、MAC(Mandatory Access Control)的基本思想依据主体和客体的安全级别来决定主体是否有对客体的访问权 。最典型的例子是由Bell and LaPadula提出的BLP模型,该模型基于军事部门的安全需求为基础。 2、 安全级别在BLP模型中,所有的主体和客体都有一个安全标签,它只能由安全管理员赋值,普通用户不能改变,这个安全标签就是安全级别。,8.2.3 强制访问控制策略MAC,3、安全级别的意义客体的安全级表现了客体中所含信息的敏感程度主体的安全级别则反映了主体对敏感信息的可信程度如客体级别可分为:绝密级、机密级、秘密级、无密级4、访问
9、控制规则 用标志主体或客体的安全标签当主体访问客体时,需满足如下两条规则:读规则:如果主体s能够读客体o,则(s)(o)写规则:如果主体s能够写客体o,则(s)(o)主体按照“向下读,向上写”的原则访问客体,5、BLP模型的优点(1)它使得系统中的信息流成为单向不可逆的(2)保证了信息流总是由低安全级别的实体流向高安全级别的实体,因此避免了在自主访问控制中的敏感信息泄漏的情况。(3)保证了客体的高度安全性6、BLP模型的缺点(1)限制了高安全级别用户向非敏感客体写数据的合理要求(2)由高安全级别的主体拥有的数据永远不能被低安全级别的主体访问,降低了系统的可用性。(3)BLP模型的“向上写”的策
10、略使得低安全级别的主体篡改敏感数据成为可能,破坏了系统的数据完整性 (4)MAC由于过于偏重保密性,对其它方面如系统连续工作能力、授权的可管理性等考虑不足,造成管理不便,灵活性差,8.2.4 基于角色的访问控制策略RBAC,1、基本思想 在用户和访问权限之间引入角色的概念,将用户和角色联系起来,通过对角色的授权来控制用户对系统资源的访问角色是访问权限的集合,用户通过赋予不同的角色获得角色所拥有的访问权限,2、RBAC模型的演变(1)美国国家标准化和技术委员会(NIST)的Ferraiolo等人在90年代提出的 (2)RBAC96模型美国George Mason大学信息系统和系统工程系的R.Sa
11、ndhu等人在对RBAC进行深入研究的基础上,于1996年提出了一个基于角色的访问控制参考模型,对角色访问控制产生了重要影响,被称为RBAC96模型 (3)RBAC96模型包括4个不同层次RBAC0、RBAC1、RBAC2和RBAC3,1)基础模型:RBAC0定义了支持RBAC的最小需求,如用户、角色、权限、会话等概念。,2)高级模型:RBAC1和RBAC2RBAC1在RBAC0的基础上,加入了角色继承关系,可以根据组织内部权力和责任的结构来构造角色与角色之间的层次关系;RBAC2在RBAC0的基础上,加入了各种用户与角色之间、权限与角色之间以及角色与角色之间的约束关系,如角色互斥、角色最大成
12、员数等。RBAC1和 RBAC2之间不具有可比性。3)巩固模型:RBAC3RBAC2是RBAC1和 RBAC2的集成,它不仅包括角色的层次关系,还包括约束关系,3、基本概念角色、许可、用户、会话、活跃角色(1)许可是允许对一个或多个客体执行操作。(2)角色是许可的集合。(3)会话:一次会话是用户的一个活跃进程,它代表用户与系统交互。用户与会话是一对多关系,一个用户可同时打开多个会话。(4)活跃角色集:一个会话构成一个用户到多个角色的映射,即会话激活了用户授权角色集的某个子集,这个子集称为活跃角色集。 活跃角色集决定了本次会话的许可集,角色与组的区别组 : 用户集角色 : 用户集权限集,4、RB
13、AC0(基础模型)包括以下几个部分: (1)若干实体集:U、R、P、S(用户集、角色集、权限集、会话集) (2)PAPR(权限角色分配,是权限到角色的多对多的关系) (3)UAUR(用户角色分配,是用户到角色的多对多的关系) (4)roles(Si) r | (user(Si),r) UA其中,user:SU,各个会话与一个用户的一个函数映射(每个会话Si对应一个用户user(Si),在一个会话周期内不变)roles:S2R,将各个会话Si与一个角色集合的映射该映射随时间变化可以变化会话Si的权限为 p| (p,r) PA, rroles(Si),RBAC0模型指明用户、角色、访问权限和会话之
14、间的关系。每个角色至少具备一个权限,每个用户至少扮演一个角色;可以对两个完全不同的角色分配完全相同的访问权限;会话由用户控制,一个用户可以创建会话并激活多个用户角色,从而获取相应的访问权限,用户可以在会话中更改激活角色,并且用户可以主动结束一个会话,5、RBAC1模型(层次模型)(1)角色层次结构在RBAC0的基础上增加了角色的层次结构,用RH表示。RHRRRH是角色上的一个偏序关系,称为角色层次关系(2) Roles:S2R的函数映射有变化roles(Si)r | (rr)(user(Si),r ) UA这个会话Si具有访问权限为:p|(r”r)(p,r”)PA, rroles(Si),该模
15、型中用户可以为他具有的角色或其下级角色建立一个会话,其获取的访问权限包括在该会话中激活角色所具有的访问权限以及下级角色所具有的访问权限。如果在角色继承时限制继承的范围,则可建立私有角色及其私有子层次,6、RBAC2模型(约束模型) RBAC2模型在RBAC0基础上增加了约束机制。约束条件指向UA、PA和会话中的user、roles等函数,约束一般有返回值“接受”或“拒绝”,只有拥有有效值的元素才可被接受 (1)互斥角色同一用户只能分配到一组互斥角色集合中至多一个角色,支持职责分离的原则。,(2)基数约束一个角色被分配的用户数量受限;一个用户可拥有的角色数目受限;同样一个角色对应的访问权限数目也
16、应受限,以控制高级权限在系统中的分配 (3)先决条件角色可以分配角色给用户仅当该用户已经是另一角色的成员;可以分配访问权限给角色,仅当该角色已经拥有另一种访问权限。,(4)运行时互斥例如,允许一个用户具有两个角色的成员资格,但在运行中不可同时激活这两个角色,7、RBAC3,8、RBAC的优点(1)降低了权限管理的复杂程度RABC这种分层的优点是当主体发生变化时,只需修改主体与角色之间的关联而不必修改角色与客体的关联。RBAC中许可被授权给角色,角色被授权给用户,用户不直接与许可关联。RBAC对访问权限的授权由管理员统一管理,而且授权规定是强加给用户的,这是一种强制式访问控制方式。,(2)RBA
17、C能够描述复杂的安全策略 通过角色定义、分配和设置适应安全策略系统管理员定义系统中的各种角色,每种角色可以完成一定的职能;不同的用户根据其职能和责任被赋予相应的角色,一旦某个用户成为某角色的成员,则此用户可以完成该角色所具有的职能。,(3)易于使用1)根据岗位定角色根据组织的安全策略,特定的岗位定义为特定的角色、特定的角色授权给特定的用户。例如可以定义某些角色接近DAC,某些角色接近MAC。,2)根据需要定角色系统管理员也可以根据需要设置角色的可用性以适应某一阶段企业的安全策略例如设置所有角色在所有时间内可用、特定角色在特定时间内可用、用户授权角色的子集在特定时间内可用。,3)通过角色分层映射
18、组织结构组织结构中通常存在一种上、下级关系,上一级拥有下一级的全部权限,为此,RBAC引入了角色分层的概念。角色分层把角色组织起来,能够很自然地反映组织内部人员之间的职权、责任关系。层次之间存在高对低的继承关系,即父角色可以继承子角色的许可。,(4)容易实现最小特权(least privilege)原则最小特权原则在保持完整性方面起着重要的作用。最小特权原则是指用户所拥有的权力不能超过他执行工作时所需的权限。这一原则的应用可限制事故、错误、未授权使用带来的损害。使用RBAC能够容易地实现最小特权原则。在RBAC中,系统管理员可以根据组织内的规章制度、职员的分工等设计拥有不同权限的角色,只有角色
19、需要执行的操作才授权给角色。当一个主体要访问某资源时,如果该操作不在主体当前活跃角色的授权操作之内,该访问将被拒绝。,(5)满足职责分离(separation of duties)原则这是保障安全的一个基本原则,是指有些许可不能同时被同一用户获得,以避免安全上的漏洞。例如收款员、出纳员、审计员应由不同的用户担任。在RBAC中,职责分离可以有静态和动态两种实现方式。静态职责分离只有当一个角色与用户所属的其他角色彼此不互斥时,这个角色才能授权给该用户。动态职责分离只有当一个角色与一主体的任何一个当前活跃角色都不互斥时该角色才能成为该主体的另一个活跃角色角色的职责分离也称为角色互斥,是角色限制的一种
20、。,岗位上的用户数通过角色基数约束企业中有一些角色只能由一定人数的用户占用,在创建新的角色时,通过指定角色的基数来限定该角色可以拥有的最大授权用户数。如总经理角色只能由一位用户担任。,9、RBAC系统的构成服务器:(1)访问控制服务器ACS(Access Control Server)(2)访问请求过滤器AFS(Access Filter Server)、(3)角色及授权管理器RAS(Role&Authorization Management Server)(4)管理控制台。访问控制信息库:用户角色信息库角色访问权限库。,(1)用户在访问资源之前,必须先向身份认证服务器证实自己的身份和角色 (
21、2)通过身份认证之后,用户以当前的角色向AFS发出访问请求 AFS收到请求后,把用户的当前角色、要访问的资源以及访问权限组成一个新的报文,发送给ACS请求作出访问决策。ACS返回决策结果给AFS。如果允许此次访问,则AFS负责向真正的应用服务器发出访问请求,并将访问结果返回给用户。如果否认该次访问,则AFS返回给用户一个“操作失败”的应答代码报文,访问控制信息库 (1)用户表 (2)角色表 (3)受控对象表 (4)操作算子表 (5)许可表:操作算子-对象 (6)角色/许可表 (7)用户/角色分配表 (8)用户/角色授权表 (9)角色层次表 (10)静态角色互斥表,(11) 动态角色互斥表 (1
22、2) 会话的用户表 (13) 会话的角色表,用户表:用户标识姓名登录密码它是系统中的个体用户集,随用户的添加与删除动态变化。,角色表:角色标识角色名称角色基数角色可用标识角色表是系统角色集,由系统管理员定义角色。,许可表许可标识许可名称受控对象操作标识 许可表给出了受控对象与操作算子的对应关系。,受控对象表对象标识对象名称受控对象表是客体集,系统中所有受控对象的集合。,操作算子表:操作标识操作算子名称系统中所有受控对象的操作算子构成操作算子表。,角色/许可授权表:角色标识许可标识系统管理员管理该表,为角色分配或取消许可,用户/角色分配表:用户标识角色标识 系统管理员管理该表,为用户分配或取消角色,用户/角色授权表:用户标识角色标识可用性角色r授权给一个用户u,要么是角色r分配给用户u,要么是角色r通过一个分配给用户u的角色继承而来。用户/角色授权表记录了用户通过用户/角色分配表以及角色继承而取得的所有角色。可用性为真时,用户才真正可以使用该角色赋予的许可,会话的用户表:会话标识用户标识会话活跃角色表:会话标识角色标识,角色层次表:上一级角色标识下一级角色标识 上级角色包含下级角色的许可,静态互斥角色表角色标识1角色标识2 系统管理员为用户添加角色时参考,动态互斥角色表:角色标识1角色标识2在用户创建会话选择活跃角色集时参考。,
