第6章访问控制-刘

1、第6章访问控制主要内容 访问控制概述 访问控制策略 访问控制模型 访问控制的实现 访问控制与审计访问控制概述 访问控制的有关概念 访问控制的策略和机制 授权管理4访问控制的概念和目标 一般概念： 访问控制是针对越权使用资源的防御措施。 基本目标： 防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问，从而使计算机系统在合法范围内使用。决定用户能做什么，也决定代表一定用户的程序能做什么。 未授权的访问包括：未经授权的使用、泄露、修改、销毁信息以及颁发指令等。 非法用户进入系统。 合法用户对系统资源的非法使用。5访问控制的作用 访问控制对机密性机密性、完整性完整性起直接的作用。 对于可

2、用性可用性，访问控制通过对以下信息的有效控制来实现：（1）谁可以颁发影响网络可用性的网络管理指令（2）谁能够滥用资源以达到占用资源的目的（3）谁能够获得可以用于拒绝服务攻击的信息6主体、客体和授权 客体（客体（Object）：规定需要保护的资源，又称作目标（target)。 主体（主体（Subject）：或称为发起者(Initiator)，是一个主动的实体，规定可以访问该资源的实体，（通常指用户或代表用户执行的程序）。 授权（授权（Authorization)：规定可对该资源执行的动作（例如读、写、执行或拒绝访问）。 一个主体为了完成任务，可以创建另外的主体，这些子主体可以在网络上不同的计算机

3、上运行，并由父主体控制它们。 主客体的关系是相对的。7访问控制模型基本组成 发起者发起者Initiator访问控制实施功能访问控制实施功能AEF访问控制决策功能访问控制决策功能ADF目标目标Target提交访问请求提交访问请求SubmiSubmit tA Access Requestccess Request提出访问请求提出访问请求PresentAccess Request请求决策请求决策Decision Request决策决策Decision8授权信息访问控制与其他安全机制的关系 认证、授权、审计（AAA）Log身份认证身份认证访问控制访问控制审计审计授权（授权（authorization）

4、主体主体客体客体9访问控制策略与机制 访问控制策略：是对访问如何控制,如何作出访问决定的高层指南 访问控制机制：是访问控制策略的软硬件低层实现访问控制机制与策略独立，可允许安全机制的重用安全策略和机制根据应用环境灵活使用10如何决定访问权限 用户分类 资源 访问规则11用户的分类（1）特殊的用户：系统管理员，具有最高级别的特权，可以访问任何资源，并具有任何类型的访问操作能力（2）一般的用户：最大的一类用户，他们的访问操作受到一定限制，由系统管理员分配（3）作审计的用户：负责整个安全系统范围内的安全控制与资源使用情况的审计（4）作废的用户：被系统拒绝的用户。12资源 需要保护的系统资源： 磁盘与

5、磁带卷标 远程终端 信息管理系统的事务处理及其应用 数据库中的数据 应用资源13访问规则 规定若干条件下，可准许访问的资源。 规则使用户与资源配对，指定该用户可在该资源上执行哪些操作，如只读、不许执行或不许访问。 由系统管理人员来应用这些规则，由硬件或软件的安全内核部分负责实施。14访问控制的一般实现机制和方法l 一般实现机制： 基于访问控制属性 访问控制表/矩阵 基于用户和资源分级（“安全标签”） 多级访问控制l 常见实现方法： 访问控制表ACLs（Access Control Lists) 访问能力表（Capabilities) 授权关系表15访问控制矩阵任何访问控制策略最终均可被模型化为

6、访问矩阵形式：任何访问控制策略最终均可被模型化为访问矩阵形式：行对应于用户，列对应于目标，每个矩阵元素规定了相应行对应于用户，列对应于目标，每个矩阵元素规定了相应的用户对应于相应的目标被准予的访问许可、实施行为。的用户对应于相应的目标被准予的访问许可、实施行为。file1file2file3file4account1account2JackownrwownrwinquirycreditMaryrownrwwrinquirydebitinquirycreditLilyrwrownrwinquirydebit16 上表是一个访问控制矩阵的例子。在这个例子中，Jack、Mary、Lily是三个主体，

7、客体有四个文件（file）和两个账户（account）。从该访问控制矩阵可以看出，Jack是file1、file3的拥有者（own），而且能够对对其进行读（r）、写操作（w），但是Jack对 file2、file4就没有访问权。需要注意的是拥有者的确切含义会因不同的系统而拥有不同的含义，通常一个文件的拥有（own）权限表示可以授予（authorize）或者撤销（revoke）其他用户对该文件的访问控制权限，比如Jack拥有file1的own权限，他就可以授予Mary读或者Lily读、写的权限，也可以撤销给予他们的权限。17 对账户的访问权限展示了访问可以被应用程序的抽象操作所控制。 查询（查询

8、（inquiry）操作与读操作类似，它只检索数据而并）操作与读操作类似，它只检索数据而并不改动数据。不改动数据。 借（借（debit）操作和贷（）操作和贷（credit）操作与写操作类似，要）操作与写操作类似，要对原始数据进行改动，都会涉及读原先账户平衡信息、对原始数据进行改动，都会涉及读原先账户平衡信息、改动并重写。实现这两种操作的应用程序需要有对账户改动并重写。实现这两种操作的应用程序需要有对账户数据的读、写权限，而用户并不允许直接对数据进行读数据的读、写权限，而用户并不允许直接对数据进行读写，他们只能通过已经实现借、贷操作的应用程序来间写，他们只能通过已经实现借、贷操作的应用程序来间接操

9、作数据。接操作数据。18访问控制矩阵访问控制矩阵 实际的系统中虽然可能有很多的主体和客体，但主体和客体之间的关系可能并不多，这样的话就存在着很多的空白项。为了减轻系统开销与浪费，我们可以从主体（行）出发，表达矩阵某一行的信息，这就是访问能力表（capability）。也可以从客体（列）出发，表达矩阵某一列的信息，这便成了访问控制表（access control list）。 能力（capability）是受一定机制保护的客体标志，标记了客体以及主体（访问者）对客体的访问权限。只有当一个主体对某个客体拥有访问能力的时候，它才能访问这个客体。19file1ownr wfile3file1own r

10、 wfile2file3file4file1file4file2own r wown r wrrwr wrJackMaryLily每个主体都附加一个该主体可访问的客体的明细表。每个主体都附加一个该主体可访问的客体的明细表。20 在访问能力表中，很容易获得一个主体所授权可以访问的客体及其权限，但如果要求获得对某一特定客体有特定权限的所有主体就比较困难。 在一个安全系统中，正是客体本身需要得到可靠的保护，访问控制服务也应该能够控制可访问某一客体的主体集合，能够授予或取消主体的访问权限，于是出现了以客体为出发点的实现方式ACL（访问控制表）， 现代的操作系统都大体上采用基于ACL的方法。21Mary

11、own r wwJackown r wMarywLilyMaryrMaryrLily r wLilyrJackown r wown r wfile1file2file3file4每个客体附加一每个客体附加一个它可以访问的个它可以访问的主体的明细表主体的明细表。22 ACL的优点：表述直观、易于理解，而且比较容易查出对某一特定资源拥有访问权限的所有用户，有效地实施授权管理。 ACL的缺点：ACL需要对每个资源指定可以访问的用户或组以及相应的权限。访问控制的授权管理费力而繁琐，且容易出错。单纯使用ACL，不易实现最小权限原则及复杂的安全策略。23ACL、CL访问方式比较 鉴别方面：二者需要鉴别的实

12、体不同 保存位置不同 访问权限传递 ACL:困难，CL：容易 访问权限回收 ACL:容易，CL：困难24ACL、CL访问方式比较(续) 多数集中式操作系统使用ACL方法或类似方式 由于分布式系统中很难确定给定客体的潜在主体集，在现代OS中CL也得到广泛应用25 ACL和CL的方法都有自身的不足与优势，所以引入另一种方法授权关系表（authorization relations）。 每一行（或称一个元组）表示了主体和客体的一个权限关系，因此Jack访问file1的权限关系需要3行。 如果这张表按客体进行排序的话，我们就可以拥有访问控制表的优势，如果按主体进行排序的话，那我们又拥有了访问能力表的好

13、处。这种实现方式也特别适合采用关系数据库。26主体访问权限客体Jackownfile1Jackrfile1Jackwfile1Jackownfile3Jackrfile3Jackwfile327访问控制矩阵的表示方法访问控制矩阵的表示方法 访问控制机制可以用一个三元组来表示（S,O,M） 主体的集合 S=s1,s2,sm 客体的集合 O=o1,o2,on 所有操作的集合 A=R, W, E, 访问控制矩阵 M= S O 2AlkijjiijjiaWRaosMaOoSs,的操作。比如允许对决定存在对于任意mnmmnnaaaaaaaaaM.10111100010028访问控制矩阵的表示方法访问控制

14、矩阵的表示方法 矩阵的的i行Si表示了主体si对所有客体的操作权限，称为主体si的能力表(Capability List) 矩阵的第j列Oj表示客体oj所允许的所有主体的操作，称为oj的访问控制表（ACL）nmmnmmnnOOOSSSaaaaaaaaaM.2121101111000100主流访问控制策略主流访问控制策略 目前的主流访问控制策略有：目前的主流访问控制策略有：1. 自主访问控制（自主访问控制（DAC）2. 强制访问控制（强制访问控制（MAC）3. 基于角色的访问控制（基于角色的访问控制（RBAC） 自主访问控制和强制访问控制，都是由主自主访问控制和强制访问控制，都是由主体和访问权限

15、直接发生关系，主要针对用体和访问权限直接发生关系，主要针对用户个人授予权限。户个人授予权限。30 自主自主访问控制访问控制强制强制访问控制访问控制基于角色基于角色访问控制访问控制访问控制访问控制访问控制的一般策略访问控制的一般策略31 自主访问控制自主访问控制DAC（discretionary access control）是目是目前计算机系统中实现最多的访问控制机制。前计算机系统中实现最多的访问控制机制。 DAC是在确认主体身份及所属组的基础上，根据访问者的身是在确认主体身份及所属组的基础上，根据访问者的身份和授权来决定访问模式，对访问进行限定的一种控制策略。份和授权来决定访问模式，对访问进

16、行限定的一种控制策略。 所谓所谓自主自主，是指具有授予某种访问权力的主体（用户）能够，是指具有授予某种访问权力的主体（用户）能够自己决定是否将访问控制权限的某个子集授予其他的主体或自己决定是否将访问控制权限的某个子集授予其他的主体或从其他主体那里收回他所授予的访问权限。从其他主体那里收回他所授予的访问权限。 其基本思想是：允许某个主体显式地指定其他主体对该主体其基本思想是：允许某个主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问类型。所拥有的信息资源是否可以访问以及可执行的访问类型。DAC将访问规则存储在访问控制矩阵中，通过访问控制矩阵将访问规则存储在访问控制矩阵中，

17、通过访问控制矩阵可以很清楚地了解可以很清楚地了解DAC。32 DAC的优点是其自主性为用户提供了极大的灵活性，从而使之适用于许多系统和应用。 由于这种自主性，在DAC中，信息总是可以从一个实体流向另一个实体，即使对于高度机密的信息也是如此，因此自主访问控制的安全级别较低。另外，由于同一用户对不同的客体有不同的存取权限，不同的用户对同一客体有不同的存取权限，用户、权限、客体间的授权管理复杂。33 DAC将赋予或取消访问权限的一部分权力留给用户个人，将赋予或取消访问权限的一部分权力留给用户个人，管理员难以确定哪些用户对那些资源有访问权限，不利于管理员难以确定哪些用户对那些资源有访问权限，不利于实现

18、统一的全局访问控制。实现统一的全局访问控制。 在许多组织中，用户对他所能访问的资源并不具有所有权，在许多组织中，用户对他所能访问的资源并不具有所有权，组织本身才是系统中资源的真正所有者。组织本身才是系统中资源的真正所有者。 各组织一般希望访问控制与授权机制的实现结果能与组织各组织一般希望访问控制与授权机制的实现结果能与组织内部的规章制度相一致，并且由管理部门统一实施访问控内部的规章制度相一致，并且由管理部门统一实施访问控制，不允许用户自主地处理。显然制，不允许用户自主地处理。显然DAC已不能适应这些需已不能适应这些需求。求。34 强制访问控制强制访问控制MAC（mandatory access

19、 control）依据主体和客体的安全级别来决定主体对客体的访问依据主体和客体的安全级别来决定主体对客体的访问权。权。 最典型的例子是最典型的例子是Bell and LaPadula提出的提出的BLP模型模型。 BLP模型以军事部门的安全控制作为其现实基础，恰模型以军事部门的安全控制作为其现实基础，恰当地体现了军事部门的安全策略，然后用到计算机的当地体现了军事部门的安全策略，然后用到计算机的安全设计中去。它侧重于信息的保密性。安全设计中去。它侧重于信息的保密性。 BLP模型已经成为许多系统或原型实现的理论基础。模型已经成为许多系统或原型实现的理论基础。35 在在BLP模型中，所有的主体和客体都

20、有一个安全标签，它只模型中，所有的主体和客体都有一个安全标签，它只能由安全管理员赋值，普通用户不能改变。这个安全标签就能由安全管理员赋值，普通用户不能改变。这个安全标签就是是安全级安全级，客体的安全级表现了客体中所含信息的，客体的安全级表现了客体中所含信息的敏感程度敏感程度，而主体的安全级别则反映了主体对敏感信息的而主体的安全级别则反映了主体对敏感信息的可信程度可信程度。 在一般情况下，安全级是线性有序的。用在一般情况下，安全级是线性有序的。用标志主体或客体的标志主体或客体的安全标签，当主体访问客体时，需满足如下两条规则：安全标签，当主体访问客体时，需满足如下两条规则： （1）简单安全属性：如

21、果主体）简单安全属性：如果主体s能够读客体能够读客体o，则，则(s)(o) （2）保密安全属性：如果主体）保密安全属性：如果主体(s)能够写客体能够写客体o，则，则(s)(o)36 BLP模型中，主体按照模型中，主体按照“向下读，向上写向下读，向上写”的原则访问客的原则访问客体，即只有当主体的密级不小于客体的密级并且主体的范体，即只有当主体的密级不小于客体的密级并且主体的范围包含客体的范围时，主体才能读取客体中的数据；只有围包含客体的范围时，主体才能读取客体中的数据；只有当主体的密级不大于客体的密级，并且主体的范围包括客当主体的密级不大于客体的密级，并且主体的范围包括客体的范围时，主体才能向客

22、体中写数据。体的范围时，主体才能向客体中写数据。 BLP模型保证了客体的高度安全性，它的最大优点是：它模型保证了客体的高度安全性，它的最大优点是：它使得系统中的信息流程为单向不可逆的，保证了信息流总使得系统中的信息流程为单向不可逆的，保证了信息流总是低安全级别的实体流向高安全级别的实体。是低安全级别的实体流向高安全级别的实体。 系统通过比较主体和客体的系统通过比较主体和客体的安全标签安全标签来决定一个主体是否来决定一个主体是否能够访问某个客体。用户的程序不能改变他自己及任何其能够访问某个客体。用户的程序不能改变他自己及任何其它客体的敏感标记，从而系统可以防止病毒（如特洛伊木它客体的敏感标记，从

23、而系统可以防止病毒（如特洛伊木马）的攻击。马）的攻击。37BLP模型的信息流规则 Bell-LaPadula的例子 39 由于由于MAC策略是通过梯度安全标签实现信息的单向流通，从策略是通过梯度安全标签实现信息的单向流通，从而很好地阻止特洛伊木马的泄漏，也因此而避免了在自主访而很好地阻止特洛伊木马的泄漏，也因此而避免了在自主访问控制中的敏感信息泄漏的情况。问控制中的敏感信息泄漏的情况。 缺点是限制了高安全级别用户向非敏感客体写数据的合理要缺点是限制了高安全级别用户向非敏感客体写数据的合理要求，而且由高安全级别的主体拥有的数据永远不能被低安全求，而且由高安全级别的主体拥有的数据永远不能被低安全级

24、别的主体访问，级别的主体访问，降低了系统的可用性降低了系统的可用性。BLP模型的模型的“向上向上写写”的策略使得低安全级别的主体篡改敏感数据成为可能，的策略使得低安全级别的主体篡改敏感数据成为可能，破坏了系统的数据完整性。另外强制访问控制破坏了系统的数据完整性。另外强制访问控制MAC由于过于由于过于偏重保密性，造成实现工作量太大，管理不便，灵活性差。偏重保密性，造成实现工作量太大，管理不便，灵活性差。40自主自主/ /强制访问的问题强制访问的问题 自主访问控制自主访问控制 配置的粒度小配置的粒度小 配置的工作量大，效率低配置的工作量大，效率低 强制访问控制强制访问控制 配置的粒度大配置的粒度大

25、 缺乏灵活性缺乏灵活性3. 基于角色的策略 基于角色的访问控制基于角色的访问控制 (role-based policies，RBAC) 基本思路：管理员创建角色，给角色分配权限，给角色分基本思路：管理员创建角色，给角色分配权限，给角色分配用户，角色所属的用户可以执行相应的权限配用户，角色所属的用户可以执行相应的权限41增加一层间接性带来了灵活性增加一层间接性带来了灵活性42角色的定义 每个角色与一组用户和有关的动作相互关联，角色中所属的用户可以有权执行这些操作 A role can be defined as a set of actions and responsibilities asso

26、ciated with a particular working activity. 角色与组的区别 组：一组用户的集合 角色：一组用户的集合 + 一组操作权限的集合43基于角色的访问控制的实例 在银行环境中，用户角色可以定义为出纳员、分行管理者、顾客、系统管理者和审计员 访问控制策略的一个例子如下：（1）允许一个出纳员修改顾客的帐号记录（包括存款和取款、转帐等），并允许查询所有帐号的注册项（2）允许一个分行管理者修改顾客的帐号记录（包括存款和取款，但不包括规定的资金数目的范围）并允许查询所有帐号的注册项，也允许创建和终止帐号（3）允许一个顾客只询问他自己的帐号的注册项（4）允许系统的管理者询

27、问系统的注册项和开关系统，但不允许读或修改用户的帐号信息（5）允许一个审计员读系统中的任何数据，但不允许修改任何事情44RBAC的安全原则3条安全原则:最小权限最小权限:只把必须的权限分配给角色只把必须的权限分配给角色责任分离责任分离(separation of duties)多个互斥的角色合作完成重要工作多个互斥的角色合作完成重要工作数据抽象数据抽象:可以定义抽象的权限，而不仅仅是可以定义抽象的权限，而不仅仅是OS中的读、写、中的读、写、执行等执行等45NIST RBAC参考模型 Proposed by NIST in 2000 基本RBAC（Core RBAC） 分级RBAC（Hierar

28、chical RBAC） 静态责任分离（Static Separation of Duty Relations） 动态责任分离（Dynamic Separation of Duty relations）46基本 RBAC 包括五个基本数据元素包括五个基本数据元素:用户users(USERS)角色roles（ROLES）目标objects（OBS）操作operations(OPS)许可权permissions(PRMS) 关系：多对多，用户被分配一定角色，角色被分配一定的许可权 会话sessions: 是用户与激活的角色集合之间的映射47基本RBAC USERS: 可以是人、设备、进程可以是人、

29、设备、进程Permission:是对被保护目标执行是对被保护目标执行OPS的许可的许可UA: user assignment relations PA :permission assignment relationsSession_roles:session激活的角色激活的角色User_sessions:与用户相联系的会话集合与用户相联系的会话集合 48几点说明 (1) session由用户控制，允许动态激活/取消角色，实现最小特权。应避免同时激活所有角色 (2) session和user分离可以解决同一用户多账号带来的问题，如审计、计账等49等级 RBAC 角色的结构化分层是反映一个组织的授

30、权和责任的自然角色的结构化分层是反映一个组织的授权和责任的自然方式。方式。 定义了角色的继承关系定义了角色的继承关系Role r1 “inherits” role r2,角色角色r2的权限同样是的权限同样是r1的权限。的权限。 角色继承：角色继承：角色继承有自己的属性，但可能还继承其他角色的许可。角色继承可以用祖先关系来表示。角色2是角色1的“父亲”，它包含角色1的许可。 心脏病专家心脏病专家风湿病专家风湿病专家2 21专家专家医生医生护士护士51有约束的RBAC 增加了责任分离，用于解决利益的冲突，增加了责任分离，用于解决利益的冲突，防止用户超越权限防止用户超越权限 静态责任分离（Stati

31、c Separation of Duty Relations） 动态责任分离（Dynamic Separation of Duty relations）52静态责任分离 对用户分配的角色进行约束，也就是当用户被分对用户分配的角色进行约束，也就是当用户被分配给一个角色时，禁止其成为第二个角色配给一个角色时，禁止其成为第二个角色。53动态责任分离 DSD与SSD类似，要限制一个用户的许可权 SSD直接在用户的许可空间进行约束直接在用户的许可空间进行约束 DSD通过对用户会话过程进行约束通过对用户会话过程进行约束 对最小特权提供支持：在不同的时间拥有不同的权限对最小特权提供支持：在不同的时间拥有不同

32、的权限用户登录时向身份认证模块发送用户标识、用户口令，确证用户身份。会话管理模块从RBAC数据库检索该用户的授权角色集并送回用户。用户从中选择本次会话的活跃角色集，在此过程中会话管理模块维持动态角色互斥。会话创建成功，本次会话的授权许可体现在菜单与按扭上，如不可用显示为灰色。在此会话过程中，系统管理员若要更改角色或许可，可在此会话结束后进行或终止此会话立即进行。 RBACRBAC系统的运行步骤系统的运行步骤 55RBACRBAC的优势的优势 便于授权管理便于授权管理，如系统管理员需要修改系统设置等内，如系统管理员需要修改系统设置等内容时，必须有几个不同角色的用户到场方能操作，从容时，必须有几个

33、不同角色的用户到场方能操作，从而保证了安全性。而保证了安全性。 便于根据工作需要分级便于根据工作需要分级，如企业财务部门与非财力部，如企业财务部门与非财力部门的员工对企业财务的访问权就可由财务人员这个角门的员工对企业财务的访问权就可由财务人员这个角色来区分。色来区分。 便于赋于最小特权便于赋于最小特权，如即使用户被赋于高级身份时也，如即使用户被赋于高级身份时也未必一定要使用，以便减少损失。只有必要时方能拥未必一定要使用，以便减少损失。只有必要时方能拥有特权。有特权。 便于任务分担便于任务分担，不同的角色完成不同的任务。，不同的角色完成不同的任务。 便于文件分级管理便于文件分级管理，文件本身也可

34、分为不同的角色，文件本身也可分为不同的角色，如信件、账单等，由不同角色的用户拥有。如信件、账单等，由不同角色的用户拥有。其他访问控制策略 基于任务（基于任务（Task-Based）的访问控制）的访问控制 基于属性的访问控制基于属性的访问控制 使用控制使用控制 信任管理（信任管理（Trust Management） 数字版权管理（数字版权管理（DRM）5657授权管理 授权管理决定谁能被授权修改允许的访问 强制访问控制的授权管理自主访问控制的授权管理角色访问控制的授权管理 58强制访问控制的授权管理 在强制访问控制中，访问控制完全是根据主体和客体的安全级别决定。其中主体（用户、进程）的安全级别是由系统安全管理员赋予用户，而客体的安全级别则由系统根据创建它们的用户的安全级别决定。因此，强制访问控制的授权管理策略是比较简单的，只有安全管理员能够改变主体和客体的安全级别。 59自主访问控制的授权管理 集中式管理：集中式管理：单个的管理者或组对用户进行访问控制授权和授权撤消。 分级式管理：分级式管理：一个中心管理者把管理责任分配给其它管理员，这些管理员再对用户进行访问授权和授权撤消。分级式管理可以根据组织结构而实行。 所属权管理：所属权管理：如果一个用户是一个客体的所有者，则该用户可以对其它用户访问该客