授权与访问控制

1、第第1212讲讲 网络信息安全网络信息安全授权与访问控制授权与访问控制计算机学院计算机学院 信息安全系信息安全系张伟张伟安全服务鉴别认证lAuthentication访问控制lAuthorizationlAccess Control数据保密数据完整性防抵赖性12.1 一般概念和目标一般概念：是针对越权使用资源的防御措施基本目标：防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问。从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么 未授权的访问包括 ：未经授权的使用、泄露、修改、销毁信息以及颁发指令等。l非法用户进入系统l合法用户对系统资源的非

2、法使用 访问控制的作用访问控制对机密性、完整性起直接的作用 对于可用性，访问控制通过对以下信息的有效控制来实现 l谁可以颁发影响网络可用性的网络管理指令 l谁能够滥用资源以达到占用资源的目的 l谁能够获得可以用于拒绝服务攻击的信息 主体、客体、授权客体（Object）：规定需要保护的资源，又称作目标（target) 主体（Subject）：或称为发起者，是一个主动的实体，规定可以访问该资源的实体，（通常指用户或代表用户执行的程序） 授权（Authorization）：规定可对该资源执行的动作（例如读、写、执行或拒绝访问），一个主体为了完成任务，可以创建另外的主体，这些子主体可以在网络上不同的计

3、算机上运行，并由父主体控制它们 ，主客体的关系是相对的 访问控制模型基本组成发起者发起者Initiator目标目标Target访问控制访问控制实施实施功能功能AEF访问控制访问控制决策决策功能功能ADF提交访问请求提交访问请求SubmitAccess Request提出访问请求提出访问请求PresentAccess Request请求决策请求决策Decision Request决策决策Decision访问控制与其它安全服务的关系模型用户的分类特殊的用户：系统管理员，具有最高级别的特权，可以访问任何资源，并具有任何类型的访问操作能力 一般的用户：最大的一类用户，他们的访问操作受到一定限制，由系统

4、管理员分配 作审计的用户：负责整个安全系统范围内的安全控制与资源使用情况的审计 作废的用户：被系统拒绝的用户 资源系统内需要保护的是系统资源l磁盘与磁带卷标 l远程终端 l信息管理系统的事务处理及其应用 l数据库中的数据 l应用资源 12.2 访问控制实现方法访问控制矩阵访问能力表访问控制表授权关系表12.2.2 访问控制矩阵访问控制矩阵-2目标用户目标x 目标y 目标z 用户a R、W、Own R、W、Own 用户b R、W、Own 用户c R R、W 用户d R R、W n按列看是访问控制表内容 n按行看是访问能力表内容 访问控制矩阵-3任何访问控制策略最终均可被模型化为访问矩阵形式：行对

5、应于用户，列对应于目标，每个矩阵元素规定了相应的用户对应于相应的目标被准予的访问许可、实施行为 R、W、X、OWNER最原始的访问控制方法开销大、不易扩展管理访问能力表（Capability List）访问能力表-2能力（Capability）是受一定机制保护的客体标志，标记了客体以及主体对客体的访问权限每个主体都附加一个该主体可访问的客体的明细表 访问控制表（ACL）访问控制表-2Access Control List应用最广泛的访问控制方法是以客体为基准的灵活、易用、直观Unix、Windows都使用了该方法进行访问控制CL与ACL的比较鉴别方面：二者需要鉴别的实体不同 保存位置不同 两者

6、并不对立浏览访问权限 lACL:容易，CL:困难 访问权限传递 lACL:困难，CL：容易 访问权限回收 lACL:容易，CL：困难 授权关系表UserA Own Obj1 UserA R Obj1 UserA W Obj1 UserA W Obj2 UserA R Obj2 12.3 访问控制策略几种访问控制策略自主型访问控制（自主型访问控制（Discretionary Access Control-DAC）：）：用户/对象来决定访问权限。信息的所有者来设定谁有权限来访问信息以及操作类型（读、写、执行）。是一种基于身份的访问控制。例如UNIX权限管理。强制性访问控制（强制性访问控制（Mand

7、atory Access Control-MAC）：）：系统来决定访问权限。安全属性是强制型的规定，它由安全管理员或操作系统根据限定的规则确定的，是一种规则的访问控制。基于角色的访问控制（格基于角色的访问控制（格/角色角色/任务）：任务）：角色决定访问权限。用组织角色来同意或拒绝访问。比MAC、DAC更灵活，适合作为大多数公司的安全策略，但对一些机密性高的政府系统部适用。几种访问控制策略规则驱动的基于角色的访问控制：提供了一种基于约束的访问控制，用一种灵活的规则描述语言和一种信任规则执行机制来实现。基于属性证书的访问控制：访问权限信息存放在用户属性证书的权限属性中，每个权限属性描述了一个或多个

8、用户的访问权限。当用户对某一资源提出访问请求时，系统根据用户的属性证书中的权限来判断是否允许或拒绝。模型的主要元素可视化授权策略生成器授权语言控制台用户、组、角色管理模块API接口授权决策引擎授权语言解释器12.3.1 自主访问控制（DAC）Discretionary Access Control特点：根据主体的身份及允许访问的权限进行决策 自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体 灵活性高，被大量采用 缺点：信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O 强制访问控制（MAC）Manda

9、tory Access Control特点：取决于能用算法表达的并能在计算机上执行的策略。策略给出资源受到的限制和实体的授权，对资源的访问取决于实体的授权而非实体的身份。MAC决策在批准一个访问之前需要进行授权信息和限制信息的比较 将主体和客体分级，根据主体和客体的级别标记来决定访问模式。如，绝密级，机密级，秘密级，无密级 其访问控制关系分为：上读/下写， 下读/上写 通过安全标签实现单向信息流通模式 安全标签安全标签是限制在目标上的一组安全属性信息项。在访问控制中，一个安全标签隶属于一个用户、一个目标、一个访问请求或传输中的一个访问控制信息 最通常的用途是支持多级访问控制策略在处理一个访问请

10、求时，目标环境比较请求上的标签和目标上的标签，应用策略规则决定是允许还是拒绝访问 强制访问的四个密级TS：Top Secret 绝密S：Secret 机密C：Confidential 秘密U：Unclassified 无密强制访问的精确描述强制访问控制(MAC)中，系统包含主体集S和客体集O，每个S中的主体s及客体集中的客体o，都属于一固定的安全类SC，安全类SC=包括两个部分：有层次的安全级别和无层次的安全范畴。构成一偏序关系 Bell-LaPadula ：保证保密性l下读：仅当SC(o)SC(s)时，s 可以读取o l上写: 仅当SC(s) SC(o)时，s可以修改o Biba ：保证完整

11、性l上读:仅当SC(o)SC(s)时，s 可以读取o l下写:仅当SC(s) SC(o)时，s可以修改o Bell-LaPadula ：保证保密性（下读/上写）四元组（四元组（b,M,f,H）b 是当前访问的集合，当前访问用三元组表述（主体，客体，是当前访问的集合，当前访问用三元组表述（主体，客体，访问方式），是当前状态下允许的访问访问方式），是当前状态下允许的访问M是访问控制矩阵是访问控制矩阵f是安全级别函数，主体和客体的安全级别是安全级别函数，主体和客体的安全级别H客体之间的层次关系客体之间的层次关系访问方式四种访问方式四种可读可读r ；只可写；只可写a；读写；读写w；不可读写（可执行）；

12、不可读写（可执行）e； Bell-LaPadula ：保证保密性（下读/上写）简单安全特性（ss特性）l如果（主体、客体、访问）是当前访问，一定有 level(主体) level(客体) 下读；星号安全特性（*s特性）la访问; level(客体) level(主体) 上写；lw访问; level(客体) =level(主体) ；lr访问; level(主体) level(客体) 下读；自主安全特性（ds特性）l当前访问一定是在访问控制矩阵M中；Bell-LaPadula ：保证保密性（下读/上写）三个特性的前两个是强制访问控制，ds特性是自主访问控制，前者是系统强制，后者是拥有者确定；如果系

13、统中的每一次变化状态满足这三个特性，那么系统的安全性不会被破坏。贝拉模型包含等级分类（整数）和非等级分类（集合）。Biba ：保证完整性（上读/下写）l主要用于防治木马病毒的执行l程序的完整性；数据的完整性；lS r O 主体读客体lS w O 主体写客体lS1 x S2 主体执行主体lSi r Oi Si w Oi+1 客体i的信息到客体i+1Biba ：保证完整性（上读/下写）规则1：当且仅当 i(O) i(S)，主体S可以写客体O；（下写）规则2：当且仅当 i(S1) i(S2)，主体S2可以写主体S1；例子i(Proc1)i(Proc2)=i(Proc)Procx系统进程；Proc2有

14、修改程序权限；Proc1木马；12.3.3基于角色的访问控制与现代的商业环境相结合的产物基于角色的访问控制是一个复合的规则，可以被认为是IBAC和RBAC的变体。一个身份被分配给一个被授权的组 lIBAC (Identifier-Based Access Control)lRBAC ( Rule-Based Access Control)起源于UNIX系统或别的操作系统中组的概念 RBAC的发展20世纪90年代发展起来RBAC支持三个著名的安全原则：l最小权限原则最小权限原则l责任分离原则责任分离原则l数据抽象原则数据抽象原则RBAC的发展l最小权限原则之所以被RBAC所支持，是因为RBAC可

15、以将其角色配置成其完成任务所需要的最小的权限集。l责任分离原则可以通过调用相互独立互斥的角色来共同完成敏感的任务而体现，比如要求一个计帐员和财务管理员共参与同一过帐。l数据抽象可以通过权限的抽象来体现，如财务操作用借款、存款等抽象权限，而不用操作系统提供的典型的读、写、执行权限。然而这些原则必须通过RBAC各部件的详细配置才能得以体现。 角色的定义每个角色与一组用户和有关的动作相互关联，角色中所属的用户可以有权执行这些操作 （用户集合+许可权集合）A role can be defined as a set of actions and responsibilities associated

16、with a particular working activity 角色于组的区别与联系联系l都是一个集合的概念l针对管理粒度(Granularity)的需求l两者有内在的本质共性区别l组的概念是用户的集合l角色是组加权限集合的集合一个基于角色的访问控制实例在银行环境中，用户角色可以定义为出纳员、分行管理者、顾客、系统管理者和审计员 访问控制策略的一个例子如下：l允许一个出纳员修改顾客的帐号记录（包括存款和取款、转帐等），并允许查询所有帐号的注册项 l允许一个分行管理者修改顾客的帐号记录（包括存款和取款，但不包括规定的资金数目的范围）并允许查询所有帐号的注册项，也允许创建和终止帐号 l允许一

17、个顾客只询问他自己的帐号的注册项 l允许系统的管理者询问系统的注册项和开关系统，但不允许读或修改用户的帐号信息 l允许一个审计员读系统中的任何数据，但不允许修改任何事情 RBAC与传统访问控制的差别 增加一层间接性带来了灵活性 RBAC与DAC、MAC的区别与DAC的区别lDAC的主体可直接访问客体，而RBAC不行lDAC的权限要么在主体（能力表），要么在客体，而RBAC的却在角色控制模块与MAC的区别l大致与DAC的相同lMAC是多级的，而RBAC可以是单级的相对DAC/MAC，RBAC灵活且容易实现RBAC的角色很难定义谁定义角色管理员别的角色管理员也是一个角色角色不能改变自己权限/角色R

18、BAC参考模型 Core RBAC Hierarchical RBAC Static Separation of Duty Relations Dynamic Separation of Duty relations Core RBAC包括五个基本数据元素: l用户USERSl角色ROLES l目标OBJECTl操作OPERATIONl许可权PERMISSION关系：多对多，用户被分配一定角色，角色被分配一定的许可权 会话sessions: 是用户与激活的角色集合之间的映射 在RBAC模型中，who、what、how构成了访问权限三元组,也就是“Who对What进行How的操作”。 RBAC9

19、6（George Mason ）模型RBAC1在RBAC0的基础上加上了角色层次，反应了多级安全需求。RBAC2在RBAC0的基础上加上了约束集RBAC3RBAC1 的功能和RBAC2的功能的集合。Core RBAC-1usersrolessessionsObsopsPRMSPAUAUser sessionSession roleUSERS:可以是人、设备、进程可以是人、设备、进程 UA: user assignmentPA: permission assignmentSession role: session激活的角色激活的角色 User session: 与用户相联系的会话集合与用户相联系

20、的会话集合 Core RBAC的几点说明session由用户控制，允许动态激活/取消角色，实现最小特权。应避免同时激活所有角色 session和user分离可以解决同一用户多账号带来的问题，如审计、计账等 Hierarchical RBAC角色的结构化分层是反映一个组织的授权和责任的自然方式 定义了角色的继承关系 lRole r1 “inherits” role r2,角色r2的权限同样是r1的权限 Hierarchical RBAC-1usersrolessessionsObsopsPRMSPAUAUser sessionSession roleUSERS:可以是人、设备、进程可以是人、设备

21、、进程 UA: user assignmentPA: permission assignmentSession role: session激活的角色激活的角色 User session: 与用户相联系的会话集合与用户相联系的会话集合RH: Role Hierarchy RH角色关系偏序关系（partial orders) l自反(reflexive) l传递(transitive) l反对称（anti-symmetric) l自反性（自己可以继承自己）、传递性（A继承B，B继承C，则A继承C）和反对称性（A继承B，B继承A，则A=B）Constrained RBAC增加了责任分离，用于解决利益

22、的冲突，防止用户超越权限 静态责任分离lStatic Separation of Duty Relations lRBAC-2动态责任分离lDynamic Separation of Duty relations lRBAC-3Static Separation of Duty Relations 对用户分配的角色进行约束，也就是当用户被分配给一个角色时，禁止其成为第二个角色 冲突角色l经理-副经理SSD RBAC Model SSD定义了一个用户角色分配的约束关系，一个用户不可能同时分配SSD中的两个角色 Dynamic Separation of Duty relations 与SSD类似

23、，要限制一个用户的许可权 SSD直接在用户的许可空间进行约束DSD通过对用户会话过程进行约束 对最小特权提供支持：在不同的时间拥有不同的权限 DSD RBAC Model DSD允许用户被授予不产生利益冲突的多个角色 RBAC的特点 符合各类组织机构的安全管理需求。RBAC模型支持最小特权原则、责任分离原则，这些原则是任何组织的管理工作都需要的。这就使得RBAC模型由广泛的应用前景。RBAC模型支持数据抽象原则和继承概念。由于目前主流程序设计语言都支持面向对象技术，RBAC的这一特性便于在实际系统中应用实现。模型中概念与实际系统紧密对应。RBAC模型中的角色、用户和许可权等概念都是实际系统实际

24、存在的实体，便于设计者建立现存的或待建系统的RBAC模型。RBAC模型仍属具访问控制类模型，本质是对访问矩阵模型的扩充，能够很好的解决系统中主体对客气的访问控制访问权力的分配与控制问题，但模型没有提供信息流控制机制但模型没有提供信息流控制机制，还不能完全满足信息系统的全部安全需求。RBAC的特点 RBAC模型没有提供操作顺序控制机制。这一缺陷使得RBAC模型很难应用关于那些要求有严格操作次序的实体系统，例如，在购物控制系统中要求系统对购买步骤的控制，在客户未付款之前不应让他把商品拿走。RBAC模型要求把这种控制机制放到模型外去实现。RBAC的特点 RBAC96模型故意回避了一些问题，如是否允许

25、一个正在会话的用户再创建一个新会话，管理模型不支持用户和许可权的增加与删除等管理工作等，都是需要解决而未提供支持的问题，这些问题都还在研究中，但是如果缺少这些能力的支持，模型的而应用也将受到影响。相反，访问矩阵模型提供了用户和权限修改功能，因此，不能说RBAC模型能够完全取代访问矩阵模型。授权的管理 授权的管理决定谁能被授权修改允许的访问强制访问控制的授权管理 自主访问控制的授权管理 角色访问控制的授权管理 强制访问控制的授权管理在强制访问控制中，允许的访问控制完全在强制访问控制中，允许的访问控制完全是根据主体和客体的安全级别决定。是根据主体和客体的安全级别决定。其中主体（用户、进程）的安全级别是由系统安全管理员赋予用户，而客体的安全级别则由系统根据创建它们的用户的安全级别决定。因此，强制访问控制的管理策略是比