访问控制——推荐

1、访问控制访问控制访问控制基础理解访问控制的概念、作用及访冋控制模型的概念访问控制基础什么是访问控制为用户对系统资源提供最大限度共享的基础上，对用户的访问权进行管理，防止对信息的非授权篡改和滥用访问控制作用保证用户在系统安全策略下正常工作拒绝非法用户的非授权访问请求拒绝合法用户越权的服务请求访问控制模型基本概念个信息系统在进行安全设计和开发时，必须满足某一给定的安全策略，即有关管理、保护和发布敏感信息的法律、规则和实施细则。访问控制模型是对安全策略所表达的安全需求的简单抽象和无歧义的描述，可以是非形式化的，也可以是形式化的，它综合了各种因素，包括系统的使用方式、使用环境、授权的定义、共亨的资源和

2、受控思想等访问控制特点访问控制模型通过对主体的识别来限制对客体的访问权限，具有以下三个特点精确的、无歧义的简单的、抽象的，容易理解只涉及安全性质，不过多牵扯系统的功能或其实现细节。基本概念主体是使信息在客体间流动的一种实体、通常是指人、进程或设备等。客体是种信息实体，或者是从其它主体或客体接收信息的实体。举例对文件进行操作的用户用户调度并运行的某个进程调度一个例程的设备客体举例数据块、存储页、文件、目录、程序在系统中，文件是一个处理单位的最小信息集合，每一个文件就是一个客体，如果每个文件还可以分成若干小块，而每个小块又可以单独处理，那么每个小块也是一个客体主体与客体关系主体接收客体相关信息和数

3、据，也可能改变客体相关信息。个主体为了完成任务，可以创建另外的主体，这些子主体可以独立运行，并由父主体控制它们客体始终是提供、驻留信息或数据的实体。主体和客体的关系是相对的，角色可以互换。访问权限访问权限是指主体对客体所执行的操作。文件是系统支持的最基本的保护客体常见文件访问模式有：读：允许主体对客体进行读访问操作写：允许主体对客体进行修改，包括扩展、收缩及删除；执行：允许主体将客体作为一种可运行文件而运行拒绝访问：主体对客体不具有任何访问权限访问控制的实施一般包括两个步骤第一步鉴别主体的合法身份；第二步根据当前系统的访问控制规则授予用户相应的访问权限访问控制过程如下图所示。l:体访何栓利实施

4、f客体访问控制决策自主访问控制模型理解自主访问控制模型相关概念及模型特点理解访问控制列表与访问能力表实现访问控制功能的区别。自主访问控制模型自主访问控制自主访问控制(DiscretionaryAccessControl,DAC)资源的所有者，往往也是创建者，可以规定谁有权访问它们的资源。DAC可为用户提供灵活调整的安全策略，具有较好的易用性和可扩展性，具有某种访可能力的主体能够自主地将访问权的某个子集授予其它主体。DAC常用于多种商业系统中，但安全性相对较低。因为在DAC中主体权限较容易被改变，某些资源不能得到充分保护，不能抵御特洛伊木马的攻击。访问控制矩阵DAC可以用访问控制矩阵来表示。矩阵

5、中的行表示主体对所有客体的访问权限，列表示客体允许主体进行的操作权限，矩阵元素规定了主体对客体被准予的访问权限畸用户a眠OwnR、W、Own用户b島虧Own用户cR乩W访问控制列表ACL权限与客体关联在客体上附加一个主体明细表的方法来表示访问控制矩阵的ACL表是自主访问控制实现中比较好的一种方法访问能力表权限与主体关联为每个用户维护一个表，表示主体可以访问的客体及权限在访问控制矩阵模型中，访问许可和访问模式描述了主体对客体所具有的访问权与控制权。访问许可定义了改变访问模式的能力或向其他主体传递这种能力的能力。访问模式则指明主体对客体可进行的特定访问操作如读、写、运行等。访问许可可以允许主体修改

6、客体的访问控制表，因此利用它可以实现对自主访问控制机制的控制。在自主访问控制机制中，有三种基本的控制模式：等级型、有主型和自由型。等级型访问许可在等级型访问许可下，可以将对修改客体访问控制表的能力的控制组织成等级型的，例如将控制关系组织成一个树型的等级结构。等级型结构的优点是可以通过选择值得信任的人担任各级领导，使得我们可以用最可信的方式对客体实施控制；缺点是会同时有多个主体有能力修改它的访问控制表有主型有主型是对客体设置一个拥有者，它是唯一有权访问客体访问控制表（ACL）的主体。拥有者对其拥有的客体具有全部控制权，但无权将客体的控制权分配给其他主体。目前，这种控制方法已应用于许多系统中，如U

7、NIX系统等。自由型个客体的生成者可以对任何一个主体分配对它拥有的客体的访问控制表的修改权，并且还可以使其对其他主体具有分配这种权力的能力。优点：根据主体的身份和访问权限进行决策具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体灵活性高，被大量采用缺点安全性不高信息在传递过程中其访问权限关系会被改变强制访问控制模型理解强制访问控制模型的概念及特点了解Bell-Lapadula模型的作用及特点了解Biba模型的作用及特点了解Clark-Wilson的作用及特点了解ChineseWall模型的作用及特点。强制访问控制模型什么是强制访问控制（MAC）主体和客体都有个固定的安全属性，系统用

8、该安全属性来决定个主体是否可以访问某个客体特点安全属性是强制的，任何主体都无法变更安全性较高，应用于军事等安全要求较高的系统但是这种机制也使用户自己受到限制。保护敏感信息一般使用MAC,需对用户提供灵活的保护，更多地考虑共享信息时，使用DAC。BLP模型由D.ElliottBell和Leonard丄Lapadula于1973年提出的一种模拟军事安全策略的计算机访问控制模型简称为BLP模型第一个严格形式化的安全模型多级访问控制模型，用于保证系统信息的机密性BLP模型的安全策略包括自主安全策略和强制安全策略两个部分。自主安全策略使用一个访问控制矩阵表示，矩阵中的元素表示主体对客体所有允许的访问模式

9、主体按照在访问矩哖中被授予的对客体的访问权限对客体进行相应的访问。强制安全策路对每个主体和客体都定义了安全级,安全级由密级和范畴枃成。安全级之间存在支配关系（密级高于或等于、范畴包含），根据安全级进行访问控制。BLP模型的构成主体集：S客体集：0安全级：密级和范畴密级：绝密、机密、秘密、公开范畴：军事，外交，商务安全级之间支配关系（密级支配、范畴包含）例如L=机密，外交，商务,L=秘密，商务,贝UL支配LBLP模型的策略BLP模型基于以下两个规则保障数据的机密性（=简单安全规则（向下读当主体的安全级可以支配客体的安全级，且主体对客体有自主型读权限，主体可以读客体。当主体的安全级可以支配客体的安

10、全级，且主体对客体有自主型读权限，主体可以读客体。规则（向上写）当客体的安全级可以支配主体的安全级，且主体对客体有自主型写权限，则主体可以写入客体BLP模型BLP模型可有效防止低级用户和进程访问安全级别更高的信息资源，同时，安全级别高的用户和进程也不能向安全级别低的用户和进程写入数据，从而有效的保护机密性。BLP模型也存在一些局限性。例如，在主体创建客体时，将客体的安全级定义为该主体的安全级，在实际应用中，上级常常要向下级下发文件，这就需要允许系统的安全员对该客体的安全级进行降级定义；又如，内存管理必须允许所有级别进行读和写，解决方法是通过将其抽象化，并且假设内存管理是“可信主体”但这将导致真

11、实系统信息的泄露BLP模型的关键知识点第一个安全策略形式化的数学模型多级安全模型，强调机密性访问控制机制（两个重要规则）简单安全规则（向下读）规则（向上写）优点：机密性高，有效的防止机密信息泄露缺点：完整性缺乏，非法篡改、破坏成为可能Biba模型1977年，Biba对系统的完整性进行了研究，提出了一种与BLP模型在数学上对偶的完整性保护模型。Biba模型要求对主、客体按照完整性级别进行划分。完整性级别由完整等级和范畴构成，同样存在支配关系（完整等级高于或等于，范畴包含）Biba模型能很好的满足政府和军事机构关于信息分级的需求，防止非授权用户的修改。Biba模型的构成主体集：S客体集：O完整级：

12、安全级和范畴安全级：极为重要，非常重要，重要，范畴：军事，外交，商务完整级存在支配关系与BLP类似，安全级支配，范畴包含Biba模型的安全策略Biba模型基于以下两条规则确保数据的完整性向上读：主体可以读客体，当且仅当客体的完整级别支配主体的完整级向下写：主体可以写客体，当且仅当主体的完整级别支配客体的完整级Biba模型的安全策略Biba模型关键知识点强调完整性的访问控制簽略槙型多级安全模型，数学上与BLP模型对偶访问控制机制（两个重要规则）向下写向上读优点：完整性高，有效的防止非法篡改、破坏缺点：机密性缺乏，无法保护机密信息泄露强制访问控制模型-Clark-WilsonClark-Wilso

13、n模型概念由计算机科学家DavidD.Clarki和会计师DavidR.Wilson发表于1987年确保商业数据完整性的访问控制模型，侧重于满足商业应用的安全需求*Clark-Wilson模型的访问控制策略*每次操作前和操作后，数据都必须满足这个一致性条件Clark-Wilson的构成两种数据类型限制项数据非限制项数据两种过程完整性验证过程转换过程转换过程两种规则证明规则实施规则Clark-Wilson安全策略每次操作前和操作后，数据都必须满足这个一致性条件(数据满足某个给定的条件)例如：A账户500元，B账户400元，一致性状态为A+B=900元，A成100元与B增加100元必须同时实现，如

14、果A+B=900不符合，则说明存在错误国疟mm-mirtlPKrtuOI为0011症:单)和Bi*(嶽羊,喘加!CDi?/nn)Clark-Wilson模型确保完整性的安全属性如下完整性：确保CDI只能由限制的方法来改变并生成另一个有效的CDI,该属性由规则CR1、CR2、CR5、ER1和ER4来保证;(2)访问控制：控制访可资源的能力由规则CR3、ER2和ER3来提供；审计：确定CDI的变化及系统处于有效状态的功能由规则CR1和CR4来保证；(4)责任：确保用户及其行为唯一对应由规则ER3来保证。强制访问控制模型-ChineseWallChineseWall模型概念同时考虑保密性和完整性的访

15、问控制模型，主要用于解决商业应用中的利益冲突问题多边安全模型，受限于主体已经获得了对哪些数据的访问权限ChineseWall模型访问控制策略将可能会产生利益冲突的数据分成不同的数据集，并强制所有主体最多只能访问一个数据集选择访问哪个数据集并未受强制规则的限制，用户可以自主选择访问的数据集ChineseWall模型的构成主体集S客体集O无害客体，可以公开的数据有害客体与某公司相关数据构成公司数据集若干相互竞争的公司的数据集形成利益冲突类安全策略CW-简单安全特性CW-特性ChineseWall的示例nJ*Jdinfa亘fi油公uicoi：瓷沁“”澤1打MAC与DAC比较自主访问控制细粒度灵活性高

16、配置效率低强制访问控制控制粒度大灵活性不高安全性强基于角色的访问控制模型了解基于角色的访问控制模型基本概念及特点了解基于角色的访问控制模型的构成及访问控制规则。基于角色的访问控制基于角色的访问控制(RBAC)模型系统内置多个角色，将权限与角色进行关联用户必须成为某个角色才能获得权限基于角色访问控制模型访问控制策略根据用户所担任的角色来决定用户在系统中的访问权限用户必须扮演某种角色，而且还必须激活这一角色，才能对一个对象进行访问或执行某种操作激活安全管理负田白覚二沽佃或娠憧迄今为止已经讨论和发展了四种基于角色的访问控制模型。RBAC0是基本模型，规定了所有RBAC系统所必须的最小需求；RBAC1

17、在RBAC0的基础上增加了角色等级的概念；RBAC2则在RBAC0的基础上增加了约束；RBAC3包含了RBAC1和RBAC2，也间接包含了RBAC0RBAC0,由四个基本要素构成：用户(U):用户为系统的使用者角色才:角色是根据系统不同工作岗位需求而设置的会话(S):会话是系统对用户一次请求的执行，每个会话由一个用户建立；权限:权限是系统中所有访问权限的集合在RBAC0中，用户与角色、角色与许可均为多对多的关系用户对权限的执行必须通过角色来关联，以实现对信息资源访问的控制。用户与会话是一对多的关系，会话是一个用户对多个角色的映射，即一个用户激活某个角色子集。此时，用户的权限为激活的多个角色权限

18、的并集。个用户可以同时拥有多个会话，每个会话又具有不同的许可。RBAC1包含RBACO的所有元素，并加入了角色等级的概念在一个机构中不同的职务或角色不但具有不同的的权力，这些权力之间存在包含关系，职务越高权力越大RBAC1用偏序关系来描述角色之间的等级关系，高级别的角色包含低级别角色的权限。利用角色等级的概念，可以实现多级安全中的访问控制在多级安全控制系统内，存取类的保密级别是线性排列的。例如：公开秘密机密绝密RBAC1中支持的层次关系可以容易地实现多级安全系统所要求的保密级别的线性排列的要求。多级安全系统的另一个要求就是要能够支持范畴为了获得信息的存取权，提出存取请求的人员必须具备一定的存取

19、类，他的存取类的范畴的集合应该包括信息存取类的全部范畴。角色的层次结构RBAC1中的角色可以容易地实现所要求的保密存取类的范畴的要求。RBAC2包含RBAC0的所有概念，加入了约束的限制约束是制定高层安全策略的有效机制，特别是在分布式系统中常见的约束条件就是互斥条件，一个用户只能在互斥的角色集中分配其中一个，防止系统中的重要特权失控。RBAC3RBAC3结合了RBAC1和RBAC2，同时具备角色等级和约束。角色等级和约束之间存在一些矛盾。例如，测试工程师和程序员角色是互斥的，项目管理角色同时具有测试工程师和程序员角色的权限，违反了角色约束的互斥性。一般情况下，高级角色违反这种约束是可以接受的，

20、而在其它情形下，则需要考虑这种排斥。在角色数量限制中也存在类似问题。如，一个用户只能指派到最多一个角色中，项目管理的用户指派到他的下级角色就违反了这一约束。在应用RBAC3时，需要根据系统的实际安全需求来制定合理的约東RBAC模型的特点便于授权管理(角色的变动远远低于个体的变动)便于处理工作分级，如文件等资源分级管理利用安全约束，容易实现各种安全策略，如最小特权、职责分离等便于任务分担，不同角色完成不同的任务特权管理基础设施了解PMI的主要功能、体系架构及应用。特权管理基础设施特权管理基础设施(PrivilegeManagementInfrastructure,PMI)PMI提供了一种在多应用

21、环境中的权限管理和访冋控制机制，将权限管理和访可控制从具体应用系统中分离出来，使得访问控制机制和应用系统之间能灵活而方便的结合。PMI能提供一种相对独立于应用的有效的体系结构，将应用资源和用户身份及访问权限之间建立对应关系，支持应用权限的有效管理和访问控制，以保证用户能获取他们有权获取的信息、做有权限操作。PMI建立在PKI提供的可信的身份认证服务的基础上采用基于属性证书的授权模式，为应用提供用户身份到应用权限的映射功能PMI主要功能PMI是与应用相关的授权服务管理基础设施其主要功能包括：对权限管理进行了系统的定义和描述系统地建立起对用户身份到应用授权的映射支持应用访问控制PMI和PKI之间的

22、主要区别在于PMI主要进行授权管理，证明这个用户有什么权限能干什么，即“你能做什么”PKI主要进行身份鉴别，证明用户身份，即“你是谁”两者之间的关系，通常使用护照和签证的关系来表述，护照是身份证明，可以用来唯一标识个人信息;而签证具有属性类别，同一个护照可以有多个国家的签证，能在指定时间进入对应的国家。PMI体系架构PMI是属性证书、属性权威、属性证书库等部件的集合体，用来实现权限和属性证书的产生、管理、存储、分发和撤销等功能其主要组件包括SOAAAARA用户证书库等信任源点(SOA)SOA是特权管理基础设施的信任源点，是整个授权系统最高管理机构，相当于PKI系统中的根CA,对整个系统特权分发

23、负有最终的责任。SOA的主要职责是授权策略的管理、应用授权受理、属性权威(AA)的设立审核及管理等。属性权威机构(AA)特权管理基础设施的核心服务节点，是对应于具体应用系统的授权管理分系统，由各应用部门管理，SOA授权给它管理一部分或全部属性的权力AA中心的职责主要包括应用授权受理。可以有多个层次，上级AA可授权给下级AA,下级可管理的属性的范围不超过上级属性注册权威机构(ARA)ARA和RA的位置类似，ARA是AA的延伸，主要负责提供属性证书注册、审核以及分发功能。用户指使用属性证书的终端实体，也称特权持有者证书/ACRL库主要用于发布PMI用户的属性证书以及属性证书的撤消列表ACRL，以供查询使用。在PMI和PKI起建设时，也可以直接使用PKI的LDAP作为PMI的证书/CRL库。属性证书PMI使用属性证书表示和容纳权限信息，对权限生命周期的管理是通过管理证书的生命周期实现的。属性证书是一种轻量级的数据体，这种数据体不包含公钥信息，只包含证书持有人ID、发行证书ID签名算法、有效期、属性等信息等。属性证书的申请、签发、注销、验证流程对应着权限的申请、发放、撤销和使用验证的