《大数据安全技术》课件-第5章

第5章访问控制技术主要内容了解访问控制的基本概念掌握自主访问控制和强制访问控制的相关知识掌握零信任架构、基于角色的访问控制和基于属性的访问控制的相关知识掌握配置Ranger安全组件实现访问控制5.1访问控制概述访问控制是实现既定安全策略的系统安全技术，它管理所有资源的访问请求，即根据安全策略的要求，对每一个资源访问请求做出是否许可的判断，能有效防止非法用户访问系统资源和合法用户非法使用资源。访问控制的发展经历了自主访问控制、强制访问控制、基于角色的访问控制、基于属性的访问控制等阶段。

在大数据应用场景下，由于大数据的规模和增长速度以及应用的开放性，使得安全管理员对于访问控制的权限管理越来越困难。同时，数据应用需求的不可预测性也使得管理员无法预先制定恰当的访问控制策略。访问控制技术迫切需要自动化的授权管理和自适应的访问控制以使其满足大数据场景的需求。5.1.1访问控制的术语1．用户（User）2．主体（Subject）3．客体（Object）4．操作（Operation）5．权限（Permission）6．最小权限（LeastPrivilege）7．引用监控机（ReferenceMonitor，RM）8．引用验证机制（ReferenceValidationMechanism，RVM）5.1访问控制概述

5.1.2访问控制的目标

访问控制可以实现信息安全的保密性、完整性等目标。保密性目标：如果主体对客体的所有访问均在访问控制的限制下进行，就可通过对需要进行保密性保护的信息制定相关的访问控制策略，仅允许为了工作需要的主体有权读取相关的客体信息，而未授权者则禁止读取这些客体信息，这样即可达到保密性保护的安全目标。完整性目标：制定相关的访问控制策略，使得只有授权主体能对确定的客体信息进行修改、插入、删除等写操作，而限制其他主体对这些客体的相应操作权限，即可防止未授权者对客体的篡改、插入、删除等，确保信息的完整性。5.1访问控制概述5.1访问控制概述5.1.3

访问控制的过程授权（Authorization）是规定可对该资源执行的动作，包括读、写、执行或拒绝访问，明确是否允许某个用户访问某个系统资源、特定区域或信息的过程授权是访问控制的重要过程，正确的授权依赖于认证，通过认证来确定你是谁，通过授权来确定你能做什么。5.1.4访问控制的等级划分标准《信息安全技术数据安全能力成熟度模型》GB∕T37988-2019标准中，基于组织的数据安全需求和合规性要求，建立身份鉴别和访问控制机制，防止对数据的未授权访问风险，具体安全等级划分如下：等级1：非正式执行

等级2：计划跟踪

等级3：充分定义

：访问控制的粒度应达到主体为用户级，客体为系统、文件、数据库表级或字段。等级4：量化控制

等级5：持续优化5.1访问控制概述5.1访问控制概述5.1.5大数据访问控制面临的挑战安全管理员的授权管理难度更大严格的访问控制策略难以适用外包存储环境下无法使用5.2自主访问控制5.2.1自主访问控制的定义及特点

自主访问控制（DiscretionaryAccessControl，DAC），又称为任意访问控制。作为客体的拥有者的个人用户可以设置访问控制属性来允许或拒绝对客体的访问。具有某种访问权的主体能够自行决定将其访问权直接或间接地转交给其他主体。自主访问控制允许系统的用户对于属于自己的客体按照自己的意愿允许或者禁止其他用户访问。5.2自主访问控制5.2.2自主访问控制策略

自主访问控制策略根据来访主体的身份，以及“谁能访问、谁不能访问、能在哪些资源上执行哪些操作”等事先声明的明确访问规则，来实施访问控制。1．传统DAC策略2．HRU、TAM、ATAM策略3．基于角色特性的DAC策略4．基于时间特性的DAC策略5.2自主访问控制5.2.3自主访问控制模型

（1）访问控制列表（AccessControlList，ACL）ACL是DAC中通常采用的一种机制，安全管理员通过维护ACL控制用户访问客体资源。ACL是存储在计算机中的一张表，用户对特定系统对象例如文件目录或单个文件的存取控制，每个对象拥有一个在访问控制列表中定义的安全属性。这张表对于每一个系统用户都拥有一个访问权限，常见的访问权限包括读文件、写文件和执行文件等。5.2自主访问控制5.2.3自主访问控制模型

（2）访问控制矩阵（AccessControlMatrix，ACM）访问控制矩阵是一个由主体和客体组成的表，ACM中的每行表示一个主体，每列则表示一个受保护的客体，矩阵中的元素表示主体可对客体的访问模式。访问控制矩阵的每一列都是一个访问控制列表ACL，表的每一行都是功能列表（也叫能力表）。5.2自主访问控制5.2.3自主访问控制模型

（2）访问控制矩阵（AccessControlMatrix，ACM）

主体文档文件打印机网络文件共享Bob读不能访问读、写Mary不能访问打印不能访问Amanda读、写打印、管理打印队列读、写、执行Admin读、写、更改权限打印、管理打印队列、更改权限读、写、执行、更改权限5.3强制访问控制5.3.1强制访问控制的定义及特点

强制访问控制（MandatoryAccessControl，MAC）是根据客体中信息的敏感标签和访问敏感信息的主体的访问等级，对客体的访问实行限制的一种方法。

系统首先给访问主体和资源赋予不同的安全属性，在实现访问控制时，系统先对访问主体和受控制资源的安全级别进行比较，再决定访问主体能否访问客体。5.3强制访问控制5.3.1强制访问控制的定义及特点1．敏感标签

敏感标签（SensitivityLabel），也称为安全许可。强制访问控制根据该用户的敏感等级或者信任等级对系统当中所有的客体和所有的主体分配敏感标签，利用敏感标签来确定谁可以访问系统中的特定信息。5.3强制访问控制5.3.1强制访问控制的定义及特点2．信息的输入和输出

对某个客体是否允许访问的决策将由以下3个因素决定：

（1）主体的敏感标签

（2）客体的敏感标签

（3）访问请求

只有当主体的敏感等级高于或等于客体的等级时，访问才是允许的，否则将拒绝访问。5.3强制访问控制5.3.1强制访问控制的定义及特点

3．安全标记

强制访问控制对访问主体和客体标识两个安全标记：一个是具有偏序关系的安全等级标记；另一个是非等级分类标记。

主体和客体在分属不同的安全级别时，都属于一个固定的安全级别（SC），SC就构成一个偏序关系，根据主体和客体的敏感等级和读写关系可以有以下4种组合。

（1）下读(ReadDown，RD)：主体级别大于客体级别的读操作；

（2）上写(WriteUp，WU)：主体级别低于客体级别的写操作；

（3）下写(WriteDown，WD)：主体级别大于客体级别的写操作；

（4）上读(ReadUp，RU)：主体级别低于客体级别的读操作。5.3.2强制访问控制策略

当某一用户以某密级进入系统时，在确定该用户能否访问系统上的数据时应遵守如下规则：（1）当且仅当用户许可证级别大于或等于数据的密级时，该用户才能对该数据进行读操作；

（2）当且仅当用户许可证级别小于或等于数据的密级时，该用户才能对该数据进行写操作。

通过“上写/下读”的方式，防止了敏感数据的泄露5.3强制访问控制5.3.2强制访问控制策略

多级安全策略指预先定义好用户的许可证级别和资源的密级，当用户提出访问请求时，系统对两者进行比较以确定访问是否合法。在多级访问控制系统中，所有主体和客体都被分配了安全标记，安全标记对其自身的安全等级进行了标识，其作用过程是：主体被分配一个安全等级，客体也被分配一个安全等级，在执行访问控制时，对主体和客体的安全级别进行比较。5.3强制访问控制5.3.3强制访问控制模型

1．Lattice模型

Lattice模型属于有层次的安全级别，每个资源和用户都服从于一个安全级别。在整个安全模型中，信息资源对应一个安全级别，用户所对应的安全级别必须比可以使用的客体资源高才能进行访问。5.3强制访问控制5.3.3强制访问控制模型

2．Bell-Lapadula模型

Bell-Lapadula模型，简称BLP模型，是典型的信息保密性多级安全模型。

BLP模型的安全策略包括强制访问控制和自主访问控制两部分。强制访问控制的安全特性要求对给定安全级别的主体，仅被允许对同一安全级别和较低安全级别的客体进行“下读”；对给定安全级别的主体，仅被允许向相同安全级别或较高安全级别上的客体进行“上写”。自主访问控制允许用户自行定义是否让个人或组织存取数据。BLP模型用偏序关系可以表示为：（1）RD，当且仅当SC(s)≥SC(o)，允许读操作；（2）WU，当且仅当SC(s)≤SC(o)，允许写操作。5.3强制访问控制5.3.3强制访问控制模型

3．Biba模型Biba模型定义了信息完整性级别，在信息流向的定义方面不允许从低安全级别的进程到高安全级别的进程，Biba模型的两个主要特征如下：

（1）禁止“上写”，完整性级别高的文件一定是由完整性级别高的进程所产生的。

（2）没有“下读”，但允许“上读”，即完整性级别低的进程可以阅读完整性级别高的文件。

Biba模型用偏序关系可以表示为：

（1）RU，当且仅当SC(s)≤SC(o)，允许读操作；

（2）WD，当且仅当SC(s)≥SC(o)，允许写操作。5.3强制访问控制5.4

基于零信任的访问控制技术

《零信任架构标准》中的定义：零信任（ZeroTrust，ZT）提供了一系列概念和思想，在假定网络环境已经被攻陷的前提下，当执行信息系统和服务中的每次访问请求时，降低其决策准确度的不确定性。在《零信任网络》一书中，埃文•吉尔曼和道格•巴斯从零信任的安全假设和安全思路维度进行了定义：（1）网络无时无刻不处于危险的环境中；（2）来自网络内外部的安全威胁始终是网络安全的威胁；（3）网络的位置不足以决定网络的可信程度；（4）网络中各类要素包括用户、设备、资源、网络流量等都应当经过认证和授权；（5）依据实际情况制定的动态安全策略才能保证业务安全，要基于尽可能多的数据源计算来进行信任评估。5.4

基于零信任的访问控制技术5.4.1零信任网络架构零信任网络架构图5.4

基于零信任的访问控制技术5.4.2零信任体系架构的逻辑组件

核心零信任逻辑组件

5.4

基于零信任的访问控制技术5.4.3零信任架构核心能力及访问控制模型基于零信任理念构建零信任架构，打破传统安全架构基于网络边界构筑信任域的理念，基于各类主体的身份进行细粒度的风险度量和访问授权，通过持续信任评估实现动态访问控制，避免核心资产直接暴露，最大程度减少被攻击面以及被攻击的风险。身份认证、信任评估、动态访问控制、业务安全访问是零信任的核心能力。在零信任架构下，以前的相对静态的或者相对封闭的网络环境已经越来越少，逐步向开放式发展，访问主体身份不固定，频繁进行登录和退出操作，对于访问控制模型提出了更高要求。在零信任理念下，常用的访问控制模型有两种：基于角色的访问控制、基于属性的访问控制。5.5基于角色的访问控制5.5.1基于角色的访问控制基本概念

基于角色的访问控制是指在访问控制系统中，按照用户所承担的角色的不同而授予不同的操作权限集。RBAC的核心思想就是将访问权限与角色相联系，通过给用户分配合适的角色，让用户与访问权限相联系。

RBAC根据安全策略划分出不同的角色，对每个角色分配不同的权限，并为用户指派不同的角色，用户通过角色间接地对数据信息资源进行许可的相应操作。

（1）根据最小权限原则，给予主体“必不可少”的权限

（2）合理地限制每个主体不必要的访问权限，堵截了许多攻击与泄露数据信息的途径。5.5基于角色的访问控制5.5.1基于角色的访问控制基本概念

RBAC支持公认的安全原则：最小权限原则、责任分离原则和数据抽象原则。RBAC是目前国际上流行的、先进的安全管理控制方法，优点和缺点如下：（1）优点：简化了用户和权限的关系，易扩展、易维护；（2）缺点：RBAC模型没有提供操作顺序的控制机制，这一缺陷使得RBAC模型很难适应哪些对操作顺序有严格要求的系统。5.5基于角色的访问控制5.5.2基于角色的访问控制模型RBAC96是一个模型族，包括四个模型：RBAC0～RBAC3。

RBAC96内各模型间的关系5.5基于角色的访问控制5.5.2基于角色的访问控制模型

1．基本模型RBAC0（CoreRBAC）5.5基于角色的访问控制5.5.2基于角色的访问控制模型

2．角色分级模型RBAC1（HierarchalRBAC）5.5基于角色的访问控制5.5.2基于角色的访问控制模型

3．角色限制模型RBAC2（ConstraintRBAC）5.5基于角色的访问控制5.5.2基于角色的访问控制模型

4．统一模型RBAC3（CombinesRBAC）5.6基于属性的访问控制5.6.1基于属性的访问控制基本概念基于属性的访问控制（Attribute-BasedAccessControl，ABAC）通过动态计算一个或一组属性是否满足某种条件来进行授权判断。可以按需实现不同颗粒度的权限控制，不需要预先知道访问者的身份。（1）实体：指系统中存在的主体、客体以及权限和环境。（2）环境：指访问控制发生时的系统环境。（3）属性：用于描述上述实体的安全相关信息，是ABAC的核心概念。5.6基于属性的访问控制5.6.1基于属性的访问控制基本概念

5.6基于属性的访问控制5.6.2基于属性的访问控制模型ABAC模型示意图5.6基于属性的访问控制5.6.2基于属性的访问控制模型

与RBAC相比，ABAC对权限的控制粒度更细，如控制用户的访问速率、访问时间等。实际开发中可以结合RBAC角色管理的优点和ABAC的灵活性一起使用。

ABAC能够完成细粒度访问控制和面向大规模主体动态授权等问题，并将传统访问控制中的角色、安全等级等抽象为属性，能有效实现传统访问控制模型的所有功能，适用云计算等开放分布式计算环境，应用前景广阔。5.7基于数据分析的访问控制技术5.7.1角色挖掘技术采用数据挖掘技术从系统的访问控制信息等数据中获得角色的定义，被称为角色挖掘（RoleMining）。早期的角色挖掘主要采用层次聚类算法从已有的用户—权限分配关系中自动地获得角色，并建立用户—角色、角色—权限的映射。近年来，为了进一步提高角色定义的质量，人们开始对用户的权限使用记录等更丰富的数据集进行分析，即考虑了权限使用的频繁程度和用户属性等因素，从而使得角色挖掘的结果更加符合系统中的实际权限情况。5.7基于数据分析的访问控制技术5.7.1角色挖掘技术

1．基于层次聚类的角色挖掘从这类数据中分析和挖掘潜在的角色概念，并将角色与用户、角色与权限分别进行关联。我们将角色看作大量用户共享的一些权限组合，采用聚类方法来挖掘角色。（1）凝聚式角色挖掘：将每个对象作为一簇，不断合并成为更大的簇，直到所有的对象合并为一个类簇或满足某个终止条件。（2）分裂式角色挖掘：将所有对象作为一簇，然后按照一定条件不断细分，直到每个对象作为一个类簇或满足某个终止条件。主要问题:它只对已有的权限分配数据进行角色挖掘，挖掘出的角色定义的质量往往过多地依赖于已有权限分配的质量。5.7基于数据分析的访问控制技术5.7.1角色挖掘技术2．生成式角色挖掘

基于权限使用日志进行角色挖掘，其结果能更准确地反映权限的真实使用情况，而不局限于已有权限分配的准确性。

基本思路：将角色挖掘问题映射为文本分析问题，采用两类主题模型包括LDA（LatentDirichletAllocation，潜在狄利克雷分布）和ATM（Author-TopicModel，作者-主题模型）进行生成式角色挖掘，从权限使用情况的历史数据来获得用户的权限使用模式，进而产生角色，并为它赋予合适的权限，同时根据用户属性数据为用户分配恰当的角色。5.7基于数据分析的访问控制技术5.7.1角色挖掘技术生成式角色挖掘的优点：

（1）挖掘结果能够反映权限的内在联系，所以在可用性和解释性上具有较大优势。

（2）能够对一些拥有相同权限集合，却有不同使用模式的用户群体进一步准确划分。

（3）用途广泛，可用于已有权限分配信息中的错误发现和标识，还可用于权限使用过程中的异常检测。5.7基于数据分析的访问控制技术5.7.2风险自适应的访问控制技术

自适应访问控制技术的主要代表是风险访问控制。

从风险管理的角度来看，访问控制是一种平衡风险和收益的机