身份与访问安全-访问控制课件

12五月2024身份与访问安全——访问控制4.4访问控制

4.4.1访问控制基本概念基本目标都是防止非法用户进入系统和合法用户对系统资源的非法使用。为了达到这个目标，访问控制常以用户身份认证为前提，在此基础上实施各种访问控制策略来控制和规范合法用户在系统中的行为这些策略和规范，被称为安全体系模型（或简称为安全模型）。5/12/20242信息安全案例教程：技术与应用4.4访问控制

4.4.1访问控制基本概念1．访问控制的三要素主体(Subject)：访问操作的主动发起者，但不一定是动作的执行者。客体(Object)：通常是指信息的载体或从其他主体或客体接收信息的实体。安全访问规则：用以确定一个主体是否对某个客体拥有某种访问权力。5/12/20243信息安全案例教程：技术与应用4.4访问控制

4.4.1访问控制基本概念2．引用监视器和安全内核访问控制机制的理论基础是引用监视器（ReferenceMonitor），由J.P.Anderson于1972年首次提出。引用监视器是一个抽象的概念。引用监视器借助访问数据库控制主体到客体的每一次访问，并将重要的安全事件记入审计文件中。访问控制数据库包含有关主体访问客体访问模式的信息。数据库是动态的，它会随着主体和客体的产生或删除及其权限的改变而改变。5/12/20244信息安全案例教程：技术与应用4.4访问控制

4.4.1访问控制基本概念在引用监视器思想的基础上，J.P.Anderson定义了安全内核的概念。安全内核是实现引用监视器概念的一种技术。安全内核可以由硬件和介于硬件与操作系统之间的一层软件组成。安全内核的软件和硬件是可信的，处于安全边界内，而操作系统和应用软件均处于安全边界之外。这里讲的边界，是指与系统安全有关和无关对象之间的一个想象的边界。5/12/20245信息安全案例教程：技术与应用4.4访问控制

4.4.1访问控制基本概念3．基本的访问控制模型（1）访问控制矩阵(AccessControlMatrix，ACM)访问控制矩阵模型的基本思想就是将所有的访问控制信息存储在一个矩阵中集中管理。当前的访问控制模型一般都是在它的基础上建立起来的。5/12/20246信息安全案例教程：技术与应用4.4访问控制

4.4.1访问控制基本概念3．基本的访问控制模型（2）访问控制表访问控制表机制实际上是按访问控制矩阵的列实施对系统中客体的访问控制。每个客体都有一张ACL，用于说明可以访问该客体的主体及其访问权限。5/12/20247信息安全案例教程：技术与应用4.4访问控制

4.4.1访问控制基本概念3．基本的访问控制模型（3）能力表能力表保护机制实际上是按访问控制矩阵的行实施对系统中客体的访问控制。每个主体都有一张能力表，用于说明可以访问的客体及其访问权限。5/12/20248信息安全案例教程：技术与应用4.4访问控制

4.4.1访问控制基本概念两个问题构成了访问控制的基础：1）对于给定主体，它能访问哪些客体以及如何访问？2）对于给定客体，哪些主体能访问它以及如何访问？对于第1个问题，使用能力表回答最为简单，只需要列出与主体相关联的cap表中的元素即可。对于第2个问题，使用访问控制表ACL回答最为简单，只需列出与客体相关联的acl表中的元素即可。人们可能更关注第2个问题，因此，现今大多数主流的操作系统都把ACL作为主要的访问控制机制。这种机制也可以扩展到分布式系统，ACL由文件服务器维护。5/12/20249信息安全案例教程：技术与应用4.4访问控制

4.4.2自主访问控制由客体的属主对自己的客体进行管理，由属主自己决定是否将自己客体的访问权或部分访问权授予其他主体，这种控制方式是自主的，我们把它称为自主访问控制(DAC，DiscretionaryAccessControl)。在自主访问控制下，一个用户可以自主选择哪些用户可以共享他的文件。访问控制表ACL、能力表是实现DAC策略的基本数据结构在DAC模式下，有3种控制许可权手段：层次型、属主型和自由型。5/12/202410信息安全案例教程：技术与应用4.4访问控制

4.4.3强制访问控制DAC机制的缺陷允许用户自主地转授访问权，这是系统不安全的隐患。系统无法区分是用户合法的修改还是木马程序的非法修改；无法防止木马程序利用共享客体或隐蔽信道传送信息。无法解决因用户无意（如程序错误、某些误操作等）或不负责任的操作而造成的敏感信息的泄漏问题。5/12/202411信息安全案例教程：技术与应用4.4访问控制

4.4.3强制访问控制强制访问控制最早出现在20世纪70年代。是美国政府和军方源于对信息保密性的要求以及防止特洛伊木马之类的攻击而研发的。MAC是一种基于安全级标签的访问控制方法，通过分级的安全标签实现信息从下向上的单向流动，从而防止高密级信息的泄露。在MAC中，对于主体和客体，系统为每个实体指派一个安全级，安全级由两部分组成：1）保密级别(Classification，或叫做敏感级别或级别)。2）范畴集(Categories)。5/12/202412信息安全案例教程：技术与应用4.4访问控制

4.4.3强制访问控制安全级中包括一个保密级别，范畴集包含任意多个范畴。安全级通常写作保密级别后随范畴集的形式。例如：{机密：人事处，财务处，科技处}。安全级的集合形成一个满足偏序关系的格(Lattice)，此偏序关系称为支配(Dominate)，通常用符号“>”表示，它类似于“大于或等于”的含义。对于任意两个安全级Si=(li,Ci)和Sj=(lj,Cj)，若Si支配Sj(Si>Sj)，当且仅当li>lj，且Ci包含Cj。如果两个安全级的范畴互不包含，则这两个安全级不可比。5/12/202413信息安全案例教程：技术与应用4.4访问控制

4.4.3强制访问控制在一个系统中实现MAC机制，最主要的是要做到两条：1）对系统中的每一个主体与客体，都要根据总体安全策略与需求分配一个特殊的安全级别。该安全级别能够反映该主体或客体的敏感等级和访问权限，并把它以标签的形式和这个主体或客体紧密相连而无法分开。这些安全属性是不能轻易改变的，它由管理部门(如安全管理员)或由操作系统自动按照严格的规则来设置，不像DAC那样可以由用户或他们的程序直接或间接修改。5/12/202414信息安全案例教程：技术与应用4.4访问控制

4.4.3强制访问控制在一个系统中实现MAC机制，最主要的是要做到两条：2）当一个主体访问一个客体时，调用强制访问控制机制，比较主体和客体的安全级别，从而确定是否允许主体访问客体。在MAC机制下，即使是客体的拥有者也没有对自己客体的控制权，也没有权利向别的主体转授对自己客体的访问权。即使是系统安全管理员修改、授予或撤销主体对某客体的访问权的管理工作也要受到严格的审核与监控。有了MAC控制后，可以极大地减少因用户的无意性(如程序错误或某些误操作)泄漏敏感信息的可能性。5/12/202415信息安全案例教程：技术与应用4.4访问控制

4.4.3强制访问控制2．加强保密性的强制访问控制模型BLP模型有两条基本的规则规则1：不能向上读(No-Read-Up)，也称为简单安全特性。如果一个主体的安全级支配客体的安全级，则主体可读客体，即主体只能向下读，不能向上读。规则2：不能向下写(No-Write-Down)，也称为*特性。如果一个客体的安全级支配主体的安全级，则主体可写客体，即主体只能向上写，不能向下写。5/12/202416信息安全案例教程：技术与应用4.4访问控制

4.4.3强制访问控制3.加强完整性的强制访问控制模型Biba模型设计类似于BLP模型，不过使用完整性级别而非信息安全级别来进行划分。Biba模型规定，信息只能从高完整性的安全等级向低完整性的安全等级流动，就是要防止低完整性的信息“污染”高完整性的信息。Biba模型只能够实现信息完整性中防止数据被未授权用户修改这一要求。而对于保护数据不被授权用户越权修改、维护数据的内部和外部一致性这两项数据完整性要求却无法做到。5/12/202417信息安全案例教程：技术与应用4.4访问控制

4.4.3强制访问控制3.加强完整性的强制访问控制模型Clark-Wilson模型的特点有以下几个方面：采用主体(Subject)/事务(Program)/客体(Object)三元素的组成方式，主体要访问客体只能通过程序进行。权限分离原则。将关键功能分为由两个或多个主体完成，防止已授权用户进行未授权的修改。要求具有审计能力(Auditing)。5/12/202418信息安全案例教程：技术与应用4.4访问控制

4.4.3强制访问控制3.加强完整性的强制访问控制模型Dion模型结合BLP模型中保护数据保密性的策略和Biba模型中保护数据完整性的策略，模型中的每一个客体和主体被赋予一个安全级别和完整性级别，安全级别定义同BLP模型，完整性级别定义同Biba模型，因此，可以有效地保护数据的保密性和完整性。ChinaWall模型和上述的安全模型不同，它主要用于可能存在利益冲突的多边应用体系中。比如在某个领域有两个竞争对手同时选择了一个投资银行作为他们的服务机构，而这个银行出于对这两个客户的商业机密的保护就只能为其中一个客户提供服务。5/12/202419信息安全案例教程：技术与应用4.4访问控制

4.4.4基于角色的访问控制由于DAC和MAC授权时需要对系统中的所有用户进行一维的权限管理，因此不能适应大型系统中数量庞大的用户管理和权限管理的需求。20世纪90年代以来，随着对在线的多用户、多系统的研究不断深入，角色的概念逐渐形成，并逐步产生了基于角色的访问控制RBAC(Role-BasedAccessControl)模型这一访问控制模型已被广为应用。5/12/202420信息安全案例教程：技术与应用4.4访问控制

4.4.4基于角色的访问控制基于角色访问控制的核心思想是将权限同角色关联起来，而用户的授权则通过赋予相应的角色来完成，用户所能访问的权限由该用户所拥有的所有角色的权限集合的并集决定。当用户机构或权限发生变动时，可以很灵活地将该用户从一个角色移到另一个角色来实现权限的协调转换，降低了管理的复杂度，另外在组织机构发生职能性改变时，应用系统只需要对角色进行重新授权或取消某些权限，就可以使系统重新适应需要。与用户相比角色是相对稳定的。这里的角色就充当着主体(用户)和客体之间的关系的桥梁5/12/202421信息安全案例教程：技术与应用4.4访问控制

4.4.4基于角色的访问控制角色由系统管理员定义，角色成员的增减也只能由系统管理员来执行，即只有系统管理员有权定义和分配角色。用户与客体无直接联系，他只有通过角色才享有该角色所对应的权限，从而访问相应的客体。RBAC与DAC的根本区别在于：用户不能自主地将访问权限授给别的用户。RBAC与MAC的区别在于：MAC是基于多级安全需求的，而RBAC则不是。5/12/202422信息安全案例教程：技术与应用4.4访问控制

4.4.4基于角色的访问控制RBAC核心模型中包含了五个基本静态集合：用户集(Users)、角色集(Roles)、对象集(Objects)、操作集(Operators)和权限集(Perms)，以及一个运行过程中动态维护的集合——会话集(Sessions)5/12/202423信息安全案例教程：技术与应用4.4访问控制

4.4.4基于角色的访问控制RBAC的特点便于授权管理便于根据工作需要分级便于赋予最小权限便于任务分担便于文件分级管理便于大规模实现5/12/202424信息安全案例教程：技术与应用4.4访问控制

4.4.5基于PMI的授权与访问控制1．构建PMI的必要性PKI通过方便灵活的密钥和证书管理方式，提供了在线身份认证——“他是谁”的有效手段，并为访问控制、抗抵赖、保密性等安全机制在系统中的实施奠定了基础。然而，随着网络应用的扩展和深入，仅仅能确定“他是谁”已经不能满足需要，安全系统要求提供一种手段能够进一步确定“他能做什么”。即需要验证对方的属性(授权)信息，这个用户有什么权限、什么属性、能进行哪方面的操作、不能进行哪方面的操作。5/12/202425信息安全案例教程：技术与应用4.4访问控制

4.4.5基于PMI的授权与访问控制1．构建PMI的必要性解决上述问题的一种思路是，利用X.509公钥证书中的扩展项来保存用户的属性信息，由CA完成权限的集中管理。应用系统通过查询用户的数字证书即可得到用户的权限信息。该方案的优点在于，可以直接利用已经建立的PKI平台进行统一授权管理，实施成本低，接口简单，服务方式一致。但是，将用户的身份信息和授权信息捆绑在一起管理存在以下几个方面的问题。身份和属性的有效时间有很大差异其次，公钥证书和属性证书的管理颁发部门有可能不同。5/12/202426信息安全案例教程：技术与应用4.4访问控制

4.4.5基于PMI的授权与访问控制1．构建PMI的必要性身份和授权管理之间的差异决定了对认证和授权服务应该区别对待。认证和授权的分离不仅有利于系统的开发和重用，同时也有利于对安全方面实施更有效的管理。只有那些身份和属性生命周期相同，而且CA同时兼任属性管理功能的情况下，可以使用公钥证书来承载属性。大部分情况下应使用公钥证书+属性证书的方式实现属性的管理。国际电信联盟ITU和因特网网