访问控制模型精简版

访问控制模型及在DRM中的应用

方法研究

报告人：肖水报告时间：2008-9-81访问控制模型的概念传统访问控制模型

自主访问控制模型DAC强制访问控制模型MAC

基于角色的访问控制模型RBAC基于RBAC的数字版权保护模型RDRM基于任务的访问控制模型TBAC基于角色+任务的访问控制模型T-RBAC下一代访问控制模型UCON内容21.1访问控制模型的概述

背景计算机信息安全理论基础中的重要组成部分存在于操作系统，数据库，Web等各个层面目标允许被授权的主体对某些客体的访问拒绝向非授权的主体提供服务主要模型传统模型：自主访问控制(DAC)，强制访问控制(MAC)

基于角色的访问控制(RBAC)下一代访问控制模型：UCON3

访问：是使信息在主体和对象间流动的一种交互方式。

主体：是指主动的实体，该实体造成了信息的流动和系统状态的改变，主体通常包括人、进程和设备。

客体（资源）：是指包含或接受信息的被动实体。对资源的访问意味着对其中所包含信息的访问。资源可以是信息资源、处理资源、通信资源或者物理资源

权利（访问方式）：访问方式可以是获取信息、修改信息或者完成某种功能，一般情况可以理解为读、写或者执行。访问控制：决定了谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。1.2访问控制的定义

4

访问控制与其他安全措施之间关系可以用下图来简要说明.1.3访问控制原理

在用户身份认证(如果必要)和授权之后，访问控制机制将根据预先设定的规则对用户访问某项资源(目标)进行控制，只有规则允许时才能访问，违反预定的安全规则的访问行为将被拒绝。51.4访问控制的一般策略自主访问控制强制访问控制基于角色访问控制访问控制

研究如何建立抽象级别更高的统一访问控制模型研究如何将问题域进行划分，不同的问题子域采用不同的访问控制模型√62.1.1

基本思想2.1自主访问控制模型

自主访问控制DiscretionaryAccessControl,简称DAC

自主访问控制基于对主体或主体所属的主体组的识别来限制对客体的访问，这种控制是自主进行的。自主自主的含义是指对其它具有授予某种访问权力的主体能够自主地（可能是间接的）将访问权的某个子集授予其它主体。

7访问控制矩阵:访问控制策略最终可被模型化为访问矩阵形式,行对应于用户,列对应于目标,每个矩阵元素规定了相应的用户对应于相应的目标被准予的访问许可实施行为。2.1.2

实现方法2.1自主访问控制模型

8举例一：访问能力表（AccessCapabilitiesList）基于访问制矩阵行的自主访问控制。为每个主体（用户）建立一张访问能力表，用于表示主体是否可以访问客体,及用什么方式访问客体。2.1自主访问控制模型

2.1.2DAC简单应用的举例9举例二：访问控制表（AccessControlList）2.1自主访问控制模型

2.1.2DAC简单应用的举例基于访问制矩阵列的自主访问控制。

每个客体都有一张ACL，用于说明可以访问该客体的主体及其访问权限。10优点：根据主体的身份和授权来决定访问模式。方便、简单可由用户自由定制可扩展性强缺点：管理分散、用户关系不清权限易被滥用：如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。2.1自主访问控制模型

2.1.3DAC的优缺点11强制访问控制MandatoryAccessControl，简称MAC用户与文件都有一个固定安全属性，系统利用安全属性来决定一个用户是否可以访问某个文件。将主题和客体分级，根据主体和客体的级别标记来决定访问模式。如，绝密级、机密级、秘密级、无密级等。安全属性是强制性的，它是由安全管理员或操作系统根据限定的规则分配的，用户或用户的程序不能修改安全属性。2.2强制访问控制模型

2.2.1基本思想12Bell-LaPadual模型（保障信息机密性策略）简单安全规则仅当主体的敏感级不低于客体敏感级且主体的类别集合包含客体时，才允许该主体读该客体。即主体只能读密级等于或低于它的客体，也就是说主体只能从下读，而不能从上读。星规则仅当主体的敏感级不高于客体敏感级且客体的类别集合包含主体的类别集合时，才允许该主体写该客体。即主体只能写密级等于或高于它的客体，也就是说主体只能向上写，而不能向下写。

(主体：下读上写的安全策略）2.2强制访问控制模型

2.2.2典型模型13Bell-LaPadual模型进程(Subject)Secret安全级别进程(Subject)Public安全级别文件(Object)Public安全级别文件(Object)Secret安全级别向下读向下写向上写向上读同级写同级读同级写同级读14Bell-LaPadual模型15Biba模型（保障信息完整性策略）简单完整规则仅当主体的完整性级大于等于客体的完整性级且主体的类别集合包含客体的类别集时，才允许该主体写该客体。即主体只能向下写，而不能向上写，也就是说主体只能写（修改）完整性级别等于或低于它的客体。

完整性制约规则（星规则）仅当主体的完整级不高于客体完整级且客体的类别集合包含主体的类别集合时，才允许该主体读读客体。即主体只能从上读，而不能从下读。

(主体：下写上读的安全策略）2.2强制访问控制模型

2.2.2典型模型Biba模型模仿BLP模型的信息保密性级别，定义了信息完整性级别16使得完整性级别高的文件是一定由完整性高的进程所产生的，从而保证了完整性级别高的文件不会被完整性低的文件或完整性低的进程中的信息所覆盖。

进程(Subject)低完整性级别进程(Subject)高完整性级别文件(Object)高完整性级别文件(Object)低完整性级别向上读向上写向下写向下读同级写同级读同级写同级读Biba模型172.2强制访问控制模型

2.2.4MAC优缺点优点：通过梯度安全标签实现了单向信息流通模式经常与DAC结合使用，主要用于多层次安全级别军事系统中缺点：增加了不能回避的访问限制，影响了系统的灵活性过于强调保密性，实现工作量大、管理不便181.自主式太弱2.强制式太强3.二者工作量大，不便管理

例：1000主体访问10000客体，须1000万次配置。如每次配置需1秒，每天工作8小时，就需 （1000*10000）/（3600*8） =347.2天

随着主体和客体的数量级增大，DAC/MAC很难适用，需要新的访问模型的提出。2.1.3DAC/MAC小结19角色

Arolecanbedefinedasasetofactionsandresponsibilitiesassociatedwithaparticularworkingactivity.角色与组的区别

组：用户集 角色：用户集＋权限集角色控制与自主式/强制式控制的区别：

提出“角色”作为授权中介。角色控制相对独立，根据配置可使某些角色为接近

DAC，某些角色接近MAC。2.3基于角色访问控制模型

2.3.1相关概念20角色控制与自主式/强制式控制的区别：

提出“角色”作为授权中介。2.3基于角色访问控制模型

2.3.1相关概念授权对象：单个用户授权对象：角色√21

基本模型RBAC0

角色分级模型

RBAC1

角色限制模型

RBAC2

统一模型

RBAC3，包含所有的层次内容2.3.2RBAC相关模型2.3基于角色访问控制模型

222.3基于角色访问控制模型

2.3.2.1基本模型RBAC0

体系结构(模型包含四个基本数据元素:Users(用户)、Roles(角色)、Sessions(会话集)、权限（Permission）以及角色权限分配(PurviewAssigntoRole，PA)、用户角色分配(UserAssigntoRole，UA)。

232.3基于角色访问控制模型

2.3.2.2角色分级模型RBAC1

=RBAC0+RoleHieryrchy

体系结构242.3基于角色访问控制模型

2.3.2.2角色分级模型RBAC1

=RBAC0+RoleHieryrchy

角色分级的两种形式权限（角色）继承按角色间的权限继承形式来分252.3基于角色访问控制模型

体系结构2.3.2.3角色限制模型RBAC2

=RBAC0+Constraints

262.3基于角色访问控制模型

体系结构2.3.2.4角色限制模型RBAC3

=RBAC0+RH+Constraints

272.3基于角色访问控制模型

2.3.3RBAC的优点便于授权管理：权限并不直接分配给用户，而是先分配给角色，然后用户分配给那些角色，从而获得角色的权限。与把权限赋予用户的工作相比，把角色赋予用户要容易灵活得多，简化了系统的管理。便于赋予最小特权：主体执行操作时，按照主体所需权利的最小化原则分配给主体权力。便于职责分担便于目标分级282.4基于RBAC的数字版权保护模型RDRM2.4.1典型的DRM系统参考体系结构292.4基于RBAC的数字版权保护模型RDRM2.4.2RDRM结构303.1传统访问控制模型存在的问题问题一：静态的、被动的安全模型3使用控制模型UCON

都是基于主体-客体（Subject-Object）观点的被动安全模型，它们都是从系统的角度（控制环境是静态的）出发保护资源.

授权模型是静态的，在执行任务之前，主体就拥有权限，没有考虑到操作的上下文.√313.1传统访问控制模型存在的问题问题二：研究问题域的局限性

3使用控制模型UCON

传统访问控制的问题域：

控制用户对服务器端存储的数字资源进行访问。数字版权管理的问题域：

DRM要求能够在客户端环境下对资源存取、使用和再分发等行为进行约束，以达到防复制、防扩散的目的。

UCON模型的问题域：作为下一代访问控制模型，它统一这三种模型（传统的访问控制、信任管理和数字版权管理）的问题域。

服务器端+客户端√323.1传统访问控制模型存在的问题3使用控制模型UCON

问题三：现代业务发展需要之一：职责（义务）尽管基于属性方式的传统访问控制方式有许多应用，然而今天的数字信息系统需要更复杂的授权机制。例如，假定用户A需要按“接受”按钮来接受许可证协议，或为下载某公司的技术资料而必须填写某个表格等。在这种情况下，使用决策是基于要求的行为来完成，而不是主体、对象的属性。问题四：现代业务发展需要之二：条件除了授权和职责，在许多情况下，访问还需要受到一定环境的和系统状态的约束。例如，只有在工作日或在特定地点才能访问某个数字资源。一个系统负荷很重时，只有高级用户才能得到它提供的服务。因此，现代访问控制除需要授权和职责之外，也需要条件作为重要的因素。√333.2

UCON模型的基本思想UCON不仅包含传统的访问权限控制技术，也包含了数字版权管理技术，是一套能满足绝大部分权限控制需求的权限控制模型。UCON访问控制除授权考虑之外，也将义务、条件作为重要的决定因素。连续性控制：在传统的访问控制中，授权决策是在访问之前进行,而在UCON中,还可以在整个资源使用过程（ongoing）中对访问请求进行评判。可变属性：主体和对象的属性是可变的。可变属性会随着访问结果而改变。对于可变属性的更新可能发生在使用资源之前，可能发生在使用的过程中，也可能发生在资源使用完成之后。

3使用控制模型UCON

34UCON模型核心思想之----连续性和可变属性使用中授权模型预先授权模型353.3

UCONABC的模型组成3使用控制模型UCON

363.3

UCONABC的模型组成3使用控制模型UCON

主体（Subjects,S）和主体属性（SubjectAttributes,ATT(S)）客体（Objects,O）和客体属性（ObjectsAttributes,ATT(O)）权利（Right）

授权（Authorizations）:是在使用决策中必须考量的功能谓词，返回的是主体（请求者）是否允许对客体进行所要求的权利操作。职责（oBligations）:职责是在一个使用操作执行前或者执行过程中，验证主体是否履行一些强制性要求的功能谓词。条件（Conditions）:是与环境或者系统有关的决策因素。条件考量当前的环境或者系统状态，来检验相关要求是否满足，并返回True或False。

373使用控制模型UCON

3.5UCONABC模型的具体应用3.5.4数字版权管理模型的实现

以选择UCONpreA1作为数字版权管理的实现模型，其具体情况如下:M为一组价格信息的集合;①R：{rl，r2}其中rl表示播放权，r2表示拷贝权②Credit：S→M，记录用户相应帐号上的金额信息③Value：O×{rl}→M，记录某一客体资源播放权的价格信息④ATT(S)={Credit}⑤ATT(O，rl)={Value}⑥Allowed(s,o,r1)→Credit(s)≧Value(o