《信息安全概论--第6章-访问控制技术新课件.ppt》由会员分享,可在线阅读,更多相关《信息安全概论--第6章-访问控制技术新课件.ppt(98页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第六章 访问控制第六章第六章 访问控制技术访问控制技术n n本章内容n6.1 访问控制的模型访问控制的模型n6.2 访问控制策略访问控制策略n6.3 访问控制的实现访问控制的实现n6.4 安全级别与访问控制安全级别与访问控制n6.5 访问控制与授权访问控制与授权n6.6 PMI2023/2/1026.1 访问控制的模型访问控制的模型n6.1.1自主访问控制模型(自主访问控制模型(DAC Model)n6.1.2强制访问控制模型(强制访问控制模型(MAC Model)n6.1.3基于角色的访问控制模型(基于角色的访问控制模型(RBAC Model)2023/2/103访问控制的模式访问控制的模式
2、u访问控制模型:是一种从访问控制模型:是一种从访问控制的角度出的角度出发,描述安全系统,建立安全模型的方法。发,描述安全系统,建立安全模型的方法。u u访问控制:访问控制:主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。u访问控制包括三个要素,即:访问控制包括三个要素,即:主体、客体和控制策略。2023/2/104主体(主体(Subject)n主体:是指一个提出请求或要求的实体,是动作的发起者,但不一定是:是指一个提出请求或要求的实体,是动作的发起者,但不一定是动作的执行者。动作的执行者。n主体可以是主体可以是用户或其它任何代理用户行为的实体(例如进程、作业和程(例如进程、作
3、业和程序)。简记为序)。简记为Sn广义上讲:主体可以是用户所在的组织(以后称为用户组)、用户本身,广义上讲:主体可以是用户所在的组织(以后称为用户组)、用户本身,也可是用户使用的计算机终端、卡机、手持终端(无线)等,甚至可以也可是用户使用的计算机终端、卡机、手持终端(无线)等,甚至可以是应用服务程序程序或进程。是应用服务程序程序或进程。2023/2/105客体(客体(Object)n客体:是接受其他实体访问的被动实体:是接受其他实体访问的被动实体,简记简记为为O。n客体,可以被操作的信息、资源、对象客体,可以被操作的信息、资源、对象n例如:例如:n信息、文件、记录等的集合体,信息、文件、记录等
4、的集合体,n网路上的硬件设施网路上的硬件设施n无线通信中的终端无线通信中的终端n一个客体可以包含另外一个客体一个客体可以包含另外一个客体2023/2/106控制策略控制策略u控制策略:是主体对客体的操作行为集和约束条件集,简记为KS。u控制策略:是控制策略:是主体对客体的访问规则集u规则集定义了:规则集定义了:n主体对客体的作用行为主体对客体的作用行为n客体对主体的条件约束客体对主体的条件约束u访问策略体现了一种授权行为访问策略体现了一种授权行为2023/2/107三个要素之间的行为关系三个要素之间的行为关系 n访问控制系统三个要素之间的行为关系访问控制系统三个要素之间的行为关系n三元组(三元
5、组(S,O,P)nS表示主体表示主体nO表示客体表示客体nP表示许可表示许可2023/2/108访问控制关系示意图访问控制关系示意图 对主体进行认证正常的请求信息主体通过验证,才能访问客体,但并不保证其有权限可以对客体进行操作。客体对主体的验证验证一般会鉴别用户的标识和用户密码对主体的具体约束具体约束由访问控制表来控制实现。2023/2/109多级安全信息系统多级安全信息系统n多级安全信息系统:n由于用户的访问涉及到访问的权限控制规则集合,由于用户的访问涉及到访问的权限控制规则集合,将敏感信息与通常资源分开隔离的系统。n多级安全系统将信息资源按照多级安全系统将信息资源按照安全属性分级考虑,分级
6、考虑,可分为两种。可分为两种。2023/2/1011两种安全类别两种安全类别n一种是有层次的安全级别一种是有层次的安全级别(Hierarchical Classification),),n分为分为TS,S,C,RS,U 5级级n绝密级别(Top Secret)n秘密级别(Secret)n机密级别(Confidential)n限制级别(Restricted)n无级别级(Unclassified)n另一种是无层次的安全级别,另一种是无层次的安全级别,n不对主体和客体按照安全类别分类n只是给出客体接受访问时可以使用的规则和管理者给出客体接受访问时可以使用的规则和管理者。2023/2/1012访问控制
7、内容访问控制内容n访问控制的实现访问控制的实现首先要考虑对合法用户进行验证,然后是对控制策略的选用与管理,最后要对非法用户或是越权操作进行管理。1.认证:主体对客体的识别认证和客体对主体检验认证。主体和客体的认:主体对客体的识别认证和客体对主体检验认证。主体和客体的认证关系是相互的,主体也可能变成了客体,取决于当前实体的功能是动证关系是相互的,主体也可能变成了客体,取决于当前实体的功能是动作的执行者还是被执行者。作的执行者还是被执行者。2.控制策略的具体实现:体现在如何设定规则集合,对信息资源的合法使:体现在如何设定规则集合,对信息资源的合法使用,考虑敏感资源的泄漏,不能越权用,考虑敏感资源的
8、泄漏,不能越权3.审计:当管理员有操作赋予权,他有可能滥用这一权利,这是无法在策:当管理员有操作赋予权,他有可能滥用这一权利,这是无法在策略中加以约束的。必须对这些行为进行记录,从而达到略中加以约束的。必须对这些行为进行记录,从而达到威慑和保证访问控制正常实现的目的。的目的。2023/2/1013访问控制模型访问控制模型n访问控制安全模型一般包括:访问控制安全模型一般包括:n主体、客体。n为识别和验证这些实体的为识别和验证这些实体的子系统。n控制实体间访问的控制实体间访问的监视器。n建立规范的访问控制模型,是实现严格访问控制策略所必建立规范的访问控制模型,是实现严格访问控制策略所必须的。须的。
9、2023/2/1014访问控制模型访问控制模型u20世纪世纪70年代,年代,Harrison 等提出了等提出了HRU模型。模型。u1976年,年,Jones等人提出了等人提出了Take-Grant模型。模型。u1985年,美国军方提出年,美国军方提出可信计算机系统评估准则TCSEC,其中描述了两种著名的访问控制策略:,其中描述了两种著名的访问控制策略:n自主访问控制模型(DAC)n强制访问控制模型(MAC)u1992年,年,Ferraiolo等提出等提出n基于角色的访问控制(RBAC)n基于对象的访问控制n基于任务的访问控制。n后两种考虑到网络安全和传输流。2023/2/10156.1.1 自
10、主访问控制模型自主访问控制模型u自主访问控制模型自主访问控制模型u(Discretionary Access Control Model,DAC Model)u根据根据自主访问控制策略建立的一种模型,建立的一种模型,允许允许合法用户访问策略规定的客体阻止阻止非授权用户访问客体某些用户把自己所拥有的访问权限授予其它用户访问权限授予其它用户u自主访问控制又称为任意访问控制。Linux,Unix、Windows NT或是或是Server版本的操作系统都提供自主版本的操作系统都提供自主访问控制的功能访问控制的功能。2023/2/1016n自主访问控制模型的实现:自主访问控制模型的实现:n首先要对用户的
11、身份进行首先要对用户的身份进行鉴别n然后就可以按照访问控制列表所赋予用户的权限,然后就可以按照访问控制列表所赋予用户的权限,允许和限制用户使用客体的资源使用客体的资源n主体控制权限的修改通常由特权用户(管理员)或是通常由特权用户(管理员)或是特权用户组实现。特权用户组实现。自主访问控制模型自主访问控制模型2023/2/1017自主访问控制模型的特点自主访问控制模型的特点u特点:特点:n授权的实施主体授权的实施主体自主负责赋予和回收其他主体对客体其他主体对客体资源的访问权限。资源的访问权限。nDAC模型一般采用模型一般采用访问控制矩阵和和访问控制列表来存来存放不同主体的访问控制信息,从而达到对主
12、体访问权放不同主体的访问控制信息,从而达到对主体访问权限的限制目的限的限制目的u任意访问控制任意访问控制优点:灵活的数据访问方式缺点:DAC模型的安全防护相对较低,用户可以任意传递权限2023/2/10186.1.2 强制访问控制模型强制访问控制模型n强制访问控制模型强制访问控制模型(Mandatory Access Control Model,MAC Model)u发展:发展:最初是为了实现比最初是为了实现比DAC更为严格的访问控制策略,美国政府和军更为严格的访问控制策略,美国政府和军方开发了各种各样的控制模型,随后得到广泛的商业关注和应用。方开发了各种各样的控制模型,随后得到广泛的商业关注
13、和应用。uMAC与与DAC的不同之处:的不同之处:nDAC:用户和客体资源都被赋予一定的安全级别,只有管理员才能够确定用:用户和客体资源都被赋予一定的安全级别,只有管理员才能够确定用户和组的访问权限。户和组的访问权限。nMAC:是一种:是一种多级访问控制策略,系统对访问主体和受控对象实行强制访问,系统对访问主体和受控对象实行强制访问控制控制n系统事先给访问主体和受控对象分配不同的安全级别属性系统事先给访问主体和受控对象分配不同的安全级别属性n在实施访问控制时,系统先对在实施访问控制时,系统先对访问主体和受控对象的安全级别属性进行比较,再,再决定访问主体能否访问该受控对象。决定访问主体能否访问该
14、受控对象。2023/2/1019uMAC对访问主体和受控对象标识两个安全标对访问主体和受控对象标识两个安全标记:记:u一个是具有偏序关系的安全等级标记u一个是非等级分类标记。u主体和客体在分属不同的安全类别时,用主体和客体在分属不同的安全类别时,用SC表示它们构成的一个偏序关系,表示它们构成的一个偏序关系,比如:TS绝密级比密级S高,当n主体主体S的安全类别为的安全类别为TSn 客体客体O的安全类别为的安全类别为S时时n用偏序关系可以表述为用偏序关系可以表述为SC(S)SC(O)。强制访问控制模型强制访问控制模型2023/2/1020主体对客体的访问主体对客体的访问n根据偏序关系,主体对客体的
15、访问主要有,主体对客体的访问主要有4种方式种方式:n(1)向下读(rd,read down)n主体安全级别高于客体信息资源的安全级别时允许查阅的读操作;主体安全级别高于客体信息资源的安全级别时允许查阅的读操作;n(2)向上读(ru,read up)n主体安全级别低于客体信息资源的安全级别时允许的读操作;主体安全级别低于客体信息资源的安全级别时允许的读操作;n(3)向下写(wd,write down)n主体安全级别高于客体信息资源的安全级别时允许执行的动作或是写主体安全级别高于客体信息资源的安全级别时允许执行的动作或是写操作;操作;n(4)向上写(wu,write up)n主体安全级别低于客体信
16、息资源的安全级别时允许执行的动作或是写主体安全级别低于客体信息资源的安全级别时允许执行的动作或是写操作。操作。2023/2/1021MAC和和DACuMAC模型和模型和DAC模型属于模型属于传统的访问控制模型。uMAC和和DAC在实现上在实现上通常通常为每个用户赋予对客体的访问权限规则集用户自主地把自己所拥有的客体的访问权限授予其它用户用户自主地把自己所拥有的客体的访问权限授予其它用户u缺点:缺点:n系统管理员的工作将变得非常繁重,n容易发生错误、安全漏洞。u引入新的机制加以解决,即引入新的机制加以解决,即基于角色的访问控制模型。2023/2/10226.1.3 基于角色的访问控制模型基于角色
17、的访问控制模型u角色(角色(Role):一个可以):一个可以完成一定事务的命名组,不同的,不同的角色通过不同的事务来执行各自的功能。角色通过不同的事务来执行各自的功能。u事务(事务(Transaction):一个):一个完成一定功能的过程,可以,可以是一个程序或程序的一部分。是一个程序或程序的一部分。u角色是代表具有角色是代表具有某种能力的人或是的人或是某些属性的人的一类抽的人的一类抽象象2023/2/1023u角色和组的主要区别在于:角色和组的主要区别在于:用户属于组是相对固定的。用户能被指派到哪些角色则受时间、地点、事件等诸多因素影响。角色比组的抽象级别要高。基于角色的访问控制模型基于角色
18、的访问控制模型2023/2/1024基于角色的访问控制模型基于角色的访问控制模型RBACu基于角色的访问控制模型基于角色的访问控制模型(Role-based Access Model,RBAC Model)的的基本思想:u将访问许可权分配给一定的角色,用户通过将访问许可权分配给一定的角色,用户通过饰演不同的角色获得获得角色所拥有的访问许可权。角色所拥有的访问许可权。u访问控制应该访问控制应该基于员工的职务,而不是基于员工在哪个组或谁是信息的所有者u即访问控制是由各个用户在部门中即访问控制是由各个用户在部门中所担任的角色来确定的,例如,的,例如,一个学校可以有教工、老师、学生和其他管理人员等角色
19、。一个学校可以有教工、老师、学生和其他管理人员等角色。2023/2/1025uRBACu从从控制主体的角度控制主体的角度出发出发u根据管理中根据管理中相对稳定的职权和责任来划分角色相对稳定的职权和责任来划分角色,将访问权限,将访问权限与角色相联系与角色相联系u这点与传统的这点与传统的MAC和和DAC将权限将权限直接授予用户直接授予用户的方式不同;的方式不同;u通过通过给用户分配合适的角色,让用户与访问权限相联,让用户与访问权限相联系。系。基于角色的访问控制模型基于角色的访问控制模型RBAC2023/2/1026基于角色的访问控制模型基于角色的访问控制模型n角色可以看作是一组操作的集合 n假设:
20、nTch 1,Tch 2,Tch 3,Tchi 教师nStud 1,Stud 2,Stud3,Stud j学生nMng 1,Mng 2,Mng 3,Mng k教务处管理人员n对应的权限n老师的权限为Tch MN=查询成绩、上传所教课程的成绩;n学生的权限为Stud MN=查询成绩、反映意见;n教务管理人员的权限为Mng MN=查询、修改成绩、打印成绩清单。n执行的操作与其所扮演的角色的职能相匹配,不同的用户根据其职执行的操作与其所扮演的角色的职能相匹配,不同的用户根据其职能和责任被赋予相应的角色。能和责任被赋予相应的角色。2023/2/1027基于角色的访问控制模型基于角色的访问控制模型u系统
21、管理员负责系统管理员负责授予用户各种角色的成员资格或用户各种角色的成员资格或撤消某某用户具有的某个角色。用户具有的某个角色。n例如学校新教师例如学校新教师Tch x,只需将,只需将Tch x添加到教师这一角色的成添加到教师这一角色的成员中,员中,无需对访问控制列表做改动。n同一个用户可扮演多种角色,比如可以是老师,同时也可以作同一个用户可扮演多种角色,比如可以是老师,同时也可以作为进修的学生。为进修的学生。uRBAC提供了一种描述用户和权限之间的提供了一种描述用户和权限之间的多对多关系;关系;2023/2/1028基于角色的访问控制模型基于角色的访问控制模型uRBAC简化了权限设置的管理,是简
22、化了权限设置的管理,是实施面向企业的安全策略的一种有的一种有效的访问控制方式效的访问控制方式u具有灵活性、方便性和安全性的特点具有灵活性、方便性和安全性的特点u目前在大型数据库系统的权限管理中得到普遍应用。目前在大型数据库系统的权限管理中得到普遍应用。uRBAC与DAC的区别:u用户不能自主地将访问权限授给别的用户所在。用户不能自主地将访问权限授给别的用户所在。u用户与客体无直接联系,桥梁是角色,只有系统管理员有权定义和分配角色。用户与客体无直接联系,桥梁是角色,只有系统管理员有权定义和分配角色。uRBAC与MAC的区别在于:uMAC是基于多级安全需求的,而是基于多级安全需求的,而RBAC则不
23、是。则不是。2023/2/10296.2 访问控制策略访问控制策略 n6.2.1安全策略安全策略n6.2.2基于身份的安全策略基于身份的安全策略n6.2.3基于规则的安全策略基于规则的安全策略2023/2/10316.2.1 安全策略安全策略n安全策略建立的需要和目的n安全的领域非常广泛繁杂,构建一个可以抵御风险的安全框架涉及很安全的领域非常广泛繁杂,构建一个可以抵御风险的安全框架涉及很多细节。多细节。如果能够提供一种恰当的、符合安全需求的整体思路,也更,也更加有明确的前进方向。加有明确的前进方向。n恰当的安全策略关注的恰当的安全策略关注的核心集中到集中到最高决策层认为必须注意的方面。认为必须
24、注意的方面。n一种安全策略实质上表明:一种安全策略实质上表明:必须明确在安全领域的范围内,什么操作是明确允许的,什么操作是一般默认允许的,什么操作是明确不允许的,什么操作是默认不允许的。不要求安全策略作出具体的措施规定以及何种方式但应该向安全构架的实际搭造者们指出在当前的前提下,什么因素和风险才是最重要的。2023/2/1032 安全策略的实施原则安全策略的实施原则 n围绕围绕主体、客体和安全控制规则集三者之间的关系展开的。三者之间的关系展开的。n 最小特权原则:最小特权原则是指主体执行操作时,按照主体最小特权原则是指主体执行操作时,按照主体所需权利的最小化的最小化原则分配给主体权力。原则分配
25、给主体权力。l优点:是最大限度地限制了主体实施授权行为,可以避免来自突发事件、错误和未授权用主体的危险。n 最小泄漏原则:最小泄漏原则是指主体执行任务时,按照主体所需要知道的信息最小泄漏原则是指主体执行任务时,按照主体所需要知道的信息最小化的原则分配给主体权力最小化的原则分配给主体权力。n 多级安全策略:多级安全策略是指主体和客体间的数据流向和权限控制按照安全多级安全策略是指主体和客体间的数据流向和权限控制按照安全级别的绝密(级别的绝密(TS)、秘密()、秘密(S)、机密()、机密(C)、限制()、限制(RS)和无级别()和无级别(U)5级来划分。级来划分。l优点:避免敏感信息的扩散,只有安全
26、级别比他高的主体才能够访问。2023/2/1033安全策略的具体含义和实现安全策略的具体含义和实现 n安全策略的前提是具有一般性和普遍性是具有一般性和普遍性n安全策略的最主要的问题:n如何能使如何能使安全策略的这种普遍性和和所要分析的实际问题的特殊性相结合。相结合。控制策略的制定是一个按照安全需求、依照实例不断精确细不断精确细化的求解化的求解过程。设计者要考虑到实际应用的前瞻性前瞻性,有时候并不知道这些具体的需求与细节是什么;为了能够描述和了解这些细节,就需要在安全策略的指导下,对安全涉及到的领域和相关做细致的考查和研究。2023/2/1034l1989年年12月国际标准化组织(月国际标准化组
27、织(ISO)颁布了该标准的第二部分,即)颁布了该标准的第二部分,即ISO 7498-2,并,并首次确定了开放系统互连(OSI)参考模型的信息安全体系结构。l按照按照ISO 7498-2中中OSI安全体系结构中的定义,访问控制的安全策略有以安全体系结构中的定义,访问控制的安全策略有以下两种实现方式:下两种实现方式:l基于身份的安全策略,等同于DAC安全策略l基于规则的安全策略,等同于MAC安全策略。2023/2/10356.2.2 基于身份的安全策略基于身份的安全策略 n基于身份的安全策略基于身份的安全策略(Identification-based Access Control Policies
28、,IDBACP)的目的是过的目的是过滤对数据或资源的访问,滤对数据或资源的访问,只有能通过认证的那些主体才有可能正常使用客体的的那些主体才有可能正常使用客体的资源。资源。n基于身份的策略包括基于身份的策略包括n基于个人的策略n基于组的策略。2023/2/1036基于个人的策略基于个人的策略 n基于个人的策略:是指基于个人的策略:是指以用户为中心建立的一种策略,这种策略由一些列表来组成,建立的一种策略,这种策略由一些列表来组成,这些列表限定了针对特定的客体,哪些用户可以实现何种策操作行为。这些列表限定了针对特定的客体,哪些用户可以实现何种策操作行为。n n n对文件对文件2而言,授权用户而言,授
29、权用户B有只读的权利,授权用户有只读的权利,授权用户A则被允许读和写;对授权用户则被允许读和写;对授权用户N而而言,具有对文件言,具有对文件1、2和文件和文件N的读写权利。的读写权利。2023/2/1037基于组的策略基于组的策略 u基于组的策略是基于个人的策略的扩充,指基于组的策略是基于个人的策略的扩充,指一些用户被允许使用同样的访问控制规则被允许使用同样的访问控制规则访问同样的客体。访问同样的客体。u基于身份的安全策略有两种基本的实现方法:能力表和访问控制列表。:能力表和访问控制列表。2023/2/10386.2.3基于规则的安全策略基于规则的安全策略u基于规则的安全策略中,授权依赖于基于
30、规则的安全策略中,授权依赖于敏感性。u在实现上,在实现上,系统比较用户的安全级别和客体资源的安全级别来判断是否允许用户可来判断是否允许用户可以以进行访问进行访问。2023/2/10396.3 访问控制的实现访问控制的实现 n6.3.1访问控制的实现机制访问控制的实现机制n6.3.2访问控制表访问控制表n6.3.3访问控制矩阵访问控制矩阵n6.3.4访问控制能力列表访问控制能力列表n6.3.5访问控制安全标签列表访问控制安全标签列表n6.3.6访问控制实现的具体类别访问控制实现的具体类别2023/2/10406.3.1 访问控制的实现机制访问控制的实现机制n实现访问控制的要求:实现访问控制的要求
31、:n保证授权用户使用的权限与其所拥有的权限对应保证授权用户使用的权限与其所拥有的权限对应n制止非授权用户的非授权行为制止非授权用户的非授权行为n保证敏感信息的交叉感染。保证敏感信息的交叉感染。n 本章本章以文件的访问控制为例做具体说明:为例做具体说明:n用户访问信息资源(文件或是数据库),可能的行为有:用户访问信息资源(文件或是数据库),可能的行为有:n读读R、写、写W和管理和管理O(own)2023/2/10416.3.2 访问控制表访问控制表n访问控制表(Access Control Lists,ACLs)是以)是以文件为中心建立的访问权限表。目前,大多数建立的访问权限表。目前,大多数PC
32、、服务器和主、服务器和主机都使用机都使用ACLs作为访问控制的实现机制。作为访问控制的实现机制。2023/2/10426.3.4 访问控制能力列表访问控制能力列表n能力:请求访问的发起者所拥有的一个:请求访问的发起者所拥有的一个有效标签(ticket),它授权标签表明的持有),它授权标签表明的持有者可以按照何种访问方式访问特定的客体。者可以按照何种访问方式访问特定的客体。n访问控制能力(访问控制能力(ACCL)表是)表是以用户为中心建立访问权限表。建立访问权限表。n nACCLs的实现与ACLs正好相反。2023/2/10436.3.3 访问控制矩阵访问控制矩阵u访问控制矩阵(访问控制矩阵(A
33、ccess Control Matrix,ACM)是通过)是通过矩阵形式表示访问控制规则和授权用户权限的方法;表示访问控制规则和授权用户权限的方法;u主体主体拥有对哪些客体的哪些访问权限;拥有对哪些客体的哪些访问权限;u客体客体有哪些主体对他可以实施访问有哪些主体对他可以实施访问u其中,特权用户或特权用户组可以修改主体的访问控制权限。其中,特权用户或特权用户组可以修改主体的访问控制权限。u缺点:如果用户和文件系统要管理的文件很多,那么控制矩阵将会成几何级数增长,这样对于增长的矩阵而言,会缺点:如果用户和文件系统要管理的文件很多,那么控制矩阵将会成几何级数增长,这样对于增长的矩阵而言,会有大量的
34、空余空间。有大量的空余空间。2023/2/10446.3.5 访问控制安全标签列表访问控制安全标签列表u安全标签:安全标签:限制和附属在主体或客体上的一组安全属性信息。u访问控制标签列表访问控制标签列表(Access Control Security Labels Lists,ACSLLs)是限定一个用户对一是限定一个用户对一个客体目标访问的安全属性集合。个客体目标访问的安全属性集合。u假设用户假设用户User A为为S,User A请求访问请求访问File 2时,时,SC,允许访问。,允许访问。u安全标签能对敏感信息加以区分,这样就可以对用户和客体资源强制执行安全策略,因,这样就可以对用户和
35、客体资源强制执行安全策略,因此,此,强制访问控制经常会用到这种实现机制。2023/2/10456.3.6 访问控制实现的具体类别访问控制实现的具体类别n访问控制的主要任务:维护网络系统安全、保证网络资源不被非法使:维护网络系统安全、保证网络资源不被非法使用和非常访问。技术实现上包括:用和非常访问。技术实现上包括:n(1)接入访问控制n(2)资源访问控制n(3)网络端口和节点的访问控制2023/2/1046接入访问控制接入访问控制n 接入访问控制为网络访问提供为网络访问提供第一层访问控制访问控制n控制控制哪些用户能够登录到服务器并获取网络资源能够登录到服务器并获取网络资源n控制准许用户入网的控制
36、准许用户入网的时间和在和在哪台工作站入网入网。n对合法用户的验证对合法用户的验证用户名和口令的认证方式的认证方式n可分为三个步骤:可分为三个步骤:n用户名的识别与验证用户名的识别与验证n用户口令的识别与验证用户口令的识别与验证n用户账号的缺省限制检查。用户账号的缺省限制检查。2023/2/1047资源访问控制资源访问控制u资源访问控制是指对资源访问控制是指对客体整体资源信息的访问控制管理。其中包括的访问控制管理。其中包括文件系统的访问控制(文件目录访问控制和系统访问控制)文件系统的访问控制(文件目录访问控制和系统访问控制)文件属性访问控制文件属性访问控制信息内容访问控制。信息内容访问控制。u文
37、件目录访问控制:文件目录访问控制:用户和用户组被赋予一定的权限,被赋予一定的权限,哪些用户和用户组可以哪些用户和用户组可以访问哪些访问哪些目录、子目录、文件和其他资源,执行目录、子目录、文件和其他资源,执行何种操作何种操作。u系统访问控制:网络系统管理员系统访问控制:网络系统管理员n应当为用户指定适当的访问权限n应设置口令锁定服务器控制台n应设定服务器登录时间限制、非法访问者检测和关闭的时间间隔n应对网络实施监控、报警等。2023/2/1048网络端口和节点的访问控制网络端口和节点的访问控制n网络中的节点和端口加密传输数据,其位置的管网络中的节点和端口加密传输数据,其位置的管理必须防止黑客理必
38、须防止黑客发动的攻击发动的攻击。2023/2/10496.4 安全级别与访问控制安全级别与访问控制 u访问控制的具体实现与访问控制的具体实现与安全的级别联系在一起的联系在一起的u安全级别有安全级别有两个含义:n一个是一个是主客体信息资源的安全类别,分为:的安全类别,分为:n 有层次的安全级别、无层次的安全级别有层次的安全级别、无层次的安全级别;n一个是一个是访问控制系统实现的安全级别,分为的安全级别,分为4级:级:D、C(C1、C2)、)、B(B1、B2、B3)和)和A2023/2/1050计算机系统的安全级别介绍计算机系统的安全级别介绍 n1.D级别级别nD级别是最低的安全级别。级别是最低的
39、安全级别。n系统的访问控制系统的访问控制没有限制,无需登陆系统就可,无需登陆系统就可以访问数据。以访问数据。n这个级别的系统包括这个级别的系统包括DOS,WINDOWS98等。等。2023/2/1051计算机系统的安全级别介绍计算机系统的安全级别介绍 n2.C级别,有两个子系统,级别,有两个子系统,C1和和C2uC1级称为级称为选择性保护级,可以实现自主安全防护,对用户和数据进行分离,可以实现自主安全防护,对用户和数据进行分离,保护或限制用户权限的传播。uC2级具有级具有访问控制环境的权力,比的权力,比C1的访问控制划分的更为详细,能够实现受控安全保护、个人账户管理、的访问控制划分的更为详细,
40、能够实现受控安全保护、个人账户管理、审计和资源隔离。这个级别的系统包括审计和资源隔离。这个级别的系统包括Unix、Linux和和Windows NT系统。系统。uC级别的安全策略主要是级别的安全策略主要是自主存取控制,可以实现,可以实现n 保护数据确保非授权用户无法访问;保护数据确保非授权用户无法访问;n 对存取权限的传播进行控制;对存取权限的传播进行控制;n 个人用户数据的安全管理。个人用户数据的安全管理。2023/2/1052计算机系统的安全级别介绍计算机系统的安全级别介绍 n3.B级别,提供级别,提供强制性安全保护和多级安全n uB级别包括级别包括B1、B2和和B3 3个级别。个级别。n
41、B级安全级别可实现级安全级别可实现自主存取控制和强制存取控制,包括:,包括:n 所有敏感标识控制下的主体和客体都所有敏感标识控制下的主体和客体都有标识;n 安全标识对普通用户是安全标识对普通用户是不可变更的;的;n 可以审计:可以审计:n任何试图违反可读输出标记的行为;任何试图违反可读输出标记的行为;n授权用户提供的无标识数据的安全级别和与之相关的动作;授权用户提供的无标识数据的安全级别和与之相关的动作;n信道和信道和I/O设备的安全级别的改变;设备的安全级别的改变;n用户身份和与相应的操作;用户身份和与相应的操作;n 维护认证数据和授权信息;n 通过控制独立地址空间来通过控制独立地址空间来维
42、护进程的隔离。2023/2/1053计算机系统的安全级别介绍计算机系统的安全级别介绍 n4.A级别,验证设计级(级别,验证设计级(Verity Design)u目前最高的安全级别;目前最高的安全级别;u安全的设计必须给出安全的设计必须给出形式化设计说明和验证;说明和验证;u需要有严格的需要有严格的数学推导过程;过程;u包含秘密信道和可信分布的分析,也就是说要保证系统的部件来源有包含秘密信道和可信分布的分析,也就是说要保证系统的部件来源有安全保证。例如对这些软件和硬件在生产、销售、运输中进行严密跟踪和严格的配置管理,例如对这些软件和硬件在生产、销售、运输中进行严密跟踪和严格的配置管理,以避免出现
43、安全隐患。以避免出现安全隐患。2023/2/10546.5 访问控制与授权访问控制与授权 n6.5.1授权行为授权行为n6.5.2信任模型信任模型n6.5.3信任管理系统信任管理系统2023/2/10556.5.1 授权行为授权行为u授权是资源的所有者或者控制者是资源的所有者或者控制者准许他人访问这种资源,这是实现访问控,这是实现访问控制的前提。制的前提。u对于简单的个体和不太复杂的群体:可以考虑基于个人和组的授权。u对于一个大型跨国集团时:如何通过正常的授权以便保证合法的用户使用公司公布的资源,而不合法的用户不能得到访问控制的权限,这是一个复杂的问题是一个复杂的问题。u授权表示的是一种授权表
44、示的是一种信任关系,需要建立一种模型对这种关系进行描述。对这种关系进行描述。u本节将阐述信任模型的建立与信任管理。本节将阐述信任模型的建立与信任管理。2023/2/10566.5.2 信任模型信任模型n概念和定义概念和定义u信任模型(Trust Model):建立和管理信任关系的框架。):建立和管理信任关系的框架。u信任关系:客体对主体是信任的:如果主体能够符合客体所假定的期望值。客体对主体是信任的:如果主体能够符合客体所假定的期望值。信任关系可以使用期望值来衡量,并用信任度表示。信任关系可以使用期望值来衡量,并用信任度表示。u信任域:主客体间建立信任关系的范畴,信任域是主客体间建立信任关系的
45、范畴,信任域是服从于一组公共策略的系统集。2023/2/1057信任模型信任模型n信任模型有信任模型有3种基本类型:种基本类型:n层次信任模型层次信任模型n网状信任模型网状信任模型n对等信任模型。对等信任模型。2023/2/1058层次信任模型层次信任模型 u建立层次信任模型的建立层次信任模型的基础是所有的信任用户都有一个是所有的信任用户都有一个可信任根。u层次信任关系是一种层次信任关系是一种链式的信任关系,比如可信任实体,比如可信任实体A1可以表示为这样一个信任链:(可以表示为这样一个信任链:(R,C1,A1),),A1向上回溯到产生他的信任根向上回溯到产生他的信任根R。u双向信任的模型,A
46、i和和Bj都基于可信任根都基于可信任根R,容易建立信任关系的很容易,容易建立信任关系的很容易u根节点根节点R作为信任的起点,也就是信任源,又称为信任锚。信任源负责下属的信任管理,下属再负责下面一层作为信任的起点,也就是信任源,又称为信任锚。信任源负责下属的信任管理,下属再负责下面一层的信任管理,这种的信任管理,这种管理方向是不可逆的。的。2023/2/1059层次信任模型层次信任模型u优点:结构简单,管理方面,易于实现。:结构简单,管理方面,易于实现。u缺点:u是是Ai和和Xk的信任通过根实现,信任根出现问题,那么的信任通过根实现,信任根出现问题,那么信任的整个链路就被破坏了。信任的整个链路就
47、被破坏了。u现实世界中,往往建立一个统一信任的根是困难的。现实世界中,往往建立一个统一信任的根是困难的。对于不在一个信任域中的两个实体如何来建立信任关对于不在一个信任域中的两个实体如何来建立信任关系?系?层次模型的适用范围:层次信任模型适用于孤立的、层状的企业孤立的、层状的企业,对于有组织边界交叉的企业,要应用这种模型是很困难的。2023/2/1060对等信任模型对等信任模型u对等信任模型:对等信任模型:两个或两个以上对等的信任域间建立的信任关系。对等信任关系相对灵活,可解决任意已。对等信任关系相对灵活,可解决任意已经建立信任关系的两个信任模型之间的交互信任。经建立信任关系的两个信任模型之间的
48、交互信任。A1和X1的信任关系要通过对等信任域对等信任域R1和和R2的相互认证的相互认证才能实现,因此这种信任关系在PKI领域中又叫做交叉认证交叉认证。两个实体间是对等的关系,既是被验证的主体,又是进行验证的客体。2023/2/1061网状信任模型网状信任模型n网状信任模型是对等信任模型的扩充。因为网状信任模型是对等信任模型的扩充。因为没有必要在任意两个对等的信任域建立交叉认证,完全可以通过建立一个,完全可以通过建立一个网络拓扑结构的信任模型来实现。的信任模型来实现。nR1,R2R11是不同的信任域,之间的信任关系用实线箭头表示。是不同的信任域,之间的信任关系用实线箭头表示。nR1和和R5信任
49、域下的主体信任域下的主体A和和B 间可以建立的信任链共有间可以建立的信任链共有3条。条。2023/2/10626.5.3 信任管理系统信任管理系统u阐述信任模型很容易产生一个问题,这就是在实际中阐述信任模型很容易产生一个问题,这就是在实际中是是由谁在管理信任?如果我们就是信任中的主体,我?如果我们就是信任中的主体,我们凭什么信任他们?这就是信任管理需要解决的问题。们凭什么信任他们?这就是信任管理需要解决的问题。u信任管理包含了两个方面,信任管理包含了两个方面,u一个是一个是对于信任链的维护与管理对于信任链的维护与管理u二个是二个是对信任域间信任关系的管理与维护对信任域间信任关系的管理与维护。u
50、信任域的管理通常由认证机构来负责。信任域的管理通常由认证机构来负责。2023/2/10636.6 PKI与与PMI的关系的关系n6.6.1 授权管理授权管理n6.6.2 属性证书属性证书n6.6.3 PMI结构模型结构模型2023/2/10646.6.1 授权管理授权管理 uPMI即是即是特权管理基础设施,PMI授权技术主要解决授权技术主要解决有效授权问题。uPMI授权技术提供:授权技术提供:n在分布式计算环境中的在分布式计算环境中的访问控制功能n将访问控制机制从具体应用系统中将访问控制机制从具体应用系统中分离出来,使得访出来,使得访问控制机制和应用系统之间能灵活而方便的结合。问控制机制和应用