《访问控制技术-信息安全概论与复习提纲课件.ppt》由会员分享,可在线阅读,更多相关《访问控制技术-信息安全概论与复习提纲课件.ppt(66页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、访问控制技术访问控制技术访问控制技术访问控制技术 1 访问控制的模型 2 访问控制策略 3 访问控制的实现 4 安全级别与访问控制 5 访问控制与授权 6 访问控制与审计访问控制技术访问控制技术 国际标准化组织(ISO)在网络安全标准ISO7498-2中定义了5种层次型安全服务,即:身份认证服务、访问控制服务、数据保密服务、数据完整性服务和不可否认服务,因此,访问控制是信息安全的一个重要组成部分。信息安全的目的是为了保护在信息系统中存储和处理的信息的安全,自20世纪70年代起,Denning、Bell、Lapadula和Biba等人对信息安全模型进行了大量的基础研究,特别是可信计算机评估标准T
2、CSEC问世以后,系统安全模型得到了广泛研究,并在各种系统中实现了多种安全模型。访问控制访问控制 访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制包括三个要素,即:主主体、客体和控制策略体、客体和控制策略。客体(客体(Object)客体客体:是接受其他实体访问的被动实体,简记为O。客体的概念也很广泛,凡是可以被操作的信息、资源、对象都可以认为是客体。在信息社会中,客体可以是信息、文件、记录等的集合体,也可以是网路上的硬件设施,无线通信中的终端,甚至一个客体可以包含另外一个客体。控制策略控制策略 控制策略控制策略:是主体对客体的操作行为集和约束条件集,简记为
3、KS。简单讲,控制策略是主体对客体的访问规则集,这个规则集直接定义了主体对可以的作用行为和客体对主体的条件约束。访问策略体现了一种授权行为,也就是客体对主体的权限允许,这种允许不超越规则集。三个要素之间的行为关系三个要素之间的行为关系 访问控制系统三个要素之间的行为关系,可以使用三元组(S,O,P)来表示,其中S表示主体,O表示客体,P表示许可。当主体S提出一系列正常的请求信息I1,In,通过信息系统的入口到达控制规则集KS监视的监控器,由KS判断是否允许或拒绝这次请求,因此这种情况下,必须先要确认是合法的主体,而不是假冒的欺骗者,也就是对主体进行认证。主体通过验证,才能访问客体,但并不保证其
4、有权限可以对客体进行操作。客体对主体的具体约束由访问控制表来控制实现,对主体的验证一般会鉴别用户的标识和用户密码。访问控制内容访问控制内容 访问控制的实现首先要考虑对合法用户进行验证,然后是对控制策略的选用与管理,最后要对非法用户或是越权操作进行管理。所以,访问控制包括认证、控制策略实现和审计3方面的内容:(1)认证认证:主体对客体的识别认证和客体对主体检验认证。主体和客体的认证关系是相互的,当一个主体受到另外一个客体的访问时,这个主体也就变成了客体。一个实体可以在某一时刻是主体,而在另一时刻是客体,这取决于当前实体的功能是动作的执行者还是动作的被执行者。(2)控制策略的具体实现控制策略的具体
5、实现:体现在如何设定规则集合,从而确保正常用户对信息资源的合法使用,既要防止非法用户,也要考虑敏感资源的泄漏,对于合法用户而言,也不能越权行使控制策略所赋予其权利以外的功能。(3)审计审计:审计的重要意义在于,比如客体的管理者即管理员有操作赋予权,他有可能滥用这一权利,这是无法在策略中加以约束的。必须对这些行为进行记录,从而达到威慑和保证访问控制正常实现的目的。1 访问控制的模型访问控制的模型 1.1自主访问控制模型(DAC Model)1.2强制访问控制模型(MAC Model)-Lattice模型,模型,Bell-LaPadula模型和模型和Biba模型。模型。1.3基于角色的访问控制模型
6、(RBAC Model)1.4基于任务的访问控制模型(TBAC Model)1.5基于对象的访问控制模型(OBAC Model)1.6信息流模型 1.1 自主访问控制模型(自主访问控制模型(DAC Model)u自主访问控制模型(Discretionary Access Control Model,DAC Model)是根据自主访问控制策略建立的一种模型,允许合法用户以用户或用户组的身份访问策略规定的客体,同时阻止非授权用户访问客体,某些用户还可以自主地把自己所拥有的客体的访问权限授予其它用户。自主访问控制又称为任意访问控制。Linux,Unix、Windows NT或是Server版本的操作
7、系统都提供自主访问控制的功能。在实现上,首先要对用户的身份进行鉴别,然后就可以按照访问控制列表所赋予用户的权限,允许和限制用户使用客体的资源。主体控制权限的修改通常由特权用户(管理员)或是特权用户组实现。u任意访问控制对用户提供的这种灵活的数据访问方式,使得DAC广泛应用在商业和工业环境中;由于用户可以任意传递权限,那么,没有访问某一文件权限的用户A就能够从有访问权限的用户B那里得到访问权限或是直接获得该文件;因此,DAC模型提供的安全防护还是相对比较低的,不能给系统提供充分的数据保护。u自主访问控制模型的特点是授权的实施主体(可以授权的主体、管理授权的客体、授权组)自主负责赋予和回收其他主体
8、对客体资源的访问权限。DAC模型一般采用访问控制矩阵和访问控制列表来存放不同主体的访问控制信息,从而达到对主体访问权限的限制目的。主体对客体的访问主体对客体的访问根据偏序关系,主体对客体的访问主要有4种方式:(1)向下读(向下读(rd,read down)主体安全级别高于客体信息资源的安全级别时允许查阅的读操作;(2)向上读(向上读(ru,read up)主体安全级别低于客体信息资源的安全级别时允许的读操作;(3)向下写(向下写(wd,write down)主体安全级别高于客体信息资源的安全级别时允许执行的动作或是写操作;(4)向上写(向上写(wu,write up)主体安全级别低于客体信息资
9、源的安全级别时允许执行的动作或是写操作。MAC模型中的几种主要模型模型中的几种主要模型 几种主要模型:Lattice模型,模型,Bell-LaPadula模型和模型和Biba模型。模型。由于MAC通过分级的安全标签实现了信息的单向流通,因此它一直被军方采用,其中最著名的是Bell-LaPadula模型和Biba模型:Bell-LaPadula模型具有只允许向下读、向上写的特点,可以有效地防止机密信息向下级泄露;Biba模型则具有不允许向下读、向上写的特点,可以有效地保护数据的完整性。(2).Bell-LaPadula模型模型 Lattice模型没有考虑特洛伊木马等不安全因素的潜在威胁,这样,低
10、级安全用户有可能复制和拷贝比较敏感的信息。在军方术语中,特洛伊木马的最大作用是降低整个系统的安全级别。考虑到这种攻击行为,Bell和LaPadula设计了一种模型抵抗这种攻击,称为Bell-LaPadula模型。Bell-LaPadula模型可以有效防止低级用户和进程访问安全级别比他们高的信息资源,此外,安全级别高的用户和进程也不能向比他安全级别低的用户和进程写入数据。上述Bell-LaPadula模型建立的访问控制原则可以用以下两点简单表示:无向上读;无向下写。显然BLP模型只能“向下读、向上写”的规则忽略了完整性的重要安全指标,使非法、越权篡改成为可能。(3)Biba模型模型 Biba模型
11、(Biba,1977)在研究BLP模型的特性时发现,BLP模型只解决了信息的保密问题,其在完整性定义存在方面有一定缺陷。Biba模型的两个主要特征是 禁止向上禁止向上“写写”,保证了完整性级别高的文件不会被完整性低的,保证了完整性级别高的文件不会被完整性低的文件或完整性低的进程中的信息所覆盖。文件或完整性低的进程中的信息所覆盖。Biba模型没有下模型没有下“读读”。Biba模型是和BLP模型相对立的模型,Biba模型改正了被BLP模型所忽略的信息完整性问题,但在一定程度上却忽视了保密性。MAC访问控制模型和DAC访问控制模型属于传统的访问控制模型,对这两种模型研究的也比较充分。在实现上,MAC
12、和DAC通常为每个用户赋予对客体的访问权限规则集,考虑到管理的方便,在这一过程中还经常将具有相同职能的用户聚为组,然后再为每个组分配许可权。用户自主地把自己所拥有的客体的访问权限授予其它用户的这种做法,其优点是显而易见的,但是如果企业的组织结构或是系统的安全需求处于变化的过程中时,那么就需要进行大量繁琐的授权变动,系统管理员的工作将变得非常繁重,更主要的是容易发生错误造成一些意想不到的安全漏洞。考虑到上述因素,引入新的机制加以解决,即基于角色的访问控制模型。1.3 基于角色的访问控制模型基于角色的访问控制模型u角色(Role)是指一个可以完成一定事务的命名组,不同的角色通过不同的事务来执行各自
13、的功能。u事务(Transaction)是指一个完成一定功能的过程,可以是一个程序或程序的一部分。u角色和组的主要区别在于:用户属于组是相对固定的,而用户能被指派到哪些角色则受时间、地点、事件等诸多因素影响。基于角色的访问控制模型基于角色的访问控制模型u基于角色的访问控制模型(Role-based Access Model,RBAC Model)的基本思想是将访问许可权分配给一定的角色,用户通过饰演不同的角色获得角色所拥有的访问许可权。u这是因为在很多实际应用中,用户并不是可以访问的客体信息资源的所有者(这些信息属于企业或公司),访问控制应该基于员工的职务而不是基于员工在哪个组或谁是信息的所有
14、者,即访问控制是由各个用户在部门中所担任的角色来确定的,例如,一个学校可以有教工、老师、学生和其他管理人员等角色。uRBAC从控制主体的角度出发,根据管理中相对稳定的职权和责任来划分角色,将访问权限与角色相联系,这点与传统的MAC和DAC将权限直接授予用户的方式不同;通过给用户分配合适的角色,让用户与访问权限相联系。角色成为访问控制中访问主体和受控对象之间的一座桥梁。基于角色的访问控制模型基于角色的访问控制模型 在该例中,系统管理员负责授予用户各种角色的成员资格或撤消某用户具有的某个角色。例如学校新进一名教师Tch x,那么系统管理员只需将Tch x添加到教师这一角色的成员中即可,而无需对访问
15、控制列表做改动。同一个用户可以是多个角色的成员,即同一个用户可以扮演多种角色,比如一个用户可以是老师,同时也可以作为进修的学生。同样,一个角色可以拥有多个用户成员。一个人可以在同一部门中担任多种职务,而且担任相同职务的可能不止一人。因此RBAC提供了一种描述用户和权限之间的多对多关系,角色可以划分成不同的等级,通过角色等级关系来反映一个组织的职权和责任关系,这种关系通过继承行为形成了一个偏序关系,比如Mng MNTch MNStud MN。RBAC中通常定义不同的约束规则来对模型中的各种关系进行限制,最基本的约束是“相互排斥”约束和“基本限制”约束,分别规定了模型中的互斥角色和一个角色可被分配
16、的最大用户数。基于角色的访问控制模型基于角色的访问控制模型uRBAC是实施面向企业的安全策略的一种有效的访问控制方式,它具有灵活性、方便性和安全性的特点,很好地解决了企业管理信息系统中用户数量多、变动频繁的问题。u目前在大型数据库系统的权限管理中得到普遍应用。角色由系统管理员定义,角色成员的增减也只能由系统管理员来执行,即只有系统管理员有权定义和分配角色。u用户与客体无直接联系,他只有通过角色才享有该角色所对应的权限,从而访问相应的客体。因此用户不能自主地将访问权限授给别的用户,这是RBAC与DAC的根本区别所在。RBAC与MAC的区别在于:MAC是基于多级安全需求的,而RBAC则不是。TBA
17、C模型组成(模型组成(1/3)u任务(Task)是工作流程中的一个逻辑单元,是一个可区分的动作,与多个用户相关,也可能包括几个子任务。u授权结构体(Authorization Unit)是由一个或多个授权步组成的结构体,它们在逻辑上是联系在一起的。u授权步(Authorization Step)是指在一个工作流程中对处理对象的一次处理过程。授权步是访问控制所能控制的最小单元,由受托人集(Trustee Set)和多个许可集(Permissions Set)组成。u受托人集是可被授予执行授权步的用户的集合。u许可集则是受托人集的成员被授予授权步时拥有的访问许可。u授权步之间或授权结构体之间的相互
18、关系称为依赖(Dependency),依赖反映了基于任务的访问控制的原则。授权步的状态变化一般自我管理,依据执行的条件而自动变迁状态,但有时也可以由管理员进行调配。TBAC模型组成(模型组成(2/3)一个工作流的业务流程由多个任务构成。而一个任务对应于一个授权结构体,每个授权结构体由特定的授权步组成。授权结构体之间以及授权步之间通过依赖关系联系在一起。1.5 基于对象的访问控制模型基于对象的访问控制模型 DAC或MAC模型的主要任务都是对系统中的访问主体和受控对象进行一维的权限管理,当用户数量多、处理的信息数据量巨大时,用户权限的管理任务将变得十分繁重,并且用户权限难以维护,这就降低了系统的安
19、全性和可靠性。对于海量的数据和差异较大的数据类型,需要用专门的系统和专门的人员加以处理,要是采用RBAC模型的话,安全管理员除了维护用户和角色的关联关系外,还需要将庞大的信息资源访问权限赋予有限个角色。当信息资源的种类增加或减少时,安全管理员必须更新所有角色的访问权限设置,这样的访问控制需求变化往往是不可预知的,造成访问控制管理的难度和工作量巨大。在这种情况下,有必要引入基于受控对象的访问控制模型(Object-based Access Control Model,OBAC Model)。基于对象的访问控制模型(续)基于对象的访问控制模型(续)在OBAC模型中,将访问控制列表与受控对象或受控对
20、象的属性相关联,并将访问控制选项设计成为用户、组或角色及其对应权限的集合;同时允许对策略和规则进行重用、继承和派生操作。这样,不仅可以对受控对象本身进行访问控制,受控对象的属性也可以进行访问控制,而且派生对象可以继承父对象的访问控制设置,这对于信息量巨大、信息内容更新变化频繁的管理信息系统非常有益,可以减轻由于信息资源的派生、演化和重组等带来的分配、设定角色权限等的工作量。OBAC从信息系统的数据差异变化和用户需求出发,有效地解决了信息数据量大、数据种类繁多、数据更新变化频繁的大型管理信息系统的安全管理。OBAC从受控对象的角度出发,将访问主体的访问权限直接与受控对象相关联,一方面定义对象的访
21、问控制列表,增、删、修改访问控制项易于操作,另一方面,当受控对象的属性发生改变,或者受控对象发生继承和派生行为时,无须更新访问主体的权限,只需要修改受控对象的相应访问控制项即可,从而减少了访问主体的权限管理,降低了授权数据管理的复杂性。1.6 信息流模型信息流模型 信息流模型主要着眼于对客体之间的信息传输过程的控制,通过对信息流向的分析可以发现系统中存在的隐蔽通道,并设法予以堵塞。信息流是信息根据某种因果关系的流动,信息流总是从旧状态的变量流向新状态的变量。信息流模型的出发点是彻底切断系统中信息流的隐蔽通道,防止对信息的窃取。隐蔽通道就是指系统中非正常使用的、不受强制访问控制正规保护的通信方式
22、。隐蔽通道的存在显然危及系统敏感信息的保护。信息流模型是一种基于事件或踪迹的模型,其焦点是系统用户可见的行为。现有的信息流模型无法直接指出哪种内部信息流是被允许的,哪种是不被允许的,因此在实际系统中的实现和验证中没有太多的帮助和指导。2 安全策略安全策略 安全的领域非常广泛繁杂,构建一个可以抵御风险的安全框架涉及很多细节。就算是最简单的安全需求,也可能会涉及到密码学、代码重用等实际问题。做一个相当完备的安全分析不得不需要专业人员给出许许多多不同的专业细节和计算环境,这通常会使专业的框架师也望而生畏。如果能够提供一种恰当的、符合安全需求的整体思路,就会使这个问题容易的多,也更加有明确的前进方向。
23、能够提供这种帮助的就是安全策略。一种安全策略实质上表明:当设计所涉及的那个系统在进行操作时,必须明确在安全领域的范围内,什么操作是明确允许的,什么操作是一般默认允许的,什么操作是明确不允许的,什么操作是默认不允许的。不要求安全策略作出具体的措施规定以及确切说明通过何种方式能够够达到预期的结果,但是应该向安全构架的实际搭造者们指出在当前的前提下,什么因素和风险才是最重要的。建立安全策略是实现安全的最首要的工作,也是实现安全技术管理与规范的第一步。3 访问控制的实现访问控制的实现 3.1访问控制表 3.2访问控制矩阵 3.3访问控制能力列表 3.4访问控制安全标签列表 3.5访问控制实现的具体类别
24、 3.1 访问控制表访问控制表 访问控制表访问控制表(Access Control Lists,ACLs)是以文件为中心建立的访问权限表,简记为ACLs。目前,大多数PC、服务器和主机都使用ACLs作为访问控制的实现机制。访问控制表的优点在于实现简单,任何得到授权的主体都可以有一个访问表,例如授权用户A1的访问控制规则存储在文件File 1中,A1的访问规则可以由A1下面的权限表ACLs A1来确定,权限表限定了用户UserA1的访问权限。访问控制表的实现示例访问控制表的实现示例 3.2 访问控制矩阵访问控制矩阵u访问控制矩阵(Access Control Matrix,ACM)是通过矩阵形式
25、表示访问控制规则和授权用户权限的方法;也就是说,对每个主体而言,都拥有对哪些客体的哪些访问权限;而对客体而言,又有哪些主体对他可以实施访问;将这种关联关系加以阐述,就形成了控制矩阵。其中,特权用户或特权用户组可以修改主体的访问控制权限。u访问控制矩阵的实现很易于理解,但是查找和实现起来有一定的难度,而且,如果用户和文件系统要管理的文件很多,那么控制矩阵将会成几何级数增长,这样对于增长的矩阵而言,会有大量的空余空间。3.3 访问控制能力列表访问控制能力列表 能力能力是访问控制中的一个重要概念,它是指请求访问的发起者所拥有的一个有效标签(ticket),它授权标签表明的持有者可以按照何种访问方式访
26、问特定的客体。访问控制能力表(Access Control Capabilitis Lists,ACCLs)是以用户为中心建立访问权限表。例如,访问控制权限表ACCLs F1表明了授权用户User A对文件File1的访问权限,User AF表明了User A对文件系统的访问控制规则集。因此,ACCLs的实现与ACLs正好相反。定义能力的重要作用在于能力的特殊性,如果赋予哪个主体具有一种能力,事实上是说明了这个主体具有了一定对应的权限。能力的实现有两种方式,传递的和不可传递的。一些能力可以由主体传递给其他主体使用,另一些则不能。能力的传递牵扯到授权的实现。3.4 访问控制安全标签列表访问控制安
27、全标签列表u安全标签是限制和附属在主体或客体上的一组安全属性信息。安全标签的含义比能力更为广泛和严格,因为它实际上还建立了一个严格的安全等级集合。访问控制标签列表(Access Control Security Labels Lists,ACSLLs)是限定一个用户对一个客体目标访问的安全属性集合。u左侧为用户对应的安全级别,右侧为文件系统对应的安全级别。假设请求访问的用户User A的安全级别为S,那么User A请求访问文件File 2时,由于SC,所以允许访问。u安全标签能对敏感信息加以区分,这样就可以对用户和客体资源强制执行安全策略,因此,强制访问控制经常会用到这种实现机制。3.5 访
28、问控制实现的具体类别访问控制实现的具体类别 访问控制访问控制是网络安全防范和保护的重要手段,它的主要任务是维护网络系统安全、保证网络资源不被非法使用和非常访问。通常在技术实现上包括以下几部分:(1)接入访问控制(2)资源访问控制(3)网络端口和节点的访问控制接入访问控制接入访问控制 接入访问控制接入访问控制为网络访问提供了第一层访问控制,是网络访问的最先屏障,它控制哪些用户能够登录到服务器并获取网络资源,并控制准许用户入网的时间和准许他们在哪台工作站入网。例如,ISP服务商实现的就是接入服务。用户的接入访问控制是对合法用户的验证,通常使用用户名和口令的认证方式。一般可分为三个步骤:用户名的识别
29、与验证、用户口令的识别与验证和用户账号的缺省限制检查。资源访问控制资源访问控制u资源访问控制是指对客体整体资源信息的访问控制管理。其中包括文件系统的访问控制(文件目录访问控制和系统访问控制)、文件属性访问控制、信息内容访问控制。u文件目录访问控制是指用户和用户组被赋予一定的权限,在权限的规则控制许可下,哪些用户和用户组可以访问哪些目录、子目录、文件和其他资源,哪些用户可以对其中的哪些文件、目录、子目录、设备等能够执行何种操作。u系统访问控制是指一个网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问;应设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏
30、数据;应设定服务器登录时间限制、非法访问者检测和关闭的时间间隔;应对网络实施监控,记录用户对网络资源的访问,对非法的网络访问,能够用图形或文字或声音等形式报警等。u文件属性访问控制:当用文件、目录和网络设备时,应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与要访问的文件、目录和网络设备联系起来。网络端口和节点的访问控制网络端口和节点的访问控制 网络中的节点和端口往往加密传输数据,这些重要位置的管理必须防止黑客发动的攻击。对于管理和修改数据,应该要求访问者提供足以证明身份的验证器(如智能卡)。4 安全级别与访问控制安全级别与访问控制 访问控制的具体实现是与安全的级别联系在一起的,安全
31、级别有两个含义两个含义:一个是主客体信息资源的安全类别;另一个是访问控制系统实现的安全级别,这和计算机系统的安全级别是一样的,分为4级:具体为D、C(C1、C2)、B(B1、B2、B3)和A共4部分。计算机系统的安全级别介绍计算机系统的安全级别介绍(1/5)D级别 D级别是最低的安全级别,对系统提供最小的安全防护。系统的访问控制没有限制,无需登陆系统就可以访问数据,这个级别的系统包括DOS,WINDOWS98等。计算机系统的安全级别介绍计算机系统的安全级别介绍(2/5)C级别有两个子系统,C1级和C2。uC1级称为选择性保护级(Discrtionary Security Protection)
32、可以实现自主安全防护,对用户和数据进行分离,保护或限制用户权限的传播。uC2级具有访问控制环境的权力,比C1的访问控制划分的更为详细,能够实现受控安全保护、个人账户管理、审计和资源隔离。这个级别的系统包括Unix、Linux和Windows NT系统。uC级别属于自由选择性安全保护,在设计上有自我保护和审计功能,可对主体行为进行审计与约束。C级别的安全策略主要是自主存取控制,可以实现 保护数据确保非授权用户无法访问;对存取权限的传播进行控制;个人用户数据的安全管理。计算机系统的安全级别介绍计算机系统的安全级别介绍(3/5)B级别 包括B1、B2和B3 3个级别,B级别能够提供强制性安全保护和多
33、级安全。可以实现自主存取控制和强制存取控制,通常的实现包括:所有敏感标识控制下的主体和客体都有标识;安全标识对普通用户是不可变更的;可以审计:维护认证数据和授权信息;通过控制独立地址空间来维护进程的隔离。B级安全级别应该保证:在设计阶段,应该提供设计文档,源代码以及目标代码,以供分析和测试;有明确的漏洞清除和补救缺陷的措施;无论是形式化的,还是非形式化的模型都能被证明该模型可以满足安全策略的需求,监控对象在不同安全环境下的移动过程(如两进程间的数据传递)。计算机系统的安全级别介绍计算机系统的安全级别介绍(4/5)A级别 A级别称为验证设计级(Verity Design),是目前最高的安全级别,
34、在A级别中,安全的设计必须给出形式化设计说明和验证,需要有严格的数学推导过程,同时应该包含秘密信道和可信分布的分析,也就是说要保证系统的部件来源有安全保证,例如对这些软件和硬件在生产、销售、运输中进行严密跟踪和严格的配置管理,以避免出现安全隐患。5 访问控制与授权访问控制与授权 5.1授权行为 5.2信任模型 5.3信任管理系统 5.1 授权行为授权行为u授权授权是资源的所有者或者控制者准许他人访问这种资源,这是实现访问控制的前提。对于简单的个体和不太复杂的群体,可以考虑基于个人和组的授权,即便是这种实现,管理起来也有可能是困难的。当面临的对象是一个大型跨国集团时,如何通过正常的授权以便保证合
35、法的用户使用公司公布的资源,而不合法的用户不能得到访问控制的权限,这是一个复杂的问题。u授权授权是指客体授予主体一定的权力,通过这种权力,主体可以对客体执行某种行为,例如登陆,查看文件、修改数据、管理账户等。授权行为是指主体履行被客体授予权力的那些活动。因此,访问控制与授权密不可分。授权表示的是一种信任关系,需要建立一种模型对这种关系进行描述。本节将阐述信任模型的建立与信任管理。5.2 信任模型信任模型 信任模型信任模型(Trust Model)是指建立和管理信任关系的框架。信任关系信任关系是指如果主体能够符合客体所假定的期望值,那么称客体对主体是信任的。信任关系可以使用期望值来衡量,并用信任
36、度表示。主客体间建立信任关系的范畴称为信信任域任域,也就是主客体和信任关系的范畴集合,信任域是服从于一组公共策略的系统集。信任模型信任模型信任模型有3种基本类型:(1)层次信任模型层次信任模型(2)网状信任模型网状信任模型(3)对等信任模型。对等信任模型。(1)层次信任模型(层次信任模型(1/3)层次信任模型层次信任模型是实现最简单的模型,使用也最为广泛。建立层次信任模型的基础是所有的信任用户都有一个可信任根。例如通常所说的根管理员,事实上就是处于根的位置。所有的信任关系都基于根来产生。层次信任关系是一种链式的信任关系,比如可信任实体A1可以表示为这样一个信任链:(R,C1,A1),说明可以由
37、A1向上回溯到产生他的信任根R。这种链式的信任关系称为信任链。层次信任模型是一种双向信任的模型,假设Ai和Bj是要建立信任关系的双方,Ai和Bj间的信任关系很容易建立,因为他们都基于可信任根R。层次信任模型对应于层状结构,有一个根节点R作为信任的起点,也就是信任源。这种建立信任关系的起点或是依赖点称为信任锚。信任源负责下属的信任管理,下属再负责下面一层的信任管理,这种管理方向是不可逆的。这个模型的信任路径是简单的,从根节点到叶子节点的通路构成了简单唯一的信任路径。层次信任模型示意图层次信任模型示意图 层次信任模型(层次信任模型(2/3)层次信任模型的优点层次信任模型的优点在于结构简单,管理方面
38、,易于实现。缺点缺点是Ai和Xk的信任关系必须通过根来实现,而可信任根R是默认的,无法通过相互关系来验证信任。一旦信任根出现问题,那么信任的整个链路就被破坏了。现实世界中,往往建立一个统一信任的根是困难的。对于不在一个信任域中的两个实体如何来建立信任关系?这用一个统一的层次信任模型来实现时,需要在建立信任的框架中预留有未来的发展余量,而且必须强迫信任域中的各方都统一信任可信任根R。层次信任模型(层次信任模型(3/3)层次信任模型适用于孤立的、层状的企业,对于有组织边界交叉的企业,要应用这种模型是很困难的。另外,在层次信任模型的内部必须保持相同的管理策略。层次信任模型主要使用在以下3种环境:严格
39、的层次结构;分层管理的PKI商务环境;PEM(Privacy-Enhanced Mail,保密性增强邮件)环境。(2)对等信任模型对等信任模型u对等信任模型是指两个或两个以上对等的信任域间建立的信任关系。相对而言,对等信任关系灵活一些,它可以解决任意已经建立信任关系的两个信任模型之间的交互信任。不同信任域的A1和X1之间的信任关系要通过对等信任域R1和R2的相互认证才能实现,因此这种信任关系在PKI领域中又叫做交叉认证。建立交叉认证的两个实体间是对等的关系,因为它们既是被验证的主体,又是进行验证的客体。u 对等信任模型这种结构非常适合表示动态变化的信任组织结构,这样,引入一个可信任域是易于实现
40、的。但是在构建有效的认证路径时,也就是说,假定A1和Xk是建立信任的双方,那么,很难在整个信任域中确定R2是否是Xk的最适当的信任源。对等信任模型示意图对等信任模型示意图(3)网状信任模型网状信任模型 网状信任模型可以看成是对等信任模型的扩充。因为没有必要在任意两个对等的信任域建立交叉认证,完全可以通过建立一个网络拓扑结构的信任模型来实现,也就是建立信任域间的间接信任关系。假设R1,R2R11是不同的信任域,它们之间的信任关系用实线箭头表示。那么分别位于R1和R5信任域下的主体A和B 间可以建立的信任链共有3条,通过图中的虚线来表示。u建立一个恰当合理的信任网络模型比想象的要复杂的多。很难想象
41、一个安全级别低(例如C级别)的信任域和一个安全级别高(例如S级别)的信任域,在它们中间建立的信任模型是什么样子的。主客体信息的交换有时候更多的依赖于可信第三方。u另外,网络资源和时限也是一个问题,尽管A和B间有3条信任链可以实现,但总是希望耗用最少的时间,也就是说,走最短的路径,那么,怎样来计算这条路径也是一个困难的问题。u其次,跨越多个可信域根建立的漫长的非层状的信任路径被认为是不可信的,显然在这样的信任关系实现上,构造合理的信任路径和检验适当的信任锚都是巨大的挑战。因为不得不对不同的信任锚进行验证,不得不要建立一个从被信任发起方开始到信任到达者所在信任域的完整的信任路径,每一个验证者还需要
42、建立自己到信任锚的路径。5.3 信任管理系统信任管理系统u阐述信任模型很容易产生一个问题,这就是在实际中是由谁在管理信任?如果我们就是信任中的主体,我们凭什么信任他们?这就是信任管理需要解决的问题。u信任管理的产生和现状:信任管理的产生是一个漫长而复杂的过程,这和企业的发展与市场的制约有很大关系。现代企业有向大型化、集团化发展的趋势,一个企业往往包括多个职能部门,分别完成生产、管理、结算等功能,而这些职能部门又可划分为多个各司其职的更小的部门,与此同时企业内部的职能划分越来越细,独立运作能力也越来越强,可以独立和别的企业的相应或相关职能部门进行交易,所以在现实的商业运作中企业内部的多级管理,和
43、企业间的无级别贸易是并存的。这种关系必然反映在信任管理中,所以如何实现和约束正确的信任关系来访问资源和进行交易,建立相应的信任关系是重要的。目前,层次信任模型的建立和管理在一定的信任域内建立是正常的,但在信任域间的交叉认证和混和多级信任模型方面,还没有就信任管理达成一致。u信任管理包含了两个方面,一个是对于信任链的维护与管理对于信任链的维护与管理,二个是对信任域间信任关系的管理与维护对信任域间信任关系的管理与维护。用户是信任的主要参与者,因此用户有必要对信任链加以管理,也就是说应该由他自己来判断是否该相信谁和该相信什么。信任域的管理通常由认证机构来负责。6 访问控制与审计访问控制与审计 6.1
44、审计跟踪概述 6.2审计内容 6.1 审计跟踪概述审计跟踪概述u审计是对访问控制的必要补充,是访问控制的一个重要内容。审计会对用户使用何种信息资源、使用的时间、以及如何使用(执行何种操作)进行记录与监控。审计和监控是实现系统安全的最后一道防线,处于系统的最高层。审计与监控能够再现原有的进程和问题,这对于责任追查和数据恢复非常有必要。u审计跟踪是系统活动的流水记录。该记录按事件从始至终的途径,顺序检查、审查和检验每个事件的环境及活动。审计跟踪通过书面方式提供应负责任人员的活动证据以支持访问控制职能的实现(职能是指记录系统活动并可以跟踪到对这些活动应负责任人员的能力)。u审计跟踪记录系统活动和用户
45、活动。系统活动包括操作系统和应用程序进程的活动;用户活动包括用户在操作系统中和应用程序中的活动。通过借助适当的工具和规程,审计跟踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。u审计跟踪不但有助于帮助系统管理员确保系统及其资源免遭非法授权用户的侵害,同时还能提供对数据恢复的帮助。6.2 审计内容审计内容 审计跟踪可以实现多种安全相关目标,包括个人职能、事件重建、入侵检测和故障分析。(1)个人职能(Individual Accountability)审计跟踪是管理人员用来维护个人职能的技术手段。如果用户知道他们的行为活动被记录在审计日志中,相应的人员需要为自己的行为负责,他们就
46、不太会违反安全策略和绕过安全控制措施。例如审计跟踪可以记录改动前和改动后的记录,以确定是哪个操作者在什么时候做了哪些实际的改动,这可以帮助管理层确定错误到底是由用户、操作系统、应用软件还是由其它因素造成的。允许用户访问特定资源意味着用户要通过访问控制和授权实现他们的访问,被授权的访问有可能会被滥用,导致敏感信息的扩散,当无法阻止用户通过其合法身份访问资源时,审计跟踪就能发挥作用。审计跟踪可以用于检查和检测他们的活动。(2)事件重建(Reconstruction of Events)在发生故障后,审计跟踪可以用于重建事件和数据恢复。通过审查系统活动的审计跟踪可以比较容易地评估故障损失,确定故障发
47、生的时间、原因和过程。通过对审计跟踪的分析就可以重建系统和协助恢复数据文件;同时,还有可能避免下次发生此类故障的情况。(3)入侵检测(Intrusion Detection)审计跟踪记录可以用来协助入侵检测工作。如果将审计的每一笔记录都进行上下文分析,就可以实时发现或是过后预防入侵检测活动。实时入侵检测可以及时发现非法授权者对系统的非法访问,也可以探测到病毒扩散和网络攻击。(4)故障分析(Problem Analysis)审计跟踪可以用于实时审计或监控。小结小结 u访问控制访问控制是客体对主体提出的访问请求后,对这一申请、批准、允许、撤销的全过程进行的有效控制,从而确保只有符合控制策略的主体才
48、能合法访问。访问控制涉及到主体、客体和访问策略,三者之间关系的实现构成了不同的访问模型,访问控制模型是探讨访问控制实现的基础。u访问控制的主体能够访问与使用客体的信息资源的前提是主体必须获得授权,授权与访问控制密不可分。授权的几种模型是建立和分发信任的基础。u审计是访问控制的重要内容与补充审计是访问控制的重要内容与补充,审计可以对用户使用何种信息资源、使用的时间、以及如何使用进行记录与监控。审计的意义在于客体对其自身安全的监控,便于查漏补缺,追踪异常事件,从而达到威慑和追踪不法使用者的目的。u访问控制的最终目的访问控制的最终目的是通过访问控制策略显式地准许或限制主体的访问能力及范围,从而有效的限制和管理合法用户对关键资源的访问,防止和追踪非法用户的侵入以及合法用户的不慎操作等行为对权威机构所造成的破坏。