《存取访问控制.ppt》由会员分享,可在线阅读,更多相关《存取访问控制.ppt(55页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、目录4.1 访问控制概述4.2 访问控制策略4.1 访问控制概述访问控制概述1 1、基本概念、基本概念 (1 1)访问控制)访问控制 Access Control Access Control 对系统中的用户、程序、进程或计算机网络中其他系统访问本系统资源进行限制、控制的过程。主体对客体的访问受到控制,是一种加强授权的方法。是针对越权使用资源的防御措施 口令认证不能取代访问控制。原始概念原始概念 :是对进入系统的控制 (用户标识+口令/生物特性/访问卡)(2 2)访问控制机制)访问控制机制 在信息系统中,为检测和防止未授权访问,以及为使授权访问正确进行所设计的硬件或软件功能、操作规程、管理规程
2、和它们的各种组合。(3 3)授权:)授权:资源所有者对他人使用资源的许可。(4 4)资源:)资源:信息、处理器、通信设施、物理设备。访问一种资源就是从这个资源中获得信息、修改资源或利用它完成某种功能。(5 5)主体()主体(subjectsubject):):访问的发起者 发起者是试图访问某个目标的用户或者是用户行为的代理。必须控制它对客体的访问。主体通常为进程,程序或用户。(6 6)客体(目标):)客体(目标):可供访问的各种软硬件资源。(7 7)敏感标签)敏感标签 sensitivity label sensitivity label 表示客体安全级别并描述客体数据敏感性的一组信息,TCS
3、EC中把敏感标记作为强制访问控制决策的依据。2 2、阻止非授权用户访问目标的方法、阻止非授权用户访问目标的方法 (1)访问请求过滤器:当一个发起者试图访问一个目标时,审查其是否获准以请求的方式访问目标;(2)分离 防止非授权用户有机会去访问敏感的目标。这两种方法涉及:访问控制机制和访问控制策略访问控制机制和访问控制策略。3 3、访问控制策略、访问控制策略 系统中存取文件或访问信息的一整套严密安全的规则。通过不同方式建立:OS固有的 管理员或用户制定的。4 4、访问控制机构、访问控制机构 具体实施访问策略的所有功能的集合,这些功能可通过系统的软硬件实现5 5、访问控制经典模型、访问控制经典模型该
4、模型的特点:该模型的特点:(1)明确定义的主体和客体;(2)描述主体如何访问客体的一个授权数据库;(3)约束主体对客体访问尝试的参考监视器;(4)识别和验证主体和客体的可信子系统;(5)审计参考监视器活动的可信子系统。6 6、各种安全机制的关系、各种安全机制的关系自主访问控制强制访问控制基于角色访问控制访问控制8.2 访问控制策略8.2.1 访问控制策略分类8.2.2 自主访问控制策略8.2.3 强制访问控制策略8.2.4 基于角色的访问控制策略 8.2 访问控制策略8.2.1 访问控制策略分类1 1、访问控制策略可分为、访问控制策略可分为 (1)自主式策略DAC (2)强制式策略MAC (3
5、)基于角色的访问控制RBAC自主访问控制强制访问控制基于角色访问控制访问控制2、任何访问控制策略最终可被模型化为访问矩阵形式。每一行:用户 每一列:目标 矩阵元素:相应的用户对目标的访问许可。1 1、DAC(DAC(Discretionary Access Control)的基本思想的基本思想DAC是在确认主体身份及所属组的基础上,根据访问者的身份和授权来决定访问模式,对访问进行限定的一种控制策略 2 2、自主的含义、自主的含义 所谓自主,是指具有授予某种访问权力的主体(用户)能够自己决定是否将访问控制权限的某个子集授予其他的主体或从其他主体那里收回他所授予的访问权限 8.2.2 自主访问控制
6、策略DAC3 3、实现方式、实现方式 (1)基于个人的策略 隐含的缺省策略:禁止/开放 最小特权原则:最大限度地控制用户为完成授权任务所需要的许可集。(2)基于组的策略 多个用户被组织在一起并赋予一个共同的标识符。更容易、更有效。4、技术方法 (1)访问控制矩阵客体主体O1 O2 O3S14 3 0S2 2 1 4S3 1 4 2注:0代表不能进行任何访问 1代表执行,2代表读,3代表写,4代表拥有目录级、文件的访问权限目录级、文件的访问权限 对目录和文件的访问权限一般有八种:系统管理员权限(Supervisor)读权限(Read)、写权限(Write)创建权限(Create)、删除权限(Er
7、ase)修改权限(Modify)文件查找权限(File Scan)存取控制权限(Access Control)。(2)(2)访问控制列表(访问控制列表(ACLACL)每个客体各自将能对自己访问的主体信息以列表的形式保存起来,这相当于是访问控制矩阵里的各个列向量 优点:(1)没有一个中心点保存所有的访问信息,提高了执行效率;(2)通过将不同的主体划分不同的组,减少了访问信息的数量。缺点:但若对主体进行查找、增加和撤销某些访问权限时,操作上费时费力,因为此时必须遍历所有的ACL。(3 3)能力)能力 能力表示的是一个主体对一个客体的访问权力,它以主体为索引,将主体对每个客体的访问权限以列表的形式保
8、存起来,这相当于是访问控制矩阵中的各个行向量。它的优缺点与ACL的相反。5 5、DACDAC的优缺点的优缺点优点:优点:自主性提供了极大的灵活性,从而使之适合于许多系统和应用缺点:缺点:(1)权限管理易于失控 DAC的这种自主性,使得信息总是可以从一个实体流向另一个实体,即使对高度机密的信息也是如此,故若控制不严就会产生严重安全隐患 例如,用户A可以将其对客体O的访问权限传递给用户B,从而使不具备对O访问权限的B也可以访问O,这样的结果是易于产生安全漏洞,因此自主访问控制的安全级别较低。(2)权限管理复杂 由于同一用户对不同的客体有不同的存取权限,不同的用户对同一客体有不同的存取权限,用户、权
9、限、客体间的授权管理复杂 1 1、MAC(Mandatory Access Control)MAC(Mandatory Access Control)的基本思想的基本思想 依据主体和客体的安全级别安全级别来决定主体是否有对客体的访问权。最典型的例子是由Bell and LaPadula提出的BLP模型,该模型基于军事部门的安全需求为基础。2 2、安全级别安全级别 在BLP模型中,所有的主体和客体都有一个安全标签,它只能由安全管理员赋值,普通用户不能改变,这个安全标签就是安全级别。8.2.3 强制访问控制策略MAC 3 3、安全级别的意义、安全级别的意义 客体的安全级表现了客体中所含信息的敏感程
10、度 主体的安全级别则反映了主体对敏感信息的可信程度 如客体级别可分为:绝密级、机密级、秘密级、无密级如客体级别可分为:绝密级、机密级、秘密级、无密级 4 4、访问控制规则、访问控制规则 用标志主体或客体的安全标签 当主体访问客体时,需满足如下两条规则:读规则:如果主体s能够读客体o,则(s)(o)写规则:如果主体s能够写客体o,则(s)(o)主体按照主体按照“向下读,向上写向下读,向上写”的原则访问客体的原则访问客体 5 5、BLPBLP模型的优点模型的优点 (1)它使得系统中的信息流成为单向不可逆的 (2)保证了信息流总是由低安全级别的实体流向高安全级别的实体,因此避免了在自主访问控制中的敏
11、感信息泄漏的情况。(3)保证了客体的高度安全性6 6、BLPBLP模型的缺点模型的缺点 (1)限制了高安全级别用户向非敏感客体写数据的合理要求 (2)由高安全级别的主体拥有的数据永远不能被低安全级别的主体访问,降低了系统的可用性。(3)BLP模型的“向上写”的策略使得低安全级别的主体篡改敏感数据成为可能,破坏了系统的数据完整性 (4)MAC由于过于偏重保密性,对其它方面如系统连续工作能力、授权的可管理性等考虑不足,造成管理不便,灵活性差 8.2.4 8.2.4 基于角色的访问控制策略基于角色的访问控制策略RBACRBAC1 1、基本思想、基本思想 在用户和访问权限之间引入角色的概念,将用户和角
12、色联系起来,通过对角色的授权来控制用户对系统资源的访问 角色是访问权限的集合,用户通过赋予不同的角色获得角色所拥有的访问权限 2 2、RBACRBAC模型的演变模型的演变 (1)美国国家标准化和技术委员会(NIST)的Ferraiolo等人在90年代提出的 (2)RBAC96模型 美国George Mason大学信息系统和系统工程系的R.Sandhu等人在对RBAC进行深入研究的基础上,于1996年提出了一个基于角色的访问控制参考模型,对角色访问控制产生了重要影响,被称为RBAC96模型 (3)RBAC96模型包括4个不同层次 RBAC0、RBAC1、RBAC2和RBAC3 RBAC2RBAC
13、3RBAC0RBAC1 RBAC96模型间的关系1)基础模型:RBAC0 定义了支持RBAC的最小需求,如用户、角色、权限、会话等概念。2)高级模型:RBAC1和RBAC2 RBAC1在RBAC0的基础上,加入了角色继承关系,可以根据组织内部权力和责任的结构来构造角色与角色之间的层次关系;RBAC2在RBAC0的基础上,加入了各种用户与角色之间、权限与角色之间以及角色与角色之间的约束关系,如角色互斥、角色最大成员数等。RBAC1和 RBAC2之间不具有可比性。3 3)巩固模型:)巩固模型:RBAC3RBAC3 RBAC2是RBAC1和 RBAC2的集成,它不仅包括角色的层次关系,还包括约束关系
14、 3 3、基本概念、基本概念 角色、许可、用户、会话、活跃角色 (1)许可是允许对一个或多个客体执行操作。(2)角色是许可的集合。(3)会话:一次会话是用户的一个活跃进程,它代表用户与系统交互。用户与会话是一对多关系,一个用户可同时打开多个会话。(4)活跃角色集:一个会话构成一个用户到多个角色的映射,即会话激活了用户授权角色集的某个子集,这个子集称为活跃角色集。活跃角色集决定了本次会话的许可集角色与组的区别角色与组的区别 组组:用户集用户集角色角色:用户集权限集用户集权限集4 4、RBAC0(RBAC0(基础模型基础模型)包括以下几个部分:(1)若干实体集:U、R、P、S(用户集、角色集、权限
15、集、会话集)(2)PAPR(权限角色分配,是权限到角色的多对多的关系)(3)UAUR(用户角色分配,是用户到角色的多对多的关系)(4)roles(Si)r|(user(Si),r)UA 其中,user:SU,各个会话与一个用户的一个函数映射 (每个会话Si对应一个用户user(Si),在一个会话周期内不变)roles:S2R,将各个会话Si与一个角色集合的映射 该映射随时间变化可以变化 会话Si的权限为p|(p,r)PA,rroles(Si)RBAC0模型指明用户、角色、访问权限和会话之间的关系。每个角色至少具备一个权限,每个用户至少扮演一个角色;可以对两个完全不同的角色分配完全相同的访问权限
16、;会话由用户控制,一个用户可以创建会话并激活多个用户角色,从而获取相应的访问权限,用户可以在会话中更改激活角色,并且用户可以主动结束一个会话 5 5、RBAC1RBAC1模型(层次模型)模型(层次模型)(1)角色层次结构 在RBAC0的基础上增加了角色的层次结构,用RH表示。RHRR RH是角色上的一个偏序关系,称为角色层次关系(2)Roles:S2R的函数映射有变化 roles(Si)r|(rr)(user(Si),r)UA 这个会话Si具有访问权限为:p|(r”r)(p,r”)PA,rroles(Si)该模型中用户可以为他具有的角色或其下级角色建立一个会话,其获取的访问权限包括在该会话中激
17、活角色所具有的访问权限以及下级角色所具有的访问权限。如果在角色继承时限制继承的范围,则可建立私有角色及其私有子层次 6 6、RBAC2RBAC2模型(约束模型)模型(约束模型)RBAC2模型在RBAC0基础上增加了约束机制。约束条件指向UA、PA和会话中的user、roles等函数,约束一般有返回值“接受”或“拒绝”,只有拥有有效值的元素才可被接受 (1 1)互斥角色)互斥角色 同一用户只能分配到一组互斥角色集合中至多一个角色,支持职责分离的原则。(2 2)基数约束基数约束 一个角色被分配的用户数量受限;一个用户可拥有的角色数目受限;同样一个角色对应的访问权限数目也应受限,以控制高级权限在系统
18、中的分配(3 3)先决条件角色)先决条件角色 可以分配角色给用户仅当该用户已经是另一角色的成员;可以分配访问权限给角色,仅当该角色已经拥有另一种访问权限。(4 4)运行时互斥)运行时互斥 例如,允许一个用户具有两个角色的成员资格,但在运行中不可同时激活这两个角色 7 7、RBAC3RBAC3 RBAC96模型结构U用户R角色P权限S1S2S3:Sn用户角色分配角色权限分配会话约束角色层次用户角色 8 8、RBACRBAC的优点的优点 (1)降低了权限管理的复杂程度 RABC这种分层的优点是当主体发生变化时,只需修改主体与角色之间的关联而不必修改角色与客体的关联。RBAC中许可被授权给角色,角色
19、被授权给用户,用户不直接与许可关联。RBAC对访问权限的授权由管理员统一管理,而且授权规定是强加给用户的,这是一种强制式访问控制方式。(2 2)RBACRBAC能够描述复杂的安全策略能够描述复杂的安全策略 通过角色定义、分配和设置适应安全策略 系统管理员定义系统中的各种角色,每种角色可以完成一定的职能;不同的用户根据其职能和责任被赋予相应的角色,一旦某个用户成为某角色的成员,则此用户可以完成该角色所具有的职能。(3 3)易于使用)易于使用 1)根据岗位定角色 根据组织的安全策略,特定的岗位定义为特定的角色、特定的角色授权给特定的用户。例如可以定义某些角色接近DAC,某些角色接近MAC。2)根据
20、需要定角色 系统管理员也可以根据需要设置角色的可用性以适应某一阶段企业的安全策略 例如设置所有角色在所有时间内可用、特定角色在特定时间内可用、用户授权角色的子集在特定时间内可用。3)通过角色分层映射组织结构 组织结构中通常存在一种上、下级关系,上一级拥有下一级的全部权限,为此,RBAC引入了角色分层的概念。角色分层把角色组织起来,能够很自然地反映组织内部人员之间的职权、责任关系。层次之间存在高对低的继承关系,即父角色可以继承子角色的许可。(4 4)容易实现最小特权()容易实现最小特权(least privilegeleast privilege)原则)原则 最小特权原则在保持完整性方面起着重要
21、的作用。最小特权原则是指用户所拥有的权力不能超过他执行工作时所需的权限。这一原则的应用可限制事故、错误、未授权使用带来的损害。使用RBAC能够容易地实现最小特权原则。在RBAC中,系统管理员可以根据组织内的规章制度、职员的分工等设计拥有不同权限的角色,只有角色需要执行的操作才授权给角色。当一个主体要访问某资源时,如果该操作不在主体当前活跃角色的授权操作之内,该访问将被拒绝。(5 5)满足职责分离)满足职责分离(separation of duties)(separation of duties)原则原则 这是保障安全的一个基本原则,是指有些许可不能同时被同一用户获得,以避免安全上的漏洞。例如收
22、款员、出纳员、审计员应由不同的用户担任。在RBAC中,职责分离可以有静态和动态两种实现方式。静态职责分离只有当一个角色与用户所属的其他角色彼此不互斥时,这个角色才能授权给该用户。动态职责分离只有当一个角色与一主体的任何一个当前活跃角色都不互斥时该角色才能成为该主体的另一个活跃角色 角色的职责分离也称为角色互斥,是角色限制的一种。岗位上的用户数通过角色基数约束 企业中有一些角色只能由一定人数的用户占用,在创建新的角色时,通过指定角色的基数来限定该角色可以拥有的最大授权用户数。如总经理角色只能由一位用户担任。9 9、RBACRBAC系统的构成系统的构成 服务器:(1)访问控制服务器ACS(Acce
23、ss Control Server)(2)访问请求过滤器AFS(Access Filter Server)、(3)角色及授权管理器RAS(Role&Authorization Management Server)(4)管理控制台 。访问控制信息库:用户角色信息库 角色访问权限库 。(1)用户在访问资源之前,必须先向身份认证服务器证实自己的身份和角色(2)通过身份认证之后,用户以当前的角色向AFS发出访问请求 AFS收到请求后,把用户的当前角色、要访问的资源以及访问权限组成一个新的报文,发送给ACS请求作出访问决策。ACS返回决策结果给AFS。如果允许此次访问,则AFS负责向真正的应用服务器发出
24、访问请求,并将访问结果返回给用户。如果否认该次访问,则AFS返回给用户一个“操作失败”的应答代码报文 身份认证服务器用户AFSACS应用服务器角色访问权限库用户/角色库RAS管理界面1.请求认证用户和当前角色2.返回认证结果3.发出访问请求8.返回访问结果6.请求服务7.返回服务结果4.请求决策5.返回决策结果访问控制信息库(1)用户表(2)角色表(3)受控对象表(4)操作算子表(5)许可表:操作算子-对象(6)角色/许可表(7)用户/角色分配表(8)用户/角色授权表(9)角色层次表(10)静态角色互斥表(11)动态角色互斥表(12)会话的用户表(13)会话的角色表用户表:用户标识 姓名 登录
25、密码 它是系统中的个体用户集,随用户的添加与删除动态变化。角色表:角色标识 角色名称 角色基数 角色可用标识 角色表是系统角色集,由系统管理员定义角色。许可表 许可标识 许可名称 受控对象 操作标识许可表给出了受控对象与操作算子的对应关系。受控对象表 对象标识 对象名称 受控对象表是客体集,系统中所有受控对象的集合。操作算子表:操作标识 操作算子名称 系统中所有受控对象的操作算子构成操作算子表。角色/许可授权表:角色标识 许可标识 系统管理员管理该表,为角色分配或取消许可用户/角色分配表:用户标识 角色标识系统管理员管理该表,为用户分配或取消角色用户/角色授权表:用户标识 角色标识 可用性 角色r授权给一个用户u,要么是角色r分配给用户u,要么是角色r通过一个分配给用户u的角色继承而来。用户/角色授权表记录了用户通过用户/角色分配表以及角色继承而取得的所有角色。可用性为真时,用户才真正可以使用该角色赋予的许可