13访问控制

null安全服务的各个层面安全服务的各个层面• 安全服务(Security Services): 开放某一层所提供的服务用以保证系统或数据传输足够的安全性 根据ISO7498-2, 安全服务包括: 1. 实体认证(Entity Authentication) 2. 数据保密性(Data Confidentiality) 3. 数据完整性(Data Integrity) 4. 防抵赖(Non-repudiation) 5. 访问控制(Access Control)访问控制的概念以及分类访问控制的概念以及分类原始概念—— 是对进入系统的控制 (用户标识+口令/生物特性/访问卡) 一般概念—— 是针对越权使用资源的防御措施 一般分为: •自主访问控制 •强制访问控制 •基于角色的访问控制访问控制的目的和作用访问控制的目的和作用目的: 是为了限制访问主体(用户、进程、服务等） 对访问客体(文件、系统等）的访问权限，从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么。 作用: 是对需要访问系统及其数据的人进行鉴别，并验证其合法身份；也是进行记账、审计等的前提访问控制与其他安全措施的关系模型访问控制与其他安全措施的关系模型null第5章　信息安全门户：网络安全技术5.1 访问控制技术5.1.1 访问控制模型 访问控制要素 访问控制包括2个要素，即： 实体（分为主体和客体2种） 访问控制策略。null第5章　信息安全门户：网络安全技术5.1 访问控制技术实体(Entity)： 指计算机资源（物理设备、数据文件、内存或进程）或一个合法用户。 主体(Subject): 一个提出请求或要求的实体，是动作的发起者，不一定是动作的执行者。 客体(Object)：接受其他实体访问的被动实体。 访问控制策略(Access Control Policy)：主体对客体的操作行为集和约束条件集。null第5章　信息安全门户：网络安全技术5.1 访问控制技术安全级别：（HierarchicalClassification）： 分为绝密（Top Secret）、机密（Confidential）、秘密（Secret）、非密但敏感（Restricted）和无密级（Unclassified） 偏序关系：主体和客体在分属不同的安全类别时，都属于一个固定的安全类别SC，SC构成一个偏序关系（比如说绝密级TS比机密级要高）。 null第5章　信息安全门户：网络安全技术5.1 访问控制技术 根据偏序关系，主体对客体的访问主要有以下4种方式： 向下读（read down, rd）：主体安全级别高于客体信息资源的安全级别时允许查阅的读操作； 向上读（read up, ru）：主体安全级别低于客体信息资源的安全级别时允许的读操作；null向下写（write down,wd）：主体安全级别高于客体信息资源的安全级别时允许执行的动作或是写操作； 向上写（write up,wu）：主体安全级别低于客体信息资源的安全级别时允许执行的动作或是写操作。 第5章　信息安全门户：网络安全技术5.1 访问控制技术null第5章　信息安全门户：网络安全技术5.1 访问控制技术 访问控制系统要素之间的行为关系参见图 5‑1。可以用3元组（S,O,P）来表示，其中：S表示主体，O表示客体，P表示策略。null第5章　信息安全门户：网络安全技术5.1 访问控制技术2. 访问控制过程 访问控制涉及到限制合法用户的行为。这种控制是通过一个参考监视器来进行的，每一次用户对系统内目标进行访问时，都由它来进行调节。用户对系统进行访问时，参考监视器便察看授权数据库，以确定准备进行操作的用户是否确实得到了进行此项操作的许可。 null第5章　信息安全门户：网络安全技术5.1 访问控制技术 严格区分鉴别和访问控制是很重要的。正确建立用户的身份是鉴别服务的责任；而访问控制则假定：在通过参考监视器实施访问控制前，用户的身份就已经得到了验证。因而，访问控制的有效性取决于对用户的正确识别，同时也取决于参考监视器正确的授权管理。null第5章　信息安全门户：网络安全技术5.1 访问控制技术 访问控制并不能完全解决系统的安全问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 ，必须与审计结合起来。审计控制是指对系统中所有的用户要求和行为进行后验分析。它要求所有的用户要求和行为都必须登记(存入)，以便以后对它们进行分析。 null第5章　信息安全门户：网络安全技术5.1 访问控制技术 访问控制模型一般包括主体、客体和控制实体间访问的监视器。访问控制模型主要有三类：自主访问控制模型（DAC）、强制访问控制模型（MAC）以及基于角色的访问控制模型（RBAC）。null第5章　信息安全门户：网络安全技术5.1 访问控制技术3. 自主访问控制模型 自主访问控制模型（Discretionary Access Control Model, DAC Model）是根据自主访问控制策略建立的一种模型，允许合法用户以用户或用户组的身份访问策略规定的客体，同时阻止非授权用户访问客体。自主访问控制又称自由访问控制 null第5章　信息安全门户：网络安全技术5.1 访问控制技术 自主访问控制广泛应用于商业和工业环境中； 自主访问控制模型提供的安全防护是低级安全访问，无法给系统提供充分的数据保护。 自主访问控制模型一般采用访问控制矩阵或访问控制列表来存放不同主体的访问控制信息/权限，从而完成对主体访问权限的限制。null第5章　信息安全门户：网络安全技术5.1 访问控制技术4. 强制访问控制模型 强制访问控制模型（Mandatory Access Model, MAC Model），与DAC不同，各种MAC模型都属于多级访问控制策略，通过分级的安全标签实现信息的单向流通。MAC对访问主体和受控对象标识两个安全标记：一个是具有偏序关系的安全等级标记；另一个是非等级分类标记。主要MAC模型有：Lattice模型，Bell-Padula模型（BLP Model）和Biba模型（Biba Model）。null第5章　信息安全门户：网络安全技术5.1 访问控制技术(1) Lattice模型（Lattice Model） 在Lattice模型中，每个用户和资源都服从于一个安全类别，也就是前面提到的安全级别。在安全模型中，信息资源对应的安全类别及用户所对应的安全级别，必须比可以使用的客体资源高，访问才得以进行。 该模型非常适用于需要对信息资源进行明显分类的系统。null第5章　信息安全门户：网络安全技术5.1 访问控制技术(2) Bell-LaPadula模型（BLP Model） BLP模型是典型的信息保密性多级安全模型，是一个状态机模型; BLP模型的出发点是维护系统的保密性，有效地防止信息泄漏;nullBLP模型的访问控制原则的形式化表述为：无上读（no ru），无下写（no wd）。 BLP模型的安全策略包括强制访问控制和自主访问控制两部分，BLP模型用偏序关系可以表述为： rd, 当且仅当SC(S)≥SC(O)，允许读操作; wu, 当且仅当SC(S)≤SC(O)，允许写操作。 第5章　信息安全门户：网络安全技术5.1 访问控制技术null第5章　信息安全门户：网络安全技术5.1 访问控制技术(3) Biba模型（Biba Model） Biba模型定义了信息完整性级别，在信息流向的定义方面不允许信息从级别低的进程流向级别高的进程。nullBiba模型的两个特征是： Biba模型禁止向上“写”，Biba模型没有下“读”， 用偏序关系表示为： Run，当且仅当SC(S)≤SC(O)，允许读操作； Wd，当且仅当SC(S)≥SC(O)，允许写操作。 第5章　信息安全门户：网络安全技术5.1 访问控制技术null第5章　信息安全门户：网络安全技术5.1 访问控制技术5. 角色访问控制模型（RBAC Model） 角色访问控制模型（Role-based Access Model, RBAC Model） 将访问许可权分配给一定的角色，用户并不是可以访问的客体信息资源的所有者。访问控制是由各个用户在部门中承担的角色来确定。角色策略要求确定在系统中的角色。担任某一角色的用户允许进行授权该角色的所有访问。访问控制的策略 ——自主/强制访问的问题访问控制的策略 ——自主/强制访问的问题这种方法有几个优越性：这种方法有几个优越性：第5章　信息安全门户：网络安全技术5.1 访问控制技术 授权管理 分级角色 最少特权 职责 岗位职责下载项目部各岗位职责下载项目部各岗位职责下载建筑公司岗位职责下载社工督导职责.docx 分离 客体分类null第5章　信息安全门户：网络安全技术5.1 访问控制技术5.1.2 访问控制策略1. 安全策略 访问控制的安全策略有以下两种实现方式：基于身份的安全策略和基于 规则 编码规则下载淘宝规则下载天猫规则下载麻将竞赛规则pdf麻将竞赛规则pdf 的安全策略。使用这两种安全策略的基础都是授权行为。从形式上来看，基于身份的安全策略等同于DAC安全策略，基于规则的安全策略等同于MAC安全策略。null第5章　信息安全门户：网络安全技术5.1 访问控制技术 安全策略的实施原则围绕主体、客体和安全控制规则集三者之间的关系展开。主要内容有： 最少特权原则; 最小泄漏原则; 多级安全策略.null第5章　信息安全门户：网络安全技术5.1 访问控制技术2. 基于身份的安全策略 基于身份的访问控制策略(Identification-Based Access Control Policies, IDBACP)是过滤对数据或资源的访问，只有通过认证的那些主体才有可能正常使用客体的资源，它包括基于个人的策略和基于组的策略。null第5章　信息安全门户：网络安全技术5.1 访问控制技术 基于个人的访问控制策略（Individual-based Access Control Policies, IBACP）是指以用户为中心建立的一种策略，它由一些列表来组成 基于组的访问控制策略（Group-based Access Control Policies, GBACP）是基于个人的策略的扩充，即，一些用户被允许使用同样的访问控制规则访问同样的客体。 基于身份的安全策略有两种实现方法：能力表和访问控制列表。null第5章　信息安全门户：网络安全技术5.1 访问控制技术3. 基于规则的安全策略 基于规则的安全策略中，授权依赖于敏感性。 基于规则的安全策略在实现方面，可由系统通过比较用户的安全级别和客体资源的安全级别来判断是否允许用户进行访问。null第5章　信息安全门户：网络安全技术5.1 访问控制技术5.1.3 访问控制的实施 访问控制列表 实现访问控制的最简单方式是访问控制列表(Access Control Lists, ACLs)。许多操作系统（包括Windows NT、Windows 2000以及Windows XP）借助于ACL来判断一个帐户对一个资源的具有何种程度的访问权限。 访问控制实现方法——访问控制表访问控制实现方法——访问控制表null第5章　信息安全门户：网络安全技术5.1 访问控制技术 通过ACL，可以显而易见地看出访问主体可以对客体进行的访问方式。要取消对客体的访问权也很容易，只需用空白ACL代替现有的ACL。另一方面，在ACL中要确定一个主体全部的访问权限比较困难。必须检验系统中每个客体的ACL，主体才能访问。同样，如果主体要撤消所有访问，也要逐一审查ACL。null第5章　信息安全门户：网络安全技术5.1 访问控制技术2. 访问控制性能列表 访问控制性能是指请求访问的发起者所拥有的一个有效标签 访问控制性能列表（Access Control Capabilities Lists, ACCLs）是以用户为中心建立的访问权限表。每个主体都与一个表格(性能表)相联系，ACCLs 说明 关于失联党员情况说明岗位说明总经理岗位说明书会计岗位说明书行政主管岗位说明书 了主体可以对哪个客体进行访问。这种方法表示以行来贮存访问控制矩阵。访问控制实现方法——访问能力表访问控制实现方法——访问能力表null第5章　信息安全门户：网络安全技术5.1 访问控制技术3. 授权关系 访问控制性能的传递牵扯到授权的实现。授权是进行访问控制的前提，是指客体授予主体一定的权力，通过这种权力，主体可以对客体执行某种行为，如阅读文件、修改数据、管理帐户等。null第5章　信息安全门户：网络安全技术5.1 访问控制技术4. 访问控制矩阵 访问控制矩阵（Access Control Matrix, ACM）是通过矩阵形式规定访问控制规则和授权用户权限的方法，是主体对客体应拥有何种权利的概念性模型。访问控制的主旨就是保证只有访问控制矩阵允许的操作才能进行。访问控制实现方法——访问控制矩阵访问控制实现方法——访问控制矩阵null第5章　信息安全门户：网络安全技术5.1 访问控制技术 主客体的区别是访问控制的基本问题。主体产生对客体的行为或操作。这些行为根据系统中的授权而得到允许或否决。访问权的含义取决于上述客体。所有权是指谁能改变文件的访问权。客体，如银行帐目，可根据对帐目的基本操作拥有相应的访问权 注意：对帐目来说没有所有权。null第5章　信息安全门户：网络安全技术5.1 访问控制技术5. 访问控制实施部位 访问控制实施包括：接入访问控制、资源访问控制、网络端口和节点的访问控制三个部位。 接入访问控制是网络访问的第一层，它控制哪些用户能够登录到服务器并获取网络资源。 null 资源访问控制是对客体整体资源信息的访问控制管理。 网络端口和节点是网络数据传输的关节点，必须防止黑客攻击。 第5章　信息安全门户：网络安全技术5.1 访问控制技术null第5章　信息安全门户：网络安全技术5.1 访问控制技术5.1.4 访问控制设备 一个成功的访问控制设计必须通过物理的访问控制设备完成。通常一个物理设备可以用来开展以下的访问控制认证工作：null掌握的内容：如，密码、口令、接头暗语等； 拥有的内容：令牌、智能卡、钥匙等； 身体拥有的特征：指纹、视网膜、虹膜识别等； 行为结果：声音、手签名字样等。 第5章　信息安全门户：网络安全技术5.1 访问控制技术null第5章　信息安全门户：网络安全技术5.1 访问控制技术5.1.5 授权的行政管理 在强制性访问控制中，被许可的访问完全取决于主客体的安全级别。安全级别是由 安全管理 企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理 员分配的。客体的安全级别取决于建立系统的用户的级别。安全管理员一般只有一个，他可以更换主客体的安全级别。 null第5章　信息安全门户：网络安全技术5.1 访问控制技术 自由访问控制允许大量行政管理政策，其中有： 集中──只有一个授权者(或组)允许对用户许可或取消授权。 分级──中央授权者将职责分配给其它管理员，他们可对系统中的用户许可或取消授权。null合作──特定资源的行政管理不能只由单一的授权者许可，而需几个授权者的合作。 所有权──用户是他/她创造的客体的专有者，所有者也可以许可或取消其它用户对此客体的访问。 分散──在分散的行政管理中客体的所有者也可以许可其它用户对此客体的许可特权。 第5章　信息安全门户：网络安全技术5.1 访问控制技术null第5章　信息安全门户：网络安全技术5.1 访问控制技术 角色访问控制同样也有许多行政管理政策。在这种情况下，“角色”也可以用来管理和控制行政管理机制。