运行安全--访问控制

计算机网络与信息安全技术研究中心1运行安全--访问控制主讲人：翟健宏Email:zhaijh@hit.edu.cn办公室:新技术楼509Tel:0451-86402573计算机网络与信息安全技术研究中心21访问控制的基本概念2访问控制的实现机制和方法3访问控制的一般策略4授权的管理计算机网络与信息安全技术研究中心31访问控制的基本概念1.1安全服务安全服务（SecurityServices）：开放某一层所提供的服务，用以保证系统或数据传输足够的安全性。根据ISO7498-2,安全服务包括：①实体认证EntityAuthentication②数据保密性DataConfidentiality③数据完整性DataIntegrity④防抵赖Non-repudiation⑤访问控制AccessControl计算机网络与信息安全技术研究中心41.2访问控制的概念•原始概念：是对进入系统的控制（用户标识+口令/生物特性/访问卡）。•一般概念：是针对越权使用资源的防御措施。•分类：–自主访问控制–强制访问控制–基于角色的访问控制•访问控制的目的：是为了限制访问主体用户、进程服务等对访问客体文件系统等资源的访问权限，从而使计算机系统在合法范围内使用。决定用户能做什么，也决定代表一定用户利益的程序能做什么。•作用：是对需要访问系统及其数据的人进行鉴别，并验证其合法身份；也是进行记账审计等的前提。计算机网络与信息安全技术研究中心51.3访问控制与其他安全措施的关系模型计算机网络与信息安全技术研究中心61访问控制的基本概念2访问控制的实现机制和方法3访问控制的一般策略4授权的管理计算机网络与信息安全技术研究中心72访问控制的实现机制和方法2.1实现机制•基于访问控制属性：–访问控制表/矩阵•基于用户和资源分档“安全标签”：–多级访问控制计算机网络与信息安全技术研究中心82.2常见实现方法•主要包括三种形式：–访问控制表ACL（AccessControlLists）–访问能力表（Capabilities）–访问控制矩阵–授权关系表计算机网络与信息安全技术研究中心9①访问控制表：每个客体附加一个它可以访问的主体的明细表。计算机网络与信息安全技术研究中心10②访问能力表：每个主体都附加一个该主体可以访问的客体的明细表。计算机网络与信息安全技术研究中心11③访问控制矩阵：按列看是访问控制表内容，按行看是访问能力表内容。计算机网络与信息安全技术研究中心12④授权关系表计算机网络与信息安全技术研究中心131访问控制的基本概念2访问控制的实现机制和方法3访问控制的一般策略4授权的管理计算机网络与信息安全技术研究中心143访问控制的一般策略①自主访问控制②强制访问控制③自主/强制访问的问题④基于角色的访问控制⑤一个基于角色的访问控制的实例⑥RBAC与传统访问控制的差别⑦RBAC参考模型⑧RBAC的优势计算机网络与信息安全技术研究中心153访问控制的一般策略计算机网络与信息安全技术研究中心16①自主访问控制•特点：根据主体的身份和授权来决定访问模式；具有访问权限的可传递性。•缺点：信息在移动过程中，其访问权限关系会被改变，如用户A可将其对目标O的访问权限传递给用户B，从而使不具备对O访问权限的B，可访问O。计算机网络与信息安全技术研究中心17②强制访问控制•特点：①将主题和客体分级，根据主体和客体的级别标记来决定访问模式，如绝密级、机密级、秘密级、无密级。②其访问控制关系分为：上读/下写（完整性），下读/上写（机密性）。③通过梯度安全标签实现单向信息流通模式。下级可看上级的信息但不能修改上级内容下级对上级可提意见，但不能看上级的信息。计算机网络与信息安全技术研究中心18②强制访问控制精确描述•强制访问控制(MAC)中，系统包含主体集S和客体集O，每个S中的主体s及客体集中的客体o，都属于一固定的安全类SC，安全类SC=L,C包括两个部分：有层次的安全级别和无层次的安全范畴。构成一偏序关系≤。①Bell-LaPadula：保证保密性–简单安全特性(无上读)：仅当SC(o)≤SC(s)时，s可以读取o；–*-特性(无下写)：仅当SC(s)≤SC(o)时，s可以修改o②Biba：保证完整性–同1相反。（无上写，无下读）(贝尔－拉帕丢拉（Bell-Lapadula）模型——多安全级，强制规则)计算机网络与信息安全技术研究中心19②强制访问控制•MAC（MandatoryAccessControl）InformationFlow计算机网络与信息安全技术研究中心20③自主/强制访问的问题•自主访问控制–配置的粒度小–配置的工作量大，效率低•强制访问控制–配置的粒度大–缺乏灵活性•例：1000主体访问10000客体须1000万次配置，如每次配置需1秒，每天工作8小时，就需10,000,000/3600*8=347.2天。计算机网络与信息安全技术研究中心21④基于角色的访问控制•基于角色的访问控制是一个复合的规则，可以被认为是早期的IBAC和RBAC的结合体。一个身份被分配给一个被授权的组。•起源于UNIX系统或别的操作系统中组的概念（10yearhistory）。计算机网络与信息安全技术研究中心22④基于角色的访问控制•特点：–责任分离(separationofduties)–角色分层(rolehierarchies)–角色激活(roleactivation)–用户角色关系的约束(constraintsonuser/rolemembership)计算机网络与信息安全技术研究中心23④基于角色的访问控制•角色概念–Arolecanbedefinedasasetofactionsandresponsibilitiesassociatedwithaparticularworkingactivity。–每个角色与一组用户和有关的动作相互关联，角色中所属的用户可以有权执行这些操作。计算机网络与信息安全技术研究中心24•角色与组的区别–组：用户集；角色：用户集+权限集。•基于角色访问控制与DAC、MAC的区别–角色控制相对独立，根据配置可使某些角色为接近DAC，某些角色接近MAC。④基于角色的访问控制计算机网络与信息安全技术研究中心25⑤一个基于角色的访问控制的实例•在银行环境中，用户角色可以定义为出纳员、分行管理者、顾客、系统管理者和审计员，访问控制策略的一个例子如下：①允许一个出纳员修改顾客的帐号记录（包括存款和取款、转帐等），并允许查询所有帐号的注册项；②允许一个分行管理者修改顾客的帐号记录（包括存款和取款，但不包括规定的资金数目的范围），并允许查询所有帐号的注册项，也允许创建和终止帐号；③允许一个顾客只询问他自己的帐号的注册项；④允许系统的管理者询问系统的注册项和开关系统，但不允许读或修改用户的帐号信息；⑤允许一个审计员读系统中的任何数据，但不允许修改任何事情。计算机网络与信息安全技术研究中心26•特点：I.该策略陈述易于被非技术的组织策略者理解；同时也易于映射到访问控制矩阵或基于组的策略陈述。II.具有基于身份策略的特征，同时也具有基于规则的策略的特征。III.在基于组或角色的访问控制中，一个个人用户可能是不只一个组或角色的成员，有时又可能有所限制。⑤一个基于角色的访问控制的实例计算机网络与信息安全技术研究中心27⑥RBAC与传统访问控制的差别•增加一层间接性带来了灵活性。计算机网络与信息安全技术研究中心28⑦RBAC参考模型•包括：①CoreRBAC②HierarchicalRBAC③StaticSeparationofDutyRelations④DynamicSeparationofDutyrelations计算机网络与信息安全技术研究中心29①CoreRBAC•USERS：可以是人、设备、进程•Permission：是对被保护目标执行OPS的许可•UA：userassignmentrelations•PA：permissionassignmentrelations•Session_roles：session激活的角色;User_sessions：与用户相联系的会话集合⑦RBAC参考模型计算机网络与信息安全技术研究中心301）CoreRBAC几点说明•(1)session由用户控制，允许动态激活/取消角色，实现最小特权。应避免同时激活所有角色。•(2)session和user分离可以解决同一用户多账号带来的问题，如审计、计账等。能完成作业的最小权限⑦RBAC参考模型计算机网络与信息安全技术研究中心312）HierarchicalRBAC角色的结构化分层是反映一个组织的授权和责任的自然方式。定义了角色的继承关系Roler1“inherits”roler2，角色r2的权限同样是r1的权限。⑦RBAC参考模型计算机网络与信息安全技术研究中心322）HierarchicalRBAC•角色关系：–偏序关系(partialorders)•自反(reflexive)（α∈SC有α→α）•传递(transitive)（a，b∈SC有a→bΛb→ca→c）•反对称(anti-symmetric)（a，b∈SC有aΛb→aa=b））⑦RBAC参考模型计算机网络与信息安全技术研究中心33有约束的（Constrained）RBAC•增加了责任分离，用于解决利益的冲突，防止用户超越权限，•包括：–静态责任分离（StaticSeparationofDutyRelations），–动态责任分离（DynamicSeparationofDutyrelations）⑦RBAC参考模型计算机网络与信息安全技术研究中心343）StaticSeparationofDutyRelations对用户分配的角色进行约束，也就是当用户被分配给一个角色时，禁止其成为第二个角色。SSD定义了一个用户角色分配的约束关系，一个用户不可能同时分配SSD中的两个角色。⑦RBAC参考模型计算机网络与信息安全技术研究中心354）DynamicSeparationofDutyrelations•与SSD类似，要限制一个用户的许可权；–SSD直接在用户的许可空间进行约束，DSD通过对用户会话过程进行约束；•对最小特权提供支持：在不同的时间拥有不同的权限。•DSD允许用户被授予不产生利益冲突的多个角色。⑦RBAC参考模型计算机网络与信息安全技术研究中心36•DSDRBACModel：⑦RBAC参考模型计算机网络与信息安全技术研究中心37⑧RBAC的优势a)便于授权管理，如系统管理员需要修改系统设置等内容时，必须有几个不同角色的用户到场方能操作，从而保证了安全性。b)便于根据工作需要分级，如企业财务c)部门与非财力部门的员工对企业财务的访问权就可由财务人员这个角色来区分。d)便于赋于最小特权，如即使用户被赋于高级身份时也未必一定要使用，以便减少损失。只有必要时方能拥有特权。e)便于任务分担，不同的角色完成不同的任务。f)便于文件分级管理，文件本身也可分为不同的角色，如信件、账单等，由不同角色的用户拥有。计算机网络与信息安全技术研究中心38•6.1访问控制的基本概念•6.2访问控制的实现机制和方法•6.3访问控制的一般策略•6.4授权的管理计算机网络与信息安全技术研究中心396.4授权的管理•授权的管理决定谁能被授权，来修改允许的访问，主要有三种：–强制访问控制的授权管理–自主访问控制的授权管理–角色访问控制的授权管理计算机网络与信息安全技术研究中心40①强制访问控制的授权管理•在强制访问控制中，允许的访问控制完全是根据主体和客体的安全级别决定。•其中主体（用户、进程）的安全级别是由系统安全管理员赋予用户，而客体的安全级别则由系统根据创建它们的用户的安全级别决定。•强制访问控制的管理策略是比较简单的，只有安全管理员能够改变主体和客体的安全级别。计算机网络与信息安全技术研究中心41②自主访问控制的授权管理•集中式管理：只有单个的管理者或组对用户进行访问控制授权和授权撤消。•分级式管理：一个中心管理者把管理责任分配给其它管理员