第四章身份认证和访问控制-21

第四章身份认证和访问控制访问控制AccessControl安全服务（SecurityServices）：安全系统提供的各项服务，用以保证系统或数据传输足够的安全性根据ISO7498-2,安全服务包括：实体鉴别(认证)（EntityAuthentication）数据保密性（DataConfidentiality）数据完整性（DataIntegrity）防抵赖（Non-repudiation）访问控制（AccessControl）美国国防部的可信计算机系统评估标准（TESEC）把访问控制作为评价系统安全的主要指标之一。第四章身份认证和访问控制访问控制的概念一般概念-是针对越权使用资源的防御措施。形式化地说-访问控制是一个二元函数f(s,o,r)-在系统中发生的事情，抽象的说都是某个主体(subject)在某个资源(resource)上执行了某个操作(operation)。第四章身份认证和访问控制访问控制的分类计算机信息系统访问控制技术最早产生于上个世纪60年代，随后出现了两种重要的访问控制技术：-自主访问控制（DiscretionaryAccessControl,DAC）-强制访问控制（MandatoryAccessControl,MAC）作为传统访问控制技术，它们已经远远落后于当代系统安全的要求，安全需求的发展对访问控制技术提出了新的要求。-基于角色的访问控制(Role-BasedAccessControl,RBAC)第四章身份认证和访问控制访问控制的目的是为了限制访问主体（用户、进程、服务等）对访问客体（文件、系统等）的访问权限，从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么。可以限制对关键资源的访问，防止非法用户的侵入或者因合法用户的不慎操作造成的破坏。访问控制是实现数据保密性和完整性机制的主要手段。第四章身份认证和访问控制认证、审计与访问控制的关系认证、访问控制和审计共同建立了保护系统安全的基础。其中认证是用户进入系统的第一道防线访问控制是在鉴别用户的合法身份后，控制用户对数据信息的访问，它是通过引用监控器实施这种访问控制的。图6-1访问控制与其他安全服务关系模型安全管理员用户认证访问控制审计引用监控器客体授权数据库第四章身份认证和访问控制-身份认证VS访问控制正确地建立用户的身份标识是由认证服务实现的。在通过引用监控器进行访问控制时，总是假定用户的身份已经被确认，而且访问控制在很大程度上依赖用户身份的正确鉴别和引用监控器的正确控制。-访问控制VS审计-访问控制不能作为一个完整的策略来解决系统安全，它必须要结合审计而实行。审计控制主要关注系统所有用户的请求和活动的事后分析。第四章身份认证和访问控制访问控制的构成主体(subject)-who：指发出访问操作、存取请求的主动方，它包括用户、用户组、终端、主机或一个应用进程，主体可以访问客体。客体(object)-what：指被调用的程序或欲存取的数据访问，它可以是一个字节、字段、记录、程序、文件，或一个处理器、存储器及网络节点等。安全访问政策:也称为授权访问，它是一套规则，用以确定一个主体是否对客体拥有访问能力。第四章身份认证和访问控制主体VS客体-主体发起对客体的操作将由系统的授权来决定-一个主体为了完成任务可以创建另外的主体，并由父主体控制子主体。-主体与客体的关系是相对的，当一个主体受到另一主体的访问，成为访问目标时，该主体便成了客体。第四章身份认证和访问控制安全访问政策访问控制规定了哪些主体可以访问，以及访问权限的大小图6-2访问控制原理图访问控制实施功能客体主体决决决决决决决决决决决决决决决决负责控制主体对客体的访问根据访问控制信息作出是否允许主体操作的决定第四章身份认证和访问控制访问控制的一般实现机制和方法-实现机制基于访问控制属性-访问控制表/矩阵基于用户和资源分级（“安全标签”）-多级访问控制-常见实现方法访问控制表（ACL,AccessControlLists)访问能力表（CL,CapabilitiesLists)授权关系表（AuthorizationRelation）第四章身份认证和访问控制访问控制实现方法-访问控制矩阵(AccessControlMatrix)-利用二维矩阵规定任意主体和客体间的访问权限-按列看是访问控制表(ACL)内容-按行看是访问能力表(CL)内容SubjectsObjectsS1S2S3O1O2O3Read/writeWriteReadExecute用户对特定系统对象例如文件目录或单个文件的存取权限。每个对象拥有一个在访问控制表中定义的安全属性。这张表对于每个系统用户有拥有一个访问权限。最一般的访问权限包括:读拷贝(read-copy)；写删除（write-delete）；执行（execute）；Null（无效）:主体对客体不具有任何访问权。在存取控制表中用这种模式可以排斥某个特定的主体。稀疏不利用操作第四章身份认证和访问控制访问控制实现方法-访问控制表(ACL)客体为中心userAOwnRWOuserBROuserCRWOObj1每个客体附加一个它可以访问的主体的明细表。-FileA:(Alice,{r,w})，(Bob，{r})，Dept{w})UNIX采用保护位方式-9个保护位分别用来指定文件所有者、组用户与其他用户的读、写和执行许可。rw-r-----现代计算机系统主要还是利用访问控制表方法第四章身份认证和访问控制访问控制实现方法-访问能力表(CL)主体为中心Obj1OwnRWOObj2ROObj3RWOUserA每个主体都附加一个该主体可访问的客体的明细表。-每个用户都有Profiles文件，列出所有该用户拥有访问权限的受保护客体。CL没有获得商业上的成功但在分布式系统中，主体认证一次获得自己的访问能力表后，就可以根据能力关系从对应的服务器获得相应的服务而各个服务器可以进一步采用访问控制表进行访问控制第四章身份认证和访问控制访问控制表(ACL)VS访问能力表(CL)浏览(特定客体)访问权限：ACL-容易，CL-困难访问权限传递：ACL-困难，CL-容易访问权限回收：ACL-容易，CL-困难第四章身份认证和访问控制访问控制表(ACL)VS访问能力表(CL)-多数集中式操作系统使用ACL方法或类似方式-由于分布式系统中很难确定给定客体的潜在主体集，在现代OS中CL也得到广泛应用第四章身份认证和访问控制访问控制实现方法-授权关系表直接建立主体与客体的隶属关系；通过主体排序-得到能力关系表；通过客体排序-得到访问控制表UserAOwnObj1UserARObj2UserAWObj3UserBWObj1UserBRObj2第四章身份认证和访问控制访问控制技术-自主访问控制DAC,DiscretionaryAccessControlDAC是目前计算机系统中实现最多的访问控制机制，它是在确认主体身份以及（或）它们所属组的基础上对访问进行限定的一种方法。传统的DAC最早出现在上个世纪70年代初期的分时系统中，它是多用户环境下最常用的一种访问控制技术，在目前流行的Unix类操作系统中被普遍采用。基本思想-允许某个主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问类型。第四章身份认证和访问控制访问控制技术-自主访问控制DAC,DiscretionaryAccessControl自主访问-有访问许可的主体能够向其他主体转让访问权。特点-根据主体的身份和授权来决定访问模式。-访问控制的粒度是单个用户。缺点-信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。第四章身份认证和访问控制访问控制技术-强制访问控制MAC,MandatoryAccessControlMAC最早出现在Multics系统中，在1983美国国防部的TESEC中被用作为B级安全系统的主要评价标准之一。MAC的基本思想是：每个主体都有既定的安全属性，每个客体也都有既定安全属性，主体对客体是否能执行特定的操作取决于两者安全属性之间的关系。第四章身份认证和访问控制访问控制技术-强制访问控制MAC,MandatoryAccessControl系统对所有主体及其所控制的客体（例如：进程、文件、段、设备）实施强制访问控制。为这些主体及客体指定敏感标签，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的依据。系统根据主体和客体的敏感标记来决定访问模式。-敏感标签sensitivitylabel表示客体安全级别并描述客体数据敏感性的一组信息，TCSEC中把敏感标记作为强制访问控制决策的依据。如：绝密级，秘密级，机密级，无密级第四章身份认证和访问控制访问控制技术-强制访问控制MAC,MandatoryAccessControl特点：-将主题和客体分级，根据主体和客体的级别标记来决定访问模式。-其访问控制关系分为：下读（readdown）：用户级别大于文件级别的读操作。上写（Writeup）：用户级别小于文件级别的写操作。下写（Writedown）：用户级别大于文件级别的写操作。上读（readup）：用户级别小于文件级别的读操作。-MAC通过梯度安全标签实现单向信息流通模式。第四章身份认证和访问控制Bell-LaPadula模型-不上读/不下写防止低级别用户读高敏感度信息；防止高敏感度的信息写入低敏感度区域保密性第四章身份认证和访问控制Biba安全模型防止应用程序修改某些重要的系统程序或系统数据库完整性第四章身份认证和访问控制-自主访问控制配置的粒度小；工作量大；DAC将赋予或取消访问权限的一部分权力留给最终用户，管理员难以确定哪些用户对哪些资源有访问权限，不利于实现统一的全局访问控制。-强制访问控制配置的粒度大；缺乏灵活性；缺点在于访问级别的划分不够细致，在同级别之间缺乏控制机制。第四章身份认证和访问控制访问控制技术-基于角色的访问控制RBAC,Role-BasedAccessControl-20世纪70年代就已经提出，但在相当长的一段时间内没有得到人们的关注。-进入90年代后，随着安全需求的发展加之R.S.Sandhu等人的倡导和推动，RBAC又引起了人们极大的关注.第四章身份认证和访问控制访问控制技术-基于角色的访问控制RBAC,Role-BasedAccessControl用户：可以独立访问资源的主体。角色：一个组织或任务中的工作或者位置，代表权利、资格和责任。-角色就是一个或是多个用户可执行的操作的集合，它体现了RBAC的基本思想，即授权给用户的访问权限，通常由用户在一个组织中担当的角色来确定。-在银行环境中，用户角色可以定义为出纳员、分行管理者、顾客、系统管理者和审计员-但用户不能自主地将访问权限传给他人，这一点是RBAC和DAC最基本的区别。例如，在医院里，医生这个角色可以开处方，但他无权将开处方的权力传给护士。许可：允许的操作。多对多：用户被分配一定角色，角色被分配一定的许可权角色与组的区别组:用户集角色:用户集＋权限集第四章身份认证和访问控制基本模型-RBAC0许可(permission)-角色(role)-用户(user)-会话(session)RBAC中许可被授权给角色，角色被授权给用户，用户不直接与许可关联。RBAC对访问权限的授权由管理员统一管理，而且授权规定是强加给用户的，这是一种非自主型集中式访问控制方式。用户是一个静态的概念，会话则是一个动态的概念。一个会话构成一个用户到多个角色的映射，即会话激活了用户授权角色集的某个子集，这个子集称为活跃角色集。活跃角色集决定了本次会话的许可集。第四章身份认证和访问控制单箭头-表示一，双箭头-表示多模型UUsersR角色P许可约束S会话用户角色PA许可分配UA用户分配RH角色层次RBAC3RBAC1RBAC2第四章身份认证和访问控制通过角色定义、分配和设置适应安全策略-系统管理员定义系统中的各种角色，每种角色可以完成一定的职能，不同的用户根据其职能和责任被赋予相应的角