4-3--身份与访问安全——访问控制

身份与访问安全——访问控制南京师范大学计算机科学与技术学院陈波本讲要点1.访问控制的概念2.自主访问控制模型3.强制访问控制模型4.基于角色的访问控制模型5.基于PMI的授权与访问控制模型6.基于属性的新型访问控制模型应用实例：网络接入控制方案2信息安全案例教程：技术与应用2021/9/9信息安全案例教程：技术与应用31.访问控制的概念用户认证解决的是：“你是谁？你是否真的是你所声称的身份？”访问控制技术解决的是“你能做什么？你有什么样的权限？”。2021/9/9信息安全案例教程：技术与应用4基本目标都是防止非法用户进入系统和合法用户对系统资源的非法使用。为了达到这个目标，访问控制常以用户身份认证为前提，在此基础上实施各种访问控制策略来控制和规范合法用户在系统中的行为。例如，本章案例中，对于存有用户口令的文件的访问不仅应当进行身份认证，还应当进行访问控制，而且所有的访问行为都应当被记录。1.访问控制的概念2021/9/9信息安全案例教程：技术与应用5（1）访问控制的三要素主体(Subject)：访问操作的主动发起者，但不一定是动作的执行者。客体(Object)：通常是指信息的载体或从其他主体或客体接收信息的实体。安全访问规则：用以确定一个主体是否对某个客体拥有某种访问权力。1.访问控制的概念2021/9/9信息安全案例教程：技术与应用6（2）引用监视器和安全内核访问控制机制的理论基础是引用监视器（ReferenceMonitor），由J.P.Anderson于1972年首次提出。引用监视器是一个抽象的概念。引用监视器借助访问数据库控制主体到客体的每一次访问，并将重要的安全事件记入审计文件中。访问控制数据库包含有关主体访问客体访问模式的信息。数据库是动态的，它会随着主体和客体的产生或删除及其权限的改变而改变。1.访问控制的概念2021/9/9信息安全案例教程：技术与应用7在引用监视器思想的基础上，J.P.Anderson定义了安全内核的概念。安全内核是实现引用监视器概念的一种技术。安全内核可以由硬件和介于硬件与操作系统之间的一层软件组成。安全内核的软件和硬件是可信的，处于安全边界内，而操作系统和应用软件均处于安全边界之外。这里讲的边界，是指与系统安全有关和无关对象之间的一个想象的边界。1.访问控制的概念2021/9/9信息安全案例教程：技术与应用8（3）访问控制模型和访问控制方案访问控制模型是规定主体如何访问客体的一种架构，它使用访问控制技术和安全机制来实现模型的规则和目标。访问控制模型主要包括：自主访问控制、强制访问控制和基于角色的访问控制。每种模型都使用不同的方法来控制主体对客体的访问方式，并且具有各自的优缺点。1.访问控制的概念2021/9/9信息安全案例教程：技术与应用9（3）访问控制模型和访问控制方案访问控制模型内置在不同操作系统的内核中，也内置于一些应用系统中。每个操作系统都有一个实施引用监视器的安全内核，其实施方式取决于嵌入系统的访问控制模型的类型。对于每个访问尝试来说，在主体与客体进行通信之前，安全内核会通过检查访问控制模型的规则来确定是否允许访问请求。1.访问控制的概念2021/9/9信息安全案例教程：技术与应用11（4）基本访问控制模型1）访问控制矩阵(AccessControlMatrix，ACM)访问控制矩阵模型的基本思想就是将所有的访问控制信息存储在一个矩阵中集中管理。当前的访问控制模型一般都是在它的基础上建立起来的。1.访问控制的概念2021/9/9信息安全案例教程：技术与应用121）访问控制矩阵访问控制矩阵的实现存在3个主要的问题：•在特定系统中，主体和客体的数目可能非常大，使得矩阵的实现要消耗大量的存储空间。•由于每个主体访问的客体有限，这种矩阵一般是稀疏的，空间浪费较大。•主体和客体的创建、删除需要对矩阵存储进行细致的管理，这增加了代码的复杂程度。因此，人们在访问控制矩阵的基础上研究建立了其它模型，主要包括访问控制表（AccessControlList，ACL）和能力表（CapabilityList）。1.访问控制的概念2021/9/9信息安全案例教程：技术与应用13（4）基本的访问控制模型2）访问控制表访问控制表机制实际上是按访问控制矩阵的列实施对系统中客体的访问控制。每个客体都有一张ACL，用于说明可以访问该客体的主体及其访问权限。1.访问控制的概念2021/9/9信息安全案例教程：技术与应用14（4）基本的访问控制模型3）能力表能力表保护机制实际上是按访问控制矩阵的行实施对系统中客体的访问控制。每个主体都有一张能力表，用于说明可以访问的客体及其访问权限。1.访问控制的概念2021/9/9信息安全案例教程：技术与应用15两个问题构成了访问控制的基础：1）对于给定主体，它能访问哪些客体以及如何访问？2）对于给定客体，哪些主体能访问它以及如何访问？对于第1个问题，使用能力表回答最为简单，只需要列出与主体相关联的cap表中的元素即可。对于第2个问题，使用访问控制表ACL回答最为简单，只需列出与客体相关联的acl表中的元素即可。人们可能更关注第2个问题，因此，现今大多数主流的操作系统都把ACL作为主要的访问控制机制。这种机制也可以扩展到分布式系统，ACL由文件服务器维护。1.访问控制的概念本讲要点1.访问控制的概念2.自主访问控制模型3.强制访问控制模型4.基于角色的访问控制模型5.基于PMI的授权与访问控制模型6.基于属性的新型访问控制模型应用实例：网络接入控制方案16信息安全案例教程：技术与应用2021/9/9信息安全案例教程：技术与应用172.自主访问控制模型由客体的属主对自己的客体进行管理，由属主自己决定是否将自己客体的访问权或部分访问权授予其他主体，这种控制方式是自主的，我们把它称为自主访问控制(DAC，DiscretionaryAccessControl)。在自主访问控制下，一个用户可以自主选择哪些用户可以共享他的文件。访问控制表ACL、能力表是实现DAC策略的基本数据结构在DAC模式下，有3种控制许可权手段：层次型、属主型和自由型。本讲要点1.访问控制的概念2.自主访问控制模型3.强制访问控制模型4.基于角色的访问控制模型5.基于PMI的授权与访问控制模型6.基于属性的新型访问控制模型应用实例：网络接入控制方案18信息安全案例教程：技术与应用2021/9/9信息安全案例教程：技术与应用20强制访问控制最早出现在20世纪70年代。是美国政府和军方源于对信息保密性的要求以及防止特洛伊木马之类的攻击而研发的。MAC是一种基于安全级标签的访问控制方法，通过分级的安全标签实现信息从下向上的单向流动，从而防止高密级信息的泄露。在MAC中，对于主体和客体，系统为每个实体指派一个安全级，安全级由两部分组成：1）保密级别(Classification，或叫做敏感级别或级别)。2）范畴集(Categories)。3.强制访问控制模型2021/9/9信息安全案例教程：技术与应用21安全级中包括一个保密级别，范畴集包含任意多个范畴。安全级通常写作保密级别后随范畴集的形式。例如：{机密：人事处，财务处，科技处}。安全级的集合形成一个满足偏序关系的格(Lattice)，此偏序关系称为支配(Dominate)，通常用符号“”表示，它类似于“大于或等于”的含义。对于任意两个安全级Si=(li,Ci)和Sj=(lj,Cj)，若Si支配Sj(SiSj)，当且仅当lilj，且Ci包含Cj。如果两个安全级的范畴互不包含，则这两个安全级不可比。3.强制访问控制模型2021/9/9信息安全案例教程：技术与应用24加强保密性的强制访问控制模型BLP模型有两条基本的规则规则1：不能向上读(No-Read-Up)，也称为简单安全特性。如果一个主体的安全级支配客体的安全级，则主体可读客体，即主体只能向下读，不能向上读。规则2：不能向下写(No-Write-Down)，也称为*特性。如果一个客体的安全级支配主体的安全级，则主体可写客体，即主体只能向上写，不能向下写。3.强制访问控制模型2021/9/9信息安全案例教程：技术与应用25加强完整性的强制访问控制模型Biba模型设计类似于BLP模型，不过使用完整性级别而非信息安全级别来进行划分。Biba模型规定，信息只能从高完整性的安全等级向低完整性的安全等级流动，就是要防止低完整性的信息“污染”高完整性的信息。Biba模型只能够实现信息完整性中防止数据被未授权用户修改这一要求。而对于保护数据不被授权用户越权修改、维护数据的内部和外部一致性这两项数据完整性要求却无法做到。3.强制访问控制模型本讲要点1.访问控制的概念（与身份认证的区别）2.自主访问控制模型3.强制访问控制模型4.基于角色的访问控制模型5.基于PMI的授权与访问控制模型6.基于属性的新型访问控制模型应用实例：网络接入控制方案28信息安全案例教程：技术与应用2021/9/9信息安全案例教程：技术与应用30基于角色访问控制的核心思想是：将权限同角色关联起来，而用户的授权则通过赋予相应的角色来完成，用户所能访问的权限由该用户所拥有的所有角色的权限集合的并集决定。4.基于角色的访问控制模型2021/9/9信息安全案例教程：技术与应用34RBAC的特点便于授权管理便于根据工作需要分级便于赋予最小权限便于任务分担便于文件分级管理便于大规模实现4.基于角色的访问控制模型本讲要点1.访问控制的概念（与身份认证的区别）2.自主访问控制模型3.强制访问控制模型4.基于角色的访问控制模型5.基于PMI的授权与访问控制模型6.基于属性的新型访问控制模型应用实例：网络接入控制方案35信息安全案例教程：技术与应用信息安全案例教程：技术与应用39PMI的概念核心思想是以资源管理为核心，将对资源的访问控制权统一交由授权机构进行管理，即由资源的所有者来进行访问控制管理。与PKI信任技术相比，两者的区别主要在于PKI证明用户是谁；而PMI证明这个用户有什么权限、什么属性，并将用户的属性信息保存在属性证书。相比之下，后者更适合于那些基于角色的访问控制领域。2021/9/95.基于PMI的授权与访问控制模型信息安全案例教程：技术与应用41（2）PMI的概念PMI建立在PKI提供的可信的身份认证服务的基础上，以属性证书的形式实现授权的管理。PMI体系和模型的核心内容是实现属性证书的有效管理，包括属性证书的产生、使用、作废、失效等。2021/9/95.基于PMI的授权与访问控制模型信息安全案例教程：技术与应用44（3）基于PMI的授权与访问控制模型本书仅介绍PMI基本模型。模型中包含3类实体：授权机构(属性管理中心SOA或属性认证机构AA)、权限持有者和权限验证者。基本模型描述了在授权服务体系中主要三方之间的逻辑联系，以及两个主要过程：权限分配和验证。这是PMI框架的核心。授权机构向权限持有者授权，权限持有者向资源提出访问请求并声称具有权限，由权限验证者进行验证。权限验证者总是信任授权机构，从而建立信任关系。2021/9/95.基于PMI的授权与访问控制模型本讲要点1.访问控制的概念（与身份认证的区别）2.自主访问控制模型3.强制访问控制模型4.基于角色的访问控制模型5.基于PMI的授权与访问控制模型6.基于属性的新型访问控制模型应用实例：网络接入控制方案45信息安全案例教程：技术与应用本讲要点1.访问控制的概念（与身份认证的区别）2.自主访问控制模型3.强制访问控制模型4.基于角色的访问控制模型5.基于PMI的授权与访问控制模型6.基于属性的新型访问控制模型应用实例：网络接入控制方案53信息安全案例教程：技术与应用本讲要点1.访问控制的概念2.自主访问控制模型3.强制访问控制模型4.基于