,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,保密安全与密码技术,讲访问控制,保密安全与密码技术讲访问控制,1,安全机制,2,安全机制2,访问控制的目的,访问控制是为了限制访问主体（用户、进程、服务等）对访问客体（文件、系统等）的访问权限，从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么。,3,访问控制的目的 访问控制是为了限制访问主体（用户、进程,访问控制的基本概念,基本的访问控制政策模型,访问控制和其他安全机制的关系,访问控制原理,4,访问控制的基本概念访问控制原理4,访问控制的基本概念,主体,(Subject),主体是一个主动的实体，它提出对资源访问请求，如用户，程序，进程等。,客体,(Object),含有被访问资源的被动实体，如网络、计算机、数据库、文件、目录、计算机程序、外设、网络。,访问（,Access,）,对资源的使用，读、写、修改、删除等操作，例如访问存储器；访问文件、目录、外设；访问数据库；访问一个网站。,5,访问控制的基本概念主体(Subject)5,访问控制的基本概念,访问可以被描述为一个三元组,(s,a,o),主体，发起者,:Subject,，,Initiator,客体，目标,:Object,Target,访问操作,:Access,Object,Read/Write/Exec,6,访问控制的基本概念访问可以被描述为一个三元组(s,a,访问控制模型,访问控制执行功能（,AEF,）,访问控制决策功能（,ADF,）,客体,主体的访问控制信息,主体,客体的访问控制信息,访问控制政策规则,上下文信息,(,如时间，地址等,),决策请求,决策,访问请求,提交访问,7,访问控制模型访问控制执行功能（AEF）访问控制决策功能（,访问控制的基本概念,访问控制信息（,ACI,）的表示,主体访问控制属性,客体访问控制属性,访问控制政策规则,授权（,Authorization,）,怎样把访问控制属性信息分配给主体或客体,如何浏览、修改、回收访问控制权限,访问控制功能的实施,控制实施部件如何获得实体的访问控制信息,怎样执行,8,访问控制的基本概念访问控制信息（ACI）的表示8,能力表（,Capability List,）,能力表与主体关联，规定主体所能访问的客体和权限。,表示形式：,用户,Profile,，由于客体相当多，分类复杂，不便于授权管理,授权证书，属性证书,从能力表得到一个主体所有的访问权限，很容易,从能力表浏览一个客体所允许的访问控制权限，很困难,O,1,R,W,O,2,R,O,5,R,W,E,S,i,9,能力表（Capability List）能力表与主体关联，规,访问控制表（,Access Control List,）,访问控制表与客体关联，规定能够访问它的主体和权限,由于主体数量一般比客体少得多而且容易分组，授权管理相对简单,得到一个客体所有的访问权限，很容易,浏览一个主体的所有访问权限，很困难,S,1,R,W,S,2,R,S,5,R,W,E,O,j,10,访问控制表（Access Control List）访问控制,ACL,、,CL,访问方式比较,鉴别方面：二者需要鉴别的实体不同,保存位置不同,浏览访问权限,ACL:,容易，,CL:,困难,访问权限传递,ACL:,困难，,CL,：容易,访问权限回收,ACL:,容易，,CL,：困难,ACL,和,CL,之间转换,ACL-CL,：困难,CL-ACL,：容易,11,ACL、CL访问方式比较鉴别方面：二者需要鉴别的实体不同11,ACL,、,CL,访问方式比较,多数集中式操作系统使用,ACL,方法或类似方式,由于分布式系统中很难确定给定客体的潜在主体集，在现代,OS,中,CL,也得到广泛应用,12,ACL、CL访问方式比较多数集中式操作系统使用ACL方法或类,访问控制矩阵,访问控制机制可以用一个三元组来表示（,S,O,M,）,主体的集合,S=s,1,s,2,s,m,客体的集合,O=o,1,o,2,o,n,所有操作的集合,A=R,W,E,访问控制矩阵,M=S O,2,A,13,访问控制矩阵访问控制机制可以用一个三元组来表示（S,O,M）,访问控制矩阵,矩阵的的,i,行,S,i,表示了主体,s,i,对所有客体的操作权限，称为主体,s,i,的能力表,(Capability List),矩阵的第,j,列,O,j,表示客体,o,j,允许所有主体的操作，称为,o,j,的访问控制表（,ACL,）,14,访问控制矩阵矩阵的的i行Si表示了主体si对所有客体的操作权,访问控制策略模型,自主型访问控制,DAC,（,Discretionary Access Control,）,强制型访问控制,MAC,（,Mandatory Access Control,）,基于角色的访问控制,RBAC,（,Role-Based Access Control,）,基于对象的访问控制模型,OBAC,（,Object-Based Access Control,）,15,访问控制策略模型自主型访问控制15,自主型访问控制,DAC,Discretionary Access Control,DAC,每个客体有一个属主，属主可以按照自己的意愿把客体的访问控制权限授予其他主体,DAC,是一种分布式授权管理的模式,控制灵活，易于管理，是目前应用最为普遍的访问控制政策,16,自主型访问控制DACDiscretionary Access,自主型访问控制,DAC,自主访问控制模型是根据自主访问控制策略建立的一种模型，允许合法用户以用户或用户组的身份访问策略规定的客体，同时阻止非授权用户访问客体，某些用户还可以自主地把自己所拥有的客体的访问权限授予其它用户。,自主访问控制模型的特点是授权的实施主体,可以授权的主体；,管理授权的客体；,授权组,自主访问控制又称为任意访问控制。,LINUX,，,UNIX,、,WindowsNT,或是,SERVER,版本的操作系统都提供自主访问控制的功能。,17,自主型访问控制DAC自主访问控制模型是根据自主访问控制策略建,自主型访问控制,DAC,DAC,模型提供的安全防护还是相对比较低的，不能给系统提供充分的数据保护。,自主负责赋予和回收其他主体对客体资源的访问权限。,DAC,采用,访问控制矩阵,和,访问控制列表,来存放不同主体的访问控制信息，从而达到对主体访问权限的限制目的。,无法控制信息流动：信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。,特洛伊木马的威胁：特洛伊木马（Trojan）是一段计算机程序，它附在合法程序的中，执行一些非法操作而不被用户发现。,18,自主型访问控制DACDAC模型提供的安全防护还是相对比较低的,强制型访问控制,MAC,Mandatory Access Control,每个主体和客体分配一个固定的安全级别，只有系统管理员才可以修改,Clearance,，,classification,sensitivity,Unclassified confidential secret top secret,普密,秘密,机密,绝密,只有在主体和客体的安全级别满足一定规则时，才允许访问,19,强制型访问控制MACMandatory Access Con,强制型访问控制,MAC,在,MAC,访问控制中，用户和客体资源都被赋予一定的安全级别，用户不能改变自身和客体的安全级别，只有管理员才能够确定用户和组的访问权限。,和,DAC,模型不同的是，,MAC,是一种多级访问控制策略。,MAC,对访问主体和受控对象标识两个安全标记：,具有偏序关系的安全等级标记,非等级分类标记。,主体和客体在分属不同的安全类别时，都属于一个固定的安全类别,SC,，,SC,就构成一个偏序关系（比如,TS,表示绝密级，就比密级,S,要高）。当主体,s,的安全类别为,TS,，而客体,o,的安全类别为,S,时，用偏序关系可以表述为,SC(s)SC(o),。,20,强制型访问控制MAC在MAC访问控制中，用户和客体资源都被赋,考虑到偏序关系，主体对客体的访问主要有四种方式：,向下读（,rd,，,read down,）：主体安全级别高于客体信息资源的安全级别时允许查阅的读操作；,向上读（,ru,，,read up,）：主体安全级别低于客体信息资源的安全级别时允许的读操作；,向下写（,wd,，,write down,）：主体安全级别高于客体信息资源的安全级别时允许执行的动作或是写操作；,向上写（,wu,，,write up,）：主体安全级别低于客体信息资源的安全级别时允许执行的动作或是写操作。,由于,MAC,通过分级的安全标签实现了信息的单向流通，因此它一直被军方采用，其中最著名的是,Bell-LaPadula,模型和,Biba,模型：,Bell-LaPadula,模型具有只允许向下读、向上写的特点，可以有效地防止机密信息向下级泄露；,Biba,模型则具有不允许向下读、向上写的特点，可以有效地保护数据的完整性。,强制型访问控制,MAC,21,考虑到偏序关系，主体对客体的访问主要有四种方式：强制型访问控,强制型访问控制,MAC,BLP(Bell-LaPadula),模型,禁止向下写：,如果用户的级别比要写的客体级别高，则该操作是不允许的,禁止向上读：,如果主体的级别比要读的客体级别低，则该操作是不允许的。,向下写是不允许的,向上读是不允许的,22,强制型访问控制MACBLP(Bell-LaPadula)模型,强制型访问控制,MAC,TS,S,C,U,TS,S,C,U,R/W,W,R/W,R,R/W,R,W,R,R,R,R/W,R,W,W,W,W,Subjects,Objects,信息流向,BLP,模型的信息流,23,强制型访问控制MACTSTSSCUR/WWR/WRR/WRW,访问控制的策略,自主访问控制,特点：,根据主体的身份和授权来决定访问模式。,缺点：,信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。,24,访问控制的策略特点：24,访问控制的策略,强制访问控制,特点：,1.,将主题和客体分级，根据主体和客体的级别标记来决定访问模式。如，绝密级，机密级，秘密级，无密级。,2.,其访问控制关系分为：,上读,/,下写，下读,/,上写,（完整性）（机密性）,3.,通过安全标签实现单向信息流通模式。,25,访问控制的策略特点：25,1.,自主式太弱,2.,强制式太强,3.,二者工作量大，不便管理,例：,1000,主体访问,10000,客体，须,1000,万次配置。如每次配置需,1,秒，每天工作,8,小时，就需,10，000，000/（3600*8）=347.2天,访问控制的策略,自主,/,强制访问的问题,26,1.自主式太弱访问控制的策略26,基于角色的访问控制,RBAC,Role-Based Access Control,基于角色的访问控制模型：,RBAC,模型的基本思想是将访问许可权分配给一定的角色，用户通过饰演不同的角色获得角色所拥有的访问许可权。,RBAC,从控制主体的角度出发，根据管理中相对稳定的职权和责任来划分角色，将访问权限与角色相联系，这点与传统的,MAC,和,DAC,将权限直接授予用户的方式不同；通过给用户分配合适的角色，让用户与访问权限相联系。角色成为访问控制中访问主体和受控对象之间的一座桥梁。,27,基于角色的访问控制RBACRole-Based Access,基于角色的访问控制,RBAC,用户组（,group,）,用户组：用户的集合,G,=,s,1,s,2,s,3,授权管理：把用户分组，把访问权限分配给一个用户组；,角色（,Role,）,角色是完成一项任务必须访问的资源及相应操作权限