保密安全與密碼技術(shù)-6訪問控制ppt課件

1、嚴(yán)密平安與密碼技術(shù)第六講 訪問控制1平安機(jī)制2訪問控制的目的 訪問控制是為了限制訪問主體用戶、進(jìn)程、效力等對(duì)訪問客體文件、系統(tǒng)等的訪問權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)運(yùn)用；決議用戶能做什么，也決議代表一定用戶利益的程序能做什么。3訪問控制的根本概念根本的訪問控制政策模型訪問控制和其他平安機(jī)制的關(guān)系訪問控制原理4訪問控制的根本概念主體(Subject)主體是一個(gè)自動(dòng)的實(shí)體，它提出對(duì)資源訪問懇求，如用戶，程序，進(jìn)程等。客體(Object )含有被訪問資源的被動(dòng)實(shí)體，如網(wǎng)絡(luò)、計(jì)算機(jī)、數(shù)據(jù)庫(kù)、文件、目錄、計(jì)算機(jī)程序、 外設(shè)、網(wǎng)絡(luò)。訪問Access對(duì)資源的運(yùn)用，讀、寫、修正、刪除等操作，例如訪問存儲(chǔ)器

2、；訪問文件、目錄、外設(shè)；訪問數(shù)據(jù)庫(kù)；訪問一個(gè)網(wǎng)站。5訪問控制的根本概念訪問可以被描畫為一個(gè)三元組 (s, a, o)主體，發(fā)起者 : Subject，Initiator客體，目的 : Object, Target訪問操作 : AccessObjectRead/Write/Exec6訪問控制模型訪問控制執(zhí)行功能AEF訪問控制決策功能ADF客體主體的訪問控制信息主體客體的訪問控制信息訪問控制政策規(guī)那么上下文信息(如時(shí)間，地址等)決策懇求決策訪問懇求提交訪問7訪問控制的根本概念訪問控制信息ACI的表示主體訪問控制屬性客體訪問控制屬性訪問控制政策規(guī)那么授權(quán)Authorization怎樣把訪問控制屬性信

3、息分配給主體或客體如何閱讀、修正、回收訪問控制權(quán)限訪問控制功能的實(shí)施控制實(shí)施部件如何獲得實(shí)體的訪問控制信息怎樣執(zhí)行8才干表Capability List才干表與主體關(guān)聯(lián)，規(guī)定主體所能訪問的客體和權(quán)限。表示方式：用戶Profile，由于客體相當(dāng)多，分類復(fù)雜，不便于授權(quán)管理授權(quán)證書，屬性證書從才干表得到一個(gè)主體一切的訪問權(quán)限，很容易從才干表閱讀一個(gè)客體所允許的訪問控制權(quán)限，很困難O1RWO2RO5RWESi9訪問控制表Access Control List訪問控制表與客體關(guān)聯(lián)，規(guī)定可以訪問它的主體和權(quán)限由于主體數(shù)量普通比客體少得多而且容易分組，授權(quán)管理相對(duì)簡(jiǎn)單得到一個(gè)客體一切的訪問權(quán)限，很容易閱讀

4、一個(gè)主體的一切訪問權(quán)限，很困難S1RWS2RS5RWEOj10ACL、CL訪問方式比較鑒別方面：二者需求鑒別的實(shí)體不同保管位置不同閱讀訪問權(quán)限ACL:容易，CL:困難訪問權(quán)限傳送ACL:困難，CL：容易訪問權(quán)限回收ACL:容易，CL：困難ACL和CL之間轉(zhuǎn)換ACL-CL：困難CL-ACL：容易11ACL、CL訪問方式比較多數(shù)集中式操作系統(tǒng)運(yùn)用ACL方法或類似方式由于分布式系統(tǒng)中很難確定給定客體的潛在主體集，在現(xiàn)代OS中CL也得到廣泛運(yùn)用12訪問控制矩陣訪問控制機(jī)制可以用一個(gè)三元組來表示S,O,M主體的集合 S=s1,s2,sm客體的集合 O=o1,o2,on一切操作的集合 A=R, W, E,

5、 訪問控制矩陣 M= S O 2A13訪問控制矩陣矩陣的的i行Si表示了主體si對(duì)一切客體的操作權(quán)限，稱為主體si的才干表(Capability List)矩陣的第j列Oj表示客體oj允許一切主體的操作，稱為oj的訪問控制表ACL14訪問控制戰(zhàn)略模型自主型訪問控制 DAC Discretionary Access Control 強(qiáng)迫型訪問控制 MAC Mandatory Access Control基于角色的訪問控制 RBAC Role-Based Access Control基于對(duì)象的訪問控制模型 OBAC Object-Based Access Control15自主型訪問控制DACDi

6、scretionary Access Control , DAC每個(gè)客體有一個(gè)屬主，屬主可以按照本人的志愿把客體的訪問控制權(quán)限授予其他主體DAC是一種分布式授權(quán)管理的方式控制靈敏，易于管理，是目前運(yùn)用最為普遍的訪問控制政策16自主型訪問控制DAC自主訪問控制模型是根據(jù)自主訪問控制戰(zhàn)略建立的一種模型，允許合法用戶以用戶或用戶組的身份訪問戰(zhàn)略規(guī)定的客體，同時(shí)阻止非授權(quán)用戶訪問客體，某些用戶還可以自主地把本人所擁有的客體的訪問權(quán)限授予其它用戶。自主訪問控制模型的特點(diǎn)是授權(quán)的實(shí)施主體可以授權(quán)的主體；管理授權(quán)的客體；授權(quán)組自主訪問控制又稱為恣意訪問控制。LINUX，UNIX、WindowsNT或是SER

7、VER版本的操作系統(tǒng)都提供自主訪問控制的功能。17自主型訪問控制DACDAC模型提供的平安防護(hù)還是相對(duì)比較低的，不能給系統(tǒng)提供充分的數(shù)據(jù)維護(hù)。自主擔(dān)任賦予和回收其他主體對(duì)客體資源的訪問權(quán)限。DAC采用訪問控制矩陣和訪問控制列表來存放不同主體的訪問控制信息，從而到達(dá)對(duì)主體訪問權(quán)限的限制目的。無(wú)法控制信息流動(dòng)：信息在挪動(dòng)過程中其訪問權(quán)限關(guān)系會(huì)被改動(dòng)。如用戶A可將其對(duì)目的O的訪問權(quán)限傳送給用戶B, 從而使不具備對(duì)O訪問權(quán)限的B可訪問O。特洛伊木馬的要挾 ：特洛伊木馬Trojan是一段計(jì)算機(jī)程序，它附在合法程序的中，執(zhí)行一些非法操作而不被用戶發(fā)現(xiàn)。18強(qiáng)迫型訪問控制MACMandatory Acces

8、s Control每個(gè)主體和客體分配一個(gè)固定的平安級(jí)別，只需系統(tǒng)管理員才可以修正Clearance ，classification , sensitivity Unclassified confidential secret top secret 普密絕密只需在主體和客體的平安級(jí)別滿足一定規(guī)那么時(shí)，才允許訪問19強(qiáng)迫型訪問控制MAC在MAC訪問控制中，用戶和客體資源都被賦予一定的平安級(jí)別，用戶不能改動(dòng)本身和客體的平安級(jí)別，只需管理員才可以確定用戶和組的訪問權(quán)限。和DAC模型不同的是，MAC是一種多級(jí)訪問控制戰(zhàn)略。MAC對(duì)訪問主體和受控對(duì)象標(biāo)識(shí)兩個(gè)平安標(biāo)志：具有偏序關(guān)系的平安等級(jí)標(biāo)志非等級(jí)分類標(biāo)

9、志。主體和客體在分屬不同的平安類別時(shí)，都屬于一個(gè)固定的平安類別SC，SC就構(gòu)成一個(gè)偏序關(guān)系比如TS表示絕密級(jí)，就比密級(jí)S要高。當(dāng)主體s的平安類別為TS，而客體o的平安類別為S時(shí)，用偏序關(guān)系可以表述為SC(s)SC(o)。20思索到偏序關(guān)系，主體對(duì)客體的訪問主要有四種方式：向下讀rd，read down：主體平安級(jí)別高于客體信息資源的平安級(jí)別時(shí)允許查閱的讀操作；向上讀ru，read up：主體平安級(jí)別低于客體信息資源的平安級(jí)別時(shí)允許的讀操作；向下寫wd，write down：主體平安級(jí)別高于客體信息資源的平安級(jí)別時(shí)允許執(zhí)行的動(dòng)作或是寫操作；向上寫wu，write up：主體平安級(jí)別低于客體信息資

10、源的平安級(jí)別時(shí)允許執(zhí)行的動(dòng)作或是寫操作。由于MAC經(jīng)過分級(jí)的平安標(biāo)簽實(shí)現(xiàn)了信息的單向流通，因此它不斷被軍方采用，其中最著名的是Bell-LaPadula模型和Biba模型：Bell-LaPadula模型具有只允許向下讀、向上寫的特點(diǎn)，可以有效地防止信息向下級(jí)泄露；Biba模型那么具有不允許向下讀、向上寫的特點(diǎn)，可以有效地維護(hù)數(shù)據(jù)的完好性。強(qiáng)迫型訪問控制MAC21強(qiáng)迫型訪問控制MACBLP(Bell-LaPadula)模型制止向下寫：假設(shè)用戶的級(jí)別比要寫的客體級(jí)別高，那么該操作是不允許的制止向上讀：假設(shè)主體的級(jí)別比要讀的客體級(jí)別低，那么該操作是不允許的。向下寫是不允許的向上讀是不允許的22強(qiáng)迫型

11、訪問控制MACTSSCUTSSCUR/WWR/WRR/WRWRRR R/WRWWWWSubjectsObjects信息流向BLP 模型的信息流23訪問控制的戰(zhàn)略自主訪問控制特點(diǎn)： 根據(jù)主體的身份和授權(quán)來決議訪問方式。缺陷： 信息在挪動(dòng)過程中其訪問權(quán)限關(guān)系會(huì)被改動(dòng)。如用戶A可將其對(duì)目的O的訪問權(quán)限傳送給用戶B,從而使不具備對(duì)O訪問權(quán)限的B可訪問O。 24訪問控制的戰(zhàn)略強(qiáng)迫訪問控制特點(diǎn)： 1.將主題和客體分級(jí)，根據(jù)主體和客體的級(jí)別標(biāo)志來決議訪問方式。如，絕密級(jí)，級(jí)，級(jí)，無(wú)密級(jí)。 2.其訪問控制關(guān)系分為： 上讀/下寫 ， 下讀/上寫 完好性 性 3.經(jīng)過平安標(biāo)簽實(shí)現(xiàn)單向信息流通方式。 251.自主式

12、太弱2.強(qiáng)迫式太強(qiáng)3.二者任務(wù)量大，不便管理 例： 1000主體訪問10000客體，須1000萬(wàn)次配置。如每次配置需1秒，每天任務(wù)8小時(shí)，就需 10，000，000/3600*8 =347.2天訪問控制的戰(zhàn)略 自主/強(qiáng)迫訪問的問題26基于角色的訪問控制RBACRole-Based Access Control基于角色的訪問控制模型：RBAC模型的根本思想是將訪問答應(yīng)權(quán)分配給一定的角色，用戶經(jīng)過飾演不同的角色獲得角色所擁有的訪問答應(yīng)權(quán)。RBAC從控制主體的角度出發(fā)，根據(jù)管理中相對(duì)穩(wěn)定的職權(quán)和責(zé)任來劃分角色，將訪問權(quán)限與角色相聯(lián)絡(luò)，這點(diǎn)與傳統(tǒng)的MAC和DAC將權(quán)限直接授予用戶的方式不同；經(jīng)過給用戶

13、分配適宜的角色，讓用戶與訪問權(quán)限相聯(lián)絡(luò)。角色成為訪問控制中訪問主體和受控對(duì)象之間的一座橋梁。27基于角色的訪問控制RBAC用戶組group用戶組：用戶的集合 G=s1, s2, s3 授權(quán)管理：把用戶分組，把訪問權(quán)限分配給一個(gè)用戶組；角色Role角色是完成一項(xiàng)義務(wù)必需訪問的資源及相應(yīng)操作權(quán)限的集合，R=(a1,o1), (a2,o2), (a3,o3)授權(quán)管理：根據(jù)義務(wù)需求定義角色，為角色分配資源和操作權(quán)限給一個(gè)用戶指定一個(gè)角色28基于角色的訪問控制RBAC角色的承繼關(guān)系RBAC的優(yōu)勢(shì)便于授權(quán)管理便于責(zé)任劃分 Project SupervisorTest Engineer Programmer

14、 Project Member29基于對(duì)象的訪問控制OBAC Object-based Access Control Model控制戰(zhàn)略和控制規(guī)那么是OBAC訪問控制系統(tǒng)的中心將訪問控制列表與受控對(duì)象或受控對(duì)象的屬性相關(guān)聯(lián)，并將訪問控制選項(xiàng)設(shè)計(jì)成為用戶、組或角色及其對(duì)應(yīng)權(quán)限的集合；同時(shí)允許對(duì)戰(zhàn)略和規(guī)那么進(jìn)展重用、承繼和派生操作。OBAC一方面定義對(duì)象的訪問控制列表，增、刪、修正訪問控制項(xiàng)易于操作，另一方面，當(dāng)受控對(duì)象的屬性發(fā)生改動(dòng)，或者受控對(duì)象發(fā)生承繼和派生行為時(shí)，無(wú)須更新訪問主體的權(quán)限，只需求修正受控對(duì)象的相應(yīng)訪問控制項(xiàng)即可，從而減少了訪問主體的權(quán)限管理，降低了授權(quán)數(shù)據(jù)管理的復(fù)雜性。30授權(quán)信息訪問控制與其他平安機(jī)制的關(guān)系認(rèn)證、授權(quán)、審計(jì)AAAL