信息安全訪問控制模型

1、信息安全訪問控制模型知識域：訪問控制模型知識子域：訪問控制基本概念理解標(biāo)識、鑒別和授權(quán)等訪問控制的基本概念理解常用訪問控制模型分類2訪問控制的概念和目標(biāo)訪問控制：針對越權(quán)使用資源的防御措施目標(biāo)：防止對任何資源（如計(jì)算資源、通信資源或信息資源）進(jìn)行未授權(quán)的訪問，從而使資源在授權(quán)范圍內(nèi)使用，決定用戶能做什么，也決定代表一定用戶利益的程序能做什么。3訪問控制的作用未授權(quán)訪問：包括未經(jīng)授權(quán)的使用、泄露、修改、銷毀信息以及頒發(fā)指令等。非法用戶對系統(tǒng)資源的使用合法用戶對系統(tǒng)資源的非法使用作用：機(jī)密性、完整性和可用性(CIA)4主體與客體主體發(fā)起者，是一個主動的實(shí)體，可以操作被動實(shí)體的相關(guān)信息或數(shù)據(jù)用戶、程

2、序、進(jìn)程等客體一種被動實(shí)體，被操作的對象，規(guī)定需要保護(hù)的資源文件、存儲介質(zhì)、程序、進(jìn)程等5主體與客體之間的關(guān)系主體：接收客體相關(guān)信息和數(shù)據(jù)，也可能改變客體相關(guān)信息一個主體為了完成任務(wù)，可以創(chuàng)建另外的主體，這些子主體可以在網(wǎng)絡(luò)上不同的計(jì)算機(jī)上運(yùn)行，并由父主體控制它們客體：始終是提供、駐留信息或數(shù)據(jù)的實(shí)體主體和客體的關(guān)系是相對的，角色可以互換6 授權(quán) 規(guī)定主體可以對客體執(zhí)行的操作：讀寫執(zhí)行拒絕訪問7標(biāo)識標(biāo)識是實(shí)體身份的一種計(jì)算機(jī)表達(dá)，每個實(shí)體與計(jì)算機(jī)內(nèi)部的一個身份表達(dá)綁定標(biāo)識的主要作用：訪問控制和審計(jì)訪問控制：標(biāo)識用于控制是否允許特定的操作審計(jì)：標(biāo)識用于跟蹤所有操作的參與者，參與者的任何操作都能被

3、明確地標(biāo)識出來8主體標(biāo)識的實(shí)例主體的標(biāo)識在UNIX中，主體（用戶）的身份標(biāo)識為0-65535之間的一個整數(shù)，稱為用戶身份號（UID）常見的主體標(biāo)識還包括用戶名、卡、令牌等，也可以是指紋、虹膜等生物特征9客體標(biāo)識的實(shí)例客體的標(biāo)識文件名文件描述符或句柄文件分配表的條目UNIX中提供了四種不同的文件標(biāo)識：inode文件描述符絕對路徑文件名相對路徑文件名10鑒別確認(rèn)實(shí)體是它所聲明的，提供了關(guān)于某個實(shí)體身份的保證，某一實(shí)體確信與之打交道的實(shí)體正是所需要的實(shí)體口令、挑戰(zhàn)-應(yīng)答、生物特征鑒別所有其它的安全服務(wù)都依賴于該服務(wù)需求：某一成員（聲稱者）提交一個主體的身份并聲稱它是那個主體目的：使別的成員（驗(yàn)證者）

4、獲得對聲稱者所聲稱的事實(shí)的信任11訪問控制的兩個重要過程第一步：鑒別檢驗(yàn)主體的合法身份第二步：授權(quán)限制用戶對資源的訪問權(quán)限12訪問控制模型主 體客 體訪問控制實(shí)施訪問控制決策提交訪問 請求請求決策決 策提出訪問 請求13什么是訪問控制模型對一系列訪問控制規(guī)則集合的描述，可以是非形式化的，也可以是形式化的。組成訪問控制模型的分類訪問控制模型強(qiáng)制訪問控制模型（MAC）自主訪問控制模型（DAC）訪問矩陣模型訪問控制列表（ACL）權(quán)能列表（Capacity List）Bell-Lapudula 模型Biba 模型Clark-Wilson 模型Chinese Wall 模型保密性 模型完整性 模型基于角

5、色訪問控制模型（RBAC）混合策略模型14知識域：訪問控制模型知識子域：自主訪問控制模型理解自主訪問控制的含義理解訪問控制矩陣模型，及其實(shí)現(xiàn)方法：訪問控制列表、權(quán)能列表理解自主訪問控制模型的特點(diǎn)15自主訪問控制的含義允許客體的屬主（創(chuàng)建者）決定主體對該客體的訪問權(quán)限靈活地調(diào)整安全策略具有較好的易用性和可擴(kuò)展性常用于商業(yè)系統(tǒng)安全性不高16自主訪問控制的實(shí)現(xiàn)機(jī)制和方法實(shí)現(xiàn)機(jī)制 訪問控制表/矩陣實(shí)現(xiàn)方法 訪問控制表（Access Control Lists） 訪問能力表（Capacity List） 17目標(biāo)xR、W、OwnR、W、Own目標(biāo)y目標(biāo)z用戶a用戶b用戶c用戶dRRR、W、OwnR、WR

6、、W 目標(biāo)用戶 訪問許可與訪問模式訪問許可(Access Permission)：描述主體對客體所具有的控制權(quán)定義了改變訪問模式的能力或向其它主體傳送這種能力的能力訪問模式：描述主體對客體所具有的訪問權(quán)指明主體對客體可進(jìn)行何種形式的特定訪問操作：讀/寫/運(yùn)行 18訪問許可的類型等級型（Hierarchical）有主型（Owner） 每個客體設(shè)置一個擁有者（一般是客體的生成者），擁有者是唯一有權(quán)修改客體訪問控制表的主體，擁有者對其客體具有全部控制權(quán)自由型（Laissez-faire）19訪問模式的類型對文件的訪問模式設(shè)置如下：讀-拷貝寫-刪除/更改運(yùn)行無效20訪問控制矩陣行：主體（用戶）列：客體

7、（文件）矩陣元素：規(guī)定了相應(yīng)用戶對應(yīng)于相應(yīng)的文件被準(zhǔn)予的訪問許可、訪問權(quán)限客體x客體y客體z主體aR、W、OwnR、W主體bRR、W、Own主體cR主體dR、WR、W21訪問控制表訪問控制矩陣按列：訪問控制表訪問控制表：每個客體可以被訪問的主體及權(quán)限客體y主體b主體dRWOwnRW22訪問能力表訪問控制矩陣按行：訪問能力表訪問能力表：每個主體可訪問的客體及權(quán)限主體b客體x客體yRRWOwn23訪問控制表與訪問能力表的比較ACLCL保存位置客體主體瀏覽訪問權(quán)限容易困難訪問權(quán)限傳遞困難容易訪問權(quán)限回收容易困難使用集中式系統(tǒng)分布式系統(tǒng)24自主訪問控制的特點(diǎn) 優(yōu)點(diǎn)：根據(jù)主體的身份和訪問權(quán)限進(jìn)行決策具有

8、某種訪問能力的主體能夠自主地將訪問權(quán)的某個子集授予其它主體靈活性高，被大量采用缺點(diǎn)：信息在傳遞過程中其訪問權(quán)限關(guān)系會被改變25知識域：訪問控制模型知識子域：強(qiáng)制訪問控制模型理解強(qiáng)制訪問控制的分類和含義掌握典型強(qiáng)制訪問控制模型：Bell-Lapudula模型、Biba模型、Clark-Wilson模型和Chinese Wall模型理解強(qiáng)制訪問控制模型的特點(diǎn)26強(qiáng)制訪問控制的含義主體對客體的所有訪問請求按照強(qiáng)制訪問控制策略進(jìn)行控制，客體的屬主無權(quán)控制客體的訪問權(quán)限，以防止對信息的非法和越權(quán)訪問主體和客體分配有一個安全屬性應(yīng)用于軍事等安全要求較高的系統(tǒng)可與自主訪問控制結(jié)合使用27常見強(qiáng)制訪問控制模型

9、BLP模型 提供保密性1973年提出的多級安全模型，影響了許多其他模型的發(fā)展，甚至很大程度上影響了計(jì)算機(jī)安全技術(shù)的發(fā)展Biba模型1977年，Biba提出的一種在數(shù)學(xué)上與BLP模型對偶的完整性保護(hù)模型Clark-Wilson模型1987年，David Clark和David Wilson開發(fā)的以事務(wù)處理為基本操作的完整性模型，該模型應(yīng)用于多種商業(yè)系統(tǒng)Chinese Wall模型1989年，D. Brewer和M. Nash提出的同等考慮保密性與完整性的安全策略模型，主要用于解決商業(yè)中的利益沖突28BLP模型的組成主體集：S客體集：O安全級：密級和范疇密級：絕密、機(jī)密、秘密、公開范疇：NUC、E

10、UR、US偏序關(guān)系：支配 安全級L=(C,S)高于安全級L=(C,S)，當(dāng)且僅當(dāng)滿足以下關(guān)系：C C，S S29BLP模型規(guī)則（一）簡單安全特性(與讀有關(guān)的特性)：S可以讀O，當(dāng)且僅當(dāng)S的安全級可以支配O的安全級，且S對O具有自主型讀權(quán)限向下讀*特性(與寫有關(guān)的特性)：S可以寫O，當(dāng)且僅當(dāng)O的安全級可以支配S的安全級，且S對O具有自主型寫權(quán)限向上寫30BLP模型規(guī)則（二）當(dāng)一個高等級的主體必須與另一個低等級的主體通信，即高等級的主體寫信息到低等級的客體，以便低等級的主體可以讀主體有一個最高安全等級和一個當(dāng)前安全等級，最高安全等級必須支配當(dāng)前等級主體可以從最高安全等級降低下來，以便與低安全等級的

11、實(shí)體通信31BLP模型實(shí)例32Biba模型的組成主體集：S客體集：O安全級：完整級和范疇完整等級：Crucial，Very Important，Important范疇：NUC、EUR、US偏序關(guān)系：支配 完整級L=(C,S)高于完整級L=(C,S)，當(dāng)且僅當(dāng)滿足以下關(guān)系：C C，S S33Biba模型規(guī)則與實(shí)例S可以讀O，當(dāng)且僅當(dāng)O的安全級支配S的安全級S可以寫O，當(dāng)且僅當(dāng)S的安全級支配O的安全級上讀下寫34Clark-Wilson模型的目標(biāo)解決商業(yè)系統(tǒng)最關(guān)心的問題：系統(tǒng)數(shù)據(jù)的完整性以及對這些操作的完整性一致性狀態(tài)：數(shù)據(jù)滿足給定屬性，就稱數(shù)據(jù)處于一個一致性狀態(tài)實(shí)例：今天到目前為止存入金額的總數(shù)

12、：D今天到目前為止提取金額的總數(shù)：W昨天為止所有賬戶的金額總數(shù)：YB今天到目前為止所有賬戶的金額總數(shù)：TB一致性屬性：D+YB-W=TB35Clark-Wilson模型的組成約束型數(shù)據(jù)項(xiàng)（CDI）：所有從屬于完整性控制的數(shù)據(jù)，如：賬戶結(jié)算非約束型數(shù)據(jù)項(xiàng)（UDI）：不從屬于完整性控制的數(shù)據(jù)CDI集合和UDI集合是模型中所有數(shù)據(jù)集合的劃分完整性驗(yàn)證過程（IVP）：檢驗(yàn)CDI是否符合完整性約束，如果符合，則稱系統(tǒng)處于一個有效狀態(tài)，如：檢查賬戶的結(jié)算轉(zhuǎn)換過程（TP）：將系統(tǒng)數(shù)據(jù)從一個有效狀態(tài)轉(zhuǎn)換為另一個有效狀態(tài)，實(shí)現(xiàn)了定義的事務(wù)處理，如：存錢、取錢、轉(zhuǎn)賬36Clark-Wilson模型規(guī)則（一）證明規(guī)

13、則1（CR1）：當(dāng)任意一個IVP在運(yùn)行時，它必須保證所有的CDI都處于有效狀態(tài)證明規(guī)則2（CR2） ：對于某些相關(guān)聯(lián)的CDI集合，TP必須將那些CDI從一個有效狀態(tài)轉(zhuǎn)換到另一個有效狀態(tài)實(shí)施規(guī)則1（ER1）：系統(tǒng)必須維護(hù)所有的證明關(guān)系，且必須保證只有經(jīng)過證明可以運(yùn)行該CDI的TP才能操作該CDI37Clark-Wilson模型規(guī)則（二）實(shí)施規(guī)則2（ER2）：系統(tǒng)必須將用戶與每個TP及一組相關(guān)的CDI關(guān)聯(lián)起來。TP可以代表相關(guān)用戶來訪問這些CDI。如果用戶沒有與特定的TP及CDI相關(guān)聯(lián)，那么這個TP將不能代表那個用戶對CDI進(jìn)行訪問證明規(guī)則3（CR3）：被允許的關(guān)系必須滿足職責(zé)分離原則所提出的要求

14、實(shí)施規(guī)則3（ER3）：系統(tǒng)必須對每一個試圖執(zhí)行TP的用戶進(jìn)行認(rèn)證38Clark-Wilson模型規(guī)則（三）證明規(guī)則4（CR4）：所有的TP必須添加足夠多的信息來重構(gòu)對一個只允許添加的CDI的操作證明規(guī)則5（CR5）：任何以UDI為輸入的TP，對于該UDI的所有可能值，只能執(zhí)行有效的轉(zhuǎn)換，或者不進(jìn)行轉(zhuǎn)換。這種轉(zhuǎn)換要么是拒絕該UDI，要么是將其轉(zhuǎn)化為一個CDI實(shí)施規(guī)則4（ER4）：只有TP的證明者可以改變與該TP相關(guān)的一個實(shí)體列表。TP的證明者，或與TP相關(guān)的實(shí)體的證明者都不會有對該實(shí)體的執(zhí)行許可39Clark-Wilson模型 自由數(shù)據(jù)條目 Unconstrained Data Item (UD

15、I) 受限數(shù)據(jù)條目 Constrained Data Item (CDI) 轉(zhuǎn)換程序 Transformation Procedure (TP) 完整性檢查程序 Integrity Verification Procedure (IVP) 數(shù)據(jù)庫服務(wù)器應(yīng)用程序服務(wù)器用戶TP轉(zhuǎn)換UD1為CDI1TP基于CDI1更新CDI2(訂單)和CDI3(賬單)IVP檢查所有訂單和賬單(CDI2/CDI3)Chinese Wall模型的組成（一）主體集：S客體集：O無害客體：可以公開的數(shù)據(jù)有害客體：會產(chǎn)生利益沖突，需要限制的數(shù)據(jù)PR(S)表示S曾經(jīng)讀取過的客體集合41Chinese Wall模型的組成（二）公

16、司數(shù)據(jù)集CD：與某家公司相關(guān)的若干客體利益沖突(COI)類：若干相互競爭的公司的數(shù)據(jù)集銀行COI類銀行a銀行b銀行c石油公司COI類公司w公司u公司v公司x42Chinese Wall模型規(guī)則CW-簡單安全特性：S能讀取O，當(dāng)且僅當(dāng)以下任一條件滿足： （1）存在一個O，它是S曾經(jīng)訪問過的客體，并且 CD（O）= CD（O）（2）對于所有的客體O， O PR（S），則 COI（O） COI（O）（3）O是無害客體CW-*-特性： S能寫O，當(dāng)且僅當(dāng)以下兩個條件同時滿足： （1）CW-簡單安全特性允許S讀O （2）在其它COI類上不存在該主體可以讀取的客體43Chinese Wall模型實(shí)例44自

17、主訪問控制與強(qiáng)制訪問控制的比較自主訪問控制細(xì)粒度靈活性高配置效率低強(qiáng)制訪問控制控制粒度大靈活性不高安全性強(qiáng)45基于角色的訪問控制由NIST的Ferraiolo等人在90年代提出NIST成立專門機(jī)構(gòu)進(jìn)行研究1996年提出一個較完善的基于角色的訪問控制參考模型RBAC9646RBAC 模型的基本思想RBAC的基本思想是根據(jù)用戶所擔(dān)任的角色來決定用戶在系統(tǒng)中的訪問權(quán)限。一個用戶必須扮演某種角色，而且還必須激活這一角色，才能對一個對象進(jìn)行訪問或執(zhí)行某種操作。安全管理員用戶角色/權(quán)限指定訪問或操作激活47RBAC 96的組成RBAC0: 含有RBAC核心部分RBAC1: 包含RBAC0，另含角色繼承關(guān)系(RH)RBAC2: 包含RBAC0，另含限制(Constraints)RBAC3: 包含所有層次內(nèi)容，是一個完整模型48RBAC 模型的組成（一）用戶（User）：訪問計(jì)算機(jī)資源的主體，用戶集合為 U角色（role）：一種崗位，代表一種資格、權(quán)利和責(zé)任，角色集合為 R權(quán)限（permission）：對客體的操作權(quán)力，權(quán)限集合為 P用戶分配（User Assignment）將用戶與角色關(guān)聯(lián)。用戶 u與角色 r關(guān)聯(lián)后，將擁有 r的權(quán)限49RBAC 模型的組成（二）權(quán)限分配（Per