授权与访问控制技术
宣讲人:李春晓
目录
z3.1授权概述
z33.22访问控制概述
3.2.1访问控制的内容
3.2.2典型访问控制模型
z33.33访问控制的策略和机制
3.3.1访问控制策略
3.3.3访问控制机制
3.1授权概述概
z
z授权是确定用户访问权限的机制。用户访问权限必须始终遵循最小特权原则,该原则规定用户只拥有执行他们的作功能所需的访问权拥有执行他们的作业功能所必需的访问权限,而不能拥有其他权限。为了保证网络资源受控、合法地使用用户只能根据自己的权限大小来访问法地使用,用户只能根据自己的权限大小来访问系统资源,不得越权访问。授权指给予某个用户为了某种目的可以访问某个目标的权利。访问控制策略在系统安全策略级上表示授权也就是说它们直接通过系统部件实表示授权,也就是说,它们直接通过系统部件实施。
3.3访问控制概述概
z
z访问控制(Access Control)是网络安全防范和保护的主要核策略,它的主要任务是保证网络资源的主要核心策略,它的主要任务是保证网络资源不被非法使用和访问。访问控制规定了主体对客体访问的限制,并在身份识别的基础上,根据身份对提出资源访问的请求加以控制。它是对信息系统资源进行保护的重要措施,也是计算机系统最重要和最基础的安全机制。访问控制的目的是为了保护企业在信息系统中存储和处理的信息的安全。
3.3访问控制概述概
z
z访问控制决定了谁能够访问系统,能访问系统的何种资源以及如何使用这些资源适当的访问控制能种资源以及如何使用这些资源。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。访问控制的手段包括用户识别代码问控制的手段包括用户识别代码、口令、登录控制、令登录控制资源授权(例如用户配置文件、资源配置文件和控制列表)、授权核查、日志和审计等等。信息安全的风险(Information Security Risks)可以被宽泛地归结为CIA:信息机密性(Confidentiality)、信息完整性(Integrity)和信息可用性(Availability).访问控制主要为信息机密性和信息完整性提供保障。
3.3.1访问控制的内容
z
z
z访问控制:基于访问认证和数据对象的一种可以选择性的允许或禁止某种资源访问的安全技术。也就是说也就是说对不同的信息和用户设定不同的权限,的信息户定的权保证只允许授权的用户访问授权的资源。其中访问控制就是当计算机系统所属的信息资其中,访问控制就是当计算机系统所属的信息资源遭受未经授权的操作威胁时,能够提供适当的管制以及防护的措施来保护信息资源的机密性管制以及防护的措施,来保护信息资源的机密性与正确性。访问控制实质上是对资源使用的限制决定主体访问控制实质上是对资源使用的限制,决定主体是否被授权对客体执行某种操作。
3.3.1访问控制的内容
z访问控制的目的是为了限制访问主体(用户、进程服务等对访问客体文件系统等的访程、服务等)对访问客体(文件、系统等)的访问权限,从而使计算机系统在合法的范围内使用:它依赖于鉴别使主体合法化并将成员关系和它依赖于鉴别使主体合法化,并将组成员关系和特权与主体联系起来。只有经授权的用户,才允许访问特定的系统资源当用户向系统确确许访问特定的系统资源。当用户向系统正确地确定并验证了自己的身份后,他们可以请求访问系统但是只有某管员才可以完统。但是只有某些管理员才可以完全地访问系统,访问系统多数用户只拥有非常有限的访问权限。
3.3.3典型访问控制模型模z
z
z
z
z
z访问控制的相关术语定义如下:授权资源的所有者或控制者准许其他人访问这种资源;目标访问控制资源对象;权威机构目标的拥有者或控制者;用户访问目标的负责任的人;访问目标的负责任的人发起者积极访问目标的用户或用户行为的代理
3.3.3典型访问控制模型模z访问控制授权方案有很多种,但是都可以表示成如图3-1所示的所示的基本元素和抽象。本元素和抽象提交
访问请求执行访问控制执行单元
AEF访问请求目标访问者
决策请求决策结果
访问控制决策单元
ADF
图3-1 访问控制模型的组成
3.3.3典型访问控制模型模z同样,影响决策单元进行决策的因素也可以抽象如图33-22所示。
决策请求
访问者信息决策结果目标信息
上下文信息访问请求信息访问控制决策单元ADF
保留信息
访问控制
策略规则
3.2访问控制的策略和机制机
z
z
z个策略都能表示成于目标的矩阵。每个矩阵元素规定了相应的用户对应于相应的目标被准予的访问许可。矩阵元素确定了用户可以对目标实施的行为。通过对信息系统访问控制机制的抽象在对应的通过对信息系统访问控制机制的抽象,在对应的访问矩阵模型中定义了三类元素:系统中的客体集O,是系统中被访问因而也是被保护的对是系统中被访问因而也是被保护的对象,如文件、程序、存储区等。每一个客体o∈O可由它们的名字唯地标识与识别们的名字唯一地标识与识别。
系统中的主体集S,是系统中访问操作的主动发起者,如用户、进程、执行域等。每个主体s∈S也是可以由它们的名字唯一地标识与识别。z
3.2访问控制的策略和机制机
z系统中主体对客体的访问权限集合R,O、S和R的关系是以矩阵A的形式表示的,它的行对应于某个主体,列对应于某个客体。显然,集合R是矩阵的项(元素)的集合,每个项用A[s,o]表示,其中存放着主体s对客体o的访问权或某些特权。
表3-131访问矩阵的一个实例访问矩阵的个实例
目标用户
用户a目标x读、修改、管理目标y
读、修改、管理目标z读、修改、管理用户b
用户c1
用户c2读读读、修改读、修改
3.2.1访问控制策略
访问控制策略基于规则的策略
基于角色的策略基于身份的策略
3.2.1访问控制策略
z
z1.基于身份的策略
z
z
z基于身份的策略包括基于个体的策略和基于组的策略。(1)基于个体的策略一个基于个体的策略根据哪些用户可对一个目标实个基于个体的策略根据哪些用户可对个目标实施哪一种行为的列表来表示。这个等价于用一个目标的访问矩阵列来描述。标的访问矩阵列来描述基于身份的策略陈述总是依赖于一个暗含的或清晰的缺省策略,而基于个体的策略是基于身份的策略的一种类型,所以基于个体的策略陈述也总是依赖于一个暗含的或清晰的缺省策略。
3.2.1访问控制策略
z
z的许可否决。这就是最常用的缺省策略。这类策略遵循所谓的最小特权原则最小特权原则要求略遵循所谓的最小特权原则,最小特权原则要求最大限度地限制每个用户为实施授权任务所需要的许可集。这种原则的应用限制了来自偶然事件、错误或未授权用户的危险。错误或未授权用户的危险在一个公开的公告板环境中,缺省也许是所有用户可得到的公开信息另外多重策略可同时应户可得到的公开信息。另外,多重策略可同时应用于一个目标。有效的缺省也可能是某一别的策略该策略对某用户或某些用户提供清晰的访略,该策略对某一用户或某些用户提供清晰的访问许可。由于这个原因,对确定的用户关于确定的目标基于身份的策略通常也提供清晰的否认许可。
3.2.1访问控制策略
z
z
z(2)基于组的策略一个基于组的策略是基于身份的策略的另一种情个基于组的策略是基于身份的策略的另种情形,一些用户被允许对一个目标具有同样的访问许可。例如,当许可被分配给一个队的所有成员或个组织的所有雇员时采取的就是这种策略或一个组织的所有雇员时,采取的就是这种策略。多个用户被组织在一起并赋予一个共同的识别标识符这时把访问矩阵的多个行压缩为个行识符。这时把访问矩阵的多个行压缩为一个行。再者,组的成员可以被改变而不会影响许可陈述。这些特征往往使基于组的策略在表示和实现方面比基于个体的策略更容易和更有效。
3.2.1访问控制策略
z
z
z
z2.基于规则的策略基于规则的策略包括多级策略和基于间隔的策略。基于规则的策略包括多级策略和基于间隔的策略(1)多级策略多级策略被广泛地应用于政府机密部门但在非多级策略被广泛地应用于政府机密部门,但在非机密的部门中也有应用。这些策略主要使用来保护数据的非法泄漏,但它们也能支持完整性需求护数据的非法泄漏,但它们也能支持完整性需求。一个多级策略通过分配给每个目标一个密级来操作。密级的层次如下表所示。每个用户从相同的层次中分配一个等级。目标的分派反映了它的敏感性。用户的分派反映了他的可信程度。z
3.2.1访问控制策略
密级
绝密
秘密
机密
限制
无密级英文对照TOP SECRETSECRETCONFIDENTIALRESTRICTEDUNCLASSIFIED
3.2.1访问控制策略
z
z(2)基于间隔的策略在基于间隔的策略中,目标集合关联于安全间隔或安全类别,通过它们来分离其他目标。用户需要给一个间隔分配一个不同的等级,以便能够访问间隔中的目标。例如,在一个公司中,不同的间隔可能定义为合同和职员。一个间隔的等级不必指示相同级别的其他间隔的等级此外在必指示相同级别的其他间隔的等级。此外,在一个间隔中的访问可能受控于特殊的规则。例如,在一个特定的时间间隔内在个特定的时间间隔内,两个消除了的用户为两个消除了的用户为了能恢复数据可能需要提出一个联合请求。
3.2.1访问控制策略
z
z3基于角色的策略3.基于角色的策略既具有基于身份的策略的特征又具有基于规则的策略的特征它可以看成基于组具有基于规则的策略的特征。它可以看成基于组的策略的一种变形,一个角色对应一个组。这种类型的策略陈述是强有力的这是由于:首这种类型的策略陈述是强有力的,这是由于:首先,它所包含的表示方法对非技术的组织策略制订者很容易理解;其次,它很容易被映射到个订者很容易理解;其次,它很容易被映射到一个访问矩阵或基于组的策略陈述上,从而实现访问控制。
在基于组或者基于角色的策略中,一般而言,个人用户可能是不止一个组或角色的成员,有时有可能要对这些用户做限制。可能要对这些用户做限制zz
3.3.2访问控制机制机
z
z
z系统的访问控制机制是通过保证系统的物理状态对应于抽象模型的授权状态,实施系统的安全策略。机制必须监控所有客体的所有访问和明确的授权或撤销权利的命令否则系统可能进入授权或撤销权利的命令,否则,系统可能进入一个不与模型授权状态对应的物理状态。如果访问机制不能完全支持策略,可能会出现两种情况会:(1)一个授权或访问被拒绝,而按策略要求它却是应该被许可的;(2)一个授权或访问被允许,而按策略要求它却是应该被拒绝的;
3.3.2访问控制机制机
z前者是“过保护”的,后者是不安全的。设S是可能状态的集合,能状的集P是给定安全策略下的授权状给定安策略下的授权状态,N是未授权状态集合,R是给定机制下的可达状态。其中,状其中N∪P=S,,则则当R∈P时是安全的,安
R=P时时是精确的。安全性与精确性的示意图如未授权状态N
授权状态P
可达状态R
3.3.2访问控制机制机
z
z
z许的,使机制绝对精确也是困难的,但应力求精确。1.访问控制列表访问控制表每个访问控制列表是目标对象的属性表,它给定每个用户对给定目标的访问权限,也就是一系列实体及其对资源的访问权限的列表。维护访问控制列表和实施访问控制本质上是系统和围绕目标的环境的责任。访问控制列表反映了一个目标对应于访问控制矩阵列中的内容因此基于身份应于访问控制矩阵列中的内容。因此,基于身份的访问控制策略包括基于个体的、基于组的和基于角色的策略,可以很简单地应用访问控制列表来实现。下表举例说明了一个访问控制列表结构。
3.3.2访问控制机制机
身份
MikMike
组员
审计员类型个人组角色认可的允许读/修改/管理读读/修改修改/管理管理9:00-17:00本地终端拒绝的允许时间限制位置限制访问控制列表机制最适合于有相对少的需要被区分的用户,并且这些用户中的绝大多数是稳定的情且这些用户中的绝大多数是稳定的情况。这种机制的优点有二:这种机制的优点有一是对于大范围的目标粒度访问控制列表均适用,包括非常好的粒度二是目标的拥有者或管理员很容易地废除以前授予的的粒度;二是目标的拥有者或管理员很容易地废除以前授予的许可。
3.3.2访问控制机制机
z
z2访问控制能力2.能力是发起者拥有的一个有效标签,它授权持有者能以特定的方式访问特定的目标能力可以从者能以特定的方式访问特定的目标。能力可以从一个用户传递给另一个用户,但任何人不能摆脱负责任的机构进行修改和伪造。从发起者的环境中根据一个关于用户的访问许可存储表产生能力。用访问矩阵的语言来讲,就是运用访问矩阵中用户包含的每行信息产生能力。户包含的每行信息产生能力
能力机制适合于联系相对少的目标,对发起者访问控制决策容易实现的情况。能力机制的实施主要依赖于在系统间安全传递能力的方法。能力的缺点是目标的拥有者和管理者不容易废除以前授予的许可。z
3.3.2访问控制机制机
z
z
z一个能力用二元组(x,r)表示,x是某客体的唯一名字(逻辑地址),字辑r是对对x的访问权的集的访问权的集合。某些某能力也指定客体的类型。3安全标签3.安全标签是限制在像一个传达的或存储的数据项这样的目标上的一组安全属性信息项在访问控这样的目标上的一组安全属性信息项。在访问控制机制中,安全标签是属于用户、目标、访问请求或传输中的一个访问控制信息作为一种访问求或传输中的一个访问控制信息。作为一种访问控制机制的安全标签最通常的用途是支持多级访问控制策略。问控制策略
3.3.2访问控制机制机
z
z
z在发起者的环境中,标签是属于每个访问请求以识别发起者的等级。标签的产生和附着过程必须可信,而且必须同时跟随一个把它以安全的方式信须时随个把它安全的方式束缚在一个访问请求上的传输。每个目标都有一个属于它的标记来确定它的密级在处理个访个属于它的标记来确定它的密级。在处理一个访问请求时,目标环境比较访问请求上的标签和目标上的标签应用策略规则决定是允许还是拒绝标上的标签,应用策略规则决定是允许还是拒绝访问。4一般信息模型4.般信息模型人们越来越发现现代网络控制机制不能简单地划分为上述三种类型中的某一种分为上述三种类型中的某种。它们大多数都包它们大多数都包含了至少两种类型的特点。
3.3.2访问控制机制机
z
z
z三种类型机制和它们的变种均是一个基于一般的信息模型的访问控制机制的特例访问控制决策信息模型的访问控制机制的特例。访问控制决策要根据它们包含的各种类型的访问控制信息,特别是属于发起者的信息和属于目标的信息属于别是属于发起者的信息和属于目标的信息。属于发起者的信息直接关联着发起者,它来源于发起者的区域属于目标的信者的区域。属于目标的信息直接关联着目标,它接关联着目标来源于目标的区域。5基于口令的机制5.一个口令就像一个简单的能力,它构成了对一个目标的入场券。目标的入场券
3.3.2访问控制机制机
z
z任何人出示可与一个目标或访问类型结合的口令都被准许用该种独特的访问类型访问目标当这都被准许用该种独特的访问类型访问目标。当这种机制广泛地应用于大型计算机操作系统时,它也暴露了一些严重的问题暴露了严——口令的机密性、口令机令的管理以及当口令共享时的弱点,这些都是非常困难的问题。口令对于只要求简单认证的情况不失为一种好的机制,但是把它当成以访问控制为目的的机制从安全的角度来看是不可取的。