运行安全--访问控制.ppt

1,运行安全 -访问控制,主讲人：翟健宏 Email: 办公室:新技术楼509 Tel2,1 访问控制的基本概念 2 访问控制的实现机制和方法 3 访问控制的一般策略 4 授权的管理,3,1 访问控制的基本概念,1.1 安全服务 安全服务（Security Services）：开放某一层所提供的服务，用以保证系统或数据传输足够的安全性。 根据ISO7498-2, 安全服务包括： 实体认证Entity Authentication 数据保密性Data Confidentiality 数据完整性Data Integrity 防抵赖Non-repudiation 访问控制Access Control,4,1.2 访问控制的概念,原始概念：是对进入系统的控制（用户标识+口令/生物特性/访问卡）。 一般概念：是针对越权使用资源的防御措施。 分类： 自主访问控制 强制访问控制 基于角色的访问控制 访问控制的目的： 是为了限制访问主体用户、进程服务等对访问客体文件系统等资源的访问权限，从而使计算机系统在合法范围内使用。 决定用户能做什么，也决定代表一定用户利益的程序能做什么。 作用： 是对需要访问系统及其数据的人进行鉴别，并验证其合法身份；也是进行记账审计等的前提。,5,1.3 访问控制与其他安全措施的关系模型,6,1 访问控制的基本概念 2 访问控制的实现机制和方法 3 访问控制的一般策略 4 授权的管理,7,2访问控制的实现机制和方法,2.1实现机制 基于访问控制属性： 访问控制表/矩阵 基于用户和资源分档“安全标签”： 多级访问控制,8,2.2 常见实现方法,主要包括三种形式： 访问控制表ACL（Access Control Lists） 访问能力表（Capabilities） 访问控制矩阵 授权关系表,9,访问控制表：每个客体附加一个它可以访问的主体的明细表。,10,访问能力表：每个主体都附加一个该主体可以访问的客体的明细表。,11,访问控制矩阵： 按列看是访问控制表内容，按行看是访问能力表内容。,12,授权关系表,13,1 访问控制的基本概念 2 访问控制的实现机制和方法 3 访问控制的一般策略 4 授权的管理,14,3 访问控制的一般策略,自主访问控制 强制访问控制 自主/强制访问的问题 基于角色的访问控制 一个基于角色的访问控制的实例 RBAC与传统访问控制的差别 RBAC参考模型 RBAC的优势,15,3 访问控制的一般策略,16,自主访问控制,特点：根据主体的身份和授权来决定访问模式；具有访问权限的可传递性。 缺点：信息在移动过程中，其访问权限关系会被改变，如用户A可将其对目标O的访问权限传递给用户B，从而使不具备对O访问权限的B，可访问O。,17,强制访问控制,特点： 将主题和客体分级，根据主体和客体的级别标记来决定访问模式，如绝密级、机密级、秘密级、无密级。 其访问控制关系分为：上读/下写（完整性），下读/上写（机密性）。 通过梯度安全标签实现单向信息流通模式。,下级可看上级的信息但不能修改上级内容,下级对上级可提意见，但不能看上级的信息。,18,强制访问控制,精确描述 强制访问控制(MAC)中，系统包含主体集S和客体集O，每个S中的主体s及客体集中的客体o，都属于一固定的安全类SC，安全类SC=包括两个部分：有层次的安全级别和无层次的安全范畴。构成一偏序关系。 Bell-LaPadula：保证保密性 简单安全特性(无上读)：仅当SC(o)SC(s)时，s可以读取o； *-特性(无下写)： 仅当SC(s) SC(o)时，s可以修改o Biba：保证完整性 同1 相反。（无上写，无下读）,(贝尔拉帕丢拉（Bell-Lapadula）模型多安全级，强制规则),19,强制访问控制,MAC（Mandatory Access Control ） Information Flow,20,自主/强制访问的问题,自主访问控制 配置的粒度小 配置的工作量大，效率低 强制访问控制 配置的粒度大 缺乏灵活性 例：1000主体访问10000客体须1000万次配置，如每次配置需1秒，每天工作8小时，就需10,000,000/ 3600*8=347.2天。,21,基于角色的访问控制,基于角色的访问控制是一个复合的规则，可以被认为是早期的IBAC和RBAC的结合体。一个身份被分配给一个被授权的组。 起源于UNIX系统或别的操作系统中组的概念（10year history）。,22,基于角色的访问控制,特点： 责任分离(separation of duties) 角色分层(role hierarchies) 角色激活(role activation) 用户角色关系的约束(constraints on user/role membership),23,基于角色的访问控制,角色概念 A role can be defined as a set of actions and responsibilities associated with a particular working activity。 每个角色与一组用户和有关的动作相互关联，角色中所属的用户可以有权执行这些操作。,24,角色与组的区别 组：用户集；角色：用户集+权限集。 基于角色访问控制与DAC、MAC的区别 角色控制相对独立，根据配置可使某些角色为接近DAC，某些角色接近MAC。,基于角色的访问控制,25,一个基于角色的访问控制的实例,在银行环境中，用户角色可以定义为出纳员、分行管理者、顾客、系统管理者和审计员，访问控制策略的一个例子如下： 允许一个出纳员修改顾客的帐号记录（包括存款和取款、转帐等），并允许查询所有帐号的注册项； 允许一个分行管理者修改顾客的帐号记录（包括存款和取款，但不包括规定的资金数目的范围），并允许查询所有帐号的注册项，也允许创建和终止帐号； 允许一个顾客只询问他自己的帐号的注册项； 允许系统的管理者询问系统的注册项和开关系统，但不允许读或修改用户的帐号信息； 允许一个审计员读系统中的任何数据，但不允许修改任何事情。,26,特点： 该策略陈述易于被非技术的组织策略者理解；同时也易于映射到访问控制矩阵或基于组的策略陈述。 具有基于身份策略的特征，同时也具有基于规则的策略的特征。 在基于组或角色的访问控制中，一个个人用户可能是不只一个组或角色的成员，有时又可能有所限制。,一个基于角色的访问控制的实例,27,RBAC与传统访问控制的差别,增加一层间接性带来了灵活性。,28,RBAC参考模型,包括： Core RBAC Hierarchical RBAC Static Separation of Duty Relations Dynamic Separation of Duty relations,29,Core RBAC USERS： 可以是人、设备、进程 Permission：是对被保护目标执行OPS的许可 UA： user assignment relations PA ：permission assignment relations Session_roles：session激活的角色;User_sessions：与用户相联系的会话集合,RBAC参考模型,30,1）Core RBAC 几点说明 (1) session由用户控制，允许动态激活/取消角色，实现最小特权。应避免同时激活所有角色。 (2) session和user分离可以解决同一用户多账号带来的问题，如审计、计账等。,能完成作业的最小权限,RBAC参考模型,31,2）Hierarchical RBAC 角色的结构化分层是反映一个组织的授权和责任的自然方式。定义了角色的继承关系Role r1 “inherits” role r2，角色r2的权限同样是r1的权限。,RBAC参考模型,32,2）Hierarchical RBAC 角色关系： 偏序关系(partial orders) 自反(reflexive) （SC有） 传递(transitive) （a，bSC有abbcac） 反对称(anti-symmetric) （a，bSC有abaa=b）,RBAC参考模型,33,有约束的（Constrained）RBAC 增加了责任分离，用于解决利益的冲突，防止用户超越权限， 包括： 静态责任分离（Static Separation of Duty Relations）， 动态责任分离（Dynamic Separation of Duty relations）,RBAC参考模型,34,3）Static Separation of Duty Relations 对用户分配的角色进行约束，也就是当用户被分配给一个角色时，禁止其成为第二个角色。SSD定义了一个用户角色分配的约束关系，一个用户不可能同时分配SSD中的两个角色。,RBAC参考模型,35,4）Dynamic Separation of Duty relations 与SSD类似，要限制一个用户的许可权； SSD直接在用户的许可空间进行约束，DSD通过对用户会话过程进行约束； 对最小特权提供支持：在不同的时间拥有不同的权限。 DSD允许用户被授予不产生利益冲突的多个角色。,RBAC参考模型,36,DSD RBAC Model：,RBAC参考模型,37,RBAC的优势,便于授权管理，如系统管理员需要修改系统设置等内容时，必须有几个不同角色的用户到场方能操作，从而保证了安全性。 便于根据工作需要分级，如企业财务 部门与非财力部门的员工对企业财务的访问权就可由财务人员这个角色来区分。 便于赋于最小特权，如即使用户被赋于高级身份时也未必一定要使用，以便减少损失。只有必要时方能拥有特权。 便于任务分担，不同的角色完成不同的任务。 便于文件分级管理，文件本身也可分为不同的角色，如信件、账单等，由不同角色的用户拥有。,38,6.1 访问控制的基本概念 6.2 访问控制的实现机制和方法 6.3 访问控制的一般策略 6.4 授权的管理,39,6.4 授权的管理,授权的管理决定谁能被授权，来修改允许的访问，主要有三种： 强制访问控制的授权管理 自主访问控制的授权管理 角色访问控制的授权管理,40,强制访问控制的授权管理 在强制访问控制中，允许的访问控制完全是根据主体和客体的安全级别决定。 其中主体（用户、进程）的安全级别是由系统安全管理员赋予用户，而客体的安全级别则由系统根据创建它们的用户的安全级别决定。 强制访问控制的管理策略是比较简单的，只有安全管理员能够改变主体和客体的安全级别。,41,自主访问控制的授权管理 集中式管理：只有单个的管理者或组对用户进行访问控制授权和授权撤消。 分级式管理：一个中心管理者把管理责任分配给其它管理员，这些管理员再对用户进行访问授权和授权撤消。分级式管理可以根据组织结构而实行。 所属权管理：如果一个用户是一个客体的所有者，则该用户可以对其它用户访问该客体进行授权访问和授权撤消。