访问控制方式总结

访问控制方式总结授权是根据实体所对应的特定身份或其他特征而赋予实体权限的过程，通常是以访问控制的形式实现的。访问控制是为了限制访问主体（或称为发起者，是一个主动的实体，如用户、进程、服务等）对访问客体（需要保护的资源）的访问权限，从而使计算机系统在合法范围内使用；访问控制机制决定用户及代表一定用户利益的程序能做什么以及做到什么程度。访问控制依据特定的安全策略和执行机制以及架构模型保证对客体的所有访问都是被认可的，以保证资源的安全性和有效性。访问控制是计算机发展史上最重要的安全需求之一。美国国防部发布的可信计算机系统评测标准（Trusted Computer System Evaluation Criteria，TCSEC，即橘皮书），已成为目前公认的计算机系统安全级别的划分标准。访问控制在该标准中占有极其重要的地位。安全系统的设计，需要满足以下的要求：计算机系统必须设置一种定义清晰明确的安全授权策略；对每个客体设置一个访问标签，以标示其安全级别；主体访问客体前，必须经过严格的身份认证；审计信息必须独立保存，以使与安全相关的动作能够追踪到责任人。从上面可以看出来，访问控制常常与授权、身份鉴别和认证、审计相关联。设计访问控制系统时，首先要考虑三个基本元素：访问控制策略、访问控制模型以及访问控制机制。其中，访问控制策略是定义如何管理访问控制，在什么情况下谁可以访问什么资源。访问控制策略是动态变化的。访问控制策略是通过访问机制来执行，访问控制机制有很多种，各有优劣。一般访问控制机制需要用户和资源的安全属性。用户安全属性包括用户名，组名以及用户所属的角色等，或者其他能反映用户信任级别的标志。资源属性包括标志、类型和访问控制列表等。为了判别用户是否有对资源的访问，访问控制机制对比用户和资源的安全属性。访问控制模型是从综合的角度提供实施选择和计算环境，提供一个概念性的框架结构。目前人们提出的访问控制方式包括：自主性访问控制、强访问控制、基于角色的访问控制等自主性访问控制美国国防部(Department of Defense，DoD)在1985年公布的“可信计算机系统评估标准(trusted computer system evaluation criteria，TCSEC)”中明确提出了访问控制在计算机安全系统中的重要作用，并指出一般的访问控制机制有两种：自主访问控制和强制访问控制。自主访问控制(DAC)根据访问请求者的身份以及规定谁能（或不能）在什么资源进行什么操作的访问规则来进行访问控制，即根据主体的标识或主体所属的组对主体访问客体的过程进行限制。在DAC系统中，访问权限的授予可以进行传递，即主体可以自主地将其拥有的对客体的访问权限（全部或部分地）授予其它主体。DAC根据主体的身份及允许访问的权限进行决策。自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。在DAC系统中，由于DAC可以将访问权限进行传递，对于被传递出去的访问权限，一般很难进行控制。比如，当某个进程获得了信息之后，该信息的流动过程就不再处于控制之中，就是说如果A可访问B，B可访问C，则A就可访问C，这就导致主体对客体的间接访问无法控制（典型如操作系统中文件系统）。这就造成资源管理分散，授权管理困难；用户间的关系不能在系统中体现出来；信息容易泄漏，无法抵御特洛伊木马的攻击；系统开销巨大，效率低下的缺点，不适合大型网络应用环境。强访问控制强制访问控制(MAC)根据中央权威所确定的强制性规则来进行访问控制。和DAC不同，强制访问控制并不具备访问主体自主性，主体必须在由中央权威制定的策略规则约束下对系统资源进行访问。强制访问控制是一种不允许主体干涉的访问控制类型，是基于安全标识和信息分级等信息敏感性的访问控制。在MAC中，系统安全管理员强制分配给每个主/客体一个安全属性，强制访问控制根据安全属性来决定主体是否能访问客体。安全属性具有强制性，不能随意更改。MAC最早出现在美国军方的安全体制中，并且被美国军方沿用至今。在MAC方案中，每个目标由安全标签分级，每个对象给予分级列表的权限。分级列表指定哪种类型的分级目标对象是可以访问的。典型安全策略就是“read-down”和“write-up”，指定对象权限低的可以对目标进行读操作，权限高的就可以对目标进行写操作。MAC通过基于格的非循环单向信息流政策来防止信息的扩散，抵御特洛伊木马对系统保密性的攻击。系统中，每个主体都被授予一个安全证书，而每个客体被指定为一定的敏感级别。MAC的两个关键规则是：不向上读和不向下写，即信息流只能从低安全级向高安全级流动。任何违反非循环信息流的行为都是被禁止的。MAC实现一般采用安全标签机制，由于安全标签的数量是非常有限的，因此在授权管理上体现为粒度很粗。但是由于MAC本身的严格性，授权管理方式上显得刻板，不灵活。如果主体和权限的数量庞大，授权管理的工作量非常大。在MAC中，允许的访问控制完全是根据主体和客体的安全级别决定。其中主体（用户、进程）的安全级别是由系统安全管理员赋予用户，而客体的安全级别则由系统根据创建它们的用户的安全级别决定。因此，强制访问控制的管理策略是比较简单的，只有安全管理员能够改变主体和客体的安全级别。MAC应用领域也比较窄，使用不灵活，一般只用于军方等具有明显等级观念的行业或领域；虽然MAC增强了机密性，但完整性实施不够，它重点强调信息向高安全级的方向流动，对高安全级信息的完整性保护强调不够。基于角色的访问控制随着网络技术的迅速发展，对访问控制提出了更高的要求，传统的访问控制技术(DAC,MAC)已经很难满足这些需求，于是提出了新型的基于角色的访问控制(RBAC)。RBAC有效地克服了传统访问控制技术的不足，降低授权管理的复杂度，降低管理成本，提高系统安全性，成为近几年访问控制领域的研究热点。最早使用RBAC这个术语，是在1992年Ferraiolo和Kuhn发表的文章中。提出了RBAC中的大部分术语，如，角色激活(Role Activation)，角色继承(Role Hierarchy)，角色分配时的约束(Constraints)等等。因为RBAC借鉴了较为人们熟知的用户组、权限组和职责分离(Separation of Duty)等概念，而且，以角色为中心的权限管理更为符合公司和企业的实际管理方式。Ferraiolo和Sandhu等人分别在1994年后提出了有关RBAC模型的早期形式化定义，其中，Sandhu等人定义了RBAC模型的一个比较完整的框架，即RBAC96模型。RBAC1和RBAC2都建立在RBAC0之上，RBAC1给出了角色继承的概念，RBAC2增加了约束的概念。在扩展研究中，RBAC管理方面，研究者试图采用RBAC本身来管理RBAC，于是，出现ARBAC97模型及其扩展，这些模型让管理角色及其权限独立于常规角色及其权限。第二是RBAC功能方面。研究者通过扩展RBAC的约束来增强它的表达能力，以适应不同情况下的权限管理。最初的约束是用来实现权责分离，后来又出现了其他的约束，如，约束角色的用户数目，增加了时间约束的TRBAC模型，增加了权限使用次数的UCRBAC模型，带有使用范围的灵活约束，采用形式化的语言来描述RBAC的约束，如RCL2000语言、对象约束语言(OCL, Object Constraint Language)和其他语言等。第三，是讨论RBAC与其他访问控制模型的关系。第四是RBAC在各个领域的应用。美国国家标准与技术研究院(The National Institute of Standards and Technology，NIST)制定的标准RBAC模型由4个部件模型组成，这4个部件模型包括RBAC的核心(Core RBAC)，RBAC的继承(Hierarchal RBAC)，RBAC的约束(Constraint RBAC)中的静态职权分离(SSD)和动态职权分离(DSD)两个责任分离部件模型。RBAC的核心思想就是将访问权限与角色相联系，通过给用户分配合适的角色，让用户与访问权限相联系。角色是根据企业内为完成各种不同的任务需要而设置的，根据用户在企业中的职权和责任来设定它们的角色。用户可以在角色间进行转换，系统可以添加、删除角色，还可以对角色的权限进行添加、删除。这样通过应用RBAC将安全性放在一个接近组织结构的自然层面上进行管理。在DAC和MAC系统中，访问权限都是直接授予用户，而系统中的用户数量众多，且经常变动,这就增加了授权管理的复杂性。RBAC弥补了这方面的不足，简化了各种环境下的授权管理。RBAC模型引入了角色(role)这一中介，实现了用户(user)与访问许可权(permission)的逻辑分离。在RBAC系统模型中，用户是动态变化的，用户与特定的一个或多个角色相联系，担任一定的角色。角色是与特定工作岗位相关的一个权限集，角色与一个或多个访问许可权相联系，角色可以根据实际的工作需要生成或取消。用户可以根据自己的需要动态激活自己拥有的角色。与用户变化相比，角色变化比较稳定。系统将访问权限分配给角色，当用户权限发生变化时，只需要执行角色的撤消和重新分配即可。另外，通过角色继承的方法可以充分利用原来定义的角色，使得各个角色之间的逻辑关系清晰可见，同时又避免了重复工作，减小了出错几率。基于上下文的访问控制CBAC是在RBAC研究的基础上产生的。CBAC是把请求人所处的上下文环境作为访问控制的依据。基于上下文的访问控制，可以识别上下文，同时，其策略管理能够根据上下文的变化，来实现动态的自适应。一般地，基于上下文的访问控制利用了语义技术，以此实现上下文和策略的更高层次的描述和推理。通用的基于角色的访问控制通用的基于角色的访问控制(Generalized Role-Based Access Control，GRBAC)是RBAC的延伸，比RBAC更为灵活。RBAC模型局限于基于主体(subject)特性，对于客体（object）或环境状况不能很好的区分支持。RBAC不能支持与时间（time）有关的控制，同时也不能很好地支持基于内容的控制。针对RBAC这些问题，GRBAC通过在策略中增加环境状态(environmental state)和客体状态(object state)来解决这些问题。GRBAC用客体角色来支持基于内容的访问控制。基于内容的访问控制(Content-Based Access Control)通过有效整合等级文件系统进行控制。与内容的访问控制不同，GRBAC主要运用与安全相关的对象状态或属性，通过对象角色来控制。GRBAC比RBAC更为复杂，RBAC是GRBAC的一个特例。基于组的访问控制协同工作环境下的访问控制在执行特定任务时，需要动态、灵活地进行访问权限的分配、执行和管理。在协同环境中，对于执行某一个任务的特定角色，可以将这同一角色分配给很多用户。针对这种分配有同一角色的众多用户，如何进行有效的灵活管理的问题，Thomas在1997年提出基于组的访问控制（Team-based Access Control，TMAC）。基于任务的访问控制随着数据库、网络和分布式计算的发展，组织任务进一步自动化，与服务相关的信息进一步计算机化，为了解决随着任务的执行而进行动态授权的安全保护问题，提出了基于任务的访问控制(Task-based Access Control，TBAC)模型。TBAC是从应用和企业层角度来解决安全问题（而非从系统角度）。TBAC采用“面向服务”的观点，从任务的角度，建立安全模型和实现安全机制，依据任务和任务状态的不同，在任务处理的过程中提供动态实时的安全管理。TBAC模型包括工作流(Work flow, Wf)，授权结构体(Authorization unit, Au)，受托人集(Trustee-Set, T)，许可集(Permissions, P)四部分。其中，Wf是由一系列Au组成；Au之间存在顺序依赖，失败依赖，分权依赖，代理依赖的关系。在TBAC中，授权需用五元组(S,O,P,L,AS)来表示。(1)S表示主体，O表示客体，P表示许可，L表示生命期(lifecycle)；(2)AS表示授权步(Authorization step)，是指在一个工作流程中对处理对象（如办公流程中的原文档）的一次处理过程。授权步由受托人集(trustee-set)和多个许可集(permissions set)组成，其中，受托人集是可被授予执行授权步的用户的集合，许可集则是受托集的成员被授予授权步时拥有的访问许可。(3)P是授权步AS所激活的权限，L则是授权步AS的存活期限。L和AS是TBAC不同于其他访问控制模型的显著特点。在授权步AS被触发之前，它的保护态是无效的，其中包含的许可不可使用。当授权步AS被触发时，它的委托执行者开始拥有执行者许可集中的权限，同时它的生命期开始倒记时。在生命期期间，五元组(S,O,P,L,AS)有效。当生命期终止，即授权步AS被定为无效时，五元组(S,O,P,L,AS)无效，委托执行者所拥有的权限被回收。通过授权步的动态权限管理，TBAC可以支持最小权限和职责分离原则。TBAC是一种主动安全模型，在这种模型中，对象的访问权限控制并不是静止不变的，而是随着执行任务的上下文环境发生变化。TBAC是从工作流的环境来考虑信息安全问题。在工作流环境中，每一步对数据的处理都与以前的处理相关，相应的访问控制也是这样，因此，TBAC是一种上下文相关的访问控制模型。TBAC不仅能对不同工作流实行不同的访问控制策略，而且还能对同一工作流的不同任务实例(instance)实行不同的访问控制策略，所以，TBAC又是一种基于实例的访问控制模型。在TBAC中，用户对于授予的权限的使用具有时效性的。TBAC比较适合分布式计算和多点访问控制的信息处理控制以及在工作流、分布式处理和事务管理系统中的决策指定。T-RBAC模型把任务和角色置于同等重要的地位，它们是两个独立而又相互关联的重要概念。任务是RBAC和TBAC能结合的基础。基于属性的访问控制在开放环境下(如互联网)不同的客户端和服务器频繁交互，这些交互方有时处于不同的安全域之内，相互只能知道对方部分信息。传统的基于身份的访问控制 (IBAC)已不能适用于这种环境，基于属性的访问控制(ABAC)能够很好地适应这种开放的网络环境。基于属性的访问控制模型(ABAC)是根据参与决策的相关实体的属性来进行授权决策的。ABAC中的基本元素包括请求者，被访问资源，访问方法和条件，这些元素统一使用属性来描述，各个元素所关联的属性可以根据系统需要定义。属性概念将访问控制中对所有元素的描述统一起来，同时摆脱了基于身份的限制。在ABAC中，策略中的访问者是通过访问者属性来描述，同样，被访问资源、访问方法也是通过资源和方法的属性来描述，而条件用环境属性来描述。环境属性通常是一类不属于主体，资源和方法的动态属性，如访问时间，历史信息等。条件有时也会用来描述不同类型属主具有的属性之间的关系，如访问者的某一属性与资源的某一属性之间的关系。ABAC是否允许一个主体访问资源是根据请求者、被访问资源以及当前上下文环境的相关属性来决定的。这使得ABAC具有足够的灵活性和可扩展性，同时使得安全的匿名访问成为可能，这在大型分布式环境下是十分重要的931。XACML集中体现了CBAC和ABAC的思想，利用上下文中包含的请求方的属性信息，与事前制定的策略进行匹配，来进行访问控制决策和授权。非自主性访问控制非自主性访问控制(NDAC)适用于一部分用户的权限是既定的，但是还需要对访问权限的委托进行控制。NDAC策略必须是全局的、持久的访问控制策略，并且该策略需要一些管理员无法直接控制的信息才能做出决策（而在MAC策略中，访问控制权限完全由主体和客体的安全密级决定）。管理策略规定了哪些主体可以修改访问权限，而且这些管理策略只能是DAC策略。管理策略可以被分为如下几类：(l)集中式的，只有一个授权人（或是组）能够对用户的访问权限进行管理；(2)层次化的，有一个核心的授权人负责将管理职责指派给其他的管理员，然后这些管理员就可以在其职责范围内对用户的访问权限进行管理；(3)合作式的，对特定资源的授权必须由多个授权人合作进行。基于信誉的访问控制1996年，M. Blaze等人为了解决Internet网络服务的安全问题，首次提出了“信任管理(Trust Management)”的概念，其基本思想是承认开放系统中安全信息的不完整性，提出系统的安全决策需要附加的安全信息。与此同时，A. Adul-Rahman等学者则从信任的概念出发，对信任内容和信任程度进行划分，并从信任的主观性入手给出信任的数学模型用于信任评估。长期以来，信任管理技术演化发展为两个分支：基于凭证和策略的理性信任模型和基于信誉的感性信任模型。针对网格应用具体环境，这两种模型各有优缺点。对于理性信任模型而言，由于在广域网格环境下缺乏公共认可的权威机构，凭证并不完全可靠，也并不一定能通行无阻；而且完全依靠认证中心，弱化了个体的自我信任，而盲目信任大范围内的认证中心，往往会无法解决个体间的利益冲突。在基于信誉的感性信任模型中，也存在着很多问题：存在着评价空白时“信”与“不信”的临界两难状态；对恶意行为的免疫力不强，譬如对恶意推荐缺乏行之有效的过滤方法，对策略型欺骗行为缺乏有效的识别和抑制；对评价反馈行为缺乏激励，从而容易导致系统中信誉证据的不足；缺乏对多种上下文环境下的信誉评估进行综合集成的能力等。传统的访问控制实际上是基于信任管理中的理性信任模型。基于信誉的访问控制，基于信任管理的感性信任模型，是将访问请求方的信誉度作为衡量是否授权的标准的访问控制技术，是一种比较新的访问控制技术。基于信誉的访问控制的核心目标是为了更好的实现预期收益，同时应对授权行为带给服务提供方的不确定性、脆弱性和风险性问题。其根据请求方的当前及历史状态，评估其信誉，并设置信任阈值是达到上述目标的有效手段。此外，基于信誉的访问控制可以实现提供方的其他目标：1、根据必须满足的信任条件将权限分级。不同的权