访问控制模型.ppt

POWEPOINT 适用于简约清爽主题及相关类别演示 访问控制 欧阳恒宜曲文芳张丽欣王单单王宁殷少鹏 目录 定义基本内容访问控制策略 访问控制机制 访问控制模型 定义 概念 访问控制 AccessControl 是通过某种途径显式地准许或者限制访问能力及范围的一种方法 是针对越权使用系统资源的防御措施 目的 保证系统资源受控地合法地使用 通过限制对关键资源的访问 防止非法用户侵入 防止合法用户不慎操作造成的破坏 限制用户能做什么 限制系统对用户操作的响应 满足国际标准协议的要求 作用 访问控制对机密性 完整性起直接的作用 对于可用性 访问控制通过对以下信息的有效控制来实现 1 谁可以颁发影响网络可用性的网络管理指令 2 谁能够滥用资源以达到占用资源的目的 3 谁能够获得可以用于拒绝服务攻击的信息 目录 定义基本内容访问控制策略 访问控制机制 访问控制模型 基本内容 访问控制首先需要对用户身份的合法性进行验证 同时利用控制策略进行选用和管理工作 当用户身份和访问权限验证之后 还需要对越权操作进行监控 因此 访问控制的内容包括认证 控制策略实现和安全审计 1 认证 包括主体对客体的识别及客体对主体的检验确认2 控制策略 通过合理地设定控制规则集合 确保用户对信息资源在授权范围内的合法使用 既要确保授权用户的合理使用 又要防止非法用户侵权进入系统 使重要信息资源泄露 同时对合法用户 也不能越权行使权限以外的功能及访问范围3 安全审计 系统可以自动根据用户的访问权限 对计算机网络环境下的有关活动或行为进行系统的 独立的检查验证 并做出相应评价与审计 访问控制模型基本组成 发起者 Initiator 主体 Subject 是一个主动的实体 规定可以访问该资源的实体 通常指用户或代表用户执行的程序 目标 target 客体 Object 规定需要保护的资源 授权 Authorization 规定可对该资源执行的动作 例如读 写 执行或拒绝访问 一个主体为了完成任务 可以创建另外的主体 这些子主体可以在网络上不同的计算机上运行 并由父主体控制它们 主客体的关系是相对的 授权信息 Log 身份认证 访问控制 审计 授权 authorization 主体 客体 访问控制与其他安全机制的关系 目录 定义基本内容访问控制策略 访问控制机制 访问控制模型 访问控制策略 是对访问如何控制 如何作出访问决定的高层指南 访问控制策略 访问控制机制 访问控制机制 是访问控制策略的软硬件低层实现 访问控制机制与策略独立 可允许安全机制的重用 安全策略和机制根据应用环境灵活使用 访问控制模型 发展历史 最早由Lampson提出了访问控制的形式化和机制描述 引入了主体 客体和访问矩阵的概念 它们是访问控制的基本概念 对访问控制模型的研究 从早期的20世纪六 七十年代至今 大致经历了以下4个阶段 第一阶段 20世纪六 七十年代应用于大型主机系统中的访问控制模型 较典型的是Bell Lapadula模型和HRU模型 Bell Lapadula模型着重系统的机密性 遵循两个基本的规则 不上读 和 不下写 以此实现强制存取控制 防止具有高安全级别的信息流入低安全级别的客体 主要应用于军事系统中 第二阶段 美国国防部 DepartmentofDefense 简称DoD 在1985年公布的 可信计算机安全评价标准 trustedcomputersystemevaluationcriteria 简称TCSEC 中明确提出了访问控制在计算机安全系统中的重要作用 并指出一般的访问控制机制有两种 自主访问控制DAC和强制访问控制MAC 目前 DAC和MAC被应用在很多领域 第三阶段 从1992年最早的RBAC模型 即Ferraiolo Kuhn模型的提出 到Sandhu等人对RBAC模型的研究 先后提出了RBAC96 ARBAC97 ARBAC99模型 再到2001年NISTRBAC标准的提出 Ferraiolo Kuhn模型将现有的面向应用的方法应用到RBAC模型中 是RBAC最初的形式化描述 NISTRBAC参考模型对角色进行了详细的研究 在用户和访问权限之间引入了角色的概念 为RBAC模型提供了参考 第四阶段 此后 对访问控制模型的研究扩展到更多的领域 比较有代表性的有 应用于工作流系统或分布式系统中的基于任务的授权控制模型 task basedauthenticationcontrol 简称TBAC 基于任务和角色的访问控制模型 task role basedaccesscontrol 简称T RBAC 以及被称作下一代访问控制模型的使用控制 usagecontrol 简称UCON 模型 也称其为ABC模型 访问控制模型 DAC 自主访问控制DiscretionaryAccessControl20世纪70年代分时系统Unix WINDOWS普遍采用客体的拥有者全权管理其授权 被授权者可传递权限从ACM角度说 基于行 基于主人的访问控制 DAC缺点 管理权分散拥有者拥有管理权 不利于集中访问控制信息易泄漏 比如木马篡改数据 胡乱授权客体的真正拥有者不是主体 而是组织单位本身 从而造成所有权混乱拥有者调离和死亡需要特殊处理存在职权滥用现象主体间关系不能直接体现 不易管理 访问控制模型 MAC 强制访问控制MandatoryAccessControl1965年Multics操作系统 B级安全评价标准 本质 基于格的单向信息流授权过程安全管理员 SecurityOfficer 预定义主体信任级别 客体安全级别系统比较主体和客体级别后自动授权安全管理员特殊授权可归类为ACM 常和DAC结合使用上读下写 数据完整性 下读上写 数据保密性 MAC缺点 不灵活级别定义繁琐 工作量大 管理不便有些场合无法定义合理的级别 主体信任级别和客体安全级别和现实情况不能一致过于强调保密性 对系统连续工作能力和可管理性考虑不足不能实现完整性控制 不适合WEB 原因 多级访问控制 访问控制模型 RBAC 基于角色的访问控制RoleBasedAccessControl 20世纪90年代 JohnF Barkley RaviSandhu角色 一个或者一组用户在组织内可执行的操作的集合 组 角色是聚合体Aggregation 角色隔离主体和客体 是权限的集合 权限变成角色对客体的操作许可主体和角色 角色和权限 权限和客体 权限和操作四种关系均是多对多 RBAC优点 减小授权复杂度 提高效率质量不再存在大量权限的直接变动和授予 而是通过变化较少的角色变动和授予替代动态管理权限变更只影响涉及的角色 修改角色的权限动态反应到具有角色的所有主体 主体可自行禁用或者启用拥有的角色 系统也可根据情况自动禁用启用主体角色 角色启用禁用可使用密码授权基本和现实情况符合 失真较小管理员负责简单工作 比如角色到主体的映射 研发人员负责复杂工作 比如客体 操作 权限到角色的映射 RBAC96 4个子模型RBAC0满足最小需求RBAC1在RBAC0基础上加 角色层次 RBAC2在RBAC0基础上加 约束 RBAC3 RBAC1 RBAC2 RBAC0 RBAC1 RBAC2 RBAC3 RBAC非法合法规则 无角色则无权 非法 主体角色经过授权则主体有权 合法 主体角色有客体操作的权限则主体有权 合法 RBAC功能规范 管理功能系统支持功能审查功能 RBAC缺点 静态授权 任务完成后权限没有收回 没有考虑上下文基于主体 客体 被动访问控制 从系统角度出发 不能主动防御 基于任务的访问控制模型 是一种采用动态授权的主动安全模型将访问权限和任务结合 每个任务都是主体使用权限对客体的访问过程 任务执行完权限被消耗 不能再对客体进行访问授权不仅和主体客体有关 而且和任务内容 任务状态等有关 访问权限随着任务上下文而变化任务 要进行的一系列操作的有序集合 属性包括内容 状态 执行结果 生命周期等任务间关系 依赖 排斥 访问控制模型 TBAC TBAC缺点 没有角色概念 和现实不符合访问控制并不都是主动的 也有被动的 T RBAC在TBAC上加上角色建立角色和任务的映射关系 用户控制UsageControl 可变性