密码学与信息安全技术 第5章 访问控制.ppt

第5章访问控制 5 1概述5 2访问控制的模型 5 1概述 访问控制是安全服务的一个重要组成部分 所谓访问控制 就是通过某种途径显式地准许或限制访问能力及范围 从而限制对关键资源的访问 防止非法用户的侵入或者合法用户的不慎操作造成破坏 国际标准化组织 ISO 在网络安全标准ISO7498 2中定义了5种层次型安全服务 即 身份认证服务 访问控制服务 数据保密服务 数据完整性服务和不可否认服务 因此 访问控制是信息安全的一个重要组成部分 访问控制系统一般包括 1 主体 Subject 是可以对其它实体施加动作的主动实体 简记为S 有时我们也称为用户 User 或访问者 被授权使用计算机的人员 记为U 主体的含义是广泛的 可以是用户所在的组织 称为用户组 用户本身 也可是用户使用的计算机终端 卡机 手持终端 无线 等 甚至可以是应用服务程序程序或进程 2 客体 Object 被调用的程序或欲存取的数据访问 是接受其他实体访问的被动实体 简记为O 客体的概念也很广泛 凡是可以被操作的信息 资源 对象都可以认为是客体 在信息社会中 客体可以是信息 文件 记录等的集合体 也可以是网路上的硬件设施 无线通信中的终端 甚至一个客体可以包含另外一个客体 3 安全访问规则 用以确定一个主体是否对某个客体拥有访问权力 是主体对客体的操作行为集和约束条件集 简记为KS 简单讲 控制策略是主体对客体的访问规则集 这个规则集直接定义了主体对可以的作用行为和客体对主体的条件约束 访问策略体现了一种授权行为 也就是客体对主体的权限允许 这种允许不超越规则集 由其给出 访问控制系统三个要素之间的行为关系见下图 可以使用三元组 S O P 来表示 其中S表示主体 O表示客体 P表示许可 访问控制的实现当主体S提出一系列正常的请求信息I1 In 通过信息系统的入口到达控制规则集KS监视的监控器 由KS判断是否允许或拒绝这次请求 此时 必须先要确认是合法的主体 而不是假冒的欺骗者 也就是对主体进行认证 主体通过验证 才能访问客体 但并不保证其有权限可以对客体进行操作 客体对主体的具体约束由访问控制表来控制实现 对主体的验证一般会鉴别用户的标识和用户密码 用户标识 UID UserIdentification 是一个用来鉴别用户身份的字符串 每个用户有且只能有唯一的一个用户标识 以便与其他用户区别 当一个用户注册进入系统时 他必须提供其用户标识 然后系统执行一个可靠的审查来确信当前用户是对应用户标识的那个用户 多级安全信息系统 由于用户的访问涉及到访问的权限控制规则集合 对于上图中将敏感信息与通常资源分开隔离的系统 称之为多级安全信息系统 多级安全信息系统的实例见Bell LaPadula模型 它将信息资源按照安全属性分级考虑 安全类别有两种类型 一种是有层次的安全级别 HierarchicalClassification 分为TS S C RS U五级 绝密级别 TopSecret 秘密级别 Secret 机密级别 Confidential 限制级别 Restricted 和无级别级 Unclassified 另一种是无层次的安全级别 不对主体和客体按照安全类别分类 只是给出客体接受访问时可以使用的规则和管理者 访问控制的目的 限制访问主体 用户 进程服务等 对访问客体 文件 系统等 的访问权限 从而使计算机系统在合法范围内使用 决定用户能做什么 也决定代表一定用户利益的程序能做什么 访问控制的实现首先要考虑对合法用户进行验证 然后是对控制策略的选用与管理 最后要对没有非法用户或是越权操作进行管理 所以 访问控制包括认证 控制策略实现和审计三方面的内容 访问控制与其它几种安全服务的关系 访问控制依赖于其它的一些安全服务并与它们共同保护计算机系统的安全 下图说明了这种关系 访问控制主要是关心对合法用户的访问权限的限制 其控制效果可被引用监视器按如下方式加强 引用监视器通过对每一个用户对系统中的客体的访问请求进行仲裁 然后咨询授权数据库从而确定请求是否是合法的 授权数据库中的授权关系由安全管理员来维护 安全管理员根据组织的具体的安全策略来设置权限 用户也可修改此数据库中的一些权限关系 例如对他们的私人文件设置权限 审计起到监控和记录系统中相关活动的作用 审计的重要意义在于 比如客体的管理者即管理员有操作赋予权 他有可能滥用这一权利 这是无法在策略中加以约束的 必须对这些行为进行记录 从而达到威慑和保证访问控制正常实现的目的 上图是一些安全服务及它们之间的逻辑关系图 此图理想化了认证 访问控制 审计和授权服务之间的区分 这种区分是极需要考虑的 而现实中的系统很难做到 将访问控制与认证区分清楚是很重要的 正确的确定用户的身份是认证服务的职责 而访问控制事先假定用户的身份已经成功地被引用监视器证实了 访问控制的效果与合适的用户认证机制和引用监视器的授权的正确执行息息相关 同时我们应重视的一点就是访问控制不是保证网络安全的全部 它必须与审计结合起来 审计控制对系统中的用户的请求和活动进行事后分析 审计要求登记所有用户的请求及活动以便事后分析 审计控制既对抑制威胁者有用 如果用户知道所有的请求都被跟踪的话 可能放弃危害的企图 同时也能通过分析使用系统的用户的行为而找出可能企图或实际的攻击 再就是审计对发现系统可能有的安全缺陷很有用 最后 审计对保证授权用户不滥用他们的权限起到重要的作用 在访问控制的体系中 一个很普通的区别是策略 policy 与机制 mechanisms 策略是一种高层的指引 它确定了访问是怎样控制的和访问的判决 而机制只是实现安全政策的一种底层的软硬件功能 信息安全的研究人员正致力于开发这样一种机制 即它尽可能的独立于它所运用的安全策略 这是实现安全机制重复地服务于各种安全目的的极渴望的目标 同样的机制能被用于支持各种安全策略 例如保密 数据的完整性和认证等等 一般说来 不存在一种优于其他所有策略的安全策略 也就是不存在一种安全策略它能比其他所有的策略提供更安全的保护 现实中不是所有的系统都有相同的安全需求 适合于给定系统的安全策略可能不适合其他的系统 例如非常严格的访问控制策略对于某些系统是很关键的 但是可能会不适合于用户需要更大灵活性的环境 因此访问控制策略的选取依赖于被保护环境的具体特性 访问控制矩阵 信息安全的实践者发展了多种处理访问控制的抽象方法 其中最有名的一种是访问控制矩阵 访问控制矩阵的行代表请求者或称主体 用户或进程 列代表对象或称客体 文件 程序 设备等 行与列的交叉点就是该请求者对该对象的访问权限类型 如读 写 删除 复制等 访问控制矩阵的一个例子如下图所示 图访问控制矩阵上图是一个具体的访问控制矩阵 处于第一行第一列的Own R W代表主体John对客体file1有R 读 W 写 和Own 拥有 的权限 处于第三行第三列的空白表示Bob对File3没有访问权限 换句话说对File3而言 Bob是非法用户 在一个大型的系统里 访问控制矩阵是很大的 并且其中的很多项可能是空的 也就是通常说的稀疏矩阵 因此访问控制矩阵很少以矩阵的形式实现 下面我们讨论几种实际系统中实现访问控制矩阵的方法 1 访问控制列表访问控制列表 accesscontrollists ACLs 是实现访问控制矩阵的一种流行的方法 每一个客体与一个ACL相连 表示了能访问该客体的主体以及访问权限 这种方法实质上就是按列的方式实现访问控制矩阵 下图3是图2的访问控制列表实现 图3的访问控制列表 优点 容易确定每一个客体所对应的访问主体以及访问权限 缺点 确定一个主体所拥有的访问对象以及访问权限是困难的 2 权利列表权利列表 Capabilitylists 是与访问控制列表对偶的方法 每一个主体与一个权利列表相连 表示了所有该主体能访问的客体以及访问权限 这种方法实质上就是按行的方式实现访问控制矩阵 下图4是图2的权利列表实现 图4的权利列表 优点 容易确定每一个主体所对应的访问客体以及访问权限 缺点 确定所有能访问某个客体的主体以及访问权限是困难的 3 授权关系列表授权关系列表 AuthorizationRelation 是通过将每一个主体对每一个客体的访问权限罗列出来表达访问控制矩阵 具体的可参见下图5 图5的授权关系列表 在访问控制中 安全策略的制定实施也是围绕主体 客体和安全控制规则集三者之间的关系展开的 一般地 在访问控制安全策略的制定与实施过程中 要遵循着以下几个原则 最小特权原则 最小特权原则是指主体执行操作时 按照主体所需权利的最小化原则分配给主体权力 最小特权原则的优点是最大限度地限制了主体实施授权行为 可以避免来自突发事件 错误和未授权用主体的危险 也就是说 为了达到一定目的 主体必须执行一定操作 但是 主体也只能做他所被允许做的操作 最小泄漏原则 最小泄漏原则是指主体执行任务时 按照主体所需要知道的信息最小化的原则分配给主体权力 多级安全策略 多级安全策略是指主体和客体间的数据流向和权限控制按照安全级别的绝密 TS 秘密 S 机密 C 限制 RS 和无级别 U 五级来划分 多级安全策略的优点是避免敏感信息的扩散 具有安全级别的信息资源 只有安全级别比他高的主体才能够访问 5 2访问控制的模型 访问控制安全模型一般包括主体 客体 以及控制规则 针对访问控制的实现方式的研究发展很快 有许多访问控制模型被提出来 建立规范的访问控制模型 是实现严格访问控制策略所必须的 20世纪70年代 Harrison Ruzzo和Ullman提出了HRU模型 接着 Jones等人在1976年提出了Take Grant模型 随后 1985年美国军方提出可信计算机系统评估准则TCSEC 其中描述了两种著名的访问控制策略 自主型访问控制模型 DAC 和强制型访问控制模型 MAC 基于角色的访问控制 RBAC 由Ferraiolo和Kuhn在1992年提出的 考虑到网络安全和传输流 又提出了基于对象和基于任务的访问控制 自主访问控制模型 DACModel DiscretionaryAccessControlModel 是根据自主访问控制策略建立的一种模型 允许合法用户以用户或用户组的身份访问策略规定的客体 同时阻止非授权用户访问客体 某些用户还可以自主地把自己所拥有的客体的访问权限授予其它用户 在自主型安全模型中 用户对信息的存取控制是基于用户的鉴别和存取访问规则来确定的 也就是对每个用户 都要给予它在系统中对每个存取对象的存取权限 当用户请求访问某个对象时 系统根据它所拥有的访问规则确定此用户是否具有这种权限 如果拥有则授予 否则拒绝 如上模型有个关键点 信息在流动过程中其访问权限关系会被改变 如用户A可将其对目标O的访问权限传递给用户B 从而使不具备对O访问权限的B可访问O 在实现上 首先要对用户的身份进行鉴别 然后就可以按照访问控制列表所赋予用户的权限允许和限制用户使用客体的资源 主体控制权限的修改通常由特权用户或是特权用户 管理员 组实现 任意访问控制对用户提供的这种灵活的数据访问方式 使得DAC广泛应用在商业和工业环境中 由于用户可以任意传递权限 那么 没有访问文件File1权限的用户A就能够从有访问权限的用户B那里得到访问权限或是直接获得文件File1 因此 DAC模型提供的安全防护还是相对比较低的 不能给系统提供充分的数据保护 下面我们介绍两种典型的自主型安全模型 哈里森 罗佐 厄尔曼存取矩阵模型 取 予模型 哈里森 罗佐 厄尔曼存取矩阵模型 HRU 这是一个基于集合运算的模型 HRU具有强的表达能力 直观的特点并且适合于各种系统和应用 取 予模型 这是一个基于图理论的模型取 予模型的授权状态是一三元组 S O G 这里的S表示主体的集合 O表示客体的集合 G表示描述系统状态的有向图 图中的结点表示系统中的主体 和客体 及一般结点 弧表示存取权限 有标号 定义为G S O E V S O顶点的集合 且S O E是弧的集合 该模型定义了如下的一些访问方式 易知 访问方式1和2为安定型权限 不改变系统的授权状态 而存取方式3和4为变换型权限 允许权限变换 并因此修改了授权结构图 操作与权限的变换 对自主访问控制模型的评价 自主访问控制模型是灵活的 但是 系统中权限的传播难以控制 而且可能导致自相矛盾 如果A授予B某个对象的 授予 权限 该权限对所有权进行共享 而B又依次授予C对该对象的 读取 权限 则当A撤销B所具有的 授予 权限时会发生什么情况呢 此时C仍然对该对象具有 读取 权限吗 或者是最初的撤销操作在系统中逐级传递 生成另外的撤销操作呢 强制访问控制模型 强制型存取控制 MandatoryAccessControl MAC 通过使用标记的分类层次结构来控制对象的访问 每个主体和对象都被分配一个标记 所以的访问都基于对这些标记的比较 是通过系统给所有的主体和客体分配不同的安全级别来构成系统授权状态 只有系统权限管理员才能根据实际情况修改系统的授权状态 MAC机制通过对用户和数据资源安全级别进行比较 判断用户是否有权对其请求数据资源进行访问操作 强制型存取控制可以防止权限级别高的用户将重要数据资源通过非法途径传输给低权限用户 在某种程度上提高了系统的安全性 但是该模型要遵循向上写和向下读规则 因而在一定程度上限制了高级别用户写非敏感数据的合理需求 背景与模型简介 强制访问控制模型 MAC 最开始为了实现比DAC更为严格的访问控制策略 美国政府和军方开发了各种各样的控制模型 这些方案或模型都有比较完善的和详尽的定义 随后 逐渐形成强制访问的模型 并得到广泛的商业关注和应用 在MAC访问控制中 用户和客体资源都被赋予一定的安全级别 用户不能改变自身和客体的安全级别 只有管理员才能够确定用户和组的访问权限 和DAC模型不同的是 MAC是一种多级访问控制策略 它的主要特点是系统对访问主体和受控对象实行强制访问控制 系统事先给访问主体和受控对象分配不同的安全级别属性 在实施访问控制时 系统先对访问主体和受控对象的安全级别属性进行比较 再决定访问主体能否访问该受控对象 MAC对访问主体和受控对象标识安全标记 是一个具有偏序关系的安全等级标记 安全等级具有层次性 主体和客体在分属不同的安全类别时 就构成一个偏序关系 比如TS表示绝密级 就比密级S要高 当主体s的安全类别为TS 而客体o的安全类别为S时 用偏序关系可以表述为SC s SC o 访问方式 主体对客体的访问主要有四种方式 1 向下读 rd readdown 主体安全级别高于客体信息资源的安全级别时允许查阅的读操作 2 向上读 ru readup 主体安全级别低于客体信息资源的安全级别时允许的读操作 3 向下写 wd writedown 主体安全级别高于客体信息资源的安全级别时允许执行的动作或是写操作 4 向上写 wu writeup 主体安全级别低于客体信息资源的安全级别时允许执行的动作或是写操作 由于MAC通过分级的安全标签实现了信息的单向流通 因此它一直被军方采用 其中最著名的是Bell LaPadula模型和Biba模型 Bell LaPadula模型具有只允许向下读 向上写的特点 可以有效地防止机密信息向下级泄露 Biba模型则具有不允许向下读 向上写的特点 可以有效地保护数据的完整性 Bell LaPadula模型 BLPModel BLP BellandLaPadula 1976 模型是典型的信息保密性多级安全模型 主要应用于军事系统 Bell LaPadula模型通常是处理多级安全信息系统的设计基础 客体在处理绝密级数据和秘密级数据时 要防止处理绝密级数据的程序把信息泄露给处理秘密级数据的程序 BLP模型的出发点是维护系统的保密性 有效地防止信息泄露 Bell LaPadula模型可以有效防止低级用户和进程访问安全级别比他们高的信息资源 此外 安全级别高的用户和进程也不能向比他安全级别低的用户和进程写入数据 Bell LaPadula模型建立的访问控制原则可以用以下两点简单表示 1 无上读 2 无下写 BLP模型的安全策略包括强制访问控制和自主访问控制两部分 强制访问控制中的安全特性要求对给定安全级别的主体 仅被允许对同一安全级别和较低安全级别上的客体进行 读 对给定安全级别上的主体 仅被允许向相同安全级别或较高安全级别上的客体进行 写 任意访问控制允许用户自行定义是否让个人或组织存取数据 Bell LaPadula模型用偏序关系可以表示为 1 rd 当且仅当SC s SC o 允许读操作 2 wu 当且仅当SC s SC o 允许写操作 显然 BLP模型 只能从下读 向上写 的规则忽略了完整性的重要安全指标 使非法 越权篡改成为可能 Biba模型 BibaModel Biba模型 Biba 1977 在研究BLP模型的特性时发现 BLP模型只解决了信息的保密问题 其在完整性定义存在方面有一定缺陷 BLP模型没有采取有效的措施来制约对信息的非授权修改 因此使非法 越权篡改成为可能 考虑到上述因素 Biba模型模仿BLP模型的信息保密性级别 定义了信息完整性级别 在信息流向的定义方面不允许从级别低的进程到级别高的进程 也就是说用户只能向比自己安全级别低的客体写入信息 从而防止非法用户创建安全级别高的客体信息 避免越权 篡改等行为的产生 Biba模型的两个主要特征是 1 禁止向上 写 这样使得完整性级别高的文件是一定由完整性高的进程所产生的 从而保证了完整性级别高的文件不会被完整性低的文件或完整性低的进程中的信息所覆盖 2 Biba模型没有下 读 Biba模型用偏序关系可以表示为 1 ru 当且仅当SC s SC o 允许读操作 2 wd 当且仅当SC s SC o 允许写操作 Biba模型是和BLP模型相对立的模型 Biba模型改正了被BLP模型所忽略的信息完整性问题 但在一定程度上却忽视了保密性 对模型的评价 MAC访问控制模型和DAC访问控制模型属于传统的访问控制模型 对这两种模型研究的也比较充分 在实现上 MAC和DAC通常为每个用户赋予对客体的访问权限规则集 考虑到管理的方便 在这一过程中还经常将具有相同职能的用户聚为组 然后再为每个组分配许可权 用户自主地把自己所拥有的客体的访问权限授予其它用户的这种做法 其优点是显而易见的 但是如果企业的组织结构或是系统的安全需求出于变化的过程中时 那么就需要进行大量繁琐的授权变动 系统管理员的工作将变得非常繁重 更主要的是容易发生错误造成一些意想不到的安全漏洞 基于角色的访问控制模型 RBACModel 角色 Role 指一个可以完成一定事务的命名组 不同的角色通过不同的事务来执行各自的功能 角色是代表具有某种能力的人或是某些属性的人的一类抽象 事务 Transaction 指一个完成一定功能的过程 可以是一个程序 角色和组的主要区别在于 用户属于组是相对固定的 而用户能被指派到哪些角色则受时间 地点 事件等诸多因素影响 角色和组的关系可以这样考虑 作为饰演的角色 我是一名学生 我就只能享有学生的权限 区别于老师 但是我又处于某个班级中 就同时只能享有本 组 组员的权限 传统的访问控制模型可以分为两类 自主访问控制模型 强制访问控制模型 基于角色的访问控制在用户和权限之间加入角色这一层 管理员的工作 将权限赋予角色 为用户分配角色 由于角色变动没有用户变动频繁 因此可以减少管理员分配权限的负担 具有易于使用 不易出错的特点 基于角色的访问控制模型 RBACModel Role basedAccessModel 的基本思想是 用户被指定至不同的角色 对象则被指定至基于所需访问模式的组 角色与权限相关联 将访问许可权分配给一定的角色 用户通过饰演不同的角色获得角色所拥有的访问许可权 在很多实际应用中 用户并不是可以访问的客体信息资源的所有者 这些信息属于企业或公司 因此 访问控制应该基于员工的职务而不是基于员工在哪个组或是谁是信息的所有者 即访问控制是由各个用户在部门中所担任的角色来确定的 例如 一个学校可以有教工 老师 学生和其他管理人员等角色 基于角色的访问控制模型 RoleBasedAccessControl 通过引入角色这个中介 安全管理人员根据需要定义各种角色 并设置合适的访问权限 而用户根据其责任和权力再被指派为不同的角色 这样 整个访问控制过程就分成了两部分 访问权限与角色相关联 角色再与用户相关联 从而实现了用户与访问权限的逻辑分离 正是由于用户和访问控制权限的逻辑分离使得权限管理变得方便 同时描述角色层次关系的能力的加强 有利于更好地实现最小权限原则 leastprivilege 最小权限原则 用户所拥有的权限不能超过他执行工作时所需的权限 图示基于角色的访问控制 RBAC从控制主体的角度出发 根据管理中相对稳定的职权和责任来划分角色 将访问权限与角色相联系 这与传统的MAC和DAC将权限直接授予用户的方式不同 通过给用户分配合适的角色 让用户与访问权限相联系 角色成为访问控制中访问主体和受控对象之间的一座桥梁 角色可以看作是一组操作的集合 不同的角色具有不同的操作集 这些操作集由系统管理员分配给角色 如 假设Tch1 Tch2 Tch3 Tchi是对应的教师 Stud1 Stud2 Stud3 Studj是相应的学生 Mng1 Mng2 Mng3 Mngk是教务处管理人员 则 老师的权限为TchMN 查询成绩 上传所教课程的成绩 学生的权限为StudMN 查询成绩 反映意见 教务管理人员的权限为MngMN 查询 修改成绩 打印成绩清单 依据角色的不同 每个主体只能执行自己所制定的访问功能 用户在一定的部门中具有一定的角色 其所执行的操作与其所扮演的角色的职能相匹配 这正是基于角色的访问控制 RBAC 的根本特征即 依据R