网络安全技术与实践访问控制PPT课件.ppt

访问控制 嵌入式系统及其开发应用 第二版 1 访问控制的有关概念 当用户的身份通过鉴别后 是否可以任意使用系统内的资源呢 答案 采用访问控制技术 嵌入式系统及其开发应用 第二版 2 3 访问控制的概念和目标 一般概念 是针对越权使用资源的防御措施 基本目标 防止对任何资源 如计算资源 通信资源或信息资源 进行未授权的访问 从而使计算机系统在合法范围内使用 决定用户能做什么 也决定代表一定用户利益的程序能做什么 未授权的访问包括 未经授权的使用 泄露 修改 销毁信息以及颁发指令等 非法用户进入系统 合法用户对系统资源的非法使用 嵌入式系统及其开发应用 第二版 3 访问控制的作用 访问控制对机密性 完整性起直接的作用 对于可用性 访问控制通过对以下信息的有效控制来实现 1 谁可以颁发影响网络可用性的网络管理指令 2 谁能够滥用资源以达到占用资源的目的 3 谁能够获得可以用于拒绝服务攻击的信息 嵌入式系统及其开发应用 第二版 4 访问控制的目标 保护存储在某些机器上的个人信息或重要信息的保密性维护机器内系统的完整性减少病毒感染的机会 5 嵌入式系统及其开发应用 第二版 5 6 主体 客体和授权 客体 Object 规定需要保护的资源 又称作目标 target 如网络 计算机 数据库 文件 目录 计算机程序 外设 网络 主体 Subject 或称为发起者 Initiator 是一个主动的实体 规定可以访问该资源的实体 提出访问资源具体请求 如用户 程序 进程等 授权 Authorization 规定可对该资源执行的动作 例如读 写 执行或拒绝访问 一个主体为了完成任务 可以创建另外的主体 这些子主体可以在网络上不同的计算机上运行 并由父主体控制它们 主客体的关系是相对的 如 用户启动Office 用户是主体 Office是客体 Office打开文件A时 Office是主体 文件A是客体 嵌入式系统及其开发应用 第二版 6 访问控制与其他安全服务的关系 嵌入式系统及其开发应用 第二版 7 访问控制系统的基本组成 嵌入式系统及其开发应用 第二版 8 访问控制类型 网络访问控制用于网络环境 限制用户访问网络等操作系统访问控制限制对文件等的访问应用程序访问控制控制对数据 功能模块等的操作权限 嵌入式系统及其开发应用 第二版 9 10 访问控制策略与机制 访问控制策略 AccessControlPolicy 访问控制策略在系统安全策略级上表示授权 是对访问如何控制 如何作出访问决定的高层指南 访问控制机制 AccessControlMechanisms 是访问控制策略的软硬件低层实现 访问控制机制与策略独立 可允许安全机制的重用 安全策略之间没有更好的说法 只是一种可以比一种提供更多的保护 应根据应用环境灵活使用 嵌入式系统及其开发应用 第二版 10 访问控制策略 访问控制模型自主访问控制强制访问控制基于角色的访问控制其他访问控制策略 11 嵌入式系统及其开发应用 第二版 11 如何决定访问权限 用户分类资源资源及使用访问规则 嵌入式系统及其开发应用 第二版 12 用户的分类 1 特殊的用户 系统管理员 具有最高级别的特权 可以访问任何资源 并具有任何类型的访问操作能力 2 一般的用户 最大的一类用户 他们的访问操作受到一定限制 由系统管理员分配 3 作审计的用户 负责整个安全系统范围内的安全控制与资源使用情况的审计 4 作废的用户 被系统拒绝的用户 这是UNIX系统的用户类型 嵌入式系统及其开发应用 第二版 13 资源 系统内需要保护的是系统资源 磁盘与磁带卷标远程终端信息管理系统的事务处理及其应用数据库中的数据应用资源 嵌入式系统及其开发应用 第二版 14 资源及使用 对需要保护的资源定义一个访问控制包 Accesscontrolpacket 包括 资源名及拥有者的标识符缺省访问权用户 用户组的特权明细表允许资源的拥有者对其添加新的可用数据的操作审计数据 嵌入式系统及其开发应用 第二版 15 访问规则 规定了若干条件 在这些条件下 可准许访问一个资源 规则使用户与资源配对 指定该用户可在该文件上执行哪些操作 如只读 不许执行或不许访问 由系统管理人员来应用这些规则 由硬件或软件的安全内核部分负责实施 嵌入式系统及其开发应用 第二版 16 访问控制的一般实现机制和方法 一般实现机制 基于访问控制属性 访问控制表 矩阵基于用户和资源分级 安全标签 多级访问控制常见实现方法 访问控制表ACLs AccessControlLists 访问能力表 Capabilities 授权关系表 嵌入式系统及其开发应用 第二版 17 访问控制矩阵 任何访问控制策略最终均可被模型化为访问矩阵形式 行对应于用户 列对应于目标 每个矩阵元素规定了相应的用户对应于相应的目标被准予的访问许可 实施行为 嵌入式系统及其开发应用 第二版 18 访问控制矩阵 按列看是访问控制表内容按行看是访问能力表内容 嵌入式系统及其开发应用 第二版 19 访问控制表 ACL 每个主体都附加一个该主体可访问的客体的明细表 嵌入式系统及其开发应用 第二版 20 访问能力表 CL 每个主体都附加一个该主体可访问的客体的明细表 嵌入式系统及其开发应用 第二版 21 授权关系表 嵌入式系统及其开发应用 第二版 22 访问控制的一般策略 嵌入式系统及其开发应用 第二版 23 自主访问控制 自主访问控制 discretionarypolicies DAC 基于身份的访问控制 IdentityBasedAccessControl 特点 根据主体的身份及允许访问的权限进行决策 自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体 灵活性高 被大量采用 缺点 信息在移动过程中其访问权限关系会被改变 24 嵌入式系统及其开发应用 第二版 24 基于身份的策略 基于个人的策略 根据哪些用户可对一个目标实施哪一种行为的列表来表示 等价于用一个目标的访问矩阵列来描述基础 前提 一个隐含的 或者显式的缺省策略例如 全部权限否决最小特权原则 要求最大限度地限制每个用户为实施授权任务所需要的许可集合在不同的环境下 缺省策略不尽相同 例如 在公开的布告板环境中 所有用户都可以得到所有公开的信息对于特定的用户 有时候需要提供显式的否定许可例如 对于违纪的内部员工 禁止访问内部一些信息 嵌入式系统及其开发应用 第二版 25 基于身份的策略 基于组的策略 一组用户对于一个目标具有同样的访问许可 是基于身份的策略的另一种情形相当于 把访问矩阵中多个行压缩为一个行 实际使用时先定义组的成员对用户组授权同一个组可以被重复使用组的成员可以改变 嵌入式系统及其开发应用 第二版 26 表示和实现 基于组的策略在表示和实现上更容易和更有效在基于个人的策略中 对于系统中每一个需要保护的客体 为其附加一个访问控制表 表中包括主体标识符 ID 和对该客体的访问模式 嵌入式系统及其开发应用 第二版 27 自主访问控制的访问类型 访问许可与访问模式描述了主体对客体所具有的控制权与访问权 访问许可定义了改变访问模式的能力或向其它主体传送这种能力的能力 访问模式则指明主体对客体可进行何种形式的特定的访问操作 读 写 运行 嵌入式系统及其开发应用 第二版 28 访问许可 AccessPermission 1 等级型的 Hierarchical 2 有主型的 Owner 对每个客体设置一个拥有者 通常是客体的生成者 拥有者是唯一有权修改客体访问控制表的主体 拥有者对其客体具有全部控制权 3 自由型的 Laissez faire 嵌入式系统及其开发应用 第二版 29 30 访问模式AccessMode 系统支持的最基本的保护客体 文件 对文件的访问模式设置如下 1 读 拷贝 Read copy 2 写 删除 write delete 3 运行 Execute 4 无效 Null 嵌入式系统及其开发应用 第二版 30 31 Win2000的访问控制 1 DAC 采用ACL帐户 useraccounts 定义了Windows中一个用户所必要的信息 包括口令 安全ID SID 组成员关系 登录限制 组 universalgroups globalgroups localgroupsAccountIdentifier Securityidentifier SID 时间和空间唯一 全局惟一的48位数字S 1 5 21 1507001333 1204550764 1011284298 500SID带有前缀S 它的各个部分之间用连字符隔开第一个数字 本例中的1 是修订版本编号第二个数字是标识符颁发机构代码 对Windows2000来说总是为5 然后是4个子颁发机构代码 本例中是21和后续的3个长数字串 和一个相对标识符 RelativeIdentifier RID 本例中是500 嵌入式系统及其开发应用 第二版 31 32 Win2000的访问控制 2 所有对对象的访问都要通过安全子系统的检查系统中的所有对象都被保护起来文件 目录 注册表键内核对象同步对象私有对象 如打印机等 管道 内存 通讯 等对象的安全描述符 securitydescriptor SD包含了与一个安全对象有关的安全信息Securityidentifiers SIDs fortheownerandprimarygroupofanobject客体所有者的安全标识符SIDDACL discretionaryaccess controllist 自主访问控制表SACL systemaccess controllist 系统访问控制表以及一组控制标记 嵌入式系统及其开发应用 第二版 32 33 Win2000的访问控制 3 SecurityAccessToken安全访问令牌是对一个进程或者线程的安全环境的完整描述包括以下主要信息用户帐户的SID所有包含该用户的安全组的SIDs特权 该用户和用户组所拥有的权利OwnerDefaultDiscretionaryAccessControlList DACL 这是一个基本的安全单元 每个进程一个 嵌入式系统及其开发应用 第二版 33 34 共享对象的访问权限 访问权限 1 完全控制 2 拒绝访问 3 读 4 更改 嵌入式系统及其开发应用 第二版 34 35 Linux中的访问控制 1 采用DACLinux系统将设备和目录都看作文件 对文件有三种访问权限 读 写 执行系统将用户分为四类 根用户 root 具有最大权利所有者 Owner 文件的所有者 一般可以读写执行文件组 UserGroup 所有者所在组其他用户 OtherUsers 嵌入式系统及其开发应用 第二版 35 36 Linux中的访问控制 2 Linux文件系统安全模型与两个属性相关文件的所有者 ownership 文件所有者的id UID文件所有者所在用户组的id GID每个文件和其创建者的UID和GID关联一个进程通常被赋予其父进程的UID和GIDRoot的UID 0访问权限 accessrights 10个标志第1个标志 d 目录 b 块系统设备 c 字符设备 普通文件 第2 4个标志 所有者的读 写 执行权限第5 7个标志 所有者所在组的读 写 执行权限第8 10个标志 其他用户的读 写 执行权限用chmod修改权限 字符方式和数字方式 嵌入式系统及其开发应用 第二版 36 37 强制访问控制 强制访问控制 mandatorypolicies MAC 基于规则的访问控制 RuleBasedAccessControl 特点 取决于能用算法表达的并能在计算机上执行的策略 将主体和客体分级 根据主体和客体的级别标记来决定访问模式 如 绝密级 机密级 秘密级 无密级 其访问控制关系分为 上读 下写 下读 上写通过安全标签实现单向信息流通模式 嵌入式系统及其开发应用 第二版 37 Bell LaPadula模型 强制访问控制 MAC 中 系统包含主体集S和客体集O 每个S中的主体s及客体集中的客体o 都属于一固定的安全类SC 安全类SC 包括两个部分 有层次的安全级别和无层次的安全范畴 构成一偏序关系 Bell LaPadula 保证保密性 简单安全特性 无上读 仅当l o l s 且s对o具有自主型读权限时 s可以读取o 特性 无下写 仅当l s l o 且s对o具有自主型写权限时 s可以写o 38 嵌入式系统及其开发应用 第二版 38 强制访问控制实现机制 安全标签 安全标签是限制在目标上的一组安全属性信息项 在访问控制中 一个安全标签隶属于一个用户 一个目标 一个访问请求或传输中的一个访问控制信息 最通常的用途是支持多级访问控制策略 在处理一个访问请求时 目标环境比较请求上的标签和目标上的标签 应用策略规则 如BellLapadula规则 决定是允许还是拒绝访问 嵌入式系统及其开发应用 第二版 39 40 MACInformationFlow 嵌入式系统及其开发应用 第二版 40 Bell LaPadula的例子 嵌入式系统及其开发应用 第二版 41 Biba模型 在Biba模型中 系统包含主体集合S 客体集合O和一个完整性集合I 每个主体集S中的主体s及客体集O中的客体o 都属于一个固定的完整性级别i 这些级别是有序的 它遵循以下原则 无上写 当且仅当i s i o s S可以写入o O 无下读 当且仅当i o i s s S可以读取o O 42 嵌入式系统及其开发应用 第二版 42 Biba模型的例子 嵌入式系统及其开发应用 第二版 43 自主 强制访问的问题 自主访问控制配置的粒度小配置的工作量大 效率低强制访问控制配置的粒度大缺乏灵活性 嵌入式系统及其开发应用 第二版 44 基于角色的访问控制 基于角色的访问控制的概念NIST RBAC参考模型 45 嵌入式系统及其开发应用 第二版 45 基于角色的策略 基于角色的访问控制 role basedpolicies RBAC 基本思路 管理员创建角色 给角色分配权限 给角色分配用户 角色所属的用户可以执行相应的权限 46 嵌入式系统及其开发应用 第二版 46 基于角色的策略 与现代的商业环境相结合的产物基于角色的访问控制是一个复合的规则 可以被认为是IBAC和RBAC的变体 一个身份被分配给一个被授权的组 起源于UNIX系统或别的操作系统中组的概念责任分离 separationofduties 角色分层 rolehierarchies 角色激活 roleactivation 用户角色关系的约束 constraintsonuser rolemembership 嵌入式系统及其开发应用 第二版 47 角色的定义 每个角色与一组用户和有关的动作相互关联 角色中所属的用户可以有权执行这些操作Arolecanbedefinedasasetofactionsandresponsibilitiesassociatedwithaparticularworkingactivity 角色与组的区别组 一组用户的集合角色 一组用户的集合 一组操作权限的集合 嵌入式系统及其开发应用 第二版 48 一个基于角色的访问控制的实例 在银行环境中 用户角色可以定义为出纳员 分行管理者 顾客 系统管理者和审计员访问控制策略的一个例子如下 1 允许一个出纳员修改顾客的帐号记录 包括存款和取款 转帐等 并允许查询所有帐号的注册项 2 允许一个分行管理者修改顾客的帐号记录 包括存款和取款 但不包括规定的资金数目的范围 并允许查询所有帐号的注册项 也允许创建和终止帐号 3 允许一个顾客只询问他自己的帐号的注册项 4 允许系统的管理者询问系统的注册项和开关系统 但不允许读或修改用户的帐号信息 5 允许一个审计员读系统中的任何数据 但不允许修改任何事情 嵌入式系统及其开发应用 第二版 49 特点 该策略陈述易于被非技术的组织策略者理解 同时也易于映射到访问控制矩阵或基于组的策略陈述 同时具有基于身份策略的特征 也具有基于规则的策略的特征 在基于组或角色的访问控制中 一个个人用户可能是不只一个组或角色的成员 有时又可能有所限制 嵌入式系统及其开发应用 第二版 50 51 RBAC的安全原则 3条安全原则 最小权限 只把必须的权限分配给角色责任分离 separationofduties 多个互斥的角色合作完成重要工作数据抽象 可以定义抽象的权限 而不仅仅是OS中的读 写 执行等 嵌入式系统及其开发应用 第二版 51 52 NISTRBAC参考模型 ProposedbyNISTin2000基本RBAC CoreRBAC 分级RBAC HierarchicalRBAC 静态责任分离 StaticSeparationofDutyRelations 动态责任分离 DynamicSeparationofDutyrelations 嵌入式系统及其开发应用 第二版 52 53 基本RBAC 包括五个基本数据元素 用户users USERS 角色roles ROLES 目标objects OBS 操作operations OPS 许可权permissions PRMS 关系 多对多 用户被分配一定角色 角色被分配一定的许可权会话sessions 是用户与激活的角色集合之间的映射 嵌入式系统及其开发应用 第二版 53 54 基本RBAC USERS 可以是人 设备 进程Permission 是对被保护目标执行OPS的许可UA userassignmentrelationsPA permissionassignmentrelationsSession roles session激活的角色User sessions 与用户相联系的会话集合 嵌入式系统及其开发应用 第二版 54 几点说明 1 session由用户控制 允许动态激活 取消角色 实现最小特权 应避免同时激活所有角色 2 session和user分离可以解决同一用户多账号带来的问题 如审计 计账等 嵌入式系统及其开发应用 第二版 55 56 等级RBAC 角色的结构化分层是反映一个组织的授权和责任的自然方式 定义了角色的继承关系Roler1 inherits roler2 角色r2的权限同样是r1的权限 嵌入式系统及其开发应用 第二版 56 角色关系 偏序关系 partialorders 自反 reflexive 传递 transitive 反对称 anti symmetric 嵌入式系统及其开发应用 第二版 57 58 有约束的RBAC 增加了责任分离 用于解决利益的冲突 防止用户超越权限静态责任分离SSD StaticSeparationofDutyRelations 动态责任分离DSD DynamicSeparationofDutyrelations 嵌入式系统及其开发应用 第二版 58 59 静态责任分离 对用户分配的角色进行约束 也就是当用户被分配给一个角色时 禁止其成为第二个角色 嵌入式系统及其开发应用 第二版 59 SSDRBACModel SSD定义了一个用户角色分配的约束关系 一个用户不可能同时分配SSD中的两个角色 嵌入式系统及其开发应用 第二版 60 61 动态责任分离 与SSD类似 要限制一个用户的许可权SSD直接在用户的许可空间进行约束DSD通过对用户会话过程进行约束对最小特权提供支持 在不同的时间拥有不同的权限 嵌入式系统及其开发应用 第二版 61 DSDRBACModel DSD允许用户被授予不产生利益冲突的多个角色 嵌入式系统及其开发应用 第二版 62 RBAC的优势 便于授权管理 如系统管理员需要修改系统设置等内容时 必须有几个不同角色的用户到场方能操作 从而保证了安全性 便于根据工作需要分级 如企业财务部门与非财力部门的员工对企业财务的访问权就可由财务人员这个角色来区分 便于赋于最小特权 如即使用户被赋于高级身份时也未必一定要使用 以便减少损失 只有必要时方能拥有特权 便于任务分担 不同的角色完成不同的任务 便于文件分级管理 文件本身也可分为不同的角色 如信件 账单等 由不同角色的用户拥有 嵌入式系统及其开发应用 第二版 63 附加的控制 1 依赖于值的控制目标数据项无论数据值存储在哪儿 都有确定的访问控制许可 目标的敏感性会根据当前存储的数据值而改变 2 多用户控制当多于一个用户共同提出一个请求时 在访问目标之前的访问控制策略 3 基于上下文的控制允许访问控制策略在确定访问一个目标时依靠外部因素 时间 位置 通信路径 鉴别强度 可扩大基于身份的或基于规则的策略 目的在于保护访问控制机制 鉴别机制或物理安全措施等防护措施的弱点 嵌入式系统及其开发应用 第二版 64 其他访问控制策略 基于任务 Task Based 的访问控制基于属性的访问控制使用控制信任管理 TrustManagement 数字版权管理 DRM 65 嵌入式系统及其开发应用 第二版 65 授权的管理 授权的管理决定谁能被授权修改允许的访问强制访问控制的授权管理自主访问控制的授权管理角色访问控制的授权管理 嵌入式系统及其开发应用 第二版 66 67 自主访问控制的授权管理 集中式管理 只有单个的管理者或组对用户进行访问控制授权和授权撤消 分级式管理 一个中心管理者把管理责任分配给其它管理员 这些管理员再对用户进行访问授权和授权撤消 分级式管理可以根据组织结构而实行 所属权管理 如果一个用户是一个客体的所有者 则该用户可以对其它用户访问该客体进行授权访问和授权撤消 协作式管理 对于特定系统资源的访问不能有单个用户授权决定 而必须要其它用户的协作授权决定 分散式管理 在分散管理中 客体所有者可以把管理权限授权给其他用户 嵌入式系统及其开发应用 第二版 67 68 强制访问控制的授权管理 在强制访问控制中 允许的访问控制完全是根据主体和客体的安全级别决定 其中主体 用户 进程 的安全级别是由系统安全管理员赋予用户 而客体的安全级别则由系统根据创建它们的用户的安全级别决定 因此 强制访问控制的管理策略是比较简单的 只有安全管理员能够改变主体和客体的安全级别 嵌入式系统及其开发应用 第二版 68 角色访问控制的授权管理 角色访问控制提供了类似自由访问控制的许多管理策略 而且 管理权限的委托代理是角色访问控制管理的重要特点 在以上的两种访问控制的管理策略中都不存在 嵌入式系统及其开发应用 第二版 69 目标的粒度和策略的结合 对于相同的信息结构 由于粒度不同可能需要逻辑上截然不同的访问控制策略与机制 比如 有的数据库只能控制对一张表的整体访问或者禁止 而有的可以对一个字段进行控制多种策略的结合规定策略的优先级否定策略的优先级 嵌入式系统及其开发应用 第二版 70 多重策略实例 嵌入式系统及其开发应用 第二版 71 基本的访问