访问控制PPT课件

.,1,访问控制,访问控制（AccessControl）是对信息系统资源的访问范围以及方式进行限制的策略。简单地说，就是防止合法用户的非法操作。它是建立在身份认证之上的操作权限控制。身份认证解决了访问者是否合法者，但并非身份合法就什么都可以做，还要根据不同的访问者，规定他们分别可以访问哪些资源，以及对这些可以访问的资源可以用什么方式（读？写？执行？删除？等）访问。它是基于权限管理的一种是非常重要的安全策略。对用户权限的设定，称为授权（Authorization）。,.,2,9.3.1基本概念1.主体与客体访问控制可以描述为：主动的主体（Subject）使用某种特定的访问操作去访问一个被动的客体（Object），所使用的特定的访问操作受访问监视器控制。这就是图9.1所示的安全系统逻辑模型。,图9.1安全系统逻辑模型,.,3,主体和客体都是访问控制系统中的实体。主体是发出访问请求的主动方，通常是用户或用户进程。客体是被访问的对象，通常是被调用的程序、进程，要存取的数据、文件、内存、系统、设备、设施等资源。信息系统的安全目标就是控制和管理主体对客体的访问。安全策略，就是对这些访问进行约束的一组规则和目标，它反映了系统的安全需求，并可以用达到安全目的而采取的步骤进行描述。,.,4,2.访问权限（1）Bell-LaPadula安全模型中的访问权限1973年DavidBell和LenLapadula提出了第一个也是最著名安全策略模型Bell-LaPadula安全模型，简称BLP模型。在基本层面上，定义了两种访问方式：观察（Observe）：查看客体的内容。改变（Alter）：改变客体的内容。在Bell-LaPadula安全模型中定义了4种访问权限：执行、读、添加（有时也称盲目的写）和写。表9.1给出了这些访问权限与访问方法之间的关系。,.,5,表9.1Bell-LaPadula安全模型中的访问权限,注意，这里基于效率的考虑，写访问通常包含读访问。这样，在编辑一个文件时，就无须先打开一次进行读（了解内容），再打开一次用于写了。所以写访问包含了查看和改变两种访问形式。,.,6,（2）UnixUnix的访问控制用3种权限表示：读（read）、写（write）、执行（execute）。它们应用于文件和目录时含义有所不同，如表9.2所示。,表9.2Unix的访问控制3种权限,.,7,（3）WindowsNT/2000/XPWindowsNT/2000/XP的权限分为文件权限和目录权限。每一个权限级别都确定了一个执行特定的任务组合的能力，这些任务是：Read（R）、Execute（X）、Write（W）、SetPermission（P）、TakeOwnership（O）。表9.3表明任务与各种权限级别之间的关联。,.,8,表9.3WindowsNT/2000/XP表明任务与各种权限级别之间的关联,.,9,9.3.2访问控制结构对于单个主体和客体进行单独的定义。但是对于数量众多的主体和客体，就要设计一种合适的实现结构了。下面介绍几种常用的访问控制结构。,.,10,1.访问控制矩阵访问控制矩阵也称访问许可矩阵，它用行表示客体，列表示主体，在行和列的交叉点上设定访问权限。表9.4为一个访问控制矩阵的例子。,表中，一个文件的Own权限的含义是可以授予（Authorize）或者撤销（Revoke）其他用户对该文件的访问控制权限。例如，张三对File1具有Own权限，所以张三可以授予或撤销李四和王五对File1的读（R）写（W）权限。访问矩阵比较直观，但是表中会出现空白。,.,11,2.访问能力表能力（Capability）是受一定机制保护的客体标志，标记了某一主体对客体的访问权限：某一主体对某一客体有无访问能力，表示了该主体能不能访问那个客体；而具有什么样的能力，表示能对那个客体进行一些什么样的访问。,访问能力表着眼于某一主体的访问权限，从主体出发描述控制信息，很容易获得一个主体所被授权可以访问的客体及其权限。但要从客体出发获得哪些主体可以访问它，就困难了。,.,12,图9.2访问能力表的例子,.,13,3.访问控制表访问控制表（AccessControlList，ACL）与访问能力表正好相反，是从客体出发描述控制信息，可以用来对某一资源指定任意一个用户的访问权限。图9.3是表9.4的访问控制表表示。ACL的优点是可以容易地查出对某一特定资源拥有访问权的所有用户，有效地实施授权管理，是目前采用的最多的一种实现形式。,.,14,图9.3访问控制表的例子,.,15,4.授权关系表授权关系表（AuthorizationRelations）描述了主体和客体之间各种授权关系的组合。表9.5为表9.4的授权关系表表示。授权关系表便于使用关系数据库进行存储。只要按照客体进行排序，就得到了与访问能力表相当的二维表；按照主体进行排序，就得到了与访问控制表相当的二维表。,.,16,表9.5授权关系表的一个例子,.,17,9.3.3.访问控制实施策略计算机的活动主要是在主体和客体之间进行的。计算机安全的核心问题就是保证主体对客体访问的合法性，既通过对数据及程序的读出、写入、修改、删除、运行等的管理，确保主体对客体的访问是经过授权的，同时要拒绝非授权的访问，以保证信息的机密性、完整性和可用性。例如，当用户或应用程序试图访问一个文件时，首先需要通过系统调用打开文件。在打开文件之前，访问控制机制被调用。访问控制机制利用访问控制表、访问权力表或访问控制矩阵等，检查用户的访问权限，如果在用户的访问权限内，则可以继续打开文件；如果用户超出授权权限，则访问被拒绝，产生错误信息并退出。,.,18,然而，访问控制所提供的安全性还与访问控制实施的策略有关。下面介绍在计算机系统中常用的3种访问控制实施策略。1.自主访问控制自主访问控制，又称任选访问控制（DiscretionaryAccessControl，DAC）。所以称“自主”，意为：一个拥有一定访问权限的主体，被看作是一定资源的所有者（也往往是创建者），在其拥有的资源范围内，所有者可以自主地直接或间接地将权限传给（分发给）主体，即可以自主地谁可以访问这些资源。,.,19,例如，用户A对客体O具有访问权限，而B没有。当A将对O的访问权限传递给B后，B就有了对O的访问权限。这是目前计算机系统中应用最广泛的一种策略，Unix和Windows系统都是采用自主型的访问控制策略。DAC的优点是应用灵活。缺点是，权限传递很容易造成漏洞，所以其安全级别比较低，不太适合网络环境。,.,20,2.强制访问控制强制访问控制（MandatoryAccessControl，MAC）的基本思想是系统要“强制”主体服从访问控制政策：系统（系统管理员）给主体和客体分配了不同的安全属性，用户不能改变自身或任何客体的安全属性，即不允许单个用户确定访问权限，只有系统管理员才可以确定用户或用户组的访问权限。,.,21,MAC主要用于多层次安全级别的系统（如军事系统）中。它预先将主体和客体进行分级，定义出一些可信任级别及信息的敏感程度安全级别（如绝密级、机密级、秘密级、无密级等），然后分别给主体和客体以级别标记。用户必须遵守安全政策划分的安全级别的设定以及有关访问权限的设定。当用户提出访问请求时，系统对主、客体的安全属性进行比较，来决定该主体是否可以对所请求的客体进行访问。,.,22,在典型的应用中，MAC使用两种访问控制关系：上读/下写用来保证数据完整性和下读/上写用来保证数据机密性。下读/上写相当于在一个层次组织中，上级领导可以看下级的资料；而下级不能看上级的资料，但可以向上级写资料。MAC比DAC具有更强的访问控制能力。但是实现的工作量大，管理不便，不够灵活。,.,23,3.基于角色的访问控制基于角色的访问控制（Role-BasedAccessControl，RBAC）是20世纪90年代提出的访问控制策略。它克服了前面两种传统访问控制策略的不足，成为一种有效的访问控制策略。为了说明GBAC的原理，首先观察图9.4，并从以下几个方面来理解角色。,.,24,图9.4角色的概念,.,25,（1）在传统的访问控制中，主体与客体直接沟通。而在基于角色的访问控制中，角色是一个中间层，主体（用户）与客体之间没有直接的联系，只能靠角色沟通；用户标识主体本身仅对于身份认证具有意义，真正决定访问权限的是用户的角色标识。（2）角色相当于工作部门中的岗位、职位或分工。一个角色可以对应多个用户（相当于一个岗位可以有多个职员），也可以有多个权限（对多个资源的访问权）。角色一方面是用户的集合，一方面又是权限的集合，它作为中间媒介形成用户集合与某种授权的关联。这种关联相对于个体具有较强的稳定性。这样的权限管理与传统的权限管理相比，具有较强的可操作性和可管理性。,.,26,（3）角色由系统管理员定义，角色成员的增减也只能由系统管理员执行，只有系统管理员才有权定义和分配角色，并且授权规则是强加给用户的，用户只能被动地接受，不能自主地决定。（4）在RBAC系统中，要求区分权限（Authority）和职责（Responsibility）：一位系统管理员或安全主管可以修改、分配访问权限，但不可具有访问任何资源的权限；一个用户可以具有某种访问权限，但不能涉及访问权限的分配工作。（5）角色的控制比较灵活，根据需要可以将某些