第四章 身份认证和访问控制-21

1、第四章第四章 身份认证和访问控制身份认证和访问控制 访问控制访问控制Access Control安全服务（安全服务（Security Services）：）： 安全系统提供的各项服务，用以保证系统或数据安全系统提供的各项服务，用以保证系统或数据传输足够的安全性传输足够的安全性根据根据ISO7498-2, 安全服务包括：安全服务包括：实体鉴别实体鉴别(认证认证)（Entity Authentication）数据保密性（数据保密性（Data Confidentiality）数据完整性（数据完整性（Data Integrity）防抵赖（防抵赖（Non-repudiation）访问控制（访问控制（Ac

2、cess Control）美国国防部的可信计美国国防部的可信计算机系统评估标准算机系统评估标准（TESEC）把访问控把访问控制作为评价系统安全制作为评价系统安全的主要指标之一。的主要指标之一。第四章第四章 身份认证和访问控制身份认证和访问控制 访问控制的概念访问控制的概念 一般概念一般概念-是针对越权使用资源的防御措施。是针对越权使用资源的防御措施。形式化地说形式化地说-访问控制是一个二元函数访问控制是一个二元函数 f(s,o,r)-在系统中发生的事情，抽象的说都是某个主体在系统中发生的事情，抽象的说都是某个主体(subject)在某个资源在某个资源(resource)上执行了某个上执行了某个

3、操作操作(operation)。 第四章第四章 身份认证和访问控制身份认证和访问控制 访问控制的分类访问控制的分类计算机信息系统访问控制技术最早产生于上个世纪计算机信息系统访问控制技术最早产生于上个世纪60年代，随后出现了两种重要的访问控制技术：年代，随后出现了两种重要的访问控制技术：-自主访问控制（自主访问控制（Discretionary Access Control,DAC）-强制访问控制（强制访问控制（Mandatory Access Control,MAC）作为传统访问控制技术，它们已经远远落后于当代系作为传统访问控制技术，它们已经远远落后于当代系统安全的要求，安全需求的发展对访问控制

4、技术提出统安全的要求，安全需求的发展对访问控制技术提出了新的要求。了新的要求。-基于角色的访问控制基于角色的访问控制(Role-Based Access Control,RBAC)第四章第四章 身份认证和访问控制身份认证和访问控制 访问控制的目的访问控制的目的是为了限制访问主体（用户、进程、服务等）是为了限制访问主体（用户、进程、服务等）对访问客体（文件、系统等）的访问权限，从而对访问客体（文件、系统等）的访问权限，从而使计算机系统在合法范围内使用；决定用户能做使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么。什么，也决定代表一定用户利益的程序能做什么。可以

5、限制对关键资源的访问，防止非法用户的侵可以限制对关键资源的访问，防止非法用户的侵入或者因合法用户的不慎操作造成的破坏。入或者因合法用户的不慎操作造成的破坏。访问控制是实现数据保密性和完整性机制的主要访问控制是实现数据保密性和完整性机制的主要手段。手段。第四章第四章 身份认证和访问控制身份认证和访问控制 认证、审计与访问控制的关系认证、审计与访问控制的关系 认证、访问控制和审计认证、访问控制和审计共共同建立了保护系统安全的同建立了保护系统安全的基础。其中认证是用户进基础。其中认证是用户进入系统的第一道防线入系统的第一道防线访问控制是在鉴别用户的访问控制是在鉴别用户的合法身份后，控制用户对合法身份

6、后，控制用户对数据信息的访问，它是通数据信息的访问，它是通过引用监控器实施这种访过引用监控器实施这种访问控制的。问控制的。 第四章第四章 身份认证和访问控制身份认证和访问控制 -身份认证身份认证VS访问控制访问控制正确地建立用户的身份标识是由认证服务实现的。在通正确地建立用户的身份标识是由认证服务实现的。在通过引用监控器进行访问控制时，总是假定用户的身份已过引用监控器进行访问控制时，总是假定用户的身份已经被确认，而且访问控制在很大程度上依赖用户身份的经被确认，而且访问控制在很大程度上依赖用户身份的正确鉴别和引用监控器的正确控制。正确鉴别和引用监控器的正确控制。-访问控制访问控制VS审计审计-访

7、问控制不能作为一个完整的策略来解决系统安全，访问控制不能作为一个完整的策略来解决系统安全，它必须要结合审计而实行。审计控制主要关注系统所有它必须要结合审计而实行。审计控制主要关注系统所有用户的请求和活动的事后分析。用户的请求和活动的事后分析。第四章第四章 身份认证和访问控制身份认证和访问控制 访问控制的构成访问控制的构成主体主体(subject)-who：指发出访问操作、存取请求：指发出访问操作、存取请求的主动方，它包括的主动方，它包括用户、用户组、终端、主机或一用户、用户组、终端、主机或一个应用进程个应用进程，主体可以访问客体。，主体可以访问客体。客体客体(object)-what：指被调用

8、的程序或欲存取的：指被调用的程序或欲存取的数据访问，数据访问，它可以是一个字节、字段、记录、程序、它可以是一个字节、字段、记录、程序、文件，或一个处理器、存储器及网络节点等文件，或一个处理器、存储器及网络节点等。安全访问政策安全访问政策:也称为授权访问，它是一套规则，用也称为授权访问，它是一套规则，用以确定一个以确定一个主体是否对客体拥有访问能力主体是否对客体拥有访问能力。第四章第四章 身份认证和访问控制身份认证和访问控制 主体主体VS客体客体-主体发起对客体的操作将由系统的授权来决定主体发起对客体的操作将由系统的授权来决定-一个主体为了完成任务可以创建另外的主体，一个主体为了完成任务可以创建

9、另外的主体，并由父主体控制子主体。并由父主体控制子主体。-主体与客体的关系是相对的，当一个主体受到主体与客体的关系是相对的，当一个主体受到另一主体的访问，成为访问目标时，该主体便成另一主体的访问，成为访问目标时，该主体便成了客体。了客体。第四章第四章 身份认证和访问控制身份认证和访问控制 安全访问政策安全访问政策访问控制规定了哪些主体可以访问，以及访问权限访问控制规定了哪些主体可以访问，以及访问权限的大小的大小负责控制主体负责控制主体对客体的访问对客体的访问根据访问控制根据访问控制信息作出是否信息作出是否允许主体操作允许主体操作的决定的决定第四章第四章 身份认证和访问控制身份认证和访问控制 访

10、问控制的一般实现机制和方法访问控制的一般实现机制和方法-实现机制实现机制 基于访问控制属性基于访问控制属性-访问控制表访问控制表/矩阵矩阵 基于用户和资源分级（基于用户和资源分级（“安全标签安全标签”）-多级访问控制多级访问控制-常见实现方法常见实现方法 访问控制表（访问控制表（ACL, Access Control Lists) 访问能力表（访问能力表（CL,Capabilities Lists) 授权关系表授权关系表 （Authorization Relation）第四章第四章 身份认证和访问控制身份认证和访问控制 访问控制实现方法访问控制实现方法-访问控制矩阵访问控制矩阵(Access

11、Control Matrix)-利用二维矩阵规定任意主体和客体间的访问权限利用二维矩阵规定任意主体和客体间的访问权限-按列看是访问控制表按列看是访问控制表(ACL)内容内容-按行看是访问能力表按行看是访问能力表(CL)内容内容SubjectsObjectsS1S2S3O1O2O3Read/writeWriteReadExecute用户对特定系统对象例如文件目录或单个文件的存取权限。用户对特定系统对象例如文件目录或单个文件的存取权限。每个对象拥有一个在访问控制表中定义的安全属性。每个对象拥有一个在访问控制表中定义的安全属性。这张表对于每个系统用户有拥有一个访问权限。这张表对于每个系统用户有拥有一

12、个访问权限。最一般的访问权限包括最一般的访问权限包括:读拷贝读拷贝(read-copy)；写删除（；写删除（write-delete） ；执行（；执行（execute）；）；Null（无效）（无效）:主体对客体不具有任何访问权。在存取控制表中用这种模式主体对客体不具有任何访问权。在存取控制表中用这种模式可以排斥某个特定的主体。可以排斥某个特定的主体。稀疏稀疏不利用操作不利用操作第四章第四章 身份认证和访问控制身份认证和访问控制 访问控制实现方法访问控制实现方法-访问控制表访问控制表(ACL)客体为中心客体为中心userAOwnRWOuserB R OuserCRWOObj1每个客体附加一个它可

13、以访问的主体的明细表每个客体附加一个它可以访问的主体的明细表。-FileA : (Alice,r,w)，(Bob，r)，Deptw)UNIX采用保护位方式采用保护位方式-9个保护位分别用来指定文件所有者、组用户与其他用户个保护位分别用来指定文件所有者、组用户与其他用户的读、写和执行许可。的读、写和执行许可。rw-r-现代计算机现代计算机系统主要还系统主要还是利用访问是利用访问控制表方法控制表方法第四章第四章 身份认证和访问控制身份认证和访问控制 访问控制实现方法访问控制实现方法-访问能力表访问能力表(CL)主体为中心主体为中心Obj1OwnRWOObj2 R OObj3 RWOUserA每个主

14、体都附加一个该主体可访问的客体的明细表。每个主体都附加一个该主体可访问的客体的明细表。-每个用户都有每个用户都有Profiles文件，列出所有该用户拥有访问权限的受保护客体。文件，列出所有该用户拥有访问权限的受保护客体。CL没有获得商业上的成功没有获得商业上的成功但在分布式系统中，主体但在分布式系统中，主体认证一次获得自己的认证一次获得自己的访问访问能力表能力表后，就可以根据能后，就可以根据能力关系从对应的服务器获力关系从对应的服务器获得相应的服务得相应的服务而各个服务器可以进一步而各个服务器可以进一步采用采用访问控制表访问控制表进行访问进行访问控制控制第四章第四章 身份认证和访问控制身份认证

15、和访问控制 访问控制表访问控制表(ACL) VS 访问能力表访问能力表(CL)浏览浏览(特定客体特定客体)访问权限：访问权限：ACL-容易，容易，CL-困难困难访问权限传递：访问权限传递：ACL-困难，困难，CL-容易容易访问权限回收：访问权限回收：ACL-容易，容易，CL-困难困难第四章第四章 身份认证和访问控制身份认证和访问控制 访问控制表访问控制表(ACL) VS 访问能力表访问能力表(CL)-多数集中式操作系统使用多数集中式操作系统使用ACL方法或类似方式方法或类似方式-由于分布式系统中很难确定给定客体的潜在主由于分布式系统中很难确定给定客体的潜在主体集，在现代体集，在现代OS中中CL

16、也得到广泛应用也得到广泛应用第四章第四章 身份认证和访问控制身份认证和访问控制 访问控制实现方法访问控制实现方法-授权关系表授权关系表直接建立主体与客体的隶属关系；直接建立主体与客体的隶属关系；通过主体排序通过主体排序-得到能力关系表；得到能力关系表；通过客体排序通过客体排序-得到访问控制表得到访问控制表UserA Own Obj1UserA R Obj2UserA W Obj3UserB W Obj1UserB R Obj2第四章第四章 身份认证和访问控制身份认证和访问控制 访问控制技术访问控制技术- -自主访问控制自主访问控制DAC,Discretionary Access Control

17、 DAC是目前计算机系统中实现最多的访问控制是目前计算机系统中实现最多的访问控制机制，机制，它是在确认主体身份以及（或）它们所属组它是在确认主体身份以及（或）它们所属组的基础上对访问进行限定的一种方法。的基础上对访问进行限定的一种方法。传统的传统的DAC最早出现在上个世纪最早出现在上个世纪70年代初期的分时系统中，它年代初期的分时系统中，它是多用户环境下最常用的一种访问控制技术，在目是多用户环境下最常用的一种访问控制技术，在目前流行的前流行的Unix类操作系统中被普遍采用。类操作系统中被普遍采用。基本思想基本思想-允许某个主体显式地指定其他主体对该主允许某个主体显式地指定其他主体对该主体所拥有

18、的信息资源是否可以访问以及可执行的访体所拥有的信息资源是否可以访问以及可执行的访问类型。问类型。第四章第四章 身份认证和访问控制身份认证和访问控制 访问控制技术访问控制技术- -自主访问控制自主访问控制DAC,Discretionary Access Control自主访问自主访问-有访问许可的主体能够向其他主体转让访问权。有访问许可的主体能够向其他主体转让访问权。特点特点-根据主体的身份和授权来决定访问模式。根据主体的身份和授权来决定访问模式。 -访问控制的粒度是单个用户。访问控制的粒度是单个用户。 缺点缺点-信息在移动过程中其访问权限关系会被改变。如用信息在移动过程中其访问权限关系会被改变

19、。如用户户A可将其对目标可将其对目标O的访问权限传递给用户的访问权限传递给用户B,从而使不具从而使不具备对备对O访问权限的访问权限的B可访问可访问O。第四章第四章 身份认证和访问控制身份认证和访问控制 访问控制技术访问控制技术- -强制访问控制强制访问控制MAC, Mandatory Access ControlMAC最早出现在最早出现在Multics系统中，在系统中，在1983美国美国国防部的国防部的TESEC中被用作为中被用作为B级安全系统的级安全系统的主要评价标准之一。主要评价标准之一。MAC的基本思想是：每的基本思想是：每个主体都有既定的安全属性，每个客体也都个主体都有既定的安全属性，

20、每个客体也都有既定安全属性，主体对客体是否能执行特有既定安全属性，主体对客体是否能执行特定的操作取决于两者安全属性之间的关系。定的操作取决于两者安全属性之间的关系。第四章第四章 身份认证和访问控制身份认证和访问控制 访问控制技术访问控制技术- -强制访问控制强制访问控制MAC, Mandatory Access Control系统对所有主体及其所控制的客体（例如：进程、文件、系统对所有主体及其所控制的客体（例如：进程、文件、段、设备）实施强制访问控制。段、设备）实施强制访问控制。为这些主体及客体指定为这些主体及客体指定敏感标签敏感标签，这些标记是等级分类，这些标记是等级分类和非等级类别的组合，

21、它们是实施强制访问控制的依据。和非等级类别的组合，它们是实施强制访问控制的依据。系统根据主体和客体的敏感标记来决定访问模式。系统根据主体和客体的敏感标记来决定访问模式。-敏感标签敏感标签 sensitivity label表示客体安全级别并描述客体数据敏感性的一组信息，表示客体安全级别并描述客体数据敏感性的一组信息，TCSEC中把敏感标记作为强制访问控制决策的依据。中把敏感标记作为强制访问控制决策的依据。如：绝密级，秘密级，机密级，无密级如：绝密级，秘密级，机密级，无密级第四章第四章 身份认证和访问控制身份认证和访问控制 访问控制技术访问控制技术- -强制访问控制强制访问控制MAC, Mand

22、atory Access Control特点：特点：-将主题和客体分级，根据主体和客体将主题和客体分级，根据主体和客体的级别标记来决定访问模式。的级别标记来决定访问模式。-其访问控制关系分为：其访问控制关系分为：下读（下读（read down）：用户级别大于文件级别的读操作。）：用户级别大于文件级别的读操作。上写（上写（Write up）：用户级别小于文件级别的写操作。）：用户级别小于文件级别的写操作。下写（下写（Write down）：用户级别大于文件级别的写操作。）：用户级别大于文件级别的写操作。上读（上读（read up）：用户级别小于文件级别的读操作。）：用户级别小于文件级别的读操作。

23、-MAC通过梯度安全标签实现单向信息流通模式。通过梯度安全标签实现单向信息流通模式。第四章第四章 身份认证和访问控制身份认证和访问控制 Bell-La Padula模型模型第四章第四章 身份认证和访问控制身份认证和访问控制 Biba安全模型安全模型第四章第四章 身份认证和访问控制身份认证和访问控制 -自主访问控制自主访问控制配置的粒度小；工作量大；配置的粒度小；工作量大；DAC将赋予或取消访将赋予或取消访问权限的一部分权力留给最终用户，管理员难以问权限的一部分权力留给最终用户，管理员难以确定哪些用户对哪些资源有访问权限，不利于实确定哪些用户对哪些资源有访问权限，不利于实现统一的全局访问控制。现

24、统一的全局访问控制。-强制访问控制强制访问控制配置的粒度大；缺乏灵活性；配置的粒度大；缺乏灵活性；缺点在于访问级别缺点在于访问级别的划分不够细致，在同级别之间缺乏控制机制。的划分不够细致，在同级别之间缺乏控制机制。第四章第四章 身份认证和访问控制身份认证和访问控制 访问控制技术访问控制技术- -基于角色的访问控制基于角色的访问控制RBAC,Role-Based Access Control -20世纪世纪70年代就已经提出，但在相当长的一年代就已经提出，但在相当长的一段时间内没有得到人们的关注。段时间内没有得到人们的关注。-进入进入90年代后，随着安全需求的发展加之年代后，随着安全需求的发展加

25、之R.S.Sandhu等人的倡导和推动，等人的倡导和推动，RBAC又引又引起了人们极大的关注起了人们极大的关注.第四章第四章 身份认证和访问控制身份认证和访问控制 访问控制技术访问控制技术- -基于角色的访问控制基于角色的访问控制RBAC,Role-Based Access Control用户：可以独立访问资源的主体。用户：可以独立访问资源的主体。角色：一个组织或任务中的工作或者位置，代表权利、资格和责任。角色：一个组织或任务中的工作或者位置，代表权利、资格和责任。-角色就是一个或是多个用户可执行的操作的集合，它体现了角色就是一个或是多个用户可执行的操作的集合，它体现了RBAC的基本思想，的基

26、本思想，即授权给用户的访问权限，通常由用户在一个组织中担当的角色来确定。即授权给用户的访问权限，通常由用户在一个组织中担当的角色来确定。-在银行环境中，用户角色可以定义为出纳员、分行管理者、顾客、系统管理者和在银行环境中，用户角色可以定义为出纳员、分行管理者、顾客、系统管理者和审计员审计员-但用户不能自主地将访问权限传给他人，这一点是但用户不能自主地将访问权限传给他人，这一点是RBAC和和DAC最基本的区别。最基本的区别。例如，在医院里，医生这个角色可以开处方，但他无权将开处方的权力传给护士。例如，在医院里，医生这个角色可以开处方，但他无权将开处方的权力传给护士。许可：允许的操作。许可：允许的

27、操作。多对多：用户被分配一定角色，角色被分配一定的许可权多对多：用户被分配一定角色，角色被分配一定的许可权角色与组的区别角色与组的区别组组:用户集用户集角色角色:用户集权限集用户集权限集第四章第四章 身份认证和访问控制身份认证和访问控制 基本模型基本模型-RBAC0许可许可(permission)-角色角色(role)-用户用户(user)-会话会话(session)RBAC中中许可许可被授权给被授权给角色角色，角色被授权给用户，用户不，角色被授权给用户，用户不直接与许可关联。直接与许可关联。RBAC对访问权限的授权由管理员统一对访问权限的授权由管理员统一管理，而且授权规定是强加给用户的，这是

28、一种非自主管理，而且授权规定是强加给用户的，这是一种非自主型集中式访问控制方式。型集中式访问控制方式。用户用户是一个静态的概念，是一个静态的概念，会话会话则是一个动态的概念。则是一个动态的概念。一个会话构成一个用户到多个角色的映射，即会话激活一个会话构成一个用户到多个角色的映射，即会话激活了用户授权角色集的某个子集，这个子集称为活跃角色了用户授权角色集的某个子集，这个子集称为活跃角色集。集。活跃角色集决定了本次会话的许可集。活跃角色集决定了本次会话的许可集。 第四章第四章 身份认证和访问控制身份认证和访问控制 单箭头单箭头-表示一，双箭头表示一，双箭头-表示多表示多模型模型 U Users R

29、 角色角色 P 许可许可约束 S会话会话用户用户角色角色PA许可分配许可分配UA用户分配用户分配RH角色层次角色层次RBAC3RBAC3RBAC1RBAC1RBAC2RBAC2第四章第四章 身份认证和访问控制身份认证和访问控制 通过角色定义、分配和设置适应安全策略通过角色定义、分配和设置适应安全策略-系统管理员定义系统中的各种角色，每种角色可以完成系统管理员定义系统中的各种角色，每种角色可以完成一定的职能，不同的用户根据其职能和责任被赋予相应一定的职能，不同的用户根据其职能和责任被赋予相应的角色，一旦某个用户成为某角色的成员，则此用户可的角色，一旦某个用户成为某角色的成员，则此用户可以完成该角

30、色所具有的职能。以完成该角色所具有的职能。-根据组织的安全策略特定的岗位定义为特定的角色、特根据组织的安全策略特定的岗位定义为特定的角色、特定的角色授权给特定的用户。例如可以定义某些角色接定的角色授权给特定的用户。例如可以定义某些角色接近近DAC，某些角色接近，某些角色接近MAC。-系统管理员也可以根据需要设置角色的可用性以适应某系统管理员也可以根据需要设置角色的可用性以适应某一阶段企业的安全策略，例如设置所有角色在所有时间一阶段企业的安全策略，例如设置所有角色在所有时间内可用、特定角色在特定时间内可用、用户授权角色的内可用、特定角色在特定时间内可用、用户授权角色的子集在特定时间内可用。子集在

31、特定时间内可用。第四章第四章 身份认证和访问控制身份认证和访问控制 容易实现最小特权（容易实现最小特权（least privilege）原则原则-保持完整性保持完整性-最小特权原则是指用户所拥有的权力不能超过最小特权原则是指用户所拥有的权力不能超过他执行工作时所需的权限。他执行工作时所需的权限。-使用使用RBAC能够容易地实现最小特权原则。能够容易地实现最小特权原则。-在在RBAC中，系统管理员可以根据组织内的规章中，系统管理员可以根据组织内的规章制度、职员的分工等设计拥有不同权限的角色，制度、职员的分工等设计拥有不同权限的角色，只有角色需要执行的操作才授权给角色。当一个只有角色需要执行的操作才授权给角色。当一个主体要访问某资源时主体要访问某资源时,如果该操作不在主体当前如果该操作不在主体当前活跃角色的授权操作之内，该访问将被拒绝。活跃角色的授权操作之内，该访问将被拒绝。第四章第四章 身份认证和访问控制身份认证和访问控制 层次模型层次模型RBAC1-角色分层角色分层-组织结构中通常存在一种上、下级关系，上一级拥有下一级的全部权限组织结构中通常存在一种上、下级关系，上一级拥有下一级的全部权限