信息安全技术—第6讲

1、信息安全技术信息安全技术访问控制与访问控制与防火墙技术防火墙技术提纲提纲l访问控制技术l防火墙技术基础l防火墙安全设计策略l防火墙攻击策略l第四代防火墙的主要技术l防火墙发展的新方向l防火墙选择原则与常见产品l本章小结提纲提纲l访问控制技术访问控制技术l防火墙技术基础l防火墙安全设计策略l防火墙攻击策略l第四代防火墙的主要技术l防火墙发展的新方向l防火墙选择原则与常见产品l本章小结知识点知识点l访问控制技术概述l访问控制策略l访问控制的实现方法访问控制访问控制 任何一个信息系统都需要对敏感数据及其资源进行安全保护，避免未授权的信息泄露、修改或丢失，同时保证合法授权用户对数据的正常访问。对系统及

2、资源的保护要求每一个访问请求都在控制下进行，保证只有合法授权的访问才能发生。这个过程称之为访问访问控制（控制（access control）。）。 访问控制的作用访问控制的作用l访问控制的作用访问控制的作用l机密性和完整性l直接作用l可用性l通过对信息的有效控制来实现两个基本理论模型两个基本理论模型l两个基本理论模型两个基本理论模型l引用监控器(Reference Monitor)l访问矩阵(Access Matrix)引用监控器引用监控器l引用监控器引用监控器l1972年，作为承担美国空军的一项计算机安全规划研究任务的研究成果，J.P.Anderson在一份研究报告中首次提出了引用监控器(R

3、eference Monitor)的概念。l安全操作系统的核心部分是安全内核，安全内核的基础是引用监控器，它是负责实施系统安全策略的硬件与软件的结合体。引用监控器模型引用监控器模型 访问控制依赖引用监控器进行主体对客体访问的控制，以决定主体是否有权对客体进行操作和进行何种操作。引用监控器查询授权数据库(Authorization Database)，根据系统安全策略进行访问控制的判断，同时将相应活动记录在审计数据库(Audit Database)中。访问控制矩阵访问控制矩阵l访问矩阵访问矩阵l最基本的访问控制抽象模型l1969年，B.W.Lampson通过形式化表示方法运用主体、客体和访问控制

4、矩阵(Access Matrix)的思想第一次对访问控制问题进行了抽象。l主体是访问操作中的主动实体，客体是访问操作中的被动实体，主体对客体进行访问，系统使用引用监控器根据访问矩阵来进行访问控制。访问矩阵模型描述了访问控制策略。访问矩阵模型描述了访问控制策略。在访问矩阵模型中，系统的状态由三元组三元组(S,O,A)来定义S是主体的集合行标对应主体O是客体的集合列标对应客体A是访问矩阵，矩阵元素As,o是主体s在o上实施的操作客体以及在其上实施的操作类型取决应用系统本身的特点 实现访问矩阵的三种方法实现访问矩阵的三种方法l实际应用中实现访问矩阵的三种方法实现访问矩阵的三种方法l访问控制列表访问控

5、制列表(Access Control List，ACL)l能力列表能力列表(Capability List)l授权表授权表(Authorization Table)访问控制列表访问控制列表l访问控制表访问控制表ACLs(Access Control Lists)l目前最流行、使用最多的访问控制实现技术。l每个客体有一个访问控制表，是系统中每一个有权访问这个客体的主体信息实际上是按列保存访问矩阵实际上是按列保存访问矩阵。l访问控制表提供了针对客体的方便查询方法，通过查询一个客体的访问控制表很容易决定某一个主体对该客体的当前访问权限。删除客体的访问权限也很方便，把该客体的访问控制表整个替换为空表即

6、可。但是用访问控制表来查询一个主但是用访问控制表来查询一个主体对所有客体的所有访问权限是很困难的体对所有客体的所有访问权限是很困难的，必须查询系统中所有客体的访问控制表来获得其中每一个与该主体有关的信息。类似地删除一个主体对所有客体的所有访问权限也必须查询所有客体的访问控制表，删除与该主体相关的信息。能力表能力表l能力表能力表(Capabilities list)l每个主体有一个能力表(Cap-ability Lists)，是该主体对系统中每一个客体的访问权限信息是按行保存访问矩阵。l使用能力表实现的访问控制系统可以很方便地查询某一个主体的所有访问权限，只需要遍历这个主体的能力表即可。然而查询

7、对某一个客体具有访问权然而查询对某一个客体具有访问权限的主体信息就很困难了限的主体信息就很困难了，必须查询系统中所有主体的能力表。l实验性强，但并没有取得商业上的成功授权关系表授权关系表l授权关系表授权关系表(Authorization Relations)l既不对应于行也不对应于列的实现技术l对应访问矩阵中每一个非空元素的实现技术l授权关系表的每一行(或者说元组)就是访问矩阵中的一个非空元素，是某一个主体对应于某一个客体的访问权限信息。l如果授权关系表按主体排序，查询时就可以得到能力表的效率；如果按客体排序，询时就可以得到访问控制表的效率。l安全数据库系统通常采用授权关系表来实现其访问控制安

8、全机制。访问控制方法分类访问控制方法分类l访问控制方法分类访问控制方法分类l有仲裁机构有仲裁机构l本地仲裁机构的访问控制本地仲裁机构的访问控制自主访问控制DAC强制访问控制MAC基于角色的访问控制RBACl异地第三方异地第三方CA认证中心的访问控制认证中心的访问控制基于PKI证书的访问控制l无仲裁机构的访问控制无仲裁机构的访问控制l在分布式对等环境下，没有认证中心的访问控制，通讯双方事先并不认识，也称为信任管理，如移动ad hoc网络环境下的信任管理。访问控制模型分类（访问控制模型分类（1/3）l考虑主体是否能够自主控制自身拥有的权限考虑主体是否能够自主控制自身拥有的权限l自主访问控制l强制访

9、问控制访问控制模型分类（访问控制模型分类（2/3）l主体是否能够直接拥有访问控制权限主体是否能够直接拥有访问控制权限l直接访问控制直接访问控制l指通过主体与权限的直接关联实现访问控制，应用直接访问控制策略实现的访问控制模型被称为直接访问控制模型；l早期的访问控制模型都是直接访问控制模型，典型模型有访问控制矩阵；l适用于主体和客体比较少的环境，特别适用于静态应用环境适用于主体和客体比较少的环境，特别适用于静态应用环境，如自主访问控制模型和强制访问控制模型都属这种类型。l间接访问控制间接访问控制l指主体与权限不是直接关联，而是通过中间实体与权限的间接关联实现访问控制，应用间接访问控制策略实现的访问

10、控制模型被称为间接访问控制模型。l与直接访问控制模型相比，间接访问控制模型具有一定的弹性，间接访问控制模型具有一定的弹性， 能够适应动态的应用环境，能够适应动态的应用环境，如基于角色的访问控制模型和基于任务的访问控制模型。访问控制模型分类（访问控制模型分类（3/3）l访问控制的功能访问控制的功能l一般的访问控制模型一般的访问控制模型l一般访问控制模型是指对一般应用系统进行访问保护的模型，这类访问控制模型不存在任务作为中间实体，不支持工作流系统的访问控制;l工作流访问控制模型工作流访问控制模型l工作流访问控制模型主要指支持工作流系统的访问控制模型，这类模型与一般访问控制模型的关键区别在于支持任务

11、之间的相互关联。*工作流管理访问控制（工作流管理访问控制（1/3）l工作流管理访问控制的背景与意义工作流管理访问控制的背景与意义l工作流管理工作流管理是指整个或部分经营过程在计算机支持下的全自动或半自动化，在此过程中的文档、信息或任务按照一系列程序规则从一个任务执行者传送到另一个执行者。l随着计算机及其网络通信技术的飞速发展，工作流管理系统开始在企业应用中得到不断推广，为了保证信息在恰当的时间被正确的执行者获得，需要对工作流管理进行访问控制。*工作流管理访问控制（工作流管理访问控制（2/3）l工作流管理访问控制的特征工作流管理访问控制的特征l与一般的系统资源访问控制相比，工作流管理中的工作流管

12、理中的访问控制具有时间性和空间性特征，即权限控制需访问控制具有时间性和空间性特征，即权限控制需要与任务执行同步，要与任务执行同步， 同时各个任务节点之间具有约同时各个任务节点之间具有约束关系。束关系。l时间性和空间性特征是工作流管理访问控制的重要特征，一般的访问控制模型不能够满足这一特征。一般的访问控制模型不能够满足这一特征。*工作流管理访问控制（工作流管理访问控制（3/3）l工作流管理访问控制的研究内容工作流管理访问控制的研究内容l工作流访问控制模型工作流访问控制模型l工作流访问控制模型研究单个流程任务之间的关联对访问控制的影响，系统主体和角色对任务以及任务关联的系统资源的访问控制。l工作流

13、交互安全工作流交互安全l研究同一组织或者联盟中不同工作流系统之间协作和交互的安全l多层工作流系统信息安全多层工作流系统信息安全l是工作流交互安全的一部分，它研究层次工作流模型中工作流之间的关系以及交互问题选择访问控制方法要考虑的因素选择访问控制方法要考虑的因素l选择访问控制方法将要考虑如下因素选择访问控制方法将要考虑如下因素l根据什么来制定访问决策(用户ID还是用户证书)？l是要最大化地共享，还是要实现最小特权？l是否要实现责任的划分？l对涉及到系统的安全属性的操作是实行集中管理，还是实行分散管理？ 访问控制在安全评测中的作用访问控制在安全评测中的作用 ?安全评测的依据安全评测的依据l可信计算

14、机系统评测标准（可信计算机系统评测标准（TCSEC）l1985年美国国防部发布，已成为公认的计算机系统系统安全级别的划分标准。安全产品在美国必须通过严格的评测并授予级别证书，才能出售和使用。l访问控制在该标准中有非常重要的地位。l国标国标GB17859-1999l在参考美国的TCSE和可信计算机网络系统说明（NCSC-TG-005）的基础上，从自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐信道分析、可信路径和可信恢复等10个方面来将计算机信息系统安全保护等级划分为五个安全级别 TCSEC对对安全系统设计的要求安全系统设计的要求l安全要求安全要求1.计算机系统必须实施

15、一种定义清晰明确的安全访问控制策略。即给定主体和客体，系统有一套明确的规则用来判定主体是否有权访问客体；2.对每个客体赋予一个访问标签，以表示其安全级别；3.主体访问客体前必须经过严格的身份鉴别和认证；4.审计信息必须独立保存，以使安全相关的动作能够追踪到责任人。在可信系统中，安全相关时间被记录在审计日志里，审计的执行对系统整体性能的影响要尽可能小，审计数据要易于分析，能保证这些数据不被非法存取和修改；5.系统本身必须能够独立地保证1-4的安全要求；6.实现安全要求的可信机制自身必须得到保护，以防被篡改。根据这六点要求，TCSEC把计算机系统的安全划分为A、B、C、D四个等级，A级最高，D级最

16、低。有有5条与访问控制有关条与访问控制有关计算机系统的安全划分计算机系统的安全划分lD级（最小保护）级（最小保护）l未通过测评，系统不可信任，硬件无任何保护，操作系统易受损害，用户访问系统无需身份认证，如早期的DOS和WINDOWS3.1；lC级（自主保护）级（自主保护）l分为分为C1（任意访问控制）和（任意访问控制）和C2（受限访问控制）两个子级别。（受限访问控制）两个子级别。C1要求用户通过口令访问系统，但系统管理员权限不受限制，如早期UNIX和Novell3.x；C2在C1的基础上引入受控访问控制，进一步限制存取，隐藏口令文件，并增加了审计机制，记录所发生的事件，如NT3.51；lB级（

17、强制访问控制）级（强制访问控制）l建立敏感标签并维护其完整性，实施强制访问控制，分为分为B1（标签安全保护）、（标签安全保护）、B2（结构化保护）、（结构化保护）、B3（安全区域保护）三个子级别（安全区域保护）三个子级别。B1要求对系统中主要数据附加敏感标签，在引用监视器（reference monitor）的控制下进行客体访问；B2要求对系统中所有对象（包括终端、磁盘驱动器等设备）定义不同的安全标签，并增加隐通道的分析和保护；B3要求提供登陆系统的可信通道，并通过硬件保护系统安全区域。DGUX和HP都有B1和B2级的UNIX产品。lA级（验证保护）级（验证保护）l对安全访问控制模型的正确性要

18、进行形式化的数学证明，对隐通道也要做形式化分析。这是最高安全级别，目前还正在研究当中目前还正在研究当中。国标国标GB17859-1999中划分的安全保中划分的安全保护等级护等级 l第一级，用户自主保护级第一级，用户自主保护级l本级的计算机信息系统通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户信息，避免其他用户对数据的非法读写与破坏。l第二级：系统审计保护级第二级：系统审计保护级l在用户自主保护级的基础上，实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。l第

19、三级：安全标记保护级第三级：安全标记保护级l在具备第二级审计保护所有功能的基础上，本级另外提供了有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述，具有准确地标记信息输出的能力，消除通过测试发现的任何错误。l第四级：结构化保护级第四级：结构化保护级l本级的计算机信息系统建立了一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。还要考虑隐通道。将需要保护的资源分为关键保护元素和非关键保护元素。系统的接口必须明确定义，使其设计和实现能经受更充分的测试和更完整的复审。加强了鉴别机制，支持系统管理员和操作员的职能，提供可信设施管理，增强配

20、置管理策略，具有较高的抗渗透能力。l第五级：访问验证保护级第五级：访问验证保护级l本级的系统满足访问监控器要求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是防篡改的，代码量尽量少，能够分析和测试。支持安全管理员职能，扩充审计机制，当发生与安全相关的事件时发出警告信号，提供，系统恢复机制，系统具有很高的抗渗透能力。基于系统访问控制的程度基于系统访问控制的程度 如何实施对访问的控制如何实施对访问的控制?访问控制的实施访问控制的实施 访问控制系统由访问控制系统由主体主体(Subject)、客体客体(Oubject)及及主客体属性主客体属性组成。组成。 访问的控制就是访问的控制就是通过比较系统

21、内通过比较系统内的主、客体的相关属性来决策的的主、客体的相关属性来决策的。 访问控制属性访问控制属性主体主体 l主体主体l指系统内行为的发起者（指系统内行为的发起者（人类用户、角色、证书和进程等人类用户、角色、证书和进程等）l用户用户可以分为普通用户、信息的拥有者和系统管理员l普通用户：普通用户：一个获得授权可以访问系统资源的自然人，在一个计算机系统中，相应的授权包括对信息的读、写、删除、追加、执行以及授权和撤消另外一个用户对信息的访问授权等。l信息的拥有者：信息的拥有者：该用户拥有对此信息的完全处理权限，包括读、写、修改和删除该信息的权限以及他可以授权其他用户对其所拥有的信息授予一定的权限，

22、除非该信息被系统另外加以控制。l系统管理员：系统管理员：为使系统正常运转，对系统运行进行管理的用户l角色角色(Role)：在现实社会中，每个人都同时充当一个多个角色，同样在信息系统中。每个用户也都充当着某个角色，角色是用角色是用户组和责任集合。户组和责任集合。 访问控制属性访问控制属性客体客体l客体客体l指在信息系统内所有主体行为的直接承受者。l一般客体：一般客体：指在系统内以客观、具体的形式存在的信息实体，如文件、目录等。l设备客体：设备客体：指系统内的设备，如CPU、打印机等。l特殊客体：特殊客体：有时系统内的某些程序也是另外一些程序的承受者，那么这类程序也属于客体。 相关属性相关属性 l

23、相关属性相关属性l主体属性l客体属性l环境属性主体属性主体属性l主体属性主体属性l是指访问者的属性访问者的属性，可以是用户ID或者许可级别和其他的证书属性。l用户用户ID/组组ID：这种属性将系统中的用户与一个唯一的ID号一一对应，访问控制时，基于用户的此ID号，来判断他是否有权利对该信息进行相应的访问。l用户访问许可级别：用户访问许可级别：这种属性一般用在军事上，需要基于用户的访问级别的高低和系统内客体信息的安全级别来保护敏感信息的安全。强制访问控制策略MAC就是基于此属性。l主体属性是系统用来决定访问控制的最常用的因素，一个用主体属性是系统用来决定访问控制的最常用的因素，一个用户的任何一种

24、属性均可以作为访问控制的决策点户的任何一种属性均可以作为访问控制的决策点，例如年龄、性别、居住地、出生日期等等。客体属性客体属性l客体属性客体属性l是指要被访问信息的属性被访问信息的属性，例如信息的安全级别、信息的流动方向、信息的内容等。l系统内的信息安全等级由两部分组成系统内的信息安全等级由两部分组成l信息的敏感性级别信息的敏感性级别在可信计算机系统评估标准(TCSEC)中，将信息按安全等级进行分类：公开信息公开信息(nclassified)、机密信息、机密信息(Confidential),秘密信息秘密信息(Secret)、绝密信息、绝密信息(Top Secret)。l范畴范畴将系统内的信息

25、模拟人类资源系统进行分类（例如，参谋部、作战部、后勤部等）l一般使用访问控制列表访问控制列表(Access Control List, ACL)来表示来表示系统中哪些用户可以对此信息进行何种访问系统中哪些用户可以对此信息进行何种访问。信息的拥有者可以对此访问控制列表进行管理，即他们可以按照自己的意愿来制定谁可以访问此信息。 环境属性环境属性l环境属性环境属性l地点地点l某些访问控制可能是基于访问地点来制定的，如只有来自于总经理办公室的人员发出的请求才能允许访问某些文件。l时间时间l对系统内信息的访问可能会随着时间的变化而变化，例如，某报社第二天要出版的新闻稿，在第二天早上9:00以前是敏感性信

26、息，而在9:00之后它就是公共信息了。l状态状态l有时系统状态也可以作为对信息的访问策略，例如，在网络负载过大时，将会控制一部分用户的访问。知识点知识点l访问控制技术概述l访问控制策略访问控制策略l访问控制的实现方法访问控制策略访问控制策略l访问控制策略访问控制策略(Access Control Policy)l在系统安全策略级上表示授权，是对访问控制、如何做出访问决策的高层指南。l包括l自主访问控制l强制访问控制l基于角色的访问控制访问控制策略访问控制策略 自主访问控制自主访问控制 强制访问控制强制访问控制 基于角色的访问控制基于角色的访问控制 自主访问控制自主访问控制l自主访问控制自主访问

27、控制DACl也称基于身份的访问控制IBACl自主指具有某种访问能力的主体能够自主地将访问权的某个子集授予其他主体，访问信息的决定权在于信息的创建者访问信息的决定权在于信息的创建者。l当用户请求以某种方式访问某一客体时，系统访问控制模块就根据系统自主访问控制规则来检查主、客体及其相应的属性或被用来实现自主访问控制的其它属性。l如果申请的访问属性与系统内所指定的授权相同，则授予该主体所申请的访问许可权，否则拒绝该用户对此信息的访问。l策略设置策略设置l针对访问资源的用户或者应用来设置访问控制权限；l根据主体的身份及允许访问的权限来进行决策；两个重要概念两个重要概念l存取许可存取许可l一种权力，即能

28、够允许主体修改客体的访问控制表l三种控制模式：等级型、拥有型和自由型l作用l定义或改变存取模式l存取模式存取模式l经过存取许可的确定后，对客体进行的各种不同的存取操作l作用l规定主体对客体可以进行何种形式的存取操作存取模式存取模式l读读(read)l允许主体对客体进行读和拷贝操作；l写写(write)l允许主体对客体进行写入或修改，包括扩展、压缩和删除等；l执行执行(execute)l允许主体将客体作为一种可执行文件运行；l空模式空模式(null)l主体对客体不具有任何的存取权力。自主访问控制的主要类型（自主访问控制的主要类型（1/2）l基于个人的策略基于个人的策略l用哪些用户可以对一个目标实

29、施哪一种行为的列表来表示；l等价于用一个目标的访问矩阵的列来描述；自主访问控制的主要类型（自主访问控制的主要类型（2/2）l基于组的策略基于组的策略l一组用户对于一个目标具有同样的访问许可l是基于身份策略的另一种情形l相当于把访问矩阵中的多行压缩为一行相当于把访问矩阵中的多行压缩为一行l实际使用时，先定义组的成员，对用户的授权，同一个组可以被重复使用，组的成员可以改变。模型适用范围模型适用范围 自主访问控制策略卓越的灵活性特征使得它适用于各种各样系统的安全需求，因而使得它在各种情况下得到大量的应用，特别是在商用在商用操作系统和应用程序中更是应用的普遍操作系统和应用程序中更是应用的普遍。 模型评

30、价模型评价l在自主访问控制策略中，首先由用户提交访问请求，然后系统检测该请求者的授权，没有考察用户执行授没有考察用户执行授权期间的行为，没有将权期间的行为，没有将已授权用户已授权用户和和执行授权的行为执行授权的行为主体主体分开考虑分开考虑。l用户是被动的实体，说明对谁授权，谁可以连接到系统中。用户是被动的实体，说明对谁授权，谁可以连接到系统中。一旦连接到系统，用户就会产生一个行为，这时用户就变成一旦连接到系统，用户就会产生一个行为，这时用户就变成行为主体。行为主体。自主访问控制策略忽略了这种区分，使得自主访问控制策略在主体执行恶意程序时具有一些弱点，恶意程序利用该用户的对他们正在执行的行为的授

31、权进行破坏。以上这些弱点使得自主访问控制方法尽管每个单一的请求在访问控制之下，但是仍能够使执行主体在未经管理员或者信息拥有者同意就泄漏信息给未授权的用户，不能有效阻止木马攻击。 在自主访问控制策略下，木马程序如在自主访问控制策略下，木马程序如何将信息泄漏给未授权的用户何将信息泄漏给未授权的用户机密信息机密信息上司 A居心叵测的雇员B窃取机密信息，出窃取机密信息，出售给公司的竞争对售给公司的竞争对手手自主访问控制策略对对stolen文件的写操作文件的写操作对机密文件的读操作对机密文件的读操作在自主访问控制策略下，木马程序如在自主访问控制策略下，木马程序如何将信息泄漏给未授权的用户何将信息泄漏给未

32、授权的用户文件文件stolen居心叵测居心叵测的雇员的雇员BB修改了A使用的一个应用程序，修改后的应用程序包含两个隐藏的操作（1）对机密文件机密文件的读操作（2）对stolen文件文件的写操作B将修改完的应用给他的上司A使用 创建了一个新的文件stolen，然后授予上司A写stolen文件的权利A使用的一个应用程序使用的一个应用程序+12对对stolen文件的写操作文件的写操作对机密文件的读操作对机密文件的读操作在自主访问控制策略下，木马程序如在自主访问控制策略下，木马程序如何将信息泄漏给未授权的用户何将信息泄漏给未授权的用户机密信息机密信息文件文件stolen上司 A居心叵测的雇员BA使用的

33、一个应用程序使用的一个应用程序+信息泄漏给未授信息泄漏给未授权的用户！权的用户！问题的原因问题的原因：没有区分没有区分用户用户和和行为主体行为主体自主访问控制的特点自主访问控制的特点l自主访问控制的特点自主访问控制的特点l优点优点l灵活性高，被大量采用商用和民用商用和民用l缺点缺点l安全性最低信息在移动过程中其访问权限关系会改变(没有区分用户和行为主体)；不仅需要在执行访问前验证用户，还需要在执行访问不仅需要在执行访问前验证用户，还需要在执行访问期间验证行为主体期间验证行为主体l配置的粒度小，工作量大，效率低；访问控制策略访问控制策略 自主访问控制自主访问控制 强制访问控制强制访问控制 基于角

34、色的访问控制基于角色的访问控制 强制访问控制强制访问控制l强制访问控制强制访问控制MACl也称基于规则的访问控制RBACl在自主访问控制的基础上，增加了对资源的属性增加了对资源的属性（安全属性）划分（安全属性）划分，规定不同属性下的访问权限；l由授权机构为主体和客体分别定义由授权机构为主体和客体分别定义固定的访问权限固定的访问权限，且这些访问权限不能由用户，甚至是文件的创建者进行修改。l主体的信任级别反映了授权中心对主体的信任的程度，客体的级别与其包含信息的敏感度一致。l拥有一定访问级别的用户可访问相应级别的数据MAC的实施策略的实施策略l在强制访问控制机制下，系统内的每一个用户或主体被系统内

35、的每一个用户或主体被赋予一个赋予一个访问标签访问标签(access label)，表示对敏感性客体的访问许可级别，同样，系统内的每个客体也被赋予一系统内的每个客体也被赋予一个敏感性标签个敏感性标签，以反映该信息的敏感性级别。系统内的访问控制程序，通过比较主、客体相应的标签来决定是否授予一个主体对客体的访问请求。l在强制访问控制策略中，其访问三元组(s,o,a)与自主访问控制策略相同，只不过此三元组内的访问权利a与自主访问控制策略中的访问权利有所不同，后者可以有非常灵活的的形式，前者只有两种，即“读”和“写”敏感标签敏感标签l组成部分组成部分l类别类别(Classification)l类别是单一

36、的、层次结构的比如在美国国防部的多级安全策略中，有四种不同的等级：最高秘密级、秘密级、机密级和无级别级，l类集合类集合(Compartments)l类集合是非层次的，表示系统当中信息的不同区域l类集合中可以包含任意数量的项比如：客体文件FILE-1的敏感标签为 SECRETVENUS， ALPHA类别类别类集合类集合完整性和保密性的实现完整性和保密性的实现l标签可以以不同的形式来实现信息的完整性和机密性l如果在一个系统内存在两种强制访问控制策略，则该系统内的主、客体必有两类不同的访问标签，每一类标签与一个强制访问控制策略相对应，在这种情况下，这两类访问控制标签之间没有关系，但在同一类访问标签之

37、间，必须满足“偏序”关系。读写规则读写规则l读写规则读写规则l只有当主体的敏感等级高于或等于客体的等级时，访问才是允许的，否则将拒绝访问。l根据主体和客体的敏感等级和读写关系的四种组合四种组合l下读下读(Read Down)：主体级别大于客体级别的读操作；l上写上写(Write Up)：主体级别低于客体级别的写操作；l上读上读(Read Up)：主体级别低于客体级别的读操作；l下写下写(Write Down)：主体级别大于客体级别的写操作；上读上读-下写方式下写方式可以保证数据的完整性完整性上写上写-下读方式下读方式可以保证数据的保密性保密性说明：说明：客体LOGISTIC文件的敏感标签为SE

38、CRETVENUS ALPHA，主体Jane的敏感标签为SECRETALPHA。虽然主体的敏感等级满足读写规则，但由于主体Jane的类集合当中没有VENUS，所以不能读此文件。（而主体John满足读文件要求）而由于LOGISTIC文件的敏感等级不低于主体Jane的敏感等级，写了以后不会降低敏感等级，所以写操作是允许的。（由于主体John的敏感等级高于客体，所以不能对客体执行写操作）DAC Vs. MACl策略不同策略不同l自主访问控制策略自主访问控制策略中的主体一般是指用户主体一般是指用户l强制策略强制策略中的主体和用户之间是有区别的主体和用户之间是有区别的l用户是访问系统的人类l主体是允许用

39、户访问的进程这个区别允许策略控制由于进程执行引起的间接访问，防止信息泄漏和修改。MAC的应用考虑的应用考虑lMAC的应用考虑的应用考虑l相对与DAC，安全性更高安全性更高l不适合处理访问控制粒度细的应用不适合处理访问控制粒度细的应用l适合应用于操作系统，但不适合于数据库l强制访问控制的宁静性原则不允许对客体的安全级别进行修改，这不符合实际l无论是用户的安全级别，还是信息的安全级别都不是一无论是用户的安全级别，还是信息的安全级别都不是一成不变的成不变的访问控制策略访问控制策略 自主访问控制自主访问控制 强制访问控制强制访问控制 基于角色的访问控制基于角色的访问控制基于角色的访问控制基于角色的访问

40、控制l基于角色的访问控制基于角色的访问控制RBAClRole-Based Access Control，简称，简称RBACl与现代的商业环境相结合后的产物，同时具有基于身份策略同时具有基于身份策略的特征和基于规则策略的特征的特征和基于规则策略的特征l可以看作是基于组的策略的变种，根据用户所属的角色做出授权决定；l用户可能是不只一个组或角色的成员，有时可能有所限制；l同访问者的身份认证密切相关同访问者的身份认证密切相关，通过确定该合法访问者的身份来确定访问者在系统中对哪类信息有什么样的访问权限。一个访问者可以充当多个角色一个角色可以由多个访问者担任基于角色访问控制的一般模式基于角色访问控制的一般

41、模式l一般模式一般模式1.用户经过系统认证；2.系统给通过认证的用户分派角色(该角色被分配了一定的权限)；3.用户以该角色访问系统资源；4.访问控制机制检查角色的权限，决定是否允许其访问 组和角色的区别组和角色的区别组组代表一组用户的集合代表一组用户的集合角色角色一组用户的集合一组用户的集合+ 一组操作权限的集合一组操作权限的集合用户可以随意激活和释放角色，而组成员的授权不能以用户的意愿来决定是加入还是离开。 基于角色的访问控制的特点基于角色的访问控制的特点l基于角色的访问控制的特点基于角色的访问控制的特点l策略描述容易被非技术的组织策略者所理解；l策略容易被映射到访问控制矩阵或基于组的策略描

42、述上；l同时具有基于身份策略的特征和基于规则策略的特征；l基于角色的访问控制模型是基于组织机构内部的实际责任岗位，来控制用户对信息的访问，即角色被定义为与一个角色被定义为与一个特殊工作相关的活动和责任的集合。特殊工作相关的活动和责任的集合。 l角色可以包含广泛的内容，反映用户的工作职位，或者反映用户所需要完成的任务。 l基于角色的访问控制并不将对资源的访问权利直接指定给基于角色的访问控制并不将对资源的访问权利直接指定给用户，而是将对数据对象的访问授权给角色，然后将用户用户，而是将对数据对象的访问授权给角色，然后将用户的访问权利与某个角色相联系。的访问权利与某个角色相联系。 RBAC参考模型参考

43、模型lRBAC参考模型参考模型l核心RBACl层次RBACl静态约束l动态约束每个组件都有三个子部分每个组件都有三个子部分l一个基本元素的集合l元素关系的集合l一套映射函数核心核心RBACl核心核心RBACl用户集合(USERS)l角色集合(ROLES)l数据对象集合(OBS)l操作集合(OPS)l许可集合(PRMS)和对话集合(SESSIONS)。基本含义包括将角色分配给用户，权利分配将角色分配给用户，权利分配给角色，用户通过加入某个角色获得对数据对给角色，用户通过加入某个角色获得对数据对象的访问。象的访问。 层次层次RBACl层次层次RBACl核心功能的基础上增加了角色的层次管理层次管理l角色层次关系即是数学上的一个偏序关系，是分配给角色的权利之间的继承关系。一个组织内的所有角色的层次关系可以构造一个树状结构，用户成员用户成员从属关系的继承是从树的从属关系的继承是从树的顶到下，而分配给角色的顶到下，而分配给角色的权利的继承是从底向上权利的继承是从底向上。 静态约束静态约束l静态约束静态约束l在RBAC核心模型上增加了责任分离约束，对执行对执行组织内冲突策