网络安全基础3-访问控制技术

第4讲访问控制技术网络安全基础主要内容§1访问控制的概念与意义§2访问控制三要素§3访问控制过程§4常用的访问控制模型§5访问控制基本技术1、访问控制的概念

与目的访问控制（AccessControl）是指主体依据某些控制策略或权限对客体或其资源进行不同的授权访问。通过某种途径显式地准许或者限制访问能力及范围的一种方法针对越权使用系统资源的防御措施32023/1/12安全管理员授权数据库身份认证用户访问监视器资源审计访问控制审计员管理安全系统的逻辑结构限制已授权的用户、程序、进程或计算机网络中其他系统访问本系统资源。口令认证不能取代访问控制。保证系统资源受控地合法地使用通过限制对关键资源的访问，防止非法用户侵入，防止合法用户不慎操作造成的破坏限制用户能做什么，限制系统对用户操作的响应满足国际标准协议的要求1、访问控制的概念

与目的目的：控制什么能干什么不能干52023/1/122、访问控制三要素

三个要素：主体客体控制策略62023/1/12主体（subject）：访问的发起者主体是指一个提出请求或要求的实体，是动作的发起者，但不一定是动作的执行者。实体表示一个计算机资源（物理设备、数据文件、内存或进程）或一个合法用户）。主体简记为S。

主体的含义很广泛，可以是用户所在在组织（用户组）、用户本身、也可以是用户使用的计算机终端、卡机、手持终端等，甚至可以是应用服务程序或进程。72023/1/12客体（Object）：客体是接收其他实体访问的被动实体,简记为O。客体的概念也很广泛，是可供访问的各种软硬件资源（信息、资源、对象）。在信息社会里，客体可以是信息、文件、记录等的集合体，也可以是网络上的硬件资源，无线通信中的终端、甚至一个客体可以包含另外一个客体。82023/1/12控制策略主体对客体的访问规则集，这个规则集直接定义了主体可以进行的作用行为和客体对主体的约束条件。是主体对客体的操作行为集和约束条件集。体现为一种授权行为。是客体对主体的权限允许，这种允许不能超越规则集。92023/1/12访问控制策略任何访问控制策略最终可被模型化为访问矩阵形式。每一行：用户每一列：目标矩阵元素：相应的用户对目标的访问许可。102023/1/12访问控制与其他安全机制的关系账号、认证、授权、审计（4A）授权信息Log身份认证访问控制审计授权（authorization）主体客体112023/1/12AuthenticationAuthorizationAudit账号（Account）访问控制关系图3个要素之间的关系可以使用三元组（S,O,P)表示，当主体S提出的一系列正常的请求信息（I1，I2,..In)，通过信息系统的入口达到控制规则集KS监视的监控器，由KS判断是否允许或拒绝这次请求。3、访问控制过程122023/1/12多级安全系统：访问控制过程中将敏感信息与通常资源分开隔离访问控制过程首先认证：KS判断是否是合法主体，而不是假冒的欺骗者。主体通过验证，才能访问客体，但还不能保证其有权限可以对客体进行操作。认证后，根据用户提交的用户标识（UID），执行一个可靠的审查，然后对其选用控制策略（控制策略的具体实现）。最后对非法用户或越权操作进行审计（审计）。132023/1/12认证认证是主体对客体的识别认证与客体对主体的检验认证。主体和客体的认证关系是相互的，当一个主体受到另外一个客体的访问时，这个主体也就变成了客体。一个实体可以在某一时刻是主体，而在另一时刻是客体，这取决于当前实体的功能是动作的执行者还是动作的被执行者。142023/1/12控制策略具体实现规则集设定方法：如何设定规则集合。允许授权用户、限制非法用户：确保正常用户对信息资源的合法使用，防止非法用户使用。保护敏感信息：考虑敏感资源的泄露。禁止越权访问：对于合法用户而言，也不能越权行驶控制策略所赋予其权力以外的功能。152023/1/12审计部分滥用权力问题：客体的管理者有操作赋予权，他有可能滥用这一权力，这是无法在策略中加以约束的。审计方法：记录操作日志。记录用户对系统的关键操作。目的：到达威慑和保护访问控制正常实现的目的。162023/1/12访问控制基本流程

172023/1/12访问控制案例分析Windows2000访问控制案例182023/1/12安全模型就是对安全策略所表达的安全需求的简单、抽象和无歧义的描述，它为安全策略和它的实现机制之间的关联提供了一种框架。安全模型描述了对某个安全策略需要用哪种机制来满足；而模型的实现则描述了如何把特定的机制应用于系统中，从而实现某一特定安全策略所需的安全保护。4、访问控制模型192023/1/12常用的访问控制模型自主访问控制模型。（DAC）强制访问控制模型。（MAC）基于角色的访问控制模型。（RBAC）基于任务的访问控制模型。（TBAC）基于对象的访问控制模型。（OBAC）信息流模型202023/1/12传统的访问控制模型4.1自主访问控制模型（DAC）根据自主访问控制策略建立的一种模型。由客体的拥有者自主的把自己所拥有的客体访问权授予其它用户。又称为任意访问控制。允许合法用户以用户或用户组的身份访问策略规定的客体。阻止非授权用户访问客体。212023/1/12我的电脑我做主自主访问控制模型的实现在实现上，首先要对用户的身份进行鉴别，然后就可以按照访问控制列表所赋予用户的权限，允许和限制用户使用客体的资源。主体控制权限的修改通常由特定用户（管理员）或是特权用户组实现。222023/1/12第六章

访问控制自主访问控制的特点DAC的主要特征体现在主体可以自主地把自己所拥有客体的访问权限授予其它主体或者从其它主体收回所授予的权限，访问通常基于访问控制表（ACL）。访问控制的粒度是单个用户。ACL是带有访问权限的矩阵,这些访问权是授予主体访问某一客体的。232023/1/12ACL是存在于计算机中的一张表，用户对特定系统对象例如文件目录或单个文件的存取权限。每个对象拥有一个在访问控制表中定义的安全属性。这张表对于每个系统用户有拥有一个访问权限。最一般的访问权限包括读文件（包括所有目录中的文件），写一个或多个文件和执行一个文件（如果它是一个可执行文件或者是程序的时候）。访问控制表ACL对象访问域文件1文件2文件3文件4文件5文件6打印机1绘图仪2D1RR,WD2RR，W,ER,WWD3R,W,EWW242023/1/1225访问控制矩阵访问控制机制可以用一个三元组来表示（S,O,M）主体的集合S={s1,s2,…,sm}客体的集合O={o1,o2,…,on}所有操作的集合A={R,W,E,…}访问控制矩阵M=S×O2A252023/1/12访问控制矩阵矩阵的的i行Si表示了主体si对所有客体的操作权限，称为主体si的能力表(CapabilityList)矩阵的第j列Oj表示客体oj允许所有主体的操作，称为oj的访问控制表（ACL）262023/1/12自主访问控制访问模式的应用Unix,WindowsNT,Linux的文件系统广泛应用，对文件设置的访问模式有以下几种：读拷贝(read-copy)写删除（write-delete）执行（execute）Null（无效）这种模式表示，主体对客体不具有任何访问权。在存取控制表中用这种模式可以排斥某个特定的主体。272023/1/12DAC的缺点当用户数量多、管理数据量大时，由于访问控制的粒度是单个用户，ACL会很庞大。当组织内的人员发生变化（升迁、换岗、招聘、离职）、工作职能发生变化（新增业务）时，ACL的修改变得异常困难。采用ACL机制管理授权处于一个较低级的层次，管理复杂、代价高以至易于出错。在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。282023/1/124.2强制访问控制模型（MAC）将授权归于系统管理，保证授权状态的变化始终处于系统的控制。用户不能改变自身和客体的安全级别，只有管理员才能够确定用户和组的访问权限。系统对所有主体及其所控制的客体（例如：进程、文件、段、设备）实施强制访问控制。292023/1/12单位里我的电脑由管理做主MAC的特点强制性当一进程访问一个客体(如文件)时，调用强制访问控制机制，根据进程的安全属性和访问方式，比较进程的安全属性和客体的安全属性，从而确定是否允许进程对客体的访问。用户的进程不能改变自身的或任何客体的安全属性，也不能通过授予其他用户客体存取权限简单地实现客体共享。如果系统判定拥有某一安全属性的主体不能访问某个客体，那么任何人（包括客体的拥有者）也不能使它访问该客体。从这种意义上讲，是“强制”的。302023/1/12限制性在强制访问控制机制下，系统中的每个进程、每个文件、每个IPC客体(消息队列、信号量集合和共享存贮区)都被赋予了相应的安全属性，这些安全属性是不能改变的，它由管理部门（如安全管理员）或由操作系统自动地按照严格的规则来设置，不像访问控制表那样由用户或他们的程序直接或间接地修改。特点312023/1/12主体对客体的访问方式MAC对访问主体和受控对象标识两个安全标记：一个是具有偏序关系的安全等级标记；另一个是非等级分类标记。322023/1/12绝密级别（TSTopSecret)秘密级别（Secret)，机密级别（Confidential)限制级别（Restricted)，无级别级（Unclassified）TS最高，U最低。当主体S的安全类别为TS，而客体O的安全类别为S时，用偏序关系可以表述为SC(S)≥SC(O)。主体对客体的访问方式向下读（rd，ReadDown）：主体的安全级别高于客体信息资源的安全级别时允许查阅的读操作。（用户级别大于文件级别）。

向上读（ru，readup）:主体的安全级别低于客体信息资源的安全级别时允许的读操作。（用户级别低于文件级别的读操作)。根据偏序关系，主体对客体的访问主要有4种方式332023/1/12主体对客体的访问方式向上写（wu，Writeup）:主体的安全级别低于客体信息资源的安全级别时允许执行的动作或是写操作。（用户级别低于文件级别的写操作）向下写（wd，writedown）:主体的安全级别高于客体信息资源的安全级别时允许执行的动作或是写操作。（用户级别大于文件级别的写操作）342023/1/12进程(Subject)Secret安全级别进程(Subject)Public安全级别文件(Object)Public安全级别文件(Object)Secret安全级别向下读向下写向上写向上读同级写同级读同级写同级读主体对客体的访问方式352023/1/12主要的强制访问控制模型Lattice模型。Bell-LaPadula模型(BPLModel)。Biba模型。362023/1/12Lattice模型每个资源与用户都服从于一个安全级别。五个安全级别（TS,S,C,R,U）。主体级别高于客体级别才可以访问。适用于需要对信息资源进行明显分类的系统。没有考虑特洛伊木马等不安全因素的潜在威胁，低安全级用户有可能复制比较敏感的信息。372023/1/12仅当主体的敏感级不低于客体敏感级且主体的类别集合包含客体时，才允许该主体读该客体。即主体只能读密级等于或低于它的客体，也就是说主体只能从下读，而不能从上读。仅当主体的敏感级不高于客体敏感级且客体的类别集合包含主体的类别集合时，才允许该主体写该客体。即主体只能写密级等于或高于它的客体，也就是说主体只能向上写，而不能向下写。BPL模型主体：下读上写的安全策略（保障信息机密性策略）382023/1/12进程(Subject)Secret安全级别进程(Subject)Public安全级别文件(Object)Public安全级别文件(Object)Secret安全级别向下读向下写向上写向上读同级写同级读同级写同级读BPL模型392023/1/12BPL模型 BLP状态改变

向下读：主体安全级别高于客体信息的安全级别向上写：主体安全级别低于客体信息的安全级别402023/1/12BPL模型缺点忽略了完整性。存在越权篡改。分布式操作。关键服务进程。412023/1/12主体只能写（修改）完整性级别等于或低于它的客体。主体只能读主体读完整性级别高的客体，而不能从下读。Biba模型信息完整性模型：维护系统信息的完整性，有效防止信息篡改。控制原则(主体：下写上读的安全策略）：422023/1/12进程(Subject)低完整性级别进程(Subject)高完整性级别文件(Object)高完整性级别文件(Object)低完整性级别向上读向上写向下写向下读同级写同级读同级写同级读Biba模型432023/1/12integritylevels:Crucial(C),Important(I),andUnknown(U).Biba模型缺点保密性差。442023/1/12Biba模型是和BLP模型相对立的模型，Biba模型改正了被BLP模型所忽略的信息完整性问题，但在一定程度上却忽视了保密性。事务（Transaction）是指一个完成一定功能的过程，可以是一个程序或程序的一部分。角色（Role）是指一个可以完成一定事务的命名组，不同的角色通过不同的事务来执行各自的功能。用户的集合与许可的集合。角色与组的区别在于：用户的组是相对固定的，而用户能被指派到那些角色则受时间、地点、事件等诸多因素影响。4.6基于角色访问控制（RBAC）452023/1/12RBAC：将访问权限分配给一定的角色，用户通过担当不同的角色获得所拥有的访问权限。RBAC基本原理462023/1/12一个角色与若干权限关联一个角色与若干用户关联角色可以根据工作的需要生成和取消角色之间、权限之间、角色和权限之间有约束关系和限制用户所执行的操作与其所扮演的角色的职能相匹配用户不能自主地将访问权限给别的用户用户、角色、权限、会话关系472023/1/12RBAC的基本思想RBAC中许可被授权给角色，角色被授权给用户，用户不直接与许可关联。RBAC对访问权限的授权由管理员统一管理，而且授权规定是强加给用户的，这是一种非自主型集中式访问控制方式。用户是一个静态的概念，会话则是一个动态的概念。一次会话是用户的一个活跃进程，它代表用户与系统交互。用户与会话是一对多关系，一个用户可同时打开多个会话。一个会话构成一个用户到多个角色的映射，即会话激活了用户授权角色集的某个子集，这个子集称为活跃角色集。活跃角色集决定了本次会话的许可集。482023/1/12RBAC的基本思想授权给用户的访问权限,通常由用户在一个组织中担当的角色来确定。ACL直接将主体和目标相联系，而RBAC在中间加入了角色，通过角色沟通主体与目标。分层的优点是当主体发生变化时，只需修改主体与角色之间的关联而不必修改角色与客体的关联。492023/1/12最小特权原则：分配给角色的权限不超过该角色的用户完成其工作任务所必需的权限职责分散原则：对互斥角色的用户进行限制，使得没有一个用户同时是互斥角色中的成员，并通过激活相互制约的角色共同完成一些敏感的任务数据抽象原则：不仅可以将访问权限定义为低级访问权限，也可以在应用层定义权限分配角色原则502023/1/12“角色”作为授权中介。授权对象：单个用户授权对象：角色√角色控制与自主式/强制式控制的区别512023/1/12

基本模型RBAC0

角色分级模型

RBAC1

角色限制模型

RBAC2

统一模型

RBAC3，包含所有的层次内容RBAC相关模型522023/1/12

体系结构(模型包含四个基本数据元素:Users(用户)、Roles(角色)、Sessions(会话集)、权限（Permission）以及角色权限分配(PurviewAssigntoRole，PA)、用户角色分配(UserAssigntoRole，UA)。

RBAC相关模型：基本模型RBAC0532023/1/12RBAC1=RBAC0+RoleHieryrchy

体系结构RBAC相关模型：角色分级模型RBAC1542023/1/12

角色分级的两种形式权限（角色）继承RBAC相关模型：角色分级模型RBAC1RBAC1=RBAC0+RoleHieryrchy

552023/1/12

体系结构RBAC2=RBAC0+ConstraintsRBAC相关模型：角色限制模型RBAC2562023/1/12

体系结构RBAC3=RBAC0+RH+ConstraintsRBAC相关模型：角色限制模型RBAC3572023/1/12RBAC的优点RBAC能够描述复杂的安全策略容易实现最小特权（leastprivilege）原则满足职责分离(separationofduties)原则岗位上的用户数通过角色基数约束582023/1/12通过角色定义、分配和设置适应安全策略系统管理员定义系统中的各种角色，每种角色可以完成一定的职能。不同的用户根据其职能和责任被赋予相应的角色，一旦某个用户成为某角色的成员，则此用户可以完成该角色所具有的职能。根据组织的安全策略特定的岗位定义为特定的角色、特定的角色授权给特定的用户。系统管理员也可以根据需要设置角色的可用性以适应某一阶段企业的安全策略。592023/1/12通过角色分层映射组织结构组织结构中通常存在一种上、下级关系，上一级拥有下一级的全部权限。角色分层把角色组织起来，能够很自然地反映组织内部人员之间的职权、责任关系。层次之间存在高对低的继承关系，即父角色可以继承子角色的许可。602023/1/12角色分层612023/1/12角色的继承关系622023/1/12WindowsXP的RBAC632023/1/12容易实现最小特权（leastprivilege）原则最小特权原则是指用户所拥有的权力不能超过他执行工作时所需的权限。这一原则的应用可限制事故、错误、未授权使用带来的损害。在RBAC中，系统管理员可以根据组织内的规章制度、职员的分工等设计拥有不同权限的角色，只有角色需要执行的操作才授权给角色。当一个主体要访问某资源时,如果该操作不在主体当前活跃角色的授权操作之内，该访问将被拒绝。最小特权原则在保持完整性方面起着重要的作用。642023/1/12满足职责分离(separationofduties)原则这是保障安全的一个基本原则，是指有些许可不能同时被同一用户获得，以避免安全上的漏洞。例如收款员、出纳员、审计员应由不同的用户担任。在RBAC中，职责分离可以有静态和动态两种实现方式。静态职责分离只有当一个角色与用户所属的其他角色彼此不互斥时,这个角色才能授权给该用户。动态职责分离只有当一个角色与一主体的任何一个当前活跃角色都不互斥时该角色才能成为该主体的另一个活跃角色。角色的职责分离也称为角色互斥，是角色限制的一种。652023/1/12岗位上的用户数通过角色基数约束企业中有一些角色只能由一定人数的用户占用，在创建新的角色时，通过指定角色的基数来限定该角色可以拥有的最大授权用户数。如总经理角色只能由一位用户担任。662023/1/124.7基于任务的访问控制（TBAC）问题DAC、MAC、RBAC都是静态模型，未考虑系统执行的上下文环境。没有时限性，主体可以无限制的执行所拥有的权限。无法实现对工作流的访问控制。

例如：战略导弹的发射控制。672023/1/12TBAC的基本思想TBAC是从应用和企业层角度来解决安全问题，以面向任务的观点，从任务（活动）的角度来建立安全模型和安全机制，在任务处理过程中提供动态和实时的安全管理。在TBAC中，对象的访问权限控制并不是静止的，而是随时间执行的上下文环境发生变化。682023/1/12工作流环境中，数据的处理与上一次的处理相关联。TBAC不仅对不同工作流实行访问控制，而且对同一工作流进行控制。TBAC是基于实例的访问控制模型。TBAC的基本思想692023/1/12TBAC的组成任务授权结构体授权步受托人集702023/1/12712023/1/12任务（Task）是工作流程中的一个逻辑单元，是一个可区分的动作，与多个用户相关，也可能包括几个子任务。授权结构体（AuthorizationUnit）是由一个或多个授权步组成的结构体，它们在逻辑上是联系在一起的。授权结构体分为一般授权结构体和原子授权结构体。授权步（AuthorizationStep）表示一个原始授权处理步，是指在一个工作流程中对处理对象的一次处理过程。授权步是访问控制所能控制的最小单元，由受托人集（TrusteeSet）和多个许可集（PermissionsSet）组成。TBAC的组成（1/2）722023/1/12受托人集是可被授予执行授权步的用户的集合，许可集则是受托集的成员被授予授权步时拥有的访问许可。当授权步初始化以后，一个来自受托人集中的成员将被授予授权步，称这个受托人为授权步的执行委托者，该受托人执行授权步过程中所需许可的集合称为执行者许可集。授权步之间或授权结构体之间的相互关系称为依赖（Dependency），依赖反映了基于任务的访问控制的原则。授权步的状态变化一般自我管理，依据执行的条件而自动变迁状态，但有时也可以由管理员进行调配。TBAC的组成（2/2）TBAC的特点分析TBAC从工作流中的任务角度建模，可以依据任务和任务状态的不同，对权限进行动态管理。适合于分布式计算和多点控制访问的信息处理控制以及在工作流、分布式处理和事务管理系统中的决策制定。支持最小特权原则与最小泄露原则。相对复杂。732023/1/125、访问控制技术访问控制的实现机制访问控制表访问控制矩阵访问控制能力列表访问控制安全标签列表访问控制实现的具体类别742023/1/125.1访问控制的实现机制访问控制机制就是建立访问控制模型和实现访问控制。这两者都是抽象和复杂的行为，实现访问的控制不仅要保证授权用户使用的权限与其所拥有的权限对应，制止非授权用户的非授权行为；还要防止敏感信息的交叉感染。用户访问信息资源（文件或是数据库）行为，有读、写和管理。为方便起见，用Read或是R表示读操作，Write或是W表示写操作，Own或是O表示管理操作。将管理操作从读写中分离出来的目的，是因为管理员也许会对控制规则本身或是文件的属性等做修改。752023/1/125.2访问控制表访问控制表（AccessControlLists,ACLs）是以文件为中心建立的访问权限表，简记为ACLs。目前，大多数PC、服务器和主机都使用ACLs作为访问控制的实现机制。762023/1/12访问控制表访问控制表的优点在于实现简单，任何得到授权的主体都可以有一个访问表，例如授权用户A1的访问控制规则存储在文件File1中，A1的访问规则可以由A1下面的权限表ACLsA1来确定，权限表限定了用户UserA1的访问权限。772023/1/125.3访问控制矩阵访问控制矩阵（AccessControlMatrix,ACM）是通过矩阵形式表示访问控制规则和授权用户权限的方法；在矩阵中，对每个主体而言，都拥有对哪些客体的哪些访问权限；而对客体而言，又有哪些主体对他可以实施访问；将这种关联关系加以阐述，就形成了控制矩阵。其中，特权用户或特权用户组可以修改主体的访问控制权限。782023/1/125.3访问控制矩阵访问控制矩阵的实现很易于理解，但是查找和实现起来有一定的难度，而且，如果用户和文件系统要管理的文件很多，那么控制矩阵将会成几何级数增长，这样对于增长的矩阵而言，会有大量的空余空间。792023/1/125.4访问控制能力列表能力是访问控制中的一个重要概念，它是指请求访问的发起者所拥有的一个有效标签（ticket），它授权标签表明的持有者可以按照何种访问方式访问特定的客体。访问控制能力表（AccessControlCapabilitisLists,ACCLs）是以用户为中心建立访问权限表。802023/1/12访问控制权限表UserAF表明了UserA对文件系统的访问控制规则集，ACCLsF1表明了授权用户UserA对文件File1的访问权限。因此，ACCLs的实现与ACLs正好相反。5.4访问控制能力列表访问控制能力的重要作用在于能力的特殊性，如果赋予哪个主体具有一种能力，事实上是说明了这个主体具有了一定对应的权限。能力的实现有两种方式，传递的和不可传递的。一些能力可以由主体传递给其他主体使用，另一些则不能。能力的传递牵扯到了授权的实现，以及具体阐述访问控制的授权管理。812023/1/125.5访问控制安全标签列表访问控制标签列表（AccessControlSecurityLabelsLists,ACSLLs）是限定一个用户对一个客体目标访问的安全属性集合。该集合是限制和附属在主体或客体上的一组安全属性信息。安全标签的含义比能力更为广泛和严格，因为它实际上还建立了一个严格的安全等级集合。822023/1/12左侧用户对应的安全级别，右侧为文件系统对应的安全级别。假设请求访问的用户UserA的安全级别为S，那么UserA请求访问文件File2时，由于S<TS，访问会被拒绝；当UserA请求访问文件FileN时，因为S>C，所以允许访问。5.5访问控制安全标签列表安全标签能对敏感信息加以区分，这样就可以对用户和客体资源强制执行安全策略，因此，强制访问控制经常会用到这种实现机制。832023/1/125.6访问控制实现的具体类别访问控制通常在技术实现上包括以下几部分：接入访问控制资源访问控制网络端口和节点的访问控制842023/1/12接入访问控制