[互联网]访问控制.ppt

第四章 访问控制,信息安全系,问题提出,老问题 1、作为老师的我，如果在上课的教室丢了一个存有“信息安全技术基础”课程试卷的U盘，那后果。2、大方地把自己的电脑、手机或其他电子设备借给朋友，却不希望朋友看到其中一些关乎个人隐私的文件或资料，该怎么办？新需求 例1：学校的教务管理系统全校师生都可以使用，但是只有老师可以输入考试成绩，只有学生可以对教学质量进行评价。例2：作为QQ用户，执行同样的登录操作，为什么QQ服务器可以识别出有的用户花了钱晋升为QQ会员，有的用户开通了各种钻，更多的只是普通的QQ用户呢？例3：论坛规定，发贴或跟贴必须要先注册并登录，而且只有管理员可以删贴，甚至封贴。,主要内容,访问控制概述访问控制策略,访问控制的最基本概念,实体（entity）从数据处理的角度看，现实世界中的客观事物称为实体，它是现实世界中任何可区分、可识别的事物。在计算机信息系统中，实体指计算机资源（物理设备、数据文件、内存或进程）或一个合法用户。实体又可以分为主体和客体。,访问控制的最基本概念,主体（subject）一个提出请求或要求的实体，是动作的发起者（不一定是动作的执行者），有时也称为用户或访问者（如被授权使用计算机的人）；主体含义广泛，可以是用户、用户组、计算机终端、外设卡、手持终端设备、一个数据文件甚至是应用服务程序或进程。客体（object）接受其他实体访问的被动实体，凡是可以被操作的信息、资源、对象都可以作为客体；通常包括文件和文件系统、磁盘和磁带卷标、远程终端、信息管理系统的事务处理及其应用、数据库中的数据、应用资源等。,访问控制的最基本概念,访问（access）使信息在主体和客体之间流动的一种交互方式。对文件客体来说，典型的访问就是读、写、执行和所有；其中所有权指谁能改变文件的访问权。访问控制策略（access control policy）主体对客体的访问规则集，这个规则集直接定义了主体对客体的作用行为和客体对主体的条件约束。体现了一种授权行为，也就是客体对主体的权限允许，这种允许不能超越规则集。,访问控制指主体依据某些控制策略或者权限对客体或其资源进行的不同的授权访问。可以限制访问主体（或称为发起者，是一个主动的实体，如用户、进程、服务等）对访问客体（需要保护的资源）的访问权限，从而使计算机系统在合法范围内使用。访问控制三要素：主体、客体、访问控制策略。,访问控制的最基本概念,访问控制系统要素之间的行为关系参见下图：,访问控制的最基本概念,访问控制过程,访问控制由两个重要过程组成 1、通过认证来检验主体的合法身份；2、通过授权（Authorization）来限制用户对资源的访问级别。在认证和授权后，访问控制机制将根据预先设定的规则对用户访问的资源进行控制，只有规则允许的资源才能访问。,访问控制过程,这种控制通过监控器进行，每一次用户对系统内目标进行访问时，都由这个监控器来进行调节控制过程：用户对系统进行访问时，监控器便依据访问控制策略，以确定准备进行访问的用户是否确实得到了进行此项访问的许可。,访问控制过程,严格区分身份认证和访问控制很重要！原因：正确建立用户的身份是认证服务的责任，而访问控制则假定在通过监控器实施访问控制前，用户的身份就已经得到了验证；因而，访问控制的有效性取决于用户的正确识别，同时也取决于监控器正确的控制。,主要内容,访问控制概述访问控制策略,访问控制策略,主要有三类：自主访问控制强制访问控制 基于角色的访问控制,自主访问控制（DAC）,自主访问控制（Discretionary Access Control）根据主体的身份及允许访问的权限进行决策，也称自由访问控制。Linux、UNIX、Windows NT/SERVER版本的操作系统都提供自主访问控制功能。具体实现上，首先要对用户的身份进行鉴别；然后就可以按照访问控制列表所赋予用户的权限允许和限制用户使用客体的资源。,自主访问控制DAC,自主访问控制规定客体的创建者为其所有者，可以完全控制该客体；客体所有者有权将该客体的访问权授予别人。自主访问控制的特点是授权的实施主体自主负责赋予和回收其他主体对客体资源的访问权限。自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。,自主访问控制DAC,优点：灵活性高，被大量采用（尤其在商业和工业环境的应用上）。例如：用户可以自由传递权限，使得没有访问某个文件权限的用户U1可以从有该文件访问权限的用户Un那里得到访问权限或是直接拷贝该文件。缺点：不易控制权限传递，容易被非法用户绕过而获得访问。例如：用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。,自主访问控制的实现机制,DAC一般采用以下三种机制来存放不同主体的访问控制权限，从而完成对主体访问权限的限制：1、访问控制矩阵 2、访问控制列表 3、访问控制能力列表,访问控制矩阵ACM,从概念上来说，访问控制可以通过使用和维护一个访问控制矩阵（Access Control Matrix)来实现。访问控制矩阵是通过二维矩阵形式表示访问控制规则和授权用户权限的方法；包含三个元素：主体、客体和访问权限。访问控制矩阵的行对应于主体，列对应于客体；第i行第j列的元素是访问权限的集合，列出了允许主体si对客体oj进行访问的权限。,访问控制矩阵,访问控制矩阵实例如下图所示：,访问控制矩阵,访问控制的任务就是确保系统的操作是按照访问控制矩阵授权的访问来执行。优点：清晰地实现认证与访问控制的相互分离。缺点：在较大系统中，如果用户和资源都非常多，那么访问控制矩阵非常巨大；而且每个用户可能访问的资源有限，矩阵中许多格可能都为空，浪费存储空间；因此较少使用。简单的解决方法：将访问控制矩阵按行或按列进行划分。如果按行划分，得到访问控制能力表；如果按列划分，得到广泛应用的访问控制列表。,访问控制列表ACL,访问控制列表（Access control List）是以文件为中心建立访问权限表。对于每个资源，访问控制列表中列出可能的用户和用户的访问权限。访问控制列表是基于访问控制矩阵中列的自主访问控制区，它在一个客体上附加一个主体明细表来表示各个主体对这个客体的访问权限；明细表中的每一项都包括主体的身份和主体对这个客体的访问权限。,访问控制列表ACL,例如，前面访问控制矩阵实例对应的访问控制列表如下所示：acl(Bob.doc）=(Bob,拥有)，(Alice,写)，(John,读、写)acl(A）=(Bob,读、写)，(Alice,拥有)acl(John.exe）=(Bob,执行)，（Alice,执行)，(John,拥有),访问控制列表ACL,优点：实现简单、实用，大多数PC、服务器和主机都使用ACL作为访问控制的实现机制。适用情况：系统需要区分的用户相对较少，并且这些用户大都比较稳定。缺点：如访问控制列表太大或经常改变，那么维护访问控制列表就成为一个问题。,访问控制能力列表ACCL,能力指访问请求者所拥有的一个有效标签，它授权标签的持有者可以按照何种访问方式访问特定的客体。访问控制能力列表以用户为中心建立访问权限表，是常用的基于行的自主访问控制；它为每个主体附加一个该主体能够访问的客体的明细表。,访问控制能力列表ACCL,例如，前面访问控制矩阵实例对应的访问控制能力表如下所示：cap(Bob）=(Bob.doc,拥有)，(A,读、写)，(John.exe,执行)cap(Alice）=(Bob.doc,写)，(A,拥有),(John.exe,执行)cap(John）=(Bob.doc,读、写),(John.exe,拥有),访问控制能力列表ACCL,访问控制能力表在时间效率和空间效率上都优于访问控制矩阵。缺点：对于一个给定的客体，要确定所有有权访问它的主体、用户生成一个新的客体并对其授权、或删除一个客体时都比较复杂。,Windows NT访问控制列表实例,Windows NT中共享对象（即客体）的访问权限由对象所有者决定。如果用户想共享某个对象，首先要为该对象选择唯一的名字，然后为其他用户和组分配访问权限。Windows NT允许用户或组对文件或目录进行以下6种操作：读、写、执行、删除、改变许可和获取拥有权限（均称为普通权限）。,Windows NT访问控制列表实例,Windows NT目录的普通权限分为以下几类：no access，主体不能访问该目录；read，主体能读或执行该目录中的文件；list，主体能列出该目录中的内容，并且也可转入该目录下的子目录；add，主体能在该目录下创建文件或子目录；add and read，是普通权限add和read的结合；change，主体能创建、读、执行或写该目录下的文件，也能删除子目录；full control，主体拥有该目录下的文件及其子目录的所有权限；special access，允许分配任意权限的组合。,Windows NT访问控制列表实例,访问控制决策：当用户访问文件时，Windows NT首先检查文件的ACL。如果该用户没有出现在ACL中，并且不是ACL所列组中的一员，则访问被拒绝。否则：如果任一ACL条目拒绝用户的访问，系 统就拒绝访问（显示拒绝）；如果访问不被显示拒绝，而用户又在 ACL中出现，则该用户的权限集就是所有指定 此用户的ACL条目中权限集的并集。,Windows NT访问控制列表实例,例：Bob,Alice,John,Peter是Windows NT系统的用户，组students=Bob,Alice,组staff=Alice,John,Peter，目录c:staff的访问控制列表为：acl(c:staff)=(staff,add),(Peter,change),(students,no access)第一个条目允许组staff中的成员(Alice,John,Peter)在目录c:staff下创建子目录和文件；第二个条目允许Peter创建、读、执行或写该目录下的文件，也可以删除子目录；第三个条目不允许组students的成员(Bob,Alice)访问该目录。,强制访问控制（MAC）,强制访问控制（Mandatory Access Control）是比DAC更为严格的访问控制策略。具体实现时，每个用户及文件都被赋予一定的安全级别，用户不能改变自身或任何客体的安全级别，只有系统管理员可以确定用户和组的访问权限。系统通过比较用户和访问的文件的安全级别来决定用户是否可以访问该文件。,强制访问控制MAC,安全级别一般有五级：绝密级（Top Secret，T）、秘密级（Secret，S）、机密级（Confidential，C）、限制级（Restricted，R）和无密级（Unclassified，U），其中 TSCRU。,强制访问控制MAC,用户与访问的信息的读写关系将有四种：（1）下读（read down）用户级别高于文件级别的读操作；（2）下写（write down）用户级别高于文件级别的写操作；（3）上读（read up）用户级别低于文件级别的读操作；（4）上写（write up）用户级别低于文件级别的写操作。注：上述读写方式都保证信息流的单向性：上读和下写保证了数据的完整性；上写和下读则保证了信息的机密性。,强制访问控制MAC,主体Jack只能读取级别低的文件，而不能访问比他级别高的文件。该例中，强制访问控制策略可简化为“无上读，无下写”，用以保证信息的机密性。,访问控制安全标签列表,强制访问控制通常借助访问控制安全标签列表来实现。安全标签是限制和附属在主体或客体上的一组安全属性信息。访问控制标签列表是限定一个用户对一个客体目标访问的安全属性集合。,访问控制安全标签列表,左侧为用户对应的安全级别，右侧为文件系统对应的安全级别。用户A的安全级别为S，那么他请求访问文件File 2时，由于TS，访问会被拒绝；当他访问File 1时，由于SR，所以允许访问。,基于角色的访问控制RBAC,Role-based Access Control，RBAC基本思想:将访问许可权分配给一定的角色，用户通过饰演不同的角色获得角色所拥有的访问许可权。与MAC和DAC将权限直接授予用户的方式不同，RBAC从控制主体的角度出发，根据管理中相对稳定的职权和责任来划分角色，将访问权限与角色相联系；通过给用户分配合适的角色，让用户与访问权限相联系。角色成为访问控制中访问主体和受控对象之间的一座桥梁。,基于角色的访问控制 RBAC,角色可以看做是一组操作的集合，不同的角色具有不同的操作集，这些操作集由系统管理员定义，角色成员的增减也只能由系统管理员来执行，即只有系统管理员有权定义和分配角色。依据RBAC策略，系统定义各种角色，每种角色可以完成一定的职能，不同的用户根据其职能和责任被赋予相应的角色，一旦某个用户成为某角色的成员，则此用户可以完成该角色所具有的职能；依据角色的不同，每个主体只能执行自己所制定的访问功能。,基于角色的访问控制 RBAC,实例：假设Tch1，Tch2，Tch3，Tchi是对应的教师，Stu1，Stu2，Stu3，Stuj是相应的学生，Mng1，Mng2，Mng3，Mngk是教务处管理人员。角色定义：老师的权限为TchMN=查询成绩、上传所教课程的成绩；学生的权限为StudMN=查询成绩、反映意见；教务处管理人员的权限为MngMN=查询、修改成绩、打印成绩清单。老师、学生及教务处管理人员分别对应一个角色。,基于角色的访问控制 RBAC,授权：如果学校新进一名教师Tchx，那么系统管理员只需将Tchx添加到教师这一角色的成员中即可，而无须对访问控制列表做改动。用户与角色的多对多关系：同一个用户可以是扮演多个角色，比如一个用户可以是老师，同时也可以作为进修的学生；同样，一个角色可以拥有多个用户成员，比如老师、学生以及教务处管理人员都可以有多个。,基于角色的访问控制 RBAC,RBAC是实施面向企业的安全策略的一种有效的访问控制方式，具有灵活性、方便性和安全性的特点，目前在大型数据库系统的权限管理中得到普遍应用。与DAC的根本区别：用户不能自主地将访问权限授给别的用户。与MAC的区别在于：MAC基于多级安全需求，而RBAC则不是。,本章小结,主要内容：介绍了自主访问控制策略、强制访问控制策略及基于角色的访问控制策略。需要掌握的内容：（1）自主访问控制、强制访问控制及基于角色的访问控制各自的特点；,本章作业,作业题：（1）自主访问控制的特点是什么？（2）基于角色的访问控制与自主访问控制和强制访问控制有什么区别？思考题：（1）了解主流操作系统和数据库系统采用的访问控制策略或机制。,