1、POWEPOINT,適用于簡約清爽主題及相關(guān)類別演示,訪問控制,歐陽恒宜 曲文芳 張麗欣 王單單 王寧 殷少鵬,1,目錄,定義 基本內(nèi)容 訪問控制策略、 訪問控制機(jī)制、 訪問控制模型,2,定義,概念 ： 訪問控制（Access Control）是通過某種途徑顯式地準(zhǔn)許或者限制訪問能力及范圍的一種方法，是針對越權(quán)使用系統(tǒng)資源的防御措施。 目的： 保證系統(tǒng)資源受控地合法地使用 通過限制對關(guān)鍵資源的訪問，防止非法用戶侵入，防止合法 用戶不慎操作造成的破壞 限制用戶能做什么，限制系統(tǒng)對用戶操作的響應(yīng) 滿足國際標(biāo)準(zhǔn)協(xié)議的要求,3,作用： 訪問控制對機(jī)密性、完整性起直接的作用。 對于可用性，訪問控制通過對

2、以下信息的有效控制來實現(xiàn)： （1）誰可以頒發(fā)影響網(wǎng)絡(luò)可用性的網(wǎng)絡(luò)管理指令 （2）誰能夠濫用資源以達(dá)到占用資源的目的 （3）誰能夠獲得可以用于拒絕服務(wù)攻擊的信息,4,目錄,定義 基本內(nèi)容 訪問控制策略、 訪問控制機(jī)制、 訪問控制模型,5,基本內(nèi)容,訪問控制首先需要對用戶身份的合法性進(jìn)行驗證，同時利用控制策略進(jìn)行選用和管理工作。當(dāng)用戶身份和訪問權(quán)限驗證之后，還需要對越權(quán)操作進(jìn)行監(jiān)控。 因此，訪問控制的內(nèi)容包括認(rèn)證、控制策略實現(xiàn)和安全審計。 1、認(rèn)證：包括主體對客體的識別及客體對主體的檢驗確認(rèn) 2、控制策略：通過合理地設(shè)定控制規(guī)則集合，確保用戶對信息資源在授權(quán)范圍內(nèi)的合法使用。既要確保授權(quán)用戶的合理

3、使用，又要防止非法用戶侵權(quán)進(jìn)入系統(tǒng)，使重要信息資源泄露。同時對合法用戶，也不能越權(quán)行使權(quán)限以外的功能及訪問范圍 3、安全審計：系統(tǒng)可以自動根據(jù)用戶的訪問權(quán)限，對計算機(jī)網(wǎng)絡(luò)環(huán)境下的有關(guān)活動或行為進(jìn)行系統(tǒng)的、獨立的檢查驗證，并做出相應(yīng)評價與審計,6,訪問控制模型基本組成：,7,發(fā)起者(Initiator)/主體(Subject):是一個主動的實體,規(guī)定可以訪問該資源的實體,(通常指用戶或代表用戶執(zhí)行的程序) 目標(biāo)(target)/客體(Object):規(guī)定需要保護(hù)的資源 授權(quán)(Authorization):規(guī)定可對該資源執(zhí)行的動作(例如讀、寫、執(zhí)行或拒絕訪問) 一個主體為了完成任務(wù)，可以創(chuàng)建另外的

4、主體，這些子主體可以在網(wǎng)絡(luò)上不同的計算機(jī)上運行，并由父主體控制它們 主客體的關(guān)系是相對的,8,授權(quán)信息,Log,身份認(rèn)證,訪問控制,審計,授權(quán)（authorization）,主體,客體,訪問控制 與其他安全機(jī)制的關(guān)系：,9,目錄,定義 基本內(nèi)容 訪問控制策略、 訪問控制機(jī)制、 訪問控制模型,10,訪問控制策略 是對訪問如何控制、如何作出訪問決定的高層指南,訪問控制策略,11,訪問控制機(jī)制,訪問控制機(jī)制 是訪問控制策略的軟硬件低層實現(xiàn) 訪問控制機(jī)制與策略獨立，可允許安全機(jī)制的重用 安全策略和機(jī)制根據(jù)應(yīng)用環(huán)境靈活使用,12,訪問控制模型發(fā)展歷史,最早由Lampson提出了訪問控制的形式化和機(jī)制描述

5、,引入了主體、客體和訪問矩陣的概念,它們是訪問控制的基本概念。 對訪問控制模型的研究,從早期的20世紀(jì)六、七十年代至今,大致經(jīng)歷了以下 4 個階段:,13,第一階段： 20世紀(jì)六、七十年代應(yīng)用于大型主機(jī)系統(tǒng)中的訪問控制模型,較典型的是Bell-Lapadula模型和HRU模型。 Bell-Lapadula模型著重系統(tǒng)的機(jī)密性,遵循兩個基本的規(guī)則: “不上讀”和“不下寫”,以此實現(xiàn)強(qiáng)制存取控制,防止具有高安全級別的信息流入低安全級別的客體,主要應(yīng)用于軍事系統(tǒng)中。,14,第二階段： 美國國防部(Department of Defense,簡稱DoD)在1985年公布的 “可信計算機(jī)安全評價標(biāo)準(zhǔn)(t

6、rusted computer system evaluation criteria,簡稱 TCSEC)” 中明確提出了訪問控制在計算機(jī)安全系統(tǒng)中的重要作用,并指出一般的訪問控制機(jī)制有兩種:自主訪問控制DAC和強(qiáng)制訪問控制MAC。目前,DAC和MAC被應(yīng)用在很多領(lǐng)域。,15,第三階段： 從1992年最早的RBAC模型,即Ferraiolo-Kuhn模型的提出,到 Sandhu等人對RBAC模型的研究,先后提出了RBAC96,ARBAC97，ARBAC99模型,再到2001年NIST RBAC標(biāo)準(zhǔn)的提出。Ferraiolo-Kuhn模型將現(xiàn)有的面向應(yīng)用的方法應(yīng)用到RBAC模型中,是RBAC 最初

7、的形式化描述。NIST RBAC參考模型對角色進(jìn)行了詳細(xì)的 研究,在用戶和訪問權(quán)限之間引入了角色的概念,為RBAC模型 提供了參考。,16,第四階段： 此后,對訪問控制模型的研究擴(kuò)展到更多的領(lǐng)域,比較有代表性的有:應(yīng)用于工作流系統(tǒng)或分布式系統(tǒng)中的基于任務(wù)的授權(quán)控制模型(task-based authentication control,簡稱TBAC)、基于任務(wù)和角色的訪問控制模型(task-role-based access control,簡稱T-RBAC)以及被稱作下一代訪問控制模型的使用控制(usage control,簡稱UCON)模型,也稱其為ABC模型。,17,訪問控制模型DAC,

8、自主訪問控制 Discretionary Access Control 20世紀(jì)70年代分時系統(tǒng) Unix、WINDOWS普遍采用 客體的擁有者全權(quán)管理其授權(quán)，被授權(quán)者可傳遞權(quán)限 從ACM角度說基于行，“基于主人的訪問控制”,18,DAC缺點： 管理權(quán)分散 擁有者擁有管理權(quán)，不利于集中訪問控制 信息易泄漏，比如木馬篡改數(shù)據(jù)、胡亂授權(quán) 客體的真正擁有者不是主體，而是組織單位本身， 從而造成所有權(quán)混亂 擁有者調(diào)離和死亡需要特殊處理 存在職權(quán)濫用現(xiàn)象 主體間關(guān)系不能直接體現(xiàn)，不易管理,19,訪問控制模型MAC,強(qiáng)制訪問控制 Mandatory Access Control 1965年Multics操

9、作系統(tǒng)（B級安全評價標(biāo)準(zhǔn)） 本質(zhì)：基于格的單向信息流 授權(quán)過程 安全管理員（Security Officer）預(yù)定義主體信任級別、 客體安全級別 系統(tǒng)比較主體和客體級別后自動授權(quán) 安全管理員特殊授權(quán) 可歸類為ACM，常和DAC結(jié)合使用 上讀下寫（數(shù)據(jù)完整性） 下讀上寫（數(shù)據(jù)保密性）,20,MAC缺點： 不靈活 級別定義繁瑣，工作量大，管理不便 有些場合無法定義合理的級別，主體信任級別和客體安全級別和現(xiàn)實情況不能一致 過于強(qiáng)調(diào)保密性，對系統(tǒng)連續(xù)工作能力和可管理性考慮不足 不能實現(xiàn)完整性控制，不適合WEB，原因：多級訪問控制,21,訪問控制模型RBAC,基于角色的訪問控制 Role Based A

10、ccess Control，20世紀(jì)90年代，John F.Barkley，Ravi Sandhu 角色一個或者一組用戶在組織內(nèi)可執(zhí)行的操作的集合（組、角色是聚合體Aggregation） 角色隔離主體和客體，是權(quán)限的集合，權(quán)限變成角色對客體的操作許可 主體和角色、角色和權(quán)限、權(quán)限和客體、權(quán)限和操作四種關(guān)系均是多對多,22,RBAC優(yōu)點： 減小授權(quán)復(fù)雜度，提高效率質(zhì)量 不再存在大量權(quán)限的直接變動和授予，而是通過變化較少的角色變動和授予替代 動態(tài)管理 權(quán)限變更只影響涉及的角色，修改角色的權(quán)限動態(tài)反應(yīng)到具有角色的所有主體，主體可自行禁用或者啟用擁有的角色，系統(tǒng)也可根據(jù)情況自動禁用啟用主體角色，角色

11、啟用禁用可使用密碼 授權(quán)基本和現(xiàn)實情況符合，失真較小 管理員負(fù)責(zé)簡單工作（比如角色到主體的映射），研發(fā)人員負(fù)責(zé)復(fù)雜工作（比如客體、操作、權(quán)限到角色的映射）,23,RBAC96： 4個子模型 RBAC0滿足最小需求 RBAC1在RBAC0基礎(chǔ)上加“角色層次” RBAC2在RBAC0基礎(chǔ)上加“約束” RBAC3 =RBAC1+ RBAC2,24,RBAC0,25,RBAC1,26,RBAC2,27,RBAC3,28,RBAC非法合法規(guī)則: 無角色則無權(quán)（非法） 主體角色經(jīng)過授權(quán)則主體有權(quán)（合法） 主體角色有客體操作的權(quán)限則主體有權(quán)（合法）,29,RBAC功能規(guī)范: 管理功能 系統(tǒng)支持功能 審查功能

12、,30,RBAC缺點: 靜態(tài)授權(quán)，任務(wù)完成后權(quán)限沒有收回，沒有考慮上下文 基于主體、客體，被動訪問控制，從系統(tǒng)角度出發(fā)，不能主動防御,31,基于任務(wù)的訪問控制模型，是一種采用動態(tài)授權(quán)的主動安全模型 將訪問權(quán)限和任務(wù)結(jié)合，每個任務(wù)都是主體使用權(quán)限對客體的訪問過程，任務(wù)執(zhí)行完權(quán)限被消耗，不能再對客體進(jìn)行訪問 授權(quán)不僅和主體客體有關(guān)，而且和任務(wù)內(nèi)容、任務(wù)狀態(tài)等有關(guān)；訪問權(quán)限隨著任務(wù)上下文而變化 任務(wù)要進(jìn)行的一系列操作的有序集合，屬性包括內(nèi)容、狀態(tài)、執(zhí)行結(jié)果、生命周期等 任務(wù)間關(guān)系依賴、排斥,訪問控制模型TBAC,32,TBAC缺點: 沒有角色概念，和現(xiàn)實不符合 訪問控制并不都是主動的，也有被動的,33,T-RBAC 在TBAC上加上角色 建立角色和任務(wù)的映射關(guān)系,34,用戶控制 Usage Control，可變