访问控制

第4讲访问控制2回顾•在第3讲中介绍了物理安全的基本内容，对机房场地的环境要求，电源安全与电磁防护，容错与容灾等内容。•另外介绍了身份认证、Kerberos认证系统、公钥基础设施PKI与X.509认证业务。3提问1.物理安全主要包括哪些内容？环境安全、电源系统安全、设备安全与通信线路安全。2.就个人而言，环境安全主要涉及哪些？防水等。3.身份认证的个人特征包括哪些？指纹、笔迹、语音、虹膜、DNA等。4.简述支付宝的数字证书？支付宝会员在申请数字证书时，将同时获得两张证书，一张用于验证支付宝账户，另一张用于验证会员当前所使用的计算机。第二张证书不能备份，会员必须为每一台计算机重新申请一张。这样即使会员的数字证书被他人非法窃取，仍可保证其账户不会受到损失4访问是使信息在主体和对象间流动的一种交互方式。访问控制的目的是为了限制访问主体对访问客体的访问权限，能访问系统的何种资源以及如何使用这些资源。访问控制技术的概念•客体（Object）：规定需要保护的资源，又称(target)。•主体（Subject）：或称为发起者(Initiator)，是一个主动的实体，规定可以访问该资源的实体，（通常指用户或代表用户执行的程序）。5主体、客体和授权•授权（Authorization)：规定可对该资源执行的动作（例如读、写、执行或拒绝访问）。􀂾一个主体为了完成任务，可以创建另外的主体，这些子主体可以在网络上不同的计算机上运行，并由父主体控制它们。􀂾主客体的关系是相对的。6访问控制的目标基本目标：防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问。从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么。未授权的访问包括：未经授权的使用、泄露、修改、销毁信息以及颁发指令等。–非法用户进入系统。–合法用户对系统资源的非法使用。7访问控制的作用访问控制对机密性、完整性起直接的作用。对于可用性，访问控制通过对以下信息的有效控制来实现：（1）谁可以颁发影响网络可用性的网络管理指令（2）谁能够滥用资源以达到占用资源的目的（3）谁能够获得可以用于拒绝服务攻击的信息8加密服务于访问控制加密技术是被用来提供实现访问控制的手段之一。方式：1.独立实施访问控制,如加密口令可以限定用户采用权限访问特定资源2.作为其它访问控制机制的加强手段，如加密文件以弥补主机访问控制之不足，以及IPsecVPN采用的强加密机制。9控制是为了达成既定的目的和目标而采取的管理行动。管理通过计划、组织和指导一系列有效的活动为目的和目标的达成提供保障。这样，控制就成为适当的管理计划、组织和指导的必然结果。访问控制和安全内部控制的关系10内部控制（InternalControl）是为了在组织内保障以下目标的实现而采取的方法：（1）信息的可靠性和完整性；（2）政策、计划、规程、法律、法规和合同的执行；（3）资产的保护；（4）资源使用的经济性和有效性；（5）业务及计划既定目的和目标的达成。访问控制和安全内部控制的关系11访问控制与计算机信息系统相关的内容包括：（1）限制主体对客体的访问；（2）限制主体和其它主体通信或使用计算机系统或网络中的功能或服务的权力或能力。例如，人是主体，文件是客体。“保护资产”是内部控制和访问控制的共同目标。访问控制是整体安全控制的一部分。访问控制和安全内部控制的关系12访问控制的类型:（1）防御型控制用于阻止不良事件的发生。（2）探测型控制用于探测已经发生的不良事件。（3）矫正型控制用于矫正已经发生的不良事件。（4）管理型控制用于管理系统的开发、维护和使用，针对系统的策略、规程、行为规范、个人的角色和义务、个人职能和人事安全决策。（5）技术型控制是用于为信息技术系统和应用提供自动保护的硬件和软件控制手段。访问控制和安全内部控制的关系13（6）操作型控制是用于保护操作系统和应用的日常规程和机制。（7）补偿型控制在一个领域的控制能力较弱而在另一个领域控制能力较强。（8）综合型控制使用两个或更多的控制来加强对功能、程序或操作的控制效果。这样两个控制协同工作能够强化整个控制环境。（9）规避型控制的原理就是对资源进行分割管理。访问控制和安全内部控制的关系14访问控制的手段可分为三个层次：物理类控制手段管理类控制手段技术类控制手段每个层次又可分为防御型和探测型访问控制的手段15物理类控制手段管理类控制手段技术类控制手段防御型控制文书备份安全知识培训访问控制软件围墙和栅栏职务分离防病毒软件保安职员雇用手续库代码控制系统证件识别系统职员离职手续口令加锁的门监督管理智能卡双供电系统灾难恢复应急计划加密生物识别门禁系统计算机使用的登记拨号访问控制和回叫系统工作场所的选择灭火系统访问控制的手段16探测型控制移动监测探头安全评估和审计日志审计烟感和温感探头性能评估入侵探测系统闭路监控强制假期传感和报警系统背景调查职务轮换物理类控制手段管理类控制手段技术类控制手段访问控制的手段17访问控制模型基本组成决策发起者访问控制实施功能AEF访问控制决策功能ADF目标提交访问请求提出访问请求请求决策主体客体18•访问控制策略(AccessControlPolicy)访问控制策略在系统安全策略级上表示授权。是对访问如何控制,如何作出访问决定的高层指南。•访问控制机制（AccessControlMechanisms)是访问控制策略的软硬件低层实现。􀂾访问控制机制与策略独立，可允许安全机制的重用。􀂾安全策略之间没有更好的说法，只是一种可以比一种提供更多的保护。应根据应用环境灵活使用。访问控制策略与机制19•自主访问控制（discretionarypolicies）基于身份的IBAC（IdentityBasedAccessControl)•强制访问控制（mandatorypolicies）基于规则的RBAC（RuleBasedAccessControl）•基于角色的访问控制(Role-basedpolicies)访问控制策略20如何决定访问权限•用户分类•资源•资源及使用•访问规则21访问规则•规定了若干条件，在这些条件下，可准许访问一个资源。•规则使用户与资源配对，指定该用户可在该文件上执行哪些操作，如只读、不许执行或不许访问。•由系统管理人员来应用这些规则，由硬件或软件的安全内核部分负责实施。22实现机制和方法•基于访问控制属性——〉访问控制表/矩阵•基于用户和资源分级（“安全标签”）——〉多级访问控制常见实现方法——•访问控制表ACLs（AccessControlLists)•访问能力表（Capabilities)•授权关系表23访问控制矩阵信息系统中所有可控制的资源均可抽象为客体，对客体实施动作的实体称为主体，主体对客体所实施的动作需要通过访问矩阵（AccessMatrix）得到授权。其中：矩阵列展现控制，矩阵行展现能力。这些授权对于主体可表示为访问权限，对于客体可表示为访问模式。显然，访问权限应是访问模式的子集。行对应于用户，列对应于目标，每个矩阵元素规定了相应的用户对应于相应的目标被准予的访问许可、实施行为。24•按列看是访问控制表内容ACL•按行看是访问能力表内容CL访问控制矩阵25用访问矩阵表示，以客体为索引。即每一个访问控制列表是客体（目标对象）的属性表，它给定每个主体（用户）对给定的目标的访问权限，即一系列实体及其对资源的访问权限的列表。UserAOwnRWOUserBROUserCRWOObject1主机访问控制的基本方案1、访问控制表（ACL-AccessControlList）26身份类型允许权限拒绝权限时间限制位置限制用户A个人读、写、管理用户B组读用户C角色写、管理用户D组读、写管理8：00-20：00本地终端访问控制列表示例主机访问控制的基本方案27以主体为索引。每个主体对应有一个访问能力表，指出对各个客体的访问权限。这种方法的优缺点与直ACL相反。在分布式系统中，可允许主体只进行一次认证便获得它的CL，不必在会话期间不断地对各个分布的系统进行授权申请和处理。Obj1OwnRWOObj2ROObj3RWOUserA2、访问能力表方案（CL-CapabilitiesList）主机访问控制的基本方案28网络中通常包括多种安全区域。直接地围绕一个目标的安全区域，通常立即需要一个关于该目标的访问决策的表达。然而，访问能力适合于联系相对少的目标，并且对发起者访问控制决策容易实现的情况。访问能力方案的实施主要依赖于在系统间所采用的安全传递能力。其缺点是，目标的拥有者不容易废除以前授予的权限。主机访问控制的基本方案29授权关系这种方案是ACL与CL的结合，使用关系来表示访问矩阵。每个关系表示一个主体对一个客体的访问权限，并使用关系式数据库来存放这个访问矩阵。用户A权限目标UserARObj1UserAWObj1UserAWObj2UserARObj2主机访问控制的基本方案3.授权关系方案(Authorizationrelations)30访问控制自主访问控制DAC强制访问控制MAC基于角色访问控制访问控制的一般策略31•特点：根据主体的身份及允许访问的权限进行决策。自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。灵活性高，被大量采用。•缺点：信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。自主访问控制32特点：取决于能用算法表达的并能在计算机上执行的策略。策略给出资源受到的限制和实体的授权，对资源的访问取决于实体的授权而非实体的身份。RBAC决策在批准一个访问之前需要进行授权信息和限制信息的比较。1）将主体和客体分级，根据主体和客体的级别标记来决定访问模式。如：绝密级、机密级、秘密级、无密级。2）其访问控制关系分为：上读/下写，下读/上写3）通过安全标签实现单向信息流通模式。（完整性）（机密性）强制访问控制33安全标签是限制在目标上的一组安全属性信息项。在访问控制中，一个安全标签隶属于一个用户、一个目标、一个访问请求或传输中的一个访问控制信息。最通常的用途是支持多级访问控制策略。在处理一个访问请求时，目标环境比较请求上的标签和目标上的标签，应用策略规则（如BellLapadula规则）决定是允许还是拒绝访问。安全标签34自主访问控制–配置的粒度小–配置的工作量大，效率低强制访问控制–配置的粒度大–缺乏灵活性两种访问控制的对比35•与现代的商业环境相结合的产物•基于角色的访问控制是一个复合的规则。一个身份被分配给一个被授权的组。•起源于UNIX系统或别的操作系统中组的概念•10yearhistory•责任分离(separationofduties)•角色分层(rolehierarchies)•角色激活(roleactivation)•用户角色关系的约束(constraintsonuser/rolemembership)基于角色的策略36每个角色与一组用户和有关的动作相互关联，角色中所属的用户可以有权执行这些操作Arolecanbedefinedasasetofactionsandresponsibilitiesassociatedwithaparticularworkingactivity.角色与组的区别组：一组用户的集合角色：一组用户的集合+一组操作权限的集合角色的定义37•在银行环境中，用户角色可以定义为出纳员、分行管理者、顾客、系统管理者和审计员•访问控制策略的一个例子如下：（1）允许一个出纳员修改顾客的帐号记录（包括存款和取款、转帐等），并允许查询所有帐号的注册项（2）允许一个分行管理者修改顾客的帐号记录（包括存款和取款，但不包括规定的资金数目的范围）并允许查询所有帐号的注册项，也允许创建和终止帐号（3）允许一个顾客只询问他自己的帐号的注册项（4）允许系统的管理者询问系统的注册项和开关系统，但不允许读或修改用户的帐号信息（5）允许一个审计员读系统中的任何数据，但不允许修改任何事情基于角色的访问控制的实例38•该策略陈