1、第四章第四章 身份認證和訪問控制身份認證和訪問控制 訪問控制訪問控制Access Control安全服務（安全服務（Security Services）：）： 安全系統提供的各項服務，用以保證系統或數據安全系統提供的各項服務，用以保證系統或數據傳輸足夠的安全性傳輸足夠的安全性根據根據ISO7498-2, 安全服務包括：安全服務包括：實體鑒別實體鑒別(認證認證)（Entity Authentication）數據保密性（數據保密性（Data Confidentiality）數據完整性（數據完整性（Data Integrity）防抵賴（防抵賴（Non-repudiation）訪問控制（訪問控制（Ac

2、cess Control）美國國防部的可信計美國國防部的可信計算機系統評估標準算機系統評估標準（TESEC）把訪問控把訪問控制作為評價系統安全制作為評價系統安全的主要指標之一。的主要指標之一。第四章第四章 身份認證和訪問控制身份認證和訪問控制 訪問控制的概念訪問控制的概念 一般概念一般概念-是針對越權使用資源的防御措施。是針對越權使用資源的防御措施。形式化地說形式化地說-訪問控制是一個二元函數訪問控制是一個二元函數 f(s,o,r)-在系統中發生的事情，抽象的說都是某個主體在系統中發生的事情，抽象的說都是某個主體(subject)在某個資源在某個資源(resource)上執行了某個上執行了某個

3、操作操作(operation)。 第四章第四章 身份認證和訪問控制身份認證和訪問控制 訪問控制的分類訪問控制的分類計算機信息系統訪問控制技術最早產生于上個世紀計算機信息系統訪問控制技術最早產生于上個世紀60年代，隨后出現了兩種重要的訪問控制技術：年代，隨后出現了兩種重要的訪問控制技術：-自主訪問控制（自主訪問控制（Discretionary Access Control,DAC）-強制訪問控制（強制訪問控制（Mandatory Access Control,MAC）作為傳統訪問控制技術，它們已經遠遠落后于當代系作為傳統訪問控制技術，它們已經遠遠落后于當代系統安全的要求，安全需求的發展對訪問控制

4、技術提出統安全的要求，安全需求的發展對訪問控制技術提出了新的要求。了新的要求。-基于角色的訪問控制基于角色的訪問控制(Role-Based Access Control,RBAC)第四章第四章 身份認證和訪問控制身份認證和訪問控制 訪問控制的目的訪問控制的目的是為了限制訪問主體（用戶、進程、服務等）是為了限制訪問主體（用戶、進程、服務等）對訪問客體（文件、系統等）的訪問權限，從而對訪問客體（文件、系統等）的訪問權限，從而使計算機系統在合法范圍內使用；決定用戶能做使計算機系統在合法范圍內使用；決定用戶能做什么，也決定代表一定用戶利益的程序能做什么。什么，也決定代表一定用戶利益的程序能做什么。可以

5、限制對關鍵資源的訪問，防止非法用戶的侵可以限制對關鍵資源的訪問，防止非法用戶的侵入或者因合法用戶的不慎操作造成的破壞。入或者因合法用戶的不慎操作造成的破壞。訪問控制是實現數據保密性和完整性機制的主要訪問控制是實現數據保密性和完整性機制的主要手段。手段。第四章第四章 身份認證和訪問控制身份認證和訪問控制 認證、審計與訪問控制的關系認證、審計與訪問控制的關系 認證、訪問控制和審計認證、訪問控制和審計共共同建立了保護系統安全的同建立了保護系統安全的基礎。其中認證是用戶進基礎。其中認證是用戶進入系統的第一道防線入系統的第一道防線訪問控制是在鑒別用戶的訪問控制是在鑒別用戶的合法身份后，控制用戶對合法身份

6、后，控制用戶對數據信息的訪問，它是通數據信息的訪問，它是通過引用監控器實施這種訪過引用監控器實施這種訪問控制的。問控制的。 第四章第四章 身份認證和訪問控制身份認證和訪問控制 -身份認證身份認證VS訪問控制訪問控制正確地建立用戶的身份標識是由認證服務實現的。在通正確地建立用戶的身份標識是由認證服務實現的。在通過引用監控器進行訪問控制時，總是假定用戶的身份已過引用監控器進行訪問控制時，總是假定用戶的身份已經被確認，而且訪問控制在很大程度上依賴用戶身份的經被確認，而且訪問控制在很大程度上依賴用戶身份的正確鑒別和引用監控器的正確控制。正確鑒別和引用監控器的正確控制。-訪問控制訪問控制VS審計審計-訪

7、問控制不能作為一個完整的策略來解決系統安全，訪問控制不能作為一個完整的策略來解決系統安全，它必須要結合審計而實行。審計控制主要關注系統所有它必須要結合審計而實行。審計控制主要關注系統所有用戶的請求和活動的事后分析。用戶的請求和活動的事后分析。第四章第四章 身份認證和訪問控制身份認證和訪問控制 訪問控制的構成訪問控制的構成主體主體(subject)-who：指發出訪問操作、存取請求：指發出訪問操作、存取請求的主動方，它包括的主動方，它包括用戶、用戶組、終端、主機或一用戶、用戶組、終端、主機或一個應用進程個應用進程，主體可以訪問客體。，主體可以訪問客體。客體客體(object)-what：指被調用

8、的程序或欲存取的：指被調用的程序或欲存取的數據訪問，數據訪問，它可以是一個字節、字段、記錄、程序、它可以是一個字節、字段、記錄、程序、文件，或一個處理器、存儲器及網絡節點等文件，或一個處理器、存儲器及網絡節點等。安全訪問政策安全訪問政策:也稱為授權訪問，它是一套規則，用也稱為授權訪問，它是一套規則，用以確定一個以確定一個主體是否對客體擁有訪問能力主體是否對客體擁有訪問能力。第四章第四章 身份認證和訪問控制身份認證和訪問控制 主體主體VS客體客體-主體發起對客體的操作將由系統的授權來決定主體發起對客體的操作將由系統的授權來決定-一個主體為了完成任務可以創建另外的主體，一個主體為了完成任務可以創建

9、另外的主體，并由父主體控制子主體。并由父主體控制子主體。-主體與客體的關系是相對的，當一個主體受到主體與客體的關系是相對的，當一個主體受到另一主體的訪問，成為訪問目標時，該主體便成另一主體的訪問，成為訪問目標時，該主體便成了客體。了客體。第四章第四章 身份認證和訪問控制身份認證和訪問控制 安全訪問政策安全訪問政策訪問控制規定了哪些主體可以訪問，以及訪問權限訪問控制規定了哪些主體可以訪問，以及訪問權限的大小的大小負責控制主體負責控制主體對客體的訪問對客體的訪問根據訪問控制根據訪問控制信息作出是否信息作出是否允許主體操作允許主體操作的決定的決定第四章第四章 身份認證和訪問控制身份認證和訪問控制 訪

10、問控制的一般實現機制和方法訪問控制的一般實現機制和方法-實現機制實現機制 基于訪問控制屬性基于訪問控制屬性-訪問控制表訪問控制表/矩陣矩陣 基于用戶和資源分級（基于用戶和資源分級（“安全標簽安全標簽”）-多級訪問控制多級訪問控制-常見實現方法常見實現方法 訪問控制表（訪問控制表（ACL, Access Control Lists) 訪問能力表（訪問能力表（CL,Capabilities Lists) 授權關系表授權關系表 （Authorization Relation）第四章第四章 身份認證和訪問控制身份認證和訪問控制 訪問控制實現方法訪問控制實現方法-訪問控制矩陣訪問控制矩陣(Access

11、Control Matrix)-利用二維矩陣規定任意主體和客體間的訪問權限利用二維矩陣規定任意主體和客體間的訪問權限-按列看是訪問控制表按列看是訪問控制表(ACL)內容內容-按行看是訪問能力表按行看是訪問能力表(CL)內容內容SubjectsObjectsS1S2S3O1O2O3Read/writeWriteReadExecute用戶對特定系統對象例如文件目錄或單個文件的存取權限。用戶對特定系統對象例如文件目錄或單個文件的存取權限。每個對象擁有一個在訪問控制表中定義的安全屬性。每個對象擁有一個在訪問控制表中定義的安全屬性。這張表對于每個系統用戶有擁有一個訪問權限。這張表對于每個系統用戶有擁有一

12、個訪問權限。最一般的訪問權限包括最一般的訪問權限包括:讀拷貝讀拷貝(read-copy)；寫刪除（；寫刪除（write-delete） ；執行（；執行（execute）；）；Null（無效）（無效）:主體對客體不具有任何訪問權。在存取控制表中用這種模式主體對客體不具有任何訪問權。在存取控制表中用這種模式可以排斥某個特定的主體。可以排斥某個特定的主體。稀疏稀疏不利用操作不利用操作第四章第四章 身份認證和訪問控制身份認證和訪問控制 訪問控制實現方法訪問控制實現方法-訪問控制表訪問控制表(ACL)客體為中心客體為中心userAOwnRWOuserB R OuserCRWOObj1每個客體附加一個它可

13、以訪問的主體的明細表每個客體附加一個它可以訪問的主體的明細表。-FileA : (Alice,r,w)，(Bob，r)，Deptw)UNIX采用保護位方式采用保護位方式-9個保護位分別用來指定文件所有者、組用戶與其他用戶個保護位分別用來指定文件所有者、組用戶與其他用戶的讀、寫和執行許可。的讀、寫和執行許可。rw-r-現代計算機現代計算機系統主要還系統主要還是利用訪問是利用訪問控制表方法控制表方法第四章第四章 身份認證和訪問控制身份認證和訪問控制 訪問控制實現方法訪問控制實現方法-訪問能力表訪問能力表(CL)主體為中心主體為中心Obj1OwnRWOObj2 R OObj3 RWOUserA每個主

14、體都附加一個該主體可訪問的客體的明細表。每個主體都附加一個該主體可訪問的客體的明細表。-每個用戶都有每個用戶都有Profiles文件，列出所有該用戶擁有訪問權限的受保護客體。文件，列出所有該用戶擁有訪問權限的受保護客體。CL沒有獲得商業上的成功沒有獲得商業上的成功但在分布式系統中，主體但在分布式系統中，主體認證一次獲得自己的認證一次獲得自己的訪問訪問能力表能力表后，就可以根據能后，就可以根據能力關系從對應的服務器獲力關系從對應的服務器獲得相應的服務得相應的服務而各個服務器可以進一步而各個服務器可以進一步采用采用訪問控制表訪問控制表進行訪問進行訪問控制控制第四章第四章 身份認證和訪問控制身份認證

15、和訪問控制 訪問控制表訪問控制表(ACL) VS 訪問能力表訪問能力表(CL)瀏覽瀏覽(特定客體特定客體)訪問權限：訪問權限：ACL-容易，容易，CL-困難困難訪問權限傳遞：訪問權限傳遞：ACL-困難，困難，CL-容易容易訪問權限回收：訪問權限回收：ACL-容易，容易，CL-困難困難第四章第四章 身份認證和訪問控制身份認證和訪問控制 訪問控制表訪問控制表(ACL) VS 訪問能力表訪問能力表(CL)-多數集中式操作系統使用多數集中式操作系統使用ACL方法或類似方式方法或類似方式-由于分布式系統中很難確定給定客體的潛在主由于分布式系統中很難確定給定客體的潛在主體集，在現代體集，在現代OS中中CL

16、也得到廣泛應用也得到廣泛應用第四章第四章 身份認證和訪問控制身份認證和訪問控制 訪問控制實現方法訪問控制實現方法-授權關系表授權關系表直接建立主體與客體的隸屬關系；直接建立主體與客體的隸屬關系；通過主體排序通過主體排序-得到能力關系表；得到能力關系表；通過客體排序通過客體排序-得到訪問控制表得到訪問控制表UserA Own Obj1UserA R Obj2UserA W Obj3UserB W Obj1UserB R Obj2第四章第四章 身份認證和訪問控制身份認證和訪問控制 訪問控制技術訪問控制技術- -自主訪問控制自主訪問控制DAC,Discretionary Access Control

17、 DAC是目前計算機系統中實現最多的訪問控制是目前計算機系統中實現最多的訪問控制機制，機制，它是在確認主體身份以及（或）它們所屬組它是在確認主體身份以及（或）它們所屬組的基礎上對訪問進行限定的一種方法。的基礎上對訪問進行限定的一種方法。傳統的傳統的DAC最早出現在上個世紀最早出現在上個世紀70年代初期的分時系統中，它年代初期的分時系統中，它是多用戶環境下最常用的一種訪問控制技術，在目是多用戶環境下最常用的一種訪問控制技術，在目前流行的前流行的Unix類操作系統中被普遍采用。類操作系統中被普遍采用。基本思想基本思想-允許某個主體顯式地指定其他主體對該主允許某個主體顯式地指定其他主體對該主體所擁有

18、的信息資源是否可以訪問以及可執行的訪體所擁有的信息資源是否可以訪問以及可執行的訪問類型。問類型。第四章第四章 身份認證和訪問控制身份認證和訪問控制 訪問控制技術訪問控制技術- -自主訪問控制自主訪問控制DAC,Discretionary Access Control自主訪問自主訪問-有訪問許可的主體能夠向其他主體轉讓訪問權。有訪問許可的主體能夠向其他主體轉讓訪問權。特點特點-根據主體的身份和授權來決定訪問模式。根據主體的身份和授權來決定訪問模式。 -訪問控制的粒度是單個用戶。訪問控制的粒度是單個用戶。 缺點缺點-信息在移動過程中其訪問權限關系會被改變。如用信息在移動過程中其訪問權限關系會被改變

19、。如用戶戶A可將其對目標可將其對目標O的訪問權限傳遞給用戶的訪問權限傳遞給用戶B,從而使不具從而使不具備對備對O訪問權限的訪問權限的B可訪問可訪問O。第四章第四章 身份認證和訪問控制身份認證和訪問控制 訪問控制技術訪問控制技術- -強制訪問控制強制訪問控制MAC, Mandatory Access ControlMAC最早出現在最早出現在Multics系統中，在系統中，在1983美國美國國防部的國防部的TESEC中被用作為中被用作為B級安全系統的級安全系統的主要評價標準之一。主要評價標準之一。MAC的基本思想是：每的基本思想是：每個主體都有既定的安全屬性，每個客體也都個主體都有既定的安全屬性，

20、每個客體也都有既定安全屬性，主體對客體是否能執行特有既定安全屬性，主體對客體是否能執行特定的操作取決于兩者安全屬性之間的關系。定的操作取決于兩者安全屬性之間的關系。第四章第四章 身份認證和訪問控制身份認證和訪問控制 訪問控制技術訪問控制技術- -強制訪問控制強制訪問控制MAC, Mandatory Access Control系統對所有主體及其所控制的客體（例如：進程、文件、系統對所有主體及其所控制的客體（例如：進程、文件、段、設備）實施強制訪問控制。段、設備）實施強制訪問控制。為這些主體及客體指定為這些主體及客體指定敏感標簽敏感標簽，這些標記是等級分類，這些標記是等級分類和非等級類別的組合，

21、它們是實施強制訪問控制的依據。和非等級類別的組合，它們是實施強制訪問控制的依據。系統根據主體和客體的敏感標記來決定訪問模式。系統根據主體和客體的敏感標記來決定訪問模式。-敏感標簽敏感標簽 sensitivity label表示客體安全級別并描述客體數據敏感性的一組信息，表示客體安全級別并描述客體數據敏感性的一組信息，TCSEC中把敏感標記作為強制訪問控制決策的依據。中把敏感標記作為強制訪問控制決策的依據。如：絕密級，秘密級，機密級，無密級如：絕密級，秘密級，機密級，無密級第四章第四章 身份認證和訪問控制身份認證和訪問控制 訪問控制技術訪問控制技術- -強制訪問控制強制訪問控制MAC, Mand

22、atory Access Control特點：特點：-將主題和客體分級，根據主體和客體將主題和客體分級，根據主體和客體的級別標記來決定訪問模式。的級別標記來決定訪問模式。-其訪問控制關系分為：其訪問控制關系分為：下讀（下讀（read down）：用戶級別大于文件級別的讀操作。）：用戶級別大于文件級別的讀操作。上寫（上寫（Write up）：用戶級別小于文件級別的寫操作。）：用戶級別小于文件級別的寫操作。下寫（下寫（Write down）：用戶級別大于文件級別的寫操作。）：用戶級別大于文件級別的寫操作。上讀（上讀（read up）：用戶級別小于文件級別的讀操作。）：用戶級別小于文件級別的讀操作。

23、-MAC通過梯度安全標簽實現單向信息流通模式。通過梯度安全標簽實現單向信息流通模式。第四章第四章 身份認證和訪問控制身份認證和訪問控制 Bell-La Padula模型模型第四章第四章 身份認證和訪問控制身份認證和訪問控制 Biba安全模型安全模型第四章第四章 身份認證和訪問控制身份認證和訪問控制 -自主訪問控制自主訪問控制配置的粒度小；工作量大；配置的粒度小；工作量大；DAC將賦予或取消訪將賦予或取消訪問權限的一部分權力留給最終用戶，管理員難以問權限的一部分權力留給最終用戶，管理員難以確定哪些用戶對哪些資源有訪問權限，不利于實確定哪些用戶對哪些資源有訪問權限，不利于實現統一的全局訪問控制。現

24、統一的全局訪問控制。-強制訪問控制強制訪問控制配置的粒度大；缺乏靈活性；配置的粒度大；缺乏靈活性；缺點在于訪問級別缺點在于訪問級別的劃分不夠細致，在同級別之間缺乏控制機制。的劃分不夠細致，在同級別之間缺乏控制機制。第四章第四章 身份認證和訪問控制身份認證和訪問控制 訪問控制技術訪問控制技術- -基于角色的訪問控制基于角色的訪問控制RBAC,Role-Based Access Control -20世紀世紀70年代就已經提出，但在相當長的一年代就已經提出，但在相當長的一段時間內沒有得到人們的關注。段時間內沒有得到人們的關注。-進入進入90年代后，隨著安全需求的發展加之年代后，隨著安全需求的發展加

25、之R.S.Sandhu等人的倡導和推動，等人的倡導和推動，RBAC又引又引起了人們極大的關注起了人們極大的關注.第四章第四章 身份認證和訪問控制身份認證和訪問控制 訪問控制技術訪問控制技術- -基于角色的訪問控制基于角色的訪問控制RBAC,Role-Based Access Control用戶：可以獨立訪問資源的主體。用戶：可以獨立訪問資源的主體。角色：一個組織或任務中的工作或者位置，代表權利、資格和責任。角色：一個組織或任務中的工作或者位置，代表權利、資格和責任。-角色就是一個或是多個用戶可執行的操作的集合，它體現了角色就是一個或是多個用戶可執行的操作的集合，它體現了RBAC的基本思想，的基

26、本思想，即授權給用戶的訪問權限，通常由用戶在一個組織中擔當的角色來確定。即授權給用戶的訪問權限，通常由用戶在一個組織中擔當的角色來確定。-在銀行環境中，用戶角色可以定義為出納員、分行管理者、顧客、系統管理者和在銀行環境中，用戶角色可以定義為出納員、分行管理者、顧客、系統管理者和審計員審計員-但用戶不能自主地將訪問權限傳給他人，這一點是但用戶不能自主地將訪問權限傳給他人，這一點是RBAC和和DAC最基本的區別。最基本的區別。例如，在醫院里，醫生這個角色可以開處方，但他無權將開處方的權力傳給護士。例如，在醫院里，醫生這個角色可以開處方，但他無權將開處方的權力傳給護士。許可：允許的操作。許可：允許的

27、操作。多對多：用戶被分配一定角色，角色被分配一定的許可權多對多：用戶被分配一定角色，角色被分配一定的許可權角色與組的區別角色與組的區別組組:用戶集用戶集角色角色:用戶集權限集用戶集權限集第四章第四章 身份認證和訪問控制身份認證和訪問控制 基本模型基本模型-RBAC0許可許可(permission)-角色角色(role)-用戶用戶(user)-會話會話(session)RBAC中中許可許可被授權給被授權給角色角色，角色被授權給用戶，用戶不，角色被授權給用戶，用戶不直接與許可關聯。直接與許可關聯。RBAC對訪問權限的授權由管理員統一對訪問權限的授權由管理員統一管理，而且授權規定是強加給用戶的，這是

28、一種非自主管理，而且授權規定是強加給用戶的，這是一種非自主型集中式訪問控制方式。型集中式訪問控制方式。用戶用戶是一個靜態的概念，是一個靜態的概念，會話會話則是一個動態的概念。則是一個動態的概念。一個會話構成一個用戶到多個角色的映射，即會話激活一個會話構成一個用戶到多個角色的映射，即會話激活了用戶授權角色集的某個子集，這個子集稱為活躍角色了用戶授權角色集的某個子集，這個子集稱為活躍角色集。集。活躍角色集決定了本次會話的許可集。活躍角色集決定了本次會話的許可集。 第四章第四章 身份認證和訪問控制身份認證和訪問控制 單箭頭單箭頭-表示一，雙箭頭表示一，雙箭頭-表示多表示多模型模型 U Users R

29、 角色角色 P 許可許可約束 S會話會話用戶用戶角色角色PA許可分配許可分配UA用戶分配用戶分配RH角色層次角色層次RBAC3RBAC3RBAC1RBAC1RBAC2RBAC2第四章第四章 身份認證和訪問控制身份認證和訪問控制 通過角色定義、分配和設置適應安全策略通過角色定義、分配和設置適應安全策略-系統管理員定義系統中的各種角色，每種角色可以完成系統管理員定義系統中的各種角色，每種角色可以完成一定的職能，不同的用戶根據其職能和責任被賦予相應一定的職能，不同的用戶根據其職能和責任被賦予相應的角色，一旦某個用戶成為某角色的成員，則此用戶可的角色，一旦某個用戶成為某角色的成員，則此用戶可以完成該角

30、色所具有的職能。以完成該角色所具有的職能。-根據組織的安全策略特定的崗位定義為特定的角色、特根據組織的安全策略特定的崗位定義為特定的角色、特定的角色授權給特定的用戶。例如可以定義某些角色接定的角色授權給特定的用戶。例如可以定義某些角色接近近DAC，某些角色接近，某些角色接近MAC。-系統管理員也可以根據需要設置角色的可用性以適應某系統管理員也可以根據需要設置角色的可用性以適應某一階段企業的安全策略，例如設置所有角色在所有時間一階段企業的安全策略，例如設置所有角色在所有時間內可用、特定角色在特定時間內可用、用戶授權角色的內可用、特定角色在特定時間內可用、用戶授權角色的子集在特定時間內可用。子集在

31、特定時間內可用。第四章第四章 身份認證和訪問控制身份認證和訪問控制 容易實現最小特權（容易實現最小特權（least privilege）原則原則-保持完整性保持完整性-最小特權原則是指用戶所擁有的權力不能超過最小特權原則是指用戶所擁有的權力不能超過他執行工作時所需的權限。他執行工作時所需的權限。-使用使用RBAC能夠容易地實現最小特權原則。能夠容易地實現最小特權原則。-在在RBAC中，系統管理員可以根據組織內的規章中，系統管理員可以根據組織內的規章制度、職員的分工等設計擁有不同權限的角色，制度、職員的分工等設計擁有不同權限的角色，只有角色需要執行的操作才授權給角色。當一個只有角色需要執行的操作才授權給角色。當一個主體要訪問某資源時主體要訪問某資源時,如果該操作不在主體當前如果該操作不在主體當前活躍角色的授權操作之內，該訪問將被拒絕。活躍角色的授權操作之內，該訪問將被拒絕。第四章第四章 身份認證和訪問控制身份認證和訪問控制 層次模型層次模型RBAC1-角色分層角色分層-組織結構中通常存在一種上、下級關系，上一級擁有下一級的全部權限組織結構中通常存在一種上、下級關系，上一級擁有下一級的全部權限