第四章

訪問控制技術

主要內容

1.訪問控制概念2.訪問控制矩陣3.BLP模型4.基于角色的訪問控制模型5.訪問控制實施6.訪問控制技術新進展7.小結1訪問控制概念訪問控制概念訪問控制策略訪問控制概念

訪問控制涉及三個基本概念，即主體、客體和授權訪問。

主體。

主體是一個主動的實體，該實體造成了信息的流動和系統狀態的改變，它包括用戶、用戶組、終端、主機或一個應用，主體可以訪問客體。

客體。

客體是指一個包含或接受信息的被動實體，對客體的訪問要受控。

授權訪問。

授權訪問指主體訪問客體的允許，對每一對主體和客體來說授權訪問是給定的，決定了誰能夠訪問系統，能訪問系統的何種資源以及如何使用這些資源。訪問控制策略

訪問控制策略是用于規定如何做出訪問決定的策略。

傳統的訪問控制策略包括一組由操作規則定義的基本操作狀態。典型的狀態包含一組主體(S)、一組對象(O)、一組訪問權(A[S,O])，包括讀、寫、執行和擁有。

訪問控制策略涵蓋對象、主體和操作，通過對訪問者的控制達到保護重要資源的目的。

對象包括終端、文本和文件，系統用戶和程序被定義為主體。

操作是主體和客體的交互。2訪問控制矩陣保護狀態訪問控制概念矩陣模型保護狀態

系統的當前狀態是由所有內存、二級緩存、寄存器和系統中其他設備的狀態構成的集合。這個集合中涉及安全保護的子集稱為保護狀態。

1.（系統的）狀態——指一組內部存儲器或外部存儲器的當前值。

2.（系統的）保護狀態——狀態存儲器中用來描述系統的安全保護的子集，稱為保護狀態

3.

狀態的安全性——假設P是系統的保護狀態，Q是P中那些認為是安全的狀態。保護狀態

4.刻畫Q中的狀態是安全策略的研究目標；保證系統處于Q中的狀態則是安全機制的研究目標。

5.

一組安全機制的作用是限制系統到達保護狀態的子集合R?P。圖4-1

系統保護狀態區分圖保護狀態給定一組安全機制，它對于安全策略有下列概念：安全的—如果R?Q

；精確的—如果R==Q

；過保護的—如果它是安全的但不是精確的；寬松的—如果R不包含Q。

訪問控制矩陣模型

訪問控制矩陣是用于描述當前保護狀態的工具。描述一個保護系統的最簡單框架模型是使用訪問控制矩陣模型，這個模型將所有用戶對于文件的權限存儲在矩陣中。訪問控制矩陣模型

客體——受保護的實體（如數據、文件等）的集合，記為O；

主體——發起行為的實體集合（如人、進程等），記為S。

訪問權限——對象集合O和主體集合S之間的關系用帶有權限的矩陣A來描述,所有權限的集合的類型用集合R來表示,記為R。

對于一個主體s∈S和一個客體

o∈O,用

[s,o]∈R

來表示允許s對o實施的所有訪問權限集合。這樣，可以得到以S中元素為行指標，O中元素為列指標，表值為

a[s,o]

的一個矩陣A，稱為訪問控制矩陣。這時，系統的安全狀態可以用三元組（S,O,A）來表示。

客體主體主機1主機2主機3主機1{own}{ftp}{ftp}主機2{ftp,nfs,mail,own}{ftp,nfs,mail}主機3{ftp,mail}{ftp,nfs,mail,own}主體

客體文件1文件2進程1進程2進程1{讀,寫,擁有}{讀

}{讀,寫,執行,擁有}{寫

}進程2{添加

}{讀，擁有

}{讀

}{讀,寫,執行,擁有}訪問控制矩陣優缺點分析

訪問矩陣模型對訪問控制理解，提供了一個很好的框架。現實中，直接用訪問控制矩陣表示保護狀態或安全狀態是不現實的，描述狀態的轉移也是不方便的（上面兩個例子向我們展示了靜態的訪問控制矩陣的概念。但是在實際系統中經常需要考慮保護狀態處于動態轉移的情形。）就好比用列表法表示一個復雜函數一樣笨拙，更嚴重的是使用大量數據經常會掩蓋其內在的邏輯關系。

3BLP模型BLP模型BLP模型的形式化描述BLP模型BLP模型是一個形式化模型，使用數學語言對系統的安全性質進行描述，BLP模型也是一個狀態機模型，它反映了多級安全策略的安全特性和狀態轉換規則。

BLP模型定義了系統、系統狀態、狀態間的轉換規則，安全概念、制定了一組安全特性，對系統狀態、狀態轉換規則進行約束，如果它的初始狀態是安全的，經過一系列轉換規則都是保持安全的，那么可以證明該系統是安全的。BLP模型BLP模型是一個形式化模型，使用數學語言對系統的安全性質進行描述，BLP模型也是一個狀態機模型，它反映了多級安全策略的安全特性和狀態轉換規則。

BLP模型定義了系統、系統狀態、狀態間的轉換規則，安全概念、制定了一組安全特性，對系統狀態、狀態轉換規則進行約束，如果它的初始狀態是安全的，經過一系列轉換規則都是保持安全的，那么可以證明該系統是安全的。BLP模型

在BLP模型中將主體對客體的訪問分為r（只讀），w（讀寫），a（只寫），e（執行），以及c（控制）等幾種訪問模式，其中c（控制）是指該主體用來授予或撤銷另一主體對某一客體的訪問權限的能力。

BLP模型的安全策略從兩個方面進行描述：自主安全策略（DiscretionaryPolicy）和強制安全策略（MandatoryPolicy）。自主安全策略與訪問控制矩陣有關。

強制安全策略與（主體和客體的）密級和范疇有關。BLP模型介紹

所謂密級是一個有限全序集L。用兩個函數和表示主體S和客體O的密級函數。主體的密級函數為：客體的密級函數為：

為了使模型能適應主體的安全級變化的需要，還引入了一個主體的當前密級函數：主體的當前密級是可以變化的，但要求滿足訪問控制矩陣

為了能準確地理解密級的含義，用一個例子來說明。例3.假設主體的集合是S={Alice,Bob,Carol}；客體的集合是O={Email_File,Telephone_Number_Book,Personal_File}。客體主體Email_FileTelephone_Number_BookPersonal_FileAlice{w}{r}{r}Bob{a}{w,o,app}{a}Carol{a}{r}

假設密級集合L={絕密，機密，秘密，敏感，普通}。L中的序：絕密>機密>秘密>敏感>普通。密級函數主、客體Alice絕密敏感Bob機密敏感Carol普通普通Email_File秘密Telephone_Number_Book普通Personal_File絕密密級函數表

Bell-LaPadula模型中，對不同的訪問要有不同的密級關系。為了防止高密級的信息流入低密級的主體或客體中，在“讀”訪問中它要求主體的當前密級不得低于客體的密級(上讀），而在“寫”訪問中則要求主體的密級不得高于客體的密級（下寫），這樣就能保證信息流只能從一個客體流到同等密級或較高密級的客體中,從而能適應軍事指揮的信息機密性需求。

Carol可以從Telephone_Number_Book中讀取信息，然后寫到Email_File

中。三個主體中的任何一個都不能讀取Email_File中的信息，因為Bob和Carol既不滿足訪問控制矩陣的要求又不滿足密級的限制，而Alice的當前密級不滿足讀的要求（當她以后密級升高后可以）。Bell-LaPadula模型還使用了范疇的概念。范疇描述了實體（主體和客體）的一種信息。每一個實體被指定到若干個范疇內，每一個實體對應到了范疇集合的一個子集，而按照包含關系“?”，實體的范疇子集構成了一種偏序關系。用（C,?)表示范疇集合按照包含關系形成的偏序集。同實體的密級一樣，定義主體的最高范疇等級、主體的當前范疇等級和客體的范疇等級如下。主體的最高范疇等級函數為：主體的當前主體的范疇等級函數為：客體的范疇等級函數為：用表示主體的最高范疇等級函數

范疇概念的思想是，僅當主體有訪問需要的時候才考慮這種訪問，略稱為“需要知道（needtoknown）”思想。范疇直觀上就是對業務的一種劃分，以避免那些不需要的訪問的發生。再把實體的密級和范疇等級的笛卡爾積稱為實體的安全級，按照下屬規則它構成一個偏序。用表示主體的當前范疇等級函數用表示客體的范疇等級函數

在例3中，進一步假設范疇集合={VPN課題組,辦公室，后勤}，而相應的范疇等級函數由下表給出。

范疇等級表范疇等級函數主、客體Alice{VPN課題組，辦公室}{VPN課題組}Bob{VPN課題組}{VPN課題組}Carol{辦公室，后勤}{辦公室，后勤}Email_File{VPN課題組}Telephone_Number_Book{辦公室，后勤}Personal_File{VPN課題組，辦公室}

Carol仍然可以從Telephone_Number_Book中讀取信息，因為Carol的當前安全等級(普通,{辦公室，后勤})等于Telephone_Number_Book的安全等級(普通，{辦公室，后勤})，滿足“讀低”的要求。但她不可以寫到Email_File中，因為Email_File的安全等級是（秘密，{VPN課題組}）對Carol的最高安全等級(普通,{辦公室，后勤})沒有控制關系，不滿足“寫高”的要求。對BLP安全模型的評價

BLP模型是一個最早的對多級安全策略進行描述的模型；

BLP模型是一個嚴格形式化的模型，并給出了形式化的證明；

BLP模型是一個很安全的模型，既有自主訪問控制，又有強制訪問控制；

BLP模型控制信息只能由低向高流動，能滿足軍事部門等一類對數據保密性要求特別高的機構的需求。但是，總的來說，BLP模型“過于安全”。其一：上級對下級發文受到限制；

其二，部門之間信息的橫向流動被禁止；其三，缺乏靈活、安全的授權機制。另外，BLP模型也有不安全的地方。①低安全級的信息向高安全級流動，可能破壞高安全客體中數據完整性，被病毒和黑客利用。②只要信息由低向高流動即合法（高讀低），不管工作是否有需求，這不符合最小特權原則。③高級別的信息大多是由低級別的信息通過組裝而成的，要解決推理控制的問題。4基于角色的訪問控制模型RBAC模型介紹NISTRBAC模型RBAC模型的特點RBAC模型介紹

基于角色的訪問控制（Role-BasedAccessControl，RBAC)模型是20世紀90年代研究出來的一種新模型，但從本質上講，這種模型是對前面描述的訪問矩陣模型的擴展。這種模型的基本概念是把許可權（Permission）與角色（Role）聯系在一起，用戶通過充當合適角色的成員而獲得該角色的許可權。NISTRBAC模型RBAC參考模型由4個模型構件定義：核心RBAC，層次RBAC，靜態職責分離和動態職責分離。核心RBAC定義了獲取一個完備的基于角色的訪問控制系統的最小RBAC元素集合、元素集和關系。層次RBAC構件添加了關系來支持角色層次。它定義了角色之間的一個優先級關系。靜態職責分離的關系模型構件定義了角色層次的存在和不存在關系。動態職責分離關系，定義了在一個用戶會話中被激活的角色的排他關系。核心RBAC

核心RBAC包括五個基本的數據元素集：用戶(USERS)、角色(ROLES)、對象(OBS)、操作(OPS)和權限(PRMS)。層次RBAC

層次是結構化角色來反映一個組織權威和責任的一種自然的方法。

角色層次定義了角色之間的一個繼承關系，繼承根據權限描述。約束的RBAC

約束RBAC是在RBAC模型上增加了職責分離關系。職責分離關系用于組織內實施的利益沖突策略，避免用戶超出其當前職位所擁有的合理權限等級。該RBAC標準定義了靜態和動態的職責分離。職責關系的動態分離靜態職責分離RBAC模型的特點RBAC模型支持最小特權原則、責任分離原則，這些原則是任何組織的管理工作都需要的RBAC模型支持數據抽象原則和繼承概念。

RBAC模型仍屬于訪問控制類模型，本質是對訪問矩陣模型的擴充，能夠很好的解決系統中主體對客氣的訪問控制訪問權力的分配與控制問題，但模型沒有提供信息流控制機制，還不能完全滿足信息系統的全部安全需求。

RBAC模型沒有提供操作順序控制機制。5訪問控制實施PMI模型一般訪問控制實現框架基于KDC和PMI的訪問控制框架PMI模型PMI指授權管理基礎設施或稱為屬性特權機構它依賴于公共密鑰基礎設施PKI（PublicKeyInfrastructure）的支持，任務旨在提供訪問控制和特權管理，提供用戶身份到應用授權的映射功能，實現與實際應用處理模式相對應的、與具體應用系統和管理無關的訪問控制機制，并能極大地簡化應用中訪問控制和權限管理系統的開發與維護。PMI模型PMI授權技術的基本思想是以資源管理為核心，將對資源的訪問控制權統一交由授權機構去管理，即由資源的所有者來進行訪問控制管理。PMI的重要貢獻是規范了由權威機構生成，并進行數字簽名的屬性證書的概念，該屬性證書可用來準確地表述權限聲明者的權限。而且便于權限驗證者進行驗證。一般訪問控制實現框架一般訪問控制實現框架的基本因素基于KDC和PMI的訪問控制框架（1）KDC：密鑰分發中心，應用網絡中的兩個分別與KDC共享對稱密鑰的通信方，通過KDP（密鑰分發協議）獲得兩者之間的通信共享密鑰。（2）身份識別服務器：用戶通過安全的識別協議將用戶標識和用戶憑證提交到身份識別服務器，身份識別服務器完成識別，用戶獲得識別憑證，用于用戶與應用服務器交互。（3）安全中間件：包括訪問控制組件和密鑰共享組件，部署在應用服務器之前，通過KDC實現應用服務器同用戶的密鑰共享，向PMI申請用戶屬性證書，并根據用戶的屬性來實現用戶對服務的安全訪問控制。（4）PMI：通過屬性證書的生成、分發、注銷等整個生命周期的管理，實現用戶權限的授予。基于KDC和PMI的訪問控制框架6訪問控制技術新進展信任管理UCON模型訪問控制技術的發展趨勢信任管理

隨著計算機網絡和一些分布式系統支撐技術的飛速發展在各式各樣的資源面前，如何進行有效的真偽（安全）鑒別，即防止惡意節點的偽裝帶來安全問題；發現之后又該怎樣處理相應的問題。解決這些問題在很大的程度上需要有一套相應的標準。

信任管理的內容包括：制定安全策略、獲取安全憑證、判斷安全憑證集是否滿足相關的安全策略等。信任管理要回答的問題可表述為“安全憑證集C是否能夠證明請求r滿足本地策略集P”。UCON模型UCON模型包含三個基本元素：主體、客體、權限和另外三個與授權有關的元素：授權規則、條件、義務，如圖所示。UCON模型UCON模型中的主要元素如下：

主體(Subjects)。它是具有某些屬性和對客體(Objects)操作權限的實體。主體的屬性包括身份、角色、安全級別、成員資格等。這些屬性用于授權過程。

客體(Objects)。它是主體的操作對象，它也有屬性，包括安全級別、所有者、等級等。這些屬性也用于授權過程。

義務(Obligations)。它是一個主體在獲得對客體的訪問權限后必須履行的強制需求。分配了權限，就應有執行這些權限的義務責任。UCON模型

條件(Conditions)。它是在使用授權規則進行授權過程中，允許主體對客體進行訪問權限前必須檢驗的一個決策因素集。條件是環境的或面向系統的決策因素。條件可用來檢查存在的限制，使用權限是否有效，哪些限制必須更新等。

權限(Rights)。它是主體擁有的對客體操作的一些特權。權限由一個主體對客體進行訪問或使用的功能集組成。授權規則(AuthorizationRules)。它是允許主體對客體進行訪問或使用前必須滿足的一個需求集。授權規則是用來檢查主體是否有資格訪問客體的決策因素。訪問控制技術的發展趨勢

分布式系統中的訪問控制技術將成為未來的研究熱點，包括適用于分布式系統或工作流系統的動態訪問控制及分層訪問控制，基于角色的訪問控制將會在大型分布式系統中得到更廣泛的應用。

對網絡信息系統、無線網絡(如adhoc,sensornetwork

和移動網絡)及P2P系統、云計算環境下訪問控制技術的研究，將成為重要的研究方向。

可信網