访问控制S.ppt

访问控制,访问控制的概述,访问控制的定义：是针对越权使用资源的防御措施，也就是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。访问控制的目的：为了限制访问主体（用户、进程、服务等）对访问客体（文件、系统等）的访问权限，从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么。访问控制的任务：根据一定的原则对合法用户的访问权限进行控制，以决定他可以访问哪些资源，以及以什么样的方式访问这些资源。,访问控制是在身份认证的基础上，依据授权对提出的资源访问请求加以限制。安全基础理论的重要组成部分。,访问控制与其他安全措施的关系模型,访问控制原理,实现访问控制的模型访问控制矩阵,通常使用访问控制矩阵来限制主体对客体的访问权限。访问控制机制可以用一个三元组（S,O,A）来表示。其中，S代表主体集合，O代表客体集合，A代表属性集合，A集合中列出了主体S对客体O所允许的访问权限。,访问控制的一般策略,访问控制的策略自主访问控制,自主访问控制：1、它是基于对主体或主体所属的主体组的识别来限制对客体的访问,是对客体访问进行限制的一种方法。这种控制是自主的。2、最常用的一种方法，这种方法允许用户自主地在系统中规定谁可以存取它的资源实体，即用户（包括用户程序和用户进程）可选择同其他用户一起共享某个文件。自主：指具有授与某种访问权力的主体能够自己决定是否将访问权限授予其他的主体。安全操作系统需要具备的特征之一就是自主访问控制，它基于对主体或主体所属的主体组的识别来限制对客体的存取。客体：文件，邮箱、通信信道、终端设备等。,访问控制的策略自主访问控制,例如，假设某所大学使用计算机系统进行学生信息的管理。教务处在系统中建立了一张表，存入了每个学生的有关信息，如姓名、年龄、年级、专业、系别、成绩、受过哪些奖励和处分等。教务处不允许每个学生都能看到所有这些信息，他可能按这样一个原则来控制:每个学生可以看到自己的有关信息，但不允许看别人的；每个班的老师可以随时查看自己班的学生的有关信息，但不能查看其他班学生的信息；并且教务处可限制教务处以外的所有用户不得修改这些信息，也不能插入和删除表中的信息，这些信息的拥有者是教务处。,教务处可按照上述原则对系统中的用户（该大学的所有老师和学生）进行授权。于是其他用户只能根据教务处的授权来对这张表进行访问。根据教务处的授权规则，计算机中相应存放有一张表（授权表），将教务处的授权情况记录下来，以后当任何用户对教务处的数据要进行访问时，系统首先查这张表，检查教务处是否对他进行了授权，如果有授权，计算机就执行其操作；若没有，则拒绝执行。,访问控制的策略自主访问控制,按列看是访问控制表内容 按行看是访问能力表内容,访问控制的策略自主访问控制,Read/Execute,两种方法：访问控制表法访问能力表法。,Write,Read,访问控制表 访问控制表是基于访问控制矩阵中列的自主访问控制。它在一个客体上附加一个主体明晰表，来表示各个主体对这个客体的访问权限。明晰表中的每一项都包括主体的身份和主体对这个客体的访问权限。,访问控制的策略自主访问控制,访问能力表 访问能力表是为主体提供的、对客体具有特定访问权限的不可伪造的标志，它决定主体是否可以访问客体以及以什么方式访问客体。,自主访问控制中，用户可以针对被保护对象制定自己的保护策略，是一种比较宽松的访问控制。优点:可以灵活调整策略、易用性与可扩展性，常用于商业系统。缺点:这种控制是自主的，带来了严重的安全问题。对用户传播获得的权限没有任何控制。,访问控制的策略自主访问控制,访问控制的策略强制访问控制,1、强制访问控制是指计算机系统根据事先制定的安全策略，对用户的访问权限进行强制性的控制。根据客体中信息的敏感标记和访问敏感信息的主体的访问级对客体访问实行限制。2、用户的权限和客体的安全属性都是固定的。3、所谓“强制”就是安全属性由系统管理员人为设置，或由操作系统自动地按照严格的安全策略与规则进行设置，用户和他们的进程不能修改这些属性。4、所谓“强制访问控制”是指访问发生前，系统通过比较主体和客体的安全属性来决定主体能否以他所希望的模式访问一个客体.,访问控制的策略强制访问控制,1.将主体和客体分级，根据主体和客体的级别标记来决定 访问模式。绝密级（Top Secret）、机密级（Secret）、秘密级（Confidential）、普通级（Unclassified）2.其访问控制关系分为：上读/下写，下读/上写（完整性）（机密性）3.通过梯度安全标签实现单向信息流通模式。,低级别的主体可以读高级别客体的信息（不保密），但低级别的主体不能写高级别的客体（保证信息完整）。,低级别的主体不可以读高级别的信息（保密），但低级别的主体可以写高级别的客体（完整性可能被破坏）,假设计算机系统中的数据的密级为：一般秘密机密绝密 定义校长的安全级 C校长（绝密，人事处,教务处,财务处,设备处），（即校长的密级为绝密，部门属性为所有的部门）教务处长的安全级C教=(机密,教务处)财务处长的安全级C财=(机密,财务处)财务一科长的安全级C一财=(秘密,财务处)财务处工作人员的安全级C工=(一般,财务处),访问控制的策略强制访问控制,假设财务一科长产生了一份工作文件A，文件A的安全级定义为与一科长的安全级相同，即CA=(秘密,财务处)。采用上写和下读策略。那么，对于文件A，只有校长和财务处长能看到，而教务处长不能看，尽管教务处长的密级是机密级，可以看秘密级的文件，但教务处长的部门属性仅是教务处,他无权看财务处的信息。而上读和下写策略可以保证上级部门行文下发时信息的完整性。,访问控制的策略强制访问控制,优点:安全性比自主访问控制的安全性有了提高。缺点:灵活性要差一些。,访问控制的策略强制访问控制,1.自主式策略的限制太弱2.强制式策略的限制太强3.二者工作量大，不便管理 例：1000主体访问10000客体，须1000万次配置。如每次配置需1秒，每天工作8小时，就需 10，000，000/（3600*8）=347.2天,访问控制的策略 自主/强制访问的问题,有时强制访问控制会和自主访问控制一起使用。即主体访问客体时需要同时经过强制访问控制和自主访问控制两道关卡的检查。,传统的访问控制方法中，都是由主体和访问权限直接挂钩，直接针对用户个人授予权限。而主体始终是和特定的数字标识捆绑对应的。例如用户以用户名注册帐户，系统为该帐户分配权限。这样会出现一些问题：（1）在用户注册到销户这期间，用户的权限需要变更时必须在系统管理员的授权下才能进行，因此很不方便；（2）大型应用系统的访问用户种类繁多、数量巨大、并且动态变化，当用户数量大量增加时，按每个用户分配一个注册账号的方式将使得系统管理变得复杂，工作量急剧增加，且容易出错；（3）很难实现系统的层次化分权管理，尤其是当同一用户在不同场合处在不同的权限层次时，系统管理很难实现。而且在实际应用中，不同的用户可能具有相同的权限。,基于角色的访问控制的基本思想：在用户和访问权限之间引入角色的概念，不直接对用户授权，将用户和角色联系起来，通过对角色的授权来控制用户对系统资源的访问。这种方法可根据用户的工作职责设置若干角色，不同的用户可以具有相同的角色，在系统中享有相同的权力。同一个用户又可以同时具有多个不同的角色，在系统中行使多个角色的权力。当用户得工作职责变化时，可按新的角色重新授权。,访问控制的策略 基于角色的访问控制,访问控制的策略 基于角色的访问控制,“角色”指一个或一群用户在组织内可执行的操作的集合。角色就充当着主体（用户）和客体之间的关联的桥梁。这是与传统的访问控制策略的最大的区别所在。,基于角色的访问控制通过分配和取消角色来完成用户权限的授予和取消，并提供角色分配规则。基于角色的访问控制同样和用户的身份认证密切相关，在识别了用户的身份后，将其指派到对应的角色，而角色决定了用户对系统资源的访问权限。通过角色实现了用户与访问权限的逻辑分离。,访问控制的策略 基于角色的访问控制,基于角色的访问控制的基本模型,基于角色的访问控制的关注点在于角色与用户及权限三者之间的关系。关系的左右两边都是Many-to-Many关系，就是用户可以有多个角色，角色可以包括多个用户。,访问控制的策略 基于角色的访问控制,在组织机构中常存在上、下级的关系。上级拥有下级的全部权限。为此，基于角色的访问控制引入了角色分层的概念。角色的层次关系对应组织机构内部人员的职权和责任关系。角色也可以具有继承关系，但这里是高对低的继承关系。即上级角色可以继承下级角色的全部或部分权限。,访问控制的策略 基于角色的访问控制,例如在一个学校管理系统中，可以定义校长、院长、系统管理员、学生、老师、处长、会计、出纳员等角色。其中，担任系统管理员的用户具有维护系统文件的责任和权限，而不管这个用户具体是谁。系统管理员也可能是由某个老师兼任，这样他就具有两种角色。但是出于责任分离的需求，需要对一些权力集中的角色组合进行限制，比如规定会计和出纳员不能由同一个用户担任。,访问控制的策略 基于角色的访问控制,根据实际需求可设计如下的访问策略：(1)允许系统管理员查询系统信息和开关系统，但不允许读或修改学生的信息；(2)允许一个学生查询自己的信息，但不能查询其它任何信息或修改任何信息；(3)允许老师查询所有学生的信息，但只能在规定的时间和范围内修改学生信息；,访问控制的策略 基于角色的访问控制,基于角色的访问控制方法的特点,（1）由于基于角色的访问控制不需要对用户一个一个的进行授权，而是通过对某个角色授权，来实现对一组用户的授权，因此简化了系统的授权机制。（2）可以很好地描述角色层次关系，能够很自然地反映组织内部人员之间的职权、责任关系。（3）利用基于角色的访问控制可以实现最小特权原则。即主体只应该具有为完成工作职责所需要的最小权力。这对满足系统完整性的目标是非常重要的，还可以限制事故、错误和未授权使用带来的损害。,访问控制的策略 基于角色的访问控制,（4）RBAC机制可被系统管理员用于执行职责分离的策略。职责分离指的是一些不同的许可不能同时被同一用户获得，以避免安全漏洞。职责分离可以有静态和动态两种方式。静态：当一个角色与用户所属的其它角色不互斥时才可以分配给用户。动态：当一个角色与主体的任何一个活跃角色都不互斥时，才可以成为主体的活跃角色。（5）基于角色的访问控制可以灵活地支持企业的安全策略，并对企业的变化有很大的伸缩性。,访问控制的策略 基于角色的访问控制,