访问控制基础
自主访问控制模型
强制访问控制模型
基于角色的访问控制模型
特权管理基础设施
◆理解访问控制的概念、作用及访冋控制模型的概念
访问控制基础
◆什么是访问控制
◆为用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理,防止对信息的非授权簒改和滥用
◆访问控制作用
◆保证用户在系统安全策略下正常工作
◆拒绝非法用户的非授权访问请求
◆拒绝合法用户越权的服务请求
◆访问控制模型基本概念
◆一个信息系统在进行安全设计和开发时,必须满足某一给定的安全策略,即有关管理、保护和发布敏感信息的法律、规则和实施细则。
◆访问控制模型是对安全策略所表达的安全需求的简单抽象和无歧义的描述,可以是非形式化的,也可以是形式化的,它综合了各种因素,包括系统的使用方式、使用环境、授权的定义、共亨的资源和受控思想等
◆访问控制特点
◆访问控制模型通过对主体的识别来限制对客体的访问权限,具有以下三个特点
◆精确的、无歧义的
◆简单的、抽象的,容易理解
◆只涉及安全性质,不过多牵扯系统的功能或其实现细节。
基本概念
◆主体是使信息在客体间流动的一种实体、通常是指人、进程或设备等。
◆客体是一种信息实体,或者是从其它主体或客体接收信息的实体。
◆举例
◆对文件进行操作的用户
◆用户调度并运行的某个进程
◆调度一个例程的设备
◆客体举例
◆数据块、存储页、文件、目录、程序
◆在系统中,文件是一个处理单位的最小信息集合,每一个文件就是一个客体,如果每个文件还可以分成若干小块,而每个小块又可以单独处理,那么每个小块也是一个客体
◆主体与客体关系
◆主体接收客体相关信息和数据,也可能改变客体相关信息。
◆一个主体为了完成任务,可以创建另外的主体,这些子主体可以独立运行,并由父主体控制它们
◆客体始终是提供、驻留信息或数据的实体。
◆主体和客体的关系是相对的,角色可以互换。
◆访问权限
◆访问权限是指主体对客体所执行的操作。
◆文件是系统支持的最基本的保护客体
◆常见文件访问模式有:
◆读:允许主体对客体进行读访问操作
◆写:允许主体对客体进行修改,包括扩展、收缩及删除;
◆执行:允许主体将客体作为一种可运行文件而运行
◆拒绝访问:主体对客体不具有任何访问权限
◆访问控制的实施一般包括两个步骤
◆第一步鉴别主体的合法身份;
◆第二步根据当前系统的访问控制规则授予用户相应的访问权限
◆访问控制过程如下图所示。
◆理解自主访问控制模型相关概念及模型特点
◆理解访问控制列表与访问能力表实现访问控制功能的区别。
自主访问控制模型
◆自主访问控制
◆自主访问控制( Discretionary Access Control,DAC)资源的所有者,往往也是创建者,可以规定谁有权访问它们的资源。
◆DAC可为用户提供灵活调整的安全策略,具有较好的易用性和可扩展性,具有某种访可能力的主体能够自主地将访问权的某个子集授予其它主体。
◆DAC常用于多种商业系统中,但安全性相对较低。因为在DAC中主体权限较容易被改变,某些资源不能得到充分保护,不能抵御特洛伊木马的攻击。
◆访问控制矩阵
◆DAC可以用访问控制矩阵来表示。
◆矩阵中的行表示主体对所有客体的访问权限,列表示客体允许主体进行的操作权限,矩阵元素规定了主体对客体被准予的访问权限
◆理解强制访问控制模型的概念及特点
◆了解Bell- Lapadula模型的作用及特点
◆了解Biba模型的作用及特点
◆了解 Clark- Wilson的作用及特点
◆了解 Chinese Wall模型的作用及特点。
强制访问控制模型
◆什么是强制访问控制(MAC)
◆主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体
◆特点
◆安全属性是强制的,任何主体都无法变更
◆安全性较高,应用于军事等安全要求较高的系统
◆但是这种机制也使用户自己受到限制。
◆保护敏感信息一般使用MAC,需对用户提供灵活的保护,更多地考虑共享信息时,使用DAC。
◆BLP模型
◆由D. Elliott Bell和 Leonard J. Lapadula于1973年提出的一种模拟军事安全策略的计算机访问控制模型简称为BLP模型
◆第一个严格形式化的安全模型
◆多级访问控制模型,用于保证系统信息的机密性
◆BLP模型的安全策略包括自主安全策略和强制安全策略两个部分。
◆自主安全策略使用一个访问控制矩阵表示,矩阵中的元素表示主体对客体所有允许的访问模式主体按照在访问矩哖中被授予的对客体的访问权限对客体进行相应的访问。
◆强制安全策路对每个主体和客体都定义了安全级,安全级由密级和范畴枃成。安全级之间存在支配关系(密级高于或等于、范畴包含),根据安全级进行访问控制。
BLP模型的构成
◆主体集:S
◆客体集:O
◆安全级:密级和范畴
◆密级:绝密、机密、秘密、公开
◆范畴:军事,外交,商务
◆安全级之间支配关系(密级支配、范畴包含)
◆例如L=<机密,外交,商务}>,L’=<秘密,{商务}>,则L支配L’
BLP模型的策略
◆BLP模型基于以下两个规则保障数据的机密性(=
◆简单安全规则(向下读
)
◆当主体的安全级可以支配客体的安全级,且主体对客体有自主型读权限,主体可以读客体。
◆规则(向上写
)
◆当客体的安全级可以支配主体的安全级,且主体对客体有自主型写权限,则主体可以写入客体
◆BLP模型
◆BLP模型可有效防止低级用户和进程访问安全级别更高的信息资源,同时,安全级别高的用户和进程也不能向安全级别低的用户和进程写入数据,从而有效的保护机密性。
◆BLP模型也存在一些局限性。例如,在主体创建客体时,将客体的安全级定义为该主体的安全级,在实际应用中,上级常常要向下级下发文件,这就需要允许系统的安全员对该客体的安全级进行降级定义;又如,内存管理必须允许所有级别进行读和写,解决方法是通过将其抽象化,并且假设内存管理是“可信主体”但这将导致真实系统信息的泄露
BLP模型的关键知识点
◆第一个
安全策略形式化的数学模型
◆多级
安全模型,强调机密性
◆访问控制机制(两个重要规则)
◆简单安全规则(向下读)
◆规则(向上写)
◆优点:机密性高,有效的防止机密信息泄露
◆缺点:完整性缺乏,非法篡改、破坏成为可能
◆Biba模型
◆1977年, Biba对系统的完整性进行了研究,提出了一种与BLP模型在数学上对偶的完整性保护模型。
◆Biba模型要求对主、客体按照完整性级别进行划分。完整性级别由完整等级和范畴构成,同样存在支配关系(完整等级高于或等于,范畴包含)
◆Biba模型能很好的满足政府和军事机构关于信息分级的需求,防止非授权用户的修改。
Biba模型的构成
◆主体集:S
◆客体集:O
◆完整级:安全级和范畴
◆安全级:极为重要,非常重要,重要,
◆范畴:军事,外交,商务
◆完整级存在支配关系
◆与BLP类似,安全级支配,范畴包含
Biba模型的安全策略
◆Biba模型基于以下两条规则确保数据的完整性
◆向上读
:主体可以读客体,当且仅当客体的完整级别支配主体的完整级
◆向下写
:主体可以写客体,当且仅当主体的完整级别支配客体的完整级
Biba模型的安全策略
◆Biba模型关键知识点
◆强调完整性
的访问控制簽略槙型
◆多级
安全模型,数学上与BLP模型对偶
◆访问控制机制(两个重要规则)
◆向下写
◆向上读
◆优点:完整性高,有效的防止非法篡改、破坏
◆缺点:机密性缺乏,无法保护机密信息泄露
强制访问控制模型- Clark- Wilson
◆ Clark- Wilson模型概念
◆由计算机科学家 David D. Clarki和会计师 David R.Wilson发表于1987年
◆确保商业数据完整性的访问控制模型,侧重于满足商业应用的安全需求
◆** Clark- Wilson模型的访问控制策略**
◆每次操作前和操作后,数据都必须满足这个一致性条件
Clark- Wilson的构成
◆两种数据类型
◆限制项数据
◆非限制项数据
◆两种过程
◆完整性验证过程
◆转换过程
◆两种规则
◆证明规则
◆实施规则
Clark- Wilson安全策略
◆每次操作前和操作后,数据都必须满足这个一致性条件(数据满足某个给定的条件)
◆例如:A账户500元,B账户400元,一致性状态为A+B=900元,A成100元与B增加100元必须同时实现,如果A+B=900不符合,则说明存在错误
MAC与DAC比较
◆自主访问控制
◆细粒度
◆灵活性高
◆配置效率低
◆强制访问控制
◆控制粒度大
◆灵活性不高
◆安全性强
◆了解基于角色的访问控制模型基本概念及特点
◆了解基于角色的访问控制模型的构成及访问控制规则。
基于角色的访问控制
◆基于角色的访问控制(RBAC)模型
◆系统内置多个角色,将权限与角色进行关联
◆用户必须成为某个角色才能获得权限
◆基于角色访问控制模型访问控制策略
◆根据用户所担任的角色来决定用户在系统中的访问权限
◆用户必须扮演某种角色,而且还必须激活这一角色,才能对一个对象进行访问或执行某种操作
◆了解PMI的主要功能、体系架构及应用。
特权管理基础设施
◆特权管理基础设施( Privilege Management Infrastructure, PMI)
◆PMI提供了一种在多应用环境中的权限管理和访冋控制机制,将权限管理和访可控制从具体应用系统中分离出来,使得访问控制机制和应用系统之间能灵活而方便的结合。
◆PMI能提供一种相对独立于应用的有效的体系结构,将应用资源和用户身份及访问权限之间建立对应关系,支持应用权限的有效管理和访问控制,以保证用户能获取他们有权获取的信息、做有权限操作。
◆PMI建立在PKI提供的可信的身份认证服务的基础上采用基于属性证书的授权模式,为应用提供用户身份到应用权限的映射功能
◆PMI主要功能
◆PMI是与应用相关的授权服务管理基础设施其主要功能包括:
◆对权限管理进行了系统的定义和描述
◆系统地建立起对用户身份到应用授权的映射
◆支持应用访问控制
◆PMI和PKI之间的主要区别在于
◆PMI主要进行授权管理,证明这个用户有什么权限能干什么,即“你能做什么”
◆PKI主要进行身份鉴别,证明用户身份,即“你是谁”
◆两者之间的关系,通常使用护照和签证的关系来表述,护照是身份证明,可以用来唯一标识个人信息;而签证具有属性类别,同一个护照可以有多个国家的签证,能在指定时间进入对应的国家。
◆PMI体系架构
◆PMI是属性证书、属性权威、属性证书库等部件的集合体,用来实现权限和属性证书的产生、管理、存储、分发和撤销等功能
◆其主要组件包括
◆SOA
◆AA
◆ARA
◆用户
◆证书库等
◆信任源点(SOA)
◆SOA是特权管理基础设施的信任源点,是整个授权系统最高管理机构,相当于PKI系统中的根CA,对整个系统特权分发负有最终的责任。SOA的主要职责是授权策略的管理、应用授权受理、属性权威(AA)的设立审核及管理等。
◆属性权威机构(AA)
◆特权管理基础设施的核心服务节点,是对应于具体应用系统的授权管理分系统,由各应用部门管理,SOA授权给它管理一部分或全部属性的权力。AA中心的职责主要包括应用授权受理。可以有多个层次,上级AA可授权给下级AA,下级可管理的属性的范围不超过上级
◆属性注册权威机构(ARA)
◆ARA和RA的位置类似,ARA是AA的延伸,主要负责提供属性证书注册、审核以及分发功能。
◆用户
◆指使用属性证书的终端实体,也称特权持有者
◆证书/ACRL库
◆主要用于发布PMI用户的属性证书以及属性证书的撤消列表ACRL,以供查询使用。在PMI和PKI起建设时,也可以直接使用PKI的LDAP作为PMI的证书/CRL库。
◆属性证书
◆PMI使用属性证书表示和容纳权限信息,对权限生命周期的管理是通过管理证书的生命周期实现的。
◆属性证书是一种轻量级的数据体,这种数据体不包含公钥信息,只包含证书持有人ID、发行证书ID签名算法、有效期、属性等信息等。
◆属性证书的申请、签发、注销、验证流程对应着权限的申请、发放、撤销和使用验证的过程。
特权管理基础设施
◆PKI
◆“你是谁”
◆身份与公钥绑定
◆身份鉴别(护照)
◆RCA-CA-RA. LDAP, CRL
◆PMI
◆“你能做什么”
◆身份(角色)与角色(属性、权限)绑定
◆授权管理(签证)
◆SOA-MA-ARAY,LDAPY, ACRL
◆应用结构
◆PMI基于PKI建设,在应用中也和PKI一起为应用程序提供安全支撑,其中PKI可以很好地为应用解决用户身份认证的问题,而PMI则可以很好地解决应用访问控制的可题。两者和应用系统结合的逻辑结构如右图所示
联系客服