访问控制基础

◆理解访问控制的概念、作用及访冋控制模型的概念
访问控制基础
◆什么是访问控制
◆为用户对系统资源提供最大限度共享的基础上，对用户的访问权进行管理，防止对信息的非授权簒改和滥用
◆访问控制作用
◆保证用户在系统安全策略下正常工作
◆拒绝非法用户的非授权访问请求
◆拒绝合法用户越权的服务请求
◆访问控制模型基本概念
◆一个信息系统在进行安全设计和开发时，必须满足某一给定的安全策略，即有关管理、保护和发布敏感信息的法律、规则和实施细则。
◆访问控制模型是对安全策略所表达的安全需求的简单抽象和无歧义的描述，可以是非形式化的，也可以是形式化的，它综合了各种因素，包括系统的使用方式、使用环境、授权的定义、共亨的资源和受控思想等
◆访问控制特点
◆访问控制模型通过对主体的识别来限制对客体的访问权限，具有以下三个特点
◆精确的、无歧义的
◆简单的、抽象的，容易理解
◆只涉及安全性质，不过多牵扯系统的功能或其实现细节。
基本概念
◆主体是使信息在客体间流动的一种实体、通常是指人、进程或设备等。
◆客体是一种信息实体，或者是从其它主体或客体接收信息的实体。
◆举例
◆对文件进行操作的用户
◆用户调度并运行的某个进程
◆调度一个例程的设备
◆客体举例
◆数据块、存储页、文件、目录、程序
◆在系统中，文件是一个处理单位的最小信息集合，每一个文件就是一个客体，如果每个文件还可以分成若干小块，而每个小块又可以单独处理，那么每个小块也是一个客体
◆主体与客体关系
◆主体接收客体相关信息和数据，也可能改变客体相关信息。
◆一个主体为了完成任务，可以创建另外的主体，这些子主体可以独立运行，并由父主体控制它们
◆客体始终是提供、驻留信息或数据的实体。
◆主体和客体的关系是相对的，角色可以互换。
◆访问权限
◆访问权限是指主体对客体所执行的操作。
◆文件是系统支持的最基本的保护客体
◆常见文件访问模式有：
◆读：允许主体对客体进行读访问操作
◆写：允许主体对客体进行修改，包括扩展、收缩及删除；
◆执行：允许主体将客体作为一种可运行文件而运行
◆拒绝访问：主体对客体不具有任何访问权限
◆访问控制的实施一般包括两个步骤
◆第一步鉴别主体的合法身份；
◆第二步根据当前系统的访问控制规则授予用户相应的访问权限
◆访问控制过程如下图所示。

自主访问控制模型

◆理解自主访问控制模型相关概念及模型特点
◆理解访问控制列表与访问能力表实现访问控制功能的区别。
自主访问控制模型
◆自主访问控制
◆自主访问控制( Discretionary Access Control,DAC)资源的所有者，往往也是创建者，可以规定谁有权访问它们的资源。
◆DAC可为用户提供灵活调整的安全策略，具有较好的易用性和可扩展性，具有某种访可能力的主体能够自主地将访问权的某个子集授予其它主体。
◆DAC常用于多种商业系统中，但安全性相对较低。因为在DAC中主体权限较容易被改变，某些资源不能得到充分保护，不能抵御特洛伊木马的攻击。
◆访问控制矩阵
◆DAC可以用访问控制矩阵来表示。
◆矩阵中的行表示主体对所有客体的访问权限，列表示客体允许主体进行的操作权限，矩阵元素规定了主体对客体被准予的访问权限

◆访问控制列表ACL
◆权限与客体关联
◆在客体上附加一个主体明细表的方法来表示访问控制矩阵的
◆ACL表是自主访问控制实现中比较好的一种方法

访问能力表CP
◆访问能力表
◆权限与主体关联
◆为每个用户维护一个表，表示主体可以访问的客体及权限

◆在访问控制矩阵模型中，访问许可和访问模式描述了主体对客体所具有的访问权与控制权。
◆访问许可定义了改变访问模式的能力或向其他主体传递这种能力的能力。
◆访问模式则指明主体对客体可进行的特定访问操作如读、写、运行等。
◆访问许可可以允许主体修改客体的访问控制表，因此利用它可以实现对自主访问控制机制的控制。在自主访问控制机制中，有三种基本的控制模式：等级型、有主型和自由型。
◆等级型访问许可
◆在等级型访问许可下，可以将对修改客体访问控制表的能力的控制组织成等级型的，例如将控制关系组织成一个树型的等级结构。
◆等级型结构的优点是可以通过选择值得信任的人担任各级领导，使得我们可以用最可信的方式对客体实施控制；
◆缺点是会同时有多个主体有能力修改它的访问控制表
◆有主型
◆有主型是对客体设置一个拥有者，它是唯一有权访问客体访问控制表(ACL)的主体。拥有者对其拥有的客体具有全部控制权，但无权将客体的控制权分配给其他主体。目前，这种控制方法已应用于许多系统中，如UNIX系统等。
◆自由型
◆一个客体的生成者可以对任何一个主体分配对它拥有的客体的访问控制表的修改权，并且还可以使其对其他主体具有分配这种权力的能力。
◆优点：
◆根据主体的身份和访问权限进行决策
◆具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体
◆灵活性高，被大量采用
◆缺点
◆安全性不高
◆信息在传递过程中其访问权限关系会被改变

强制访问控制模型

◆理解强制访问控制模型的概念及特点
◆了解Bell- Lapadula模型的作用及特点
◆了解Biba模型的作用及特点
◆了解 Clark- Wilson的作用及特点
◆了解 Chinese Wall模型的作用及特点。
强制访问控制模型
◆什么是强制访问控制(MAC)
◆主体和客体都有一个固定的安全属性，系统用该安全属性来决定一个主体是否可以访问某个客体
◆特点
◆安全属性是强制的，任何主体都无法变更
◆安全性较高，应用于军事等安全要求较高的系统
◆但是这种机制也使用户自己受到限制。
◆保护敏感信息一般使用MAC,需对用户提供灵活的保护，更多地考虑共享信息时，使用DAC。
◆BLP模型
◆由D. Elliott Bell和 Leonard J. Lapadula于1973年提出的一种模拟军事安全策略的计算机访问控制模型简称为BLP模型
◆第一个严格形式化的安全模型
◆多级访问控制模型，用于保证系统信息的机密性
◆BLP模型的安全策略包括自主安全策略和强制安全策略两个部分。
◆自主安全策略使用一个访问控制矩阵表示，矩阵中的元素表示主体对客体所有允许的访问模式主体按照在访问矩哖中被授予的对客体的访问权限对客体进行相应的访问。
◆强制安全策路对每个主体和客体都定义了安全级,安全级由密级和范畴枃成。安全级之间存在支配关系(密级高于或等于、范畴包含)，根据安全级进行访问控制。
BLP模型的构成
◆主体集：S
◆客体集：O
◆安全级：密级和范畴
◆密级：绝密、机密、秘密、公开
◆范畴：军事，外交，商务
◆安全级之间支配关系(密级支配、范畴包含)
◆例如L=<机密，外交，商务}>,L’=<秘密，{商务}>，则L支配L’
BLP模型的策略
◆BLP模型基于以下两个规则保障数据的机密性(=
◆简单安全规则（向下读）
◆当主体的安全级可以支配客体的安全级，且主体对客体有自主型读权限，主体可以读客体。
◆规则（向上写）
◆当客体的安全级可以支配主体的安全级，且主体对客体有自主型写权限，则主体可以写入客体
◆BLP模型
◆BLP模型可有效防止低级用户和进程访问安全级别更高的信息资源，同时，安全级别高的用户和进程也不能向安全级别低的用户和进程写入数据，从而有效的保护机密性。
◆BLP模型也存在一些局限性。例如，在主体创建客体时，将客体的安全级定义为该主体的安全级，在实际应用中，上级常常要向下级下发文件，这就需要允许系统的安全员对该客体的安全级进行降级定义；又如，内存管理必须允许所有级别进行读和写,解决方法是通过将其抽象化，并且假设内存管理是“可信主体”但这将导致真实系统信息的泄露
BLP模型的关键知识点
◆第一个安全策略形式化的数学模型
◆多级安全模型，强调机密性
◆访问控制机制（两个重要规则）
◆简单安全规则（向下读）
◆规则（向上写）
◆优点：机密性高，有效的防止机密信息泄露
◆缺点：完整性缺乏，非法篡改、破坏成为可能
◆Biba模型
◆1977年， Biba对系统的完整性进行了研究，提出了一种与BLP模型在数学上对偶的完整性保护模型。
◆Biba模型要求对主、客体按照完整性级别进行划分。完整性级别由完整等级和范畴构成，同样存在支配关系(完整等级高于或等于，范畴包含)
◆Biba模型能很好的满足政府和军事机构关于信息分级的需求，防止非授权用户的修改。
Biba模型的构成
◆主体集：S
◆客体集：O
◆完整级：安全级和范畴
◆安全级：极为重要，非常重要，重要，
◆范畴：军事，外交，商务
◆完整级存在支配关系
◆与BLP类似，安全级支配，范畴包含
Biba模型的安全策略
◆Biba模型基于以下两条规则确保数据的完整性
◆向上读：主体可以读客体，当且仅当客体的完整级别支配主体的完整级
◆向下写：主体可以写客体，当且仅当主体的完整级别支配客体的完整级
Biba模型的安全策略
◆Biba模型关键知识点
◆强调完整性的访问控制簽略槙型
◆多级安全模型，数学上与BLP模型对偶
◆访问控制机制（两个重要规则）
◆向下写
◆向上读
◆优点：完整性高，有效的防止非法篡改、破坏
◆缺点：机密性缺乏，无法保护机密信息泄露
强制访问控制模型- Clark- Wilson
◆ Clark- Wilson模型概念
◆由计算机科学家 David D. Clarki和会计师 David R.Wilson发表于1987年
◆确保商业数据完整性的访问控制模型，侧重于满足商业应用的安全需求
◆** Clark- Wilson模型的访问控制策略**
◆每次操作前和操作后，数据都必须满足这个一致性条件
Clark- Wilson的构成
◆两种数据类型
◆限制项数据
◆非限制项数据
◆两种过程
◆完整性验证过程
◆转换过程
◆两种规则
◆证明规则
◆实施规则
Clark- Wilson安全策略
◆每次操作前和操作后，数据都必须满足这个一致性条件（数据满足某个给定的条件）
◆例如：A账户500元，B账户400元，一致性状态为A+B=900元，A成100元与B增加100元必须同时实现，如果A+B=900不符合，则说明存在错误

◆ Clark- Wilson模型确保完整性的安全属性如下
(1)完整性：确保CDI只能由限制的方法来改变并生成另一个有效的CDI,该属性由规则CR1、CR2、CR5、ER1和ER4来保证；
(2)访问控制：控制访可资源的能力由规则CR3、ER2和ER3来提供；
(3)审计：确定CDI的变化及系统处于有效状态的功能由规则CR1和CR4来保证；
(4)责任：确保用户及其行为唯一对应由规则ER3来保证。
强制访问控制模型- Chinese Wall
◆ Chinese Wall模型概念
◆同时考虑保密性和完整性的访问控制模型，主要用于解决商业应用中的利益冲突问题
◆多边安全模型，受限于主体已经获得了对哪些数据的访问权限
◆ Chinese Wall模型访问控制策略
◆将可能会产生利益冲突的数据分成不同的数据集，并强制所有主体最多只能访问一个数据集
◆选择访问哪个数据集并未受强制规则的限制，用户可以自主选择访问的数据集
Chinese Wall模型的构成
◆主体集S
◆客体集O
◆无害客体，可以公开的数据
◆有害客体
◆与某公司相关数据构成公司数据集
◆若干相互竞争的公司的数据集形成利益冲突类
◆安全策略
◆CW-简单安全特性
◆CW-·-特性
Chinese Wall的示例

MAC与DAC比较
◆自主访问控制
◆细粒度
◆灵活性高
◆配置效率低
◆强制访问控制
◆控制粒度大
◆灵活性不高
◆安全性强

基于角色的访问控制模型

◆了解基于角色的访问控制模型基本概念及特点
◆了解基于角色的访问控制模型的构成及访问控制规则。
基于角色的访问控制
◆基于角色的访问控制(RBAC)模型
◆系统内置多个角色，将权限与角色进行关联
◆用户必须成为某个角色才能获得权限
◆基于角色访问控制模型访问控制策略
◆根据用户所担任的角色来决定用户在系统中的访问权限
◆用户必须扮演某种角色，而且还必须激活这一角色，才能对一个对象进行访问或执行某种操作

◆迄今为止已经讨论和发展了四种基于角色的访问控制模型。
◆RBAC0是基本模型，规定了所有RBAC系统所必须的最小需求；
◆RBAC1在RBAC0的基础上增加了角色等级的概念；
◆RBAC2则在 RBAC0的基础上增加了约束；
◆RBAC3包含了RBAC1和RBAC2,也间接包含了RBAC0
◆ RBAC0,由四个基本要素构成：
◆用户(U):用户为系统的使用者
◆角色®:角色是根据系统不同工作岗位需求而设置的
◆会话(S):会话是系统对用户一次请求的执行，每个会话由一个用户建立；
◆权限§:权限是系统中所有访问权限的集合
◆在RBAC0中，用户与角色、角色与许可均为多对多的关系
◆用户对权限的执行必须通过角色来关联，以实现对信息资源访问的控制。
◆用户与会话是一对多的关系，会话是一个用户对多个角色的映射，即一个用户激活某个角色子集。此时，用户的权限为激活的多个角色权限的并集。
◆一个用户可以同时拥有多个会话，每个会话又具有不同的许可。
◆RBAC1
◆包含 RBACO的所有元素，并加入了角色等级的概念在一个机构中不同的职务或角色不但具有不同的的权力，这些权力之间存在包含关系，职务越高权力越大。RBAC1用偏序关系来描述角色之间的等级关系，高级别的角色包含低级别角色的权限。利用角色等级的概念，可以实现多级安全中的访问控制
◆在多级安全控制系统内，存取类的保密级别是线性排列的。例如：
◆公开<秘密<机密<绝密
◆RBAC1中支持的层次关系可以容易地实现多级安全系统所要求的保密级别的线性排列的要求。
◆多级安全系统的另一个要求就是要能够支持范畴为了获得信息的存取权，提出存取请求的人员必须具备一定的存取类，他的存取类的范畴的集合应该包括信息存取类的全部范畴。角色的层次结构RBAC1中的角色可以容易地实现所要求的保密存取类的范畴的要求。
◆RBAC2
◆包含 RBAC0的所有概念，加入了约束的限制
◆约束是制定高层安全策略的有效机制，特别是在分布式系统中
◆常见的约束条件就是互斥条件，一个用户只能在互斥的角色集中分配其中一个，防止系统中的重要特权失控。
◆RBAC3
◆RBAC3结合了RBAC1和RBAC2,同时具备角色等级和约束。
◆角色等级和约束之间存在一些矛盾。例如，测试工程师和程序员角色是互斥的，项目管理角色同时具有测试工程师和程序员角色的权限，违反了角色约束的互斥性。一般情况下，高级角色违反这种约束是可以接受的，而在其它情形下，则需要考虑这种排斥。在角色数量限制中也存在类似问题。如，一个用户只能指派到最多一个角色中，项目管理的用户指派到他的下级角色就违反了这一约束。
◆在应用RBAC3时，需要根据系统的实际安全需求来制定合理的约東
RBAC模型的特点
◆便于授权管理（角色的变动远远低于个体的变动）
◆便于处理工作分级，如文件等资源分级管理
◆利用安全约束，容易实现各种安全策略，如最小特权、职责分离等
◆便于任务分担，不同角色完成不同的任务

特权管理基础设施

◆了解PMI的主要功能、体系架构及应用。
特权管理基础设施
◆特权管理基础设施（ Privilege Management Infrastructure, PMI)
◆PMI提供了一种在多应用环境中的权限管理和访冋控制机制，将权限管理和访可控制从具体应用系统中分离出来，使得访问控制机制和应用系统之间能灵活而方便的结合。
◆PMI能提供一种相对独立于应用的有效的体系结构，将应用资源和用户身份及访问权限之间建立对应关系，支持应用权限的有效管理和访问控制，以保证用户能获取他们有权获取的信息、做有权限操作。
◆PMI建立在PKI提供的可信的身份认证服务的基础上采用基于属性证书的授权模式，为应用提供用户身份到应用权限的映射功能
◆PMI主要功能
◆PMI是与应用相关的授权服务管理基础设施其主要功能包括：
◆对权限管理进行了系统的定义和描述
◆系统地建立起对用户身份到应用授权的映射
◆支持应用访问控制
◆PMI和PKI之间的主要区别在于
◆PMI主要进行授权管理，证明这个用户有什么权限能干什么，即“你能做什么”
◆PKI主要进行身份鉴别，证明用户身份，即“你是谁”
◆两者之间的关系，通常使用护照和签证的关系来表述，护照是身份证明，可以用来唯一标识个人信息;而签证具有属性类别，同一个护照可以有多个国家的签证，能在指定时间进入对应的国家。
◆PMI体系架构
◆PMI是属性证书、属性权威、属性证书库等部件的集合体，用来实现权限和属性证书的产生、管理、存储、分发和撤销等功能
◆其主要组件包括
◆SOA
◆AA
◆ARA
◆用户
◆证书库等
◆信任源点(SOA)
◆SOA是特权管理基础设施的信任源点，是整个授权系统最高管理机构，相当于PKI系统中的根CA,对整个系统特权分发负有最终的责任。SOA的主要职责是授权策略的管理、应用授权受理、属性权威(AA)的设立审核及管理等。
◆属性权威机构(AA)
◆特权管理基础设施的核心服务节点，是对应于具体应用系统的授权管理分系统，由各应用部门管理，SOA授权给它管理一部分或全部属性的权力。AA中心的职责主要包括应用授权受理。可以有多个层次，上级AA可授权给下级AA,下级可管理的属性的范围不超过上级
◆属性注册权威机构(ARA)
◆ARA和RA的位置类似，ARA是AA的延伸，主要负责提供属性证书注册、审核以及分发功能。
◆用户
◆指使用属性证书的终端实体，也称特权持有者
◆证书/ACRL库
◆主要用于发布PMI用户的属性证书以及属性证书的撤消列表ACRL,以供查询使用。在PMI和PKI起建设时，也可以直接使用PKI的LDAP作为PMI的证书/CRL库。
◆属性证书
◆PMI使用属性证书表示和容纳权限信息，对权限生命周期的管理是通过管理证书的生命周期实现的。
◆属性证书是一种轻量级的数据体，这种数据体不包含公钥信息，只包含证书持有人ID、发行证书ID签名算法、有效期、属性等信息等。
◆属性证书的申请、签发、注销、验证流程对应着权限的申请、发放、撤销和使用验证的过程。
特权管理基础设施
◆PKI
◆“你是谁”
◆身份与公钥绑定
◆身份鉴别（护照）
◆RCA-CA-RA. LDAP, CRL
◆PMI
◆“你能做什么”
◆身份（角色）与角色（属性、权限）绑定
◆授权管理（签证）
◆SOA-MA-ARAY，LDAPY， ACRL
◆应用结构
◆PMI基于PKI建设，在应用中也和PKI一起为应用程序提供安全支撑，其中PKI可以很好地为应用解决用户身份认证的问题，而PMI则可以很好地解决应用访问控制的可题。两者和应用系统结合的逻辑结构如右图所示

◆图中各部分说明如下
1)访问者、目标
◆访问者是一个实体（该实体可能是人，也可能是其他计算机实体），它试图访问应用系统内的其他目标（资源）。
2)策略
◆授权策略展示了一个机构在信息安全和授权方面的顶层控制，授权遵循的原则和具体的授权信息。在一个机构的PMI应用中,策略应当包括一个机构将如何将它的人员和数据进行分类组织，这种组织方式必须考虑到具体应用的实际运行环境，如数据的敏感性，人员权限的明确划分，以及必须和相应人员层次相匹配的管理层次等因素。所以，策略的制定是需要根据具体的应用量身定做的。
3)授权检查
◆授权检查，即访问控制执行点（ Access Control Enforcement Function,AEF),在应用系统中，介于访问者和目标（资源)之间，用在这里检查访问者是否具有适当的访问目标（资源)的权限。当访问者申请访问时，授权检查点向访问控制决策点申请授权，并根据授权决策的结果实施决策，即对目标执行访问或者拒绝访问。
4)访问控制决策点
◆访问控制決策点( Access Control Decision Function,ADF)接收和评价授权请求，根据具体策略做出不同的决策。它一般并不随具体的应用变化，是一个通用的处理判断逻辑。当接收到一个授权请求时，根据授权的策略，访问者的安全属性以及当前条件进行决策，并将決策结果返回给应用。对于不同应用的支持通过解析不同的定制条来完成的