访问控制模型.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,POWEPOINT,适用于简约清爽主题及相关类别演示,访问控制,欧阳恒宜 曲文芳 张丽欣,王单单 王宁 殷少鹏,目录,定义,基本内容,访问控制策略、,访问控制机制、,访问控制模型,定义,概念：,访问控制（,Access Control,）是通过某种途径显式地准许或者限制访问能力及范围的一种方法，是针对越权使用系统资源的防御措施。,目的：,保证系统资源受控地合法地使用,通过限制对关键资源的访问，防止非法用户侵入，防止合法 用户不慎操作造成的破坏,限制用户能做什么，限制系统对用户操作的响应,满足国际标准协议的要求,作用：,访问控制对机密性、完整性起直接的作用。,对于可用性，访问控制通过对以下信息的有效控制来实现：,（,1,）谁可以颁发影响网络可用性的网络管理指令,（,2,）谁能够滥用资源以达到占用资源的目的,（,3,）谁能够获得可以用于拒绝服务攻击的信息,目录,定义,基本内容,访问控制策略、,访问控制机制、,访问控制模型,基本内容,访问控制首先需要对用户身份的合法性进行验证，同时利用控制策略进行选用和管理工作。当用户身份和访问权限验证之后，还需要对越权操作进行监控。,因此，访问控制的内容包括认证、控制策略实现和安全审计。,1、认证：包括主体对客体的识别及客体对主体的检验确认,2、控制策略：通过合理地设定控制规则集合，确保用户对信息资源在授权范围内的合法使用。既要确保授权用户的合理使用，又要防止非法用户侵权进入系统，使重要信息资源泄露。同时对合法用户，也不能越权行使权限以外的功能及访问范围,3、安全审计：系统可以自动根据用户的访问权限，对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证，并做出相应评价与审计,访问控制模型,基本组成：,发起者(Initiator),/,主体,(,Subject,),:,是一个主动的实体,规定可以访问该资源的实体,(,通常指用户或代表用户执行的程序,),目标(target),/,客体,(,Object,),:,规定需要保护的资源,授权,(,Authorization),:,规定可对该资源执行的动作,(,例如读、写、执行或拒绝访问,),一个主体为了完成任务，可以创建另外的主体，这些子主体可以在网络上不同的计算机上运行，并由父主体控制它们,主客体的关系是相对的,授权信息,Log,身份认证,访问控制,审计,授权（,authorization,）,主体,客体,访问控制,与其他安全机制的关系：,目录,定义,基本内容,访问控制策略、,访问控制机制、,访问控制模型,访问控制策略,是对访问如何控制、如何作出访问决定的高层指南,访问控制策略,访问控制机制,访问控制机制,是访问控制策略的软硬件低层实现,访问控制机制与策略独立，可允许安全机制的重用,安全策略和机制根据应用环境灵活使用,访问控制模型,发展历史,最早由Lampson提出了访问控制的形式化和机制描述,引入了主体、客体和访问矩阵的概念,它们是访问控制的基本概念。,对访问控制模型的研究,从早期的20世纪六、七十年代至今,大致经历了以下 4 个阶段:,第一阶段：,20世纪六、七十年代应用于大型主机系统中的访问控制模型,较典型的是Bell-Lapadula模型和HRU模型。,Bell-Lapadula模型着重系统的机密性,遵循两个基本的规则:,“,不上读,”,和,“,不下写,”,以此实现强制存取控制,防止具有高安全级别的信息流入低安全级别的客体,主要应用于军事系统中。,第二阶段：,美国国防部(Department of Defense,简称DoD)在1985年公布的,“,可信计算机安全评价标准(trusted computer system evaluation criteria,简称 TCSEC),”,中明确提出了访问控制在计算机安全系统中的重要作用,并指出一般的访问控制机制有两种:自主访问控制DAC和强制访问控制MAC。目前,DAC和MAC被应用在很多领域。,第三阶段：,从1992年最早的RBAC模型,即Ferraiolo-Kuhn模型的提出,到 Sandhu等人对RBAC模型的研究,先后提出了RBAC96,ARBAC97，ARBAC99模型,再到2001年NIST RBAC标准的提出。Ferraiolo-Kuhn模型将现有的面向应用的方法应用到RBAC模型中,是RBAC,最初的形式化描述。NIST RBAC参考模型对角色进行了详细的,研究,在用户和访问权限之间引入了角色的概念,为RBAC模型,提供了参考。,第四阶段：,此后,对访问控制模型的研究扩展到更多的领域,比较有代表性的有:应用于工作流系统或分布式系统中的基于任务的授权控制模型(task-based authentication control,简称TBAC)、基于任务和角色的访问控制模型(task-role-based access control,简称T-RBAC)以及被称作下一代访问控制模型的使用控制(usage control,简称UCON)模型,也称其为ABC模型。,访问控制模型,DAC,自主访问控制,Discretionary Access Control,20,世纪,70,年代分时系统,Unix,、,WINDOWS,普遍采用,客体的拥有者全权管理其授权，被授权者可传递权限,从,ACM,角度说,基于行，“基于主人的访问控制”,DAC,缺点：,管理权分散,拥有者拥有管理权，不利于集中访问控制,信息易泄漏，比如木马篡改数据、胡乱授权,客体的真正拥有者不是主体，而是组织单位本身，,从而造成所有权混乱,拥有者调离和死亡需要特殊处理,存在职权滥用现象,主体间关系不能直接体现，不易管理,访问控制模型,MAC,强制访问控制,Mandatory Access Control,1965,年,Multics,操作系统（,B,级安全评价标准）,本质：基于格的单向信息流,授权过程,安全管理员（,Security Officer,）预定义主体信任级别、,客体安全级别,系统比较主体和客体级别后自动授权,安全管理员特殊授权,可归类为,ACM,，常和,DAC,结合使用,上,读下写（数据完整性）,下,读上写（数据保密性）,MAC,缺点：,不灵活,级别定义繁琐，工作量大，管理不便,有些场合无法定义合理的级别，主体信任级别和客体安全级别和现实情况不能一致,过于强调保密性，对系统连续工作能力和可管理性考虑不足,不能实现完整性控制，不适合,WEB,，原因：多级访问控制,访问控制模型,RBAC,基于角色的访问控制,Role Based Access Control,，,20,世纪,90,年代，,John,F.Barkley,，,Ravi,Sandhu,角色,一个或者一组用户在组织内可执行的操作的集合（组、角色是聚合体,Aggregation,）,角色隔离主体和客体，是权限的集合，权限变成角色对客体的操作许可,主体和角色、角色和权限、权限和客体、权限和操作四种关系均是多对多,RBAC,优点：,减小授权复杂度，提高效率质量,不再存在大量权限的直接变动和授予，而是通过变化较少的角色变动和授予替代,动态管理,权限变更只影响涉及的角色，修改角色的权限动态反应到具有角色的所有主体，主体可自行禁用或者启用拥有的角色，系统也可根据情况自动禁用启用主体角色，角色启用禁用可使用密码,授权基本和现实情况符合，失真较小,管理员负责简单工作（比如角色到主体的映射），研发人员负责复杂工作（比如客体、操作、权限到角色的映射）,RBAC96,：,4,个子模型,RBAC0,满足最小需求,RBAC1,在,RBAC0,基础上加“角色层次”,RBAC2,在,RBAC0,基础上加“约束”,RBAC3=RBAC1+RBAC2,RBAC0,RBAC1,RBAC2,RBAC3,RBAC,非法合法规则,:,无,角色则无权（非法）,主体角色经过授权则主体有权（合法）,主体角色有客体操作的权限则主体有权（合法）,RBAC,功能规范,:,管理功能,系统支持功能,审查功能,RBAC,缺点,:,静态授权，任务完成后权限没有收回，没有考虑上下文,基于主体、客体，被动访问控制，从系统角度出发，不能主动防御,基于任务的访问控制模型，是一种采用动态授权的主动安全模型,将访问权限和任务结合，每个任务都是主体使用权限对客体的访问过程，任务执行完权限被消耗，不能再对客体进行访问,授权不仅和主体客体有关，而且和任务内容、任务状态等有关；访问权限随着任务上下文而变化,任务,要进行的一系列操作的有序集合，属性包括内容、状态、执行结果、生命周期等,任务间关系,依赖、排斥,访问控制模型,TBAC,TBAC,缺点,:,没有角色概念，和现实不符合,访问控制并不都是主动的，也有被动的,T-RBAC,在,TBAC,上加上角色,建立角色和任务的映射关系,用户控制,Usage Control,，可变性、连续性,也称,ABC,（,Authorization,oBligation,Condition,）模型,决策依据,通过授权、职责、条件来进行访问控制决策，涵盖,DAC,、,MAC,、,DRM,（数字版权管理）、,TM,（可信管理）,授权基于主体客体属性和相关操作进行,职责是操作执行前和执行后的强制要求,条件是环境或者系统相关的约束因子,预先授权，过程授权（使用过程中授权）,访问控制模型,UCON,