第八章-访问控制课件.pptx

#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,密钥管理与分配,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,在登录过程中加入不确定因素，使每次登录过程中传送的信息都不相同,确定,口令的方法：,口令序列,挑战,/,回答,时间,戳,温故而知新,对抗重放攻击,一次性口令,1,ISO/IEC9798-2,协议,单向认证,(,时间戳,),单向认证,(,一次性随机数,),温故而知新,基于对称密码的认证,2,A,B,:,T,A,B,K,AB,1.,B,A,:,R,B,2.,A,B,:,R,B,B,K,AB,温故而知新,基于,公钥密码的认证,ISO/IEC 9798-3,单向认证,ISO/IEC 9798-3,单向认证,3,1.,A,B,:,T,A,B,Sig,A,(T,A,B),1.,B,A,:,R,B,2.,A,B,:,R,B,Sig,A,(R,B,B),温故而知新,Kerberos,（,V4,）协议交互过程,2025/9/16 周二,Ticket,tgs,E,Ktgs,K,C,tgs,ID,C,AD,C,ID,tgs,TS,2,LT,2,Ticket,V,E,KV,K,C,V,ID,C,AD,C,ID,V,TS,4,LT,4,第八章,访问控制,访问控制基本概念,访问控制模型,访问控制的安全策略,访问控制实现技术,内容,访问控制三要素,主体,Subject,、客体,Object,、安全访问策略,形式化描述,三元函数,f(s,a,o),访问控制的组成,2025/9/16 周二,主体,访问控制实施功能,访问控制决策功能,客体,提交访问请求,提出访问请求,请求决策,决策,一般实现机制,基于访问控制属性：访问控制表,/,矩阵,基于用户和资源分级（“安全标签”）：多级访问控制,常见实现方法,访问控制表,ACL,s,（,Access Control Lists),访问能力表（Capabilities),访问控制矩阵,授权关系表,访问控制安全标签,其它,访问控制的一般实现机制和方法,访问控制表,(ACL),userA,Own,R,W,O,userB,R,O,userC,R,W,O,userA,Own,R,W,O,userB,R,O,userC,R,W,O,Obj1,每个客体附加一个它可以访问的主体的明细表,。,访问,控制粒度为用户：当用户数量多、管理资源多时，,ACL,会很庞大。,缺省策略：,公开布告板中，所有用户都可以得到所有公开信息,对于特定的用户禁止访问：对于违纪员工，禁止访问内部一些信息。,当组织内人员变化（升迁、换岗、招聘、离职）、工作职能发生变化（新增业务）时，,ACL,的修改变得异常困难。,访问控制表,ACL,2025/9/16 周二,Copyright,电子科技大学计算机学院,12,访问能力表,(CL),Obj1,Own,R,W,O,Obj2,R,O,Obj3,R,W,O,UserA,每个主体都附加一个该主体可访问的客体的明细表。,访问控制矩阵,ACL,CL,按客体排序：访问控制表,按主体排序：访问能力表,授权关系表,UserA Own Obj1,UserA R Obj1,UserA W Obj1,UserB W Obj2,UserB R Obj2,访问控制安全标签,用户,安全级别,用户,1,绝密,用户,2,机密,.,.,用户,n,未分类,客体,安全级别,客体,1,绝密,客体,2,机密,.,.,客体,n,未分类,客体由一个密钥加密（锁），主体拥有解密密钥（钥匙,）,同时具有访问控制表与能力表的特征,具有动态性,锁与钥匙,17,自主,访问控制,强制,访问控制,基于角色,访问控制,访问控制,访问控制的一般策略,客体属主自主管理对客体的访问权限,属主自主负责赋予或回收其他主体对客体资源的访问权限,授权主体可以直接或者间接地向其他主体,转让,访问权,Linux,权限管理,-,rwx,r-x,r-x,主 组 其它,chmod,chown,自主访问,控制（,DAC,）模型,特点：,根据主体身份及权限进行决策；,具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。,灵活性高，被大量采用。,缺点：,访问权限关系会改变,无法控制信息（权限）的流动,Eg,，小人书借阅,自主访问控制,每个主体和客体分配一个固定的安全级别，只有系统管理员才可以,修改,用户：可信任级别,信息：敏感程度,绝密、机密、秘密、无密,依据主体和客体的安全级别决定是否允许访问,主要用于多层次安全级别的军事应用中,强制访问,控制（,MAC,）模型,依据主体和客体的安全级别，,MAC,中主体对客体的访问有四种方式：,下,读,/,上写,上,读,/,下写,强制访问控制,绝密级,机密级,秘密级,无密级,写,读,写,读,“写”代表了信息流动方向,机密性,完整性,向下读（,Read Down,，,rd,）,主体高于客体时允许读，,低级别用户不能读高敏感度的信息,向上写（,Write Up,，,wr,）,主体低于客体时允许写，,不允许高敏感度的信息写入低敏感度区域,信息流只能从低级别流向高级别，从而保证数据机密性,强制,访问,控制,下,读,/,上,写,向上读（,Read Up,，,ru,）,主体低于客体时允许读操作,低信任级别的用户能够读高敏感度的信息,向下写（,Write Down,，,wd,）,主体高于客体时允许写操作,允许高敏感度的信息写入低敏感度区域,实现数据完整性,强制访问控制,上读,/,下写,通过访问方式组合,Lattice,模型,Bell-Lapadula(BLP),模型,Biba,常见的强制访问控制模型,主体的安全级别高于客体的安全级别才能访问,下,读、下写,Lattice,模型,绝密,机密,未分类,主体,绝密,机密,未分类,客体,禁止读,禁止读,允许读,绝密,机密,未分类,主体,绝密,机密,未分类,客体,禁止写,禁止写,允许写,下读,/,上,写,(,不上读,/,不下写,),保证机密性,Bell,LaPadula(BLP),模型,绝密,机密,未分类,主体,绝密,机密,未分类,客体,禁止读,禁止读,允许读,绝密,机密,未分类,主体,绝密,机密,未分类,客体,允许写,允许写,禁止写,安全级别,内部网络：机密,外部,Internet,：公开,隔离内外部网络,单向访问机制,不上读：阻止,Internet,访问,内部网络，仅,允许由,内向外发起的,数据,流通,过,不下写：不允许敏感数据从内部网络流向,Internet,BLP,应用：防火墙,28,上读,/,下,写（,不下读,/,不上写）,保证完整性,Biba,模型,绝密,机密,未分类,主体,绝密,机密,未分类,客体,允许读,允许读,禁止读,绝密,机密,未分类,主体,绝密,机密,未分类,客体,禁止写,禁止写,允许,写,安全级别,Web,服务器上资源,安全级别为,“秘密”,Internet,用户级别,为,“公开”,上读,/,不上写，保障,Web,数据完整性,Internet,上的用户只能读取服务器上的数据而不能更改它,Biba,应用：,Web,服务器,30,网络安全防护的主要,安全策略,之一,依据授权规则，对提出的资源访问加以控制。,限制访问主体（用户、进程、服务等）对任何资源（计算资源、通信资源或信息资源）进行,未授权访问,，使计算机系统在合法范围内使用；,非法用户使用,合法用户滥用,权限,温故而知新,访问控制的概念,一般实现机制,基于访问控制属性：访问控制表,/,矩阵,基于用户和资源分级（“安全标签”）：多级访问控制,常见实现方法,访问控制表,ACL,s,（,Access Control Lists),访问能力表（Capabilities),访问控制矩阵,授权关系表,访问控制安全标签,其它,温故而知新,访问控制的一般实现机制和方法,自主,访问控制,强制,访问控制,基于角色,访问控制,访问控制,温故而知新,访问控制的一般策略,依据主体和客体的安全级别，,MAC,中主体对客体的访问有四种方式：,上读,/,下写：完整性，,eg,，,web server,下读,/,上写：机密性，,eg,，,email server,温故而知新,强制访问控制,绝密级,机密级,秘密级,无密级,写,读,完整性,写,读,机密性,自主式太弱,配置的粒度小；配置的工作量大，效率低,无法控制信息（权限）的流动,强制式太强,配置的粒度大；缺乏灵活性,二者工作量大，不便管理,例：,1000,主体访问,10000,客体，须,1000,万次配置。如每次配置需,1,秒，每天工作,8,小时，就需,10,，,000,，,000/,（,3600*8,）,=347.,2天,温故而知新,自主,/,强制访问控制策略的问题,优点,严格,，,便于控制和管理,特别适用于军事领域,缺点,不,灵活,用户、资源多时配置工作量大,MAC,优缺点,RBAC(Role Based Access Control),与现代的应用环境相结合的产物,起源于,UNIX,系统或别的操作系统中组的概念,基于角色的访问控制策略,2025/9/16 周二,37,一组用户对于一个目标具有同样的访问许可。,实际使用时,先定义组的成员；,用户的集合,G,=,s,1,s,2,s,3,对用户组授权；,把访问权限分配给一个用户组；,组的成员可以改变。,基于组的策略,2025/9/16 周二,38,角色（,Role,）,用户组及其完成一项任务必须访问的资源及相应操作权限的集合，,R=(a1,o1),(a2,o2),(a3,o3),角色：用户组权限集,授权管理：,根据任务需要定义角色,为角色分配许可,（资源和操作权限）,给一个用户指定一个角色,基于角色的访问控制,(RBAC),39,RBAC,与传统访问控制的差别,2025/9/16 周二,Copyright,电子科技大学计算机学院,40,访问,获取,访问,角色,2025/9/16 周二,基于角色的访问控制模型,角色,.,。,用户,1,用户,2,用户,3,角色,1,角色,2,客体,1,客体,2,客体,3,权限,1,权限,2,权限,2,权限,3,属于,属于,属于,操作,客体,许可,(,权限,),有时用户先分组后再分配角色,用户、角色多对多,一个用户可经授权而拥有多个角色,一个角色可授予多个用户,角色、许可多对多,每个角色可拥有多种许可（权限）,每个许可也可授权给多个不同的角色,许可,=,操作,+,客体，操作、客体多对多,每个操作可施加于多个客体（受控对象）,每个客体也可以接受多个操作。,用户、角色、许可的,关系,角色：,出纳员、分行管理者、顾客、系统管理者和审计员。,授权管理：,出纳员：允许修改,顾客帐号记录；,分行管理,者：允许,修改,顾客的帐号记录，也允许创建和终止帐号；,顾客：允许,查询自己的帐号,；,系统管理,者：允许,开关,系统，但不允许读或修改用户的帐号信息；,审计员：允许,读,系统中任何数据，但不允许修改任何事情。,基于角色的访问控制实例,银行,2025/9/16 周二,43,避免角色权限重复设置,角色有自己许可，还能继承其他角色的许可。,可用祖先关系来表示继承。,角色,2,是角色,1,的“子角色”，继承了角色,1,的部分许可,角色继承,44,心脏病专家,风湿病专家,1,2,3,专家,医生,实习医生,继承,嵌套,角色：面向对象的类,系统管理员,设定角色,设定权限,为用户分配角色、取消角色等,为角色分配权限、撤销权限等,角色管理,分配与授权,45,用户：,静态概念,会话：,动态概念,用户的一个活跃进程，代表用户与系统交互。,会话构成用户到角色的映射：,会话中分配角色,会话激活用户授权角色集的某个子集,活跃角色集。,角色激活,46,角色互斥：,对于某些特定的操作集，某一个用户不可能同时独立地完成所有这些操作。,角色互斥：,静态角色互斥,动态角色互斥,角色基数限制：,创建角色时，要指定角色的基数。在一个特定的时间段内，有一些角色只能由一定人数的用户占用。,角色限制,47,通过角色定义、分配和设置，可描述复杂、灵活的安全策略,通过角色分层映射组织结构,容易实现最小特权原则,能够满足职责分离原则,角色互斥,岗位上的用户数通过角色基数约束,RBAC,特点,48,RBAC,系统结构,49,USERS,ROLES,OBJECTS,OPERATIONS,PERMISSIONS,角色,/,许可分配,用户,/,角色分配,会话管理模块,定义角色关系,系统管理模块,会话,用户登录：,身份认证,检索授权角色集,会话管理模块从,RBAC,数据库检索用户授权角色集并送回用户。,选择活跃角色集,选择本次会话活跃角色集，其间会话管理模块维持动态角色互斥。,创建,会话,体现授权，菜单、按钮,会话过程中，系统管理员若要更改角色或许可,在此会话结束后,或终止此会话立即进行。,RBAC,系统的运行步骤,50,MAC+RBAC,策略组合,其他访问控制技术或策略,基于属性的访问控制,本章可选平时考核题目,访问控制策略,温故而知新,自主,访问控制,强制,访问控制,基于角色,访问控制,主体的安全级别高于客体的安全级别才能访问,温故而知新,Lattice,模型,绝密,机密,未分类,主体,绝密,机密,未分类,客体,禁止读,禁止读,允许读,绝密,机密,未分类,主体,绝密,机密,未分类,客体,禁止写,禁止写,允许写,2025/9/16 周二,基于角色的访问控制模型,角色,.,。,用户,1,用户,2,用户,3,角色,1,角色,2,客体,1,客体,2,客体,3,权限,1,权限,2,权限,2,权限,3,属于,属于,属于,操作,客体,许可,(,权限,),MAC+RBAC,策略组合,