身份认证与访问控制PPT学习课件.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式信息安全定义,3,第,3,章,身份认证与访问控制,信息安全技术与应用,_,第,3,章 身份认证与访问控制,引 言,上章,围绕信息安全的基本目标，讲述了重要的加密技术，包括加密系统、加密标准和主要的信息加密算法。,加密,作为最基本技术要求控制项，在建立其它安全机制中可以参与并提供有效的机密性和完整性、非否认性等控制，这些安全机制也包括本章讲述身份认证。,本章,讲述身份认证、访问控制,2,个信息安全重要技术（机制），也是信息安全等级保护,2,个基本技术要求控制项。,引 言,在安全的信息访问中，通信或访问,双方,必须通过某种形式来判明和确认对方或双方的真实身份及合法性，,身份认证,；确认身份后要根据身份设置对系统资源的,访问权限,，以实现不同身份合法用户访问,指定的有限制,的信息资源，拒绝非授权身份用户访问信息资源，,访问控制,。,本章主要内容：身份认证技术概述（概念和方法）,安全身份认证及其方案,访问控制技术概念,访问控制中授权关系,访问控制策略（指导授权关系）,信息安全技术与应用,_,第,3,章 身份认证与访问控制,信息安全技术,_,第,3,章 身份认证与访问控制,3.1,身份认证技术概述,身份认证的定义,具体来讲，身份认证（,Identity Authentication,）就是通过对身份标识的鉴别服务来,确认,其身份,及,其合法性,。,身份认证的方法基于身份标识的不同大体,上分为,：,基于信息秘密的身份认证,基于信任物体的身份认证,基于生物特征的身份认证。,信息安全技术与应用,_,第,3,章 身份认证与访问控制,信息安全技术,_,第,3,章 身份认证与访问控制,身份标识与鉴别,身份（,Identity,）,标识,身份标识就是能够证明用户身份的用户独有的特征标志，此特征标志要求具有唯一性，如身份证、户口簿、护照、公章、驾照、健康卡，还有网络上使用的网络身份证等。,如：,Socket=IP:port,标识,端的某一进程,单因素身份标识包含一种身份信息；而多因素身份标识包含多种身份信息。,ID,（英文,Identity,的缩写大写）也称为序列号或账号，被认为是身份标识特征信息中相对唯一的编码，相当于是一种,“,身份证编号,”,，如身份证号、学号、手机号、产品注册号等。往往是区间编码方式。,如：员工,ID,：,NL00 010 0649,服务部门 北京地区 顺序号,信息安全技术与应用,_,第,3,章 身份认证与访问控制,信息安全技术,_,第,3,章 身份认证与访问控制,身份标识与鉴别,鉴别（服务）,鉴别是对通信的对方发来的信息验证从而确定信息是否合法的过程。通常分为身份鉴别和报文鉴别。,身份鉴别,(,服务）：网络系统两个实体建立连接或数据传输阶段，对对方实体的合法性、真实性进行确认，,防止,非法用户可能,通过,伪造,和,欺骗,身份等手段冒充合法用户,。,报文鉴别（服务）：网络系统两个实体建立连接或数据传输阶段，对对方报文内容鉴别，验证收到的报文是否被篡改、假冒和伪造，以辨识真伪和保证报文在通信中完整性。,身份鉴别实体、报文鉴别信息整体（包括身份信息）,信息安全技术与应用,_,第,3,章 身份认证与访问控制,信息安全技术,_,第,3,章 身份认证与访问控制,身份认证的过程,从网络实现层面：,身份认证的过程是端到端的访问中需要实现的安全连接建立过程。即端到端的连接需要通过身份鉴别建立合法的连接访问。,合法则用户端进程可以持续访问授权,服务进程，持续已有的会话；不合法,不能持续连接访问。,信息安全技术与应用,_,第,3,章 身份认证与访问控制,信息安全技术,_,第,3,章 身份认证与访问控制,身份认证的过程,从资源访问层面：对于,网络用户,在进入系统或访问受限系统,资源,时，身份认证的过程是用户对资源访问时的用户合法身份鉴别过程。借助于端到端的访问实现。,client,Server,DB,DB,DB,身份鉴别,信息安全技术与应用,_,第,3,章 身份认证与访问控制,信息安全技术,_,第,3,章 身份认证与访问控制,身份认证的过程,从认证的方向：,单向认证与双向认证过程；通信的双方只需要一方被另一方鉴别身份，这样的认证过程就是一种,单向认证,。通信的双方需要互相认证鉴别对方的身份，这样的认证过程是,双向认证,。,以单向口令认证过程为例：,身份认证实现过程中，被鉴别的认证信息要实现加密，涉及密钥管理和分发服务。实际的身份认证往往是多个过程才能实现的。,信息安全技术与应用,_,第,3,章 身份认证与访问控制,信息安全技术,_,第,3,章 身份认证与访问控制,身份认证的过程,身份认证过程中涉及到,4,个部分，也是身份认证系统的组成部分。,用户组件：指拥有能提供用来证明他们身份证据的个体，也是认证系统中需要认证的客户端。,输入组件：指用户和认证系统产生和读入身份标识的接口，一般是计算机键盘、读卡器、视频采集仪器和其他相似的设备。,传输组件：身份认证的传输部分，负责在输入组件和能验证用户真实身份的组件之间传递数据。,验证组件：存储的用户身份信息并以此与企图进入系统的用户提供的身份标识进行比较，来确定用户身份的合法性，也是认证系统中完成身份鉴别的服务器端。,信息安全技术与应用,_,第,3,章 身份认证与访问控制,信息安全技术,_,第,3,章 身份认证与访问控制,基于信息秘密的身份认证,基于信息秘密的身份认证是根据双方共同所知道的秘密信息来证明用户的身份（,what you know,），并通过对秘密信息鉴别验证身份。,例如，基于口令、密钥、,IP,地址、,MAC,地址等身份因素的身份认证。包括：,1,网络身份证,:,虚拟身份电子标识,2,静态口令：设定的以“永久口令”为主,结合其它因素的身份认证。,3,一次性口令认证,信息安全技术与应用,_,第,3,章 身份认证与访问控制,信息安全技术,_,第,3,章 身份认证与访问控制,网络身份证,网络身份证就是在网络上可以证明一个人身份及存在的虚拟证件。,虚拟身份电子标识,VIeID(Virtual identity electronic identification),技术：,VIEID,是网络身份证的工具或服务协议，也是未来互联网基础设施的基本构成之一。,如,（,1,）,将用户现实中的身份资料包括文字资料、语音、指纹等信息采集到权威服务机构，然后生成一个账户。,账户内包含,VIeID,的账户,ID,、公钥和私钥,。,（,2,）当用户在相应客户端识别系统中输入,VIeID,的账户,ID,和公钥，识别系统会在,VIEID,库搜索公钥解密还原出该,VIeID,持有人的资料从而识别其身份或某种资格。,网络身份证应具有公开性（,IP,）、一致性（统一性）和保密性、区域性特点。,信息安全技术与应用,_,第,3,章 身份认证与访问控制,信息安全技术,_,第,3,章 身份认证与访问控制,虚拟身份电子标识,VIeID,目前在世界范围内提供,VIEID,服务的公司有以下数家：,VIeID:,通用账户及身份管理,OpenID,：跨站身份管理,ClaimID,：创建用户档案、信誉的网络服务,CardSpace,：微软可支持多个数字身份的虚拟钱包,Liberty Web Services,：身份和认证服务规范,信息安全技术与应用,_,第,3,章 身份认证与访问控制,信息安全技术,_,第,3,章 身份认证与访问控制,一次性口令认证,一次性口令认证也称为,动态口令,的认证，是一种按时间和使用次数来设置口令，每个口令只使用一次，口令不断变化的认证方法。,口令变动来源于产生口令的因素，包括固定因素（用户名或,ID,）和变动因素（时间）。,口令一般是长度为,5,8,的字符串；根据专门的算法生成；,可以基于,变动的时间或事件特征,保持口令同步运算产生口令，也可以通过,异步运算随机,形成口令。,信息安全技术与应用,_,第,3,章 身份认证与访问控制,信息安全技术,_,第,3,章 身份认证与访问控制,一次性口令认证,动态口令认证的优点：,无须像保护静态口令那样定期修改口令，方便管理；,一次一口令，有效防止黑客一次性口令窃取就获得永久访问权；,由于口令使用后即被废弃，可以有效防止身份认证中的重放攻击。,动态口令认证的缺点：,客户端和服务器的时间或事件若不能保持良好同步，可能发生合法用户无法登录；,口令是一长串较长的数字组合，一旦输错就得重新操作。,信息安全技术与应用,_,第,3,章 身份认证与访问控制,信息安全技术,_,第,3,章 身份认证与访问控制,一次性口令认证,动态口令认证方法已被广泛运用在网银、网游、电信运营商、电子政务、企业等应用访问系统中。,例如：短信一次性口令,认证是以手,机短信形式请求登录，认证服务器通,过短信网关发出包含,6,位随机数的动态,口令，短信形式发送到客户的手机上。,信息安全技术与应用,_,第,3,章 身份认证与访问控制,信息安全技术,_,第,3,章 身份认证与访问控制,基于信任物体的身份认证,根据你所拥有的东西来证明你的身份（,what you have,），如通过信用卡、钥匙牌、智能卡、口令牌实施的认证。,智能卡（,IC,卡）,动态口令牌,USB Key,基于生物特征的身份认证,生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为特征。,身体特征包括指纹、掌纹、视网膜、虹膜、人体气味、脸型、手的血管、,DNA,等；,行为特征包括签名、声音、行走步态等。,基于生物特征的身份认证是指通过可测量的身体特征和行为特征经过,“,生物识别技术,”,实现身份认证的一种方法。,身份认证可利用的生物特征需要满足：普遍性、唯一性、可测量性和稳定性，当然，在应用过程中，还要考虑识别精度、识别速度、对人体无伤害、用户的接受性等因素。,生物特征识别过程,采样：生物识别系统捕捉到生物特征的样品，并对采样的数据进行初步的处理，将初步处理的样品保存起来。,提取特征信息：设备提取采样中唯一的生物特征信息，并转化成需要的数字格式。,特征入库：认证以前要提前将特征信息连同其他用户身份信息如,ID,或,PIN,等存储到特征数据库。,特征识别：生物特征识别有两种识别方法是验证和辨识，验证采用完整的样品比对；而辨识即将读取到的用户的生物特征信息，与特征数据库中的数据进行比较，计算出它们的相似程度，看是否匹配来识别用户身份。,指纹身份认证,指纹特征,一个人的指纹是唯一的，即使是双胞胎的指纹也不相同。,人的指纹有两类特征：全局特征和局部特征。,要区分任意两枚指纹仅依靠全局特征是不够的，还需要通过局部特征的位置、数目、类型和方向才能唯一地确定。,指纹的特征识别步骤：,（,1,）图像采集,（,2,）图像预处理,（,3,）细节特征的提取,（,4,）特征信息入库,（,5,）匹配及识别,虹膜身份认证,虹膜是一种在眼睛中瞳孔内的织物状的各色环状物，每个虹膜都包含一个独一无二的基于水晶体、细丝、斑点、凹点、皱纹、条纹等特征的结构,虹膜在眼睛的内部，用外科手术很难改变其结构；,由于瞳孔随光线的强弱变化，想用伪造的虹膜代替活的虹膜是不可能的。,同一个人的左右眼虹膜也有很大区别,和指纹识别相比，虹膜识别技术采用非接触式取像方式，对接触面污染较小,特点：具有可靠性高、不易仿照；操作更简便，检验的精确度可以更高，识别的错误率非常底。生物识别产品市场占有优势。,视网膜身份认证,人的视网膜上面血管的图样可以利用光学方法透过人眼晶体来测定。视网膜识别技术要求激光照射眼球的背面以获得视网膜特征的唯一性。,视网膜身份认证的优点是：,耐久性：视网膜是一种极其固定的生物特征，因为它是,“,隐藏,”,的，故而不易磨损，老化或是为疾病影响；,非接触性的：视网膜是不可见的，故而不会被伪造。,缺点是视网膜技术未经过任何测试，可能会给使用者带来健康的损坏，这需要进一步的研究；对于消费者，视网膜技术没有吸引力；很难进一步降低它的成本。,语音身份认证,任何两个人的声纹频谱图都有差异，语音身份认证，就是通过对所记录的语音与被鉴人声纹的比较，进行身份认证。,视网膜身份认证的优点是：语音识别作为一种非接触式的识别系统，用户可以很自然地接受，声音进行采样，滤波等数字化处理相对成熟。,缺点：但声音变化的范围太大，音量、速度和音质的变化会影响到采集的结果，这样直接影响比对的结果。另外，声音识别系统还很容易被录在磁带上的声音欺骗，这样降低了语音识别系统的安全可靠性。,基于生物特征的身份认证的优点,相比其他认证方法有下列优点：,非易失：生物特征基本不存在丢失、遗忘或被盗的问题。,难伪造：用于身份认证的生物特征很难被伪造。,方便性：生物特征随身,“,携带,”,，随时随地可用。,3.2,安全的身份认证,身份认证面临的主要威胁,欺骗标识：通过盗取或欺骗用户的信任凭证或尝试用一个假的身份标识试探获取对系统的访问权。,篡改数据：非经授权对认证信息进行修改。,拒绝承认：用户拒绝承认以自己的身份执行过特定操作或数据传输。,信息泄露：私有数据的暴露，用户监听到在网络上传送的明文信息等都是信息泄露。,重放攻击：攻击者利用网络监听或者其他方式盗取认证凭据，利用这一目的主机已接收过的认证报文，再不断恶意或欺诈性地重复发给认证服务器。,身份认证的安全措施,（1）身份信息加密以防止信息泄露和篡改数据,需要在认证信息的传输和存储时采用加密技术以保证认证中的数据在传送或存储过程中,未被泄露和篡改,。,传输中的认证信息加密可以采用对称密钥加密体制，也可以采用非对称密钥加密体制；,对服务器数据库中的身份信息加密存储，以防止黑客入侵获得身份信息假冒合法用户非法访问；,身份认证的安全措施,（,2,）采用安全的认证方式抵御重放攻击,挑战,/,应答认证模式,注：一般,采用不重复使用的大的随机数作为挑战,（值）,，若挑战值变化量不大，攻击者只需截获足够的挑战应答之间的关系，又可以进行重放攻击了。,数字时间戳方式,数字时间戳（,digital time-stamp,，,DTS,）就是用来有效证明电子数据的收发时间内容。,认证服务器接收时只有报文时间戳与本地时间足够接近时，才认为是一个合法的新报文，否则认为是重放攻击报文。,身份认证的安全措施,（,3,）数字签名有效抵制欺骗标识和拒绝承认,应用数字签名的身份鉴别有效防止冒用别人名义发起认证和发出（收到）身份信息后拒绝承认。,认证结果证明：,用户身份信息,M,在传输中没有被别人冒用，刚才验证的身份信息,M,就是用户的；用户不能否认验证确认的身份信息和以此身份信息登录后的操作和审计结果。,身份认证的安全措施,（,4,）加强身份信息管理，防止私有信息泄露,管理好个人的身份标识，轻易不要被欺骗泄露或告知他人，尤其是信任物体身份标识硬件，借用或丢失会造成身份冒用。,提高口令、,PIN,等身份标识设置的复杂度，提高身份标识的猜测难度，有效地防止身份探测。,增加身份认证因素，采用双因素或多因素的认证方式可以更好克服由于身份信息泄露造成的安全威胁。,上述提到的多因素认证、数字时间戳认证、信息加密的身份认证、挑战,/,响应认证等都是安全的认证模式，有效保障身份认证的非否认性、保密性、正确性和完整性。,口令认证的安全方案,口令认证的威胁,网络数据流窃听；认证信息截取,/,重放；字典攻击；穷举尝试；窥探口令；骗取口令；垃圾搜索；,口令安全性管理,（,1,）口令的安全存储,一是直接明文存储口令，二是哈希散列存储口令。,（,2,）口令的安全设置,（,3,）口令的加密传输,（,4,）验证码,口令认证中通过加入验证码可以控制登录或注册时间和节奏，有效防止对某一个特定注册用户用特定程序自动进行口令的穷举尝试。,基于指纹的电子商务身份认证,认证特点,基于指纹的电子商务身份认证系统综合了指纹识别、数字签名和加密技术，有效地解决了客户端身份信息的存储和管理问题；同时，通过认证过程中使用时间戳和随机数阻止了第三方的重放攻击。,认证过程,Kerberos,身份认证,Kerberos是麻省理工学院开发的一个认证服务方案,.,它工作在,Client/Server,模式下，以可信赖的,KDC,和使用,DES,对称密钥口令算法，实现密钥分配和集中的身份认证。,一个完整的,Kerberos,系统主要由以下几个部分组成：,用户（,Client,）：发起认证服务的一方。,服务器（,Server,）：最终鉴别客户认证信息的一方。,认证服务器（,Authentication Server,，,AS,）：用来进行密钥分配和验证用户身份。,票据分配服务器（,Ticket Granting Server,，,TGS,）：发放身份证明票据（凭证）。,票据（,ticket-granting ticket,，,TGT,）：为双方身份认证专门生成的凭证。,密钥分配中心（,Key Distribution Center,，,KDC,）：由认证服务器和票据分配服务器组成。,鉴别码（,Authenticator,）：用户生成的最终认证信息。,Kerberos,身份认证过程,Kerberos,的基本认证过程：,Kerberos,身份认证过程,认证过程中的票据和认证信息：,TGT1=Ticket,用户身份标识,；,TGT2=TicketSession Key,，用户身份标识，用户主机,IP,地址，服务器名，有效期，时间戳,；,K,CSession Key,；,K,STGT2,；,Authenticator=Session Key,用户身份标识，用户主机,IP,；,Kerberos,身份认证,Kerberos,认证具有如下优点：,认证在,用户和认证服务器之间进行，,减少了服务器对身份信息管理和存储的开销和黑客入侵后的安全风险。,支持双向认证。,认证过程整个过程可以说是一个典型的挑战,/,响应方式，在防止重放攻击方面起到有效的作用。,Kerberos,协议的推广和应用具有灵活性。,Kerberos,已广泛应用于,Internet,和,Intranet,认证服务和安全访问，具有高度的安全可靠和较好的扩展性，成为当今比较重要的实用认证方案。,基于,X.509,数字证书的认证,X.509,是一个标准的鉴别框架；构建一种基于公开密钥体制的业务密钥管理和身份认证。认证过程基于,PKI,支持，,PKI,利用,X.509,标准的数字证书方式实现密钥分配和管理。,公钥基础设施,PKI:,一种利用公钥理论和技术提供密钥分发和数字证书管理的安全服务平台。,数字证书：,数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据，是用来标志和证明网络通信双方身份的数字信息文件。,PKI,的最基本元素是数字证书，所有安全操作都主要是通过数字证书来实现。,X.509,框架下的,PKI,PKI,的组成：,RA,（注册中心）：,CA,（认证中心）：证书发布库：密钥管理与备份系统：证书撤销处理系统：应用接口系统：,X.509,标准证书,最广泛接受的,X.509,标准证书组成：,证书的版本号（,version,）：该证书使用的了,X.509,的哪种版本。,证书的序列号（,serial number,）：每个证书都有一个唯一的证书序列号。,证书所使用的签名算法（,algorithm+parameters,）：指定证书使用的数字签名加密算法和,Hash,算法；在解密对方用户数字签名时使用。,证书的发行机构名称（,issuer name,）：证书颁发者标识名。,证书的有效期（,not before-not after,）：证书有效时间段，它的计时范围为,1950,2049,。,证书所有人的名称（,subject name,）：证书拥有者主体识别名。,证书所有人的公开密钥（,algorithm+parameters+Key,）：公钥加密算法、参数和公钥。,证书签发者唯一身份标识符（,issuer unique name,）。,证书拥有者唯一身份标识符（,subject unique name,）。,10,证书发行者对证书的签名（,encrypted,）：证书颁发者私钥生成的签名和算法。,数字证书分为签名证书和加密证书：签名证书用于对用户认证信息数字签名使用，来解密签名和,Hash,运算；加密证书用于对发送给用户的数据进行加密使用。,在用户取得,PKI,加密数字证书的前提下，就可以申请签名证书和加密证书的签发。签发过程如图：,证书作用：,（,1,）数字证书可以作为身份凭,证，使双方了解对方身份；,（,2,）可以用来信息加密防止信,息窃取和泄露；,（,3,）可以用来解密数字签名从而使发送方不能抵赖和防止假冒。,证书签发的基本流程,基于,X.509,证书的认证过程,基于,X.509,的双向认证（为例）：,A,发送信息：,A,生成一个随机数,Y,a,，可以用来防止假冒和伪造；接着用,A,的私钥加密构成,K,a,T,a,Y,a,B,（,T,a,为时间戳）发送给,B,。,B,接收信息：先从,PKI,获取,A,的公钥证书，并从证书中提取,A,的公钥，通过解密,K,a,T,a,Y,a,B,，验证,A,的身份是否属实。从,T,a,Y,a,B,验证自己是否是信息的接收人，验证时间戳是否接近当前时间，,Y,a,检验是否有重放。,B,发送信息：,B,生成一个随机数,Y,b,，接着用,B,的私钥加密构成,K,b,T,b,Y,b,A,Y,a,发送给,A,。,A,接收信息：先从,PKI,获得,B,的公钥证书，并从证书中提取,A,的公钥，通过解密,K,b,T,b,Y,b,A,Y,a,，验证,B,的身份是否属实。从,T,b,Y,b,A,Y,a,验证自己是否是信息的接收人；验证时间戳,Tb,是否接近当前时间，,Y,b,检验是否有重放。,基于,X.509,证书的认证过程,基于,X.509,证书的认证的特点：,通过支持认证中的公钥加密和数字签名，从而有效防止身份信息泄露、伪造、冒用和拒绝承认的安全问题；,身份信息由可信的,PKI,权威机构管理和备份，很好地维护了身份信息，防止信息丢失。,在此基础上，借助于时间戳和随机数参与认证，更好地防止了重放攻击；,典型的类似于网络数字身份证件的认证形式，具有灵活适用的特点，被广泛应用。,3.3,访 问 控 制,访问控制,是通过某种途径准许或限制访问能力及访问范围的一种手段。,每个想获得访问的用户都必须经过鉴别或身份认证，这样才能根据用户对资源制定的访问权利，控制用户对资源按授权访问。,访问控制,通过限制对关键资源的访问，防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏，从而保证信息资源受控地、合法地使用。,访问控制的概念,访问控制包括,3,个要素：,主体（,subject,）：发出访问指令、存取要求的主动方，通常可以是用户或用户的某个进程等。,客体（,object,）：被访问的对象，通常可以是被调用的程序、进程，要存取的数据、信息，要访问的文件、系统或各种网络设备、设施等资源。,访问控制策略（,Attribution,）：一套规则，用以确定一个主体是否对客体拥有访问权力或控制关系的描述。,基于,3,要素，,访问控制的目的可概括为：限制主体对访问客体的访问权限，从而使计算机系统资源按照安全访问策略能被在合法范围内使用。,访问控制关系描述,访问控制策略体现了访问的授权关系即,访问控制关系,。,主要通过以下四种方法设计描述访问控制关系：,访问控制矩阵,访问能力表,访问控制表,授权关系表,访问控制矩阵,访问控制矩阵：行表示客体（各种资源），列表示主体（通常为用户），行和列的交叉点表示某个主体对某个客体的访问权限（比如读、写、执行、修改、删除等）。,关 系,file1,file2,file3,fle4,account1,account2,Jack,own,r,w,own,r,w,inquiry,credit,Mary,r,own,r,w,w,r,inquiry,debit,inquiry,credit,Lily,r,w,r,own,r,w,inquiry,debit,借（,debit,）操作和贷（,credit,）操作与写操作类似，可以改动重写账户信息,访问能力表,矩阵在描述访问控制关系是有很多空白页。因此，可以从主体（行）出发，表达矩阵某一行的信息，这就是,访问能力表（,capability,）,访问控制表,矩阵在描述访问控制关系是有很多空白页。因此，可以从客体（列）出发，表达矩阵某一列的信息，这便成了,访问控制表（,ACL,：,access control list,）。,访问控制表是目前采用最多的一种访问控制关系实现方式。它可以对某一特定资源指定任意一个用户的访问权限，还可以将有相同权限的用户分组，并授予组的访问权。,授权关系表,主 体,访 问 权 限,客 体,Jack,own,file1,Jack,r,file1,Jack,w,file1,Jack,own,file3,Jack,r,file3,Jack,w,file3,Mary,r,file1,Mary,own,file2,Mary,r,file2,Mary,w,file2,Mary,w,file3,Mary,r,file4,Lily,r,file1,Lily,w,file1,Lily,r,file2,Lily,own,file4,Lily,r,file4,Lily,w,file4,授权关系表按客体进行排序的话，就可以拥有访问能力表的优势，如果按主体进行排序的话，又拥有了访问控制表的好处。,特别适合采用关系数据库方式实现。,访问控制策略,目前的主流访问控制策略有自主访问控制（,DAC,）、强制访问控制（,MAC,）和基于角色的访问控制（,RBAC,）。,自主访问控制,（,discretionary access control,，,DAC,）是目前计算机系统中实现最多的访问控制策略。,自主，是指具有授予某种访问权力的主体（用户）能够自己决定是否将访问控制权限的某个子集授予其他的主体或从其他主体那里收回他所授予的访问权限。,其基本思想是：允许某个主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问类型。,强制访问控制,强制访问控制（,mandatory access control,，,MAC,）依据主体和客体的安全级别来决定主体是否有对客体的访问权。,基本思想：,对所有主体及其所控制的进程、文件、段、设备等客体全部实施严格的访问控制。,系统中的主体（用户，进程）和客体（文件，数据）都分配安全标签，以标识安全等级。,安全级别常用的为,4,级：绝密级、秘密级、机密级和无级别级，其中,绝密级,秘密级,机密级,无级别级,。,强制访问控制,Bell and LaPadula,提出的,BLP,模型：安全级的制定是线性有序的。,用,标志主体或客体的安全标签，当主体访问客体时，需满足如下两条规则：,简单安全属性：如果主体,s,能够读客体,o,，则,(,s,),(o),；,保密安全属性：如果主体,(,s,),能够写客体,o,，则,(,s,),(,o,),。,主体按照,“,向下读，向上写,”,的原则访问客体。即只有当主体的密级不小于客体的密级并且主体的范围包含客体的范围时，主体才能读取客体中的数据；只有当主体的密级不大于客体的密级，并且主体的范围包括客体的范围时，主体才能向客体中写数据。,强制访问控制,BLP,模型优点：,保证了客体的高度安全性，保证了信息流总是低安全级别的实体流向高安全级别的实体。,BLP,模型缺点：,高安全级别的主体拥有的数据永远不能被低安全级别的主体访问，降低了系统的可用性。,“,向上写,”,的策略使得低安全级别的主体篡改敏感数据成为可能，破坏了系统的数据完整性。,MAC,由于过于偏重保密性，造成实现工作量太大，管理不便，灵活性差。,基于角色的访问控制,基于角色的访问控制（,Role Based Access Control,，,RBAC,）是通过对角色的访问所进行的控制。,角色（,role,）是一定数量的权限的集合，指完成一项任务必须访问的资源及相应操作权限的集合，表示为权限和用户的关系。,基本思想是：与,DAC,和,MAC,思路不同，,DAC,和,MAC,访问控制直接将访问主体和客体相联系，而,RBAC,在中间加入了角色。,授权给用户的访问权限，通常由用户在一个组织中担当的角色来确定。通过角色沟通主体与客体，真正决定访问权限的是用户对应的角色。,目的：可以简化主体（用户）、权限、客体间的复杂的授权管理，灵活实现访问控制策略。,