信息安全信息安全身份认证和访问控制身份认证和访问控制1 武汉大学国际软件学院n身份认证的基本概念身份认证的基本概念n身份认证机制身份认证机制n访问控制的基本概念访问控制的基本概念n访问控制实现方法访问控制实现方法n访问控制策略访问控制策略主要内容主要内容2 武汉大学国际软件学院身份认证身份认证nThe property that ensures that the identity of a subject or resource is the one claimed.n身份认证就是确认实体是它所声明的。n身份认证是最重要的安全服务之一。实体的身份认证服务提供了关于某个实体身份的保证。（所有其它的安全服务都依赖于该服务）n身份认证可以对抗假冒攻击的危险3 武汉大学国际软件学院身份认证的需求和目的身份认证的需求和目的n身份认证需求：n某一成员（声称者）提交一个主体的身份并声称它是那个主体。n身份认证目的：n使别的成员（验证者）获得对声称者所声称的事实的信任。4 武汉大学国际软件学院身份认证分类身份认证分类n身份认证可以分为本地和远程两类。n本地身份认证本地身份认证（单机环境）：实体在本地环境的初始化鉴别（就是说，作为实体个人，和设备物理接触，不和网络中的其他设备通信）。n 需要用户进行明确的操作n 远程身份认证远程身份认证（网络环境）：连接远程设备、实体和环境的实体鉴别。n通常将本地鉴别结果传送到远程。n（1）安全n（2）易用5 武汉大学国际软件学院身份认证分类身份认证分类n身份认证可以是单向的也可以是双向的。n单向认证单向认证是指通信双方中只有一方向另一方进行鉴别。n双向认证双向认证是指通信双方相互进行鉴别。6 武汉大学国际软件学院身份认证身份认证n进行身份认证的几种依据进行身份认证的几种依据 n用户所知道的用户所知道的 ：密码、口令n用户所拥有的：用户所拥有的：身份证、护照、信用卡、钥匙n用户本身的特征：用户本身的特征：指纹、笔迹、声纹、手型、血型、视网膜、虹膜、DNA以及个人动作方面的一些特征7 武汉大学国际软件学院主要内容主要内容n身份认证的基本概念身份认证的基本概念n身份认证机制身份认证机制n访问控制的基本概念访问控制的基本概念n访问控制实现方法访问控制实现方法n访问控制策略访问控制策略8 武汉大学国际软件学院常用的身份认证机制常用的身份认证机制nA. 口令机制nB. 一次性口令机制nC. 基于智能卡的机制nD. 基于个人特征的机制9 武汉大学国际软件学院A.A.口令机制口令机制n常规的口令方案中的口令是不随时间变化的口令，常规的口令方案中的口令是不随时间变化的口令，该机制提供该机制提供弱鉴别弱鉴别(weak authentication)。n口令或通行字机制是最广泛研究和使用的身份鉴口令或通行字机制是最广泛研究和使用的身份鉴别法。别法。n口令系统有许多脆弱点口令系统有许多脆弱点n外部泄露外部泄露n口令猜测口令猜测n线路窃听线路窃听n重放重放10 武汉大学国际软件学院对付外部泄露的措施对付外部泄露的措施n 教育、培训；n 严格组织管理办法和执行手续；n 口令定期改变；n 每个口令只与一个人有关；n 输入的口令不再现在终端上；n 使用易记的口令，不要写在纸上。11 武汉大学国际软件学院对付口令猜测的措施对付口令猜测的措施n 教育、培训；n 严格限制非法登录的次数；n 口令验证中插入实时延迟；n 限制最小长度，至少68字节以上n 防止用户特征相关口令，n 口令定期改变；n 及时更改预设口令；n 使用机器产生的口令。12 武汉大学国际软件学院强壮口令应符合的规则强壮口令应符合的规则个人名字个人名字或呢称或呢称电话号码、电话号码、生日等敏感生日等敏感信息信息输入输入8字符字符以上口令以上口令记录于纸上或记录于纸上或放置于办公处放置于办公处使用重复使用重复的字符的字符XXXX+=强壮的口令强壮的口令13 武汉大学国际软件学院对付线路窃听的措施对付线路窃听的措施n 使用保护口令机制：如单向函数。n对于每个用户，系统将帐户和散列值对存储对于每个用户，系统将帐户和散列值对存储在一个口令文件中，当用户输入口令在一个口令文件中，当用户输入口令x，系，系统计算其散列值统计算其散列值H(x)，然后将该值与口令文，然后将该值与口令文件中相应的散列值比较，若相同则允许登录。件中相应的散列值比较，若相同则允许登录。n安全性仅依赖于口令安全性仅依赖于口令14 武汉大学国际软件学院B.B.一次性口令机制一次性口令机制n近似的强鉴别（towards strong authentication)n一次性口令机制确保在每次认证中所使用一次性口令机制确保在每次认证中所使用的口令不同，以对付重放攻击。的口令不同，以对付重放攻击。15 武汉大学国际软件学院双因素动态口令卡n双因素动态口令卡双因素动态口令卡n基于密钥基于密钥/时间双因素的身份认证机制；时间双因素的身份认证机制；n用户登录口令随时间变化，口令一次性使用，用户登录口令随时间变化，口令一次性使用，无法预测，可以有效抵御密码窃取和重放攻击无法预测，可以有效抵御密码窃取和重放攻击行为行为16 武汉大学国际软件学院双因素动态口令卡n相关产品相关产品n如如Security Dynamics公司的公司的SecureID设备设备n基于时间同步的动态密码认证系统基于时间同步的动态密码认证系统RSA SecureIDn美国美国Axend(现被现被Symantec公司兼并公司兼并)是较早推是较早推出双因素身份认证系统的公司。出双因素身份认证系统的公司。n我国一些信息技术公司也相继推出了动态口令我国一些信息技术公司也相继推出了动态口令认证系统。如网泰金安信息技术公司、北京亿认证系统。如网泰金安信息技术公司、北京亿青创新信息技术有限公司、青创新信息技术有限公司、四川安盟电子信息四川安盟电子信息安全有限公司安全有限公司等。等。17 武汉大学国际软件学院双因素动态口令卡-举例n北京亿青创新信息技术有限公司-易码通（EasyPass）动态口令系统。n动态口令卡是发给每个用户的动态口令发生器，通过同步信任认证算法，以时间为参数，每隔16-64秒产生一个一次性使用的“动态口令”。18 武汉大学国际软件学院双因素动态口令卡-举例Login: Login: JSMITHJSMITHPasscode:Passcode: 24682468723656723656PINTOKENCODE令牌码令牌码: 每每 60秒变秒变化一次化一次唯一的唯一的 64-bit 种子种子内部电池内部电池与与 UCT时钟同时钟同步步PASSCODE=+PINTOKENCODE19 武汉大学国际软件学院令牌码的产生令牌码的产生令牌码的产生令牌码的产生?时间时间 UCT时间时间算法算法 伪随机函数伪随机函数种子种子 随机数随机数Algorithm111011010001010101101010101010=20 武汉大学国际软件学院认证过程认证过程访问请求访问请求(加密的加密的)访问请求被通过访问请求被通过 (加密的加密的)登录者登录者ACE/代理代理ACE/服务器服务器User-ID: 安盟安盟password: 1234 234836PIN 数据库1234 1234 234836234836算法算法11101101000101010110101010101001010010101001010100101000101010010101001110110101010100011164-bit 种子时钟算法算法11101101000101010110101010101001010010101001010100101000101010010101001110110101010100011164-bit 种子时钟用户进入一个用户进入一个 SecurID保护的网络保护的网络, 应用应用或服务。系统将提示用户输入用户名和一或服务。系统将提示用户输入用户名和一次性密码次性密码 (PASSCODE)PIN 123421 武汉大学国际软件学院种子种子时间时间354982354982安盟身份认安盟身份认安盟身份认安盟身份认证服务器证服务器证服务器证服务器安盟令牌安盟令牌安盟令牌安盟令牌算法算法种子种子时间时间354982354982算法算法相同的种子相同的种子相同的种子相同的种子相同的时间相同的时间相同的时间相同的时间时间同步技术时间同步技术22 武汉大学国际软件学院C.基于基于智能卡的机制智能卡的机制n优点优点n基于智能卡的认证方式是一种双因素的认证基于智能卡的认证方式是一种双因素的认证方式（方式（PIN+智能卡）智能卡）n智能卡提供硬件保护措施和加密算法智能卡提供硬件保护措施和加密算法n缺点缺点n智能卡和接口设备之间的信息流可能被截获智能卡和接口设备之间的信息流可能被截获n智能卡可能被伪造智能卡可能被伪造n职员的作弊行为职员的作弊行为23 武汉大学国际软件学院基于基于智能卡的机制智能卡的机制n安全措施安全措施n对持卡人、卡和接口设备的合法性的相互验对持卡人、卡和接口设备的合法性的相互验证证n重要数据加密后传输重要数据加密后传输n卡和卡和 接口设备中设置安全区，安全区中保接口设备中设置安全区，安全区中保护逻辑电路或外部不可读的存储区护逻辑电路或外部不可读的存储区n明确有关人员的责任，并严格遵守明确有关人员的责任，并严格遵守n设置止付名单设置止付名单24 武汉大学国际软件学院基于电子钥匙的机制n电子钥匙是一种通过电子钥匙是一种通过USB直接与计算机相连、直接与计算机相连、具有密码验证功能、可靠高速的小型存储设备，具有密码验证功能、可靠高速的小型存储设备，用于存储一些个人信息或证书，它内部的密码用于存储一些个人信息或证书，它内部的密码算法可以为数据传输提供安全的管道，是适合算法可以为数据传输提供安全的管道，是适合单机或网络应用的安全防护产品。其安全保护单机或网络应用的安全防护产品。其安全保护措施与智能卡相似。措施与智能卡相似。25 武汉大学国际软件学院D.基于基于生物特征的机制生物特征的机制n以人体唯一的、可靠的、稳定的生物特以人体唯一的、可靠的、稳定的生物特征为依据征为依据n指纹识别指纹识别n视网膜识别视网膜识别n虹膜识别虹膜识别n手形识别手形识别n签名识别签名识别n声纹识别声纹识别26 武汉大学国际软件学院n身份认证的基本概念身份认证的基本概念n身份认证机制身份认证机制n访问控制的基本概念访问控制的基本概念n访问控制实现方法访问控制实现方法n访问控制策略访问控制策略主要内容主要内容27 武汉大学国际软件学院访问控制访问控制安全服务安全服务nISO7498-2定义了五大安全服务定义了五大安全服务n对象认证对象认证n访问控制访问控制n数据保密性数据保密性n数据完整性数据完整性n防抵赖性防抵赖性28 武汉大学国际软件学院基本概念基本概念n一般定义一般定义n是针对越权使用资源的防御措施是针对越权使用资源的防御措施n访问控制的基本任务是防止非法用户即未授权访问控制的基本任务是防止非法用户即未授权用户进入系统和合法用户即授权用户对系统资用户进入系统和合法用户即授权用户对系统资源的非法使用源的非法使用 n用户身份的识别和认证用户身份的识别和认证 n对访问的控制对访问的控制 n审计跟踪审计跟踪 29 武汉大学国际软件学院访问控制访问控制授权数据库授权数据库访问监视器访问监视器审计审计身份认证身份认证访问控制访问控制30 武汉大学国际软件学院访问控制系统的实体访问控制系统的实体n主体（主体（subject）n发出访问操作、存取请求的主动方，通常可以是用发出访问操作、存取请求的主动方，通常可以是用户或用户的某个进程等户或用户的某个进程等 n客体（客体（object） n被访问的对象，通常可以是被调用的程序、进程，被访问的对象，通常可以是被调用的程序、进程，要存取的数据、信息，要访问的文件、系统或各种要存取的数据、信息，要访问的文件、系统或各种网络设备、设施等资源网络设备、设施等资源 n安全访问策略安全访问策略 n一套规则，用以确定一个主体是否对客体拥有访问一套规则，用以确定一个主体是否对客体拥有访问权限。权限。31 武汉大学国际软件学院访问控制的目的访问控制的目的n限制主体对访问客体的访问权限，从而使计限制主体对访问客体的访问权限，从而使计算机系统在合法范围内使用；算机系统在合法范围内使用；n决定用户能做什么，也决定代表一定用户利决定用户能做什么，也决定代表一定用户利益的程序能做什么益的程序能做什么32 武汉大学国际软件学院n身份认证的基本概念身份认证的基本概念n身份认证机制身份认证机制n访问控制的基本概念访问控制的基本概念n访问控制实现方法访问控制实现方法n访问控制策略访问控制策略主要内容主要内容33 武汉大学国际软件学院访问控制的实现方法访问控制的实现方法nA. 访问控制矩阵访问控制矩阵nB. 访问能力表访问能力表nC. 访问控制表访问控制表nD. 授权关系表授权关系表34 武汉大学国际软件学院A.A.访问控制矩阵访问控制矩阵n访问控制表示为一个矩阵的形式访问控制表示为一个矩阵的形式n列表示客体（各种资源）列表示客体（各种资源）n行表示主体（通常为用户）行表示主体（通常为用户）n行和列的交叉点表示某个主体对某个客体的访问权行和列的交叉点表示某个主体对某个客体的访问权限（比如读、写、执行、修改、删除等）限（比如读、写、执行、修改、删除等）35 武汉大学国际软件学院File1File2File3File4Account1Account2JohnOwnRWOwnRWInquiryCreditAliceROwnRWWInquiryDebitInquiryCreditBobRWROwnRWInquiryDebitnOwn的确切含义可能因系统不同而异，通常一个文件的的确切含义可能因系统不同而异，通常一个文件的Own权限权限表示授予（表示授予（authorize）或撤销（）或撤销（revoke）其他用户对该文件的）其他用户对该文件的访问控制权限。访问控制权限。36 武汉大学国际软件学院n缺点缺点: 访问控制矩阵中很多单元是空白项访问控制矩阵中很多单元是空白项n为了减轻系统开销与浪费为了减轻系统开销与浪费n从主体（行）出发，表示矩阵的某一行的信从主体（行）出发，表示矩阵的某一行的信息息访问能力表访问能力表（Access Capabilities List）n从客体（列）出发，表示矩阵某一列的信息从客体（列）出发，表示矩阵某一列的信息访问控制表访问控制表（Access Control List）37 武汉大学国际软件学院B.B.访问能力表访问能力表n能力（能力（Capability）是受一定机制保护的）是受一定机制保护的客体标志，标记了客体以及主体（访问客体标志，标记了客体以及主体（访问者）对客体的访问权限。者）对客体的访问权限。n只有当一个主体对某个客体拥有访问的只有当一个主体对某个客体拥有访问的能力时，它才能访问这个客体。能力时，它才能访问这个客体。38 武汉大学国际软件学院File1OwnRWFile3OwnRWFile1RWFile2RFile4OwnRWJohnBob39 武汉大学国际软件学院n访问能力表的优点：访问能力表的优点：n访问能力表着眼于某一主体的访问权限，以访问能力表着眼于某一主体的访问权限，以主体的出发点描述控制信息，因此很容易获主体的出发点描述控制信息，因此很容易获得一个主体所被授权可以访问的客体及其权得一个主体所被授权可以访问的客体及其权限。限。n访问能力表的缺点：访问能力表的缺点：n如果要求获得对某一特定客体有特定权限的如果要求获得对某一特定客体有特定权限的所有主体比较困难。所有主体比较困难。n访问控制服务应该能够控制可访问某一个客体访问控制服务应该能够控制可访问某一个客体的主体集合，能够授予或取消主体的访问权限。的主体集合，能够授予或取消主体的访问权限。于是出现了以客体为出发点的实现方式于是出现了以客体为出发点的实现方式访访问控制表。问控制表。40 武汉大学国际软件学院C.C.访问控制表访问控制表n访问控制表（访问控制表（ACL）对某个指定的资源指定任意一个）对某个指定的资源指定任意一个用户的权限，还可以将具有相同权限的用户分组，并用户的权限，还可以将具有相同权限的用户分组，并授予组的访问权限授予组的访问权限JohnOwnRWBobRFile1AliceRW41 武汉大学国际软件学院n访问控制表的优点：访问控制表的优点：n访问控制表（访问控制表（ACL）表述直观、易于理解，比较容）表述直观、易于理解，比较容易查出对某一特定资源拥有访问权限的所有用户，易查出对某一特定资源拥有访问权限的所有用户，有效地实施授权管理。有效地实施授权管理。n在一些实际应用中，还对在一些实际应用中，还对ACL进行了扩展，以进一进行了扩展，以进一步控制用户的合法访问时间，是否需要审计等步控制用户的合法访问时间，是否需要审计等n访问控制表的局限：应用到网络规模较大、需访问控制表的局限：应用到网络规模较大、需求复杂的企业的内部网络时求复杂的企业的内部网络时n当网络中资源很多时，需要在当网络中资源很多时，需要在ACL中设定大量的表中设定大量的表项。而且为了实现整个组织范围内的一致的控制策项。而且为了实现整个组织范围内的一致的控制策略，需要各管理部门的密切合作。略，需要各管理部门的密切合作。n单纯使用单纯使用ACL，不易实现最小权限原则及复杂的安，不易实现最小权限原则及复杂的安全政策全政策42 武汉大学国际软件学院D.D.授权关系表授权关系表n使用一张表描述主体和客体之间的关系，使用一张表描述主体和客体之间的关系，可以对表进行排序可以对表进行排序主体主体访问权限访问权限客体客体JohnOwnFile1JohnRFile1JohnWFile1JohnOwnFile3JohnRFile3JohnWFile3AliceRFile143 武汉大学国际软件学院n身份认证的基本概念身份认证的基本概念n身份认证机制身份认证机制n访问控制的基本概念访问控制的基本概念n访问控制实现方法访问控制实现方法n访问控制策略访问控制策略主要内容主要内容44 武汉大学国际软件学院访问控制策略访问控制策略nA. 自主访问控制（自主访问控制（DAC）nB. 强制访问控制（强制访问控制（MAC）nC. 基于角色的访问控制（基于角色的访问控制（RBAC） DAC MACRBAC访问控制访问控制45 武汉大学国际软件学院A.A.自主访问控制自主访问控制n自主访问控制（自主访问控制（DAC）n最早出现在七十年代初期的分时系统中，它是多用户最早出现在七十年代初期的分时系统中，它是多用户环境下最常用的一种访问控制手段。环境下最常用的一种访问控制手段。 n用户可以按自己的意愿对系统参数做适当的修改，可用户可以按自己的意愿对系统参数做适当的修改，可以决定哪个用户可以访问系统资源。以决定哪个用户可以访问系统资源。nDAC有时又被称为为基于主人的访问控制有时又被称为为基于主人的访问控制 46 武汉大学国际软件学院自主访问控制自主访问控制n优点优点n根据主体的身份及允许访问的权限进行决策根据主体的身份及允许访问的权限进行决策 n自主是指具有某种访问能力的主体能够自主地将访问自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。权的某个子集授予其它主体。n灵活性高，被大量采用，灵活性高，被大量采用，WindowsWindows、UNIXUNIX系统采用。系统采用。n缺点缺点n过于灵活、限制较弱、可能存在安全隐患过于灵活、限制较弱、可能存在安全隐患n如用户如用户A把目标把目标X的访问权赋予了用户的访问权赋予了用户B，用户，用户B可能会把可能会把X访访问权转赋予用户问权转赋予用户C，而，而A可能并不愿意让可能并不愿意让C访问访问Xn用户用户A把目标把目标X的访问权赋予了用户的访问权赋予了用户B，而根据系统基本安全，而根据系统基本安全规则，规则，B并不能访问并不能访问X。47 武汉大学国际软件学院自主访问控制自主访问控制基于个人的策略基于个人的策略n根据哪些用户可对一个目标实施哪一种行为的列根据哪些用户可对一个目标实施哪一种行为的列表来表示。表来表示。n等价于用一个目标的访问矩阵列来描述等价于用一个目标的访问矩阵列来描述n基础基础(前提前提)：一个隐含的、或者显式的缺省策略：一个隐含的、或者显式的缺省策略n例如，全部权限否决例如，全部权限否决n最小特权原则：要求最大限度地限制每个用户为实施最小特权原则：要求最大限度地限制每个用户为实施授权任务所需要的许可集合授权任务所需要的许可集合n在不同的环境下，缺省策略不尽相同，例如，在公开在不同的环境下，缺省策略不尽相同，例如，在公开的布告板环境中，所有用户都可以得到所有公开的信的布告板环境中，所有用户都可以得到所有公开的信息息n对于特定的用户，有时候需要提供显式的否定许可对于特定的用户，有时候需要提供显式的否定许可n例如，对于违纪的内部员工，禁止访问内部一些信息例如，对于违纪的内部员工，禁止访问内部一些信息48 武汉大学国际软件学院自主访问控制自主访问控制基于组的策略基于组的策略n一组用户对于一个目标具有同样的访问许可。一组用户对于一个目标具有同样的访问许可。是基于身份的策略的另一种情形是基于身份的策略的另一种情形n相当于，把访问矩阵中多个行压缩为一个行。相当于，把访问矩阵中多个行压缩为一个行。n实际使用时实际使用时n先定义组的成员先定义组的成员n对用户组授权对用户组授权n同一个组可以被重复使用同一个组可以被重复使用n组的成员可以改变组的成员可以改变49 武汉大学国际软件学院B.B.强制访问控制强制访问控制n强制访问控制（强制访问控制（MAC） n基于规则的访问控制，主体和客体分别定义基于规则的访问控制，主体和客体分别定义安全等级标记，在自主访问控制的基础上还安全等级标记，在自主访问控制的基础上还必须受到安全标记的约束。必须受到安全标记的约束。n安安全全标标记记是是限限制制在在目目标标上上的的一一组组安安全全属属性性信信息息项项。在在访访问问控控制制中中，一一个个安安全全标标记记隶隶属属于于一个用户、一个目标、一个访问请求。一个用户、一个目标、一个访问请求。n系统强制主体服从访问控制策略。主要用于系统强制主体服从访问控制策略。主要用于多层次安全级别的军事应用中。多层次安全级别的军事应用中。50 武汉大学国际软件学院强制访问控制强制访问控制n将主体和客体分级将主体和客体分级n定义用户的可信任级别及信息的敏感程度，如，绝定义用户的可信任级别及信息的敏感程度，如，绝密级，机密级，秘密级，无密级。密级，机密级，秘密级，无密级。n根据主体和客体的级别关系决定访问模式根据主体和客体的级别关系决定访问模式n访问控制关系分为访问控制关系分为n上读上读/下写（完整性）下写（完整性）n下读下读/上写（保密性）上写（保密性）n通过梯度安全标签实现单向信息流通模式。通过梯度安全标签实现单向信息流通模式。51 武汉大学国际软件学院强制访问控制强制访问控制n安全标签是限制在目标上的一组安全属性信息安全标签是限制在目标上的一组安全属性信息项。在访问控制中，一个安全标签隶属于一个项。在访问控制中，一个安全标签隶属于一个用户、一个目标、一个访问请求或传输中的一用户、一个目标、一个访问请求或传输中的一个访问控制信息。个访问控制信息。n最通常的用途是支持多级访问控制策略。最通常的用途是支持多级访问控制策略。 在处理一个访问请求时，目标环境比较请求上在处理一个访问请求时，目标环境比较请求上的标签和目标上的标签，应用策略规则（如的标签和目标上的标签，应用策略规则（如Bell LapadulaBell Lapadula规则）决定是允许还是拒绝访问。规则）决定是允许还是拒绝访问。52 武汉大学国际软件学院强制访问控制强制访问控制n强制访问控制强制访问控制(MAC)中，系统包含主体集中，系统包含主体集S和客和客体集体集O，每个，每个S中的主体中的主体s及客体集中的客体及客体集中的客体o，都属于一固定的安全类都属于一固定的安全类SC，安全类，安全类SC=包括两个部分：有层次的安全级别和无层次的包括两个部分：有层次的安全级别和无层次的安全范畴。构成一偏序关系安全范畴。构成一偏序关系nBell-LaPadula：保证保密性：保证保密性nBiba：保证完整性：保证完整性53 武汉大学国际软件学院强制访问控制强制访问控制nBell-LaPadula模型（模型（BLP模型）模型）n安全属性用二元组表示（密级，类别集合）安全属性用二元组表示（密级，类别集合）n密级集合为密级集合为绝密，机密，秘密，无密绝密，机密，秘密，无密，且绝密，且绝密机机密密秘密秘密无密无密n类别集合是系统中非分层元素集合中的一个子集，类别集合是系统中非分层元素集合中的一个子集，具体的元素依赖于所考虑的环境和应用领域具体的元素依赖于所考虑的环境和应用领域n安全属性的集合满足偏序关系安全属性的集合满足偏序关系n为每个用户分配一个安全属性，为每个客体也分配为每个用户分配一个安全属性，为每个客体也分配一个安全属性一个安全属性54 武汉大学国际软件学院强制访问控制强制访问控制nBell-LaPadula模型中主体对客体访问的两个规则模型中主体对客体访问的两个规则n简单安全原则简单安全原则：仅当主体的敏感级不低于客体：仅当主体的敏感级不低于客体敏感级且主体的类别集合包含客体时，才允许敏感级且主体的类别集合包含客体时，才允许该主体读该客体。即主体只能读密级等于或低该主体读该客体。即主体只能读密级等于或低于它的客体于它的客体n星规则星规则：仅当主体的敏感级不高于客体敏感级：仅当主体的敏感级不高于客体敏感级且客体的类别集合包含主体的类别集合时，才且客体的类别集合包含主体的类别集合时，才允许该主体写该客体。即主体只能写等于或高允许该主体写该客体。即主体只能写等于或高于它的客体。于它的客体。55 武汉大学国际软件学院强制访问控制强制访问控制n下读：低信任级别的用户不能读高敏感度的信息，只下读：低信任级别的用户不能读高敏感度的信息，只能读比它信任级别更低的低敏感信息能读比它信任级别更低的低敏感信息n上写：不允许高敏感度的信息写入低敏感度区域，只上写：不允许高敏感度的信息写入低敏感度区域，只能写入更高敏感度区域能写入更高敏感度区域n实现数据的保密性实现数据的保密性R/WWWWTSRR/WWWSRRR/WWCRRRR/WUTSSCU主体主体客体客体TS（绝密）、（绝密）、S（机密）、（机密）、C（秘密）、（秘密）、U（无密）（无密）信信息息流流56 武汉大学国际软件学院例如，某例如，某单位部分行政机构如下位部分行政机构如下图：57 武汉大学国际软件学院n假设计算机系统中的数据的密级为：假设计算机系统中的数据的密级为： 一般秘密机密绝密一般秘密机密绝密n定义校长的安全级定义校长的安全级 C C校长校长（绝密，（绝密， 人事处人事处, ,教务处教务处, ,财务处财务处, ,设备处设备处 ），），（即校长的密级为绝密，部门属性为所有的部门）（即校长的密级为绝密，部门属性为所有的部门）n教务处长的安全级教务处长的安全级 C C教教=(=(机密机密,教务处教务处)n财务处长的安全级财务处长的安全级 C C财财=(=(机密机密,财务处财务处)n财务一科长的安全级财务一科长的安全级 C C一财一财=(=(秘密秘密,财务处财务处)n财务处工作人员的安全级财务处工作人员的安全级 C C工工=(=(一般一般,财务处财务处)n假假设设财财务务一一科科长长产产生生了了一一份份工工作作文文件件A A，文文件件A A的的安安全全级级定定义义为为与与一一科科长长的的安安全全级级相相同同，即即C CA A=(=(秘秘密密,财财务务处处)，那那么么，对对于于文文件件A A，只只有有校校长长和和财财务务处处长长能能看看到到，而而教教务务处处长长不不能能看看，尽尽管管教教务务处处长长的的密密级级是是机机密密级级，可可以以看看秘秘密密级级的的文文件件，但但教教务务处处长长的的部部门门属属性性仅仅是是 教教务务处处,他无权看财务处的信息。他无权看财务处的信息。 58 武汉大学国际软件学院强制访问控制强制访问控制nBLP模型的不足模型的不足n应用领域较窄，使用不灵活，一般只用于军应用领域较窄，使用不灵活，一般只用于军方等具有明显等级观念的领域方等具有明显等级观念的领域n完整性方面控制的不够好，强调信息向高安完整性方面控制的不够好，强调信息向高安全级的方向流动，对高安全级信息的完整性全级的方向流动，对高安全级信息的完整性保护不够保护不够59 武汉大学国际软件学院强制访问控制强制访问控制nBiba模型模型nBiba等人于等人于70年代提出的，它主要是针对信年代提出的，它主要是针对信息完整性保护方面的。与息完整性保护方面的。与BLP模型类似，模型类似，Biba模型用完整性等级取代了模型用完整性等级取代了BLP模型中的模型中的敏感等级，而访问控制的限制正好与敏感等级，而访问控制的限制正好与BLP模模型相反：型相反：60 武汉大学国际软件学院强制访问控制强制访问控制nBiba模型的规则模型的规则n简单完整规则简单完整规则。仅当主体的完整级大于等于客体的。仅当主体的完整级大于等于客体的完整级且主体的类别集合包含客体的类别集时，才完整级且主体的类别集合包含客体的类别集时，才允许该主体写该客体。即主体只能向允许该主体写该客体。即主体只能向下写下写，而不能，而不能向上写，也就是说主体只能写（修改）完整性级别向上写，也就是说主体只能写（修改）完整性级别等于或低于它的客体。等于或低于它的客体。n完整性制约规则（星规则）完整性制约规则（星规则）。仅当主体的完整级不。仅当主体的完整级不高于客体完整级且客体的类别集合包含主体的类别高于客体完整级且客体的类别集合包含主体的类别集合时，才允许该主体读客体。即主体只能从集合时，才允许该主体读客体。即主体只能从上读上读，而不能从下读。而不能从下读。61 武汉大学国际软件学院强制访问控制强制访问控制n缺陷缺陷n实现工作量大实现工作量大n管理不便管理不便n不够灵活不够灵活n过于偏重保密性，对其他方面，如系统连续过于偏重保密性，对其他方面，如系统连续工作能力、授权的可管理性等方面考虑不足工作能力、授权的可管理性等方面考虑不足62 武汉大学国际软件学院C.C.基于角色的访问控制基于角色的访问控制n20世纪世纪90年代出现，可以有效地克服传统访问控制技年代出现，可以有效地克服传统访问控制技术中存在的不足之处，减少授权管理的复杂性，降低术中存在的不足之处，减少授权管理的复杂性，降低管理开销。管理开销。n起源于起源于UNIX系统等操作系统中组的概念系统等操作系统中组的概念n基于角色的访问控制是一个复合的规则，可以被认为基于角色的访问控制是一个复合的规则，可以被认为是是DAC和和MAC的变体。一个身份被分配给一个被授权的变体。一个身份被分配给一个被授权的组。的组。n基本思路：管理员创建角色，给角色分配权限，给角基本思路：管理员创建角色，给角色分配权限，给角色分配用户，角色所属的用户可以执行相应的权限色分配用户，角色所属的用户可以执行相应的权限63 武汉大学国际软件学院基于角色的访问控制基于角色的访问控制n所谓角色，就是一个或一组用户在组织内可执所谓角色，就是一个或一组用户在组织内可执行的操作的集合行的操作的集合n角色由系统管理员定义，角色成员的增减只能角色由系统管理员定义，角色成员的增减只能由系统管理员执行，而且授权规定是强加给用由系统管理员执行，而且授权规定是强加给用户的，用户只能被动接受，用户也不能自主的户的，用户只能被动接受，用户也不能自主的将访问权限传给他人，这是一种非自主型访问将访问权限传给他人，这是一种非自主型访问控制控制64 武汉大学国际软件学院基于角色的访问控制基于角色的访问控制n每个角色与一组用户和有关的动作相互关联，角色中每个角色与一组用户和有关的动作相互关联，角色中所属的用户可以有权执行这些操作所属的用户可以有权执行这些操作n角色与组的区别角色与组的区别n组：一组用户的集合组：一组用户的集合n角色：一组用户的集合角色：一组用户的集合 + 一组操作权限的集合一组操作权限的集合客体客体1客体客体2客体客体3用户用户1用户用户2用户用户3角色角色1角色角色2权限权限a权限权限b权限权限c权限权限d65 武汉大学国际软件学院基于角色的访问控制基于角色的访问控制n传统的访问控制机制直接将访问主体（发出访传统的访问控制机制直接将访问主体（发出访问操作、存取要求的主动方）和客体（被调用问操作、存取要求的主动方）和客体（被调用的程序或欲存取的数据访问）相联系的程序或欲存取的数据访问）相联系nRBAC在主体和客体中间加入了角色，通过角在主体和客体中间加入了角色，通过角色沟通主体和客体色沟通主体和客体nRBAC中，用户的标识对于身份认证以及审计中，用户的标识对于身份认证以及审计记录非常有用，但真正决定访问权限的是用户记录非常有用，但真正决定访问权限的是用户对应的角色标识对应的角色标识66 武汉大学国际软件学院基于角色的访问控制基于角色的访问控制n与与DAC的区别的区别n用户与客体没有直接联系，只要通过角色才享有该用户与客体没有直接联系，只要通过角色才享有该角色所对于的权限，从而访问相应的客体，因此用角色所对于的权限，从而访问相应的客体，因此用户不能自主地将访问权限授给别的用户户不能自主地将访问权限授给别的用户n与与MAC的区别的区别nMAC是基于多级安全需求的，但是基于多级安全需求的，但RBAC不是不是n在军事系统中关心的是防止信息从高安全级流向低在军事系统中关心的是防止信息从高安全级流向低安全级，即限制安全级，即限制“谁可以读谁可以读/写什么信息写什么信息”n基于角色控制的系统关心保护系统的完整性，即基于角色控制的系统关心保护系统的完整性，即“谁可以对什么信息执行何种动作谁可以对什么信息执行何种动作”n角色控制比较灵活，根据配置可以使某些角色接近角色控制比较灵活，根据配置可以使某些角色接近DAC，而某些角色更接近于，而某些角色更接近于MAC67 武汉大学国际软件学院n三条安全原则三条安全原则:n最小权限：用户所拥有的权利不能超过他最小权限：用户所拥有的权利不能超过他执行工作时所需的权限执行工作时所需的权限n责任分离：多个互斥的角色合作完成重要责任分离：多个互斥的角色合作完成重要工作工作n数据抽象：可以定义抽象的权限，而不仅数据抽象：可以定义抽象的权限，而不仅仅是操作系统中的读、写、执行等仅是操作系统中的读、写、执行等基于角色的访问控制基于角色的访问控制68 武汉大学国际软件学院n优势优势n便于授权管理便于授权管理n便于角色划分便于角色划分n便于赋予最小权限原则便于赋予最小权限原则n便于职责分离便于职责分离n便于客体分类便于客体分类基于角色的访问控制基于角色的访问控制69